Эксперты разработчика программного обеспечения в поле деятельности информационной безопасности Positive Technologies обнаружили средство локально остановить распространение нового вируса-вымогателя. Будто рассказали ТАСС в компании, в ходе изучения образца вируса Petya, нападавшего компьютеры 27 июня, эксперты обнаружили особенность, которая дает возможность выключить вирус.
По данным Positive Technologies, вирус Petya воздействует в главную загрузочную запись (MBR — адрес, который нужен для следующей загрузки операционной системы) нагрузочного сектора диска: вредоносная код шифрует эту запись и замещает ее собственными данными. За попадания в систему вирус дает ПК команду перезагрузиться через один-два часа, а за перезагрузки вместо операционной порядка запускается вредоносный код. Однако когда успеть до перезагрузки пустить команду bootrec/fixMbr (дает возможность восстановить MBR), то можно восстановить работоспособность операционной порядка и запустить ее, отметили в Positive Technologies. Однако в этом случае комп.данные все равно останутся зашифрованы, для их расшифровки надлежит знание специального ключа.
Местно отключить шифровальщик можно путем творения файла «C:Windowsperfc», отмечают эксперты Positive Texhnologies. Вирус, у что есть права администратора, пред подменой MBR проверяет наличие после указанному адресу пустого файла безо расширения с таким же именованием, как название файла dll данного шифровальщика. Если вирус отыщет такой пустой файл, ведь выполнение вирусной программы закончится. «Таким образом, создание файла с верным именем может предотвратить замену MBR и дальнейшее шифрование», — отмечают эксперты Positive Technologies.
В этом случае, если у вируса нет невинен администратора, он не сумеет проверить наличие пустого файла в папке «C:Windows». Тогда процесс шифрования файлов все же опустится, но без подмены MBR и перезапуска ПК.
Чтобы не стать жертвой похожей атаки, эксперты рекомендуют обновить операционную порядок Windows, а также сократить до минимального привилегии пользователей на рабочих станциях.
Новость
Комментарии