Карпарацыя Microsoft растлумачыла ў блогу, як вірус Petya, або ExPetr (аказваецца, «Пецем» насамрэч звалася ранейшая вэрсія падобнага вірусу), атакаваў 12,5 тысячы кампутараў ва Ўкраіне і распаўсюдзіўся на палову сьвету.
Вірус «Пеця»: што ён нарабіў у Расеі і Ўкраіне, каму ён пагражае ў Беларусі і як ад яго абараніцца
Інфэкцыя пачалася праз рассылку абнаўленьняў звычайнай украінскай бухгальтарскай праграмы M.E.Doc, сьцьвярджае Microsoft. На распаўсюдзе вірусу (наўмысным ці не) «злавілі» працэс EzVit.exe. Украінская кібэрпаліцыя і экспэрты ў інфабясьпецы таксама падазравалі названую праграму.
Аўтары M.E.Doc жа кажуць, што Microsoft паказала толькі, што вірус заразіў модуль іхнай праграмы, але сапраўднай крыніцы не названа.
«Пеця» паводле свайго прынцыпу падобны да ранейшага WannaCry, але ўмее болей.
Калі вірус трапляе на неабаронены кампутар, ён сьцягвае з інтэрнэту праграму-шыфравальнік і атакуе частку цьвёрдага дыска, дзе знаходзіцца так званы «галоўны загрузачны запіс» (master boot record), ад чаго кампутар паказвае «сіні экран сьмерці» (паведамленьне пра крытычную памылку).
Калі кампутар пераладаваць, вірус зробіць выгляд, што машына правярае, ці не пашкодзіліся файлы ў часе экстранай перазагрузкі, але ў гэты час шыфруе патрэбныя карыстальніку файлы, дакумэнты і базы зьвестак. А калі зашыфруе, паказвае карыстальніку патрабаваньні выкупу, іначай да файлаў будзе праблематычна атрымаць доступ (плаціць яго ня варта — зламысьніка заблякавалі, расшыфраваць файлы ён ня зможа, нават калі вы заплоціце).
Калі вірус трапіў на адзін неабаронены кампутар, то распаўсюдзіцца па ўсёй лякальнай сетцы, выкарыстоўваючы «легальныя» мэханізмы.
І як цяпер бараніцца?
У першы дзень атакі «Пеці» часьцей выказваліся думкі, што вірус трапляў да карыстальнікаў праз «сацыяльную інжынэрыю»: хакер можа прыслаць карыстальніку ад імя ягонага сябра шкодны файл або спасылку на яго праз пошту, мэсэнджэры ці сацсеткі. Хоць выявілася, што менавіта «Пеця» атакаваў іначай, падазроныя спасылкі і файлы (нават.doc і.pdf) лепей не адкрываць, нават калі іх прысылае блізкі сябра.
Абароненымі сябе могуць лічыць тыя, хто мае актуальную і абноўленую вэрсію Windows (XP даўно ня лічыцца актуальнай — трэба прынамсі «сямёрка»), а таксама надзейны і абноўлены антывірус.
Тут сьпіс антывірусаў, якія пазнаюць «Пецю», — у табліцы побач зь імі чырвоныя надпісы. Тыя, побач зь якімі зялёныя або шэрыя значкі, не абараняюць ад «Пеці».
А тут «супрацьпецевае» абнаўленьне Windows, якое можна паставіць уручную, калі вы ня ўпэўненыя, ці цалкам абноўленая ў вас апэрацыйная сыстэма.
Ёсьць таксама і іншыя шляхі абароны, якія прапануюць карыстальнікам. Пра іх Свабода распавядала тут.