Вирус Petya: как защититься

Что мы знаем о вирусах и методах защиты от них?

О различных формах вирусов, путях и факторах их передачи, а также о коронавирусе и мерах профилактики вирусных инфекций рассказали на одном из интегрированных вебинаров ведущие методисты Корпорации «Российский учебник» Екатерина Федотова и Елена Кондратьева. Все перечисленные темы входят в курсы ОБЖ и биологии.

Главная задача биологии — это развитие представлений у человека о живых организмах, о многообразии видов, обо всех закономерностях развития живых существ, а также об их взаимодействии с окружающей природой. Предмет основы безопасности жизнедеятельности (ОБЖ) позволяет получить знания и умения, которые помогут сохранить жизнь и здоровье в опасных ситуациях. Эти ситуации всегда возникают неожиданно, но, тем не менее, большинство из них предсказуемы и к ним можно подготовиться заранее. ОБЖ учит нас предвидеть возможные опасности и минимизировать потери от той или иной ситуации. Сегодня мы сталкиваемся с новым видом вирусной опасности COVID-19,о котором поговорим с точки зрения биологии и ОБЖ.

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:Windows, прокрутите вниз, пока не увидите программу notepad.exe.
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: windows perfc создать файлы C: Windows perfc.dat и C: Windows perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Жизненный цикл вирусов состоит из нескольких этапов:

1. Вирус прикрепляется к поверхности чувствительной клетки. Для каждого вируса есть свои чувствительные клетки, например, для гепатита – клетки печени, для гриппа – клетки дыхательных путей и т.д.
2. Проникновение вируса в клетку: либо его оболочка сливается с мембраной клетки или клетка сама его захватывает и поглощает.
3. Далее в клетке идёт процесс как бы “раздевания” вируса от всех его оболочек и активация его нуклеиновой кислоты.
4. Начинается синтез нуклеиновых кислот и белков вируса, т.е. вирус подчиняет системы клетки хозяина и заставляет их работать на своё воспроизводство.
5. Сборка вируса — многоступенчатый процесс, включающий в себя соединение всех компонентов.
6. Последний этап — выход вирусных частиц из клетки взрывным путем или почкованием. Полный цикл размножения вирусов завершается через 5-6 ч (вирус гриппа) или через несколько суток (вирус кори). Из погибающей клетки, которая длительное время может сохранять жизнеспособность, одновременно выходит большое количество вирусов. В результате пораженные вирусом клетки в основном погибают от истощения, а новые вирусы завоевывают и разрушают другие клетки. Но возможна и так называемая онкогенная трансформация клетки: тогда в организме появляется и начинает расти из мутированных клеток раковая опухоль.

Краткая история

Фредерик Коэн, студент Южно-Калифорнийского университета, и профессор Адлеман заложили основу для исследования компьютерных угроз.

3 ноября 1983 года Фредерик Коэн впервые продемонстрировал программу, подобную на компьютерный вирус, которая могла самостоятельно устанавливаться и заражать другие системы.

В это время его преподаватель, профессор Адлеман, ввел термин «компьютерный вирус».

В рамках своей работы в 1984 году Коэн написал работу под названием «Компьютерные вирусы — теория и эксперименты». Это был первый научно-исследовательский документ, который использовал данный термин.

Основные каналы распространения

Чтобы разработать эффективную систему антивирусной защиты компьютеров и корпоративных сетей, необходимо четко представлять себе, откуда грозит опасность. Вирусы находят самые разные каналы распространения, причем к старым способам постоянно добавляются новые.

Классические способы

Как мы уже говорили, файловые вирусы распространяются вместе с файлами программ в результате обмена дискетами и программами, загрузки программ из сетевых каталогов, с Web- или ftp-серверов.

Загрузочные вирусы попадают на компьютер, когда пользователь забывает зараженную дискету в дисководе, а затем перезагружает ОС. Загрузочный вирус также может быть занесен на компьютер вирусами других типов.

Макрокомандные вирусы распространяются аналогичным образом: в результате обмена зараженными файлами офисных документов, такими, как файлы Microsoft Word, Excel, Access.

Если зараженный компьютер подключен к локальной сети, вирус легко может оказаться на дисках файл-сервера, а оттуда через каталоги, доступные для записи, попасть на все остальные компьютеры сети. Так начинается вирусная эпидемия.

Системный администратор должен помнить, что вирус имеет в сети такие же права, что и пользователь, на компьютер которого этот вирус пробрался. Поэтому он может попасть во все сетевые каталоги, доступные пользователю. Если же вирус завелся на рабочей станции администратора сети, последствия могут быть очень тяжелыми…

По почте

Вместе с вложенным файлом злоумышленник может прислать по электронной почте исполняемый модуль вирусной или троянской программы, вредоносный программный сценарий Visual Basic Script, зараженную или троянскую программу сохранения экрана монитора, словом — любой опасный программный код. Разумеется, электронная почта служит и каналом распространения макрокомандных вирусов, так как вместе с сообщениями часто отправляются офисные документы.

Для маскировки распространители вирусов часто пользуются тем фактом, что по умолчанию диалоговая оболочка Microsoft Windows не отображает расширения зарегистрированных файлов. В результате файл с именем, например, FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. Если пользователь попытается открыть такой файл, будет запущена вредоносная программа. Более того, из-за различных ошибок, присутствующих в ПО почтовых клиентов, файл вложения может запуститься автоматически.

В качестве примера вредоносной программы, вызвавшей недавно целую эпидемию и распространяющейся по почте, можно привести вирус-червь W32/Klez. Чтобы проникнуть на компьютер, он использовал ошибку в браузере Microsoft Internet Explorer версии 5.01 или 5.5 (без пакета обновлений SP2). Этот вирус подставляет в поле сообщения From другую запись, найденную на компьютере-жертве. Далее он пытается деактивировать антивирусные программы, запущенные на компьютере. Этот вирус способен распространяться по локальной сети через сетевые каталоги общего доступа, записывать себя в архивы типа RAR. Вирус-червь W32/Klez рассылает по Интернету документы, хранящиеся на дисках компьютера, и потому может вызвать утечку конфиденциальной информации.

Сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компоненты. Из-за ошибок в почтовых клиентах злоумышленники могут воспользоваться такими активными компонентами для внедрения вирусов и троянских программ на компьютеры пользователей.

При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и делают свое черное дело. Чаще всего таким способом распространяются троянские программы и черви.

Троянские Web-сайты

Даже во время простого серфинга сайтов Интернета пользователи могут «подцепить» вирус или троянскую программу. Ошибки в браузерах зачастую приводят к тому, что активные компоненты троянских Web-сайтов (элементы управления ActiveX или апплеты Java) внедряют на компьютеры вредоносные программы.

Здесь используется тот же самый механизм, что и при получении сообщений электронной почты в формате HTML. Но заражение происходит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять.

Можно получить приглашение посетить троянский сайт в обычном электронном письме.

Компьютер ведет себя странно

Бывает, что новенький ноутбук начинает без причины вести себя странно: не открывать или не закрывать вкладки, не запускать приложения, не реагировать на клики по кнопке «Пуск» или по кнопке запуска антивируса — почти всегда это означает, что в него попал вирус. Ни в коем случае не пытайтесь перезагрузить устройство — в этот момент вирус может «‎прописаться» намного глубже, и с большой вероятностью достать его без переустановки операционной системы будет невозможно.

Самое верное и надежное действие — запустить полную проверку в антивирусной программе, заранее обновив базы вирусов. Однако, если троян или вирусный червь уже попал в компьютер, антивирус не всегда сможет его странить — в самом худшем случае придется переустанавливать систему.

Можно попробовать найти решение онлайн: для многих проблем есть инструкции, которые помогут самостоятельно избавиться от вируса . Если так не получилось, обратитесь в сервисный центр или вызовите мастера на дом.

Признаки заражения вирусом

При заражении компьютера вирусом важно его обнаружить, для этого следует знать основные признаки его проявления:

— прекращение работы или неправильная работа ранее успешно функционировавших программ;

— медленная работа компьютера;

— невозможность загрузки операционной системы;

— исчезновение файлов и каталогов или искажение их содержимого;

— изменение даты и времени модификации файлов;

— изменение размера файлов;

— неожиданное значительное увеличение количества файлов на диске;

— существенное уменьшение размера свободной оперативной памяти;

— вывод на экран непредусмотренных сообщений или изображений;

— подача непредусмотренных звуковых сигналов;

— частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Заразиться компьютерным вирусом можно только в определенных случаях:

— запуск на компьютере исполняемой программы, заражённой вирусом;

— загрузка компьютера с диска (дискеты), содержащего загрузочный вирус;

— подключение к системе заражённого драйвера;

— открытие документа, заражённого макровирусом;

— установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

— на него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд);

— на нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался;

— на компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд);

— переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

Глава 2. Классификация компьютерных вирусов

На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:

  • среда обитания;
  • способ заражения;
  • степень воздействия;
  • особенности алгоритма работы.

В зависимости от среды обитания вирусы делят на:

  • сетевые – распространяются по различным компьютерным сетям;
  • файловые — поражают файлы с расширением .com, .ехе, реже .sys или оверлейные модули .ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным и не подлежащим восстановлению;
  • загрузочные — получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;
  • файлово–загрузочные – комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов.

По способу заражения среды обитания вирусы делятся на:

  • резидентные — при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
  • нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на:

  • неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
  • опасные вирусы , которые могут привести к различным нарушениям в работе компьютера;
  • особо опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма :

  • простейшие вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;
  • вирусы-невидимки (стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочныестелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.
  • Макрокомандные вирусы . Файлы документов MicrosoftOffice могут содержать в себе небольшие программы для обработки этих документов, составленные на языке VisualBasicforApplications. Это относится и к базам данных Access, а также к файлам презентаций PowerPoint. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Такие вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении. Распространенности данного вида вирусов в немалой степени способствует популярность MicrosoftOffice. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.

Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ:

  • Троянские программы — по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.
  • Логические бомбы — программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия, например, может сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
  • Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных. Некоторые вирусы-черви (например, CodeRed ) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.
  • Вирусы в системах документооборота — документы, хранящиеся в базах данных таких систем документооборота, как LotusNotes и MicrosoftExchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы;
  • новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы.

Глава 3. Профилактика и лечение

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector