Petya (также известна как Petya.A, Petya.C, PetrWrap, PetyaCry) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Windows.
Программа шифрует MFT-таблицу на жёстком диске компьютера-жертвы, делая все хранящиеся на нём файлы недоступными (сами данные в файлах не шифруются) и требует — 300 долларов США в эквиваленте Bitcoin за их расшифровку. Распространяется вирус путем эксплуатации уязвимости в SMB MS17-010 (аналогично WannaCry), а также путем направленной отправки вредоносного ПО по электронной почте.
.
Способы защиты от вируса Petya:
1. Обновить сигнатуры антивирусного ПО на серверах и рабочих станциях. Сделать резервные копии всех критически важных данных. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, — связаться с отправителем и подтвердить факт отправки письма.
2. Необходимо установить патч MS17-010 (прим. если он не установлен) для устранения уязвимости ОС Windows. Ниже представлены ссылки с сайта Microsoft на патч MS17-010, который закроет уязвимость. Выберите нужную операционную систему, затем нажмите на ссылку. На Ваш компьютер загрузится патч для Вашей версии операционной системы. Запустите патч и следуйте указаниям ОС. После установки патча перезагрузите компьютер (прим. перезагрузку осуществлять только в том случае, если Вы уверены, что Ваша система не заражена, в противном случае перезагрузку делать нельзя!).
Windows XP x86:
Windows XP x64:
Windows Server 2003 x86:
Windows Server 2003 x64:
Windows Vista x86:
Windows Vista x64:
Windows Server 2008 x86:
Windows Server 2008 x64:
Windows 7 x86:
Windows 7 x64:
Windows Server 2008 R2:
Windows 8 x86:
Windows 8 x64:
Windows Server 2012:
Windows 8.1 x86:
Windows 8.1 x64:
Windows Server 2012 R2:
Windows 10 x86:
Windows 10 x64:
Windows 10 (1511) x86:
Windows 10 (1511) x64:
Windows 10 (1607) x86:
Windows 10 (1607) x64:
Windows Server 2016:
.
3. Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445. Для этого Вы можете воспользоваться готовыми файлами для закрытия и открытия данных портов:
Закрыть TCP-порты 1024-1035, 135, 445 Открыть TCP-порты 1024-1035, 135, 445
После скачивания и распаковки, запускать файлы необходимо от имени администратора: Кликните на файле правой кнопкой мыши, а затем выберите Запуск от имени Администратора (Рис.1).
Рис.1
.
Файл ClosePorts.BAT используется для закрытия TCP-портов 1024-1035, 135, 445 и имеет содержимое:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1024 name="Block_TCP-1024" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1025 name="Block_TCP-1025" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1026 name="Block_TCP-1026" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1027 name="Block_TCP-1027" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1028 name="Block_TCP-1028" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1029 name="Block_TCP-1029" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1030 name="Block_TCP-1030" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1031 name="Block_TCP-1031" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1032 name="Block_TCP-1032" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1033 name="Block_TCP-1033" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1034 name="Block_TCP-1034" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1035 name="Block_TCP-1035" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135" netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445" |
.
Файл OpenPorts.BAT используется для открытия TCP-портов 1024-1035, 135, 445 и имеет содержимое:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1024 name="Block_TCP-1024" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1025 name="Block_TCP-1025" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1026 name="Block_TCP-1026" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1027 name="Block_TCP-1027" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1028 name="Block_TCP-1028" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1029 name="Block_TCP-1029" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1030 name="Block_TCP-1030" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1031 name="Block_TCP-1031" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1032 name="Block_TCP-1032" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1033 name="Block_TCP-1033" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1034 name="Block_TCP-1034" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1035 name="Block_TCP-1035" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135" netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445" |
4. Если система заражена и на экране BSoD («синий экран смерти Windows») и компьютер самостоятельно начинает перезагружаться с запуском утилиты Check Disk — необходимо срочно отключить питание компьютера, в этом случае данные на жестком диске не будут зашифрованы. После выключения необходимо загрузить систему с внешнего носителя и с помощью антивирусных средств (прим. например Kaspersky Rescue Disk) удалить вредоносное ПО из системы.
5. Если система заражена и диск зашифрован необходимо форматировать жёсткий диск, установить чистую операционную систему и восстановить данные из резервной копии, или (в случае отсутствия резервной копии) сделать резервную копию зашифрованного диска, установить чистую операционную систему и работать с ней, ожидая появления дешифратора для данного вируса.
.
Надеемся, что данная статья была Вам полезна!
.