EntradaArchivo petya virus. ¡Lanzamiento de la herramienta de descifrado de ransomware Petya.A y WannaCry! Cómo deshacerse de Petya
virus petia– demanda de rescate por descifrado
Pocas horas después de que comenzara el ataque, DATARC recibió la primera llamada y analizamos varios servidores afectados. Conclusión principal: sí probabilidad distinta de cero de recuperación de datos durante un ataque del virus Petya– un virus a menudo daña el sistema de archivos, pero no cifra los datos.
Sobre el este momento los daños analizados se pueden dividir en categorías.
100% de recuperación de datos posible
Probablemente, hay errores en el virus: no siempre ejecuta su algoritmo, no tiene tiempo para cifrar los datos y rompe el cargador de arranque. Hemos visto los siguientes tipos de daños:
- Datos no encriptados, MBR corrupto
- Datos no cifrados, cargador de arranque MBR + NTFS corrupto
- Los datos no están encriptados, el cargador de arranque MBR + NTFS + MFT está dañado: el disco se detecta como RAW
La recuperación de datos es posible, la pérdida es superior al 0%
En los casos en que se produce el cifrado, algunos de los archivos pueden permanecer intactos. Hemos visto los siguientes tipos de daños:
- Solo la unidad C está encriptada: - el resto unidades lógicas quédate bien
- No todos los archivos en la unidad C están encriptados:
- Solo se cifra la entrada MFT, el contenido del archivo permanece sin cambios.
El descifrado de la versión anterior no funciona
La versión actual de Petya es (presumiblemente) una continuación del ataque de 2016 (ver https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ y https://securelist.com/petya- el-dos-en-uno-trojan/74609/). Para versión antigua se creó una técnica de selección de clave de descifrado (ver https://github.com/leo-stone/hack-petya). Se ha cambiado el virus de 2017 y el antiguo método no funciona.
Por ejemplo, en la versión anterior del virus, el MBR se guardaba en el sector 55 y se “cifraba” con XOR 0x37. EN nueva versión El MBR se guarda en el sector 34 y se "cifra" con XOR 0x07.
MBR cifrado:
MBR descifrado:
Virus Petya - MBR después del descifrado
Qué hacer si tu computadora está infectada
Los programas antivirus están instalados en la computadora de casi todos los usuarios, pero a veces aparece un troyano o un virus que puede eludir la mayoría mejor protección e infectar su dispositivo, o peor aún, encriptar sus datos. Esta vez, el codificador troyano "Petya" o, como también se le llama, "Petya" se convirtió en uno de esos virus. Tarifas de distribución amenaza dada muy impresionante: en un par de días pudo "visitar" Rusia, Ucrania, Israel, Australia, los EE. UU., Todos los principales países europeos y no solo. Afectó principalmente a usuarios corporativos (aeropuertos, centrales eléctricas, industria turística), pero también afectó la gente común. En términos de su alcance y métodos de influencia, es extremadamente similar al recientemente sensacional.
Definitivamente necesita proteger su computadora para no convertirse en víctima del nuevo troyano ransomware "Petya". En este artículo, te diré qué es el virus Petya, cómo se propaga y cómo protegerte de esta amenaza. Además, abordaremos los problemas de eliminación del troyano y descifrado de la información.
¿Qué es el virus Petya?
Para empezar, debemos entender qué es Petya. El virus Petya es un software malicioso que es un troyano del tipo ransomware (extorsionista). Estos virus están diseñados para chantajear a los propietarios de los dispositivos infectados con el fin de obtener un rescate por los datos cifrados. a diferencia de Quiero llorar, Petya no se molesta en cifrar archivos individuales, casi instantáneamente "quita" todo disco duro enteramente.
El nombre correcto del nuevo virus es Petya.A. Además, Kaspersky lo llama NotPetya/ExPetr.
Descripción del virus Petya
Una vez en su computadora con Windows, Petya encripta el MFT(Master File Table - la tabla principal de archivos). ¿Para qué es esta mesa?
Imagina que tu disco duro es la biblioteca más grande de todo el universo. Contiene miles de millones de libros. Entonces, ¿cómo encuentras el libro adecuado? Sólo con la ayuda del catálogo de la biblioteca. Es este directorio el que destruye Petya. Así, pierdes cualquier posibilidad de encontrar cualquier “archivo” en tu PC. Para ser aún más precisos, después del “trabajo” de Petya, el disco duro de su computadora parecerá una biblioteca después de un tornado, con fragmentos de libros volando.
Así, a diferencia de Wanna Cry, que mencioné al principio del artículo, Petya.A no cifra archivos individuales, dedicando una cantidad impresionante de tiempo a esto: simplemente le quita cualquier oportunidad de encontrarlos.
Después de todas sus manipulaciones, exige un rescate de los usuarios: 300 dólares estadounidenses, que deben transferirse a una cuenta de bitcoin.
¿Quién creó el virus Petya?
Al crear el virus Petya, se utilizó un exploit ("agujero") en el sistema operativo Windows llamado "EternalBlue". Microsoft lanzó un parche que "cierra" este agujero hace unos meses, sin embargo, no todos usan una copia con licencia de Windows e instalan todas las actualizaciones del sistema, ¿verdad?)
El creador de "Petya" pudo utilizar sabiamente el descuido de los usuarios corporativos y privados y ganar dinero con ello. Su identidad aún se desconoce (y es poco probable que se sepa)
¿Cómo se propaga el virus Petya?
El virus Petya se transmite con mayor frecuencia bajo la apariencia de archivos adjuntos a correos electrónicos y en archivos con software infectado pirateado. Un archivo adjunto puede contener absolutamente cualquier archivo, incluida una foto o un mp3 (a primera vista parece). Después de ejecutar el archivo, su computadora se reiniciará y el virus simulará una verificación de disco para Errores CHKDSK, y en este momento se modificará registro de arranque su computadora (MBR). Después de eso, verás una calavera roja en la pantalla de tu computadora. Al hacer clic en cualquier botón, puede acceder al texto en el que se le pedirá que pague por el descifrado de sus archivos y transfiera la cantidad requerida a una billetera bitcoin.
¿Cómo protegerse del virus Petya?
- Lo más importante y fundamental: establezca como norma instalar actualizaciones para su Sistema operativo! Esto es increíblemente importante. Hazlo ahora mismo, no te demores.
- Preste especial atención a todos los archivos adjuntos a las cartas, incluso si las cartas son de personas que conoce. Durante la epidemia es mejor usar fuentes alternativas transmisión de datos.
- Active la opción "Mostrar extensiones de archivo" en la configuración del sistema operativo; de esta manera, siempre podrá ver la verdadera extensión del archivo.
