Який вірус атакував комп'ютери України і три способи їх "вилікувати"

Об 11:30 українські компанії та державні установи "лягли" під ударом масової кібератаки. Спочатку з'явилися повідомлення про постраждалі банки, потім хвиля перекинулася на державні та комерційні компанії, міністерства, а також ЗМІ, зокрема - центральні телеканали.

Комп'ютерний вірус, який 27 червня атакував Україну, - це вірус Petya.A. Про це на своїй сторінці в Facebook повідомила одна з жертв компанія "Нова пошта".

"Через масовану атаку вірусу Petya.A на наші інформаційні системи відділення і контакт-центр "Нова пошта" тимчасово не можуть обслуговувати клієнтів", - йдеться в повідомленні.

Petya блокує повністю операційну систему стаціонарного комп'ютера або ноутбука. Повідомлення з вимогою викупу при цьому говорить, що так званий malware шифрує всю інформацію на жорсткому диску.

У 2016 році аналогічний вірус дійшов до Росії і атакував кілька кадрових агентств. Зловмисники розсилали листи, в яких нібито перебувало резюме, повідомляє "Хакер". При цьому в листі містилося посилання на скачування повного портфоліо здобувача, файл якого розміщується на Dropbox. Саме за цим посиланням і завантажувався вірус. При спробі завантаження комп'ютер починає перевантажуватися, після чого його екран блокується загрозливою картинкою.

Вимагач повідомляє потерпілому, що всі дані на його жорстких дисках були зашифровані і відновити можливо за окрему плату, яку можна здійснити через сайт зловмисників. Через 7 днів, в разі несплати, сума подвоюється. Після оплати хакери відсилають жертві "код розшифровки", який треба вводити просто на екрані локера.

Схожа ситуація і в Україні зараз. Фото картинки на робочий стіл комп'ютерів, які постять співробітники постраждалих установ, підтверджують це. Початкове інфікування відбувається через фішингові повідомлення - файл називається Петя.apx. Швидко поширюється по локальній мережі через DoblePulsar і EternalBlue, як і WannaCry, пишуть комп'ютерники.

У той же час, за інформацією 112.ua, українські компанії та держструктури атакував вірус mbr locker 256, який належить до вірусів-здирників.

MBR - це головний запис-звантаження, код, необхідний для подальшого завантаження операційної системи, який міститься в першому секторі пристрою. Після вмикання живлення комп'ютера проходить так звана процедура POST, яка тестує апаратне забезпечення, після проходження якої BIOS завантажує MBR в оперативну пам'ять за адресою 0x7C00 і передає йому управління. Так вірус потрапляє в комп'ютер і вражає його, повідомляє ресурс.

Вірус поширюється дуже швидко і проявляється у відмові роботи комп'ютера, який працює на системі Windows. Користувачі підозрюють, що під удар переважно потрапили користувачі 7-ї версії операційки.

Нагадаємо, минулого року WCry атакував близько 200 тис. пристроїв з операційною системою Windows по всьому світу. Тоді хакери за розблокування комп'ютера просили 300 доларів. Однак навіть після сплати необхідної суми не відсилали необхідний код.

Водночас, як написав на своїй сторінці в Facebook IT-фахівець Влад Стіран, для зупинки поширення мережею інтернет-хробака потрібно заблокувати на всіх комп'ютерах, що працюють на системі Windows, TCP- порти 1024-1035, 135 і 445. 

Особливістю вірусу є той факт, що, потрапивши на один комп'ютер, він блискавично заражає цілу локальну мережу, так що про всяк випадок варто тимчасово роз'єднати мережу і перевірити всі комп'ютери.

Деякі IT-шники пишуть, що вже «вилікували» свої пристрої від злісного вірусу, при цьому всі файли залишилися цілими.

«Головне - відновити MBR. Я вилікував заражені ПК таким чином: bootrec/RebuildBcd, bootrec/fixMbr, bootrec/fixboot. Відновлення з завантажувального диска», - пишуть на спеціалізованому форумі.

Ось  іще один спосіб «порятунку» комп'ютера: 

«На компі запустився з завантажувальної флешки і почистив Temp'и, запустив DrWeb, визначив, як MbrLocker. Видалив загрозу і комп'ютер запустився. Можливо, це те ж саме, що виконати виправлення завантажувального запису з командного рядка. Файли цілі».

Як захиститися

Захиститься від вірусу, природно, можна, запевняють IT-фахівці. Для цього потрібно обов'язково користуватися антивірусом. При цьому "Касперський" вам не допоможе - користувачі повідомляють, що ця програма його просто не бачить. А ось Avast і NOD32, Defender, Symantec блокують Petya.A.

Також потрібно оновити свою операційну систему. Водночас фахівці рекомендують не викачувати сторонні програми і файли, а також не переходити за сторонніми посиланнями, особливо якщо вони від невідомих користувачів. І про всяк випадок створіть резервні копії важливих файлів.