ملف فيروس بيتيا. إطلاق أداة فك التشفير Petya.A و WannaCry Ransomware! كيف تتخلصين من بيتيا

فيروس بيتيا- طلب فدية لفك التشفير

بعد ساعات قليلة من بدء الهجوم ، تلقى DATARC المكالمة الأولى وقمنا بتحليل العديد من الخوادم المتأثرة. الاستنتاج الرئيسي: نعم احتمالية غير صفرية لاستعادة البيانات عند مهاجمتها بواسطة فيروس Petya- غالبًا ما يضر الفيروس بنظام الملفات ، لكنه لا يقوم بتشفير البيانات.

تشغيل هذه اللحظةيمكن تصنيف الضرر الذي تم تحليله.

إمكانية استعادة البيانات بنسبة 100٪

ربما يحتوي الفيروس على أخطاء - فهو لا ينفذ دائمًا خوارزميته ، وليس لديه الوقت لتشفير البيانات ، ويكسر أداة تحميل التشغيل. لقد رأينا خيارات الضرر هذه:

1. البيانات غير مشفرة ، MBR تالفة
2. البيانات غير مشفرة ومحمل إقلاع MBR + NTFS تالف
3. البيانات غير مشفرة ، محمل الإقلاع MBR + NTFS + MFT تالف - تم اكتشاف القرص على أنه RAW

استعادة البيانات ممكنة ، الخسارة أكثر من 0٪

في الحالات التي يحدث فيها التشفير ، قد تظل بعض الملفات كما هي. لقد رأينا خيارات الضرر هذه:

1. يتم تشفير محرك الأقراص C: فقط - الباقي محركات أقراص منطقيةابقى بخير
2. ليست كل الملفات الموجودة على محرك الأقراص C مشفرة:
3. يتم تشفير سجل MFT فقط ، وتظل محتويات الملف دون تغيير.

فك التشفير من الإصدار القديم لا يعمل

يعد الإصدار الحالي من Petya (على الأرجح) استمرارًا لهجوم 2016 (انظر https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ و https://securelist.com/petya- واثنين في واحد طروادة / 74609 /). ل نسخة قديمةتم إنشاء تقنية تخمين مفتاح فك التشفير (راجع https://github.com/leo-stone/hack-petya). تم تغيير فيروس 2017 والتقنية القديمة لا تعمل.

على سبيل المثال ، في الإصدار القديم من الفيروس ، تم تخزين MBR في القطاع 55 و "تشفير" بـ XOR 0x37. الخامس نسخة جديدةيتم تخزين MBR في القطاع 34 ويتم "تشفيره" باستخدام XOR 0x07.

تشفير MBR:

تشفير MBR:

فيروس بيتيا - MBR بعد فك التشفير

ماذا تفعل إذا أصيب جهاز الكمبيوتر الخاص بك

يتم تثبيت برامج مكافحة الفيروسات على جهاز الكمبيوتر لكل مستخدم تقريبًا ، ولكن في بعض الأحيان يظهر حصان طروادة أو فيروس قادر على تجاوز أكثر حماية أفضلوتصيب جهازك ، أو الأسوأ من ذلك ، تشفير بياناتك. هذه المرة ، كان هذا الفيروس هو حصان طروادة بيتيا المشفر أو ، كما يطلق عليه أيضًا ، بيتيا. معدل الانتشار التهديدمثير للإعجاب: في غضون يومين تمكن من "زيارة" روسيا وأوكرانيا وإسرائيل وأستراليا والولايات المتحدة وجميع الدول الأوروبية الكبرى وليس فقط. لقد أصاب بشكل أساسي مستخدمي الشركات (المطارات ومحطات الطاقة وصناعة السياحة) ، ولكن أيضًا الناس العاديين... من حيث حجمها وأساليب تأثيرها ، فهي تشبه إلى حد بعيد النطاق المثير مؤخرًا.

يجب عليك بلا شك حماية جهاز الكمبيوتر الخاص بك حتى لا تقع ضحية لبرنامج Petya ransomware Trojan الجديد. في هذا المقال سوف أخبرك ما هو فيروس "بيتيا" وكيف ينتشر وكيف تحمي نفسك من هذا التهديد. بالإضافة إلى ذلك ، سنتطرق إلى مشكلات إزالة حصان طروادة وفك تشفير المعلومات.

ما هو فيروس "بيتيا"؟

أولاً ، نحن بحاجة إلى فهم ماهية بيتيا. فيروس بيتيا هو برنامج ضار مثل حصان طروادة مثل رانسوم وير (رانسومواري). تهدف هذه الفيروسات إلى ابتزاز أصحاب الأجهزة المصابة للحصول على فدية مقابل البيانات المشفرة. على عكس اريد البكاء، لا تهتم Petya بتشفير الملفات الفردية - فهي "تزيل" كل شيء على الفور تقريبًا HDDتماما.

الاسم الصحيح للفيروس الجديد هو Petya.A. بالإضافة إلى ذلك ، يسميها Kaspersky NotPetya / ExPetr.

وصف فيروس "بيتيا"

بمجرد دخوله إلى جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows ، يقوم Petya بالتشفير على الفور تقريبًا MFT(جدول الملف الرئيسي). ما هي مسؤولية هذا الجدول؟

تخيل أن محرك الأقراص الثابتة الخاص بك هو أكبر مكتبة في الكون بأسره. يحتوي على مليارات الكتب. فكيف تجد الكتاب الذي تريده؟ فقط باستخدام فهرس المكتبة. هذا هو الدليل الذي يدمر بيتيا. وبالتالي ، تفقد أي فرصة للعثور على أي "ملف" على جهاز الكمبيوتر الخاص بك. لنكون أكثر دقة ، بعد "عمل" Petit ، سيشبه محرك الأقراص الثابتة بجهاز الكمبيوتر مكتبة بعد حدوث إعصار ، مع قصاصات من الكتب تتطاير في كل مكان.

وبالتالي ، على عكس Wanna Cry ، التي ذكرتها في بداية المقال ، لا يقوم Petya.A بتشفير ملفات منفصلة، وقضاء قدرًا كبيرًا من الوقت في ذلك - فهو ببساطة يسلبك كل فرصة للعثور عليها.

بعد كل تلاعباته ، يطلب فدية من المستخدمين - 300 دولار ، والتي يجب تحويلها إلى حساب بيتكوين.

من الذي خلق فيروس بيتيا؟

عند إنشاء الفيروس ، استخدم Petya استغلال ("ثقب") في نظام التشغيل Windows يسمى "EternalBlue". أصدرت Microsoft تصحيحًا "يغلق" هذا الثقب قبل بضعة أشهر ، ومع ذلك ، لا يستخدم الجميع نسخة مرخصة من Windows ويقوم بتثبيت جميع تحديثات النظام ، أليس كذلك؟)

كان منشئ "Petit" قادرًا على استخدام إهمال الشركات والمستخدمين الخاصين بحكمة وكسب المال من ذلك. لا تزال هويته مجهولة (ومن غير المرجح أن تكون معروفة)

كيف ينتشر فيروس بيتيا؟

ينتشر فيروس Petya غالبًا تحت ستار المرفقات بـ رسائل البريد الإلكترونيوفي الأرشيفات التي تحتوي على برامج مصابة مقرصنة. يمكن أن يحتوي المرفق على أي ملف على الإطلاق ، بما في ذلك صورة أو mp3 (يبدو ذلك للوهلة الأولى). بعد تشغيل الملف ، سيتم إعادة تشغيل جهاز الكمبيوتر الخاص بك وسيقوم الفيروس بمحاكاة عملية البحث عن القرص أخطاء CHKDSK، وفي هذه اللحظة سوف يعدل سجل التمهيدجهاز الكمبيوتر الخاص بك (MBR). بعد ذلك ، سترى جمجمة حمراء على شاشة جهاز الكمبيوتر الخاص بك. من خلال النقر على أي زر ، يمكنك الوصول إلى نص يُطلب منك فيه الدفع مقابل فك تشفير ملفاتك وتحويل المبلغ المطلوب إلى محفظة بيتكوين.

