Meny
Är gratis
registrering
Hem  /  Firmware/ Virus petya-fil. Petya.A och WannaCry Ransomware dekrypteringsverktyg släppt! Hur man blir av med Petya

Petya virus fil. Petya.A och WannaCry Ransomware dekrypteringsverktyg släppt! Hur man blir av med Petya

Petya-virus- krav på lösen för dekryptering

Några timmar efter attackens början fick DATARC det första samtalet och vi analyserade flera drabbade servrar. Huvudslutsats: ja icke-noll sannolikhet för dataåterställning när den attackeras av Petya-viruset- viruset skadar ofta filsystemet, men krypterar inte data.

det här ögonblicket den analyserade skadan kan kategoriseras.

100% dataåterställning möjlig

Viruset innehåller förmodligen fel - det kör inte alltid sin algoritm, har inte tid att kryptera data och bryter starthanteraren. Vi såg sådana skadealternativ:

  1. Data är inte krypterad, MBR är skadad
  2. Data inte krypterad, skadad MBR + NTFS bootloader
  3. Data är inte krypterad, MBR + NTFS bootloader + MFT är skadad - disken identifieras som RAW

Dataåterställning är möjlig, förlusten är mer än 0 %

I de fall kryptering inträffar kan vissa av filerna förbli intakta. Vi såg sådana skadealternativ:

  1. Endast C:-enheten är krypterad - resten logiska enheter var okej
  2. Alla filer på C-enheten är inte krypterade:
  3. Endast MFT-posten är krypterad, innehållet i filen förblir oförändrat.

Dekryptering från gammal version fungerar inte

Den nuvarande versionen av Petya är (förmodligen) en fortsättning på attacken 2016 (se https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ och https://securelist.com/petya- de-två-i-en-trojanen / 74609 /). För gammal version en gissningsteknik för dekrypteringsnyckel skapades (se https://github.com/leo-stone/hack-petya). 2017 års virus har ändrats och den gamla tekniken fungerar inte.

Till exempel, i den gamla versionen av viruset, lagrades MBR i sektor 55 och "krypterades" med XOR 0x37. V ny version MBR lagras i sektor 34 och är "krypterad" med XOR 0x07.

Krypterad MBR:

Dekrypterad MBR:

Petya-virus - MBR efter dekryptering

Vad du ska göra om din dator är infekterad

Antivirusprogram installeras på nästan alla användares datorer, men ibland dyker det upp en trojan eller ett virus som kan kringgå det mesta bättre skydd och infektera din enhet, eller ännu värre, kryptera din data. Den här gången var ett sådant virus den krypterade trojanen Petya eller, som den också kallas, Petya. Spridningshastighet ges hot mycket imponerande: på ett par dagar kunde han "besöka" Ryssland, Ukraina, Israel, Australien, USA, alla större europeiska länder och inte bara. Det drabbade främst företagsanvändare (flygplatser, kraftverk, turistindustri), men också vanligt folk... När det gäller dess omfattning och metoder för påverkan är den extremt lik den sensationella nyligen.

Du måste utan tvekan skydda din dator för att inte falla offer för den nya Petya ransomware Trojan. I den här artikeln kommer jag att berätta vad detta "Petya"-virus är, hur det sprider sig, hur du skyddar dig från detta hot. Dessutom kommer vi att beröra frågorna om att ta bort en trojan och dekryptera information.

Vad är "Petya"-virus?

Först måste vi förstå vad Petya är. Petya-viruset är en skadlig programvara som är en trojan som ransomware (ransomware). Dessa virus är utformade för att utpressa ägarna av infekterade enheter för att få en lösensumma från dem för krypterad data. Till skillnad från Vill gråta, Petya bryr sig inte om att kryptera enskilda filer - det "tar bort" nästan omedelbart alla HDD helt.

Det korrekta namnet för det nya viruset är Petya.A. Dessutom kallar Kaspersky det NotPetya / ExPetr.

Beskrivning av "Petya"-viruset

När den väl kommer in i din Windows-dator, krypterar Petya nästan omedelbart MFT(Master File Table). Vad är detta bord ansvarigt för?

Föreställ dig att din hårddisk är det största biblioteket i hela universum. Den innehåller miljarder böcker. Så hur hittar du boken du vill ha? Använder endast bibliotekskatalogen. Det är denna katalog som Petya förstör. Därmed förlorar du alla möjligheter att hitta någon "fil" på din PC. För att vara mer exakt, efter Petits "arbete", kommer din dators hårddisk att likna ett bibliotek efter en tornado, med böcker som flyger överallt.

Således, till skillnad från Wanna Cry, som jag nämnde i början av artikeln, krypterar inte Petya.A separata filer, spenderar imponerande mycket tid på det - det tar helt enkelt ifrån dig alla möjligheter att hitta dem.

Efter alla hans manipulationer kräver han en lösensumma från användarna - $ 300, som måste överföras till ett bitcoin-konto.

Vem skapade Petya-viruset?

När han skapade viruset använde Petya en exploit ("hål") i Windows OS som heter "EternalBlue". Microsoft släppte en patch som "stänger" det här hålet för några månader sedan, men alla använder inte en licensierad kopia av Windows och installerar alla systemuppdateringar, eller hur?)

Skaparen av "Petit" kunde klokt använda vårdslösheten hos företag och privata användare och tjäna pengar på det. Hans identitet är fortfarande okänd (och är osannolikt känd)

Hur sprids Petyas virus?

Petya-viruset sprider sig oftast under täckmantel av anknytning till e-postmeddelanden och i arkiv med piratkopierad infekterad programvara. Bilagan kan innehålla absolut vilken fil som helst, inklusive ett foto eller mp3 (det verkar så vid första anblicken). När du har kört filen kommer din dator att starta om och viruset simulerar en diskkontroll för CHKDSK-fel, och i detta ögonblick kommer han att modifiera startrekord din dator (MBR). Efter det kommer du att se en röd skalle på din datorskärm. Genom att klicka på valfri knapp kan du komma åt en text där du blir ombedd att betala för att dekryptera dina filer och överföra det nödvändiga beloppet till en bitcoin-plånbok.

Hur skyddar du dig mot Petya-virus?

