Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости Microsoft Телеметрия Microsoft показала масштабы распространения Petya RSS

Телеметрия Microsoft показала масштабы распространения Petya

Текущий рейтинг: 3.25 (проголосовало 20)
 Посетителей: 1727 | Просмотров: 1971 (сегодня 0)  Шрифт: - +

На уходящей неделе мир в целом и Европа в частности пострадали от вредоносного приложения Petya. После атаки WannaCry в начале мая к таким событиям приковано особо пристальное внимание и пресса широко освещала его, в том числе телевидение.

Масштаб атаки пока остаётся неизвестным, но Microsoft поможет прояснить ситуацию. Телеметрия её операционных систем даёт возможность отследить уровни распространения приложения.

Эта атака является более сложной по сравнению с предыдущей, но несмотря на это программа пробралась менее чем на 20 тысяч компьютеров. Больше всех пострадала Украина, на которую пришлось 70% заражений. Большинство пострадавших компьютеров работают на Windows 7.

Метод распространения приложения показан на диаграмме, где синими прямоугольниками выделены механизмы системы Windows 10, способные обеспечить защиту. Microsoft делает акцент на том, что сетевые администраторы с устаревшими операционными системами, такими как Windows 7, не обладают преимуществами современного аппаратного и программного обеспечения. Из-за этого они должны использовать усиленные конфигурации безопасности, способные замедлить распространение подобных вредоносных приложений. Необходимо блокировать или ограничивать доступ определённых IP-адресов к файлообменным протоколам SMB и блокировать удалённое выполнение кода через PSEXEC.

Распространение Petya специально ограничено. При запуске приложение получает определённое время для распространения, прежде чем система будет перезагружена. По умолчанию время составляет 60 минут. После перезагрузки программа не может быть запущена снова.

Petya пытается внести изменения в главную загрузочную запись и перезаписывает два сектора в разделе C:, уничтожая Volume Boot Record этого раздела. Зачем это делается, неизвестно; к тому же код занимает в 10 раз больше памяти, чем нужно.

Если Petya обнаруживает на компьютере антивирус Касперского или внести изменения в главную загрузочную запись не удаётся, программа уничтожает десять первых секторов на жёстком диске. Если обнаруживается антивирус Symantec, приложение не использует SMB.

Иногда данные восстановить всё же удаётся. Например, когда компьютер обладает Secure Boot и UEFI. В этом случае можно попытаться выполнить восстановление при загрузке. Если UEFI нет, но установлен антивирус Касперского и загрузка невозможна, можно загрузить компьютер с установочного носителя, открыть консоль восстановления и выполнить следующие команды:

bootrec /fixmbr

bootrec /fixboot

Если же показывается записка с требованием выкупа, восстановление невозможно. В таком случае лучше выполнить чистую установку системы и попытаться восстановить файлы при помощи специальных утилит. Преимущество Petya над WannaCry заключается в использовании двух эксплоитов для распространения, а изменение загрузочного сектора приводит к более тяжёлым повреждениям системы.

Автор: Алексей Алтухов  •  Иcточник: neowin.net  •  Опубликована: 01.07.2017
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.