bejáratPetya vírus fájl. Megjelent a Petya.A és a WannaCry Ransomware Decryption Tool! Hogyan lehet megszabadulni Petyától
Petya vírus- váltságdíj-igény a visszafejtésért
Néhány órával a támadás kezdete után a DATARC megkapta az első hívást, és több érintett szervert elemeztünk. Fő következtetés: igen az adatok helyreállításának nem nulla valószínűsége a Petya vírus által megtámadva- a vírus gyakran károsítja a fájlrendszert, de nem titkosítja az adatokat.
Tovább Ebben a pillanatban az elemzett károsodás kategorizálható.
100%-os adat-helyreállítás lehetséges
A vírus valószínűleg hibákat tartalmaz - nem mindig hajtja végre az algoritmust, nincs ideje titkosítani az adatokat, és megszakítja a rendszerbetöltőt. Ilyen kártételi lehetőségeket láttunk:
- Az adatok nincsenek titkosítva, az MBR sérült
- Az adatok nincsenek titkosítva, sérült MBR + NTFS rendszerbetöltő
- Az adatok nincsenek titkosítva, az MBR + NTFS rendszerbetöltő + MFT sérült - a lemez RAW-ként észlelhető
Az adatok helyreállítása lehetséges, a veszteség több mint 0%
Titkosítás esetén előfordulhat, hogy egyes fájlok érintetlenek maradnak. Ilyen kártételi lehetőségeket láttunk:
- Csak a C: meghajtó titkosított - a többi logikai meghajtók maradj rendben
- A C meghajtón nem minden fájl titkosított:
- Csak az MFT rekord titkosított, a fájl tartalma változatlan marad.
A régi verzióból való visszafejtés nem működik
A Petya jelenlegi verziója (feltehetően) a 2016-os támadás folytatása (lásd: https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ és https://securelist.com/petya- the-two -in-one-trójai / 74609 /). Mert régi verzió dekódoló kulcs kitaláló technikát hoztak létre (lásd: https://github.com/leo-stone/hack-petya). A 2017-es vírus megváltozott, és a régi technika nem működik.
Például a vírus régi verziójában az MBR-t az 55-ös szektorban tárolták, és XOR 0x37-tel „titkosították”. V új verzió Az MBR a 34-es szektorban van tárolva, és XOR 0x07-tel van „titkosítva”.
Titkosított MBR:
Dekódolt MBR:
Petya vírus - MBR dekódolás után
Mi a teendő, ha a számítógép fertőzött
Víruskereső programok szinte minden felhasználó számítógépére telepítve vannak, de néha megjelenik egy trójai vagy vírus, amely a legtöbbet képes megkerülni. jobb védelemés megfertőzi az eszközét, vagy ami még rosszabb, titkosítja az adatait. Ilyen vírus ezúttal a titkosított trójai Petya vagy más néven Petya volt. Spread rate adott fenyegetést nagyon lenyűgöző: pár nap alatt „látogathatott” Oroszországban, Ukrajnában, Izraelben, Ausztráliában, az USA-ban, az összes nagyobb európai országban és nem csak. Főleg a vállalati felhasználókat sújtotta (repülőterek, erőművek, turizmus), de azt is hétköznapi emberek... Méretét és hatásmódszereit tekintve rendkívül hasonlít a mostani szenzációshoz.
Kétségtelenül meg kell védenie számítógépét, hogy ne essen az új Petya ransomware trójai áldozatává. Ebben a cikkben elmondom, mi ez a "Petya" vírus, hogyan terjed, hogyan védheti meg magát ettől a fenyegetéstől. Ezenkívül érinteni fogjuk a trójaiak eltávolításának és az információk visszafejtésének problémáit.
Mi az a "Petya" vírus?
Először is meg kell értenünk, mi az a Petya. A Petya vírus egy rosszindulatú szoftver, amely egy trójai, mint a ransomware (ransomware). Ezeket a vírusokat arra tervezték, hogy zsarolják a fertőzött eszközök tulajdonosait, hogy váltságdíjat kapjanak tőlük a titkosított adatokért. nem úgy mint Sírni akar, Petya nem foglalkozik az egyes fájlok titkosításával – szinte azonnal „elvesz” mindent HDD teljesen.
Az új vírus helyes neve Petya.A. Ezenkívül a Kaspersky NotPetya / ExPetr-nek hívja.
A "Petya" vírus leírása
Amint belép a Windows számítógépére, a Petya szinte azonnal titkosítja MFT(Főfájl táblázat). Miért felelős ez a táblázat?
Képzelje el, hogy a merevlemez a legnagyobb könyvtár az egész univerzumban. Több milliárd könyvet tartalmaz. Szóval hogyan találja meg a kívánt könyvet? Csak a könyvtári katalógus felhasználásával. Petya ezt a könyvtárat semmisíti meg. Így elveszít minden lehetőséget, hogy megtaláljon bármilyen „fájlt” a számítógépén. Pontosabban Petit „munkája” után a számítógéped merevlemeze egy tornádó utáni könyvtárhoz fog hasonlítani, és mindenfelé könyvdarabkák röpködnek.
Így, ellentétben a Wanna Cry-vel, amelyet a cikk elején említettem, a Petya.A nem titkosít külön fájlokat, lenyűgöző mennyiségű időt tölt vele – egyszerűen elvesz minden lehetőséget, hogy megtalálja őket.
Minden manipulációja után váltságdíjat követel a felhasználóktól - 300 dollárt, amelyet át kell utalni egy bitcoin számlára.
Ki hozta létre a Petya vírust?
A vírus létrehozásakor Petya az „EternalBlue” nevű exploitot („lyukat”) használta a Windows operációs rendszerben. A Microsoft néhány hónapja kiadott egy javítást, amely "bezárja" ezt a lyukat, azonban nem mindenki használja a Windows licencelt példányát, és telepíti az összes rendszerfrissítést, igaz?)
A "Petit" alkotója bölcsen tudta kihasználni a vállalati és magánfelhasználók figyelmetlenségét, és pénzt keresni vele. A személyazonossága még mindig ismeretlen (és valószínűleg nem is lesz ismert)
Hogyan terjed Petya vírusa?
A Petya vírus leggyakrabban a kötődés leple alatt terjed e-maileketés az archívumokban kalóz fertőzött szoftverekkel. A melléklet teljesen bármilyen fájlt tartalmazhat, beleértve a fényképet vagy az mp3-at is (első pillantásra annak tűnik). A fájl futtatása után a számítógép újraindul, és a vírus szimulálja a lemezellenőrzést CHKDSK hibák, és ebben a pillanatban módosítani fog boot rekord számítógépére (MBR). Ezt követően egy piros koponya jelenik meg a számítógép képernyőjén. Bármelyik gombra kattintva elérhet egy szöveget, amelyben meg kell fizetnie a fájlok visszafejtését, és át kell utalnia a szükséges összeget egy bitcoin pénztárcába.
Hogyan védekezhet a Petya vírus ellen?
- A legfontosabb és legalapvetőbb dolog - tegye szabálysá a frissítések telepítését az Ön számára operációs rendszer! Ez hihetetlenül fontos. Tedd meg most, ne késlekedj.
- Fokozottan ügyeljen a levelekhez csatolt összes mellékletre, még akkor is, ha olyan személyektől származik, akiket ismer. A járvány idején jobb használni alternatív források adatátvitel.
- Aktiválja a „Fájlkiterjesztések megjelenítése” opciót az operációs rendszer beállításaiban – így mindig láthatja a valódi fájlkiterjesztést.
- Kapcsolja be a „Felhasználói fiókok felügyelete” funkciót a Windows beállításaiban.
