Эксперты по безопасности утверждают, что нашли «вакцину» от шифровальщика Petya
Исследователь Cybereason Амит Серпер заявил о создании «вакцины» от шифровальщика Petya, который во вторник, 27 июня, атаковал компьютерные системы государственных и частных организаций в Украине и других странах, требуя 300 долларов в биткоинах за расшифровку. Об этом сообщает BleepingComputer.
По его словам, чтобы остановить распространение вируса на своем компьютере, пользователь должен создать пустой файл под названием «perfc» с параметром «только для чтения» (Readonly) в папке C:\Windows.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27 June 2017
Эксперты ряда других компаний, работающих в области кибербезопасности, включая PT Security, TrustedSec и Emsisoft, подтверждают, что метод работает.
«Вакцина», впрочем, позволяет обезопасить от вируса только индивидуальные компьютеры. При этом они остаются носителем вируса, то есть могут заражать другие машины в своей сети.
По оценкам компании Group-IB, в России и Украине вирус затронул около 80 компаний. Для защиты от вируса специалисты Group-IB рекомендуют немедленно закрыть TCP-порты 1024-1034, 135 и 145.
Новый вирус в Group-IB называют Petya.A, однако специалисты «Лаборатории Касперского» придерживаются иного мнения, отмечая, что вирус не связан с Petya.A, однако использует ту же уязвимость в Windows, которая помогла распространиться другому вирусу-вымогателю WannaCry в мае этого года.
Тем временем владельцы вируса на данный момент собрали с пострадавших чуть менее 4BTC. Однако, как отмечает xakep.ru, в настоящее время платить выкуп попросту бесполезно, так как адрес wowsmith123456@posteo.net, по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.
Напомним, накануне о создании оперативного штаба Cryptolocker сообщила украинская криптовалютная биржа Kuna. Также биржа предложила госучреждениям страны свою помощь с выплатой выкупа. На данный момент активная работа штаба завершена, поскольку угрозы национального масштаба нет.
Добавим, что в мае распространение WannaCry удалось быстро свести к минимуму благодаря усилиям британского исследователя MalwareTech, который обнаружил в коде малвари своего рода «аварийный рубильник»: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он.
Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем и затормозил распространения WannaCry.
В коде Petya ничего подобного найти пока не удалось, и как остановить его распространение, пока неизвестно. «Вакцина», предотвращающая заражение, однако, уже имеется.
Подписывайтесь на новости Forklog в Telegram!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!