كيف تحمي نفسك من فيروس بيتيا؟

• أهم شيء وأساسي - اجعله قاعدة لتثبيت التحديثات الخاصة بك نظام التشغيل! هذا مهم للغاية. افعلها الآن ، لا تتأخر.
• انتبه جيدًا لجميع المرفقات المرفقة بالرسائل ، حتى لو كانت رسائل من أشخاص تعرفهم. أثناء الوباء ، من الأفضل استخدامه مصادر بديلةنقل البيانات.
• قم بتنشيط الخيار "إظهار امتدادات الملفات" في إعدادات نظام التشغيل - حتى تتمكن دائمًا من رؤية امتداد الملف الحقيقي.
• قم بتشغيل "التحكم في حساب المستخدم" في إعدادات Windows.
• تحتاج إلى تثبيت واحد منهم لتجنب الإصابة. ابدأ بتثبيت تحديث لنظام التشغيل ، ثم ثبّت برنامج مكافحة فيروسات وستكون أكثر أمانًا من ذي قبل.
• تأكد من عمل "نسخ احتياطية" - احفظ جميع البيانات المهمة على صعب خارجيالقرص أو السحابة. بعد ذلك ، إذا اخترق فيروس Petya جهاز الكمبيوتر الخاص بك وقام بتشفير جميع البيانات ، فسيكون من السهل جدًا عليك تهيئة القرص الصلبوأعد تثبيت نظام التشغيل.
• تحقق دائمًا من أهمية قواعد بيانات مكافحة الفيروسات لديك. تراقب جميع برامج مكافحة الفيروسات الجيدة التهديدات وتستجيب لها في الوقت المناسب عن طريق تحديث توقيعات التهديد.
• تثبيت فائدة مجانيةبرنامج Kaspersky Anti-Ransomware. سيحميك من فيروسات التشفير. لا يعفيك تثبيت هذا البرنامج من الحاجة إلى تثبيت برنامج مكافحة فيروسات.

كيفية إزالة فيروس بيتيا؟

كيفية إزالة Petya.A virus من القرص الصلب الخاص بك؟ إنه للغاية اسأل الفائدة... الحقيقة هي أنه إذا كان الفيروس قد حظر بالفعل بياناتك ، فلن يكون هناك شيء يمكن حذفه. إذا كنت لا تخطط لدفع الفدية (وهو ما لا يجب عليك فعله) ولن تحاول استعادة البيانات الموجودة على القرص في المستقبل ، فأنت تحتاج فقط إلى تهيئة القرص وإعادة تثبيت نظام التشغيل. بعد ذلك لن يكون هناك أثر للفيروس.

إذا كنت تشك في وجود ملف مصاب على القرص الخاص بك ، فقم بفحص القرص باستخدام أحدها ، أو قم بتثبيت برنامج Kaspersky Anti-Virus وقم بإجراء فحص كامل للنظام. أكد المطور أن قاعدة بيانات التوقيع الخاصة به تحتوي بالفعل على معلومات حول هذا الفيروس.

جهاز فك التشفير Petya.A

يقوم Petya.A بتشفير بياناتك باستخدام خوارزمية قوية جدًا. في الوقت الحالي ، لا يوجد حل لفك تشفير المعلومات المقفلة. علاوة على ذلك ، يجب ألا تحاول الوصول إلى البيانات في المنزل.

بلا شك ، كنا نحلم جميعًا بالحصول على أداة فك التشفير المعجزة Petya.A ، لكن ببساطة لا يوجد حل من هذا القبيل. ضرب الفيروس العالم قبل بضعة أشهر ، لكن لم يتم العثور على علاج لفك تشفير البيانات التي قام بتشفيرها.

لذلك ، إذا لم تصبح بعد ضحية لفيروس بيتيا ، فاستمع إلى النصيحة التي قدمتها في بداية المقال. إذا فقدت السيطرة على بياناتك مع ذلك ، فلديك عدة طرق.

• دفع النقود. ليس من المنطقي القيام بذلك!اكتشف الخبراء بالفعل أن منشئ الفيروس لا يستعيد البيانات ، ولا يمكنه التعافي ، بالنظر إلى طريقة التشفير.
• قم بإزالة القرص الصلب من جهازك ، وضعه بعناية في الخزانة وانتظر ظهور وحدة فك التشفير. بالمناسبة ، تعمل Kaspersky Lab باستمرار في هذا الاتجاه. تتوفر أجهزة فك التشفير على موقع No Ransom.
• تهيئة القرص وتثبيت نظام التشغيل. ناقص - ستفقد جميع البيانات.

بيتيا فيروس في روسيا

تعرضت أكثر من 80 شركة للهجوم والإصابة في روسيا وأوكرانيا وقت كتابة هذا التقرير ، بما في ذلك الشركات الكبيرة مثل Bashneft و Rosneft. تشير إصابة البنية التحتية لهذه الشركات الكبيرة إلى خطورة فيروس بيتيا. ليس هناك شك في أن حصان طروادة الفدية سيستمر في الانتشار في جميع أنحاء روسيا ، لذلك يجب عليك الاهتمام بأمن بياناتك واتباع النصائح الواردة في المقالة.

Petya.A و Android و iOS و Mac و Linux

يشعر العديد من المستخدمين بالقلق - "هل يمكن لفيروس بيتيا أن يصيب أجهزتهم تحت ذكري المظهرو iOS. سأسرع في تهدئتهم - لا ، لا يمكن ذلك. إنه مخصص لمستخدمي Windows فقط. الشيء نفسه ينطبق على محبي Linux و Mac - يمكنك النوم بهدوء ، ولا شيء يهددك.

استنتاج

لذلك ناقشنا اليوم بالتفصيل فيروس جديدبيتيا. لقد فهمنا ماهية هذا حصان طروادة وكيف يعمل ، وتعلمنا كيفية حماية أنفسنا من العدوى وإزالة الفيروس ، وأين نحصل على فك تشفير Petya. آمل أن تكون هذه المقالة ونصائح مفيدة لك.

في غضون أيام قليلة ، انتشر هجوم Petya.A الفيروسي إلى عشرات البلدان وتطور إلى حجم الوباء في أوكرانيا ، حيث شارك برنامج إدارة الوثائق والإبلاغ M.E.Doc في انتشار البرنامج الضار. في وقت لاحق ، قال الخبراء إن هدف المهاجمين كان التدمير الكامل للبيانات ، لكن وفقًا للشرطة الإلكترونية في أوكرانيا ، إذا أصيب النظام جزئيًا ، فهناك فرصة لاستعادة الملفات.

كيف يعمل بيتيا

إذا حصل فيروس على حقوق المسؤول ، يحدد الباحثون ثلاثة سيناريوهات رئيسية لتأثيره:

• الكمبيوتر مصاب ومشفّر ، والنظام مخترق تمامًا. تتطلب استعادة البيانات مفتاح سري، وتعرض الشاشة رسالة تطالب بفدية (رغم أنها كذلك).
• الكمبيوتر مصاب ومشفّر جزئيًا - بدأ النظام في تشفير الملفات ، لكن المستخدم أوقف هذه العملية عن طريق إيقاف الطاقة أو بوسائل أخرى.
• الكمبيوتر مصاب ، لكن عملية التشفير لـ MFT لم تبدأ بعد.

في الحالة الأولى ، لا توجد طريقة فعالة لفك تشفير البيانات حتى الآن. الآن يبحث عنه متخصصون من الشرطة الإلكترونية وشركات تكنولوجيا المعلومات خالق فيروس بيتيا الأصلي(مما يسمح لك باستعادة النظام باستخدام المفتاح). إذا كان الجدول الرئيسي لملفات MFT تالفًا جزئيًا أو لم يتأثر على الإطلاق ، فلا تزال هناك فرصة للوصول إلى الملفات.

حددت الشرطة الإلكترونية مرحلتين رئيسيتين من فيروس بيتيا المعدل:

أولاً: الحصول على حقوق المسؤول المميزة (عند استخدام الدليل النشطهم معاقون). أولاً ، يحفظ الفيروس الأصل قسم الاحذيةلنظام التشغيل MBR في الشكل المشفر لعملية bitwise XOR (xor 0x7) ، وبعد ذلك يكتب محمل الإقلاع الخاص به في مكانه. تتم كتابة باقي كود حصان طروادة على القطاعات الأولى من القرص. في هذه المرحلة، ملف نصيحول التشفير ، ولكن لم يتم تشفير البيانات بعد.

تبدأ المرحلة الثانية من تشفير البيانات بعد إعادة تشغيل النظام. يشير Petya بالفعل إلى قطاع التكوين الخاص به ، حيث توجد علامة حول البيانات غير المشفرة. بعد ذلك تبدأ عملية التشفير ، ويتم عرضها على الشاشة كعمل لبرنامج Check Disk. إذا كان قيد التشغيل بالفعل ، فيجب عليك إيقاف تشغيل الطاقة ومحاولة استخدام طريقة استعادة البيانات المقترحة.

ماذا يقدمون

تحتاج أولاً إلى التمهيد من التثبيت قرص Windows... إذا ظهر في نفس الوقت جدول به أقسام من القرص الصلب (أو SSD) ، يمكنك المتابعة إلى إجراء استعادة القرص القابل للتمهيد قطاعات MBR... ثم يجدر فحص القرص بحثًا عن الملفات المصابة. اليوم يتم التعرف على Petya من قبل جميع برامج مكافحة الفيروسات الشائعة.

إذا بدأت عملية التشفير ، لكن المستخدم تمكن من مقاطعتها ، بعد تحميل نظام التشغيل ، من الضروري استخدام برنامج لاستعادة الملفات المشفرة (R-Studio وغيرها). يجب حفظ البيانات في وسائط خارجية وإعادة تثبيت النظام.

كيفية استعادة محمل الإقلاع

لنظام التشغيل Windows XP:

بعد التحميل قرص التثبيتنظام التشغيل Windows XP بتنسيق الرامات "الذاكرة العشوائية في الهواتف والحواسيبسيعرض الكمبيوتر مربع حوار " تثبيت الويندوز XP Professional "من قائمة الاختيار ، حيث تحتاج إلى تحديد العنصر" لاستعادة Windows XP باستخدام وحدة التحكم في الاسترداد ، اضغط على R ". اضغط على مفتاح "R".

سيتم تحميل "وحدة التحكم بالاسترداد".

إذا كان جهاز الكمبيوتر مثبتًا عليه نظام تشغيل واحد وكان مثبتًا (افتراضيًا) على محرك الأقراص C ، فستظهر الرسالة التالية:

"1: C: \ WINDOWS الذي نسخة من Windowsهل يجب عليك تسجيل الدخول؟ "

أدخل الرقم "1" ، اضغط على مفتاح "Enter".

ستظهر رسالة: "أدخل كلمة مرور المسؤول." أدخل كلمة المرور ، واضغط على مفتاح "Enter" (إذا لم تكن هناك كلمة مرور ، فما عليك سوى الضغط على "Enter").

يجب أن يُطلب منك: C: \ WINDOWS> أدخل fixmbr

ثم تظهر الرسالة "تحذير".

"هل تؤكد تسجيل MBR الجديد؟" ، اضغط على مفتاح "Y".

ستظهر رسالة: "يتم إنشاء قطاع تمهيد رئيسي جديد على القرص الفعلي \ Device \ Harddisk0 \ Partition0."

ل نظام التشغيل Windows Vista:

قم بتنزيل Windows Vista. حدد لغتك وتخطيط لوحة المفاتيح. في شاشة الترحيب ، انقر فوق "أعد الكمبيوتر إلى المسار الصحيح". سيقوم Windows Vista بتحرير قائمة الكمبيوتر.

حدد نظام التشغيل الخاص بك وانقر فوق التالي. عندما تظهر نافذة System Recovery Options (خيارات استرداد النظام) ، انقر فوق سطر الأوامر... عندما يظهر موجه الأوامر ، أدخل هذا الأمر:

bootrec / فيكس

انتظر حتى تكتمل العملية. إذا سارت الأمور على ما يرام ، فستظهر رسالة تأكيد على الشاشة.

لنظام التشغيل Windows 7:

ابدأ تشغيل Windows 7. حدد لغتك وتخطيط لوحة المفاتيح وانقر فوق "التالي".

حدد نظام التشغيل الخاص بك وانقر فوق التالي. عند اختيار نظام تشغيل ، يجب عليك تحديد "استخدام أدوات الاسترداد التي يمكن أن تساعد في حل المشاكل مع تشغيل الويندوز».

في شاشة خيارات استرداد النظام ، انقر فوق زر موجه الأوامر. عندما يتم تحميل موجه الأوامر بنجاح ، أدخل الأمر:

bootrec / fixmbr

لنظام التشغيل Windows 8:

ابدأ تشغيل Windows 8. في شاشة الترحيب ، انقر فوق الزر إصلاح جهاز الكمبيوتر الخاص بك.

حدد "استكشاف الأخطاء وإصلاحها". حدد سطر الأوامر ، عند بدء التشغيل ، أدخل:

bootrec / فيكس

اضغط على مفتاح Enter وأعد تشغيل الكمبيوتر.

لنظام التشغيل Windows 10:

ابدأ تشغيل Windows 10. في شاشة الترحيب ، انقر فوق الزر "إصلاح جهاز الكمبيوتر الخاص بك" ، وحدد "استكشاف الأخطاء وإصلاحها".

حدد موجه الأوامر. عند تحميل موجه الأوامر ، أدخل الأمر:

bootrec / فيكس

انتظر حتى تكتمل العملية. إذا سارت الأمور على ما يرام ، فستظهر رسالة تأكيد على الشاشة.

اضغط على مفتاح Enter وأعد تشغيل الكمبيوتر.

فيروس Petya هو فيروس سريع النمو وضع جميع الشركات الكبيرة تقريبًا في أوكرانيا في 27 يونيو 2017. يقوم فيروس Petya بتشفير ملفاتك ثم يقدم فدية لها.

يصيب الفيروس الجديد القرص الصلب لجهاز الكمبيوتر ويعمل كفيروس لتشفير الملفات. عير وقت محدد، "يأكل" فيروس Petya الملفات الموجودة على جهاز الكمبيوتر الخاص بك ويتم تشفيرها (كما لو تم أرشفة الملفات وتعيين كلمة مرور ثقيلة)
الملفات التي عانت من فيروس Petya ransomware لا يمكن استعادتها لاحقًا (هناك نسبة ستتمكن من استعادتها ، لكنها صغيرة جدًا)
لا توجد خوارزمية تستعيد الملفات المصابة بفيروس بيتيا
بمساعدة هذه المقالة القصيرة والأكثر إفادة ، يمكنك حماية نفسك من فيروس #Petya

كيفية اكتشاف فيروس Petya أو WannaCry وعدم الإصابة

عند تحميل ملف عبر الإنترنت ، تحقق منه باستخدام أحد برامج مكافحة الفيروسات عبر الإنترنت. يمكن لبرامج مكافحة الفيروسات عبر الإنترنت الكشف مسبقًا عن الفيروس في الملف ومنع الإصابة بفيروس Petya. كل ما عليك فعله هو التحقق من الملف الذي تم تنزيله باستخدام VirusTotal ، ثم تشغيله. حتى إذا قمت بتنزيل فيروس بيتيا ، لكنك لم تقم بتشغيل ملف الفيروس ، فإن الفيروس غير نشط ولا يسبب أي ضرر. فقط بعد تشغيل ملف ضار تقوم بتشغيل فيروس ، تذكر هذا

إن استخدام هذه الطريقة فقط حتى يمنحك كل فرصة لعدم المشاركة في فيروس بيتيا
يبدو فيروس بيتيا كالتالي:

كيف تحمي نفسك من فيروس بيتيا

شركة سيمانتيكعرضت حلاً يسمح لك بحماية نفسك من فيروس Petya ، متظاهرًا أنك قمت بالفعل بتثبيته.
عندما يدخل فيروس Petya إلى الكمبيوتر ، يتم إنشاؤه في المجلد ج: \ Windows \ perfcملف بيرفكأو ملف perfc.dll
لجعل الفيروس يعتقد أنه مثبت بالفعل ولا يواصل نشاطه ، أنشئ في المجلد ج: \ Windows \ perfcملف بمحتوى فارغ وحفظه عن طريق ضبط وضع التغيير على "للقراءة فقط"
أو قم بتنزيل virus-petya-perfc.zip وفك ضغط المجلد بيرفكإلى مجلد ج: \ ويندوز \وضبط وضع التغيير على "للقراءة فقط"
تحميل virus-petya-perfc.zip

تم التحديث في 2017/06/29
أوصي أيضًا بتحميل كلا الملفين بتنسيق مجلد Windows... تكتب العديد من المصادر أن الملف بيرفكأو ملف perfc.dllيجب أن يكون في المجلد ج: \ ويندوز \

ماذا تفعل إذا كان جهاز الكمبيوتر الخاص بك مصابًا بالفعل بفيروس بيتيا

لا تقم بتشغيل جهاز كمبيوتر أصابك بالفعل بفيروس Petya. يعمل فيروس Petya بطريقة تعمل على تشفير الملفات أثناء تشغيل الكمبيوتر المصاب. أي طالما أنك تحافظ على إصابة الكمبيوتر بفيروس Petya قيد التشغيل ، يمكن إصابة الملفات الجديدة والجديدة وتشفيرها.
وينشستر هذا الحاسوبيستحق التدقيق بها. يمكنك التحقق من ذلك باستخدام LIVECD أو LIVEUSB مع برنامج مكافحة الفيروسات
محرك أقراص فلاش USB قابل للتشغيل مع Kaspersky Rescue Disk 10
محرك أقراص فلاش USB قابل للتشغيل من Dr.Web LiveDisk