  • Det viktigaste och grundläggande - gör det till en regel att installera uppdateringar för din operativ system! Detta är otroligt viktigt. Gör det nu, dröj inte.
  • Var noga uppmärksam på alla bilagor som bifogas brev, även om brev från personer du känner. Under epidemin är det bättre att använda alternativa källor dataöverföring.
  • Aktivera alternativet "Visa filtillägg" i OS-inställningarna - så att du alltid kan se den sanna filtillägget.
  • Aktivera "Användarkontokontroll" i Windows-inställningarna.
  • Du måste installera en av dem för att undvika infektion. Börja med att installera en OS-uppdatering, installera sedan ett antivirus så är du mycket säkrare än tidigare.
  • Se till att göra "säkerhetskopior" - spara all viktig data på extern hård disk eller moln. Sedan, om Petya-viruset penetrerar din dator och krypterar all data, blir det ganska enkelt för dig att formatera din hårddisk och installera om OS.
  • Kontrollera alltid relevansen av dina antivirusdatabaser. Alla bra antivirus övervakar hot och svarar på dem i tid genom att uppdatera hotsignaturer.
  • Installera gratis verktyg Kaspersky Anti-Ransomware. Det kommer att skydda dig från krypteringsvirus. Att installera denna programvara befriar dig inte från behovet av att installera ett antivirusprogram.

Hur tar man bort Petya-viruset?

Hur tar man bort Petya.A-virus från din hårddisk? Det är extremt intresse Fråga... Faktum är att om viruset redan har blockerat dina data, kommer det faktiskt inte att finnas något att radera. Om du inte planerar att betala ransomware (vilket du inte bör göra) och inte kommer att försöka återställa data på disken i framtiden, behöver du bara formatera disken och installera om operativsystemet. Efter det kommer det inte att finnas några spår av viruset.

Om du misstänker att en infekterad fil finns på din disk, skanna din disk med en av dem, eller installera Kaspersky Anti-Virus och utför en fullständig genomsökning av systemet. Utvecklaren försäkrade att hans signaturdatabas redan innehåller information om detta virus.

Avkodare Petya.A

Petya.A krypterar din data med en mycket stark algoritm. För närvarande finns det ingen lösning för att dekryptera den låsta informationen. Dessutom bör du inte försöka komma åt data hemma.

Utan tvekan skulle vi alla drömma om att få den mirakulösa dekryptatorn Petya.A, men det finns helt enkelt ingen sådan lösning. Viruset drabbade världen för några månader sedan, men inget botemedel har hittats för att dekryptera data som det krypterade.

Därför, om du ännu inte har blivit ett offer för Petya-viruset, lyssna på råden som jag gav i början av artikeln. Om du ändå tappade kontrollen över dina data, så har du flera sätt.

  • Betala pengar. Det är ingen mening att göra detta! Experter har redan fått reda på att skaparen av viruset inte återställer data eller kan återställa, med tanke på krypteringsmetoden.
  • Ta bort hårddisken från din enhet, lägg den försiktigt i skåpet och vänta tills dekodern dyker upp. Förresten, Kaspersky Lab arbetar ständigt i denna riktning. Det finns tillgängliga avkodare på No Ransom-webbplatsen.
  • Formatera disken och installera operativsystemet. Minus - all data kommer att gå förlorad.

Petya.A-virus i Ryssland

Mer än 80 företag har attackerats och infekterats i Ryssland och Ukraina när detta skrivs, inklusive så stora som Bashneft och Rosneft. Infektionen av infrastrukturen hos sådana stora företag indikerar hur allvarlig Petya.A-viruset är. Det råder ingen tvekan om att ransomware-trojanen kommer att fortsätta spridas över hela Ryssland, så du bör ta hand om säkerheten för din data och följa råden som ges i artikeln.

Petya.A och Android, iOS, Mac, Linux

Många användare är oroliga - "kan Petya-viruset infektera deras enheter under Android och iOS. Jag ska skynda mig att lugna dem - nej, det kan det inte. Den är endast avsedd för Windows-användare. Detsamma gäller för Linux- och Mac-fans - du kan sova gott, ingenting hotar dig.

Slutsats

Så idag diskuterade vi i detalj nytt virus Petya.A. Vi förstod vad den här trojanen är och hur den fungerar, lärde oss hur vi skyddar oss mot infektioner och tar bort viruset och var vi kan få tag i Petya-dekryptatorn. Hoppas den här artikeln och mina tips var till hjälp för dig.

På några dagar spred sig Petya.A-virusattacken till dussintals länder och utvecklades till omfattningen av en epidemi i Ukraina, där M.E.Doc-rapporterings- och dokumenthanteringsprogrammet var inblandat i spridningen av skadlig programvara. Senare sa experter att målet för angriparna var fullständig förstörelse av data, men enligt cyberpolisen i Ukraina, om systemet är delvis infekterat, finns det en chans att återställa filerna.

Hur Petya fungerar

Om ett virus får administratörsrättigheter identifierar forskarna tre huvudscenarier för dess påverkan:

  • Datorn är infekterad och krypterad, systemet är fullständigt äventyrat. Dataåterställning kräver privat nyckel, och skärmen visar ett meddelande som kräver lösen (även om det är det).
  • Datorinfekterad och delvis krypterad - systemet började kryptera filer, men användaren stoppade denna process genom att stänga av strömmen eller på annat sätt.
  • Datorn är infekterad, men krypteringsprocessen för MFT har inte startat ännu.

I det första fallet finns det inget effektivt sätt att dekryptera data ännu. Nu söker specialister från cyberpolisen och IT-företag efter honom, liksom skaparen av det ursprungliga Petya-viruset(så att du kan återställa systemet med knappen). Om huvudtabellen över MFT-filer är delvis skadad eller inte påverkas alls, finns det fortfarande en chans att komma åt filerna.

Cyberpolisen namngav två huvudstadier av det modifierade Petya-viruset:

Först: erhålla privilegierade administratörsrättigheter (när du använder Active Directory de är inaktiverade). Först sparar viruset originalet startsektorn för MBR-operativsystemet i krypterad form av den bitvisa XOR-operationen (xor 0x7), varefter den skriver sin egen bootloader i dess ställe. Resten av trojanens kod skrivs till de första sektorerna på disken. I detta skede, textfil om kryptering, men uppgifterna är inte krypterade än.

Den andra fasen av datakryptering börjar efter en omstart av systemet. Petya hänvisar redan till sin egen konfigurationssektor, där det finns en markering om inte krypterad data. Efter det börjar krypteringsprocessen, på skärmen visas den som arbetet med programmet Check Disk. Om den redan körs bör du stänga av strömmen och försöka använda den föreslagna dataherställningsmetoden.

Vad erbjuder de

Först måste du starta från installationen Windows disk... Om samtidigt en tabell med partitioner på hårddisken (eller SSD) är synlig, kan du gå vidare till proceduren för att återställa den startbara MBR-sektorer... Då är det värt att kontrollera disken för infekterade filer. Idag är Petya igenkänd av alla populära antivirus.

Om krypteringsprocessen startades, men användaren lyckades avbryta den, efter att ha laddat operativsystemet, är det nödvändigt att använda programvara för att återställa krypterade filer (R-Studio och andra). Data kommer att behöva sparas på extern media och systemet kommer att installeras om.

Hur man återställer starthanteraren

För Windows XP:

Efter lastning installationsskiva Windows XP in Bagge PC kommer att visa en dialogruta " Installerar Windows XP Professional "från valmenyn, där du måste välja objektet" för att återställa Windows XP med hjälp av återställningskonsolen, tryck på R ". Tryck på "R"-KNAPPEN.

Återställningskonsolen kommer att laddas.

Om datorn har ett operativsystem installerat och det är (som standard) installerat på C-enheten, kommer följande meddelande att visas:

"1: C: \ WINDOWS som kopia av Windows ska du logga in?"

Ange siffran "1", tryck på "Enter"-tangenten.

Ett meddelande kommer att visas: "Ange administratörslösenordet." Ange lösenordet, tryck på "Enter"-tangenten (om det inte finns något lösenord, tryck bara på "Enter").

Du bör uppmanas: C: \ WINDOWS> ange fixmbr

Då visas meddelandet "VARNING".

"Bekräftar du inspelningen av den nya MBR?", Tryck på "Y"-tangenten.

Ett meddelande kommer att visas: "En ny huvudstartsektor skapas på den fysiska disken \ Device \ Harddisk0 \ Partition0."

För Windows Vista:

Ladda ner Windows Vista. Välj språk och tangentbordslayout. På välkomstskärmen klickar du på "Få din dator tillbaka på rätt spår." Windows Vista kommer att redigera datormenyn.

Välj ditt operativsystem och klicka på Nästa. När fönstret Systemåterställningsalternativ visas klickar du på kommandorad... När kommandotolken visas anger du det här kommandot:

bootrec / FixMbr

Vänta tills operationen är klar. Om allt gick bra kommer ett bekräftelsemeddelande att visas på skärmen.

För Windows 7:

Starta Windows 7. Välj språk, tangentbordslayout och klicka på Nästa.

Välj ditt operativsystem och klicka på Nästa. När du väljer ett operativsystem bör du markera "Använd återställningsverktyg som kan hjälpa till att lösa problem med kör Windows».

På skärmen Systemåterställningsalternativ klickar du på kommandotolken. När kommandotolken har laddats korrekt anger du kommandot:

bootrec / fixmbr

För Windows 8:

Starta Windows 8. Klicka på knappen Reparera din dator på välkomstskärmen.

Välj "Felsökning". Välj kommandoraden, när den startar anger du:

bootrec / FixMbr

Tryck på Enter och starta om datorn.

För Windows 10:

Starta Windows 10. På välkomstskärmen klickar du på knappen "Reparera din dator", välj "Felsökning".

Välj Kommandotolk. När kommandotolken laddas anger du kommandot:

bootrec / FixMbr

Vänta tills operationen är klar. Om allt gick bra kommer ett bekräftelsemeddelande att visas på skärmen.

Tryck på Enter och starta om datorn.

Petya-viruset är ett snabbt växande virus som satte nästan alla stora företag i Ukraina den 27 juni 2017. Petya-viruset krypterar dina filer och erbjuder sedan en lösensumma för dem.

Det nya viruset infekterar datorns hårddisk och fungerar som ett filkrypteringsvirus. Tvärs över särskild tid, Petya-viruset "äter" filer på din dator och de blir krypterade (som om filerna arkiverades och angav ett tungt lösenord)
Filer som har drabbats av Petya ransomware-virus kan inte återställas senare (det finns en procentandel som du kommer att återställa dem, men den är väldigt liten)
Det finns INGEN algoritm som återställer filer som påverkats av Petya-viruset
Med hjälp av denna korta och MEST användbara artikel kan du skydda dig mot #Petya-viruset

Hur man upptäcker Petya- eller WannaCry-virus och INTE blir smittad

När du laddar upp en fil över Internet, kontrollera den med ett online-antivirus. Online-antivirus kan förupptäcka viruset i filen och förhindra Petya-virusinfektion. Allt du behöver göra är att kontrollera den nedladdade filen med VirusTotal och sedan köra den. Även om du LADDADE NED PETYA-VIRUSET, men INTE körde virusfilen, är viruset INTE aktivt och gör ingen skada. Först efter att ha startat en skadlig fil startar du ett virus, kom ihåg detta

ATT ANVÄNDA ÄVEN ENDAST DENNA METOD GER DIG ALL CHANS ATT INTE BLI DELAKTIG MED PETYA-VIRUSET
Petya-viruset ser ut så här:

Hur du skyddar dig från Petya Virus

Företag Symantec erbjöd en lösning som låter dig skydda dig mot Petya-viruset, låtsas att du redan har det installerat.
När Petya-viruset kommer in i datorn skapas det i mappen C: \ Windows \ perfc fil perfc eller perfc.dll
För att få viruset att tro att det redan är installerat och inte fortsätta sin aktivitet, skapa i mappen C: \ Windows \ perfc fil med tomt innehåll och spara den genom att ställa in ändringsläget till "Read Only"
Eller ladda ner virus-petya-perfc.zip och packa upp mappen perfc till mappen C: \ Windows \ och ställ in ändringsläget till "Read Only"
Ladda ner virus-petya-perfc.zip



UPPDATERAD 2017-06-29
Jag rekommenderar också att du laddar upp båda filerna helt enkelt Windows-mappen... Många källor skriver att filen perfc eller perfc.dll ska finnas i mappen C: \ Windows \

Vad du ska göra om din dator redan är infekterad med Petya Virus

Slå inte på en dator som redan har infekterat dig med Petya-viruset. Petya-viruset fungerar på ett sådant sätt att medan den infekterade datorn är påslagen, krypterar den filer. Det vill säga, så länge du håller datorn som påverkas av Petya-viruset påslagen, kan nya och nya filer infekteras och krypteras.
Winchester den här datorn värt att kolla upp. Du kan kontrollera det med LIVECD eller LIVEUSB med antivirus
Startbar USB-flashenhet med Kaspersky Rescue Disk 10
Dr.Web LiveDisk startbar USB-flashenhet

Som spred Petyas virus över hela Ukraina

Microsoft har uttryckt sin syn på den globala infektionen av nätverket i stora företag Ukraina. Anledningen var uppdateringen av M.E.Doc-programmet. M.E.Doc är ett populärt bokföringsprogram, varför en så stor punktering av företaget, som att få ett virus i en uppdatering och installera Petya-viruset på tusentals datorer som kör M.E.Doc-programmet. Och eftersom viruset infekterar datorer på samma nätverk sprids det blixtsnabbt.
#: Petya virus infekterar Android, Petya virus, hur man upptäcker och tar bort Petya virus, Petya virus hur man behandlar, M.E.Doc, Microsoft, skapa en mapp Petya virus

För några månader sedan upptäckte vi och andra IT-säkerhetsspecialister en ny skadlig programvara - Petya (Win32.Trojan-Ransom.Petya.A)... I klassisk mening var han inte ett ransomware, viruset blockerade helt enkelt åtkomsten till vissa typer av filer och krävde en lösensumma. Viruset modifierade startposten på hårddisken, tvångsstartade datorn och visade ett meddelande om att "data är krypterad - kör dina pengar för dekryptering." I allmänhet är detta ett standardkrypteringsvirussystem, förutom att filerna faktiskt INTE var krypterade. De flesta av de populära antivirusprogrammen började identifiera och ta bort Win32.Trojan-Ransom.Petya.A några veckor efter lanseringen. Dessutom fanns instruktioner för manuellt avlägsnande... Varför tror vi att Petya inte är ett klassiskt ransomware? Detta virus ändrar Master Boot Record och förhindrar operativsystemet från att starta, och krypterar även Master File Table. Den krypterar inte själva filerna.

Men för några veckor sedan dök ett mer sofistikerat virus upp. Mischa, tydligen skriven av samma bedragare. Detta virus KRYPTAR filer och kräver att du betalar för dekryptering 500 - 875 $ (i olika versioner 1,5 - 1,8 bitcoin). Instruktioner för "dekryptering" och betalning för det lagras i filerna YOUR_FILES_ARE_ENCRYPTED.HTML och YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa Virus - Innehållet i filen YOUR_FILES_ARE_ENCRYPTED.HTML

Nu infekterar hackare faktiskt användarnas datorer med två skadliga program: Petya och Mischa. Den första behöver administratörsrättigheter på systemet. Det vill säga, om användaren vägrar att ge Petya administratörsrättigheter eller har raderat denna skadliga programvara manuellt, ingår Mischa i ärendet. Detta virus behöver inga administratörsrättigheter, det är ett klassiskt ransomware och krypterar verkligen filer med den starka AES-algoritmen och gör inga ändringar i Master Boot Record och filtabellen på offrets hårddisk.

Mischa malware krypterar inte bara standardfiltyper (videor, bilder, presentationer, dokument), utan även .exe-filer. Viruset påverkar inte bara katalogerna \ Windows, \ $ Recycle.Bin, \ Microsoft, \ Mozilla Firefox, \ Opera, \ Internet Explorer, \ Temp, \ Local, \ LocalLow och \ Chrome.

Infektion sker främst genom e-post, där brevet kommer med en bifogad fil - ett virusinstallationsprogram. Det kan krypteras under ett brev från Skatteverket, från din revisor, som bifogade kvitton och kvitton för köp m.m. Var uppmärksam på filändelserna i sådana bokstäver - om så är fallet verkställande fil(.exe), då kan det med stor sannolikhet vara en behållare med Petya \ Mischa-viruset. Och om modifieringen av skadlig programvara är ny, kanske ditt antivirus inte reagerar.

Uppdatering 2017-06-30: 27 juni modifierad version av Petya-viruset (Petya.A) massivt attackerade användare i Ukraina. Effekten av denna attack var kolossal och den ekonomiska skadan har ännu inte beräknats. På en dag förlamades arbetet i dussintals banker, detaljhandelskedjor, statliga myndigheter och företag med olika ägandeformer. Viruset spreds främst genom en sårbarhet i det ukrainska rMeDoc med den senaste automatiska uppdateringen av denna programvara. Dessutom har viruset drabbat länder som Ryssland, Spanien, Storbritannien, Frankrike, Litauen.

Ta bort Petya och Mischa virus med en automatisk rengöring

En extremt effektiv metod för att hantera skadlig programvara i allmänhet och ransomware i synnerhet. Användningen av ett väl beprövat skyddskomplex garanterar noggrannheten i upptäckten av eventuella virala komponenter, deras fullständigt avlägsnande med ett klick. Observera att vi talar om två olika processer: avinstallera infektionen och återställa filer på din PC. Ändå måste hotet verkligen tas bort, eftersom det finns information om introduktionen av andra datortrojaner med dess hjälp.

  1. ... När du har startat programvaran klickar du på knappen Starta datorskanning(Börja skanna).
  2. Den installerade programvaran kommer att ge en rapport om de hot som upptäckts under genomsökningen. För att ta bort alla hittade hot, välj alternativet Åtgärda hot(Eliminera hot). Skadlig programvara i fråga kommer att tas bort helt.

Återställ åtkomst till krypterade filer

Som nämnts låser Mischa ransomware filer med en stark krypteringsalgoritm så att krypterad data inte kan återställas med en snärt. trollspö- om du inte tar hänsyn till betalningen av ett oerhört lösensumma (ibland når det 1000 $). Men vissa metoder kan verkligen bli en livräddare som hjälper dig att återställa viktig data. Nedan kan du bekanta dig med dem.

Program automatisk återställning filer (avkodare)

En mycket extraordinär omständighet är känd. Denna infektion raderas källfiler i okrypterad form. Krypteringsprocessen för ransomware riktar sig alltså mot kopior av dem. Detta ger möjlighet till sådant programvara hur man återställer raderade objekt, även om tillförlitligheten av deras eliminering är garanterad. Det rekommenderas starkt att tillgripa filåterställningsproceduren, dess effektivitet är utom tvivel.

Volymskuggkopior

Tillvägagångssättet är baserat på Windows procedur Reserv exemplar filer, som upprepas vid varje återställningspunkt. Ett viktigt villkor arbete den här metoden: Systemåterställning måste aktiveras innan infektion. Alla ändringar som görs i filen efter återställningspunkten kommer dock inte att visas i den återställda versionen av filen.

Säkerhetskopiering

Detta är den bästa av alla icke-inlösenmetoder. Om proceduren för att säkerhetskopiera data till en extern server användes innan ransomware-attacken på din dator, för att återställa krypterade filer, behöver du helt enkelt gå in i lämpligt gränssnitt, välja nödvändiga filer och starta dataåterställningsmekanismen från säkerhetskopian. Innan du utför operationen måste du se till att ransomwaren är helt borttagen.

Kolla efter eventuella överblivna komponenter av Petya och Mischa ransomware

Städa in manuellt lägeär fylld med utelämnandet av vissa fragment av ransomware som kan undvika radering i form av dolda operativsystemobjekt eller registerposter. För att eliminera risken för att vissa skadliga element delvis sparas ska du skanna din dator med en pålitlig säkerhet mjukvarupaket specialiserat på skadlig programvara.

För några dagar sedan dök en artikel upp på vår resurs om hur du skyddar dig mot viruset och dess varianter. I samma instruktioner kommer vi att överväga det värsta scenariot - din dator är infekterad. Naturligtvis efter återställning försöker varje användare återställa sina data och personlig information. Den här artikeln kommer att fokusera på de mest bekväma och effektiva sätten att återställa data. Det är värt att tänka på att detta långt ifrån alltid är möjligt, så vi kommer inte att ge någon form av garanti.

Vi kommer att överväga tre huvudscenarier enligt vilka händelser kan utvecklas:
1. Datorn är infekterad med Petya.A-viruset (eller dess varianter) och är krypterad, systemet är helt låst. För att återställa data måste du ange en speciell nyckel, som du måste betala för. Det ska sägas direkt att även om du betalar kommer det inte att släppa låset och inte ge dig tillgång till din persondator.

2. Ett alternativ som ger användaren fler alternativ för vidare handling- din dator är infekterad och viruset började kryptera dina data, men krypteringen stoppades (till exempel genom att stänga av strömmen).

3. Det sista alternativet är det mest fördelaktiga. Din dator är infekterad, men kryptering filsystem har inte börjat än.

Om du har situation nummer 1, det vill säga all din data är krypterad, sedan på detta stadium frånvarande effektivt sätt för att återställa användarinformation. Det är troligt att denna metod kommer att dyka upp om några dagar eller veckor, men för närvarande specialister med alla inom informations- och datorsäkerhet pussla över det.

Om krypteringsprocessen inte har startat eller inte är fullständigt slutförd, bör användaren omedelbart avbryta den (kryptering visas som systemprocess Kontrollera disk). Om du lyckades ladda operativsystemet, installera omedelbart alla moderna antivirusprogram (alla känner för närvarande igen Petya och gör en fullständig genomsökning av alla diskar. Om Windows inte startar måste ägaren av den infekterade maskinen använda systemet diskar eller en flashenhet för att återställa MBR-startsektorn) ...

Reparerar starthanteraren på Windows XP

Efter lastning systemdisk med operativsystemet Windows XP kommer du att presenteras med åtgärdsalternativ. I fönstret "Installera Windows XP Professional" väljer du "För att återställa Windows XP med hjälp av återställningskonsolen, tryck på R". Vilket är logiskt, du måste trycka på R. På tangentbordet bör du se konsolen för att återställa partitionen och meddelandet:

"" 1: C: \ WINDOWS Vilken kopia av Windows ska du logga in på? ""


Om du har en version av Windows XP installerad anger du "1" från tangentbordet och trycker på enter. Om du har flera system måste du välja det du behöver. Du kommer att se ett meddelande som ber om ett administratörslösenord. Om det inte finns något lösenord, tryck bara på Enter och lämna fältet tomt. Efter det kommer en rad att dyka upp på skärmen, skriv in ordet " fixmbr"

Följande meddelande bör visas: "VARNING! Bekräftar du skrivningen av den nya MBR? ", Tryck på" Y "knappen på tangentbordet.
Svaret kommer att visas: "En ny huvudstartsektor skapas på den fysiska disken ...."
"Den nya huvuddelen startpartition skapat framgångsrikt."

Reparerar starthanteraren på Windows Vista

Sätt i en disk eller ett USB-minne med operativsystemet Windows Vista. Därefter måste du välja raden "Återställ din dator för att fungera." Välj vilket Windows Vista-operativsystem (om du har fler än ett) du vill återställa. När ett fönster med återställningsalternativ visas klickar du på kommandotolken. Vid kommandotolken anger du kommandot " bootrec / FixMbr".

Reparerar starthanteraren på Windows 7

Sätt i en disk eller ett USB-minne med operativsystemet Windows 7. Välj vilket operativsystem för Windows 7 (om du har flera) du vill återställa. Välj alternativet "Använd återställningsverktyg som kan hjälpa till att lösa problem med att starta Windows." Välj sedan "Kommandorad". Efter att ha laddat kommandoraden anger du " bootrec / fixmbr

Reparerar starthanteraren på Windows 8

Sätt i en disk eller ett USB-minne med Windows 8. På huvudskärmen väljer du "Reparera din dator" i det nedre vänstra hörnet. Välj "Felsökning". Välj kommandoraden, när den startar anger du: "bootrec / FixMbr"

Reparerar starthanteraren på Windows 10

Sätt i en disk eller flashenhet med Windows 10. På huvudskärmen väljer du "Reparera din dator" i det nedre vänstra hörnet. Välj "Felsökning". Välj kommandoraden, när den startar anger du: "bootrec / FixMbr" Om allt går bra kommer du att se ett motsvarande meddelande och allt som återstår är att starta om din dator.

(Petya.A), och gav några råd.

Enligt SBU skedde infektionen av operativsystem huvudsakligen genom öppnandet av skadliga applikationer ( Word-dokument, PDF-filer), som riktades till mejladresser många kommersiella och statliga strukturer.

"Attacken, vars huvudsakliga syfte var att distribuera filen ransomware Petya.A, utnyttjade nätverkssårbarheten MS17-010, vilket resulterade i att en uppsättning skript installerades på den infekterade maskinen, som användes av cyberkriminella för att starta nämnda fil ransomware,” sa SBU.

Viruset attackerar datorer som kör Windows genom att kryptera användarens filer, varefter det visar ett meddelande om att konvertera filer med ett förslag om att betala för dekrypteringsnyckeln i bitcoins motsvarande 300 $ för att låsa upp data.

"De krypterade data kan tyvärr inte dekrypteras. Arbetet fortsätter med möjligheten att dekryptera krypterad data, säger SBU.

Vad du ska göra för att skydda dig mot viruset

1. Om datorn är påslagen och fungerar normalt, men du misstänker att den kan vara infekterad, starta i inget fall om den (om datorn redan är skadad, starta inte om den heller) - viruset utlöses vid omstart och krypterar alla filer som finns på datorn ...

2. Spara mest värdefulla filer på ett separat media som inte är anslutet till datorn, och helst - gör en säkerhetskopia tillsammans med operativsystemet.

3. För att identifiera filkrypteringen, slutför alla lokala uppgifter och kontrollera efter nästa fil: C: /Windows/perfc.dat

4. Beroende på versionen av Windows OS, installera patchen.

5. Se till att alls datorsystem Antivirusprogramvara har installerats som fungerar korrekt och använder en uppdaterad virussignaturdatabas. Installera och uppdatera antivirus vid behov.

6. För att minska risken för infektion bör du vara försiktig med all e-postkorrespondens, inte ladda ner eller öppna bilagor i brev som skickas från okända personer. Om du får ett brev från en känd adress som väcker misstanke, kontakta avsändaren och bekräfta att brevet har skickats.

7. Gör säkerhetskopior alla viktiga data.

Att föra den angivna informationen till de anställda i strukturella divisioner, för att förhindra anställda från att arbeta med datorer på vilka de angivna korrigeringarna inte är installerade, oavsett anslutning till lokal eller Internet.

Det är möjligt att försöka återställa åtkomst till en Windows-dator som är blockerad av ett angivet virus.

Eftersom den angivna skadliga programvaran gör ändringar i MBR-posterna, så får användaren istället för att ladda operativsystemet ett fönster med texten om filkryptering. Detta problem löses genom att återställa MBR-posten. För detta finns det särskilda verktyg... SBU använde Boot-Repair-verktyget för detta (instruktioner på länken).

b). Kör det och se till att alla rutor i fönstret "Artefakter att samla in" har markerats.

c). På fliken "Eset Log Collection Mode" ställer du in Initial binär kod disk.

d). Klicka på knappen Samla.

e). Skicka arkiv med loggar.

Om den berörda datorn är påslagen och inte har stängts av ännu, hoppa till körning

s. 3 för att samla in information som hjälper till att skriva en avkodare,

s. 4 för att behandla systemet.

Från en redan infekterad dator (startar inte), måste du samla in MBR för vidare analys.

Du kan hämta den enligt följande instruktioner:

a). Ladda ner ESET SysRescue Live CD eller USB (skapande enligt beskrivning i avsnitt 3)

b). Godkänn licensen att använda

c). Tryck på CTRL + ALT + T (terminalen öppnas)

d). Skriv kommandot "parted -l" utan citattecken, parametern för detta är en liten bokstav "L" och tryck

e). Se listan över enheter och identifiera den berörda datorn (måste vara en från /dev / sda)

f). Skriv kommandot “dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256“ utan citattecken, istället för “/ dev / sda“ använd disken du definierade i föregående steg och tryck på (Fil / home / eset / petya.img kommer att skapas)

g). Anslut flashenheten och kopiera filen /home/eset/petya.img

h). Datorn kan stängas av.

Se även - Omelyan om skydd mot cyberattacker

Omelyan om skydd mot cyberattacker

Prenumerera på nyheter

Kanske är du redan medveten om hackerhotet som registrerades den 27 juni 2017 i länderna Ryssland och Ukraina, som utsattes för en storskalig attack liknande WannaCry. Viruset blockerar datorer och kräver en lösensumma i bitcoins för att dekryptera filer. Totalt drabbades mer än 80 företag i båda länderna, inklusive ryska Rosneft och Bashneft.

Ransomware-viruset har, liksom den ökända WannaCry, blockerat all datordata och kräver att en lösensumma i bitcoins, motsvarande 300 dollar, ska överföras till brottslingarna. Men till skillnad från Wanna Cry bryr sig Petya inte om att kryptera enskilda filer – det "tar nästan omedelbart bort" hela din hårddisk.

Det korrekta namnet för detta virus är Petya.A. ESET-rapporten avslöjar några av funktionerna i Diskcoder.C (alias ExPetr, PetrWrap, Petya eller NotPetya)

Enligt statistiken för alla offer spreds viruset i nätfiske-e-postmeddelanden med infekterade bilagor. Vanligtvis kommer ett brev med en begäran om att öppna Textdokument, men som vi vet det andra filtillägget Text.exär dolt och det sista filtillägget har företräde. Driftsstandard Windows-system visar inte filtillägg och de ser ut så här:

I 8.1 i utforskarfönstret (Visa \ Mappalternativ \ Avmarkera kryssrutan Dölj tillägg för registrerade filtyper)

I 7 i utforskarfönstret (Alt \ Verktyg \ Mappalternativ \ Avmarkera kryssrutan Dölj filtillägg för registrerade filtyper)

Och det värsta är att användarna inte ens skäms över att brev kommer från okända användare och ber om att få öppna obegripliga filer.

