Телеметрия Microsoft демонстрирует масштабы распространения Petya

Не так давно европейские страны сильно пострадали от вредоносного приложения Petya. После завершения атаки WannaCry в начале мая текущего года внимание к подобным событиям особо остро. К тому же, о нем говорили и на телевидении.

Масштабы атаки полностью неизвестны, но в Майкрософт готовы пролить свет на ситуацию. Телеметрия ее операционных систем помогает следить за уровнем распространения приложения.

Данная атака представляется сложной, если проводить сравнение с предыдущей. Не смотря на такое положение вещей программа задела около 20 тысяч устройств. Более всех пострадала Украина. На нее припало около 70 % заражений. Подавляющее большинство компьютеров работают на седьмой версии Windows.

Приложение распространялось так, как показано на диаграмме. Синие прямоугольники показывают механизмы системы Windows 10, которые способны на защиту от атак. В Майкрософт говорят о том, что сетевики с ОС седьмой версии Windows и ниже не имеют современного аппаратного и программного обеспечения. По этой причине они должны работать с более сильными конфигурациями безопасности, которые помогут замедлить во времени атаку «вредных» приложений. Нужно блокировать или ограничивать доступ тех или иных IP-адресов к файлообменным протоколам SMB, а также ставить блок на удаленное выполнение кода посредством PSEXEC.

Распространение Пети ограничено специальным образом. Когда приложение запускается, то оно получает немного времени для своего распространения перед перезагрузкой системы. Время по умолчанию исчисляется 60 минутами. После перезагрузки программу нельзя будет запустить опять.

Petya делает попытки внесения изменений в центральную запись загрузки и перезаписывает пару секторов раздела С. И уничтожает Volume Boot Record данного раздела. Это происходит по неизвестной причине. Следует также отметить, что код занимает в 10 раз больше памяти, нежели нужно.

Если Петя находит на компьютере антивирус Касперского или изменить центральную загрузочную запись не получается, то программа удалит первые 10 секторов жесткого диска. Если обнаружен вирус Symantec, то приложение не работает с SMB.

Иногда информацию всё-таки можно восстановить. К примеру, когда компьютер имеет Secure Boot и UEFI. Тогда можно попробовать восстановить данные во время загрузки. Если UEFI отсутствует, но есть антивирус Касперского и загрузку сделать нельзя, то можно выполнить включение компьютера с установочного носителя, открыть консоль восстановления и сделать следующее:

bootrec /fixmbr

bootrec /fixboot

Если будет видна записка с требованием заплатить выкуп, то восстановление сделать уже нельзя. Тогда лучшим вариантом будет выполнение чистой установки системы и попробовать восстановить данные с помощью специальных утилит. Плюсы Пети перед WannaCry состоят в работе с двумя эксплоитами для распространения, а изменения сектора загрузки приведет к более серьезным повреждениям в системе.