- Habilite el "Control de cuentas de usuario" en la configuración de Windows.
- Uno de los debe ser instalado para evitar infecciones. Comience instalando una actualización del sistema operativo, luego instale un antivirus, y ya estará mucho más seguro que antes.
- Asegúrese de hacer "copias de seguridad": guarde todos los datos importantes en duro externo disco o nube. Entonces, si el virus Petya penetra en su PC y encripta todos los datos, le será muy fácil formatear su disco duro y reinstalar el sistema operativo.
- Comprueba siempre que las bases de datos de tu antivirus estén actualizadas. Todos los buenos antivirus monitorean las amenazas y responden a ellas de manera oportuna actualizando las firmas de amenazas.
- Instalar en pc utilidad gratuita ransomware Kaspersky Anti. Te protegerá de los virus de encriptación. La instalación de este software no lo exime de la necesidad de instalar un antivirus.
¿Cómo eliminar el virus Petya?
¿Cómo eliminar el virus Petya.A de tu disco duro? esto es extremadamente interés Preguntar. El hecho es que si el virus ya ha bloqueado sus datos, entonces, de hecho, no habrá nada que eliminar. Si no planea pagar extorsionadores (lo que no debe hacer) y no intentará recuperar datos en el disco en el futuro, solo necesita formatear el disco y reinstalar el sistema operativo. Después de eso, no habrá rastro del virus.
Si sospecha que hay un archivo infectado en su disco, analice su disco con uno de ellos o instale Kaspersky Anti-Virus y realice un análisis completo del sistema. El desarrollador aseguró que su base de datos de firmas ya contiene información sobre este virus.
Decodificador Petya.A
Petya.A encripta sus datos con un algoritmo muy fuerte. Actualmente no existe una solución para descifrar la información bloqueada. Además, no debe intentar acceder a los datos en casa.
Sin duda, todos soñaríamos con obtener un descifrador milagroso (descifrador) Petya.A, pero simplemente no existe tal solución. Un virus golpeó el mundo hace unos meses, pero no se ha encontrado ninguna cura para descifrar los datos que cifra.
Por tanto, si aún no te has convertido en víctima del virus Petya, escucha los consejos que te di al principio del artículo. Si aún perdió el control sobre sus datos, entonces tiene varias formas.
- Pagar dinero. ¡Hacer esto no tiene sentido! Los expertos ya han descubierto que el creador del virus no restaura los datos y no puede restaurarlos debido al método de encriptación.
- Saque el disco duro de su dispositivo, colóquelo con cuidado en el gabinete y presione el descifrador para que aparezca. Por cierto, Kaspersky Lab trabaja constantemente en esta dirección. Los decodificadores disponibles están en el sitio web de No Ransom.
- Formatear disco e instalar sistema operativo. Menos: se perderán todos los datos.
Virus Petya.A en Rusia
En Rusia y Ucrania, más de 80 empresas han sido atacadas e infectadas en el momento de escribir este artículo, incluidas empresas tan grandes como Bashneft y Rosneft. La infección de la infraestructura de empresas tan grandes habla de la gravedad del virus Petya.A. No hay duda de que el troyano ransomware seguirá propagándose por toda Rusia, por lo que debes cuidar la seguridad de tus datos y seguir los consejos que se dan en el artículo.
Petya.A y Android, iOS, Mac, Linux
Muchos usuarios están preocupados: "¿Puede el virus Petya infectar sus dispositivos bajo control androide y iOS. Me apresuro a tranquilizarlos: no, no se puede. Está diseñado solo para usuarios de Windows. Lo mismo se aplica a los fanáticos de Linux y Mac: puedes dormir tranquilo, nada te amenaza.
Conclusión
Entonces, hoy discutimos en detalle nuevo virus Petia A. Entendimos qué es este troyano y cómo funciona, aprendimos cómo protegerse de la infección y eliminar el virus, dónde obtener el descifrador Petya. Espero que el artículo y mis consejos te hayan sido útiles.
El ataque del virus Petya.A abarcó decenas de países en pocos días y alcanzó proporciones epidémicas en Ucrania, donde el programa de gestión de documentos e informes M.E.Doc estuvo involucrado en la propagación del malware. Más tarde, los expertos dijeron que el objetivo de los atacantes era la destrucción completa de los datos, pero, según la policía cibernética de Ucrania, con una infección parcial del sistema, existe la posibilidad de restaurar los archivos.
Cómo funciona Petia
Si el virus obtiene derechos de administrador, los investigadores identifican tres escenarios principales para su impacto:
- La computadora está infectada y encriptada, el sistema está completamente comprometido. La recuperación de datos requiere llave privada, y se muestra un mensaje en la pantalla exigiendo el pago de un rescate (aunque lo es).
- La computadora está infectada y parcialmente encriptada: el sistema comenzó a encriptar archivos, pero el usuario detuvo este proceso apagando la alimentación o de otra manera.
- La computadora está infectada, pero el proceso de cifrado de la tabla MFT aún no se ha iniciado.
En el primer caso, todavía no existe una forma efectiva de descifrar los datos. Ahora su búsqueda está a cargo de especialistas de la policía cibernética y empresas de TI, así como creador del virus Petya original(lo que le permite restaurar el sistema usando la clave). Si la tabla principal de archivos MFT se ve afectada parcialmente o no se ve afectada en absoluto, aún existe la posibilidad de obtener acceso a los archivos.
La policía cibernética nombró dos etapas principales del trabajo del virus Petya modificado:
Primero: obtener derechos de administrador privilegiado (al usar Directorio Activo están deshabilitados). Primero, el virus guarda el original sector de arranque para el sistema operativo MBR en forma cifrada de la operación de bit XOR (xor 0x7), después de lo cual escribe su propio cargador de arranque en su lugar. El resto del código del troyano se escribe en los primeros sectores del disco. En esta etapa, crea Archivo de texto sobre el cifrado, pero los datos aún no están cifrados.
La segunda fase del cifrado de datos comienza después de reiniciar el sistema. Petya hace referencia a su propio sector de configuración, en el que hay una marca sobre datos no cifrados. Después de eso, comienza el proceso de encriptación, en la pantalla se muestra como la operación del programa Check Disk. Si ya se está ejecutando, debe apagar la alimentación e intentar usar el método de recuperación de datos propuesto.
que ofrecen
Primero necesitas arrancar desde la instalación. disco de Windows. Si al mismo tiempo se ve una tabla con particiones del disco duro (o SSD), puede continuar con el procedimiento para restaurar el arranque sectores MBR. Luego, debe verificar el disco en busca de archivos infectados. Hoy Petya es reconocido por todos los antivirus populares.
Si el proceso de cifrado se inició, pero el usuario logró interrumpirlo, después de cargar el sistema operativo, debe usar el software para recuperar archivos cifrados (R-Studio y otros). Será necesario guardar los datos en un medio externo y reinstalar el sistema.
Cómo restaurar el gestor de arranque
Para el sistema operativo Windows XP:
Después de cargar disco de instalación Windows XP en RAM La PC abrirá un cuadro de diálogo. instalación de ventanas XP Professional" con un menú de selección, donde debe seleccionar el elemento "para restaurar Windows XP usando la Consola de recuperación, presione R". Presiona la tecla "R".
Se cargará la consola de recuperación.
Si la PC tiene un sistema operativo instalado y está (de manera predeterminada) instalado en la unidad C, aparecerá el siguiente mensaje:
"1: C: \ VENTANAS ¿Qué una copia de windows¿Deberías iniciar sesión?"
Ingrese el número "1", presione la tecla "Enter".
Aparecerá un mensaje: "Ingrese la contraseña de administrador". Ingrese la contraseña, presione la tecla "Enter" (si no hay contraseña, simplemente presione "Enter").
Se le debe solicitar: C:\WINDOWS>, escriba fixmbr
Luego aparecerá un mensaje: "ADVERTENCIA".
"¿Estás seguro de que quieres escribir un nuevo MBR?" Presiona la tecla "Y".
Aparecerá un mensaje: "Se está creando un nuevo sector de arranque maestro en el disco físico \Device\Harddisk0\Partition0".
Para Windows Vista:
Descarga Windows Vista. Elija su idioma y distribución de teclado. En la pantalla de Bienvenida, haga clic en Reparar su computadora. Windows Vista editará el menú de la computadora.
Seleccione su sistema operativo y haga clic en Siguiente. Cuando aparezca la ventana Opciones de recuperación del sistema, haga clic en línea de comando. Cuando aparezca el símbolo del sistema, ingrese este comando:
bootrec/FixMbr
Espere a que se complete la operación. Si todo salió bien, aparecerá un mensaje de confirmación en la pantalla.
Para Windows 7:
Descargue Windows 7. Seleccione su idioma, distribución de teclado y haga clic en Siguiente.
Seleccione su sistema operativo y haga clic en Siguiente. Al elegir un sistema operativo, debe marcar "Usar herramientas de recuperación que pueden ayudar a resolver problemas con Inicio de Windows».
En la pantalla Opciones de recuperación del sistema, haga clic en el botón Símbolo del sistema. Cuando el símbolo del sistema se cargue correctamente, ingrese el comando:
bootrec/fixmbr
Para Windows 8:
Inicie Windows 8. En la pantalla de Bienvenida, haga clic en el botón Reparar su computadora.
Seleccione Solucionar problemas. Seleccione Símbolo del sistema, cuando cargue, escriba:
bootrec/FixMbr
Presiona la tecla "Enter" y reinicia tu computadora.
Para Windows 10:
Inicie Windows 10. En la pantalla de Bienvenida, haga clic en el botón Reparar su computadora, seleccione Solucionar problemas.
Seleccione Símbolo del sistema. Cuando se cargue el símbolo del sistema, ingrese el comando:
bootrec/FixMbr
Espere a que se complete la operación. Si todo salió bien, aparecerá un mensaje de confirmación en la pantalla.
Presiona la tecla "Enter" y reinicia tu computadora.
El virus Petya es un virus de rápido crecimiento que mató a casi todas las grandes empresas en Ucrania el 27 de junio de 2017. El virus Petya encripta sus archivos y ofrece un rescate por ellos más tarde.
El nuevo virus infecta el disco duro de la computadora y funciona como un virus de cifrado de archivos. Al otro lado de tiempo específico, el virus Petya "come" los archivos en su computadora y se cifran (como si los archivos estuvieran archivados y se hubiera establecido una contraseña pesada)
Los archivos que han sido afectados por el virus ransomware Petya no se pueden recuperar más tarde (hay un porcentaje que los recuperará, pero es muy pequeño)
Un algoritmo que recupera archivos afectados por el virus Petya - NO
Con este breve y MÁXIMO artículo útil, puedes protegerte del virus #Petya
Cómo IDENTIFICAR el Virus Petya o WannaCry y NO infectarse con el Virus
Al descargar un archivo a través de Internet, verifíquelo con un antivirus en línea. Los antivirus en línea pueden detectar previamente el virus en el archivo y prevenir la infección con el virus Petya. Todo lo que tiene que hacer es verificar el archivo descargado con VirusTotal y luego ejecutarlo. Incluso si DESCARGAS EL VIRUS PETYA, pero NO ejecutas el archivo del virus, el virus NO está activo y no hace daño. Solo después de lanzar un archivo dañino lanzas un virus, recuerda esto
UTILIZAR SOLO ESTE MÉTODO LE DA TODAS LAS POSIBILIDADES DE NO SER INFECTADO CON EL VIRUS PETYA
El virus Petya se ve así:
Cómo protegerse del virus Petya
Compañía Symantec ofreció una solución que le permite protegerse del virus Petya, simulando que ya lo tiene instalado.
El virus Petya, cuando entra en un ordenador, crea en una carpeta C:\Windows\perfc expediente perfecto o perfc.dll
Para que el virus crea que ya está instalado y no continúe con su actividad, cree en la carpeta C:\Windows\perfc un archivo con contenido vacío y guárdelo configurando el modo de edición en "Solo lectura"
O descarga virus-petya-perfc.zip y descomprime la carpeta perfecto a una carpeta C:\Windows\ y establezca el modo de cambio en "Solo lectura"
Descargar virus-petya-perfc.zip
ACTUALIZADO 29/06/2017
También recomiendo descargar ambos archivos simplemente en carpeta de Windows. Muchas fuentes escriben que el archivo perfecto o perfc.dll debe estar en la carpeta C:\Windows\
Qué hacer si el ordenador ya está afectado por el virus Petya
No enciendas una computadora que ya te haya infectado con el virus Petya. El virus Petya funciona de tal forma que, mientras el ordenador infectado está encendido, encripta los archivos. Es decir, mientras mantengas encendido el ordenador afectado por el virus Petya, cada vez se pueden infectar y cifrar más archivos.
Winchester este computador vale la pena echarle un vistazo. Puedes comprobarlo usando LIVECD o LIVEUSB con antivirus
Unidad flash de arranque con Kaspersky Rescue Disk 10
Unidad flash de arranque Dr.Web LiveDisk
Quién propagó el virus Petya en toda Ucrania
Microsoft expresó su punto de vista sobre la cuenta de la infección global de la red en grandes compañias Ucrania. El motivo fue una actualización del M.E.Doc. M.E.Doc es un programa de contabilidad popular, razón por la cual la empresa cometió un error tan grande que un virus se introdujo en la actualización e instaló el virus Petya en miles de PC en las que se instaló el programa M.E.Doc. Y dado que el virus infecta las computadoras en la misma red, se propaga a la velocidad del rayo.
#: petya virus infecta android, petya virus, cómo detectar y eliminar petya virus, petya virus cómo tratar, M.E.Doc, Microsoft, crear una carpeta petya virus
Hace unos meses, nosotros y otros especialistas en seguridad informática descubrimos un nuevo malware: Petya (Win32.Trojan-Ransom.Petya.A). En el sentido clásico, no era un ransomware, el virus simplemente bloqueaba el acceso a ciertos tipos de archivos y exigía un rescate. El virus modificó el registro de arranque en el disco duro, reinició a la fuerza la PC y mostró un mensaje que decía que "los datos están encriptados; persiga su dinero para descifrarlos". En general, el esquema estándar de los virus ransomware, excepto que los archivos NO estaban encriptados. Los antivirus más populares comenzaron a identificar y eliminar Win32.Trojan-Ransom.Petya.A a las pocas semanas de su lanzamiento. Además, hay instrucciones para extracción manual. ¿Por qué pensamos que Petya no es un ransomware clásico? Este virus realiza cambios en el Registro de inicio maestro y evita que el sistema operativo se inicie, y también encripta la Tabla de archivos maestros (tabla de archivos maestros). No cifra los archivos en sí.
Sin embargo, un virus más sofisticado surgió hace unas semanas. Mischa, aparentemente escrito por los mismos estafadores. Este virus ENCRIPTA los archivos y requiere que pague por el descifrado 500 - 875 $ (en diferentes versiones 1,5 - 1,8 bitcoins). Las instrucciones para el "descifrado" y el pago se almacenan en los archivos YOUR_FILES_ARE_ENCRYPTED.HTML y YOUR_FILES_ARE_ENCRYPTED.TXT.
Virus Mischa: contenido del archivo YOUR_FILES_ARE_ENCRYPTED.HTML
Ahora, de hecho, los piratas informáticos infectan las computadoras de los usuarios con dos programas maliciosos: Petya y Mischa. El primero necesita derechos de administrador en el sistema. Es decir, si el usuario se niega a otorgar derechos de administrador a Petya o elimina este malware manualmente, Mischa se involucra. Este virus no necesita derechos de administrador, es un ransomware clásico y realmente cifra los archivos utilizando el potente algoritmo AES sin realizar ningún cambio en el Registro de arranque maestro y la tabla de archivos en el disco duro de la víctima.
El malware Mischa cifra no solo los tipos de archivos estándar (videos, imágenes, presentaciones, documentos), sino también los archivos .exe. El virus no afecta solo a los directorios \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Ópera, \ explorador de Internet, \Temp, \Local, \LocalLow y \Chrome.
La infección se produce principalmente a través de Email, donde la carta viene con un archivo adjunto: el instalador del virus. Puede cifrarse como carta de Hacienda, de su contable, como recibos adjuntos y de compra, etc. Preste atención a las extensiones de archivo en tales cartas, si es Archivo ejecutable(.exe), entonces con una alta probabilidad puede ser un contenedor con el virus Petya\Mischa. Y si la modificación del malware es reciente, es posible que su antivirus no reaccione.
Actualización 30/06/2017: 27 de junio, una versión modificada del virus Petya (Petya.A) atacó masivamente a los usuarios en Ucrania. El efecto de este ataque fue enorme y aún no se ha calculado el daño económico. En un día se paralizó el trabajo de decenas de bancos, cadenas minoristas, Instituciones públicas y empresas de diferentes formas de propiedad. El virus se propagó principalmente a través de una vulnerabilidad en el sistema de contabilidad MeDoc de Ucrania con la última actualización automática de este software. Además, el virus también ha afectado a países como Rusia, España, Gran Bretaña, Francia, Lituania.
Eliminar el virus Petya y Mischa con un limpiador automático
Un método extremadamente eficaz para tratar el malware en general y el ransomware en particular. El uso de un complejo de seguridad probado garantiza la minuciosidad de la detección de cualquier componente viral, su eliminación completa con un clic. Tenga en cuenta que estamos hablando de dos procesos diferentes: desinstalar la infección y restaurar archivos en su PC. Sin embargo, la amenaza ciertamente debe eliminarse, ya que hay información sobre la introducción de otros troyanos informáticos con su ayuda.
- . Después de iniciar el software, haga clic en el botón Iniciar escaneo de la computadora(Iniciar escaneo).
- El software instalado proporcionará un informe sobre las amenazas detectadas durante el análisis. Para eliminar todas las amenazas encontradas, seleccione la opción Reparar amenazas(Remover amenazas). El malware en cuestión se eliminará por completo.
Restaurar el acceso a archivos cifrados
Como se señaló, el ransomware Mischa bloquea los archivos con un algoritmo de encriptación fuerte para que los datos encriptados no se puedan volver a abrir con solo deslizar el dedo. varita mágica- si no tiene en cuenta el pago de un monto de rescate inaudito (a veces hasta $ 1000). Pero algunos métodos realmente pueden convertirse en un salvavidas que lo ayudarán a recuperar datos importantes. A continuación puede familiarizarse con ellos.
Programa recuperación automática archivos (decodificador)
Se conoce una circunstancia muy inusual. Esta infección destruye archivos fuente en forma no cifrada. El exorbitante proceso de encriptación tiene como objetivo copias de ellos. Esto brinda una oportunidad para tales herramientas de software cómo restaurar objetos eliminados, incluso si se garantiza la confiabilidad de su eliminación. Se recomienda encarecidamente recurrir al procedimiento de recuperación de archivos, su eficacia está fuera de toda duda. 
Instantáneas de volumen
El enfoque se basa en procedimiento de ventanas Copia de reserva archivos, que se repite en cada punto de restauración. Condición importante trabajo este método: Restaurar sistema debe activarse antes de la infección. Sin embargo, los cambios realizados en el archivo después del punto de restauración no se reflejarán en la versión restaurada del archivo.
Respaldo
Este es el mejor entre todos los métodos de no compra. Si el procedimiento para hacer una copia de seguridad de los datos en un servidor externo se usó antes de que el ransomware atacara su computadora, para restaurar los archivos cifrados, simplemente debe ingresar a la interfaz adecuada, seleccionar los archivos necesarios e iniciar el mecanismo de recuperación de datos desde la copia de seguridad. Antes de realizar la operación, debe asegurarse de que el ransomware se haya eliminado por completo.
