Эксперты разработчика программного обеспечения в сфере информационной безопасности Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя. Специалисты нашли особенность, позволяющую выключить вирус, передает ТАСС.

По данным компании, вирус воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через 1-2 часа, а после перезагрузки вместо операционной системы запускается вредоносный код.

Если успеть до перезагрузки запустить команду bootrec/fixMbr, то можно восстановить работу операционной системы. Но файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.

Локально отключить шифровальщик можно, создав файл «C:\Windows\perfc». Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

Если у вируса нет прав администратора, он не сможет проверить наличие пустого файла в папке «C:\Windows». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Напомним, вирус-вымогатель Petya атаковал российские и украинские компании во вторник, 27 июня.