- A fertőzés elkerülése érdekében telepítenie kell az egyiket. Kezdje az operációs rendszer frissítésének telepítésével, majd telepítsen egy víruskeresőt, és sokkal nagyobb biztonságban lesz, mint korábban.
- Ügyeljen arra, hogy készítsen "biztonsági másolatot" - mentse el az összes fontos adatot külső kemény lemez vagy felhő. Ezután, ha a Petya vírus behatol a számítógépébe és titkosítja az összes adatot, akkor meglehetősen könnyű lesz formázni merevlemezés telepítse újra az operációs rendszert.
- Mindig ellenőrizze a víruskereső adatbázisok relevanciáját. Minden jó vírusirtó figyeli a fenyegetéseket, és a fenyegetésszignatúrák frissítésével kellő időben reagál rájuk.
- Telepítés ingyenes segédprogram Kaspersky Anti-Ransomware. Megvédi Önt a titkosító vírusoktól. A szoftver telepítése nem mentesíti Önt egy víruskereső telepítése alól.
Hogyan lehet eltávolítani a Petya vírust?
Hogyan lehet eltávolítani a Petya.A vírust a merevlemezről? Rendkívül érdeklődés Kérdezzen... A helyzet az, hogy ha a vírus már blokkolta az adatait, akkor valójában nem lesz mit törölni. Ha nem tervezi fizetni a zsarolóprogramot (amit nem szabad megtennie), és a jövőben nem próbálja meg visszaállítani a lemezen lévő adatokat, csak formáznia kell a lemezt, és újra kell telepítenie az operációs rendszert. Ezután már nyoma sem lesz a vírusnak.
Ha gyanítja, hogy fertőzött fájl található a lemezen, ellenőrizze a lemezt valamelyikkel, vagy telepítse a Kaspersky Anti-Virus programot, és végezzen teljes rendszervizsgálatot. A fejlesztő biztosította, hogy aláírási adatbázisa már tartalmaz információkat erről a vírusról.
Dekóder Petya.A
A Petya.A egy nagyon erős algoritmussal titkosítja az Ön adatait. Jelenleg nincs megoldás a zárolt információk visszafejtésére. Sőt, ne próbáljon otthon hozzáférni az adatokhoz.
Kétségtelenül mindannyian álmodoznánk a csodás Petya.A dekódoló beszerzéséről, de egyszerűen nincs ilyen megoldás. A vírus néhány hónapja lepte el a világot, de nem találtak gyógymódot az általa titkosított adatok visszafejtésére.
Ezért, ha még nem lett a Petya vírus áldozata, hallgassa meg a cikk elején adott tanácsot. Ha ennek ellenére elvesztette az irányítást az adatok felett, akkor több módja is van.
- Fizess. Ennek semmi értelme! A szakértők már kiderítették, hogy a vírus létrehozója a titkosítási módszerre tekintettel nem állít vissza adatokat, és nem is tud helyreállítani.
- Vegye ki a merevlemezt a készülékből, óvatosan helyezze be a szekrénybe, és várja meg, amíg a dekóder megjelenik. A Kaspersky Lab egyébként folyamatosan ebben az irányban dolgozik. Vannak elérhető dekóderek a No Ransom webhelyen.
- A lemez formázása és az operációs rendszer telepítése. Mínusz - minden adat elveszik.
Petya.A vírus Oroszországban
E cikk írásakor több mint 80 vállalatot támadtak meg és fertőztek meg Oroszországban és Ukrajnában, köztük olyan nagyokat, mint a Basnyefty és a Rosznyefty. Az ilyen nagyvállalatok infrastruktúrájának fertőzése a Petya.A vírus súlyosságát jelzi. Kétségtelen, hogy a ransomware trójai továbbra is elterjed Oroszország-szerte, ezért ügyeljen adatai biztonságára, és kövesse a cikkben található tanácsokat.
Petya.A és Android, iOS, Mac, Linux
Sok felhasználó aggódik – „megfertőzheti-e a Petya vírus az eszközeiket Androidés iOS. Sietni fogom lenyugtatni őket – nem, nem lehet. Csak Windows felhasználók számára készült. Ugyanez vonatkozik a Linux és Mac rajongókra is – nyugodtan aludhatsz, semmi sem fenyeget.
Következtetés
Tehát ma részletesen megbeszéltük új vírus Petya.A. Megértettük, mi ez a trójai, és hogyan működik, megtanultuk, hogyan védekezzünk a fertőzések ellen, hogyan távolítsuk el a vírust, és hol szerezhető be a Petya visszafejtő. Remélem, hogy ez a cikk és a tippjeim hasznosak voltak az Ön számára.
A Petya.A vírustámadás néhány nap alatt több tucat országra terjedt, és járvány léptékűvé fejlődött Ukrajnában, ahol a M.E.Doc jelentéskészítő és dokumentumkezelő program is részt vett a kártevő terjesztésében. Később szakértők elmondták, hogy a támadók célja az adatok teljes megsemmisítése volt, de az ukrán kiberrendőrség szerint, ha a rendszer részben fertőzött, akkor van esély a fájlok visszaállítására.
Hogyan működik Petya
Ha egy vírus rendszergazdai jogokat kap, a kutatók három fő forgatókönyvet azonosítanak a hatásra vonatkozóan:
- A számítógép fertőzött és titkosított, a rendszer teljesen kompromittálódott. Adatmentés szükséges privát kulcs, és a képernyőn egy váltságdíjat követelő üzenet jelenik meg (bár az van).
- A számítógép fertőzött és részben titkosított – a rendszer megkezdte a fájlok titkosítását, de a felhasználó leállította ezt a folyamatot az áramellátás kikapcsolásával vagy más módon.
- A számítógép fertőzött, de az MFT titkosítási folyamata még nem indult el.
Az első esetben még nincs hatékony módszer az adatok visszafejtésére. Most a kiberrendőrség és az informatikai cégek szakemberei keresik, valamint az eredeti Petya vírus megalkotója(lehetővé teszi a rendszer visszaállítását a kulcs segítségével). Ha az MFT fájlok főtáblája részben sérült, vagy egyáltalán nem érintett, továbbra is van esély a fájlok elérésére.
A kiberrendőrség a módosított Petya vírus két fő szakaszát nevezte meg:
Először is: privilegizált rendszergazdai jogok megszerzése (használatakor Active Directory mozgássérültek). Először is a vírus elmenti az eredetit rendszerindító szektor az MBR operációs rendszerhez a bitenkénti XOR művelet titkosított formájában (xor 0x7), amely után saját bootloadert ír a helyére. A trójai kód többi része a lemez első szektoraiba van írva. Ezen a ponton, szöveges fájl a titkosításról, de az adatok még nincsenek titkosítva.
Az adattitkosítás második fázisa a rendszer újraindítása után kezdődik. Petya már a saját konfigurációs szektorára hivatkozik, amiben ott van a nem titkosított adatok jelzése. Ezt követően megkezdődik a titkosítási folyamat, amely a képernyőn a Check Disk program munkájaként jelenik meg. Ha már fut, kapcsolja ki a tápellátást, és próbálja meg a javasolt adat-helyreállítási módszert használni.
Mit kínálnak
Először a telepítésből kell indítani Windows lemez... Ha egyidejűleg a merevlemez (vagy SSD) partícióit tartalmazó tábla látható, folytathatja a rendszerindító visszaállítási eljárást. MBR szektorok... Ezután érdemes ellenőrizni a lemezt, hogy nem fertőzött-e fájlokat. Ma a Petya-t minden népszerű vírusirtó felismeri.
Ha a titkosítási folyamat elindult, de a felhasználónak sikerült megszakítania, az operációs rendszer betöltése után szoftvert kell használni a titkosított fájlok (R-Studio és mások) helyreállításához. Az adatokat külső adathordozóra kell menteni, és a rendszer újratelepül.
Hogyan lehet visszaállítani a rendszerbetöltőt
Windows XP esetén:
Feltöltés után telepítőlemez Windows XP be RAM A PC megjelenít egy párbeszédpanelt " Windows telepítése XP Professional "a kiválasztási menüből, ahol ki kell választania az elemet" a Windows XP helyreállításához a helyreállítási konzol segítségével, nyomja meg az R gombot. Nyomja meg az "R" GOMBOT.
A helyreállítási konzol betöltődik.
Ha a számítógépen egy operációs rendszer van telepítve, és az (alapértelmezés szerint) a C meghajtóra van telepítve, a következő üzenet jelenik meg:
"1: C: \ WINDOWS Melyik a Windows másolata be kell jelentkezned?"
Írja be az "1" számot, nyomja meg az "Enter" gombot.
Megjelenik egy üzenet: "Adja meg a rendszergazdai jelszót." Írja be a jelszót, nyomja meg az "Enter" billentyűt (ha nincs jelszó, csak nyomja meg az "Enter" gombot).
Meg kell kérni: C: \ WINDOWS> írja be a fixmbr parancsot
Ezután megjelenik a „FIGYELMEZTETÉS” üzenet.
"Megerősíti az új MBR rögzítését?", Nyomja meg az "Y" gombot.
Megjelenik egy üzenet: "Új fő rendszerindító szektor jön létre a fizikai lemezen \ Device \ Harddisk0 \ Partition0."
Mert Windows Vista:
Töltse le a Windows Vista-t. Válassza ki a nyelvet és a billentyűzetkiosztást. Az üdvözlőképernyőn kattintson a „Számítógép visszaállítása a pályára” lehetőségre. A Windows Vista szerkeszti a számítógép menüjét.
Válassza ki az operációs rendszert, és kattintson a Tovább gombra. Amikor megjelenik a Rendszer-helyreállítási beállítások ablak, kattintson a gombra parancs sor... Amikor megjelenik a parancssor, írja be ezt a parancsot:
bootrec / FixMbr
Várja meg a művelet befejezését. Ha minden jól ment, egy megerősítő üzenet jelenik meg a képernyőn.
Windows 7 esetén:
Indítsa el a Windows 7 rendszert. Válassza ki a nyelvet, a billentyűzetkiosztást, majd kattintson a Tovább gombra.
Válassza ki az operációs rendszert, és kattintson a Tovább gombra. Az operációs rendszer kiválasztásakor jelölje be a „Használjon helyreállítási eszközöket, amelyek segíthetnek megoldani a problémákat Windows rendszert futtatva».
A Rendszer-helyreállítási beállítások képernyőn kattintson a Parancssor gombra. Ha a parancssor sikeresen betöltődött, írja be a következő parancsot:
bootrec / fixmbr
Windows 8 esetén:
Indítsa el a Windows 8-at. Az üdvözlőképernyőn kattintson a Számítógép javítása gombra.
Válassza a "Hibaelhárítás" lehetőséget. Válassza ki a parancssort, amikor elindul, írja be:
bootrec / FixMbr
Nyomja meg az Enter billentyűt, és indítsa újra a számítógépet.
Windows 10 esetén:
Indítsa el a Windows 10 rendszert. Az üdvözlő képernyőn kattintson a "Számítógép javítása" gombra, és válassza a "Hibaelhárítás" lehetőséget.
Válassza a Parancssor lehetőséget. Amikor a parancssor betöltődik, írja be a következő parancsot:
bootrec / FixMbr
Várja meg a művelet befejezését. Ha minden jól ment, egy megerősítő üzenet jelenik meg a képernyőn.
Nyomja meg az Enter billentyűt, és indítsa újra a számítógépet.
A Petya vírus egy gyorsan növekvő vírus, amely 2017. június 27-én szinte az összes ukrajnai nagyvállalatot megfertőzte. A Petya vírus titkosítja fájljait, majd váltságdíjat ajánl értük.
Az új vírus megfertőzi a számítógép merevlemezét, és fájltitkosító vírusként működik. Át pontos idő, a Petya vírus „megeszi” a számítógépén lévő fájlokat, és azok titkosítva lesznek (mintha a fájlok archiválva lettek volna, és súlyos jelszót állítottak volna be)
A Petya ransomware vírustól elszenvedett fájlok később nem állíthatók vissza (van egy százalék, hogy helyreállítja őket, de ez nagyon kicsi)
NINCS olyan algoritmus, amely visszaállítja a Petya vírus által érintett fájlokat
Ennek a rövid és LEGHASZNOSABB cikknek a segítségével megvédheti magát a #Petya vírustól
Hogyan ISMERKEDJÜK KI Petya vagy WannaCry vírust, és NE fertőződj meg
Amikor feltölt egy fájlt az interneten keresztül, ellenőrizze azt egy online víruskereső segítségével. Az online antivírusok előre észlelhetik a vírust a fájlban, és megakadályozhatják a Petya vírusfertőzést. Csak annyit kell tennie, hogy ellenőrizze a letöltött fájlt a VirusTotal segítségével, majd futtassa. Még akkor is, ha LETÖLTETTE A PETYA VÍRUST, de NEM futtatta le a vírusfájlt, a vírus NEM aktív és nem okoz kárt. Csak egy káros fájl elindítása után indít el vírust, ezt ne feledje
HA CSAK EZT A MÓDSZERT HASZNÁLJA, MINDEN ESÉLYET MEGAD HOGY NE VEGYE BE A PETYA VÍRUSOT
A Petya vírus így néz ki:
Hogyan védekezhet a Petya vírus ellen
Vállalat Symantec olyan megoldást kínált, amellyel megvédheti magát a Petya vírustól, úgy tesz, mintha már telepítette volna.
Amikor a Petya vírus belép a számítógépbe, létrejön a mappában C: \ Windows \ perfc fájlt perfc vagy perfc.dll
Ha azt szeretné, hogy a vírus azt higgye, hogy már telepítve van, és nem folytatja tevékenységét, hozzon létre a mappában C: \ Windows \ perfcüres tartalommal rendelkező fájlt, és mentse el a módosítási mód "Csak olvasható" beállításával
Vagy töltse le a virus-petya-perfc.zip fájlt, és csomagolja ki a mappát perfc mappába C: \ Windows \és állítsa a váltási módot "Csak olvasható"-ra
Töltse le a virus-petya-perfc.zip fájlt
FRISSÍTVE 2017.06.29
Azt is javaslom, hogy mindkét fájlt egyszerűen töltse fel Windows mappa... Sok forrás azt írja, hogy a fájl perfc vagy perfc.dll mappában kell lennie C: \ Windows \
Mi a teendő, ha a számítógépét már megfertőzte a Petya vírus
Ne kapcsoljon be olyan számítógépet, amely már megfertőzte Önt a Petya vírussal. A Petya vírus úgy működik, hogy miközben a fertőzött számítógép be van kapcsolva, titkosítja a fájlokat. Vagyis mindaddig, amíg a Petya vírus által érintett számítógépet bekapcsolva tartja, újabb és újabb fájlok fertőződhetnek meg és titkosíthatók.
Winchester ez a számítógépérdemes megnézni. Ellenőrizheti LIVECD vagy LIVEUSB víruskereső használatával
Indító USB flash meghajtó Kaspersky Rescue Disk 10 programmal
Dr.Web LiveDisk indítható USB flash meghajtó
Kik terjesztették Petya vírusát Ukrajnában
A Microsoft kifejtette álláspontját a hálózat globális fertőzésével kapcsolatban nagy cégek Ukrajna. Az ok a M.E.Doc program frissítése volt. Az M.E.Doc egy népszerű könyvelő program, ezért van olyan nagy defekt a cégnél, mint például egy vírus frissítése és a Petya vírus telepítése több ezer M.E.Doc programot futtató PC-re. És mivel a vírus ugyanazon a hálózaton lévő számítógépeket fertőzi meg, villámgyorsan terjedt.
#: Petya vírus megfertőzi az Androidot, Petya vírus, Petya vírus észlelése és eltávolítása, Petya vírus kezelés módja, M.E.Doc, Microsoft, hozzon létre egy mappát Petya vírus
Néhány hónappal ezelőtt más IT-biztonsági szakértőkkel együtt egy új rosszindulatú programot fedeztünk fel - Petya (Win32.Trojan-Ransom.Petya.A)... Klasszikus értelemben nem volt ransomware, a vírus egyszerűen blokkolta a hozzáférést bizonyos típusú fájlokhoz, és váltságdíjat követelt. A vírus módosította a merevlemezen lévő rendszerindító rekordot, erőszakkal újraindította a számítógépet, és egy üzenetet mutatott ki, amely szerint "az adatok titkosítva vannak - szánja a pénzét a visszafejtésre". Általában ez egy szabványos titkosítási vírusséma, kivéve, hogy a fájlok valójában NEM voltak titkosítva. A legtöbb népszerű vírusirtó néhány héttel a megjelenése után elkezdte azonosítani és eltávolítani a Win32.Trojan-Ransom.Petya.A-t. Ezen kívül voltak utasítások a kézi eltávolítás... Miért gondoljuk, hogy a Petya nem egy klasszikus zsarolóvírus? Ez a vírus megváltoztatja a Master Boot Record-ot, és megakadályozza az operációs rendszer indítását, valamint titkosítja a Master File Table-t is. Magukat a fájlokat nem titkosítja.
Néhány héttel ezelőtt azonban megjelent egy kifinomultabb vírus. Mischa, nyilván ugyanazok a csalók írták. Ez a vírus titkosítja a fájlokat, és a visszafejtésért 500-875 USD fizetést követel különböző verziók 1,5-1,8 bitcoin). A „visszafejtéshez” és a fizetéshez szükséges utasításokat a YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájl tartalmazza.
Mischa Virus – A YOUR_FILES_ARE_ENCRYPTED.HTML fájl tartalma
Valójában a hackerek két rosszindulatú programmal fertőzik meg a felhasználók számítógépét: Petya és Mischa. Az elsőhöz rendszergazdai jogok szükségesek a rendszeren. Vagyis ha a felhasználó megtagadja a Petya rendszergazdai jogok megadását, vagy manuálisan törölte ezt a kártevőt, a Mischa benne van az ügyben. Ennek a vírusnak nincs szüksége adminisztrátori jogosultságra, egy klasszikus zsarolóprogram, és valóban az erős AES algoritmus segítségével titkosítja a fájlokat, és nem módosít a Master Boot Record-on és a fájltáblázaton az áldozat merevlemezén.
A Mischa kártevő nem csak a szabványos fájltípusokat (videókat, képeket, prezentációkat, dokumentumokat), hanem az .exe fájlokat is titkosítja. A vírus nem csak a \ Windows, \ $ Recycle.Bin, \ Microsoft, \ könyvtárakat érinti Mozilla Firefox, \ Opera, \ internet böngésző, \ Temp, \ Local, \ LocalLow és \ Chrome.
A fertőzés főként keresztül történik email, ahol a levélhez mellékelt fájl tartozik - egy vírustelepítő. Adóhivatali levél alá, könyvelőjétől titkosítható, mellékelt bizonylatként, vásárlási bizonylatként stb. Ügyeljen az ilyen betűk fájlkiterjesztéseire – ha igen végrehajtó fájl(.exe), akkor nagy valószínűséggel a Petya \ Mischa vírus tárolója lehet. És ha a rosszindulatú program módosítása friss, előfordulhat, hogy a víruskereső nem reagál.
Frissítés 2017.06.30.: A Petya vírus június 27-én módosított változata (Petya.A) tömegesen támadták meg a felhasználókat Ukrajnában. Ennek a támadásnak a hatása kolosszális volt, és a gazdasági károkat még nem számolták ki. Egy nap alatt több tucat bank munkája bénult meg, kiskereskedelmi láncok, kormányzati szervekés a különböző tulajdonformájú vállalkozások. A vírus elsősorban az ukrán MeDoc számviteli jelentési rendszer sérülékenységén keresztül terjedt a szoftver legújabb automatikus frissítésével. Emellett a vírus olyan országokat is érintett, mint Oroszország, Spanyolország, Nagy-Britannia, Franciaország és Litvánia.
Távolítsa el a Petya és Mischa vírust egy automatikus tisztítóval
Rendkívül hatékony módszer általában a rosszindulatú programok és különösen a zsarolóprogramok kezelésére. A jól bevált védőkomplex alkalmazása garantálja az esetleges víruskomponensek, azok kimutatásának alaposságát teljes eltávolítása egy kattintással. Felhívjuk figyelmét, hogy két különböző folyamatról beszélünk: a fertőzés eltávolításáról és a fájlok visszaállításáról a számítógépen. Ennek ellenére a fenyegetést mindenképpen el kell távolítani, mivel más számítógépes trójaiak bevezetéséről is van információ a segítségével.
- ... A szoftver elindítása után kattintson a gombra Indítsa el a Computer Scan(Indítsa el a szkennelést).
- A telepített szoftver jelentést ad a vizsgálat során észlelt fenyegetésekről. Az összes talált fenyegetés eltávolításához válassza a lehetőséget Javítsa ki a fenyegetéseket(A fenyegetések kiküszöbölése). A szóban forgó rosszindulatú program teljesen eltávolításra kerül.
A titkosított fájlokhoz való hozzáférés visszaállítása
Mint már említettük, a Mischa ransomware erős titkosítási algoritmussal zárolja a fájlokat, így a titkosított adatokat nem lehet egy mozdulattal visszaállítani. varázspálca- ha nem veszi figyelembe a hallatlan váltságdíj befizetését (néha eléri az 1000 dollárt). De bizonyos módszerek valóban életmentővé válhatnak, amelyek segítenek visszaállítani a fontos adatokat. Az alábbiakban megismerkedhet velük.
Program automatikus helyreállítás fájlok (dekódoló)
Egy nagyon rendkívüli körülmény ismeretes. Ez a fertőzés eltűnik forrás fájlok titkosítatlan formában. A ransomware titkosítási folyamat tehát ezek másolatait célozza meg. Ez lehetőséget ad az ilyenekre szoftver hogyan lehet visszaállítani a törölt objektumokat, még akkor is, ha az eltávolításuk megbízhatósága garantált. Erősen ajánlott a fájl-helyreállítási eljárás igénybevétele, hatékonysága kétségtelen. 
Kötet árnyékmásolatok
A megközelítés azon alapul Windows eljárás Tartalékmásolat fájlokat, ami minden helyreállítási ponton megismétlődik. Fontos feltétel munka ez a módszer: A rendszer-visszaállítást aktiválni kell a fertőzés előtt. A visszaállítási pont után a fájlban végrehajtott módosítások azonban nem jelennek meg a fájl visszaállított verziójában.
biztonsági mentés
Ez a legjobb nem visszaváltási módszer. Ha az adatok külső szerverre történő biztonsági mentésének eljárását a számítógépét ért ransomware támadás előtt alkalmazták, a titkosított fájlok visszaállításához egyszerűen be kell lépnie a megfelelő felületre, ki kell választania a szükséges fájlokat, és el kell indítania az adat-helyreállítási mechanizmust a biztonsági másolatból. A művelet végrehajtása előtt meg kell győződnie arról, hogy a zsarolóprogramot teljesen eltávolította.
Ellenőrizze a Petya és Mischa ransomware esetleges megmaradt összetevőit
Betakarítás kézi üzemmód tele van bizonyos ransomware töredékek kihagyásával, amelyek elkerülhetik a törlést rejtett operációs rendszer objektumok vagy rendszerleíró bejegyzések formájában. Bizonyos rosszindulatú elemek részleges mentésének kockázatának kiküszöbölése érdekében ellenőrizze számítógépét egy megbízható biztonsági eszközzel Szoftver csomag rosszindulatú programokra szakosodott.
Néhány napja megjelent egy cikk forrásunkon arról, hogyan védekezhet a vírus és fajtái ellen. Ugyanebben az utasításban a legrosszabb forgatókönyvet is figyelembe vesszük - a számítógép fertőzött. Természetesen a helyreállítás után minden felhasználó megpróbálja visszaállítani adatait és személyes adatait. Ez a cikk az adatok helyreállításának legkényelmesebb és leghatékonyabb módjaira összpontosít. Érdemes megfontolni, hogy ez közel sem mindig lehetséges, így semmiféle garanciát nem vállalunk.
Három fő forgatókönyvet veszünk figyelembe, amelyek szerint az események alakulhatnak:
1. A számítógép Petya.A vírussal (vagy annak változataival) fertőzött és titkosított, a rendszer teljesen le van zárva. Az adatok helyreállításához meg kell adnia egy speciális kulcsot, amelyért fizetnie kell. Azonnal le kell mondani, hogy még ha fizet is, az nem oldja fel a zárat, és nem adja vissza a hozzáférést a személyi számítógépéhez.
2. Egy opció, amely több lehetőséget biztosít a felhasználó számára további intézkedés- számítógépe fertőzött, és a vírus elkezdte titkosítani az Ön adatait, de a titkosítás leállt (például az áramellátás kikapcsolásával).
3. Az utolsó lehetőség a legkedvezőbb. A számítógép fertőzött, de titkosítás fájlrendszer még nem kezdődött el.
Ha az 1-es helyzet áll fenn, vagyis minden adatod titkosítva van, akkor be ezt a szakaszt hiányzó hatékony módja a felhasználói adatok visszaállításához. Valószínű, hogy néhány napon vagy héten belül megjelenik ez a módszer, de egyelőre mindenkivel rendelkező szakemberek az információs és számítógép biztonság fejtörő rajta.
Ha a titkosítási folyamat nem indult el, vagy nem fejeződött be teljesen, akkor a felhasználónak azonnal meg kell szakítania (a titkosítás a következőképpen jelenik meg: rendszerfolyamat Lemez ellenőrzése). Ha sikerült betölteni az operációs rendszert, akkor azonnal telepítsen bármilyen modern víruskeresőt (jelenleg mindegyik felismeri a Petyát és teljes körű vizsgálatot végez az összes lemezen. Ha a Windows nem indul el, akkor a fertőzött gép tulajdonosának kell használnia a rendszert lemezek vagy flash meghajtó az MBR rendszerindító szektor visszaállításához) ...
A rendszerbetöltő javítása Windows XP rendszeren
Feltöltés után rendszerlemez a Windows XP operációs rendszerrel működési lehetőségeket kínál. A „Windows XP Professional telepítése” ablakban válassza a „A Windows XP helyreállításához a helyreállítási konzol segítségével” lehetőséget. Ami logikus, meg kell nyomnia az R billentyűt. A billentyűzeten látnia kell a partíció visszaállításához szükséges konzolt és az üzenetet:
"" 1: C: \ WINDOWS A Windows melyik példányába kell bejelentkeznie? ""
Ha a Windows XP egyik verziója van telepítve, írja be az „1”-et a billentyűzetről, és nyomja meg az enter billentyűt. Ha több rendszere van, akkor ki kell választania azt, amelyikre szüksége van. Egy rendszergazdai jelszót kérő üzenet jelenik meg. Ha nincs jelszó, csak nyomja meg az Enter billentyűt, és hagyja üresen a mezőt. Ezután egy sor jelenik meg a képernyőn, írja be a "szót" fixmbr"
A következő üzenetnek kell megjelennie: „FIGYELEM! Megerősíti az új MBR írását? ", Nyomja meg az" Y "billentyűt a billentyűzeten.
Megjelenik a válasz: "Új fő rendszerindító szektor jön létre a fizikai lemezen ...."
"Az új fő rendszerindító partíció sikeresen létrehozva."
A rendszerbetöltő javítása Windows Vista rendszeren
Helyezzen be egy lemezt vagy USB flash meghajtót Windows Vista operációs rendszerrel. Ezután ki kell választania a "Számítógép visszaállítása a működéshez" sort. Válassza ki, hogy melyik Windows Vista operációs rendszert szeretné visszaállítani (ha több is van). Amikor megjelenik a helyreállítási lehetőségeket tartalmazó ablak, kattintson a parancssorra. A parancssorba írja be a következőt: " bootrec / FixMbr".
A rendszerbetöltő javítása Windows 7 rendszeren
Helyezzen be egy lemezt vagy USB flash meghajtót a Windows 7 operációs rendszerrel Válassza ki, hogy melyik Windows 7 operációs rendszert (ha több is van) szeretné visszaállítani. Válassza a „Helyreállítási eszközök használata, amelyek segíthetnek megoldani a Windows indításával kapcsolatos problémákat” lehetőséget. Ezután válassza a "Parancssor" lehetőséget. A parancssor betöltése után írja be a " bootrec / fixmbr
A rendszerbetöltő javítása Windows 8 rendszeren
Helyezzen be egy lemezt vagy USB flash meghajtót a Windows 8 rendszerrel. A főképernyőn válassza a "Számítógép javítása" lehetőséget a bal alsó sarokban. Válassza a "Hibaelhárítás" lehetőséget. Válassza ki a parancssort, amikor elindul, írja be: "bootrec / FixMbr"
A rendszerbetöltő javítása Windows 10 rendszeren
Helyezzen be egy lemezt vagy flash meghajtót Windows 10 rendszerrel. A főképernyőn válassza a "Számítógép javítása" lehetőséget a bal alsó sarokban. Válassza a "Hibaelhárítás" lehetőséget. Válassza ki a parancssort, amikor elindul, írja be: "bootrec / FixMbr" Ha minden jól megy, megjelenik egy megfelelő üzenet, és csak a számítógép újraindítása marad.
(Petya.A), és adott néhány tanácsot.
Az SBU szerint az operációs rendszerek fertőzése főként rosszindulatú alkalmazások megnyitásával ( Word dokumentumok, PDF fájlok), amelyek a címre voltak irányítva email címek számos kereskedelmi és kormányzati struktúra.
„A támadás, amelynek fő célja a Petya.A zsarolóvírus terjesztése volt, az MS17-010 hálózati sebezhetőséget használta ki, aminek következtében a fertőzött gépre egy sor szkriptet telepítettek, amelyet a kiberbűnözők használtak fel az indításhoz. az említett zsarolóprogramot” – közölte az SBU.
A vírus a Windows operációs rendszert futtató számítógépeket támadja meg a felhasználó fájljainak titkosításával, majd üzenetet jelenít meg a fájlok konvertálásáról azzal a javaslattal, hogy a visszafejtési kulcsot bitcoinban fizessék 300 dollárnak megfelelő összegben az adatok feloldásához.
„A titkosított adatokat sajnos nem lehet visszafejteni. Folytatódik a munka a titkosított adatok visszafejtésének lehetőségén” – közölte az SBU.
Mit kell tenni, hogy megvédje magát a vírustól
1. Ha a számítógép be van kapcsolva és megfelelően működik, de gyanítja, hogy fertőzött, semmi esetre se indítsa újra (ha a számítógép már megsérült, ne indítsa újra) - a vírus újraindításkor aktiválódik, és titkosítja az összes fájlok a számítógépen...
2. Mentse el a legtöbbet értékes fájlokat egy külön adathordozón, amely nem csatlakozik a számítógéphez, és ideális esetben - készítsen biztonsági másolatot az operációs rendszerrel együtt.
3. A fájltitkosító azonosításához hajtson végre minden helyi feladatot, és ellenőrizze következő fájl: C: /Windows/perfc.dat
4. A Windows operációs rendszer verziójától függően telepítse a javítást.
5. Győződjön meg arról, hogy egyáltalán számítógépes rendszerek Olyan víruskereső szoftvert telepítettek, amely megfelelően működik, és naprakész vírusazonosító adatbázist használ. Telepítse és frissítse a víruskeresőt, ha szükséges.
6. A fertőzésveszély csökkentése érdekében ügyeljen minden e-mail levelezésre, ne töltse le és ne nyissa meg az ismeretlen személyektől küldött levelek mellékleteit. Ha olyan levelet kap egy ismert címről, amely gyanút kelt, lépjen kapcsolatba a feladóval, és erősítse meg, hogy a levelet elküldték.
7. Készíts biztonsági mentések minden kritikus adatot.
A megadott információk eljuttatása a strukturális részlegek dolgozóihoz, megakadályozva, hogy az alkalmazottak olyan számítógépekkel dolgozzanak, amelyekre a megadott javítások nincsenek telepítve, függetlenül a helyi vagy internet csatlakozás tényétől.
Megpróbálható visszaállítani a hozzáférést egy adott vírus által blokkolt Windows számítógéphez.
Mivel a megadott kártevő módosítja az MBR rekordokat, ezért az operációs rendszer betöltése helyett egy ablak jelenik meg a felhasználó számára a fájltitkosítás szövegével. Ezt a problémát az MBR rekord visszaállítása oldja meg. Ehhez vannak speciális közművek... Az SBU ehhez a Boot-Repair segédprogramot használta (utasítások a hivatkozáson).
b). Futtassa, és ellenőrizze, hogy az „Összegyűjtendő műtermékek” ablakban minden négyzet be van-e jelölve.
c). Az „Eset Log Collection Mode” lapon állítsa be a kezdeti értéket bináris kód korong.
d). Kattintson a Gyűjtés gombra.
e). Archívum küldése naplókkal.
Ha az érintett számítógép be van kapcsolva, de még nem kapcsolt ki, ugorjon a végrehajtásra
3. o., hogy olyan információkat gyűjtsön, amelyek segítenek a dekóder megírásában,
4. oldal a rendszer kezelésére.
Egy már fertőzött számítógépről (nem indul el) össze kell gyűjtenie az MBR-t további elemzéshez.
Az alábbi utasítások szerint gyűjtheti össze:
a) Töltse le az ESET SysRescue Live CD-t vagy USB-t (létrehozás a 3. szakaszban leírtak szerint)
b). Fogadja el a használati engedélyt
c). Nyomja meg a CTRL + ALT + T billentyűket (a terminál megnyílik)
d). Írja be idézőjelek nélkül a „parted -l“ parancsot, ennek paramétere egy kis „L“ betű, és nyomja meg
e). Tekintse meg a meghajtók listáját, és azonosítsa az érintett számítógépet (a / dev / sda fájlból kell lennie)
f). Írja ki a „dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256“ parancsot idézőjelek nélkül, a „/ dev / sda“ helyett használja az előző lépésben megadott lemezt, és nyomja meg a gombot. (A fájl / home / eset / petya.img létrejön)
g). Csatlakoztassa a flash meghajtót, és másolja a /home/eset/petya.img fájlt
h). A számítógép kikapcsolható.
Lásd még - Omelyan a kibertámadásokkal szembeni védelemről
Omelyan a kibertámadások elleni védelemről
Feliratkozás a hírekre
Talán már ismeri a 2017. június 27-én feljegyzett hackerfenyegetést Oroszországban és Ukrajnában, amelyeket a WannaCry-hez hasonló nagyszabású támadás érte. A vírus blokkolja a számítógépeket, és váltságdíjat követel bitcoinban a fájlok visszafejtéséért. Mindkét országban összesen több mint 80 vállalat érintett, köztük az orosz Rosznyefty és a Bashneft.
A ransomware vírus, akárcsak a hírhedt WannaCry, blokkolt minden számítógépes adatot, és azt követeli, hogy 300 dollárnak megfelelő, bitcoinban kifejezett váltságdíjat utaljanak át a bűnözőknek. De a Wanna Cry-vel ellentétben a Petya nem törődik az egyes fájlok titkosításával – szinte azonnal „elveszi” a teljes merevlemezt.
Ennek a vírusnak a helyes neve Petya.A. Az ESET-jelentés felfedi a Diskcoder.C (más néven ExPetr, PetrWrap, Petya vagy NotPetya) néhány funkcióját.
Az összes áldozat statisztikái szerint a vírus fertőzött mellékletekkel rendelkező adathalász e-mailekben terjedt. Általában egy levélben fel kell nyitni Szöveges dokumentum, hanem mint tudjuk a második fájlkiterjesztés txt.alkalmazás rejtett, és az utolsó fájlkiterjesztés élvez elsőbbséget. Működési alapértelmezés Windows rendszer nem jeleníti meg a fájlkiterjesztéseket, és így néznek ki:
8.1-ben az Intéző ablakában (Nézet \ Mappa beállításai \ Törölje a jelölést a Kiterjesztések elrejtése a regisztrált fájltípusokhoz jelölőnégyzetből)
A 7-ben az Intéző ablakában (Alt \ Eszközök \ Mappabeállítások \ Törölje a Kiterjesztések elrejtése a regisztrált fájltípusokhoz jelölőnégyzetből)
A legrosszabb pedig az, hogy a felhasználókat még az sem hozza zavarba, hogy ismeretlen felhasználóktól érkeznek levelek, és az érthetetlen fájlok megnyitását kérik.
A fájl megnyitása után a felhasználó a következőt látja: kék képernyő halál".
Az újraindítás után úgy tűnik, hogy elindul a "Scan Disk", valójában a vírus titkosítja a fájlokat.
Más zsarolóprogramoktól eltérően, amint ez a vírus elindul, azonnal újraindítja a számítógépet, és amikor újraindul, egy üzenet jelenik meg a képernyőn: „NE KAPCSOLJA KI A SZÁMÍTÓGÉPET! HA LEÁLLÍTJA EZT A FOLYAMAT, AZ ÖSSZES ADATÁT MEGSEMMISÍTHETI! KÉRJÜK, GYŐZŐDJÖN MEG ARRÓL, HOGY A SZÁMÍTÓGÉP CSATLAKOZTATVA VAN A TÖLTŐHEZ!”. Bár lehet, hogy úgy néz ki rendszer hiba, sőt, jelenleg Petya csendben titkosítást végez lopakodó módban. Ha a felhasználó megpróbálja újraindítani a rendszert vagy leállítani a fájlok titkosítását, egy villogó vörös csontváz jelenik meg a képernyőn a „PRESS ANY KEY!” szöveggel együtt. Végül a gomb megnyomása után egy új ablak jelenik meg a váltságdíjjal. Ebben a megjegyzésben az áldozatot 0,9 bitcoin fizetésére kérik, ami nagyjából 400 dollár. Ez azonban csak egy számítógép ára. Ezért a sok számítógéppel rendelkező cégeknél az összeg ezres is lehet. Az is megkülönbözteti ezt a ransomware-t, hogy egy egész hetet ad a váltságdíj kifizetésére, a szokásos 12-72 óra helyett, amit az ebbe a kategóriába tartozó vírusok adnak.
Ráadásul a Petyával kapcsolatos problémák ezzel még nem értek véget. Miután ez a vírus belép a rendszerbe, megpróbálja újraírni rendszerindító fájlok Az operációs rendszer indításához szükséges Windows, vagy az úgynevezett boot record varázsló. Nem tudja eltávolítani a Petya vírust a számítógépéről, ha nem állítja vissza a rendszerindító törzsrekord (MBR) beállításait. Ha sikerül is kijavítani ezeket a beállításokat, és eltávolítani a vírust a rendszerből, sajnos a fájlok titkosítva maradnak, mert a vírus eltávolítása nem dekódolja a fájlokat, hanem egyszerűen törli a fertőző fájlokat. Természetesen a víruseltávolítás elengedhetetlen, ha továbbra is a számítógéppel szeretne dolgozni
A Windows rendszerű számítógépére kerülve Petya szinte azonnal titkosítja az MFT-t (Master File Table). Miért felelős ez a táblázat?
Képzelje el, hogy a merevlemez a legnagyobb könyvtár az egész univerzumban. Több milliárd könyvet tartalmaz. Szóval hogyan találja meg a kívánt könyvet? Csak a könyvtári katalógus felhasználásával. Petya ezt a könyvtárat semmisíti meg. Így elveszíti a lehetőséget, hogy megtalálja a "fájlt" a számítógépén. Pontosabban, miután Petya "működik" a számítógép merevlemeze egy tornádó utáni könyvtárhoz fog hasonlítani, és könyvdarabkák repkednek mindenfelé.
Így, ellentétben a Wanna Cry-vel, a Petya.A nem titkosítja az egyes fájlokat, így lenyűgöző mennyiségű időt veszít – egyszerűen elvesz minden esélyt, hogy megtalálja őket.
Ki hozta létre a Petya vírust?
A vírus létrehozásakor Petya egy "EternalBlue" nevű exploitot ("lyukat") használt a Windows operációs rendszerben. A Microsoft kiadott egy javítást kb4012598(A korábban kiadott WannaCry oktatóanyagokból már beszéltünk erről a frissítésről, ami "bezárja" ezt a lyukat.
A "Petya" alkotója bölcsen tudta kihasználni a vállalati és magánfelhasználók gondatlanságát, és pénzt keresni rajta. A személyazonossága még mindig ismeretlen (és valószínűleg nem is lesz ismert)
Hogyan lehet eltávolítani a Petya vírust?
Hogyan lehet eltávolítani a Petya.A vírust a merevlemezről? Ez egy rendkívül érdekes kérdés. A helyzet az, hogy ha a vírus már blokkolta az adatait, akkor valójában nem lesz mit törölni. Ha nem tervezi fizetni a zsarolóprogramot (amit nem szabad megtennie), és a jövőben nem próbálja meg visszaállítani a lemezen lévő adatokat, csak formáznia kell a lemezt, és újra kell telepítenie az operációs rendszert. Ezután már nyoma sem lesz a vírusnak.
Ha azt gyanítja, hogy fertőzött fájl található a lemezen, ellenőrizze a lemezt az ESET Nod 32 antivirus programmal, és végezzen teljes rendszerellenőrzést. A NOD 32 biztosította, hogy aláírási adatbázisa már tartalmaz információkat erről a vírusról.
Dekóder Petya.A
A Petya.A egy nagyon erős titkosítási algoritmussal titkosítja az Ön adatait. Jelenleg nincs megoldás a zárolt információk visszafejtésére.
Kétségtelenül mindannyian álmodoznánk a csodás Petya.A dekódoló beszerzéséről, de egyszerűen nincs ilyen megoldás. WannaCry vírus pár hónapja ütötte meg a világot, de nem találtak gyógymódot az általa titkosított adatok visszafejtésére.
Az egyetlen lehetőség, ha korábban rendelkezett fájlok árnyékmásolatával.
Ezért, ha még nem lett a Petya.A vírus áldozata - frissítse operációs rendszerét, telepítsen egy vírusirtót az ESET NOD 32-ből. Ha továbbra is elvesztette az irányítást az adatok felett, akkor több módja van.
Fizess. Ennek semmi értelme! A szakértők már kiderítették, hogy a vírus létrehozója a titkosítási módszerre tekintettel nem állít vissza adatokat, és nem is tud helyreállítani.
Próbálja meg eltávolítani a vírust a számítógépéről, és próbálja meg visszaállítani a fájlokat a segítségével árnyékmásolat(a vírus nem fertőzi meg őket)
Vegye ki a merevlemezt a készülékből, óvatosan helyezze be a szekrénybe, és várja meg, amíg a dekóder megjelenik.
A lemez formázása és az operációs rendszer telepítése. Mínusz - minden adat elveszik.
Petya.A és Android, iOS, Mac, Linux
Sok felhasználó aggódik – de vajon a Petya vírus megfertőzheti-e Android és iOS rendszerű készülékeiket. Sietni fogom lenyugtatni őket – nem, nem lehet. Csak Windows felhasználók számára készült. Ugyanez vonatkozik a Linux és Mac rajongókra is – nyugodtan aludhatsz, semmi sem fenyeget.
Számos orosz és ukrán céget támadott meg a Petya ransomware vírus. Az oldal hálózati kiadása a Kaspersky Lab, az AGIMA interaktív ügynökség szakértőivel beszélgetett, és kiderítette, hogyan lehet megvédeni a vállalati számítógépeket a vírusoktól, és miben hasonlít a Petya a szintén jól ismert WannaCry ransomware vírushoz.
Petya vírus
Oroszországban a Rosneft, a Bashneft, a Mars, a Nivea és az Alpen Gold Mondelez International csokoládégyártó cégek. A csernobili atomerőmű ransomware vírus sugárzásfigyelő rendszere. Emellett a támadás az ukrán kormány, a Privatbank és a távközlési szolgáltatók számítógépeit is érintette. A vírus blokkolja a számítógépeket, és 300 dollár váltságdíjat követel bitcoinban.
A Rosneft sajtószolgálata a Twitteren egy mikroblogban beszélt a cég szervereit ért hackertámadásról. "Erőteljes hackertámadást hajtottak végre a cég szerverein. Reméljük, ennek semmi köze a jelenlegi bírósági eljárásokhoz. Sőt, a cég a bűnüldöző szervekhez fordult a kibertámadás tényével" - áll az üzenetben.
A cég sajtótitkára, Mihail Leontyev szerint a Rosznyefty és leányvállalatai rendesen működnek. A támadás után a társaság áttért a tartalék rendszer a termelési folyamatok irányítása annak érdekében, hogy az olajtermelés és -kezelés ne álljon le. A Home Credit bankrendszert is megtámadták.
"Petya" nem fertőz "Misha" nélkül
Alapján Jevgenyij Lobanova, az AGIMA ügyvezető igazgatója, valójában a támadást két zsarolóvírus hajtotta végre: Petya és Misha.
"Tandemben dolgoznak. Petya nem fertőz Misha nélkül. Meg tudja fertőzni, de a tegnapi támadás két vírus volt: először Petya, majd Misha. Petya átírja a rendszerindító eszközt (ahonnan a számítógép elindul), Misha pedig - titkosítja a fájlokat a szerint. egy bizonyos algoritmus - magyarázta a szakember. - Petya titkosítja a lemez indító szektorát (MBR), és lecseréli a sajátjára, Misha már titkosítja az összes fájlt a lemezen (nem mindig).
Megjegyezte, hogy az idén májusban nagy globális vállalatokat megtámadó WannaCry ransomware vírus nem úgy néz ki, mint a Petya, ez egy új verzió.
