Вірус-вимагач Petya за останні кілька днів заразив безліч комп’ютерів у нас у місті. Великі та малі організації зазнали величезних збитків, але найгірше – організації були паралізовані і не могли нормально працювати. Після зараження вірус шифрував файли на комп’ютері, але механізм розшифровки та відновлення даних у ньому не передбачено, тому дані втрачаються безповоротно.

Ремонт комп’ютерів і ноутбуків після вірусу-криптовимогателя Petya

Для відновлення роботи комп’ютерів після цього вірусу форматуємо заражений розділ і встановлюємо операційну систему заново. Причому наша версія з усіма потрібними оновленнями безпеки, що знижує ризик повторного зараження.

Також ми відключаємо вразливий компонент системи, що не дає вірусу можливості проникнути через мережу повторно.

Дуже важливо провести співробітникам короткий інструктаж із мережевої безпеки та заборонити бездумно відкривати вкладення, надіслані електронною поштою або через соц.мережі.

Стиснуто про епідемію:

• Якщо вас заразили не платіть викуп — адреса wowsmith123456@posteo.net заблокована провайдером, що унеможливлює отримання ключа для розшифровки.
• Розповсюдження відбувається на комп’ютерах з актуальною системою Windows всередині домену.
• Створення файлу за адресою C:\Windows\perfc блокує вектор атаки через WMIC.
• Якщо після перезавантаження комп’ютера на екрані з’явився CHKDSK варто негайно вимкнути комп’ютер – в цей момент шифруються файли.

• 

  CHKDSK

Також як і у разі останньої атаки WannaCry рекомендується якнайшвидше поставити оновлення від Microsoft MS17-010. Якщо з якихось причин поставити патч неможливо, рекомендується вимкнути протокол SMBv1.

Далі короткі технічні подробиці у тому, як вірус проникає у систему, що робить і які зовнішні ознаки зараження.

Як проникає на комп’ютер вірус Petya

З зовнішньої мережі вірус надходить через заражені вкладення електронної пошти. А ось уже всередині вашої мережі він поводиться дуже агресивно. Якщо вірус проник на сервер всередині організації, та ще й на сервері є Active Directory, то дуже ймовірно він заразить всі комп’ютери в мережі. Petya, на відміну WannaCry, поширюються всередині локальної мережі (за умовчанням, безпечної середовища).

Після запуску зараженого вкладення (ransomware), інфікований комп’ютер сканує локальну мережу (/24) у пошуку загальних мережевих ресурсів ADMIN$, щоб скопіювати payloadu на інший комп’ютер і запустити за допомогою PsExec.

Наступним кроком було виконання команди WMIC (process call create “C: Windows System32 rundll32.exe C: Windows perfc.dat”) на знайдених комп’ютерах. Даний для підключення виходили за допомогою Mimikatz.

Останнім способом поширення було використання вразливості EternalBlue.

Що далі робив “Петро” на комп’ютері?

Ransomware сканував лише локальні диски. Мережеві та зовнішні диски не були метою атаки.

Шифрувалися файли з такими розширеннями:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

У стандартний планувальник додається команда на перезапуск комп’ютера за годину після зараження. Petya використовує також недокумендовану можливість функції WinAPI NtRaiseHardError, щоб перезавантажити комп’ютер.

Після перезавантаження ви отримуєте вікно CHDK та заставку з вимогою викупу.

У жодному разі не шліть гроші здирнику. Фахівці довели, що вірус не має функції для дешифрування даних.

Версія Petya від 2016 шифрувала диск таким чином, що його можна було дешифрувати за наявності ключа. Усі операції з файлами та секторами дисків виконувались коректно. А            ось Petya від 2017 року незворотно ушкоджує диски.

Якщо у вас дані зберігалися не на системному диску, то ймовірно, що їх можна відновити. Зверніться до нашого фахівця для вирішення проблеми з наслідками вірусу, оперативність та якість ми надамо.