Тысячи компов на Украине заражены криптовирусом Петя

Автор: | 28.06.2017

По состоянию на 28 июня 2017 года заражены:

Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Интертелеком (включая личный кабинет assa), Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК

«Новый Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, егу друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске. При заражении можно посоветовать НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM), с отключением от интернета при любых обстоятельствах, далее вызвать специалиста.

В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:
вирус удалить в Херсоне ремонт компьютера в Херсоне
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit

Вы можете скачать актуальный патч от MicroSoft и еще один.

В коде вредоносного специалисты компании Symantec обнаружили интересную возможность защититься от Petya.C путем ручного создания файлов C:\Windows\perfc.dll, C:\Windows\perfc.dat и C:\Windows\perfc (perfc — файл без расширения) с помощью стандартного Блокнота. Сделайте эти два файла доступными только для чтения. Это убедит вирус Petya, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.

Помимо обновления Windows и антивирусного ПО (база сигнатур должна быть обновлена 28.06.2017 не ранее 20:00!) рекомендуем применить дополнительные меры защиты:

  • Вручную осуществить блокировку запросов к ресурсам в сети Интернет:
    — 84.200.16.242
    — 84.200.16.242/myguy.xls
    — french-cooking.com/myguy.exe
    — 111.90.139.247
    — COFFEINOFFICE.XYZ
  • Если рабочая станция уже заражена и пользователь видит «синий экран смерти Windows», компьютер самостоятельно начинает перезагружаться с запуском утилиты Check Disk, необходимо срочно отключить его по питанию, в этом случае данные на жестком диске не будут зашифрованы.
  • по возможности не открывайте вложения в формате .doc и .xls в email и не пользуйтесь украинской бухгалтерской программой M.E.Doc, которая не способна обеспечить свое безопасное обновление.

По состоянию на 29 июня специалисты компании Microsoft официально подтвердили вину софта M.E.Doc. Первоначально такие данные в компании считали косвенными, но более детальное исследование полностью подтвердило ранее представленное заявление украинской Киберполиции – виноват M.E.Doc. Весь процесс был запущен через обновление Медок размером в 333 Кб в 10:30 27 июня, и к обеду угроза раскинулась на компании по всей Украине. В дальнейшем вирус распространялся через уязвимость в протоколе Samba. В случае с программой-вымагателем XData специалисты ESET по безопасности также подтвердили, что основным путем его распространения стало обновление M.E.doc.

Стоит также помнить, что сотрудничество с хакерами и выплата выкупа не гарантируют получения ключа для расшифровки. Если вас заразили не платите выкуп — адрес [email protected] заблокирован провайдером, что делает невозможным получение ключа для расшифровки. Кроме того, часть экспертов считает, что возможность восстановления после оплаты вообще не была предусмотрена авторами вредоносного ПО, так как это скорее вайпер (стиратель разделов диска и и инфо на них), а не просто шифровальщик.

Будьте бдительны!