"A Petya.A a WannaCry családból származik (vagy inkább WannaCrypt), de a fő különbség az, hogy miért nem ugyanarról a vírusról van szó, hanem az, hogy az MBR-t felváltja a saját boot szektor – ez egy újdonság a Ransomware számára. A Petya A vírus nagyon régen megjelent, a GitHabon (informatikai projektek és közös programozás online szolgáltatása - oldal) https://github.com/leo-stone/hack-petya "target =" _blank "> volt erre egy dekódoló titkosító, de az új módosításhoz egyetlen dekódoló sem alkalmas.
Jevgenyij Lobanov hangsúlyozta, hogy a támadás erősebben érte Ukrajnát, mint Oroszországot.
"Mi érzékenyebbek vagyunk a támadásokra, mint más nyugati országok. A vírus ezen verziója ellen védve leszünk, de nem leszünk védve a módosításaitól. Internetünk nem biztonságos, Ukrajnában még kevésbé. Alapvetően a közlekedési vállalatok, bankok, mobilszolgáltatók(Vodafone, Kyivstar) és egészségügyi cégek, ugyanaz a Farmmag, a Shell benzinkutak – mind nagyon nagy, transzkontinentális cégek” – mondta az oldalnak adott interjújában.
Az AGIMA ügyvezető igazgatója megjegyezte: egyelőre nincs olyan tény, amely a vírus terjesztőjének földrajzi elhelyezkedésére utalna. Véleménye szerint a vírus feltehetően Oroszországból származik. Sajnos erre nincs közvetlen bizonyíték.
"Van egy olyan feltételezés, hogy ezek a mi hackereink, hiszen az első módosítás Oroszországban jelent meg, és magát a vírust, amely senki előtt sem titok, Petro Porosenko nevéhez fűződik, orosz hackerek fejlesztése volt, de ki változtatta tovább – nehéz megmondani., hogy még Oroszországban is könnyű kézbe venni például az Egyesült Államokban földrajzi helymeghatározással rendelkező számítógépet” – magyarázta a szakember.
"Ha a számítógépe hirtelen megfertőződik, nem tudja kikapcsolni a számítógépet. Ha újraindítja, soha többé nem lép be a rendszerbe."
"Ha egy számítógép hirtelen megfertőződik, nem kapcsolhatja ki, mert a Petya vírus lecseréli az MBR-t - az első rendszerindító szektort, amelyből az operációs rendszer betöltődik. Ha újraindítja, soha többé nem lép be a rendszerbe. tablet "it lehetetlen lesz visszaadni az adatokat.Ezután azonnal le kell kapcsolódni az internetről,hogy a számítógép ne menjen online Egy bizonyos vírusmódosítást (a három darabjukat) eddig megkerüli” – javasolta Lobanov. - Ha azonban mégis újraindította, és látta a "lemezellenőrzés" folyamat kezdetét, ebben a pillanatban azonnal ki kell kapcsolnia a számítógépet, és a fájlok titkosítatlanok maradnak.
Emellett a szakértő azt is elmondta, miért van kitéve a legtöbb támadásnak Microsoft felhasználók a MacOSX (az Apple operációs rendszere – site) és a Unix rendszerek helyett.
"Itt helyesebb nem csak a MacOSX-ről beszélni, hanem az összes unix rendszerről is (az elv ugyanaz). A vírus csak számítógépekre terjed, anélkül mobil eszközök... A támadás a Windows operációs rendszert érinti, és csak azokat a felhasználókat fenyegeti, akik letiltották a funkciót automatikus frissítés rendszerek. A kivételes frissítések még az idősebb tulajdonosok számára is elérhetők Windows verziók amelyek már nem frissülnek: XP, Windows 8 és Windows Server 2003” – mondta a szakértő.
"A MacOSX és a Unix globálisan nincs kitéve az ilyen vírusoknak, mert sok nagyvállalat használja a Microsoft infrastruktúráját. A MacOSX nem érzékeny, mert nem olyan elterjedt a kormányzati szerveknél. támadják meg a Microsoftot" - összegezte a szakember.
"A megtámadott felhasználók száma elérte a kétezret"
A Kaspersky Lab sajtószolgálatán, amelynek szakértői továbbra is vizsgálják a legújabb fertőzési hullámot, azt mondták, hogy "ez a ransomware nem tartozik a már jól ismert Petya ransomware családba, bár több sor közös kóddal rendelkezik."
A Laboratórium biztos abban, hogy ebben az esetben a rosszindulatúak új családjáról beszélünk szoftver a Petyától jelentősen eltérő funkcionalitással. A Kaspersky Lab az új zsarolóprogramot ExPetrnek nevezte el.
"A Kaspersky Lab szerint a megtámadott felhasználók száma elérte a kétezret. A legtöbb incidenst Oroszországban és Ukrajnában jegyezték fel, valamint fertőzéses eseteket Lengyelországban, Olaszországban, Nagy-Britanniában, Németországban, Franciaországban, az Egyesült Államokban figyeltek meg Szakértőink jelenleg azt sugallják, hogy a kártevő többféle támadási vektort használt. vállalati hálózatok a módosított EternalBlue exploit és az EternalRomance exploit került felhasználásra” – közölte a sajtószolgálat.
A szakértők egy olyan dekódoló eszköz létrehozásának lehetőségét is vizsgálják, amellyel az adatok visszafejthetők. A Laboratórium emellett ajánlásokat fogalmazott meg minden szervezet számára a vírustámadások jövőbeni elkerülésére.
"Javasoljuk, hogy a szervezetek telepítsenek Windows-frissítéseket. A Windows XP és a Windows 7 rendszernek telepítenie kell az MS17-010 biztonsági frissítést, és biztosítania kell a hatékony biztonsági mentési rendszert. Az időszerű és biztonságos adatmentések visszaállíthatják az eredeti fájlokat, még akkor is, ha azokat rosszindulatú program titkosította." A Kaspersky Lab szakértői tanácsolták.
A Laboratórium azt is javasolja vállalati ügyfeleinek, hogy minden védelmi mechanizmus aktiválva legyen, különös tekintettel arra, hogy a felhő infrastruktúra Kaspersky Security Hálózat, további intézkedésként ajánlott az Alkalmazásjogosultságok felügyelete komponens használata annak megakadályozására, hogy minden alkalmazáscsoport hozzáférjen (és ennek megfelelően végrehajtsa) a "perfc.dat" nevű fájlt stb.
"Ha nem használ Kaspersky Lab termékeket, javasoljuk, hogy blokkolja a perfc.dat nevű fájl végrehajtását, valamint blokkolja a PSExec segédprogram indítását a Sysinternals csomagból az operációs rendszerben (operációs rendszer - webhely) található AppLocker funkció segítségével. ) Windows", laboratóriumban ajánlott.
2017. május 12. sok - adattitkosító bekapcsolva merevlemezek számítógépek. Lezárja a készüléket, és követeli, hogy fizessék ki a váltságdíjat.
A vírus a világ több tucat országának szervezeteit és osztályait érintette, beleértve Oroszországot is, ahol az Egészségügyi Minisztériumot, a Vészhelyzeti Minisztériumot, a Belügyminisztériumot és a szervereket támadták meg. mobilszolgáltatókés több nagy bank.
A vírus terjedése véletlenül és átmenetileg megakadt: ha a hackerek csak néhány sornyi kódot változtatnak, a kártevő újra működésbe lép. A program kárát 1 milliárd dollárra becsülik. Egy nyelvi kriminalisztikai elemzés után a szakértők megállapították, hogy a WannaCry-t Kínából vagy Szingapúrból származó bevándorlók hozták létre.