Что за вирус петя и как с ним бороться

Обновлено: 28.03.2024

Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.

Petya использует другую быстро распространяющуюся атаку, которая аналогично WannaCry эксплуатирует уязвимость ENTERNALBLUE по классификации АНБ. В отличие от WannaCry, вирус Petya также может распространятся через инструментарий управления Windows (WMI) и PsExec (подробнее об этом ниже). Несколько пугающих фактов об этой новой вредоносной программе:

  • у нее нет удаленного аварийного выключателя, как в WannaCry;
  • она гораздо сложнее и обладает разнообразными автоматическими способами распространения;
  • она делает компьютеры полностью непригодными для использования.

Как распространяется вирус Petya?

Хотя фишинг часто используется для атак, в этом случае одним из основных источников стала MeDoc, фирма финансового программного обеспечения, располагающаяся на Украине. Функция обновления программного обеспечения MeDoc была взломана, и злоумышленники использовали ее для распространения программы-шантажиста Petya (источник). Это объясняет, почему Украина пострадала больше всех.

После заражения одного компьютера вирус Petya распространялся по одноранговой сети на другие компьютеры и серверы под управлением Windows с незакрытой уязвимостью MS17-010 (это уязвимость SMB, которую всем рекомендовали устранить во время атаки WannaCry). Он также может распространяться через механизм PsExec в ресурсы admin$ даже на компьютерах с установленными исправлениями. Мы недавно написали подробное руководство о PsExec и об отключении PowerShell. Здесь это будет полезным.

Позитивным моментом, по крайней мере при таком положении дел, является то, что заражение по одноранговой сети, похоже, не выходит за пределы локальной сети. Вирус Petya может достаточно эффективно перемещаться по всей локальной сети, вряд ли может переходить в другие сети. Как утверждает @MalwareTechBlog, любящий пиццу пользователь Интернета, который прославился тем, что обнаружил аварийный выключатель WannaCry:

Порядок обнаружения PsExec с помощью DatAlert

Если у вас DatAlert версии 6.3.150 или более поздней версии, вы можете обнаружить файл PsExec.exe на файловых серверах Windows следующим образом:

1. Выберите Tools –> DatAlert –> DatAlert


2. Выполните поиск строки system admin


3. Для каждого из выбранных правил (разверните группы для просмотра), нажмите Edit Rule и установите флажок Enabled


В случае обнаружения PsExec программа DatAlert создаст предупреждения средств системного администратора в категории оповещений Reconnaissance, например System administration tool created or modified (Средство системного администратора создано или изменено) или An operation on a tool commonly used by system administrators failed (Сбой операции в средстве, которое обычно используется системными администраторами).

Это должно помочь обнаружить, использует ли вирус Petya механизм PsExec для распространения на файловые серверы. Продолжайте читать эту статью, потому что это еще не все действия, которые помогут предотвратить первоначальное заражение и остановить распространение вируса Petya по вашим конечным точкам.

Что вирус Petya делает?

После появления на компьютере вирус NotPetya выжидает полтора часа перед началом атаки, вероятнее всего, это время выделяется для заражения других машин и затруднения обнаружения точки входа.

По окончании времени ожидания происходит следующее.

— Мигир (Mihir, @mihirmodi) 27 июня 2017 г.

Если процессы удаленной загрузки или создания образов отсутствуют, и восстановить зараженные компьютеры нельзя, то для исправления ситуации может понадобиться восстанавливать рабочие станции вручную. Хотя в большинстве случаев это возможно, компаниям с множеством удаленных установок сделать это будет очень трудно и займет много времени. Для транспортных компаний, у которых в каждый момент времени 600 и более грузовых судов находятся в рейсе, это практически невозможно.


Он не добавляет уникальное расширение к зашифрованным файлам (например, .locky) — он шифрует содержимое и сохраняет исходное имя файла и расширение.

Что делать?

Предотвращение заражения вирусом Petya очень похоже на действия, которые могли быть предприняты ранее в отношении атаки WannaCry:

  • отключение SMBv1 во время установки исправлений;
  • блокировка порта TCP 445 от внешних подключений (или подключений между сегментами, если возможно);
  • установка исправлений!

Локальный аварийный выключатель

Существует также некоторое подобие локального аварийного выключателя. Если на данном компьютере существует файл %WINDIR%\perfc (без расширения), программа-шантажист не будет выполнена. Можно проявить изобретательность в вариантах развертывания этого файла на всех рабочих станциях в вашей среде.

Кроме того, можно посмотреть, какие антивирусные продукты для конечных точек могут обнаружить вирус Petya, в результатах проверки VirusTotal.

Образец вируса Petya, полученный исследователями, был скомпилирован 18 июня.


Следует ли платить?

Они сделали следующее.

1. Заблокировали эту учетную запись.
2. Подтвердили, что с учетной записи не отправлялись ключи для расшифровки.
3. Обратились в органы власти с предложением помощи всеми доступными средствами.

Все это приводит нас к выводу, что не следует платить требуемую сумму, поскольку вы не получите необходимые ключи расшифровки.

История продолжает развиваться, и мы будем обновлять эту заметку по мере появления новой информации.

Марина Крицкая

Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Как это происходит и можно ли этот процесс предупредить?

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

Предотвратим потерю информации

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.


Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:

  • путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
  • путем направленной отправки вредоносного ПО по электронной почте
  • использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199
  • использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue


Как защититься от шифрования данных?

