Bumer

Как защитить компьютер Windows от вируса Petya (NotPetya)

В теме 1 сообщение

Исследователь безопасности из компании Cybereason Амит Серпер (Amit Serper), рассказал как предотвратить заражение компьютеров шифровальщиком Petya (NotPetya / SortaPetya / Petna) с помощью файла C:Windowsperfc

 

 

 

vLtzl_sTQj_lzridwLHqKA.png

 

Вредоносная кампания Petya была запущена 27 июня и за считанные часы угроза инфицировала огромное количество компьютеров по всему миру. Шифровальщик блокирует разделы MFT и MBR на жестком диске и препятствует нормальной загрузке компьютеров.

 

Если жертвы не желают платить выкуп, то действенного способа для восстановления файлов на данный момент не существует.

 

 

Первоначально исследователи полагали, что новый троян-вымогатель стал обновленной версией старой угрозы под названием Petya. Однако, позже выяснилось, что исследователи имеют дело с новым видом шифровальщика, который заимствовал часть кода от Petya. Вот почему программа-вымогатель была переименована и теперь часто встречается как NotPetya, Petna или SortaPetya.

 

 

 

Найден способ предотвращения заражения вирусом Petya (NotPetya)​

Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.

 

Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.

 

LiRkQuO0Tx_hN7S5mkS6eQ.png

https://twitter.com/0xAmit

 

Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security, TrustedSec и Emsisoft.

 

Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.

 

Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.

 

Как защититься от NotPetya / Petna / Petya​

 

Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который выполняет этот шаг для вас.

 

Загрузить данный файл можно по следующей ссылке - nopetyavac.bat.

 

Для тех, кто хочет вакцинировать свой компьютер вручную, прилагаю отдельную инструкцию. Обратите внимание, что в ней подробно описаны шаги, чтобы они были понятны даже неопытным пользователям ПК.

 

Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид”. Убедитесь, что в “Параметры папок > Вид” отключена опция “Скрывать расширения для зарегистрированных типов файлов” (галочка не отмечена).

 

14632305.png

 

 

Затем откройте папку C:Windows и прокрутите вниз, пока не увидите программу notepad.exe.​

 

14670192.png

 

Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl+C, чтобы скопировать, а затем Ctrl+V, чтобы вставить его.

 

При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.

 

14652784.png

 

Нажмите кнопку “Продолжить”, и будет создана копия блокнота: notepad — копия.exe.

Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала - notepad — копия.exe и введите perfc, как показано ниже.

 

14664051.png

 

После того как имя файла было изменено на perfc, нажмите Enter на клавиатуре.

Теперь вы получите запрос, действительно ли вы хотите переименовать файл.​

 

14643571.png

 

 

 

Нажмите “Да”, а затем “Продолжить”.​

Теперь, когда файл perfc был создан, нужно установить атрибут доступа “Только чтение”.

Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.​

 

14621043.png

 

 

Откроется меню свойств этого файла. Внизу нужно установить флажок “Только чтение”.

 

Установите галочку, как показано на рисунке ниже.​

 

14666098.png

 

Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто, и ваш компьютер теперь стал защищенным против шифровальщика NotPetya / SortaPetya / Petya.

 

Для ленивых - Загрузить данный файл можно по следующей ссылке - nopetyavac.bat

Далее запустить батник с правами админа​

VT

 

Батник использовать не советую, делайте всё ручками, не ленитесь.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти