2017-06-29

Исследователь безопасности Cybereason Амит Серпер нашел способ предотвратить заражение компьютеров вирусом Petya (NotPetya / SortaPetya / Petna).

Сегодня вирусы-вымогатели вредят по всему миру, блокируя разделы MFT и MBR на жестком диске и не позволяя компьютерам загружаться. Если жертвы не захотели заплатить выкуп (который теперь бессмыслен и не рекомендуется), не было возможности восстановить свои системы.
В первые часы атаки исследователи полагали, что это новое вымогательство было новой версией более старой угрозы под названием «Петя», но позже они обнаружили, что это был новый штамп, который заимствовал у Пети код, поэтому причина, по которой они недавно начали называть его NotPetya, Петна, или SortaPetya.

Исследователи всего мира объединились, чтобы найти решение, проанализировать его, надеясь найти лазейку в его шифровании, которая бы помешала ему распространиться, подобно WannaCry.

Проанализировав работу вируса, Серпер (Serper) первым обнаружил простой способ защиты. Оказалось что вирус NotPetya, попадая на компьютер, в первую очередь создает файлы perfc.dll и perfc.dat, использующиеся для своей работы. Если таковые файлы уже обнаружены на диске и имеют атрибут только чтение, вирус автоматически прекратит свою работу без всяких последствий.

Первые результаты исследования были позже подтверждены другими исследователями безопасности, такими как PT Security, TrustedSec и Emsisoft, Symatec

Это означает, что потенциальные жертвы могут создать этот файл на своих ПК, установить его только для чтения и заблокировать работу вируса NotPetya.

Несмотря на то, что это предотвращает запуск работы вируса, этот метод скорее вакцинация, чем полное уничтожение. Это означает, что каждый компьютерный пользователь должен самостоятельно создать этот файл

Инструкция как включить вакцину NotPetya / Petna / Petya

Чтобы Вы не могли заразиться текущим штаммом NotPetya / Petya / Petna, просто создайте файл с именем perfc в папке C: \ Windows и сделайте его доступным только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал командный файл, который сделает это за Вас.

Обратите внимание, что он также создаст два дополнительных файла вакцинации, которые называются perfc.dat и perfc.dll.

Этот командный файл можете скачать по адресу:

http://rdm.kiev.ua/nopetyavac.bat