Компания Microsoft рассказала о результатах массовой атаки вируса-вымогателя Petya, который шифрует файлы пользователя на компьютере и затем требует выкуп в размере 300 долларов.
Данные основаны на телеметрической информации. «Петя» заразил 20 000 компьютеров по всему миру, что куда меньше, чем ожидалось. Однако отметим, что статистика Microsoft может не отображать действительность, это только ориентировочные данные. 70% от всех жертв вируса стали компьютеры с Украины. В остальных странах ситуация в корне иная. Также было подчеркнуто, что практически все зараженные компьютеры — устройства на Windows 7.
Microsoft советует администраторам ограничивать или блокировать доступ к специфичным IP для SMB и блокировать дистанционное исполнение кода через PSEXEC.
При попадании на ПК Petya модифицирует Master Boot Record (MBR) и перезаписывает второй сектор диска C, уничтожая Volume Boot Record (VBR). Microsoft сообщает, что второй пункт не совсем понятен, так как не используется при старте компьютера и на устройствах с Windows 7 и выше это изменение не дает вообще никакого эффекта. К тому же код вируса с багами и при исполнении он потребляет в 10 раз больше памяти, чем ему нужно на самом деле.
Интересно и поведение Petya при обнаружении антивирусного ПО. Например, если он находит установленный Антивирус Касперского или ему не удается изменить MBR, то вирус уничтожает первые десять секторов жесткого диска.
Если на ПК есть SecureBoot и UEFI, пользователь может запустить чистую установку и выполнить восстановление загрузки. На компьютерах без UEFI с установленным Антивирусом Касперского можно загрузиться с установочного носителя, перейти в консоль восстановления и выполнить команды bootrec /fixmbr и bootrec /fixboot.
Однако если пользователь увидит перед собой такое изображение, то восстановить файлы невозможно. Выход есть один — вытащить накопитель из компьютера и попытаться как-нибудь расшифровать информацию на другом, здоровом ПК.