Вирус Петя захватывает компьютеры по всему миру, выкуп берут биткоинами

Что представляет из себя вирус Petya?

27 июня 2017 года – день, когда начала распространяться программа Petya. Первыми пострадали Украина и Россия, позже и в других странах был замечен вирус-вредитель. Помимо своего разрушительного характера, он выставляет требования для разблокировки – 300 $ в биткоинах. Надо заметить, что Petya был известен еще в 2016 году. Как и многие вирусы, он заражает системы с помощью спам-письма: первые версии маскировались под резюме. Специалисты компьютерной безопасности уже дали отзыв о том, по какой схеме работает вирус.

Апрель 2016 года механизм работы Petya был описан сотрудниками Malwarebytes Labs. В то время вирус распространялся при помощи письма, которое обозначалось, как резюме сотрудника. При его вскрытии открывалась программа Windows и требовала предоставить системе права администратора. Если случалось так, что человек был неопытен или невнимателен и соглашался на требования, то программа тут же переписывала данные жесткого диска (а точнее – его загрузочную область). После этого, экран окрашивался в синий цвет, что указывало на «падение» системы. В сообщении появлялась просьба об перезагрузке системы.

Исследователи утверждают, что на этой стадии данные можно спасти: данные жесткого диска еще не подверглись шифровке. Для того, чтобы предотвратить вредоносное воздействие вируса, необходимо выключить компьютер и сменить жесткий диск, переставив его на другое устройство, но не производить загрузку с него. В таком случае возможно скопировать и спасти все данные.

Когда прошла перезагрузка компьютера, Petya производит запуск программы CHKDSK. Она производит шифровку данных частично – к такому выводу пришли сотрудники компании Malwarebytes Labs. Представители «Лаборатории Касперского» в 2016 году (март) утверждали, что метод шифровки вируса Petya предоставляет возможность восстановить все данные, если обратиться за помощью к специалистам.

После того, как происходит полная шифровка данных, на экране компьютера появляется надпись: «Вы стали жертвой вируса Petya». Для того, чтобы убрать вредоносную программу, необходимо оплатить 300 $ в биткоинах. Инструкция, как все сделать, была подробно расписана и предоставлена на одном из сайтов «дарквеба».

Если брать во внимание скриншоты современной версии Petya, то на данный момент ни сайта, ни инструкций нет. Пользователям, которые подверглись атаке, предлагается ввести код для того, чтобы расшифровать жесткий диск, но для этого необходимо на почтовый адрес, который указан в сообщении, написать и предоставить доказательство того, что деньги были зачислены.

Со слов исследователей, та часть вируса, которая отвечает за блокирование доступа, на ранней стадии загрузки перебирает на себя управление компьютером. Известно, что сама вредоносная программа разработана программистами высокой квалификации.

Вирус с 2016 года подвергся существенным видоизменениям. Известны версии, где само название вируса – не указано, либо появляется желтый экран, где говорится о выкупе.

Как работает Petya в том виде, в котором он произвел свои вредоносные действия 27 июня – неизвестно. Если принять во внимание масштаб заражения, то вредоносная программа была доработанной и имела более сложную схему своего распространения. На Github уже предоставлена ссылка на биткоин-кошелек, на который приходят деньги с зараженных вредоносной программой компьютеров. На время написания текста на кошелек пришло более 2 миллиона 300 тысяч долларов.

Метод, который не позволит распространится вирусу Petya, прост – не открывать подозрительные письма, которые, при этом, приходят от незнакомых личностей.


X