How to Enable the NotPetya/Petna/Petya Vaccine

To vaccinate your computer so that you are unable to get infected with the current strain of NotPetya/Petya/Petna (yeah, this naming is annoying), simply create a file called perfc in the C:\Windows folder and make it read only.  For those who want a quick and easy way to perform this task, Lawrence Abrams has created a batch file that performs this step for you.

This batch file can be found at: https://download.bleepingcomputer.com/bats/nopetyavac.bat

For those who wish to vaccinate their computer manually, you can so using the following steps. Please note that these steps are being created to make it as easy as possible for those with little computer experience. For those who have greater experience, you can do it in quite a few, and probably better, ways.
-----------
Как включить вакцину NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер, чтобы вы не могли заразиться текущим штаммом NotPetya / Petya / Petna (да, это именование раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте его только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг для вас.

Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat

[CODE]@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
               echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
               echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
               attrib +R C:\Windows\perfc.dll
               attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
 
pause

[/CODE]Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете использовать следующие шаги. Обратите внимание, что эти шаги создаются, чтобы сделать его максимально простым для тех, у кого мало опыта работы с компьютером. Для тех, у кого больше опыта, вы можете сделать это довольно много и, вероятно, лучше.

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

[QUOTE]Мартынов Николай написал:
[QUOTE]
[/QUOTE]А как иначе (не все же им ГУИ обсуждать, пусть детектят), все уже пройдено... вот тут [URL=https://twitter.com/hasherezade]обсуждают в твиттере[/URL] [/QUOTE]
да, [B]hasherezade[/B] активно занималась анализом этого шифратора, написала свой софт для расшифровки RED, однако продвинулась ли с расшифровкой поздних вариантов - непонятно пока.

[QUOTE]Мартынов Николай написал:
а по факту?
кто и что и как шифрует?
...[/QUOTE]
История Petja
https://chklst.ru/discussion/1551/petya-misha-ransomware
первый вариант (RED) был расшифрован, далее (GREEN, GOLD) вирусописатели провели работу над ошибками, и с расшифровкой теперь туго.

[QUOTE]Есть ли какие-либо надежды на дешифрование файлов для уже инфицированных жертв? К сожалению, выкупная программа использует стандартную, надежную схему шифрования, поэтому это кажется маловероятным, если не будет выполнена тонкая ошибка реализации. К механизму шифрования применяются следующие особенности:

    Для всех файлов генерируется один ключ AES-128.
    Этот ключ AES зашифрован публичным ключом RSA-2048 субъекта угроз.
    Зашифрованные ключи AES сохраняются в файле README.
    Ключи надежно сгенерированы.[/QUOTE]

https://securelist.com/schroedingers-petya/78870/

В социальных сетях выходят многочисленные сообщения о новой атаке на выкуп в Украине, которая может быть связана с семьей Петя, которая в настоящее время обнаруживается ESET как Win32 / Diskcoder.C Trojan. Если он успешно заражает MBR, он зашифрует весь диск. В противном случае он шифрует все файлы, такие как Mischa.

Для распространения, похоже, используется комбинация эксплойта SMB (EternalBlue), используемого WannaCry для доступа в сеть, а затем распространения через PsExec для распространения в сети.

Эта опасная комбинация может быть причиной того, что эта вспышка распространилась по всему миру и быстро, даже после того, как предыдущие вспышки вызвали заголовки СМИ и, надеюсь, большинство уязвимостей были исправлены. Для доступа в сеть требуется только один непропатченный компьютер, и вредоносное ПО может получать права администратора и распространяться на другие компьютеры.

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/

[SIZE=12pt]Group-IB: от хакерской атаки вируса Petya.A пострадали более 80 компаний РФ и Украины[/SIZE]

В Group-IB заявили, что в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний. Об этом RNS рассказал руководитель криминалистической лаборатории Group-IB Валерий Баулин.

«По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине», — сказал он. Баулин подчеркнул, что атака не связана с WannaCry.

Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB. Ранее 27 июня хакерскую атаку на корпоративные серверы зафиксировала «Роснефть».

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — сообщила компания в Twitter, уточнив, что по факту кибератаки «Роснефть» обратилась в правоохранительные органы.

В Group-IB сообщили, что вирус блокирует компьютеры и требует $300 в биткоинах.

«Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке», — указывает Group-IB.

+

https://twitter.com/GroupIB_GIB/status/879687387235971073


[QUOTE]Есть ранние признаки новой вспышки вымогательства, в настоящее время затрагивающей большое количество стран по всему миру, таких как Великобритания, Украина, Индия, Нидерланды, Испания, Дания и другие.

На момент написания этой статьи, внезапная вспышка меньше, чем WannaCry, но объем «значителен», по словам Костин Раю, исследователя «Лаборатории Касперского» и MalwareHunter, независимого исследователя безопасности.

Основным виновником этой атаки является новая версия Petya, которая позволяет шифровать таблицы MFT (Главное файловое дерево) для разделов NTFS и перезаписывать MBR (Master Boot Record) с помощью специального загрузчика, который показывает примечание о выкупе и предотвращает загрузку жертв Их компьютера.

Из-за этого Петя более опасен и навязчив по сравнению с другими штаммами, потому что он перезагружает системы и не позволяет им полностью работать.
[/QUOTE]

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

+

это видимо обновленный вариант Petja вместе в ETERNALBLUE - просто катастрофа

[IMG WIDTH=1200 HEIGHT=900]https://pbs.twimg.com/media/DDU9lK-XsAA0jAu.jpg[/IMG]

Alex Soldier,
если скрипт еще не выполнен,
переделайте пожалуйста образ автозапуска обновленной версией uVS 4.0.6
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

скрипт из сообщения 2 можно пока не выполнять,
добавим новый на основе нового образа.
--------------
если скрипт уже выполнен, тогда так же сделайте новый образ автозапуска обновленной версией.
сканирование в мбам пока не выполняйте.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHEGNEANIPLMFJCMOHOCLABBLBAHCBJOE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL
delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\ROAMING\MOZILLA\FIREFOX\­PROFILES\SLQRVKAX.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_15.020.20042\ACRORDRDCUPD1502320070.MSP
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\LOCAL\TEMP\{575BCBCC-7C6F-4A69-87BB-F5E0CD5A56E0}-GOOGLEUPDATESETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\TASK.VBS
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {410BF280-86EF-4E0F-8279-EC5848546AD3}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\VDIXNZK4.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2017\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref H:\WPI.HTA
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Андрей Репринцев
если проблема не решена,

добавьте новые логи:
образ автозапуска и FRST

только обратите внимание, чтобы на момент создания логов не было активно работающих антивирусных сканеров.
------------
как вариант,
возможно, какой то из активных файлов пропатчен, и при его запуске восстанавливается настройка для прокси
[QUOTE]AutoConfigURL: [S-1-5-21-108393158-1832105142-1644505984-1000] => hxxp://unstopp.me/wpad.dat?0ccc217eb7d9023ee9fbc197da5190222227642[/QUOTE]

Андрей,
делаем все по порядку.
скрипт uVS, потом сканирование в малваребайт,
если не поможет, еще несколько проверок будет.
------------
проверьте настройки сети ВСЕХ браузеров.
там в прокси прописан этот адрес, можно вручную удалить и проверить: поможет или нет.
+
так же очистить кэши браузеров, и локальный кэш DNS

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/