من نشر فيروس بيتيا في جميع أنحاء أوكرانيا

أعربت Microsoft عن وجهة نظرها بشأن العدوى العالمية للشبكة في الشركات الكبيرةأوكرانيا. كان السبب هو التحديث لبرنامج M.E.Doc. M.E.Doc هو برنامج محاسبة شائع ، وهذا هو سبب حدوث ثقب كبير في الشركة ، مثل الحصول على فيروس في تحديث وتثبيت فيروس Petya على آلاف أجهزة الكمبيوتر التي تشغل برنامج M.E.Doc. ونظرًا لأن الفيروس يصيب أجهزة الكمبيوتر الموجودة على نفس الشبكة ، فقد انتشر بسرعة البرق.
#: فيروس Petya يصيب Android ، فيروس Petya ، كيفية اكتشاف وإزالة فيروس Petya ، فيروس Petya كيفية علاجه ، M.E.Doc ، Microsoft ، إنشاء مجلد Petya virus

قبل بضعة أشهر ، اكتشفنا نحن ومتخصصون آخرون في أمن تكنولوجيا المعلومات برنامجًا ضارًا جديدًا - Petya (Win32.Trojan-Ransom.Petya.A)... بالمعنى الكلاسيكي ، لم يكن أحد برامج الفدية ، فقد منع الفيروس ببساطة الوصول إلى أنواع معينة من الملفات وطالب بفدية. قام الفيروس بتعديل سجل التمهيد على القرص الصلب ، وأعاد تشغيل الكمبيوتر بالقوة وأظهر رسالة تفيد بأن "البيانات مشفرة - ادفع أموالك لفك التشفير." بشكل عام ، يعد هذا مخططًا قياسيًا لفيروس التشفير ، باستثناء أن الملفات لم يتم تشفيرها بالفعل. بدأت معظم برامج مكافحة الفيروسات الشائعة في تحديد وإزالة Win32.Trojan-Ransom.Petya. بعد أسابيع قليلة من صدوره. بالإضافة إلى ذلك ، كانت هناك تعليمات ل الإزالة اليدوية... لماذا نعتقد أن Petya ليس برنامج رانسومواري كلاسيكي؟ يغير هذا الفيروس سجل التمهيد الرئيسي ويمنع بدء تشغيل نظام التشغيل ، كما يقوم أيضًا بتشفير جدول الملفات الرئيسية. لا يقوم بتشفير الملفات نفسها.

ومع ذلك ، قبل بضعة أسابيع ، ظهر فيروس أكثر تعقيدًا. ميشا، على ما يبدو كتبها نفس المحتالين. يقوم هذا الفيروس ENCRYPTS بملفات ويتطلب منك دفع مقابل فك التشفير 500 - 875 دولارًا (بتنسيق إصدارات مختلفة 1.5 - 1.8 بيتكوين). يتم تخزين تعليمات "فك التشفير" والدفع مقابل ذلك في الملفين YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT.

فيروس ميشا - محتوى ملف YOUR_FILES_ARE_ENCRYPTED.HTML

الآن ، في الواقع ، يصيب المتسللون أجهزة كمبيوتر المستخدمين ببرنامجين ضارين: بيتيا وميشا. يحتاج الأول إلى حقوق المسؤول على النظام. بمعنى ، إذا رفض المستخدم منح حقوق مسؤول Petya أو حذف هذه البرامج الضارة يدويًا ، فسيتم تضمين Mischa في الحالة. لا يحتاج هذا الفيروس إلى حقوق المسؤول ، فهو عبارة عن برنامج رانسوم وير كلاسيكي ويقوم بالفعل بتشفير الملفات باستخدام خوارزمية AES القوية ولا يُجري أي تغييرات على سجل التمهيد الرئيسي وجدول الملفات على القرص الصلب للضحية.

لا تقوم برامج Mischa بتشفير أنواع الملفات القياسية فقط (مقاطع الفيديو والصور والعروض التقديمية والمستندات) ، ولكن أيضًا ملفات exe. لا يؤثر الفيروس فقط على الدلائل \ Windows ، \ $ Recycle.Bin ، \ Microsoft ، \ موزيلا فايرفوكس، \ أوبرا، \ متصفح الانترنتو \ Temp و \ Local و \ LocalLow و \ Chrome.

تحدث العدوى بشكل رئيسي من خلال البريد الإلكتروني، حيث تأتي الرسالة مع ملف مرفق - مثبت فيروسات. يمكن تشفيرها بموجب خطاب من مكتب الضرائب ، من محاسبك ، كإيصالات وإيصالات شراء مرفقة ، إلخ. انتبه إلى امتدادات الملفات في مثل هذه الحروف - إذا كانت كذلك ملف تنفيذي(.exe) ، فمع وجود احتمال كبير يمكن أن يكون حاوية بها فيروس Petya \ Mischa. وإذا كان تعديل البرنامج الضار جديدًا ، فقد لا يتفاعل برنامج مكافحة الفيروسات.

تحديث 06/30/2017: 27 يونيو نسخة معدلة من فيروس بيتيا (بيتيا أ)هاجموا مستخدمين على نطاق واسع في أوكرانيا. كان تأثير هذا الهجوم هائلاً ولم يتم حساب الضرر الاقتصادي بعد. في يوم واحد أصيب عمل عشرات البنوك بالشلل ، سلاسل البيع بالتجزئة, وكالات الحكومةوالشركات ذات الأشكال المختلفة للملكية. انتشر الفيروس بشكل أساسي من خلال ثغرة أمنية في نظام الإبلاغ المحاسبي الأوكراني MeDoc بآخر تحديث تلقائي لهذا البرنامج. بالإضافة إلى ذلك ، أصاب الفيروس دولًا مثل روسيا وإسبانيا وبريطانيا العظمى وفرنسا وليتوانيا.

إزالة فيروس Petya و Mischa بمنظف تلقائي

طريقة فعالة للغاية للتعامل مع البرامج الضارة بشكل عام وبرامج الفدية بشكل خاص. يضمن استخدام مجمع وقائي مثبت جيدًا دقة الكشف عن أي مكونات فيروسية ، خاصة بهم الإزالة الكاملةبنقرة واحدة. يرجى ملاحظة أننا نتحدث عن عمليتين مختلفتين: إلغاء تثبيت العدوى واستعادة الملفات على جهاز الكمبيوتر الخاص بك. ومع ذلك ، يجب بالتأكيد إزالة التهديد ، حيث توجد معلومات حول إدخال أحصنة طروادة للكمبيوتر الأخرى بمساعدتها.

1. ... بعد بدء البرنامج ، انقر فوق الزر ابدأ فحص الكمبيوتر(ابدأ المسح).
2. سيوفر البرنامج المثبت تقريرًا عن التهديدات المكتشفة أثناء الفحص. لإزالة جميع التهديدات التي تم العثور عليها ، حدد الخيار إصلاح التهديدات(القضاء على التهديدات). ستتم إزالة البرامج الضارة المعنية تمامًا.

استعادة الوصول إلى الملفات المشفرة

كما لوحظ ، يقوم Mischa ransomware بتأمين الملفات باستخدام خوارزمية تشفير قوية بحيث لا يمكن استعادة البيانات المشفرة بنقرة واحدة. عصا سحرية- إذا لم تأخذ في الاعتبار دفع مبلغ فدية لم يُسمع به (يصل أحيانًا إلى 1000 دولار). لكن بعض الطرق يمكن أن تصبح حقًا منقذًا تساعدك على استعادة البيانات المهمة. أدناه يمكنك التعرف عليهم.

برنامج الاسترداد التلقائيملفات (فك)

هناك ظرف غير عادي للغاية معروف. هذه العدوى تمحو ملفات المصدرفي شكل غير مشفر. وبالتالي ، فإن عملية تشفير برامج الفدية تستهدف نسخًا منها. هذا يوفر فرصة لمثل هذا البرمجياتكيفية استعادة العناصر المحذوفة ، حتى لو كانت موثوقية إزالتها مضمونة. يوصى بشدة باللجوء إلى إجراءات استرداد الملفات ، فعاليتها لا شك فيها.

النسخ الاحتياطية لوحدة التخزين

النهج يعتمد على إجراء Windows نسخة احتياطيةالملفات ، والتي تتكرر في كل نقطة استرداد. شرط مهمالشغل هذه الطريقة: يجب تنشيط استعادة النظام قبل الإصابة. ومع ذلك ، لن يتم عرض أي تغييرات يتم إجراؤها على الملف بعد نقطة الاستعادة في النسخة المستعادة من الملف.

دعم

هذه هي أفضل طرق عدم الاسترداد. إذا تم استخدام إجراء نسخ البيانات احتياطيًا إلى خادم خارجي قبل هجوم برنامج الفدية على جهاز الكمبيوتر الخاص بك ، لاستعادة الملفات المشفرة ، فأنت تحتاج ببساطة إلى إدخال الواجهة المناسبة وتحديد الملفات الضرورية وبدء آلية استعادة البيانات من النسخة الاحتياطية. قبل إجراء العملية ، تحتاج إلى التأكد من إزالة برنامج الفدية بالكامل.

