Знайдено спосіб локально зупинити вірус-вимагач Petya Наша взаимовыгодная связь https://banwar.org/
Знайдено спосіб локально зупинити виконання програми вірусу-здирника Petya , Який влучив у багато комп'ютерів в Росії і на Україні. Для цього в папці з Windows треба створити файл без розширення з ім'ям "perfc" - його відсутність вірус перевіряє перед початком руйнівних дій. Втім, експерти "Лабораторії Касперського" стверджують , Що мережі атакував і інший вірус.
Інструкцію по блокуванню вірусу опублікував в своєму Telegram-каналі фахівець з кібербезпеки Олександр Літреев.
Детально механізм роботи вірусу описали експерти компанії Positive Technologies. ТАСС передає, що активізувався напередодні вірус Petya впливає на головний завантажувальний запис (MBR - код, який потрібен для подальшого завантаження операційної системи) завантажувального сектора диска. Шкідлива програма шифрує цей запис і замінює її власними даними. Після потрапляння в систему вірус дає комп'ютеру команду перезавантажитися через одну-дві години, а після перезавантаження замість операційної системи запускається шкідливий код.
Якщо встигнути до перезавантаження запустити команду bootrec / fixMbr (дозволяє відновити MBR), то можна відновити працездатність операційної системи і запустити її, відзначили в Positive Technologies. У цьому випадку файли все одно залишаться зашифровані, для їх розшифровки вимагається знання спеціального ключа.
Локально відключити шифрувальник можна, створивши файл "C: \ Windows \ perfc", відзначають експерти Positive Texhnologies. Вірус, у якого є права адміністратора, перед підміною MBR перевіряє наявність за вказаною адресою порожнього файлу без розширення з таким же ім'ям, як назва файлу dll цього шифрувальника. Якщо вірус знайде такий порожній файл, то виконання вірусної програми припиниться.
Однак якщо у вірусу немає прав адміністратора, він не зможе перевірити наявності порожнього файлу в папці "C: \ Windows \". Тоді процес шифрування файлів все ж запуститься, але без підміни MBR і перезапуску комп'ютера.
Щоб не стати жертвою подібної атаки, експерти рекомендують оновити операційну систему Windows, а також скоротити до мінімуму привілеї користувачів на робочих станціях.
Якщо зараження вже сталося - платити зловмисникам не варто. "Поштова адреса порушників був заблокований, і навіть у разі оплати викупу ключ для розшифрування файлів напевно не буде отримано", - відзначили в Positive Technologies.
27 червня вірус-вимагач, який блокує доступ до даних і вимагає гроші за розблокування, атакував десятки компаній і організацій в Росії і на Україні, а потім поширився по всьому світу. Як з'ясували фахівці компанії Group-IB , Що спеціалізується на комп'ютерній безпеці та захисту від кіберзагроз, знаряддям масштабної атаки на енергетичні, телекомунікаційні та фінансові компанії на Україні і в Росії став вірус-шифрувальник Petya, який перешкоджає завантаженні операційної системи, блокує комп'ютери і вимагає викуп.
За попередніми оцінками Group-IB, вірус атакував близько 80 компаній, більшість з яких - українські. У Росії були атаковані "Роснефть", "Башнефть", Mars, Nivea і Mondelez International (виробник шоколаду Alpen Gold). Банк Росії також повідомив про кібератаки на російські кредитні організації, які не привели до порушень в роботі банків.
