Специалист компании Cybereason Амит Серпер (Amit Serper) нашел способ предотвратить заражение компьютеров вирусом Petya (NotPetya/SortaPetya/Petna).

Об этом пишет Вleepingcomputer.

На сегодняшний день зловред нанес ущерб по всему миру, блокируя разделы MFT и MBR на жестком диске и не позволяя компьютерам загружаться. Если жертвы не захотели заплатить выкуп (что является бессмысленным и не рекомендуется делать), то у них не было возможности восстановить свои системы.

Стоит отметить, что из-за глобальной опасности многие специалисты пытаются проанализировать вирус, чтобы найти лазейку и в его шифровании, которая помешала бы ему распространиться подобно WannaCry.

ЧИТАЙТЕ ТАКЖЕ: Украина больше других пострадала от кибератаки, – ESET

Анализируя внутреннюю работу зловреда, Серпер обнаружил, что NotPetya будет искать локальный файл и выйдет из своей процедуры шифрования, если этот файл уже существует на диске.

Эти же результаты исследования были позже подтверждены другими специалистами кибербезопасности, такими как PT Security, TrustedSec и Emsisoft.

Это означает, что жертвы могут создать этот файл на своих ПК, установить его только для чтения и заблокировать выполнение выруса NotPetya.

Специалист отмечает, несмотря на то, что такой способ предотвращает запуск вируса-вымогателя, этот метод скорее является процедурой вакцинации, нежели обезвреживания. Это связано с тем, что каждый пользователь ПК должен самостоятельно создать этот файл.

Чтобы вакцинировать компьютер и предотвратить заражение текущам штаммом NotPetya/Petya/Petna, пользователю необходимо создать файл с именем perfc в папке C:\Windows и сделать его только для чтения.

Для тех, кто хочет быстро и просто выполнить эту задачу, IТ-специалист Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг за вас.

Этот пакетный файл можно найти по ссылке: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Для тех, кто хочет вакцинировать свой компьютер вручную, необходимо выполнить следующие шаги. Стоит отметить, что пошаговое руководство является максимально простым, что поможет разобраться даже тем, у кого мало опыта работы с компьютером.

Сначала настройте Windows для отображения расширений файлов.

Просто убедитесь, что галочки “Параметры папки” для “Скрыть расширения” для известных типов файлов не установлены, как показано ниже.

show extensions

После того, как включен просмотр расширений, необходимо открыть папку C:\Windows и найти программу notepad.exe.

windows folder

Найдя программу notepad.exe, необходимо кликнуть на нее левой кнопкой мыши, чтобы ее выделить. Затем нажать Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить его. Когда вы вставьте его, вы получите запрос с просьбой предоставить разрешение на копирование файла.

adminprivs prompt

Далее необходимо нажать кнопку “Продолжить”, и файл будет создан как блокнот – Copy.exe. Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала – Copy.exe и введите команду perfc, как показано ниже.

rename

После того, как имя файла было изменено на perfc, нажмите Enter на клавиатуре. Теперь появится запрос, уверены ли вы, что хотите переименовать файл.

4444

Нажмите кнопку “Да”. Windows снова попросит разрешения переименовать файл в этой папке. Нажмите кнопку “Продолжить”.

Теперь, когда файл perfc был создан, необходимо сделать его только для чтения. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.

file properties

После чего откроется меню свойств этого файла. Внизу будет установлен флажок “Только для чтения”. Поместите в него галочку, как показано на рисунке ниже.

read only

Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто, и ваш компьютер теперь должен быть вакцинирован против NotPetya/SortaPetya/Petya Ransomware.

Справка. Компания Cybereason занимается разработкой решений для защиты компьютеров.

Cybereason была основана в 2012 году бывшим офицером израильской разведки. В своих разработках стартап использует технологии искусственного интеллекта. Офисы компании расположены в Тель-Авиве, Токио, Лондоне и Бостоне. Численность сотрудников достигает почти 300 человек.

Общий объем привлеченных средств составляет $189 млн. Инвесторами уже выступили CRV, Lockheed Martin и Spark Capital.

Во вторник, 27 июня, в Украине начал стремительно распространяется компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий.
В результате хакерских атак пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, “Укртелеком”, “Эпицентр”, “Укрзализныця”, аэропорт “Борисполь”, “Новая почта”, Киевводоканал, “Укрпочта”, Киевский метрополитен.