В Microsoft рассказали о принципах работы вируса Petya
Корпорация Microsoft объяснила, как вирус Petya, или ExPetr (оказывается, «Петей» на самом деле называлась прежняя версия подобного вируса), атаковал 12,5 тысячи компьютеров в Украине и распространился на половину мира.
Об этом сообщается в блоге Microsoft.
Инфекция началась через рассылку обновлений обычной украинской бухгалтерской программы M.E.Doc, утверждает Microsoft. На распространении вируса (преднамеренным или нет) «поймали» процесс EzVit.exe.
Авторы M.E.Doc говорят, что Microsoft показала только, что вирус заразил модуль их программы, но настоящий источник не назван.
«Петя» по своему принципу похож на прежнего WannaCry, но умеет больше.
Если вирус попадает на незащищенный компьютер, он стягивает из Интернета программу-шифровальщик и атакует часть твердого диска, где находится так называемая «главная загрузочная запись» (master boot record), от чего компьютер показывает «синий экран смерти» (сообщение о критической ошибке).
Если компьютер перезагружать, то вирус сделает вид, что машина проверяет, не повредились ли файлы во времени экстренной перезагрузки, но в это время шифрует нужные пользовательские файлы, документы и базы данных. А если зашифрует, показывает пользователю требования выкупа, иначе к файлам будет проблематично получить доступ (платить же не стоит).
Если вирус попал на один незащищенный компьютер, то распространится по всей локальной сети, используя «легальные» механизмы.
Напомним, правительство Беларуси рассказало о попытках вмешательства в работу компьютерных систем, под атаку вируса-вымогателя Petya попало около 64 стран.