Как защитить компьютер Windows от вируса Petya (NotPetya)

Исследователь безопасности из компании Cybereason Амит Серпер (Amit Serper), рассказал как предотвратить заражение компьютеров шифровальщиком Petya (NotPetya / SortaPetya / Petna) с помощью файла C:Windowsperfc



​

Вредоносная кампания Petya была запущена 27 июня и за считанные часы угроза инфицировала огромное количество компьютеров по всему миру. Шифровальщик блокирует разделы MFT и MBR на жестком диске и препятствует нормальной загрузке компьютеров.

Если жертвы не желают платить выкуп, то действенного способа для восстановления файлов на данный момент не существует.


Первоначально исследователи полагали, что новый троян-вымогатель стал обновленной версией старой угрозы под названием Petya. Однако, позже выяснилось, что исследователи имеют дело с новым видом шифровальщика, который заимствовал часть кода от Petya. Вот почему программа-вымогатель была переименована и теперь часто встречается как NotPetya, Petna или SortaPetya.

Найден способ предотвращения заражения вирусом Petya (NotPetya)​

Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.

Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.

​

Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security, TrustedSec и Emsisoft.

Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.

Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.

Как защититься от NotPetya / Petna / Petya​

Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс () создал пакетный файл, который выполняет этот шаг для вас.

Загрузить данный файл можно по следующей ссылке - .

Для тех, кто хочет вакцинировать свой компьютер вручную, прилагаю отдельную инструкцию. Обратите внимание, что в ней подробно описаны шаги, чтобы они были понятны даже неопытным пользователям ПК.

Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид”. Убедитесь, что в “Параметры папок > Вид” отключена опция “Скрывать расширения для зарегистрированных типов файлов” (галочка не отмечена).

Затем откройте папку C:Windows и прокрутите вниз, пока не увидите программу notepad.exe.



Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl+C, чтобы скопировать, а затем Ctrl+V, чтобы вставить его.

При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.



Нажмите кнопку “Продолжить”, и будет создана копия блокнота: notepad — копия.exe.
Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала - notepad — копия.exe и введите perfc, как показано ниже.



После того как имя файла было изменено на perfc, нажмите Enter на клавиатуре.
Теперь вы получите запрос, действительно ли вы хотите переименовать файл.





Нажмите “Да”, а затем “Продолжить”.
Теперь, когда файл perfc был создан, нужно установить атрибут доступа “Только чтение”.
Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.




Откроется меню свойств этого файла. Внизу нужно установить флажок “Только чтение”.

Установите галочку, как показано на рисунке ниже.



Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто, и ваш компьютер теперь стал защищенным против шифровальщика NotPetya / SortaPetya / Petya.

Для ленивых - Загрузить данный файл можно по следующей ссылке -
Далее запустить батник с правами админа​

Батник использовать не советую, делайте всё ручками, не ленитесь.​