"ПЕТЯ-2.0" АБО "Псевдо-ПЕТЯ"?

Вчора багато хто звернув увагу на те, що вірус, нагнати страху не тільки на Україну, а й країни Азії , В ряді звітів фігурував як "Petya.A". Про те, що він відрізняється від "просто" Petya - сумнозвісного вірусу-локера 2016 року - сьогодні розповіла і кіберполіції. "Виходячи з аналізу завантажувальної частини вірусу, можна з високим ступенем вірогідності стверджувати, що це нова модифікація трояна Petya", - заявили у відомстві.

Про те, що користувачі по всьому світу зіткнулися з новою версією вірусу, встигли заявити і в ряді компаній, що спеціалізуються на кібербезпеки. Вони відзначають, що "Petya 1.0" (який в західному інтернеті вже охрестили NotPetya і SortaPetya), так само як і WannaCry використовує експлоїт ETERNALBLUE, імовірно розроблений фахівцями АНБ і згодом вкрадений хакерами. Чому ж, детально вивчивши код, фахівці антивірусних лабораторій кажуть, що Petya-2017 не так вже й схожий на зразок вимагача 2016 роки?

Версії Petya 2016 і 2017 року

Для створення вірусу, безумовно, використовувався вихідний код старої версії. Однак її структура сильно відрізняється від оригіналу. На відміну від типових здирників, Petya.A не тільки шифрує MFT (Master File Table) для розділів NTFS, але і перезаписує MBR (Master Boot Record). Як і стара версія, він розповсюджується за допомогою поштового спаму: "підчепити" його можна з шкідливого документа Office, що експлуатує уразливість CVE-2017-0199 в Office RTF. Але через несхожості на попередню инкарнацию деякі вважають Petya.A не так знаряддям шахраїв, скільки зброєю масового ураження.

Такої версії дотримується блогер і фахівець з інформаційної безпеки The Grugq. За його словами, вимагання - лише прикриття для даного вірусу. "Він явно не націлений на те, щоб збагатити свого творця", - пише автор. До слова, зв'язуватися з творцями Petya.A через е-мейл, вказаний в повідомленні з вимогою викупу, дійсно марно - поштовий ящик Ця електронна адреса захищена від спам-ботів. У вас повинен бути включений JavaScript для перегляду. був заблокований адміністраторами ресурсу Posteo. Відповідно, платити за розблокування марно.

В яку б версію ви не вірили - про хакерів-шахраїв або урядових хакерів "на зарплаті" - поки що історію поширення вірусу вдалося відстежити лише до першого заразився. "Нульовими пацієнтами", імовірно, були комп'ютери компанії MEdoc.

За інформацією фахівців, заражено було останнє оновлення серверів компанії від 22 червня. Це підтверджувалося і тим фактом, що перед масової атакою компанія на своєму сайті писала про спіткала її вірусній атаці. Згодом повідомлення було видалено, а в Facebook компанії з'явилося спростування: представники MEdoc писали, що "стежать за чистотою свого коду", а тому не причетні до поширення злощасного вірусу.

ЯК ЗРОБИТИ "ЩЕПЛЕННЯ" СВОЄМУ КОМП'ЮТЕРА

Хто б не був винуватцем "блекаута" 27 червня, подумати про безпеку свого комп'ютера слід кожному. як пишуть профільні видання, масового зараження горезвісним WannaCry вдалося уникнути завдяки знайденому аварійного засобу: у відповідь на вірус, "обвалюються" комп'ютери по всьому світу, британці з MalwareTech "обвалили" сам вірус, зареєструвавши домен, до якого шкідливе ПО зверталося при завантаженні - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com . У Petya.A подібної уразливості немає, так що зупинити його одним махом не вийде - проте запобігти попаданню в заручники окремо взятого комп'ютера можна.

Замість перевірки існування домену-набору букв, Petya.A звертається за адресою C: \ Windows і шукає там файл perfc. Чи не виявляючи його - шифрує дані.

Так що для того, щоб захистити свій жорсткий диск від вірусу, досить створити такий файл (але правило "незнайомі файли не відкривати, за підозрілими посиланнями не ходити" все одно ніхто не відміняв!). Отже, щоб запобігти запуск Petya, слід:

• встановити критичне оновлення MS17-010, які ліквідують уразливості для шифрувальників;

• створити за адресою C: \ Windows файл perfc (без розширення), зробивши його доступним тільки для читання;

• і для більшої безпеки - відключити протоколи WMIC і SMBv1.

Підписуйтесь на # Букви в Telegram і Viber . Найважливіші і свіжі новини - ви дізнаєтеся першими!