تحقق من المكونات المتبقية المحتملة من Petya و Mischa ransomware

التنظيف في الوضع اليدويمحفوف بحذف أجزاء معينة من برامج الفدية التي يمكن أن تتجنب الحذف في شكل كائنات مخفية لنظام التشغيل أو إدخالات التسجيل. للتخلص من مخاطر الحفظ الجزئي لبعض العناصر الضارة ، قم بفحص جهاز الكمبيوتر الخاص بك باستخدام أمان موثوق حزمة البرامجمتخصص في البرمجيات الخبيثة.

قبل أيام قليلة ، ظهر مقال على موردنا حول كيفية حماية نفسك من الفيروس وأنواعه. في نفس التعليمات ، سننظر في أسوأ سيناريو - جهاز الكمبيوتر الخاص بك مصاب. بطبيعة الحال ، بعد الاسترداد ، يحاول كل مستخدم استعادة بياناته ومعلوماته الشخصية. ستركز هذه المقالة على أكثر الطرق ملاءمة وفعالية لاستعادة البيانات. يجدر التفكير في أن هذا بعيد كل البعد عن أن يكون ممكنًا دائمًا ، لذلك لن نقدم أي نوع من الضمان.

سننظر في ثلاثة سيناريوهات رئيسية يمكن للأحداث أن تتطور وفقًا لها:
1. أصيب الكمبيوتر بفيروس Petya.A (أو متغيراته) وهو مشفر والنظام مغلق بالكامل. لاستعادة البيانات ، تحتاج إلى إدخال مفتاح خاص يتعين عليك دفع ثمنه. يجب أن يقال على الفور أنه حتى لو دفعت ، فلن يحرر القفل ولن يعيدك الوصول إلى جهاز الكمبيوتر الشخصي الخاص بك.

2. خيار يوفر للمستخدم المزيد من الخيارات لـ مزيد من العمل- أصيب جهاز الكمبيوتر الخاص بك وبدأ الفيروس في تشفير بياناتك ، ولكن تم إيقاف التشفير (على سبيل المثال ، عن طريق فصل الطاقة).

3. الخيار الأخير هو الأكثر ملاءمة. جهاز الكمبيوتر الخاص بك مصاب ، لكن التشفير نظام الملفاتلم تبدأ بعد.

إذا كان لديك الموقف رقم 1 ، فهذا يعني أن جميع بياناتك مشفرة ، ثم هذه المرحلةغائب طريقة فعالةلاستعادة معلومات المستخدم. من المحتمل أن تظهر هذه الطريقة في غضون أيام أو أسابيع قليلة ، ولكن في الوقت الحالي متخصصون مع الجميع في مجال المعلومات و حماية الحاسوباللغز فوقها.

إذا لم تبدأ عملية التشفير أو لم تكتمل تمامًا ، فيجب على المستخدم مقاطعتها فورًا (يتم عرض التشفير على أنه عملية النظامشغل القرص). إذا تمكنت من تحميل نظام التشغيل ، فقم على الفور بتثبيت أي برنامج مكافحة فيروسات حديث (كلهم يتعرفون حاليًا على Petya ويقومون بإجراء مسح كامل لجميع الأقراص. إذا لم يتم تشغيل Windows ، فسيتعين على مالك الجهاز المصاب استخدام النظام أقراص أو محرك أقراص فلاش لاستعادة قطاع التمهيد MBR) ...

إصلاح محمل الإقلاع على نظام التشغيل Windows XP

بعد التحميل قرص النظاممع نظام التشغيل Windows XP ، سيتم تقديمك مع خيارات للعمل. في نافذة "تثبيت Windows XP Professional" ، حدد "لاستعادة Windows XP باستخدام Recovery Console ، اضغط R". وهو أمر منطقي ، سوف تحتاج إلى الضغط على R. على لوحة المفاتيح ، يجب أن ترى وحدة التحكم لاستعادة القسم والرسالة:

"" 1: C: \ WINDOWS ما هي نسخة Windows التي يجب عليك تسجيل الدخول إليها؟ ""

إذا كان لديك إصدار واحد من Windows XP مثبتًا ، فقم بإدخال "1" من لوحة المفاتيح واضغط على Enter. إذا كان لديك عدة أنظمة ، فأنت بحاجة إلى تحديد النظام الذي تريده. سترى رسالة تطلب كلمة مرور المسؤول. إذا لم تكن هناك كلمة مرور ، فما عليك سوى الضغط على Enter ، وترك الحقل فارغًا. بعد ذلك سيظهر سطر على الشاشة أدخل كلمة " fixmbr"

يجب أن تظهر الرسالة التالية: "تحذير! هل تؤكد كتابة MBR الجديد؟ ، اضغط على مفتاح "Y" على لوحة المفاتيح.
ستظهر الإجابة: "يتم إنشاء قطاع تمهيد رئيسي جديد على القرص الفعلي ...."
"الرئيسية الجديدة قسم التمهيدتم إنشاؤه بنجاح. "

إصلاح محمل الإقلاع في نظام التشغيل Windows Vista

أدخل قرصًا أو محرك أقراص USB محمولًا بنظام التشغيل Windows Vista. بعد ذلك ، تحتاج إلى تحديد السطر "استعادة أداء جهاز الكمبيوتر الخاص بك". حدد نظام التشغيل Windows Vista (إذا كان لديك أكثر من واحد) الذي تريد استعادته. عندما تظهر نافذة بها خيارات الاسترداد ، انقر فوق موجه الأوامر. في موجه الأوامر ، أدخل الأمر " bootrec / فيكس".

إصلاح محمل الإقلاع على نظام التشغيل Windows 7

أدخل قرصًا أو محرك أقراص USB محمولًا مع نظام التشغيل Windows 7. حدد نظام التشغيل Windows 7. (إذا كان لديك العديد) الذي تريد استعادته. حدد الخيار "استخدام أدوات الاسترداد التي يمكن أن تساعد في حل مشاكل بدء تشغيل Windows." بعد ذلك ، حدد "سطر الأوامر". بعد تحميل سطر الأوامر ، أدخل " bootrec / fixmbr

إصلاح محمل الإقلاع على نظام التشغيل Windows 8

أدخل قرصًا أو محرك أقراص USB محمولًا مع نظام التشغيل Windows 8. في الشاشة الرئيسية ، حدد "إصلاح جهاز الكمبيوتر الخاص بك" في الزاوية اليسرى السفلية. حدد "استكشاف الأخطاء وإصلاحها". حدد سطر الأوامر ، عند بدء التشغيل ، أدخل: "bootrec / FixMbr"

إصلاح برنامج bootloader على نظام التشغيل Windows 10

أدخل قرصًا أو محرك أقراص فلاش مع Windows 10. في الشاشة الرئيسية ، حدد "إصلاح جهاز الكمبيوتر الخاص بك" في الزاوية اليسرى السفلية. حدد "استكشاف الأخطاء وإصلاحها". حدد سطر الأوامر ، عند بدء التشغيل ، أدخل: "bootrec / FixMbr"إذا سارت الأمور على ما يرام ، فسترى رسالة مقابلة وكل ما تبقى هو إعادة تشغيل جهاز الكمبيوتر الخاص بك.

(Petya.A) ، وقدم بعض النصائح.

وفقًا لـ SBU ، حدثت إصابة أنظمة التشغيل بشكل أساسي من خلال فتح تطبيقات ضارة ( مستندات Word، ملفات PDF) التي تم توجيهها إلى ملفات عناوين البريد الإلكترونيالعديد من الهياكل التجارية والحكومية.

"الهجوم ، الذي كان الغرض الرئيسي منه هو توزيع ملف Petya.A الفدية ، استغل ثغرة شبكة MS17-010 ، ونتيجة لذلك تم تثبيت مجموعة من البرامج النصية على الجهاز المصاب ، والتي استخدمها مجرمو الإنترنت لإطلاق قال ملف الفدية "، قال ادارة امن الدولة.

يهاجم الفيروس أجهزة الكمبيوتر التي تعمل بنظام Windows عن طريق تشفير ملفات المستخدم ، وبعد ذلك يعرض رسالة حول تحويل الملفات مع اقتراح بدفع ثمن مفتاح فك التشفير في عملات البيتكوين بما يعادل 300 دولار لإلغاء تأمين البيانات.

"البيانات المشفرة ، للأسف ، لا يمكن فك تشفيرها. وقال ادارة امن الدولة "يستمر العمل على القدرة على فك تشفير البيانات المشفرة".

ماذا تفعل لتحمي نفسك من الفيروس

1. إذا كان الكمبيوتر قيد التشغيل ويعمل بشكل طبيعي ، ولكنك تشك في أنه قد يكون مصابًا ، فلا تقم بإعادة تشغيله بأي حال من الأحوال (إذا كان الكمبيوتر تالفًا بالفعل ، فلا تقم بإعادة تشغيله أيضًا) - يتم تشغيل الفيروس عند إعادة التشغيل ويقوم بتشفير الكل الملفات الموجودة على الكمبيوتر ...

2. حفظ أكثر ملفات قيمةعلى وسائط منفصلة غير متصلة بالكمبيوتر ، والأفضل - قم بعمل نسخة احتياطية مع نظام التشغيل.

3. لتحديد تشفير الملف ، أكمل جميع المهام المحلية وتحقق من وجودها الملف التالي: C: /Windows/perfc.dat

4. بناءً على إصدار نظام التشغيل Windows ، قم بتثبيت التصحيح.

5. تأكد من أن على الإطلاق أنظمة الكمبيوترتم تثبيت برنامج مكافحة فيروسات يعمل بشكل صحيح ويستخدم قاعدة بيانات محدثة لتوقيع الفيروسات. قم بتثبيت وتحديث برنامج مكافحة الفيروسات إذا لزم الأمر.

6. لتقليل مخاطر الإصابة ، يجب أن تكون حريصًا بشأن جميع مراسلات البريد الإلكتروني ، ولا تقم بتنزيل أو فتح المرفقات في الرسائل المرسلة من أشخاص مجهولين. إذا تلقيت خطابًا من عنوان معروف يثير الشك ، فاتصل بالمرسل وتأكد من إرسال الرسالة.

7. يصنع النسخ الاحتياطيةكل البيانات الهامة.

لإحضار المعلومات المحددة إلى موظفي الأقسام الهيكلية ، لمنع الموظفين من العمل مع أجهزة الكمبيوتر التي لم يتم تثبيت التصحيحات المحددة عليها ، بغض النظر عن حقيقة الاتصال بالشبكة المحلية أو الإنترنت.

من الممكن محاولة استعادة الوصول إلى جهاز كمبيوتر يعمل بنظام Windows تم حظره بواسطة فيروس محدد.

نظرًا لأن البرنامج الضار المحدد يقوم بإجراء تغييرات على سجلات MBR ، ولهذا السبب ، بدلاً من تحميل نظام التشغيل ، يظهر للمستخدم نافذة بها نص حول تشفير الملفات. تم حل هذه المشكلة عن طريق استعادة سجل MBR. لهذا هناك المرافق الخاصة... استخدمت SBU الأداة المساعدة Boot-Repair لهذا (الإرشادات الموجودة على الرابط).

ب). قم بتشغيله وتأكد من تحديد جميع المربعات في نافذة "القطع الأثرية المراد تجميعها".

ج). في علامة التبويب "وضع مجموعة سجل Eset" ، اضبط الإعداد الأولي كود ثنائيالقرص.

د). انقر فوق الزر "جمع".

ه). إرسال أرشيف مع السجلات.

إذا تم تشغيل الكمبيوتر المتأثر ولم يتم إيقاف تشغيله بعد ، فانتقل إلى التنفيذ

ص .3 لجمع المعلومات التي ستساعد في كتابة وحدة فك ترميز ،

ص 4 لعلاج النظام.

من جهاز كمبيوتر مصاب بالفعل (لا يتم التمهيد) ، تحتاج إلى جمع MBR لمزيد من التحليل.

يمكنك جمعها حسب التعليمات التالية:

أ). قم بتنزيل ESET SysRescue Live CD أو USB (الإنشاء كما هو موضح في القسم 3)

ب). وافق على ترخيص الاستخدام

ج). اضغط على CTRL + ALT + T (سيتم فتح المحطة الطرفية)

د). اكتب الأمر "parted -l" بدون علامات اقتباس ، معلمة هذا هي حرف صغير "L" واضغط

ه). راجع قائمة محركات الأقراص وحدد الكمبيوتر المصاب (يجب أن يكون واحدًا من / dev / sda)

F). اكتب الأمر "dd if = / dev / sda من = / home / eset / petya.img bs = 4096 count = 256" بدون علامات اقتباس ، بدلاً من "/ dev / sda" استخدم القرص الذي حددته في الخطوة السابقة واضغط (سيتم إنشاء ملف / الصفحة الرئيسية / eset / petya.img)

ز). قم بتوصيل محرك أقراص فلاش وانسخ الملف / home/eset/petya.img

ح). يمكن إيقاف تشغيل الكمبيوتر.

انظر أيضًا - Omelyan حول الحماية من الهجمات الإلكترونية

Omelyan حول الحماية من الهجمات الإلكترونية

اشترك في الأخبار

ربما تكون على دراية بالفعل بتهديد القراصنة المسجل في 27 يونيو 2017 في دول روسيا وأوكرانيا ، والتي تعرضت لهجوم واسع النطاق مشابه لـ WannaCry. يقوم الفيروس بحظر أجهزة الكمبيوتر ويطلب فدية في عملات البيتكوين لفك تشفير الملفات. في المجموع ، تأثرت أكثر من 80 شركة في كلا البلدين ، بما في ذلك روسنفت الروسية وباشنفت.

قام فيروس رانسوم وير ، مثل WannaCry سيئ السمعة ، بحظر جميع بيانات الكمبيوتر ويطالب بتحويل فدية من عملات البيتكوين ، تعادل 300 دولار ، إلى المجرمين. ولكن على عكس Wanna Cry ، لا يكلف Petya عناء تشفير الملفات الفردية - فهو "يأخذ" محرك الأقراص الثابتة بالكامل على الفور تقريبًا.

الاسم الصحيح لهذا الفيروس هو Petya.A. يكشف تقرير ESET عن بعض ميزات Diskcoder.C (المعروف أيضًا باسم ExPetr أو PetrWrap أو Petya أو NotPetya)

وبحسب إحصاءات جميع الضحايا ، فقد انتشر الفيروس في رسائل التصيد الإلكتروني التي تحتوي على مرفقات مصابة. عادة ما تأتي الرسالة مع طلب فتح مستند نصي، ولكن كما نعلم ملحق الملف الثاني رسالة قصيرة.إملف تنفيذىمخفي ، وامتداد الملف الأخير له الأسبقية. التشغيل الافتراضي نظام ويندوزلا تعرض امتدادات الملفات وهي تبدو كالتالي:

في 8.1 في نافذة المستكشف (عرض \ خيارات المجلد \ قم بإلغاء تحديد خانة الاختيار إخفاء الامتدادات لأنواع الملفات المسجلة)

في 7 في نافذة المستكشف (Alt \ Tools \ Folder options \ قم بإلغاء تحديد خانة الاختيار إخفاء الامتدادات لأنواع الملفات المسجلة)

وأسوأ شيء هو أن المستخدمين لا يخجلون حتى من أن الرسائل تأتي من مستخدمين مجهولين ويطلبون فتح ملفات غير مفهومة.

بعد فتح الملف يرى المستخدم " شاشة زرقاءمن الموت".

بعد إعادة التشغيل ، يبدو أنه يتم تشغيل "Scan Disk" ، في الواقع يقوم الفيروس بتشفير الملفات.

على عكس برامج الفدية الأخرى ، بمجرد إطلاق هذا الفيروس ، فإنه يعيد تشغيل جهاز الكمبيوتر الخاص بك على الفور ، وعندما يتم إعادة تشغيله مرة أخرى ، تظهر رسالة على الشاشة: "لا تقم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك! إذا أوقفت هذه العملية ، فقد تدمر جميع بياناتك! يرجى التأكد من أن جهاز الكمبيوتر الخاص بك متصل بالشاحن! ". على الرغم من أنه قد يبدو خطأ في النظامفي الواقع ، يقوم بيتيا حاليًا بإجراء التشفير بصمت في وضع التخفي. إذا حاول المستخدم إعادة تشغيل النظام أو إيقاف تشفير الملفات ، يظهر هيكل عظمي أحمر وامض على الشاشة مع النص "اضغط على أي مفتاح!". أخيرًا ، بعد الضغط على المفتاح ، ستظهر نافذة جديدة مع ملاحظة الفدية. في هذه المذكرة ، يُطلب من الضحية دفع 0.9 بيتكوين ، أي ما يقرب من 400 دولار. ومع ذلك ، هذا هو ثمن جهاز كمبيوتر واحد فقط. لذلك ، بالنسبة للشركات التي لديها العديد من أجهزة الكمبيوتر ، يمكن أن يكون المبلغ بالآلاف. ما يميز برنامج الفدية هذا أيضًا أنه يمنحك أسبوعًا كاملاً لدفع الفدية ، بدلاً من 12-72 ساعة المعتادة التي تمنحها الفيروسات الأخرى في هذه الفئة.

علاوة على ذلك ، فإن المشاكل مع بيتيا لا تنتهي عند هذا الحد. بعد دخول هذا الفيروس إلى النظام ، سيحاول إعادة الكتابة ملفات التمهيد Windows ، أو ما يسمى بمعالج تسجيل التمهيد ، مطلوب لتشغيل نظام التشغيل. لن تتمكن من إزالة فيروس Petya من جهاز الكمبيوتر الخاص بك إذا لم تقم باستعادة إعدادات السجل الرئيسي القابل للتمهيد (MBR). حتى إذا تمكنت من تصحيح هذه الإعدادات وإزالة الفيروس من نظامك ، للأسف ، ستظل ملفاتك مشفرة ، لأن إزالة الفيروس لا يؤدي إلى فك تشفير الملفات ، بل يؤدي ببساطة إلى حذف الملفات المعدية. بالطبع ، تعد إزالة الفيروسات أمرًا ضروريًا إذا كنت ترغب في مواصلة العمل مع جهاز الكمبيوتر الخاص بك

بمجرد تشغيل جهاز الكمبيوتر الذي يعمل بنظام Windows ، يقوم Petya بتشفير MFT (جدول الملفات الرئيسي) على الفور تقريبًا. ما هي مسؤولية هذا الجدول؟

تخيل أن محرك الأقراص الثابتة الخاص بك هو أكبر مكتبة في الكون بأسره. يحتوي على مليارات الكتب. فكيف تجد الكتاب الذي تريده؟ فقط باستخدام فهرس المكتبة. هذا هو الدليل الذي يدمر بيتيا. وبالتالي ، تفقد أي فرصة للعثور على أي "ملف" على جهاز الكمبيوتر الخاص بك. لنكون أكثر دقة ، بعد أن "يعمل" بيتيا على القرص الصلب لجهاز الكمبيوتر الخاص بك سوف يشبه مكتبة بعد إعصار ، مع قصاصات من الكتب تتطاير في كل مكان.

وبالتالي ، على عكس Wanna Cry ، لا يقوم Petya.A بتشفير الملفات الفردية ، مما يؤدي إلى إضاعة قدر كبير من الوقت - إنه ببساطة يزيل كل فرصة لديك للعثور عليها.

من الذي خلق فيروس بيتيا؟

عند إنشاء الفيروس ، استخدم Petya استغلال ("ثقب") في نظام التشغيل Windows يسمى "EternalBlue". أصدرت Microsoft تصحيحًا كيلوبايت 4012598(من البرامج التعليمية WannaCry التي تم إصدارها سابقًا ، تحدثنا بالفعل عن هذا التحديث ، الذي "يغلق" هذه الفجوة.

كان مبتكر "Petya" قادرًا على استخدام إهمال الشركات والمستخدمين الخاصين بحكمة وكسب المال من ذلك. لا تزال هويته مجهولة (ومن غير المرجح أن تكون معروفة)

كيفية إزالة فيروس بيتيا؟

كيفية إزالة Petya.A virus من القرص الصلب الخاص بك؟ هذا سؤال ممتع للغاية. الحقيقة هي أنه إذا كان الفيروس قد حظر بالفعل بياناتك ، فلن يكون هناك شيء يمكن حذفه. إذا كنت لا تخطط لدفع الفدية (وهو ما لا يجب عليك فعله) ولن تحاول استعادة البيانات الموجودة على القرص في المستقبل ، فأنت تحتاج فقط إلى تهيئة القرص وإعادة تثبيت نظام التشغيل. بعد ذلك لن يكون هناك أثر للفيروس.

إذا كنت تشك في وجود ملف مصاب على القرص الخاص بك ، فقم بفحص القرص باستخدام ESET Nod 32 antivirus وقم بإجراء فحص كامل للنظام. أكد NOD 32 أن قاعدة بيانات التوقيع الخاصة به تحتوي بالفعل على معلومات حول هذا الفيروس.

جهاز فك التشفير Petya.A

يقوم Petya.A بتشفير بياناتك باستخدام خوارزمية تشفير قوية جدًا. في الوقت الحالي ، لا يوجد حل لفك تشفير المعلومات المقفلة.

بلا شك ، كنا نحلم جميعًا بالحصول على أداة فك التشفير المعجزة Petya.A ، لكن ببساطة لا يوجد حل من هذا القبيل. فيروس WannaCryضرب العالم منذ بضعة أشهر ، ولكن لم يتم العثور على علاج لفك تشفير البيانات التي قام بتشفيرها.

الخيار الوحيد هو إذا كان لديك سابقًا نسخ احتياطية من الملفات.

لذلك ، إذا لم تصبح بعد ضحية لفيروس Petya.A - قم بتحديث نظام التشغيل الخاص بك ، وقم بتثبيت مضاد فيروسات من ESET NOD 32. إذا كنت لا تزال تفقد السيطرة على بياناتك ، فلديك عدة طرق.

دفع النقود. ليس من المنطقي القيام بذلك!اكتشف الخبراء بالفعل أن منشئ الفيروس لا يستعيد البيانات ، ولا يمكنه التعافي ، بالنظر إلى طريقة التشفير.

حاول إزالة الفيروس من جهاز الكمبيوتر الخاص بك ، وحاول استعادة ملفاتك باستخدام نسخة الظل(الفيروس لا يصيبهم)

قم بإزالة القرص الصلب من جهازك ، وضعه بعناية في الخزانة وانتظر ظهور وحدة فك التشفير.

تهيئة القرص وتثبيت نظام التشغيل. ناقص - ستفقد جميع البيانات.

Petya.A و Android و iOS و Mac و Linux

يشعر العديد من المستخدمين بالقلق - "ولكن ما إذا كان فيروس Petya يمكن أن يصيب أجهزتهم التي تعمل بنظام Android و iOS. سأسرع في تهدئتهم - لا ، لا يمكن ذلك. إنه مخصص لمستخدمي Windows فقط. الشيء نفسه ينطبق على محبي Linux و Mac - يمكنك النوم بهدوء ، ولا شيء يهددك.

تعرض عدد من الشركات الروسية والأوكرانية لهجوم من قبل فيروس Petya ransomware. تحدث إصدار الشبكة من الموقع مع خبراء من Kaspersky Lab ، وكالة AGIMA التفاعلية واكتشفوا كيفية حماية أجهزة كمبيوتر الشركة من الفيروس وكيف يشبه Petya فيروس WannaCry ransomware المعروف.

فيروس بيتيا

في روسيا ، شركات Rosneft و Bashneft و Mars و Nivea وشركة تصنيع الشوكولاتة Alpen Gold Mondelez International. نظام مراقبة إشعاع فيروسات الفدية لمحطة تشيرنوبيل للطاقة النووية. بالإضافة إلى ذلك ، أثر الهجوم على أجهزة الكمبيوتر التابعة للحكومة الأوكرانية و Privatbank ومشغلي الاتصالات. يحجب الفيروس أجهزة الكمبيوتر ويطلب فدية قدرها 300 دولار من عملات البيتكوين.

في مدونة صغيرة على Twitter ، تحدثت الخدمة الصحفية لـ Rosneft عن هجوم متسلل على خوادم الشركة. تقول الرسالة: "تم تنفيذ هجوم قراصنة قوي على خوادم الشركة. ونأمل ألا يكون لذلك علاقة بالإجراءات القضائية الحالية. في الواقع ، لجأت الشركة إلى وكالات إنفاذ القانون بشأن حقيقة الهجوم السيبراني".

وفقًا للسكرتير الصحفي للشركة ، ميخائيل ليونيف ، تعمل شركة Rosneft والشركات التابعة لها بشكل طبيعي. بعد الهجوم ، تحولت الشركة إلى نظام احتياطيإدارة عمليات الإنتاج بحيث لا يتوقف إنتاج الزيت ومعالجته. كما تعرض نظام بنك الائتمان العقاري للهجوم.

"بيتيا" لا تصيب بدون "ميشا".

وفق المدير التنفيذي لـ AGIMA Evgeny Lobanovaفي الواقع ، تم تنفيذ الهجوم عن طريق فيروسات رانسومواري: بيتيا وميشا.

"إنهم يعملون جنبًا إلى جنب. لا يصيب بيتيا من دون ميشا. يمكنه أن يصيب ، لكن هجوم الأمس كان عبارة عن فيروسين: الأول بيتيا ، ثم ميشا. يعيد بيتيا كتابة جهاز التمهيد (الذي يبدأ منه الكمبيوتر) ، وميشا - يشفر الملفات وفقًا لـ خوارزمية معينة ، - أوضح الأخصائي. - يقوم Petya بتشفير قطاع التمهيد للقرص (MBR) واستبداله بخوارزمية خاصة به ، يقوم Misha بالفعل بتشفير جميع الملفات الموجودة على القرص (ليس دائمًا). "

وأشار إلى أن فيروس WannaCry ransomware الذي هاجم كبرى الشركات العالمية في مايو من هذا العام لا يشبه Petya ، إنه إصدار جديد.

"Petya.A من عائلة WannaCry (أو بالأحرى WannaCrypt) ، ولكن الاختلاف الرئيسي هو سبب عدم كونه نفس الفيروس ، هو أن MBR تم استبداله بقطاع التمهيد الخاص به - وهذا منتج جديد لـ Ransomware. ظهر الفيروس منذ فترة طويلة على GitHab (خدمة عبر الإنترنت لمشاريع تكنولوجيا المعلومات والبرمجة المشتركة - الموقع) https://github.com/leo-stone/hack-petya "target =" _blank "> كان هناك برنامج فك تشفير لهذا encryptor ، ولكن لا يوجد برنامج فك تشفير مناسب للتعديل الجديد.

وأكد يفغيني لوبانوف أن الهجوم أصاب أوكرانيا أكثر من روسيا.

"نحن أكثر عرضة للهجمات من الدول الغربية الأخرى. سنكون محميين من هذا الإصدار من الفيروس ، لكننا لن نكون محميين من تعديلاته. شبكة الإنترنت لدينا غير آمنة ، في أوكرانيا أقل من ذلك. بشكل أساسي ، شركات النقل ، البنوك، مشغلي الهاتف المحمول(فودافون ، كييف ستار) والشركات الطبية ، نفس فارماج ، محطات وقود شل - كلها شركات كبيرة جدا عابرة للقارات ، قال في مقابلة مع الموقع.

وأشار المدير التنفيذي لشركة AGIMA إلى أنه حتى الآن لا توجد حقائق تشير إلى الموقع الجغرافي لموزع الفيروس. في رأيه ، من المفترض أن الفيروس نشأ في روسيا. لسوء الحظ ، لا يوجد دليل مباشر على ذلك.

"هناك افتراض بأن هؤلاء هم قراصنةنا ، منذ ظهور التعديل الأول في روسيا ، والفيروس نفسه ، الذي لا يخفى على أحد ، سمي على اسم بترو بوروشينكو. لقد كان تطورًا للمتسللين الروس ، لكن من غيره أكثر - من الصعب القول. أنه حتى في روسيا ، من السهل الحصول على جهاز كمبيوتر مع تحديد الموقع الجغرافي في الولايات المتحدة ، على سبيل المثال ، "أوضح الخبير.

"إذا أصيب جهاز الكمبيوتر الخاص بك فجأة ، فلن تتمكن من إيقاف تشغيله. إذا قمت بإعادة التشغيل ، فلن تدخل النظام مرة أخرى."

"إذا أصيب جهاز كمبيوتر فجأة ، لا يمكنك إيقاف تشغيل الكمبيوتر ، لأن فيروس Petya يحل محل MBR - قطاع التمهيد الأول الذي يتم تحميل نظام التشغيل منه. إذا قمت بإعادة التشغيل ، فلن تدخل النظام مرة أخرى. الكمبيوتر اللوحي" سيكون من المستحيل إرجاع البيانات. بعد ذلك ، تحتاج إلى قطع الاتصال بالإنترنت على الفور حتى لا يتصل الكمبيوتر بالإنترنت. تم إصدار تصحيح رسمي من Microsoft بالفعل ، وهو يوفر ضمان أمان بنسبة 98 بالمائة. لسوء الحظ ، ليس 100 في المئة. تعديل معين للفيروس (قطعهم الثلاثة) ، تجاوزه حتى الآن ، "أوصى لوبانوف. - ومع ذلك ، إذا قمت بإعادة التشغيل مع ذلك ورأيت بداية عملية "فحص القرص" ، فأنت بحاجة في هذه اللحظة إلى إيقاف تشغيل جهاز الكمبيوتر الخاص بك على الفور ، وستظل الملفات غير مشفرة ..

بالإضافة إلى ذلك ، أوضح الخبير أيضًا السبب مستخدمو Microsoftبدلاً من MacOSX (نظام تشغيل Apple - الموقع) وأنظمة Unix.

"من الأصح هنا التحدث ليس فقط عن MacOSX ، ولكن أيضًا عن جميع أنظمة unix (المبدأ واحد). ينتشر الفيروس فقط إلى أجهزة الكمبيوتر ، بدون أجهزة محمولة... يؤثر الهجوم على نظام التشغيل Windows ويهدد فقط المستخدمين الذين قاموا بتعطيل الوظيفة تحديث أوتوماتيكيأنظمة. تحديثات استثنائية متاحة حتى للمالكين الأكبر سنا إصدارات Windowsالتي لم تعد محدثة: XP و Windows 8 و مشغل برامج وندوز 2003 "، - قال الخبير.

وخلص الاختصاصي إلى أن "MacOSX و Unix ليسا معرضين عالميًا لمثل هذه الفيروسات ، لأن العديد من الشركات الكبرى تستخدم البنية التحتية لمايكروسوفت. MacOSX غير حساس ، لأنه ليس منتشرًا على نطاق واسع في الوكالات الحكومية. يهاجم Microsoft".

"عدد المستخدمين المهاجمين بلغ ألفي"

في الخدمة الصحفية لـ Kaspersky Lab، الذي يواصل خبراؤه التحقيق في أحدث موجة من الإصابات ، قال إن "برنامج الفدية هذا لا ينتمي إلى عائلة Petya ransomware المعروفة بالفعل ، على الرغم من أن لديها عدة أسطر من التعليمات البرمجية المشتركة معها."

المختبر واثق من أننا في هذه الحالة نتحدث عن عائلة جديدة من الخبيثة البرمجياتمع وظائف مختلفة بشكل كبير عن Petya. قامت شركة Kaspersky Lab بتسمية برنامج الفدية الجديد ExPetr.

وبحسب شركة كاسبرسكي لاب ، فقد بلغ عدد المستخدمين الذين تعرضوا للهجوم ألفي شخص. وسُجلت معظم الحوادث في روسيا وأوكرانيا ، كما تم رصد حالات إصابة في بولندا وإيطاليا وبريطانيا العظمى وألمانيا وفرنسا والولايات المتحدة. وعدد من البلدان الأخرى. في الوقت الحالي ، يقترح خبراؤنا أن البرامج الضارة استخدمت عدة ناقلات هجوم. شبكات الشركاتتم استخدام استغلال EternalBlue المعدل واستغلال EternalRomance ".

يستكشف الخبراء أيضًا إمكانية إنشاء أداة فك تشفير يمكن استخدامها لفك تشفير البيانات. قدم المختبر أيضًا توصيات لجميع المنظمات لتجنب هجوم الفيروس في المستقبل.

"نوصي المؤسسات بتثبيت تحديثات Windows. يجب أن يقوم نظاما التشغيل Windows XP و Windows 7 بتثبيت التحديث الأمني ​​MS17-010 والتأكد من أن لديهم نظام نسخ احتياطي فعال. يمكن للنسخ الاحتياطية للبيانات الآمنة في الوقت المناسب استعادة الملفات الأصلية ، حتى إذا تم تشفيرها بواسطة برامج ضارة ،" نصح خبراء كاسبرسكي لاب.

كما يوصي المختبر عملائه من الشركات بالتأكد من تنشيط جميع آليات الحماية ، وعلى وجه الخصوص ، التأكد من الاتصال بـ البنية التحتية السحابية أمن Kasperskyالشبكة ، كإجراء إضافي ، يوصى باستخدام مكون التحكم في امتياز التطبيق لمنع جميع مجموعات التطبيقات من الوصول (وبالتالي تنفيذ) ملف يسمى "perfc.dat" ، إلخ.

"إذا كنت لا تستخدم منتجات Kaspersky Lab ، فإننا نوصي بحظر تنفيذ الملف المسمى perfc.dat ، بالإضافة إلى حظر تشغيل الأداة المساعدة PSExec من حزمة Sysinternals باستخدام وظيفة AppLocker المضمنة في نظام التشغيل (نظام التشغيل - موقع الويب ) Windows "، موصى به في المختبر.

12 مايو 2017 العديد - تشفير البيانات على محركات الأقراص الصلبةأجهزة الكمبيوتر. يقفل الجهاز ويطالب بدفع الفدية.
وقد أصاب الفيروس منظمات وإدارات في عشرات الدول حول العالم ، بما في ذلك روسيا ، حيث تعرضت خوادم وزارة الصحة ، ووزارة حالات الطوارئ ، ووزارة الداخلية ، للهجوم. مشغلي الهاتف الخلويوالعديد من البنوك الكبيرة.

توقف انتشار الفيروس عن طريق الخطأ وبشكل مؤقت: إذا قام المتسللون بتغيير بضعة أسطر من التعليمات البرمجية ، فستبدأ البرامج الضارة في العمل مرة أخرى. ويقدر الضرر الناجم عن البرنامج بمليار دولار. بعد تحليل الطب الشرعي اللغوي ، وجد الخبراء أن WannaCry تم إنشاؤه بواسطة مهاجرين من الصين أو سنغافورة.