Вирус Petya, точнее ExPetr, оказался более разрушительным, чем предполагалось ранее. Он не просто блокирует данные ради выкупа, а уничтожает их. Об этом сообщают антивирусные компании.

Руководитель компании Comae, занимающейся кибербезопасностью, утверждает, что вирус, распространившийся по всему миру, не вымогатель, а уничтожитель. Эксперты утверждают, что текущая версия зловреда — модифицированный вариант Petya, код которого настроен на уничтожение, а не блокировку данных. В Comae уверены, что маскировка под вымогатель была сделана осознанно — чтобы привлечь интерес медиа.

Также об этом говорит то, что электронный адрес, указанный в сообщении, был удален сразу после начала распространения вируса, а с начала распространения глобальной эпидемии создатели заработали всего около 13 тысяч долларов (4 биткойна). Т.е. речь точно не идет о вымогательстве.

Разрушительную силу ExPetr подтверждают и в «Лаборатории Касперского»:

«Как правило, мы не рекомендуем платить выкуп, но допускаем, что бывают ситуации, когда у вас просто нет другого выхода. Но не сейчас. В случае, если ваши данные уже пострадали от ExPetr, платить не надо ни при каких условиях.

Наши аналитики установили, что злоумышленники в принципе не предусмотрели сохранение идентификатора заражения, без которого невозможно получить ключ для расшифровки данных. Короче говоря, киберпреступники не имеют возможности расшифровать вашу информацию — заплатите вы им или нет".

А тем временем, несмотря на появившиеся способы предупреждения заражения, эпидемия распространяется дальше. В частности, говорится о проникновении вируса на ряд американских предприятий, в том числе Merck, Nabisco и Oreo, ряд госпиталей и главный порт Лос-Анджелеса.

И еще раз напоминаем, как избежать заражения

В «Лаборатории Касперского» рекомендуют включить все уровни антивирусной защиты и вручную обновить антивирусные базы. Также следует установить все обновления безопасности Windows (они доступны на официальном сайте Microsoft).

«В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite», — отмечают специалисты.

Эксперты компании Positive Technologies и Symantec считают, что локально остановить шифровальщика можно, создав пустой файл без расширения с названием perfc в каталоге С:\Windows.

Дело в том, что в момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya, можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения (это можно сделать в свойствах файла).

Для прекращения распространения вируса следует закрыть TCP-порты 1024−1035, 135 и 445, советует руководитель криминалистической лаборатории Group-IB Валерий Баулин.

Также специалисты советуют сделать резервные копии важных файлов на случай возможного заражения в дальнейшем. Кроме того, если компьютер заражен и требует перезагрузиться, нельзя давать ему это делать. Как минимум у вас будет время сохранить всю ценную информацию.

TUT.BY

Комментарии

Для добавления комментария, пожалуйста войдите, либо зарегистрируйтесь.

Комментарии  

Графья Бакшанскиену
0 # Графья Бакшанскиену 05.07.2017 09:29
Ну все просто, как и сто лет назад-простототпри всех контактах, в том числе и в интернете следует в обязательном порядке использовать средства индивидуальной защиты, ну те до, после , а таже желательно во время, а лучше еще ввместо
Сообщить модератору
Володя
+1 # Володя 05.07.2017 08:25
спасибо.
Сообщить модератору

Лента комментариев

СПЕЦПРОЕКТЫ «КОММЕРЧЕСКОГО»

Бобруйск в объективе

Детская хирургия  в Бобруйске
Время спорта

Заглушка

Варианты оплаты за услуги