Efter att ha öppnat filen ser användaren " blåskärm av död".

Efter omstarten ser det ut som att "Scan Disk" startas, i själva verket krypterar viruset filer.

Till skillnad från andra ransomware, när detta virus väl har lanserats, startar det omedelbart om din dator, och när det startar upp igen visas ett meddelande på skärmen: "STÄNG INTE AV DIN PC! OM DU STOPPAR DEN HÄR PROCESSEN KAN DU FÖRSTÖRA ALLA DINA DATA! KONTROLLERA ATT DIN DATOR ÄR ANSLUTEN TILL LADDARE! ”. Fast det kan se ut som systemfel, faktiskt, just nu utför Petya tyst kryptering i stealth-läge. Om användaren försöker starta om systemet eller sluta kryptera filer visas ett blinkande rött skelett på skärmen tillsammans med texten "PRESS ANY KEY!". Slutligen, efter att ha tryckt på tangenten, visas ett nytt fönster med lösensumman. I denna anteckning ombeds offret att betala 0,9 bitcoins, vilket är ungefär 400 $. Detta är dock priset för bara en dator. Därför, för företag som har många datorer, kan beloppet vara tusentals. Det som också utmärker detta ransomware är att det ger dig en hel vecka på dig att betala lösen, istället för de vanliga 12-72 timmarna som andra virus i den här kategorin ger.

Dessutom slutar inte problemen med Petya där. När detta virus kommer in i systemet kommer det att försöka skriva om startfiler Windows, eller den så kallade boot recording wizard, krävs för att starta operativsystemet. Du kommer inte att kunna ta bort Petya-viruset från din dator om du inte återställer inställningarna för bootable master record (MBR). Även om du lyckas korrigera dessa inställningar och ta bort viruset från ditt system, kommer dina filer tyvärr att förbli krypterade, eftersom att ta bort viruset dekrypterar inte filerna, utan tar helt enkelt bort de smittsamma filerna. Naturligtvis är virusborttagning viktigt om du vill fortsätta arbeta med din dator

Väl på din Windows-dator krypterar Petya MFT (Master File Table) nästan omedelbart. Vad är detta bord ansvarigt för?

Föreställ dig att din hårddisk är det största biblioteket i hela universum. Den innehåller miljarder böcker. Så hur hittar du boken du vill ha? Använder endast bibliotekskatalogen. Det är denna katalog som Petya förstör. Därmed förlorar du alla möjligheter att hitta någon "fil" på din PC. För att vara mer exakt, när Petya "fungerar" kommer din dators hårddisk att likna ett bibliotek efter en tornado, med böcker som flyger överallt.

Således, till skillnad från Wanna Cry, krypterar Petya.A inte enskilda filer, vilket slösar bort en imponerande mängd tid - det tar helt enkelt bort varje chans du har att hitta dem.

Vem skapade Petya-viruset?

När han skapade viruset använde Petya ett utnyttjande ("hål") i Windows OS som heter "EternalBlue". Microsoft har släppt en patch kb4012598(från de tidigare släppta WannaCry-handledningarna har vi redan pratat om den här uppdateringen, som "stänger" det här hålet.

Skaparen av "Petya" kunde klokt använda vårdslösheten hos företag och privata användare och tjäna pengar på det. Hans identitet är fortfarande okänd (och är osannolikt känd)

Hur tar man bort Petya-viruset?

Hur tar man bort Petya.A-virus från din hårddisk? Detta är en mycket intressant fråga. Faktum är att om viruset redan har blockerat dina data, kommer det faktiskt inte att finnas något att radera. Om du inte planerar att betala ransomware (vilket du inte bör göra) och inte kommer att försöka återställa data på disken i framtiden, behöver du bara formatera disken och installera om operativsystemet. Efter det kommer det inte att finnas några spår av viruset.

Om du misstänker att en infekterad fil finns på din disk ska du skanna din disk med ESET Nod 32 antivirus och utföra en fullständig systemgenomsökning. NOD 32 har försäkrat att dess signaturdatabas redan innehåller information om detta virus.

Avkodare Petya.A

Petya.A krypterar din data med en mycket stark krypteringsalgoritm. För närvarande finns det ingen lösning för att dekryptera den låsta informationen.

Utan tvekan skulle vi alla drömma om att få den mirakulösa dekryptatorn Petya.A, men det finns helt enkelt ingen sådan lösning. WannaCry virus drabbade världen för några månader sedan, men inget botemedel har hittats för att dekryptera data han krypterade.

Det enda alternativet är om du tidigare haft skuggkopior av filer.

Därför, om du ännu inte har blivit ett offer för Petya.A-viruset - uppdatera ditt OS-system, installera ett antivirus från ESET NOD 32. Om du fortfarande tappade kontrollen över dina data har du flera sätt.

Betala pengar. Det är ingen mening att göra detta! Experter har redan fått reda på att skaparen av viruset inte återställer data eller kan återställa, med tanke på krypteringsmetoden.

Försök att ta bort viruset från din dator och försök att återställa dina filer med hjälp av skuggkopia(viruset infekterar dem inte)

Ta bort hårddisken från din enhet, lägg den försiktigt i skåpet och vänta tills dekodern dyker upp.

Formatera disken och installera operativsystemet. Minus - all data kommer att gå förlorad.

Petya.A och Android, iOS, Mac, Linux

Många användare är oroliga - "men om Petya-viruset kan infektera deras enheter som kör Android och iOS. Jag ska skynda mig att lugna dem - nej, det kan det inte. Den är endast avsedd för Windows-användare. Detsamma gäller för Linux- och Mac-fans - du kan sova gott, ingenting hotar dig.

Ett antal ryska och ukrainska företag attackerades av Petya ransomware-viruset. Nätverksutgåvan av sajten pratade med experter från Kaspersky Lab, den interaktiva byrån AGIMA och fick reda på hur man skyddar företagsdatorer från ett virus och hur Petya liknar det lika välkända WannaCry ransomware-viruset.

