Как защитить компьютер от petya. Как защитить компьютер Windows от вируса Petya (NotPetya)

09.10.2020

Масштабное заражение вирусом Petya A настигло Украину и Россию. Больше всего пострадали крупные компании стран.
Для защиты от вируса необходимо закрыть TCP-порты на ПК с Windows: 1024-1035, 137, 138, 139, 445 и 135.
Для этого необходимо выполнить несложную инструкцию по защите от вируса Petya A:

1. Зайти в Пуск/Парамерты/Сеть и Интернет.
2. Справа в панели выбрать Брендмауэр Windows.
3. Нажать ссылку "Дополнительные параметры".
4. В панели слева выбрать "Правила для входящих подключений", далее "Создать новое правило".
5. Правило создаем для порта, нажимаем "Далее".
6. Отмечаем радиокнопкой "Протокол TCP" и "Определенные локальные порты" , в поле портов вносим запись: "1024-1035,135,137,138,139,445". Нажимаем "Далее"
7. На этом этапе выбираем "Блокировать подключение", Нажимаем "Далее".
8. Для каких профилей применить правило? - здесь ничего не меняем, нажимаем еще раз "Далее".
9. Тут впишите имя правила и намите "Готово".

Обновлено. Важно!

Если вы пользуетесь бухгалтерской программой M.E.doc ни в коем случае не открывайте и не обновляйте ее, а незамедлительно деинсталируйте. В настоящий момент доподлинно известно, что самое массовое заражение произошло именно через данную программу, во время ее следующего обновления.

Еще одним важным шагом является отключение на вашем компьютере протокола SMBv1. Самую подробную инструкцию как это сделать можно прочитать на официальном сайте Microsoft как отключить протокол SMBv1

Также настоятельно рекомендуем установить на вашем компьютере программу для защиты от несанкционированных записей в MBR (главная загрузочная запись). Для этих целей подойдет программа MBR filter

Необходимо проверить наличие файла по адресу C:Windows/perfc.dat Если файла нет, откройте блокнот, создайте пустой файл с именем perfc и расширением.dat по этому адресу (Файл->Сохранить как->введите имя файла без кавычек "perfc.dat" в папку C:Windows).

Откройте папку C:Windows, найдите созданый файл и измените права на "Только дл чтения" (клик правкой кнопкой мыши на файле->Свойства->установить атрибут "Только для тения"->нажать "ОК").

Если файл C:Windows/perfc.dat существовал без вашего создания - ни в коем случае не перезагружайте свой компьютер, а читайте инструкцию ниже.

Обновлено. Важно!

Если вы только подозреваете заражение, но компьютер еще работает - НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕЗАГРУЖАЙТЕ ЕГО . Petya A сработает при перегрузке и зашифрует все файлы на вашем ПК.
Если вы только подозреваете заражение вирусом Petya A, то лучше действовать по такому сценарию:

сохраните самые важные файлы на независимый носитель, а лучше сделайте полную копию всех файлов вместе с ОС;
завершите все локальные задачи на ПК;
установите патч с сайта Microsoft в зависимости от версии Windows;
обновите базу вашего антивируса до актуального состояния и проведите полное сканирование системы;
соощите вашему системному администратору о существующей проблеме и проделанной работе.

Инструкция по защите от вируса Petya A в картинках (закрытие портов на Windows).

Инструкция по защите от вируса Petya для Windows 7:

1. Зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

2. В открывшемся окне выберите пункт «Дополнительные параметры»;

3. В левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;

5. В следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;

7. В следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

8. Примените правило для всех профилей и закончите процедуру;

9. Аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

После выполнения всех этих шагов ваш компьютер будет надежно защищен от вируса под названием "Petya A".

Group-IB 28.06.2017 17:18

5318

27 июня на Украине, в России и в нескольких других странах мира была зафиксирована масштабная кибератака с использованием новой модификации локера-шифровальщика Petya.

Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний. После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов.

Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент. При открытии вложения с вирусом «Petya» произойдет установка вредоносного программного обеспечения путем использования известной уязвимости CVE-2017-0199.

Вирус ждет 30-40 минут после инфицирования (для распространения), а после этого Petya шифрует локальные файлы.

За расшифровку вымогатели требуют выкуп в размере $300 в биткоинах на интернет-кошелек.

Жертвы

В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании - в итоге было заражено более 100 компаний по всему миру:
- в России: «Роснефть», «Башнефть», Хоум Кредит Банк, Evraz и другие;
- на Украине: «Запорожьеоблэнерго», «Днепроэнерго», «Днепровская электроэнергетическая система», Mondelez International, Ощадбанк, Mars, «Новая Почта», Nivea, TESA, Киевский метрополитен, правительственные компьютеры Украины, магазины «Ашан», украинские операторы («Киевстар», LifeCell, «УкрТелеКом«), Приватбанк, аэропорт «Борисполь» и другие;
- в мире: американский биофармацевтический гигант Merck, Maersk, компании Индии, Австралии, Эстонии и другие.

