Глобальная атака Petya ransomware
Вчера мы стали свидетелями глобальной атаки ransomware Petya / NonPetya / GoldenEye.
Как
и в случае с кампанией WannaCry, Petya использует уязвимость SMB v1
(EternalBlue), исправленную с мартовским обновлением Microsoft MS17-010.
В отличие от своего предшественника, Petya также использует средства
Psexec, WMIC Microsoft для распространения вредоносного кода, включая на полностью обновленные операционные системы Microsoft.
В
отличие от большинства ransomware, Petya шифрует и системную таблицу файлов NTFS, которая содержит информацию о пути доступа и
структуру каждого файла в этом разделе и дополнительно заменяет главную
загрузочную запись (MBR), заменяя ее запросом на выкуп, тем самым предотвращая загрузку системы должным образом.
Вредоносная программа запускается с задержкой в 40 минут, и инфицирование выполняется в два этапа. Первый этап
заменяет MBR и заставляет станцию автоматически перезагружаться, а
вторая выполняет шифрование, а пользователю выходит
следующее сообщение:
Если
у вас появился этот экран, мы рекомендуем отключить компьютер до завершения
процесса CHKDSK, игнорируя ложные предупреждения, которые являются
вредоносным программным обеспечением. Отключение компьютера во время предотвратит шифрование, а для
восстановления файлов мы рекомендуем использовать инструменты liveCD,
которые защитят вас от потери данных.
Чтобы улучшить безопасность станции для этой и будущих угроз, мы рекомендуем:
Мы также напоминаем вам проявлять особую осторожность при использовании электронной почты и просмотра веб-страниц. В частности, если вы получаете подозрительные электронные письма, не
нажимайте на какие-либо ссылки или вложения, отправленные через них!