КРОК Руководитель проектов по информационной безопасности системного интегратора КРОК Павел Луцик на своей странице в Facebook поделился инструкциями по восстановлению данных при атаке «Пети»: Если использовалось раздельное хранение данных основной ОС (C:/) и базы данных и других данных (D:/), необходимо провести следующую процедуру: 1) Отключить жесткие диски от скомпроментированного устройства 2) Подключить жесткие диски к изолированной станции, не имеющей выхода в локальную сеть и сеть Интернет 3) Осуществить анализ подключенных жестких дисков, при наличии незашифрованных данных, осуществить их резервное копирование на съемный носитель информации с последующим отключением носителя от изолированной станции 4) Осуществить переустановку ОС на скомпроментированном устройстве, переподключить базу данных и восстановить конфигурационные файлы 5) Восстановление данных необходимо осуществлять поэтапно, с учетом возможности повторного заражения устройства (в отличие от WannaCry, Petya несколько часов остается в неактивированном состоянии, чтобы избежать срабатывания эвристических модулей антивирусных движков) Cybereason Securitylab сообщает, что исследователь безопасности Амит Серпер предложил способ, позволяющий предотвратить распространение шифровальщика. Он первым обнаружил, что, попав на систему, Petya.A ищет определенный локальный файл и если такой файл уже есть на диске, прекращает процесс шифрования.

I found a way to stop the malware, All we need to know is the original name of the file — Come on people! https://t.co/4e17ST5xHL

— Amit Serper (@0xAmit) 27 июня 2017 г.
Сам Серпер утверждает, что данный метод работает с вероятностью 98%.

98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9

— Amit Serper (@0xAmit) June 27, 2017
Позже находку исследователя подтвердили эксперты Positive Technologies, TrustedSec и Emsisoft . Symantec Американский производитель антивирусного программного обеспечения Symantec также выпустил рекомендации по борьбе с вирусом-вымогателем Petya, придерживаясь той же позиции, что и коллеги из Cybereason и Positive Technologies.

#Petya checks for preexisting infection by looking for its own filename,usually C:\windows\perfc. Creating this file may help as a killswitch pic.twitter.com/yh8O1v6CzB

— Security Response (@threatintel) 27 июня 2017 г.
Согласно инструкциям, пользователям необходимо имитировать заражение компьютера, создав в программе «Блокнот» файл perfc и разместив его в папке Windows на диске C. Когда вирус попадает в систему, он ищет этот файл и, найдя его, прекращает работу. Никакого расширения у имени файла в директории C:\Windows\ быть не должно. Positive Technologies Positive Technologies подтверждает, что создние на жестком диске файла perfc можно предотвратить выполнение Petya.A.

#StopPetya Мы нашли локальный «kill switch» для #Petya: создать файл «C:\Windows\perfc» pic.twitter.com/Hq64bGJ7iO

— PositiveTechnologies (@ptsecurity) 27 июня 2017 г.
Кроме того, в своем детальном разборе PositiveTechnologies сообщает, что для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях. Если заражение уже произошло, PT рекомендует:
  • не платить деньги злоумышленникам.
  • выключить другие компьютеры, которые не были заражены,
  • отключить от сети зараженные узлы
  • снять образы скомпрометированных систем
Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM. Также, компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в рекомендациях к WannaCry. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya. В долгосрочной перспективе компания рекомендует:
  • разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии.
  • проводить регулярную проверку эффективности таких тренингов.
  • на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек.
  • обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями.
Лаборатория Касперского Для защиты от вируса компания рекомендует:
  • Установить обновления ОС и прикладного ПО. Особое внимание обратить на установку обновлений MS17-010.
  • По возможности отключить службу SMB v.1 или запретить передачу данных по портам TCP 139 и 445.
  • Запретить запуск файлов с именем perfc.dat.
  • Обратить внимание сотрудников на правила безопасной работы с электронной почтой и опасность открытия неизвестных вложений, в особенности исполняемых файлов.
  • Проверить работоспособность системы резервного копирования информации.
Из-за того, что вредоносная программа использует стойкие криптографические алгоритмы шифрования, в настоящее время расшифровка файлов не представляется возможной. Эксперты «Лаборатории Касперского» изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные. «Цифровая подстанция» следит за обновлениями в рекомендациях защитников критической инфраструктуры. Новость будет обновляться по мере поступления информации.