Вирусология
May 13, 2020

Вирус «Petya A».

Сегодня мы расскажем об одном из самых популярных вирусов Petya, который так же известен как Petya D, PetrWrap, NotPetya, ExPetr или GoldenEye. Данный вирус представляет собой сетевого червя и программу-вымогателя, поражающих компьютеры под управлением операционной системы Windows.

  • Если у вас есть что дополнить или опровергнуть, то напишите нам @ITtelli.

Последствия.

Программа шифрует файлы на жёстком диске компьютера жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске.

Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно.

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба. В пользу этого говорит тот факт, что версия вируса NotPetya не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно.

История.

Впервые вирус Petya был обнаружен в марте 2016 года. В это время ему удалось заразить гораздо меньше компьютеров, чем другим программам-вымогателям начала 2016 года. А приобрёл вирус Petya популярность в середине 2017 года, когда началось массовое распространение новой модификации программы. На этот раз, данная версия была разработана так, чтобы она распространялась максимально быстро.

В компании «ESET» заявили, что распространение вредоносной программы началось в Украине через популярное бухгалтерское программное обеспечение M.E.Doc. Атаке подверглись энергетические компании, украинские банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты.

Удаление.

В данный момент антивирусные технологии обнаруживаю и удаляют программу-вымогатель Petya. Но, к сожалению, нет надежного дешифратора для восстановления файлов, зашифрованных посредством последних версий Petya. Поэтому так важно предотвратить внедрение этой вредоносной программы.


Ссылки. На данный момент нет достоверного источника с исходным файлом вируса, но на просторах интернета можно найти некоторые экземпляры. Вот ссылка на скачивание одного из них. Не уверен насчет работоспособности, но вы можете проверить ее в виртуальной машине.

С любовью и уважением, от телеграмм канала @CYBERengine.

ВСЯ ИНФОРМАЦИЯ НАПИСАНА В ЦЕЛЯХ ОЗНАКОМЛЕНИЯ И НЕ ПРИЗЫВАЕТ К ДЕЙСТВИЮ.