Вірус Petya.A заражає комп’ютери по всьому світу

Вірус Petya вийшов за межі України та Росії, про атаки на комп’ютери почали повідомляти компанії, розташовані у Великобританії, Франції, Голландії, Іспанії та Індії.

Petya.A шифрує головний завантажувальний запис (MBR) на жорсткому диску і виводить на моніторі вимогу викупу за дешифрацию даних — еквівалент 300 доларів США в біткойнах. Як даний вірус потрапляє на комп’ютери і які версії Windows він заражає, поки невідомо.

Про вірус Petya.A стало відомо у квітні 2016 року. Він поширювався по електронній пошті. Адресат запускав прикладений до листа exe-файл і надавав програмі права адміністратора, після чого вона показувала підроблений BSOD (синій екран смерті). Після перезавантаження вірус запускав підроблену утиліту, замасковану під перевірку диска, й зашифровував дані в накопичувач, причому не цілком, а частково. Файли можна було врятувати, якщо вчасно припинити шкідливу активність на етапі появи BSOD.

З тієї пори Petya мутував і тепер, ймовірно, поширюється за іншою схемою. Оновлений код дозволяє йому обходити антивірусну перевірку і проникати в добре захищені комп’ютерні мережі приватних компаній і державних організацій. Раніше інструкція по переказу грошей була розміщена на спеціальному сайті, а тепер сайту немає, детальна інформація наводиться на екрані, за допомогою якого Petya блокує доступ до операційної системи. Користувачеві пропонується перевести гроші на вказаний гаманець і написати хакерам на електронну пошту, після чого йому прийде код для розшифровки файлів, який потрібно ввести на той самий екран.

За даними ESET Israel, комп’ютери компаній вразила модифікація вірусу Win32/Diskcoder.Petya.C. Вона пошкоджує запис MBR, але не чіпає самі дані. Вірус поширюється через уразливість в SMB, але це, ймовірно, не єдиний спосіб його появи на комп’ютері.