Эксперты нашли "прививку" от вируса-вымогателя

Специалист по кибербезопасности из компании Cybereason Амит Серпер предложил способ защиты от вируса-вымогателя, накануне парализовавшего работу компьютеров крупнейших компаний в десятках стран. Уловка заключается в том, чтобы заставить его думать, что система уже была инфицирована.

Специалист по кибербезопасности из компании Cybereason Амит Серпер предложил способ защиты от вируса-вымогателя, накануне парализовавшего работу компьютеров крупнейших компаний в десятках стран. Уловка заключается в том, чтобы заставить его думать, что система уже была инфицирована.

Перед началом атаки вирус проверяет, были ли файлы уже зашифрованы, чтобы не делать это дважды. По словам эксперта, если вредоносная программа обнаруживает файл запуска (C:/Windows/perfc), то понимает, что файл уже заражен и не атакует компьютер.

Чтобы обмануть шифровальщика, пользователи, открыв обычный текстовый редактор, могут сами создать файл с названием perfc, назначить ему права "только для чтения" (на случай, чтобы в него нельзя было внести изменения) и поместить в папку C:\Windows. "Прививка", предложенная Серпером, не поможет в случае, если система уже была заражена.

Глобальная атака вируса-шифровальщика состоялась 27 июня. "Мальвар" поразила около тысячи компаний и учреждений по всему миру. Попав в систему, она блокировала доступ к файлам и требовала $300 в биткоинах за возврат доступа. Изначально эксперты приняли "вредонос" за Petya — шифровальщик, о котором были известно еще в прошлом году. Впоследствии оказалось, что вымогателя, разделяющего только несколько строк кода с оригиналом, следует относить к другому семейству вредоносного ПО.

"В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью, — говорят специалисты "Лаборатории Касперского". — Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance". В "ЛК" окрестили шифровальщика ExPetr, другие эксперты называют его NotPetya, SortaPetya и Petn.

Троянец затронул "Роснефть" — крупнейшую в России нефтегазовую компанию, грузоперевозочную фирму Møller-Mærsk Gruppen, а также международный аэропорт на Украине. Более того, об атаках сообщила ЕВРАЗ — крупная металлургическая и горнодобывающая компания с активами в России, на Украине и США, а также крупнейшая британская рекламная компания WPP, магазины "Ашан" и украинские операторы, включая "Киевстар" и LifeCel.

Источники: Bleeping Computer, "Лаборатория Касперского"