Вирус Petya заражает компьютеры по всему миру. Чем он опасен и как спастись?
Александр Кузнецов
—
Вирус Petya вышел за пределы России и Украины, об атаках на компьютеры сообщили компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.
Petya шифрует главную загрузочную запись (MBR) на жёстком диске и выводит на мониторе требование выкупа за дешифрацию данных — эквивалент 300 долларов США в биткоинах. Как этот вирус попадает на компьютеры и какие версии Windows он заражает, пока неизвестно.
О вирусе Petya.A стало известно в апреле 2016 года. Он распространялся по электронной почте. Адресат запускал приложенный к письму exe-файл и предоставлял программе права администратора, после чего она показывала поддельный BSOD (синий экран смерти). После перезагрузки вирус запускал поддельную утилиту, замаскированную под проверку диска, и зашифровывал данные в накопителе, причём не целиком, а частично. Файлы можно было спасти, если вовремя пресечь зловредную активность на этапе появления BSOD: экстренно выключить компьютер, подключить винчестер к незаражённой машине и сделать бэкап.
С той поры Petya мутировал и теперь, вероятно, распространяется по другой схеме. Обновлённый код позволяет ему обходить антивирусную проверку и проникать в хорошо защищённые компьютерные сети частных компаний и государственных организаций. Раньше инструкция по переводу денег была размещена на специальном сайте, а теперь сайта нет, подробная информация приводится на экране, с помощью которого Petya блокирует доступ к операционной системе. Пользователю предлагается перевести деньги на указанный кошелёк и написать хакерам на электронную почту, после чего ему придёт код для расшифровки файлов, который нужно ввести на тот же экран.
По данным ESET Israel, компьютеры компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает запись MBR, но не трогает сами данные. Вирус распространяется через уязвимость в SMB, но это, вероятно, не единственный способ его появления на компьютере.
Попробовать вернуть файлы можно с помощью программы TestDisk, выбрав в опциях восстановление MBR. Как обезопасить свой компьютер закрыв определённые TCP-порты, читайте в инструкции на нашем сайте. Защититься от вируса такого типа также помогает программа MBRFilter, которая препятствует повреждению MBR.
Не скажите, есть несколько способов скрывать расширение файла, менять его иконку, а самый изощренный — у UTF есть специальный код (с клавиатуры его не поставить), но он реверсит вывод символов и экзешник выглядит как безобидный PDF
МБР без проблем восстанавливается из режима восстановления самой винды в консоли. есть прям команда fixmbr, если мне память не изменяет. для систем с уефи и ГПТ дисков видимо вирус безвреден
нет, точка восстановления нужна только для файлов винды. для ремонта мбр и мфт нужен установочный диск и вход в консоль восстановления. мбр — тупо разметка диска для биоса, по факту чтобы тот дергал загрузку винды. мфт сложнее починить, но нет ничего невозможного.
поэтому и надо переходить на современные системы с уефи и гпт-разметкой диска — в такой связке системе фактически пофиг откуда грузиться. вот небольшая цитата из статьи о сравнении систем организации файлового пространства: "На MBR диске данные о разделах и загрузочная информация хранятся в одном месте. Если эти данные повреждены или перезаписаны, у вас проблемы. GPT же хранит несколько копий этих данных по всему диска, поэтому работает гораздо быстрее и позволяет восстановить повреждённую информацию. GPT так же хранит значения циклического избыточного кода (CRC), чтобы точно знать, что данные нетронуты. Если информация повреждена, GPT замечает проблему и пытается восстановить повреждённые данные с другого места на диске. MBR не может узнать о повреждении информации. Вы увидите, что возникла проблема, только если не сможете загрузить систему или один из разделов диска исчезнет."