27 июня 2017 года мир в очередной раз содрогнулся от атаки вируса-шифровальщика. Поражены сети нефтяных и транспортных компаний и даже система радиационного мониторинга на одной из атомных станций.

Шифровальщик входит в семейство вирусов Petya, ему присвоено название Win32/Diskcoder.Petya.C.

Замечание: существует несколько взглядов на название вируса. У части антивирусных компаний он называется Petya.A. Кроме того, ряд аналитиков обращают внимание, что кроме заставки, никаких других элементов, связывающих вирус с оригинальным Petya 2016 года не существует.

Следующая информация актуальна по состоянию на 18:00 28 июня

Для распространения вируса используется две уязвимости: CVE-2017-0199 и MS17-010

Проникновение

Существует три способа проникновения зловреда в сеть:

1. Сотрудникам организации рассылаются фишинговые письма. В письма вложен файл, с помощью уязвимости CVE-2017-0199 устанавливающий вредоносный код на компьютер. После открытия просит у пользователя разрешения внести изменения в систему. Для достоверности подписан невалидной цифровой подписью, где в качестве издателя указан Microsoft corp.
2. В организации находятся компьютеры без установленного обновления MS17-010. Используется та же уязвимость, что и в вымогателе WannaCry.
3. Для Украинских организаций актуален третий способ распространения – вирус внедряется в сеть вместе с обновлением сервиса MEDOC.

Распространение по сети

Для распространения внутри сети организации вирус использует утилиту Mimikatz, при помощи которой находит на зараженных компьютерах административные учётные записи. Если такая учётка успешно найдена, используются штатная административная утилита PsExec и интерфейсы WMI. Остановить распространение на этом этапе практически невозможно.

Полная схема распространения зловреда отображена на этой диаграмме.

Как защититься

1. Обязательно необходимо установить обновление MS17-010. Вот прямые ссылки на это обновление для разных версий Windows:

Внимание! Обновление MS17-010 не подходит для OS Windows, активированных нештатным способом. Если у вас такая операционная система, отключите протокол SMBv1.

Как включить и отключить SMBv1 локально
Как включить и отключить SMBv1 групповой политикой

1. Установите на все компьютеры обновление уязвимости CVE-2017-0199

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

Признаки заражения

1. Сразу после заражения компьютер перезагружается и только после этого начинается процесс шифрования диска. Если неожиданно произошла перезагрузка, после этого запустился chkdsk. Есть вероятность того, что вы заразились.
2. Проверяйте наличие файла C:\Windows\perfc (именно по такому пути. Файлы perfc в подкаталогах к вирусу отношения не имеют).

Если вы заразились

1. выключайте компьютер. Часть данных на этом этапе можно спасти. Для этого вам потребуется загрузиться с liveCD или подключить жесткий диск к другому компьютеру.
2. Срочно проверьте наличие файла perfc и другие аномалии на других компьютерах в сети.

Способы расшифровки

В результате ошибки, от каждого файла шифруется не более 1 мегабайта.

По состоянию на 29 июня, способов расшифровки зашифрованных файлов не найдено. Распространяется информация о том, что шифрование является необратимым. Эта информация неверна.

По мнению Дмитрия Склярова (Positive Technologies), реализация шифрования содержит ряд других ошибок, которые дают надежду на дальнейшую расшифровку файлов.

В любом случае, если у вас пострадали важные файлы, постарайтесь их сохранить.

Не пытайтесь платить деньги злоумышленникам. Они не присылают никаких ключей и расшифровку не производят.