Первым делом необходимо обновить сигнатуры антивирусного ПО на серверах и рабочих станциях (в случае наличия антивирусного ПО) — база сигнатур должна быть обновлена 27.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч). Вот перечень вредоносных файлов и их хеш-значений:

  • файл Order-20062017.doc, размер 6215 байт, SHA1: 101CC1CB56C407D5B9149F2C3B8523350D23BA84, MD5: 415FE69BF
  • 32634CA98FA07633F4118E1, SHA256: FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206;
  • файл myguy.xls, размер 13893 байт, SHA1: 736752744122A0B5EE4B95DDAD634DD225DC0F73, MD5: 0487382A4DAF8EB9660F1C67E30F8B25, EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6;
  • файл BCA9D6.exe, размер 275968 байт, SHA1: 9288FB8E96D419586FC8C595DD95353D48E8A060, MD5: A1D5895F85751DFE67D19CCCB51B051A, SHA256: 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD.
  • C:\Windows\perfc.dat
  • C:\myguy.xls.hta
  • %APPDATA%\10807.exe

Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:

    Вручную осуществить блокировку запросов к ресурсам в сети Интернет (скобки возле точек вставлены, чтобы не было гиперссылок):

— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ

Что делать по факту заражения?

Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО:

  • Отключить зараженную машину от локальной сети;
  • При заражении MBR в отдельных случаях удается восстановиться с помощью bootrec /RebuildBcd, bootrec /fixMbr, bootrec /fixboot;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления дешифратора, данные можно будет восстановить. Надежду вселяет история с предыдущей крупномасштабной атакой на территории Украины вредоносного вымогательского ПО XData — создатель вируса опубликовал ключи шифрования через несколько дней после распространения вируса, оперативно появилось ПО для дешифрования данных);
  • Загрузиться с загрузочного диска / флешки, установить систему, полностью отформатировав зашифрованный жесткий диск;
  • Установить актуальные обновления безопасности Windows (обязательна установка KB4013389);
  • Установить антивирусное ПО, обновить базу данных сигнатур;
  • Восстановить данные из резервной копии (в случае наличия резервной копии незашифрованных данных, до заражения).

Обнаружение распространения вируса по сети

В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.

Существует SIGMA-правило для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch:

Снова эпидемия?

Причиной широкого распространения вируса является невыполнение базовых необходимых мероприятий по защите от направленных атак подобного рода:

  • своевременное обновление системного ПО;
  • повышение осведомленности сотрудников в области ИБ и формирование принципов безопасной работы с электронной почтой.

Что такое Petya? Во вторник, 27 июня, компьютерный вирус, направленный на Windows-системы, парализовал работу многих учреждений в Украине, включая банки, государственные предприятия и частные компании. Считается, что это модификация вируса Petya, который свирепствовал еще в 2016 году.


По другим данным, это модификация вируса WannaCry, заразившего более 100 тыс. компьютеров в мае 2017 года.

Что делает вирус Petya

По этому вопросу тоже нет единого мнения.

Вирус Petya блокирует компьютер, шифрует данные и требует перевести $300 на bitcoin-кошелек. После получения выкупа хакеры обещают выслать ключ для раскодирования информации.

Однако появляются версии, что вирус стирает информацию, а не шифрует ее. Так что выкуп платить бесполезно.


Как вылечить вирус Petya

На ранней стадии – когда компьютер заразился, но еще до момента шифрования/стирания – можно попробовать воспользоваться антивирусным утилитами, которые загружаются с флешки. Например, утилитой Cureit от Dr.Web. Правда проблема в том, что сайт Dr.Web закрыт для доступа из Украины в связи с указом Президента о блокировании российских ресурсов.

Если же вирус успел порезвиться у вас на ПК, то с данными, вероятно, можно попрощаться.

Как защититься от вируса Petya

Если вы еще не заражены, тогда для защиты от вируса Petya рекомендуется сделать три шага.

Или можно просто загрузить патч вручную с сайта Microsoft. Но устанавливать регулярные обновления Windows все равно нужно.

3. Закрыть порты TCP 1024-1035, 135, 139 и 445. Сделать это не так сложно. В Windows 7 нажмите Пуск и в командной строке напишите cmd, затем нажмите Enter.


Откроется консоль. В нее скопируйте первою строку команд и нажмите Enter, затем вторую и тоже нажмите Enter:

В Windows 10 нажмите правой кнопкой мыши на кнопке Пуск и выберите запуск командной строки с правами администратора. Затем скопируйте команды, как написано выше.


Позднее, когда эпидемия уляжется, можно будет отменить эти действия следующими командами:

Если этот путь показался вам сложным, здесь вы найдете второй вариант.

Если вам совсем страшно жить, можно временно перейти под Linux. Как запустить Linux с флешки (без установки на ПК), читайте в этом обзоре.

Как распространяется вирус Petya

Здесь как с зомби-апокалипсисом – источник уже не важен. Кто-то где-то открыл в почте прикрепленный файл от неизвестного лица, заразил свой ПК, а тот в свою очередь, используя уязвимость в Windows, заразил другие компьютеры в этой сети.

А все почему? Потому что люди ленятся обновлять Windows (отсюда возможность для вируса заражать ПК по сети), а кликать на вложения от неизвестных источников – это без проблем.

Читайте также: