Инструкцию по блокировке вируса опубликовал в своем Telegram-канале специалист по кибербезопасности Александр Литреев.
Подробно механизм работы вируса описали эксперты компании Positive Technologies. ТАСС передает, что активизировавшийся накануне вирус Petya воздействует на главную загрузочную запись (MBR - код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска. Вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код.
Если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. В этом случае файлы все равно останутся зашифрованными, для их расшифровки требуется знание специального ключа.
Локально отключить шифровальщик можно, создав файл C:\Windows\perfc, отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.
Однако если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке C:\Windows\. Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.