Ransomware Petya masowo infekuje komputery. Zobacz, jak się przed nim bronić

(…)

Nie pobieraj podejrzanych załączników

Specjaliści od zabezpieczeń informują, że Petya rozprzestrzenia się dzięki fałszywej aktualizacji popularnego na Ukrainie oprogramowania M.E Doc. Badacze wyjaśniają jednak, że wirus może się także ukrywać pod postacią złośliwych plików. “Petya próbuje odzyskać hasła z pamięci systemu Windows, a następnie usiłuje odnaleźć i zainfekować wszystkie urządzenia w sieci lokalnej (z użyciem portów tcp/445 i tcp/139, a także mechanizmów WMI oraz PSexec). Oznacza to tyle, że pierwotny wektor ataku jest klasyczny – w praktyce ktoś w coś musi kliknąć” - czytamy w analizie F-Secure. Z tego też względu zalecamy, by nie pobierać podejrzanych załączników z wiadomości e-mail, szczególnie jeżeli nie znamy adresata. Możemy bowiem wpuścić szkodnika do naszego systemu. To samo tyczy się wchodzenia na podejrzane strony internetowe i pobierania z nich jakichkolwiek plików.

Zainstaluj anti-ransomware

Elementem obrony może też być oprogramowanie anti-ransomware. Firma Malwarebytes wyjaśnia, że ich narzędzie skutecznie blokuje działanie wirusa Petya. Program można pobrać za darmo z naszego działu download.

Petya wykryty przez Malwarebytes Anti-Ransomware

Zaktualizuj system Windows

Celem ataków jest system Windows. Warto zatem upewnić się, że posiadamy najnowszą dostępną wersję, przechodząc bezpośrednio do Windows Update. Może to nas uchronić przed utratą plików.

Zablokuj port SMBv1

Nawet zaktualizowany system może zostać zainfekowany, jeżeli komputer przebywa w sieci z innymi zainfekowanymi urządzeniami. Aby się przed tym zabezpieczyć, należy wyłączyć komunikację za pomocą portu SMBv1. W tym celu w wyszukiwarce Menu Start wpisujemy „Funkcje systemu Windows” i uruchamiamy narzędzie.

2017-06-28_12h58_13.jpg385×626 18.8 KB

Następnie odszukujemy i odznaczamy „Obsługę udostępniania plików SMB 1.0/CIFS", po czym restartujemy system.

Plik perfc na ratunek

Niektórzy badacze wskazują, że swoistym wyłącznikiem wirusa Petya jest specjalny plik, utworzony w folderze C:\Windows. Skuteczność tej metody nie została potwierdzona, ale jej przeprowadzenie raczej nie zaszkodzi. Przechodzimy pod wspomnianą ścieżkę. W opcjach plików i folderów upewniamy się, że system nie ukrywa rozszerzeń znanych typów plików (funkcja ta musi być odznaczona).

Następnie kopiujemy jakikolwiek plik obecny w tym folderze (np. explorer.exe), po czym zmieniamy jego nazwę na perfc. Ważne, aby nie dopisać żadnego rozszerzenia! Na pytanie o zmianę rozszerzenia odpowiadamy twierdząco, po czym akceptujemy uprawnienia administratora.

Gotowy plik będzie wyglądać w ten sposób:

Wykonaj kopie zapasowe danych

Działanie Petya polega na szyfrowaniu zawartości całego dysku twardego. Jeżeli zatem zawczasu wykonamy kopię zapasową najważniejszych plików i umieścimy je na zewnętrznym nośniku lub np. na dysku sieciowym, to w przypadku infekcji nie utracimy do nich dostępu. Będziemy musieli je po prostu przywrócić po ponownym zainstalowaniu systemu. - Istotny jest fakt, że przy Petyi nie mówimy o jakimś rewolucyjnym pomyśle. Biznes oparty na złośliwym szyfrowaniu rozwija się od lat, a tym razem cyberprzestępcy, kolokwialnie mówiąc, wzięli po prostu większą spluwę - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX. - Jeśli zawczasu pomyślimy o kamizelce kuloodpornej w postaci regularnego backupu to ochronimy swoje systemy nie tylko przed szantażystami, ale też każdym innym zagrożeniem. W przypadku utraty dostępu do danych wystarczy przywrócić system do ostatniej bezpiecznej wersji i w kilka minut podjąć przerwaną pracę – wyjaśnia.

Co zrobić, gdy wirus zainfekuje komputer?

Jeżeli wirus przedostał się już na nasz komputer, to należy reagować bardzo szybko. Po infekcji wyświetli się następujący komunikat, po czym system zostanie zrestartowany.

Komunikat wyświetlany przez Petya w Windowsie Następnie szkodnik upozoruje działanie narzędzia do naprawy plików, wyświetlając taką ramkę:

W tym momencie rozpoczyna się szyfrowanie plików. Należy niezwłocznie wyłączyć komputer, by uchronić swoje dane.
[/quote]

Źródło: Malwarebytes, Anzena, F-Secure, własne