Москва +7 (495) 221-21-41
Ростов-на-Дону +7 (863) 320-09-60
Кемерово +7 (384) 221-56-41
Новосибирск +7 (495) 221-21-41
- Москва
- Ростов-на-Дону
- Кемерово
- Новосибирск
- +7 (495) 221 21 41
- +7 (863) 320 09 60
- +7 (384) 221 56 41
- +7 (495) 221 21 41
Petya не волк. Но бдительность не помешает
Лайфхак: что делать, если возникли подозрения в заражении этим вирусом или оно действительно произошло
Более 500 тысяч атакованных компьютеров, 8 миллиардов долларов возможного ущерба — таковы первые экспертные оценки последствий вирусных эпидемий WannaCry и Petya. Впрочем, обычного пользователя волнует не общая картина, а его собственный компьютер. Что делать, если в нем поселился Petya или есть опасения в заражении этим вирусом? Для начала — разобраться, с чем имеешь дело.
Ты помнишь, как все начиналось
Petya появился в марте 2016 г. Затем он разделился на три версии: Red Petya, Green Petya и Goldeneye, а также сам стал жертвой компьютерных пиратов. Итог их работы — вирусы NotPetya и PetrWrap, но их рассматривать не станем, поскольку против пиратства.
Классический Petya использует уязвимость EternalBlue и пытается модифицировать главную загрузочную запись MBR — Master Boot Record. Если это действие увенчалось успехом, то далее зашифровывается весь жесткий диск, в ином случае — все файлы.
Шифрование преобразует доступную для восприятия информацию в набор бессмысленных символов; для обратной трансформации нужен ключ шифрования. В самом общем плане противодействие вирусу может идти по трем направлениям:
· создание резервных копий данных и их поддержание в актуальном состоянии: чем «свежее» резерв, тем меньше данных будет потеряно после вирусной атаки. Это нудно и долго, но сторицей окупится, причем не только в случае с Petya, но и в иных ситуациях — например, когда носитель вышел из строя по другим причинам;
· профилактика или лечение компьютера, если есть подозрения в его инфицировании;
· борьба с вирусом его же оружием — используя ключи шифрования.
В числе других мер назовем отключение всех неиспользуемых сервисов и портов (в межсетевом экране Windows рекомендуется закрыть порты 135, 139, 445, 1024–1035), запрет на работу рядовых пользователей с правами администратора и, конечно, установку и правильную настройку эффективного антивируса, а также обновлений Windows (проверьте, вошел ли в список апдейтов MS17-010). Не следует запускать файлы, поступившие по почте от неизвестных отправителей, — эту рекомендацию так же часто повторяют, как и игнорируют.
Когда гнетёт сомнений тяжкий груз
Если вам кажется, что за вами следят, то это ещё не паранойя. Если же вы боитесь, что Petya поразил ваш компьютер, то его можно включать. А вот перезагружать категорически нельзя: именно в результате перезагрузки вирус и оживёт.
Это первый совет, который дает издание IT-World.ru. Дальнейшие шаги:
· проверка корневого каталога Windows. Если в нем обнаружен файл perfc.dat, то диагноз неутешителен: вирус действительно есть;
· создание резервной копии системы и критичных данных. Логика подсказывает, что ее надо сохранить на независимом носителе — оптическом или внешнем жестком диске, в облачном хранилище;
· выполнение приведенных выше рекомендаций — закрытие неиспользуемых сервисов и портов, установка антивируса и обновлений и т.д.
Если случилось страшное, или 1002-я сказка Шехерезады
По третьему направлению предлагает идти аналитик Шехерезада (Hasherezade). «Гордая горожанка» (что и означает ее ник) поясняет логику действий Petya: атаку на MBR вирус использует, чтобы зашифровать главную файловую таблицу MFT — Master File Table. Это своего рода «оглавление» тома NTFS, которое, будучи зашифрованным, лишает операционную систему возможности перейти к отдельным «страницам»-файлам — ОС «слепнет». Green Petya и Goldeneye обладают способностью зашифровывать также и файлы некоторых типов.
Главный компонент любого шифрования — ключ, с использованием которого и осуществляется данный процесс. Petya использует минимум два ключа: универсальный для всех жертв «мастер-ключ» и пользовательский ключ — идентификатор (victim ID) для конкретного компьютера. Шехерезада предлагает:
· извлечь пользовательский ключ с помощью кода, помещенного в командную строку (приведен в блоге Шехерезады);
· поместить полученный файл в программу для расшифрования;
· выбрать разновидность поразившего данный компьютер вируса и попытаться избавиться от последствий его действий.
Каких-либо гарантий успешности этих манипуляций не приводится — в том числе и потому, что некоторые версии Petya содержат ошибки. Кроме того, вновь отмечается настоятельная необходимость предварительно создать резервные копии данных.
Сыграть на опережение
Болезнь легче предупредить, чем лечить, а для этого следует обратиться к профессионалам. Эксперты ARinteg:
·
· предоставят рекомендации по эффективному использованию возможностей антивирусов для противостояния новым зловредам и их разновидностям;
·
Сотрудничество компании-заказчика и системного интегратора решений по безопасности — оптимальный способ обеспечить защиту корпоративной информации.
© Все права защищены 2003-2024 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"