Эксперты нашли способ локально остановить распространение нового вируса-вымогателя

Эксперты Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя Petya. Если успеть до перезагрузки компьютера запустить команду bootrec/fixMbr, можно восстановить работоспособность операционной системы и запустить ее,

Вирус Petya воздействует на главную загрузочную запись загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными, передает ТАСС. После попадания в систему вирус дает компьютеру команду перезагрузиться через 1—2 часа, а после перезагрузки вместо операционной системы запускается вредоносный код.

В Positive Technologies заметили, что восстановить работоспособность операционной системы можно, если успеть до перезагрузки запустить команду bootrec/fixMbr.

Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.

Локально отключить шифровальщик можно, создав файл «C:\Windows\perfc», отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

В том случае, если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке «C:\Windows\». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Ранее сообщалось, что кибератака вируса Petya осуществлялась через тот же инструмент, который использовал вирус WannaCry.