Что необходимо сделать для защиты?

1. Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows.
2. Установить патч KB2871997.
3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0.
4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные.
5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах.
6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010).
7. Экстренно отбирать администраторские права у всех, кому они не нужны.
8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети.
9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях.
10. Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников.
11. Отключите SMBv1 в сети.
12. Подпишитесь на Microsoft Technical Security Notifications. 1. Вы спонсируете преступников.
2. У нас нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.

Информация которую стоит знать любому пользователю о вирусе Petya.

Что это за вирус?

Во вторник 27 июня 2017 года в сети появился вирус под названием Petya. Были атакованы компании Роснефть и банк Хоум Кредит. После выполнения эта угроза перезаписывает главную загрузочную запись (MBR) с помощью Ransom: DOS / Petya.A и шифрует сектора системного диска. Происходит это поочередно так: Заставляет ПК пере загрузиться и выводит фальшивое системное сообщение, которое отмечает предполагаемую ошибку на диске и показывает фальшивую проверку целостности: Далее вы получите следующее сообщение, содержащее инструкции по покупке ключа для разблокировании системы.
Вирус шифрует файлы на всех дисках о кроме папки Windows на диске C: следующие расширение шифруемых файлов:
Не давно была атака вируса WannaCry который многим похож на вирус Petya о котором говорим в этой статье. Ну для начала схожесть у них что они крипто вирусы, это вирусы которые шифруют файлы пользователя требуя за расшифровку выкуп. Как утверждает Лаборатория Касперский это не тот вирус как раньше Petya а название его ExPetr, то есть этот вирус на много модифицирован скажем так что был раньше. Более подробней вы можете узнать на сайте хотя как говориться некоторые строчки кода схожи.

Защита и где можно заразиться?

Подцепить такой зловред можно в письме по электронной почте файл Петя.apx или с установкой обновления бухгалтерской программы M.E.doc. Ниже есть описание с блога Майкрософт о этой программе налогового уровня M.E.doc. Если в вашей сети дома или на работе появиться зараженная машина, то зловред будет распространяться с помощью все той же уязвимости что и вирус WannaCry по протоколу Smb. Эксплойт который использует уязвимость в Windows-реализации протокола SMB. Корпорация майкрософт как писалось в статье для защиты от WannaCry настоятельно рекомендует установить обновления для всех систем Windows и даже было выпущено обновления для уже давно не поддерживаемых продуктов таких как Windows Xp. Получается защита у вас должна стоят как и для вируса WannaCry так и для Petya одинаково. Более подробней о защите и установке обновлений читайте в статье . Бесплатную защиту от шифровальщиков в довесок к антивирусам и антишпионам можно установить от Касперского. Так же если вы пользуетесь антишпионом то в него уже встроена защита не только от ПНП но и от вымогателей шифровальщиков, на сайте написано на счет шифровальщиков: Не дает злоумышленникам шифровать Ваши файлы с целью получения выкупа. Думаю это самый лучший способ установив MBAM к вашему антивирусу. Вариант от Майкрософт который уже встроен в систему, защитник Windows 8.1 и Windows 10, Microsoft Security Essentials для Windows 7 и Windows Vista. Так же вы можете загрузить для одноразового сканирования на предмет зараженности вашего компьютера всех типов угроз. На сайте Майкрософт есть полное описание вируса откуда взялса и как попадает в систему, более точное описание правда на английском языке. На блоге говориться что первая зараженность точнее вымогательный процесс начался с Украинской компании M.E.Doc которая разрабатывает программное обеспечение налогового учета, MEDoc.
Точный перевод с использованием Google Translate: Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc.

Расшифровка файлов?

Пользователям предлагают написать на указанный почтовый ящик доказательства перечисления средств для получения ключа расшифровки. Если вы соберетесь переводить средства для расшифровки файлов то вы не сможете написать на почту зло вреду что вы отправили выкуп. Адрес электронной почты, на который жертвы должны были сообщать когда перечислили средства заблокирован германским провайдером, на их сервере был почтовый ящик. Так что перевести вы сможете а выслать вам ключ не смогут. Так что скажем официально получить ключ от вымогателей не представиться возможным. Кошелек вымогателей известный на данный момент 1 июля 2017 года, данные по поступлениям обновляются в течении 15 секунд. Чтобы остановить вирус на компьютере жертвы нужно создать пустой файл на диске C:\Windows\ perfc в свойствах указать только для чтения. Именно дешифровальщиков пока еще нет исключение для старых версий вируса на GitHub .

