В то время, как новая модификация вируса Petya после атак на европейские страны продолжила свой путь на Восток – были атакованы крупные предприятия Индии и Китая – эксперты в области киберзащиты предлагают варианты противостояния этому агенту.
Microsoft объявила, что ее антивирус в состоянии защитить компьютер от нового вируса. Специалисты же разработчика ПО в сфере информационной безопасности Positive Technologies нашли метод локально остановить вирус, как бы выключая его. Атакам вируса Petya .А первоначально подвергается загрузочная запись, хакерская программа заменяет ее на свою собственную. После того как вирус проникает в операционную систему, он дает команду перезагрузки через несколько часов, и после нее загружает вредоносный код. Именно до этого момента нужно успеть ввести команду bootrec/fixMbr, тогда файлы на компьютере хоть и будут зашифрованы, но ОС будет работать. Созданием файла «C:\Windows\perfc» с помощью стандартного «Блокнота», рассказывают сотрудники Positive Technologies можно локально заблокировать шифрование. В том варианте, если вирус на правах админа, то перед заменой MBR он проверяет есть ли по этому адресу пустой файл с этим же названием, если он находит его, то прекращает свою деятельность. Если же у вируса нет полномочий администратора, он будет не в состоянии проверить наличие этого пустого файла в папке С, и начнется процесс шифрования, но уже без перезапуска ОС.Для того, чтобы избежать атаки новоявленного вируса, программисты советуют обновить операционную систему Windows, обновить защиту и свести до минимума права пользователей на рабочих станциях. Также они предупреждают об угрозах, исходящих от неизвестных писем и приложений к ним. Не лишним будет установить программу восстановителя файлов, если ее нет, такую как, например, Shadow Copy, которая может помочь спасти информацию на компьютере в случае заражения вирусом.
Глава криминалистической лаборатории Group-IB Валерий Баулин рекомендует для блокировки деятельности вируса закрыть TCP-порты 1024−1035, 135 и 445.
В случае же поражения компьютера зловредной ПО, следует не соглашаться на перезагрузки, пока не будут сохранены все важные файлы на жесткий диск.
И последнее, если файлы уже заблокированы, то платить выкуп в $300 в надежде на разблокировку будет бессмысленно. Дело в том, что, служба электронной почты злоумышленников, на которую должна приходить информация об оплате, заблокирована, что исключает возможность преступникам получать уведомление об оплате, и, соответственно, отправлять ключ, необходимый для дешифровки файлов.
