Как обмануть хакеров: найден способ локально остановить вирус-вымогатель Petya

Специалисты обнаружили способ локально остановить исполнение программы вируса-вымогателя Petya, который гуляет по Сети.

Для этого в папке с Windows надо создать файл без расширения с именем "perfc". Отсутствие этого файла вирус проверяет перед началом разрушительных действий.

Инструкцию по блокировке вируса разместил в своем Telegram-канале специалист по кибербезопасности Александр Литреев. Также подробно механизм работы вируса описали эксперты компании Positive Technologies.

Как сообщает ТАСС, вирус Petya воздействует на главную загрузочную запись (MBR - код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска. Хакерская программа шифрует эту запись и заменяет ее собственными данными.

После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа. После же перезагрузки вместо операционной системы запускается вредоносный код. Однако до перезагрузки можно справиться с вредоносной программой.

Если успеть до нее запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее. Об этом сообщили в Positive Technologies.

В этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа. Локально отключить шифровальщик можно, если создать файл "C:\Windows\perfc", отмечают эксперты Positive Texhnologies.

Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по названному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. При нахождении вирусом такого пустого файла выполнение вирусной программы прекратится.

Но в случае,  если у вируса нет прав администратора, он не сможет проверить наличие пустого файла в папке "C:\Windows\". Тогда процесс шифрования файлов запустится, но без подмены MBR и перезапуска компьютера.

Чтобы не стать жертвой подобной хакерской атаки, специалисты советуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях.

Если вирус все же смог атаковать компьютер - платить злоумышленникам не стоит.

Почтовый адрес нарушителей был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен", -

отметили в Positive Technologies.

Вирус-вымогатель Petya, блокирующий доступ к данным и требующий деньги за разблокировку, атаковал десятки компаний и организаций в России и на Украине 27 июня, а затем распространился по всему миру. По данным специалистов компании Group-IB, которая специализируется на компьютерной безопасности и защите от киберугроз, орудием масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп.

По предварительной информации, вирус атаковал около 80 компаний, большинство из которых - украинские. В России вредоносная программа распространилась на компании "Роснефть", "Башнефть", Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Банк России также сообщил о кибератаках на российские кредитные организации, однако это не вызвало нарушений в работе банков.