Petya не волк. Но бдительность не помешает

Лайфхак: что делать, если возникли подозрения в заражении этим вирусом или оно действительно произошло

Более 500 тысяч атакованных компьютеров, 8 миллиардов долларов возможного ущерба — таковы первые экспертные оценки последствий вирусных эпидемий WannaCry и Petya. Впрочем, обычного пользователя волнует не общая картина, а его собственный компьютер. Что делать, если в нем поселился Petya или есть опасения в заражении этим вирусом? Для начала — разобраться, с чем имеешь дело.

Ты помнишь, как все начиналось

Petya появился в марте 2016 г. Затем он разделился на три версии: Red Petya, Green Petya и Goldeneye, а также сам стал жертвой компьютерных пиратов. Итог их работы — вирусы NotPetya и PetrWrap, но их рассматривать не станем, поскольку против пиратства.

Классический Petya использует уязвимость EternalBlue и пытается модифицировать главную загрузочную запись MBR — Master Boot Record. Если это действие увенчалось успехом, то далее зашифровывается весь жесткий диск, в ином случае — все файлы.

Шифрование преобразует доступную для восприятия информацию в набор бессмысленных символов; для обратной трансформации нужен ключ шифрования. В самом общем плане противодействие вирусу может идти по трем направлениям:

· создание резервных копий данных и их поддержание в актуальном состоянии: чем «свежее» резерв, тем меньше данных будет потеряно после вирусной атаки. Это нудно и долго, но сторицей окупится, причем не только в случае с Petya, но и в иных ситуациях — например, когда носитель вышел из строя по другим причинам;

· профилактика или лечение компьютера, если есть подозрения в его инфицировании;

· борьба с вирусом его же оружием — используя ключи шифрования.

В числе других мер назовем отключение всех неиспользуемых сервисов и портов (в межсетевом экране Windows рекомендуется закрыть порты 135, 139, 445, 1024–1035), запрет на работу рядовых пользователей с правами администратора и, конечно, установку и правильную настройку эффективного антивируса, а также обновлений Windows (проверьте, вошел ли в список апдейтов MS17-010). Не следует запускать файлы, поступившие по почте от неизвестных отправителей, — эту рекомендацию так же часто повторяют, как и игнорируют.

Когда гнетёт сомнений тяжкий груз

Если вам кажется, что за вами следят, то это ещё не паранойя. Если же вы боитесь, что Petya поразил ваш компьютер, то его можно включать. А вот перезагружать категорически нельзя: именно в результате перезагрузки вирус и оживёт.

Это первый совет, который дает издание IT-World.ru. Дальнейшие шаги:

· проверка корневого каталога Windows. Если в нем обнаружен файл perfc.dat, то диагноз неутешителен: вирус действительно есть;

· создание резервной копии системы и критичных данных. Логика подсказывает, что ее надо сохранить на независимом носителе — оптическом или внешнем жестком диске, в облачном хранилище;

· выполнение приведенных выше рекомендаций — закрытие неиспользуемых сервисов и портов, установка антивируса и обновлений и т.д.

Если случилось страшное, или 1002-я сказка Шехерезады

По третьему направлению предлагает идти аналитик Шехерезада (Hasherezade). «Гордая горожанка» (что и означает ее ник) поясняет логику действий Petya: атаку на MBR вирус использует, чтобы зашифровать главную файловую таблицу MFT — Master File Table. Это своего рода «оглавление» тома NTFS, которое, будучи зашифрованным, лишает операционную систему возможности перейти к отдельным «страницам»-файлам — ОС «слепнет». Green Petya и Goldeneye обладают способностью зашифровывать также и файлы некоторых типов.

Главный компонент любого шифрования — ключ, с использованием которого и осуществляется данный процесс. Petya использует минимум два ключа: универсальный для всех жертв «мастер-ключ» и пользовательский ключ — идентификатор (victim ID) для конкретного компьютера. Шехерезада предлагает:

· извлечь пользовательский ключ с помощью кода, помещенного в командную строку (приведен в блоге Шехерезады);

· поместить полученный файл в программу для расшифрования;

· выбрать разновидность поразившего данный компьютер вируса и попытаться избавиться от последствий его действий.

Каких-либо гарантий успешности этих манипуляций не приводится — в том числе и потому, что некоторые версии Petya содержат ошибки. Кроме того, вновь отмечается настоятельная необходимость предварительно создать резервные копии данных.

Сыграть на опережение

Болезнь легче предупредить, чем лечить, а для этого следует обратиться к профессионалам. Эксперты ARinteg:

· модернизируют систему антивирусной защиты и возьмут ее на дальнейшее сопровождение;

· предоставят рекомендации по эффективному использованию возможностей антивирусов для противостояния новым зловредам и их разновидностям;

· построят систему резервного копирования и восстановления данных, в том числе для виртуальных сред.

Сотрудничество компании-заказчика и системного интегратора решений по безопасности — оптимальный способ обеспечить защиту корпоративной информации.