Вирус-вымогатель Petya за последние несколько дней заразил массу компьютеров у нас в городе. Большие и малые организации понесли огромные убытки, но самое плохое – организации были парализованы и не могли нормально работать. После заражения вирус шифровал файлы на компьютере, но механизм расшифровки и восстановления данных в нем не предусмотрен, поэтому данные теряются безвозвратно.
Ремонт компьютеров и ноутбуков после вируса-криптовымогателя Petya
Для восстановления работы компьютеров после этого вируса мы форматируем зараженный раздел и устанавливаем операционную систему заново. Причем наша версия уже со всеми нужными обновлениями безопасности, что снижает риск повторного заражения.
Также мы отключаем уязвимый компонент системы, что не дает вирусу возможности проникнуть по сети повторно.
Очень важно провести сотрудникам краткий инструктаж по сетевой безопасности и запретить бездумно открывать вложения, присланные по электронной почте или через соц.сети.
Сжато об эпидемии:
- Если вас заразили не платите выкуп — адрес wowsmith123456@posteo.net заблокирован провайдером, что делает невозможным получение ключа для расшифровки.
- Распространение происходит на компьютеры с актуальной системой Windows внутри домена.
- Создание файла по адресу C:\Windows\perfc блокирует вектор атаки через WMIC.
- Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.
CHKDSK
Также как и в случае последней атаки WannaCry рекомендуется как можно быстрее поставить обновление от Microsoft MS17-010. Если по каким то причинам поставить патч невозможно рекомендуется выключить протокол SMBv1.
Далее краткие технические подробности о том, как вирус проникает в систему, что именно делает и какие внешние признаки заражения.
Как проникает на компьютер вирус Petya
Из внешней сети вирус приходит через зараженные вложения электронной почты. А вот уже внутри вашей сети он ведет себя очень агрессивно. Если вирус проник на сервер внутри организации, да еще и на сервере есть Active Directory, то с очень большой вероятностью он заразит все компьютеры в сети. Petya, в отличие от WannaCry, распространяются внутри локальной сети (по умолчанию, безопасной среды).
После запуска зараженного вложения (ransomware), инфицированный компьютер сканирует локальную подсеть (/24) в поиске общих сетевых ресурсов ADMIN$, чтобы скопировать payloadu на другой компьютер и запустить с помощью PsExec.
Следующим шагом было выполнение команды WMIC (process call create \”C:\Windows\System32\rundll32.exe \\”C:\Windows\perfc.dat\) на найденных компьютерах. Данный для подключения получались с помощью Mimikatz.
Последним способом распространения было использование уязвимости EternalBlue.
Что дальше делал “Петя” на компьютере?
Ransomware сканировал только локальные диски. Сетевые и внешние диски не были целью атаки.
Шифровались файлы со следующими расширениями:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
В стандартный планировщик добавляется команда на перезапуск компьютера через час после заражения. Petya использует также недокумендированную возможность функции WinAPI NtRaiseHardError чтобы перезагрузить компьютер.
После перезагрузки вы получаете окно CHDK и заставку с требованием выкупа.
Ни в коем случае не шлите деньги вымогателю. Специалистами доказано, что вирус не имеет функции для дешифровки данных.
Версия Petya от 2016 года шифровала диск таким образом, что его можно было дешифровать при наличии ключа. Все операции с файлами и секторами дисков выполнялись корректно. А вот Petya от 2017 года необратимо повреждает диски.
Если у вас данные хранились не на системном диске, то очень вероятно, что их можно восстановить. Обратитесь к нашему специалисту для решения проблемы с последствиями вируса, оперативность и качество мы предоставим.