В последнее время кошмарный сон каждого выглядит так: вы включаете свой компьютер и видите загадочное сообщение о том, что ваши файлы зашифрованы. Вы скоро поймете, что ваши данные, скорее всего, потеряны навсегда - даже если вы заплатите выкуп хакерам.

Новый вирус Petya(также называемый NotPetya) в считанные часы нанес удар по Европе, но больше всех пострадала Украина – повреждения получили энергосистема, банки, госучреждения и аэропорты страны. Первые симптомы атаки проявились 27 июня, когда жертвой вируса пали Национальный банк Украины и Киевский международный аэропорт. Сообщается, что пострадали даже системы радиационного мониторинга в Чернобыле. Но Petya, который ориентирован на операционную систему Windows, не остался там. Microsoft подтвердил, что были заражены компьютеры в 64 странах. Зараза не обошла стороной и обычных пользователей. Дошло до того, что учреждения отключали свои сайты, а пользователи не включали компьютер, чтобы не запустить вирус.

Но на этот раз нашлась вакцина от вируса, которая защищает ПК от проникновения вируса, по крайней мере пока. Вредоносное ПО, требующее выкуп в обмен на дешифрование файлов, по словам компании Symantec, особенно изощренное, потому что вместо простого шифрования файлов системы, он фактически модифицирует главную загрузочную запись компьютера, чтобы зашифровать жесткий диск. После заражения системы отображается сообщение, требующее биткойнов на сумму $300. Однако, поскольку указанный адрес электронной почты для подтверждения того, что выкуп был уплачен, был отключен провайдером электронной почты, есть мало шансов, что ключ дешифрования будет предоставлен, даже если жертва заплатит. По сути, те, кто попал в лапы Petya, могут попрощаться со своими файлами.

Но ситуация не безнадежна. Для тех, кто либо не хотят, либо просто не могут позволить себе отключить свой компьютер и ждать, пока все пройдет, имеется оружие в битве против этой атаки. К счастью, это довольно простое домашнее средство.

Исследователь безопасности по имени Амит Серпер, похоже, нашел способ всего несколькими легкими шагами предотвратить запуск вредоносного ПО на уязвимых компьютерах. Его наблюдение, которое было подтверждено другими исследователями, выяснило, что Petya ищет определенный файл на компьютере перед тем, как шифровать его содержимое. Если этот файл находится, вирус не заражает ПК.

Амит Серпер утверждает, что все заинтересованные пользователи должны создать файл с названием «perfc» в папке C: \ Windows. Важно отметить, что файл должен быть только для чтения и у него не должно быть расширения(наподобие.txt, .jpg, .doc и т.д.).

Кроме этого, не мешает установить обновления безопасности Windows. Эксплойт EternalBlue, используемый вирусом Petya, основан на уязвимости блока сообщений сервера (SMB), которая была исправлена в марте.

Как объясняет Серпер, поддержания ОС Windows в актуальном состоянии с помощью патчей безопасности и создания вышеуказанного файла должно быть достаточно, чтобы противостоять Petya. Хотя это уже не поможет Национальному банку Украины, вас это может спасти.

Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали трояна-шифратора Petya.C. Вирусная лаборатория ESET продолжает изучение новой угрозы и дополняет данное сообщение по мере поступления новой информации.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET с начала атаки детектируют ее как Win32/Diskcoder.C Trojan, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR - Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация бухгалтерского программного обеспечения M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации.

Шифратор распространяется при помощи SMB-эксплойта , который ранее обусловил массовый характер заражения WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает высокую скорость развития эпидемии.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Профилактика

1. Выключите все компьютеры в сети.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Live CD и создайте три пустых файла со следующими названиями и расширениями:

c:\windows\perfc
c:\windows\perfc.dat
c:\windows\perfc.dll

4. Если это возможно, отключите протокол SMBv1:

при помощи групповых политик
локально на каждом компьютере

5. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.

6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный.

7. Если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.

8. Не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.

9. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке . Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление , выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

10. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке .

11. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения:

корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление .
для домашних пользователей также доступно обновление .

12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

Если на экране появилось требование выкупа

1. Выключите компьютер.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. Проверьте, зашифрован ли диск. Если диск не зашифрован, выберите один из двух вариантов:

3.1. загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows;
восстановите MBR, запустив команду fixmbr

3.2. загрузите компьютер с Linux Live CD/USB;
используйте TestDisk, чтобы исправить MBR

4. Если диск уже зашифрован, возможны два варианта:

4.1. У вас нет важных данных на дисках:

см. раздел «Профилактика»

4.2. На зашифрованных дисках были важные данные:

используйте ESET Sysrecue Live для создания полной копии диска
переустановите операционную систему или восстановите ее из бэкапа
см. раздел «Профилактика»
ожидайте дальнейших инструкций ESET

5. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:

почтовый адрес операторов Petya.C был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров;
получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.