27 июня 2017 года, спустя чуть больше месяца после массовых атак шифровальщика WannaCry, компании и пользователей по всему миру настигла новая угроза, шифровальщик Petya (также известный под названиями NotPetya, SortaPetya и Petna).

Вымогатель не просто шифрует файлы, но также шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы. Более того, в настоящее время платить выкуп попросту бесполезно, так как адрес wowsmith123456@posteo.net, по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.

В мае 2017 года распространение WannaCry удалось быстро свести к минимуму благодаря усилиям всего одного независимого ИБ-специалиста. Тогда британский исследователь MalwareTech обнаружил в коде малвари своеобразный «аварийный рубильник»: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.

В коде Petya ничего подобного пока найти не удалось. И хотя Petya – это совсем не новая угроза (первые версии шифровальщика были обнаружены еще в начале 2016 года), и экспертам удавалось взломать старые версии шифровальщика, пострадавшие сообщают, что те методы, к сожалению, не работают для новой версии.

Тем не менее, хорошие новости у ИБ-специалистов все же есть. Исследователь Cybereason Амит Серпер (Amit Serper) создал своего рода «вакцину» от Petya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT SecurityTrustedSec и Emsisoft.

Таким образом, чтобы «вакцинировать» свое устройство от атак Petya стоит не только установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика, но и создать в директории C:\Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only). Конечно, следует понимать, что злоумышленники могут в любой момент модифицировать свою малварь таким образом, что файл perfc перестанет что-либо значить.



6 комментариев

  1. vadimuha

    28.06.2017 at 10:16

    Что-то мне кажется не спроста они сделали именно такой рубильник. Чувствую новую волну атак использующих этот файл

  2. HiVaccessdenied

    28.06.2017 at 11:34

    MFT=Master File Table, а не Tree.

  3. Themistocles

    29.06.2017 at 12:36

    Выключатель точно так же не сработает при следующей атаке, когда они сменят имя троянца.

  4. f1alexey

    30.06.2017 at 23:02

    А как вообще Petya может попасть на компьютер который уже заражен им же самим если там все зашифровано и ничего не работает?

Оставить мнение