Microsoft розповіла про результати масової атаки вірусу Petya

Компанія Microsoft розповіла про результати масової атаки вірусу-здирника Petya, який шифрує файли користувача на комп’ютері і потім вимагає викуп у розмірі 300 доларів.

Дані засновані на телеметричній інформації. «Петя» заразив 20 000 комп’ютерів по всьому світу, що значно менше, ніж очікувалося. Однак зазначимо, що статистика Microsoft може не відображати дійсність, це тільки орієнтовні дані. 70% від усіх жертв вірусу стали комп’ютери з України. В інших країнах ситуація в корені інша. Також було підкреслено, що практично всі заражені комп’ютери — пристрої на Windows 7.

Microsoft радить адміністраторам обмежувати або блокувати доступ до специфічних IP для SMB і блокувати дистанційне виконання коду через PSEXEC.

При попаданні на ПК Petya модифікує Master Boot Record (MBR) і перезаписує другий сектор диска C, знищуючи Volume Boot Record (VBR). Microsoft повідомляє, що другий пункт не зовсім зрозумілий, тому що не використовується при старті комп’ютера і на пристроях з Windows 7 і вище ця зміна не дає взагалі ніякого ефекту. До того ж код вірусу з багами і при виконанні він споживає в 10 разів більше пам’яті, ніж йому потрібно насправді.

Цікавою є і поведінка Petya при виявленні антивірусного ПЗ. Наприклад, якщо він знаходить встановлений Антивірус Касперського або йому не вдається змінити MBR, то вірус знищує перші десять секторів жорсткого диска.

Якщо на ПК є SecureBoot і UEFI, користувач може активувати чисте встановлення і виконати відновлення завантаження. На комп’ютерах без UEFI з встановленим Антивірусом Касперського можна завантажитися з встановлюючого носія, перейти в консоль відновлення і виконати команди bootrec/fixmbr і bootrec/fixboot.

Однак, якщо користувач побачить перед собою таке зображення, то відновити файли неможливо. Вихід є один — витягнути накопичувач з комп’ютера і спробувати як-небудь розшифрувати інформацію на іншому, здоровому ПК.

Слідкуйте за нашими анонсами, щоб не пропустити подальшого розвитку подій з вірусом Petya.

Джерело інформації: technet