Найден способ локально остановить исполнение программы вируса-вымогателя Petya, поразившего многие компьютеры в России и на Украине.

Для этого в папке с Windows надо создать файл без расширения с именем «perfc» — его отсутствие вирус проверяет перед началом разрушительных действий. Впрочем, эксперты «Лаборатории Касперского» утверждают, что сети атаковал и другой вирус.

Инструкцию по блокировке вируса опубликовал в своем Telegram-канале специалист по кибербезопасности Александр Литреев (https://t.me/alexlitreev_channel/429).

Подробно механизм работы вируса описали эксперты компании Positive Technologies

ТАСС передает, что активизировавшийся накануне вирус Petya воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска. Вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код.

Если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. В этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.

Локально отключить шифровальщик можно, создав файл "C:\Windows\perfc", отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

Однако если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке «C:\Windows\». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Как создать файл без расширения(выбирайте любой вариант):

1. сохранять в блокноте, имя файла написать в кавычках «_», тип — «Все файлы *.*».

2. взять текстовый файл и переименовать его так, чтобы он был без расширения). в свойствах папки предварительно включить показ расширений для зарегистрированных типов файлов.

3. в cmd.exe сделать type «1» > hosts и дальше редактировать файл как надо и переносить его куда надо

Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях.

Если заражение уже произошло — платить злоумышленникам не стоит. «Почтовый адрес нарушителей был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен», — отметили в Positive Technologies.

27 июня вирус-вымогатель, блокирующий доступ к данным и требующий деньги за разблокировку, атаковал десятки компаний и организаций в России и на Украине, а затем распространился по всему миру. Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, орудием масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп.

По предварительным оценкам Group-IB, вирус атаковал около 80 компаний, большинство из которых — украинские. В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Банк России также сообщил о кибератаках на российские кредитные организации, которые не привели к нарушениям в работе банков.

http://www.newsru.com/world/28jun2017/petyastopped.html?utm_source=tema-comment — link

Petya вирус. Как удалить? (Руководство по удалению)

http://bedynet.ru/petya-%D0%B2%D0%B8%D1%80%D1%83%D1%81/ — link