Глобальная атака Petya ransomware

Глобальная атака Petya ransomware

Вчера мы стали свидетелями глобальной атаки ransomware Petya / NonPetya / GoldenEye.

Как и в случае с кампанией WannaCry, Petya использует уязвимость SMB v1 (EternalBlue), исправленную с мартовским обновлением Microsoft MS17-010. В отличие от своего предшественника, Petya также использует средства Psexec, WMIC Microsoft для распространения вредоносного кода, включая на полностью обновленные операционные системы Microsoft.

В отличие от большинства ransomware, Petya шифрует и системную таблицу файлов NTFS, которая содержит информацию о пути доступа и структуру каждого файла в этом разделе и дополнительно заменяет главную загрузочную запись (MBR), заменяя ее запросом на выкуп, тем самым предотвращая загрузку системы должным образом.

Вредоносная программа запускается с задержкой в ​​40 минут, и инфицирование выполняется в два этапа. Первый этап заменяет MBR  и заставляет станцию ​​автоматически перезагружаться, а вторая выполняет шифрование, а пользователю выходит следующее сообщение:

Если у вас появился этот экран, мы рекомендуем отключить компьютер до завершения процесса CHKDSK, игнорируя ложные предупреждения, которые являются вредоносным программным обеспечением. Отключение компьютера во время предотвратит шифрование, а для восстановления файлов мы рекомендуем использовать инструменты liveCD, которые защитят вас от потери данных.

Чтобы улучшить безопасность станции для этой и будущих угроз, мы рекомендуем:

• Установите последние обновления системы, включая патч от Microsoft MS17-010. Если вы не можете обновить, мы рекомендуем отключить поддержку SMBv1.
• Регулярно выполнять резервирные копии данных.

Мы также напоминаем вам проявлять особую осторожность при использовании электронной почты и просмотра веб-страниц. В частности, если вы получаете подозрительные электронные письма, не нажимайте на какие-либо ссылки или вложения, отправленные через них!