Исследователь безопасности Амит Серпер предложил способ, позволяющий предотвратить распространение шифровальщика Petya (NotPetya/SortaPetya/Petna).
Исследователи безопасности анализируют код вредоноса в надежде найти уязвимость (например, вшитый домен, как вслучаес WannaCry), позволяющую остановить волну атак. Серпер первым обнаружил, что, попав на систему, Petya.A ищет определенный локальный файл и если такой файл уже есть на диске, прекращает процесс шифрования. Позже находку исследователя подтвердили эксперты Positive Technologies,TrustedSecи Emsisoft . То есть, пользователь может создать на жестком диске этот файл, включить режим для чтения и тем самым предотвратить выполнение Petya.A.
Вышеописанный метод имеет большой минус. Он не позволяет отключить вредонос, как в случае с WannaCry, поскольку каждый пользователь должен сам настроить на своем компьютере нужный файл и тем самым остановить распространение инфекции. Для этого нужно в папке C:\Windows создать файл perfc, доступный только для чтения.
Скачать уже готовый командный файл, предоставленный Лоуренсом Абрамсом из Bleeping Computer, можно здесь http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fdownload.bleepingcomputer.com%2Fbats%2Fnopetyavac.bat. С его помощью можно легко и быстро создать нужный файл.
Напомним, Petya.A шифрует разделы MFT и MBR жесткого диска компьютера и требует за расшифровку $300 в биткойнах. Для того чтобы восстановить свои файлы, жертва должна связаться с операторами вредоноса по электронной почте, указанной в сообщении с требованием выкупа, и указать номер своего биткойн-кошелька и электронный адрес. После оплаты злоумышленники обещают выслать на этот адрес ключ для дешифровки. Однако почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.
Исследователи безопасности анализируют код вредоноса в надежде найти уязвимость (например, вшитый домен, как вслучаес WannaCry), позволяющую остановить волну атак. Серпер первым обнаружил, что, попав на систему, Petya.A ищет определенный локальный файл и если такой файл уже есть на диске, прекращает процесс шифрования. Позже находку исследователя подтвердили эксперты Positive Technologies,TrustedSecи Emsisoft . То есть, пользователь может создать на жестком диске этот файл, включить режим для чтения и тем самым предотвратить выполнение Petya.A.
Вышеописанный метод имеет большой минус. Он не позволяет отключить вредонос, как в случае с WannaCry, поскольку каждый пользователь должен сам настроить на своем компьютере нужный файл и тем самым остановить распространение инфекции. Для этого нужно в папке C:\Windows создать файл perfc, доступный только для чтения.
Скачать уже готовый командный файл, предоставленный Лоуренсом Абрамсом из Bleeping Computer, можно здесь http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fdownload.bleepingcomputer.com%2Fbats%2Fnopetyavac.bat. С его помощью можно легко и быстро создать нужный файл.
Напомним, Petya.A шифрует разделы MFT и MBR жесткого диска компьютера и требует за расшифровку $300 в биткойнах. Для того чтобы восстановить свои файлы, жертва должна связаться с операторами вредоноса по электронной почте, указанной в сообщении с требованием выкупа, и указать номер своего биткойн-кошелька и электронный адрес. После оплаты злоумышленники обещают выслать на этот адрес ключ для дешифровки. Однако почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.
