Эксперты нашли способ локально остановить распространение нового вируса-вымогателя
Эксперты разработчика программного обеспечения в сфере информационной безопасности Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя. Как рассказали ТАСС в компании, в ходе исследования образца вируса Petya, атаковавшего компьютеры 27 июня, специалисты обнаружили особенность, которая позволяет выключить вирус.
По данным Positive Technologies, вирус Petya воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код. Однако если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.
Локально отключить шифровальщик можно путем создания файла «C:Windowsperfc», отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится. «Таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование», — отмечают эксперты Positive Technologies.
В том случае, если у вируса нет прав администратора, он не сможет проверить наличие пустого файла в папке «C:Windows». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях. Вирус-вымогатель Petya атаковал российские и украинские компании
Атаке вируса-вымогателя Petya подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом РИА Новости сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз.
По данным Positive Technologies, вирус Petya воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код. Однако если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.
Локально отключить шифровальщик можно путем создания файла «C:Windowsperfc», отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится. «Таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование», — отмечают эксперты Positive Technologies.
В том случае, если у вируса нет прав администратора, он не сможет проверить наличие пустого файла в папке «C:Windows». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях. Вирус-вымогатель Petya атаковал российские и украинские компании
Атаке вируса-вымогателя Petya подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом РИА Новости сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз.