Україною поширюється комп’ютерний вірус Petya.A — атаковано десятки компаній та установ. Вірус шифрує не окремі файли, а цілий розділ диска (тому), вимагаючи гроші за ключ розблокування. Метою зловмисного ПЗ є таблиця розміщення файлів NTFS. Ransomware працює з диском на низькому рівні, з повною втратою доступу до файлів тому для користувача.

У віруса Petya виявлена ​​також спеціальна схема маскування для приховування активності. Спочатку вірус запитує у користувача активацію UAC, маскуючись під легальні додатки. Як тільки розширені привілеї отримані, шкідливе ПЗ починає діяти. Як тільки том зашифрований, Petya починає вимагати у користувача гроші, причому на виплату «викупу» дається певний термін. Якщо користувач не виплачує кошти за цей час, сума збільшується.

d24fd676652f957034947b03883d59a9

Однак «Петя» виявився сам по собі не дуже добре захищеним. Комп’ютер можна вилікувати, а зашифровані дані відновити.

Що потрібно робити?
Користувач Твіттера з ніком leostone розробив генератор ключів для Petya, який дозволяє зняти шифрування дисків. Ключ індивідуальний, і на підбір йде приблизно 7 секунд. Генератор викладено на GitHub. Заражений носій потрібно вставити в інший ПК і отримати певні дані з певних секторів зараженого жорсткого диска. Ці дані потім потрібно прогнати через Base64 декодер.

Інший користувач, Fabian Wosar, створив спеціальний інструмент, який робить все самостійно. Для його роботи потрібно переставити заражений диск в інший ПК з Windows OS. Як тільки це зроблено, качаємо Petya Sector Extractor і зберігаємо на робочий стіл. Потім виконуємо PetyaExtractor.exe. Цей софт сканує всі диски для пошуку Petya. Як тільки виявляється заражений диск, програма починає другий етап роботи.

Витягнуту інформацію потрібно завантажити на сайт. Там буде два текстових поля, озаглавлених, як Base64 encoded 512 bytes verification data і Base64 encoded 8 bytes nonce. Для того, щоб отримати ключ, потрібно ввести дані, витягнуті програмою, в ці два поля.

Для цього в програмі натискаємо кнопку Copy Sector, і вставляємо скопійовані в буфер обміну дані в поле сайту Base64 encoded 512 bytes verification data.

Потім в програмі вибираємо кнопку Copy Nonce, і вставляємо скопійовані дані в Base64 encoded 8 bytes nonce на сайті.

Якщо все зроблено правильно, має з’явитися ось таке вікно:

Для отримання пароля розшифровки натискаємо кнопку Submit. Пароль буде генеруватися близько хвилини.

Записуємо пароль, і підключаємо заражений диск назад. Як тільки з’явиться вікно вірусу, вводимо свій пароль.

Petya починає дешифрування тому, і після завершення процесу все починає працювати як раніше.

Поради для того, щоб не заразитися:
– Не панікуйте;
– Примусово обновіть Windows (здається, на даний час вірус торкнувся тільки цієї системи, але варто оновитися всім) і вірусні бази антивіруса також обновіть.
– Це той випадок, коли варто встановити Windows Defender – безкоштовний антивірус від Microsoft. Він бачить загрозу і не дає їй заразити комп’ютер.
– Не відкривайте підозрілі листи і особливо вкладення в них;
– При отриманні листів з посиланнями – обов’язково наведіть на посилання мишею НЕ НАТИСКАЮЧИ! В статусному рядку більшості браузерів та email-клієнтів відобразиться реальне посилання, заховане під тим, що ви бачите на екрані. Так можна заховати посилання на що завгодно під цілком легітимне посилання на сайт вашої ж компанії або відомого сервісу.
– Намагайтеся не завантажувати файли, особливо архіви з файлообмінників – вони теж можуть бути зараженими.

Тут видно, скільки грошей вже заплатили хакерам:
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

P.S. Заразилися ви, швидше за все не сьогодні!

UPD: Рекомендації СБУ щодо вірусу:
– не перезавантажуйте увімкнений комп’ютер, який нормально працює — вірус спрацьовує саме при перезавантаженні і зашифровує всі файли на комп’ютері.
– збережіть найцінніші файли на окремий, не підключений до комп’ютера носій, в ідеалі — резервну копію разом з операційною системою.
– перевірте, чи працюють антивірусні програми, за необхідності оновіть. Уважно ставтесь до всіх листів, не завантажуйте і не відкривайте вкладення з невідомих адрес.