Compruebe si hay posibles componentes residuales del ransomware Petya y Mischa
Limpieza en modo manual está plagado de omisiones de fragmentos individuales de ransomware que pueden evitar la eliminación en forma de objetos ocultos del sistema operativo o entradas de registro. Para eliminar el riesgo de preservación parcial de elementos maliciosos individuales, escanee su computadora usando una seguridad confiable paquete de software especializado en malware.
Hace unos días, apareció un artículo en nuestro recurso sobre cómo protegerse del virus y sus variedades. En las mismas instrucciones, consideraremos la peor opción: su PC está infectada. Naturalmente, después de la cura, cada usuario intenta recuperar sus datos e información personal. Este artículo discutirá las formas más convenientes y efectivas de recuperar datos. Vale la pena considerar que esto está lejos de ser siempre posible, por lo que no daremos ninguna garantía.
Consideraremos tres escenarios principales en los que se pueden desarrollar eventos:
1. La computadora está infectada con el virus Petya.A (o sus variedades) y encriptada, el sistema está completamente bloqueado. Para recuperar datos, debe ingresar una clave especial, por la cual debe pagar. Debe decirse de inmediato que incluso si paga, no eliminará el bloqueo y no le devolverá el acceso a su computadora personal.
2. Una opción que brinda al usuario más opciones para nuevas medidas- su computadora está infectada y el virus comenzó a cifrar sus datos, pero el cifrado se detuvo (por ejemplo, apagando la alimentación).
3. La última opción es la más favorable. Su computadora está infectada, pero el cifrado sistema de archivos aún no ha comenzado.
Si tiene la situación número 1, es decir, todos sus datos están encriptados, entonces en este escenario desaparecido manera efectiva para la recuperación de la información del usuario. Es probable que en unos días o semanas aparezca este método, pero por ahora los especialistas con todo el mundo en el campo de la información y la seguridad informática romperles la cabeza por eso.
Si el proceso de encriptación no ha comenzado o no se completa por completo, el usuario debe cancelarlo de inmediato (la encriptación se muestra como proceso del sistema verificar disco). Si logró cargar el sistema operativo, debe instalar inmediatamente cualquier antivirus moderno (todos ellos actualmente reconocen a Petya y realizan un análisis completo de todos los discos. Si Windows no arranca, entonces el propietario de la máquina infectada tendrá que usar los discos del sistema o una unidad flash para restaurar el sector de arranque MBR.
Restaurar el gestor de arranque en Windows XP
Después de cargar disco del sistema con el sistema operativo Windows XP, las opciones aparecerán frente a usted. En la ventana "Instalar Windows XP Professional", seleccione "Para reparar Windows XP usando la Consola de recuperación, presione R". Lo cual es lógico, deberá presionar R en el teclado.Debería ver una consola para la recuperación de la partición y un mensaje:
""1: C:\WINDOWS ¿En qué copia de Windows debo iniciar sesión?"
Si tiene una versión de Windows XP instalada, ingrese "1" desde el teclado y presione enter. Si tiene varios sistemas, debe seleccionar el que necesita. Verá un mensaje solicitando una contraseña de administrador. Si no hay contraseña, simplemente presione Entrar, dejando el campo en blanco. Después de eso, aparecerá una línea en la pantalla, ingrese la palabra " arreglo"
Debe aparecer el siguiente mensaje: “¡ADVERTENCIA! ¿Estás seguro de que quieres escribir un nuevo MBR?", presiona la tecla "Y" en tu teclado.
Aparecerá la respuesta: "Creando un nuevo sector de arranque maestro en el disco físico..."
"Nuevo principal partición de arranque creado con éxito.
Recuperación del cargador de arranque en Windows Vista
Inserte un disco o unidad flash con el sistema operativo Windows Vista. A continuación, debe seleccionar la línea "Restaurar su computadora". Elija qué sistema operativo Windows Vista (si tiene más de uno) desea restaurar. Cuando aparezca una ventana con opciones de recuperación, haga clic en Símbolo del sistema. En la línea de comando, ingrese el comando " bootrec/FixMbr".
Restaurar el gestor de arranque en Windows 7
Inserte un disco o unidad flash USB con el sistema operativo Windows 7. Elija qué sistema operativo Windows 7 (si tiene más de uno) desea restaurar. Seleccione "Usar herramientas de recuperación que puedan ayudar a solucionar problemas al iniciar Windows". A continuación, seleccione "Símbolo del sistema". Después de cargar la línea de comando, ingrese " bootrec/fixmbr
Restaurar el gestor de arranque en Windows 8
Inserte un disco o unidad flash USB con el sistema operativo Windows 8. En la pantalla principal, seleccione "Reparar su computadora" en la esquina inferior izquierda. Seleccione Solucionar problemas. Seleccione Símbolo del sistema, cuando cargue, escriba: "bootrec/FixMbr"
Recuperación del cargador de arranque en Windows 10
Inserte un disco o unidad flash USB con el sistema operativo Windows 10. En la pantalla principal, seleccione "Reparar su computadora" en la esquina inferior izquierda. Seleccione Solucionar problemas. Seleccione Símbolo del sistema, cuando cargue, escriba: "bootrec/FixMbr" Si todo va bien, verás el mensaje correspondiente y solo queda reiniciar el equipo.
(Petya.A), y dio algunos consejos.
Según la SBU, la infección de los sistemas operativos ocurrió principalmente a través de la apertura de aplicaciones maliciosas ( documentos de Word, archivos PDF) que se enviaron a correos electrónicos muchas estructuras comerciales y gubernamentales.
“El ataque, cuyo objetivo principal era distribuir el cifrador de archivos Petya.A, utilizó la vulnerabilidad de red MS17-010, como resultado de lo cual se instaló un conjunto de scripts en la máquina infectada, que fueron utilizados por los atacantes para ejecutar dicho encriptador de archivos”, dijo la SBU.
El virus ataca las computadoras con Windows cifrando los archivos del usuario, después de lo cual muestra un mensaje de conversión de archivos con una oferta para pagar la clave de descifrado en bitcoins por el equivalente de $300 para desbloquear los datos.
“Desafortunadamente, los datos cifrados no se pueden descifrar. Se continúa trabajando en la posibilidad de descifrar datos cifrados”, dijo la SBU.
Qué hacer para protegerse del virus
1. Si la computadora está encendida y funcionando normalmente, pero sospecha que puede estar infectada, no la reinicie bajo ningún concepto (si la PC ya se dañó, tampoco la reinicie) - el virus funciona al reiniciar y encripta todos los archivos contenidos en la computadora.
2. Ahorra al máximo archivos valiosos a un medio separado que no esté conectado a la computadora, e idealmente, haga una copia de seguridad junto con el sistema operativo.
3. Para identificar el cifrador de archivos, debe completar todas las tareas locales y buscar siguiente archivo: C:/Windows/perfc.dat
4. Según la versión del sistema operativo Windows, instale el parche.
5. Asegúrese de que en todo sistemas informáticos software antivirus instalado que funciona correctamente y utiliza bases de datos de firmas de virus actualizadas. Si es necesario, instale y actualice el antivirus.
6. Para reducir el riesgo de infección, debe tener cuidado con toda la correspondencia electrónica, no descargue ni abra archivos adjuntos en cartas enviadas por personas desconocidas. Si recibe una carta de una dirección conocida que es sospechosa, comuníquese con el remitente y confirme que la carta ha sido enviada.
7. Hacer copias de seguridad todos los datos críticos.
Lleve la información especificada a los empleados de subdivisiones estructurales, no permita que los empleados trabajen con computadoras en las que no estén instalados los parches especificados, independientemente de si están conectados a una red local o a Internet.
Es posible intentar restaurar el acceso a una computadora con Windows bloqueada por el virus especificado.
Dado que el malware especificado realiza cambios en el registro MBR, por lo que, en lugar de cargar el sistema operativo, se muestra al usuario una ventana con el texto sobre el cifrado de archivos. Este problema se resuelve restaurando el registro MBR. Para esto hay utilidades especiales. La SBU usó la utilidad Boot-Repair para esto (instrucciones en el enlace).
B). Ejecute y asegúrese de que todas las casillas de verificación en la ventana "Artefactos para recopilar" estén marcadas.
C). En la pestaña "Modo de recopilación de registros de Eset", configure en Predeterminado código binario disco.
D). Haga clic en el botón Recopilar.
mi). Enviar archivo con registros.
Si la PC afectada está encendida y aún no se ha apagado, proceda a
3 para recopilar información que ayudará a escribir un decodificador,
Pág. 4 para el tratamiento del sistema.
Desde una PC ya afectada (no arrancable), debe recopilar el MBR para un análisis más detallado.
Puedes recogerlo siguiendo las siguientes instrucciones:
a). Descarga ESET SysRescue Live CD o USB (La creación se describe en el punto 3)
B). Aceptar la licencia de uso
C). Presione CTRL + ALT + T (se abrirá la terminal)
D). Escribe el comando “parted -l” sin comillas, el parámetro de este es una letra “L” minúscula y presiona
mi). Vea la lista de discos e identifique la PC afectada (debe ser una de /dev/sda)
F). Escriba el comando "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" sin comillas, en lugar de "/dev/sda" use la unidad que identificó en el paso anterior y presione (Se creará el archivo/home/eset/petya.img)
gramo). Conecte la unidad flash y copie el archivo /home/eset/petya.img
h). La computadora se puede apagar.
Ver también - Omelyan sobre protección contra ataques cibernéticos
Omelyan sobre protección contra ciberataques
Suscríbete a las noticias
Quizás ya estés al tanto de la amenaza hacker registrada el 27 de junio de 2017 en los países de Rusia y Ucrania, que fueron objeto de un ataque a gran escala similar a WannaCry. El virus bloquea las computadoras y exige un rescate en bitcoins para descifrar archivos. En total, más de 80 empresas en ambos países se vieron afectadas, incluidas las rusas Rosneft y Bashneft.
El virus ransomware, como el infame WannaCry, bloqueó todos los datos de la computadora y exigió que se transfiriera a los delincuentes un rescate en bitcoins equivalente a $ 300. Pero a diferencia de Wanna Cry, Petya no se molesta en cifrar archivos individuales: casi instantáneamente le "quita" todo el disco duro.
El nombre correcto de este virus es Petya.A. El informe de ESET revela algunas características de Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya)
Según las estadísticas de todas las víctimas, el virus se propagó en correos electrónicos de phishing con archivos adjuntos infectados. Por lo general, la carta viene con una solicitud para abrir Documento de texto, pero ¿cómo sabemos la segunda extensión de archivo TXT.exe está oculto y la última extensión del archivo tiene prioridad. Funcionamiento predeterminado sistema de ventanas no muestra las extensiones de archivo y se ven así:
En 8.1 en la ventana del Explorador (Ver\Opciones de carpeta\Desmarcar Ocultar extensiones para tipos de archivos conocidos)
En 7 en la ventana del explorador (Alt \ Herramientas \ Opciones de carpeta \ Desmarque Ocultar extensiones para tipos de archivos conocidos)
Y lo peor es que los usuarios ni siquiera se avergüenzan de que lleguen cartas de usuarios desconocidos y pidan abrir archivos incomprensibles.
Después de abrir el archivo, el usuario ve " pantalla azul de la muerte".
Después del reinicio, parece que Scan Disk se está ejecutando; de hecho, el virus encripta los archivos.
A diferencia de otros ransomware, una vez que este virus se inicia, reinicia inmediatamente su computadora y, cuando se reinicia, aparece un mensaje en la pantalla: “¡NO APAGUE SU PC! ¡SI DETIENE ESTE PROCESO, PUEDE DESTRUIR TODOS SUS DATOS! ¡ASEGÚRESE DE QUE SU COMPUTADORA ESTÉ CONECTADA A LA CARGA!”. Aunque pueda parecer error del sistema, de hecho, en este momento Petya realiza silenciosamente el cifrado en modo sigiloso. Si el usuario intenta reiniciar el sistema o detener el cifrado de archivos, aparece un esqueleto rojo intermitente en la pantalla junto con el texto "¡Presione CUALQUIER TECLA!". Finalmente, después de presionar la tecla, aparecerá una nueva ventana con una nota de rescate. En esta nota, se le pide a la víctima que pague 0.9 bitcoins, que son aproximadamente $400. Sin embargo, este precio es solo para una computadora. Por lo tanto, para empresas que tienen muchas computadoras, la cantidad puede ser de miles. Lo que también hace que este ransomware sea diferente es que le da una semana entera para pagar el rescate, en lugar de las 12-72 horas habituales que dan otros virus de esta categoría.
Además, los problemas con Petya no acaban ahí. Una vez que este virus ingresa al sistema, intentará sobrescribir archivos de arranque Se requiere Windows, o el llamado asistente de arranque, para arrancar el sistema operativo. No podrá eliminar el virus Petya de su computadora a menos que restaure la configuración de la grabadora maestra de arranque (MBR). Incluso si logra corregir esta configuración y eliminar el virus de su sistema, desafortunadamente, sus archivos permanecerán encriptados, porque la eliminación del virus no proporciona el descifrado de los archivos, sino que simplemente elimina los archivos infecciosos. Por supuesto, la eliminación de virus es esencial si desea continuar trabajando con su computadora.
Una vez en su computadora con Windows, Petya encripta la MFT (Master File Table) casi instantáneamente. ¿Para qué es esta mesa?
Imagina que tu disco duro es la biblioteca más grande de todo el universo. Contiene miles de millones de libros. Entonces, ¿cómo encuentras el libro adecuado? Sólo con la ayuda del catálogo de la biblioteca. Es este directorio el que destruye Petya. Así, pierdes cualquier posibilidad de encontrar cualquier "archivo" en tu PC. Para ser aún más precisos, después de "trabajar" Petya, el disco duro de su computadora se parecerá a una biblioteca después de un tornado, con trozos de libros volando.
Por lo tanto, a diferencia de Wanna Cry, Petya.A no encripta archivos individuales y dedica una cantidad impresionante de tiempo a esto; simplemente le roba cualquier oportunidad de encontrarlos.
¿Quién creó el virus Petya?
Al crear el virus Petya, se utilizó un exploit ("agujero") en el sistema operativo Windows llamado "EternalBlue". Microsoft lanzó un parche kb4012598(De los tutoriales publicados anteriormente sobre WannaCry, ya hemos hablado sobre esta actualización, que "cierra" este agujero.
El creador de "Petya" pudo utilizar sabiamente el descuido de los usuarios corporativos y privados y capitalizarlo. Su identidad aún se desconoce (y es poco probable que se sepa)
¿Cómo eliminar el virus Petya?
¿Cómo eliminar el virus Petya.A de tu disco duro? Esta es una pregunta extremadamente interesante. El hecho es que si el virus ya ha bloqueado sus datos, entonces, de hecho, no habrá nada que eliminar. Si no planea pagar extorsionadores (lo que no debe hacer) y no intentará recuperar datos en el disco en el futuro, solo necesita formatear el disco y reinstalar el sistema operativo. Después de eso, no habrá rastro del virus.
Si sospecha que hay un archivo infectado en su disco, analice su disco con el antivirus ESET Nod 32 y realice un análisis completo del sistema. NOD 32 aseguró que su base de firmas ya contiene información sobre este virus.
Decodificador Petya.A
Petya.A encripta sus datos con un algoritmo de encriptación muy fuerte. Actualmente no existe una solución para descifrar la información bloqueada.
Sin duda, todos soñaríamos con obtener un descifrador milagroso (descifrador) Petya.A, pero simplemente no existe tal solución. virus Wanna Cry sorprendió al mundo hace unos meses, pero aún no se ha encontrado una cura para descifrar los datos que cifraba.
La única opción es si anteriormente tenía instantáneas de archivos.
Por lo tanto, si aún no ha sido víctima del virus Petya.A, actualice su sistema operativo, instale un antivirus de ESET NOD 32. Si aún pierde el control de sus datos, entonces tiene varias formas.
Pagar dinero. ¡Hacer esto no tiene sentido! Los expertos ya han descubierto que el creador del virus no restaura los datos y no puede restaurarlos debido al método de encriptación.
Intente eliminar el virus de la computadora e intente restaurar sus archivos usando copia oculta(el virus no los contagia)
Saque el disco duro de su dispositivo, colóquelo con cuidado en el gabinete y presione el descifrador para que aparezca.
Formatear disco e instalar sistema operativo. Menos: se perderán todos los datos.
Petya.A y Android, iOS, Mac, Linux
Muchos usuarios están preocupados: “¿Puede el virus Petya infectar sus dispositivos con Android e iOS? Me apresuro a tranquilizarlos: no, no se puede. Está diseñado solo para usuarios de Windows. Lo mismo se aplica a los fanáticos de Linux y Mac: puedes dormir tranquilo, nada te amenaza.
Varias empresas rusas y ucranianas fueron atacadas por el virus de encriptación Petya. La edición en línea del sitio conversó con expertos de Kaspersky Lab, la agencia interactiva AGIMA y descubrió cómo proteger las computadoras corporativas de un virus y cómo Petya es similar al igualmente conocido virus de encriptación WannaCry.
Virus "Petia"
En Rusia, las empresas Rosneft, Bashneft, Mars, Nivea y el fabricante de chocolate Alpen Gold Mondelez International. Un virus ransomware en el sistema de monitoreo de radiación de la planta de energía nuclear de Chernobyl. Además, el ataque afectó las computadoras del gobierno ucraniano, Privatbank y operadores de telecomunicaciones. El virus bloquea las computadoras y exige un rescate de $300 en bitcoins.
En un microblog en Twitter, el servicio de prensa de Rosneft habló sobre un ataque de piratas informáticos a los servidores de la empresa. "Se llevó a cabo un poderoso ataque de piratas informáticos en los servidores de la empresa. Esperamos que esto no tenga nada que ver con los procedimientos legales actuales. La empresa recurrió a las fuerzas del orden en relación con el ataque cibernético", dice el mensaje.
Según el secretario de prensa de la compañía, Mikhail Leontiev, Rosneft y sus subsidiarias están operando como de costumbre. Después del ataque, la empresa cambió a sistema de respaldo gestión de los procesos productivos, para que no se detenga la extracción y elaboración del aceite. El sistema bancario Home Credit también fue atacado.
"Petya" no infecta sin "Misha"
De acuerdo a Director Ejecutivo de AGIMA Evgeny Lobanov, de hecho, el ataque fue llevado a cabo por dos virus ransomware: Petya y Misha.
"Trabajan en conjunto. "Petya" no infecta sin "Misha". Puede infectar, pero el ataque de ayer fueron dos virus: primero Petya, luego Misha. "Petya" sobrescribe el dispositivo de arranque (desde donde arranca la computadora), y Misha: encripta los archivos de acuerdo con un cierto algoritmo”, explicó el especialista, “Petya encripta el sector de arranque del disco (MBR) y lo reemplaza por el suyo, Misha ya encripta todos los archivos en el disco (no siempre)”.
Señaló que el virus de encriptación WannaCry, que atacó a las principales empresas globales en mayo de este año, no es similar a Petya, esta es una nueva versión.
"Petya.A es de la familia WannaCry (WannaCrypt), pero la principal diferencia es por qué no es el mismo virus, es que el MBR se reemplaza por su propio sector de arranque; esto es una novedad para Ransomware. Apareció el virus Petya Hace mucho tiempo, en GitHab (un servicio en línea para proyectos de TI y programación conjunta - sitio) https://github.com/leo-stone/hack-petya" target="_blank"> había un descifrador para este encriptador, pero ningún descifrador es adecuado para la nueva modificación.
Yevgeny Lobanov enfatizó que el ataque golpeó a Ucrania más que a Rusia.
"Somos más susceptibles a los ataques que otros países occidentales. Estaremos protegidos de esta versión del virus, pero no de sus modificaciones. Nuestro Internet no es seguro, en Ucrania lo es aún menos. Básicamente, las empresas de transporte, los bancos, operadores móviles(Vodafone, Kyivstar) y compañías médicas, las mismas gasolineras Pharmmag, Shell, todas compañías transcontinentales muy grandes”, dijo en una entrevista con el sitio.
El director ejecutivo de AGIMA señaló que hasta el momento no existen hechos que indiquen la ubicación geográfica del propagador del virus. En su opinión, el virus supuestamente apareció en Rusia. Desafortunadamente, no hay evidencia directa de esto.
"Se supone que estos son nuestros piratas informáticos, ya que apareció la primera modificación en Rusia, y el virus en sí, que no es un secreto para nadie, lleva el nombre de Petro Poroshenko. Fue el desarrollo de los piratas informáticos rusos, pero es difícil de decir quien lo cambió aún más. Que estando incluso en Rusia, es fácil hacerse con una computadora con geolocalización en Estados Unidos, por ejemplo”, explicó el experto.
"Si de repente hubo una" infección "en la computadora, no puede apagar la computadora. Si reinicia, nunca volverá a iniciar sesión"
"Si una computadora se 'infecta' repentinamente, no puede apagarla, porque el virus Petya reemplaza el MBR, el primer sector de arranque desde el cual se carga el sistema operativo. Si reinicia, nunca volverá a ingresar al sistema. Esto corta los caminos de desechos, incluso si aparece "tableta", ya no será posible devolver los datos. A continuación, debe desconectarse inmediatamente de Internet para que la computadora no se conecte. Un parche oficial de Microsoft ya ha ha sido lanzado, proporciona una garantía de seguridad del 98 por ciento. Desafortunadamente, no el 100 por ciento todavía. Una cierta modificación del virus (sus tres piezas) está pasando por alto por ahora ", recomendó Lobanov. - Sin embargo, si reinició y vio el comienzo del proceso de "comprobar disco", en este momento debe apagar la computadora de inmediato y los archivos permanecerán sin cifrar.
Además, el experto también explicó por qué la mayoría de las veces los ataques son Usuarios de Microsoft, no MacOSX (sistema operativo de Apple - sitio) y sistemas Unix.
"Aquí es más correcto hablar no solo de MacOSX, sino también de todos los sistemas Unix (el principio es el mismo). El virus se propaga solo a las computadoras, sin dispositivos móviles. El ataque afecta al sistema operativo Windows y amenaza solo a aquellos usuarios que hayan desactivado la función Actualización automática sistemas Las actualizaciones como excepción están disponibles incluso para los propietarios de versiones anteriores. Versiones de Windows que ya no se actualizan: XP, Windows 8 y Servidor de windows 2003", dijo el experto.
"MacOSX y Unix no están globalmente expuestos a este tipo de virus, porque muchas grandes corporaciones usan la infraestructura de Microsoft. MacOSX no se ve afectado porque no es tan común en las agencias gubernamentales. Hay menos virus debajo, no es rentable hacerlos". porque el segmento de ataque será más pequeño que si ataca a Microsoft”, concluyó el experto.
"El número de usuarios atacados ha llegado a dos mil"
Servicio de prensa de Kaspersky Lab, cuyos expertos continúan investigando la última ola de infecciones, dijo que "este ransomware no pertenece a la ya conocida familia de ransomware Petya, aunque comparte varias líneas de código con ella".
El Laboratorio está seguro de que en este caso estamos hablando de una nueva familia de malware software con una funcionalidad significativamente diferente de Petya. Kaspersky Lab nombró a un nuevo cifrador ExPetr.
"Según Kaspersky Lab, el número de usuarios atacados ha llegado a dos mil. La mayoría de los incidentes se registraron en Rusia y Ucrania, y también se observaron casos de infección en Polonia, Italia, Gran Bretaña, Alemania, Francia, Estados Unidos y varios otros países Por el momento, nuestros expertos sugieren que este malware utilizó múltiples vectores de ataque. redes corporativas se utilizaron un exploit EternalBlue modificado y un exploit EternalRomance", dijo el servicio de prensa.
Los expertos también están explorando la posibilidad de crear una herramienta de descifrado con la que descifrar los datos. El laboratorio también hizo recomendaciones para que todas las organizaciones eviten un ataque de virus en el futuro.
"Recomendamos que las organizaciones actualicen su sistema operativo Windows. Para Windows XP y Windows 7, instale la actualización de seguridad MS17-010 y asegúrese de que tengan un sistema de copia de seguridad de datos efectivo. La copia de seguridad de datos oportuna y segura le permite restaurar los archivos originales, incluso si estaban encriptados por malware", aconsejaron los expertos de Kaspersky Lab.
El Laboratorio también recomienda a sus clientes corporativos asegurarse de que todos los mecanismos de protección estén activados, en particular, asegurarse de que la conexión a infraestructura en la nube Kaspersky Security Network, como medida adicional, se recomienda utilizar el componente "Control de privilegios de aplicaciones" para prohibir que todos los grupos de aplicaciones accedan (y, en consecuencia, ejecuten) un archivo llamado "perfc.dat", etc.
"Si no usa los productos de Kaspersky Lab, le recomendamos que deshabilite la ejecución de un archivo llamado perfc.dat, así como que bloquee el inicio de la utilidad PSExec desde el paquete Sysinternals usando la función AppLocker, que es parte del sistema operativo (sistema operativo sistema - sitio) Windows", recomendado en el laboratorio.
El 12 de mayo de 2017, muchos son un cifrador de datos en unidades de disco duro ordenadores. Bloquea el dispositivo y exige un rescate.
El virus afectó a organizaciones y departamentos en decenas de países de todo el mundo, incluida Rusia, donde el Ministerio de Salud, el Ministerio de Situaciones de Emergencia, el Ministerio del Interior, los servidores fueron atacados. operadores móviles y varios bancos grandes.
La propagación del virus se detuvo accidental y temporalmente: si los piratas informáticos cambian solo unas pocas líneas de código, el malware comenzará a funcionar nuevamente. El daño del programa se estima en mil millones de dólares. Después de un análisis forense lingüístico, los expertos descubrieron que WannaCry fue creado por personas de China o Singapur.