Пикорнавирус Petya заражает компьютеры по всему миру. Чем он опасен и как спастись?

    Пикорнавирус Petya вышел за пределы России и Украины, об атаках на ПК сообщили компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.

    Petya шифрует основную загрузочную запись (MBR) на жёстком диске и выводит на мониторе спрос выкупа за дешифрацию данных — эквивалент 300 баксов США в биткоинах. Как этот вирус попадает на компьютеры и какой-никакие версии Windows он заражает, пока неизвестно.

    О вирусе Petya.A следовательно известно в апреле 2016 года. Он разносился по электронной почте. Адресат запускал приложенный к посланию exe-файл и предоставлял программе права администратора, после ась она показывала поддельный BSOD (синий экран смерти). После перезагрузки пикорнавирус запускал поддельную утилиту, замаскированную под проверку диска, и кодировал данные в накопителе, причём не целиком, а немного. Файлы можно было спасти, если вовремя пресечь злобную активность на этапе появления BSOD: экстренно выключить ПК, подключить винчестер к незаражённой машине и сделать бэкап.

    С той часа Petya мутировал и теперь, вероятно, распространяется по второй схеме. Обновлённый код позволяет ему обходить антивирусную проверку и вломиться в хорошо защищённые компьютерные сети частных компаний и народных организаций. Раньше инструкция по переводу денег была расположена на специальном сайте, а теперь сайта нет, подробная данные приводится на экране, с помощью которого Petya объединяет доступ к операционной системе. Пользователю предлагается перевести капитал на указанный кошелёк и написать хакерам на электрическую почту, после чего ему придёт код для расшифровки файлов, который нуждаться ввести на тот же экран.

    По данным ESET Israel, ПК компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает пометка MBR, но не трогает сами данные. Вирус распространяется сквозь уязвимость в SMB, но это, вероятно, не единственный способ его возникновения на компьютере.

    Попробовать вернуть файлы можно с поддержкою программы TestDisk, выбрав в опциях восстановление MBR. Как обезопасить особенный компьютер закрыв определённые TCP-порты, читайте в инструкции на нашем портале. Защититься от вируса такого типа также помогает проспект MBRFilter, которая препятствует повреждению MBR.