Petya-virus

I Ryssland finns företagen Rosneft, Bashneft, Mars, Nivea och chokladtillverkaren Alpen Gold Mondelez International. Ett system för övervakning av ransomware-virusstrålning från kärnkraftverket i Tjernobyl. Dessutom påverkade attacken den ukrainska regeringens, Privatbanks och telekomoperatörers datorer. Viruset blockerar datorer och kräver en lösensumma på 300 dollar i bitcoins.

I en mikroblogg på Twitter talade Rosnefts presstjänst om en hackerattack mot företagets servrar. "En kraftfull hackerattack utfördes på företagets servrar. Vi hoppas att detta inte har något att göra med de nuvarande rättsliga förfarandena. Faktum är att företaget vände sig till brottsbekämpande myndigheter om cyberattacken", står det i meddelandet.

Enligt företagets pressekreterare, Mikhail Leontyev, fungerar Rosneft och dess dotterbolag normalt. Efter attacken gick företaget över till backup-system styrning av produktionsprocesser, så att produktionen och behandlingen av olja inte stoppas. Banksystemet Home Credit attackerades också.

"Petya" smittar inte utan "Misha"

Enligt Verkställande direktör för AGIMA Evgeny Lobanova, faktiskt, attacken utfördes av två ransomware-virus: Petya och Misha.

"De arbetar i tandem. Petya smittar inte utan Misha. Han kan smitta, men gårdagens attack var två virus: först Petya, sedan Misha. Petya skriver om startenheten (där datorn startar ifrån), och Misha - krypterar filer enl. en viss algoritm, - förklarade specialisten. - Petya krypterar diskstartsektorn (MBR) och ersätter den med sin egen, Misha krypterar redan alla filer på disken (inte alltid). "

Han noterade att WannaCry ransomware-viruset som attackerade stora globala företag i maj i år inte ser ut som Petya, det är en ny version.

"Petya.A är från WannaCry-familjen (eller snarare WannaCrypt), men den största skillnaden är varför det inte är samma virus, det är att MBR är ersatt av sin egen startsektor - detta är en nyhet för Ransomware. Petya virus dök upp för länge sedan, på GitHab (en onlinetjänst för IT-projekt och gemensam programmering - webbplats) https://github.com/leo-stone/hack-petya "target =" _blank "> fanns det en dekryptering för detta encryptor, men ingen decryptor är lämplig för den nya modifieringen.

Jevgenij Lobanov betonade att attacken drabbade Ukraina hårdare än Ryssland.

"Vi är mer mottagliga för attacker än andra västländer. Vi kommer att vara skyddade från den här versionen av viruset, men vi kommer inte att skyddas från dess modifieringar. Vårt internet är osäkert, i Ukraina är det ännu mindre. I grund och botten, transportföretag, banker, mobiloperatörer(Vodafone, Kievstar) och medicinska företag, samma Farmmag, Shell bensinstationer - alla mycket stora transkontinentala företag", sa han i en intervju med sajten.

Den verkställande direktören för AGIMA noterade att det hittills inte finns några fakta som skulle indikera den geografiska platsen för distributören av viruset. Enligt hans åsikt har viruset förmodligen sitt ursprung i Ryssland. Tyvärr finns det inga direkta bevis för detta.

"Det finns ett antagande att dessa är våra hackare, eftersom den första modifieringen dök upp i Ryssland, och själva viruset, som inte är någon hemlighet för någon, fick sitt namn efter Petro Poroshenko. Det var en utveckling av ryska hackare, men som ändrade det ytterligare – det är svårt att säga. Att även i Ryssland är det lätt att få tag i en dator med geolokalisering i till exempel USA, förklarade experten.

"Om din dator plötsligt blir infekterad kan du inte stänga av datorn. Om du startar om kommer du aldrig in i systemet igen."

"Om en dator plötsligt blir infekterad kan du inte stänga av datorn, eftersom Petya-viruset ersätter MBR - den första uppstartssektorn från vilken operativsystemet laddas. Om du startar om kommer du aldrig in i systemet igen. Detta avbryts utrymningsvägarna, även om det dyker upp." surfplatta "det kommer att vara omöjligt att returnera data. Därefter måste du omedelbart koppla bort från Internet så att datorn inte går online. En officiell patch från Microsoft har redan släppts, det ger en 98-procentig säkerhetsgaranti. Tyvärr ännu inte 100 procent. En viss modifiering av viruset (deras tre delar) går han förbi hittills, "rekommenderade Lobanov. - Men om du ändå startade om och såg början av "check disk" -processen, måste du i detta ögonblick omedelbart stänga av din dator, och filerna kommer att förbli okrypterade.

Dessutom förklarade experten också varför Microsoft-användare snarare än MacOSX (Apples operativsystem - webbplats) och Unix-system.

"Här är det mer korrekt att tala inte bara om MacOSX, utan också om alla unix-system (principen är densamma). Viruset sprids bara till datorer, utan Mobil enheter... Attacken påverkar Windows-operativsystemet och hotar bara de användare som har inaktiverat funktionen automatisk uppdatering system. Exceptionella uppdateringar är tillgängliga även för äldre ägare Windows-versioner som inte längre uppdateras: XP, Windows 8 och Windows Server 2003", - sa experten.

"MacOSX och Unix är inte globalt exponerade för sådana virus, eftersom många stora företag använder Microsofts infrastruktur. MacOSX är inte mottagligt, eftersom det inte är så utbrett i statliga myndigheter. attackera Microsoft", avslutade specialisten.

"Antalet attackerade användare har nått två tusen"

På Kaspersky Labs presstjänst, vars experter fortsätter att undersöka den senaste vågen av infektioner, sa att "denna ransomware inte tillhör den redan välkända Petya ransomware-familjen, även om den har flera rader kod gemensamt med den."

Laboratoriet är övertygad om att vi i detta fall talar om en ny familj av illvilliga programvara med väsentligt annorlunda funktionalitet från Petya. Kaspersky Lab har döpt den nya ransomware till ExPetr.

"Enligt Kaspersky Lab har antalet attackerade användare nått två tusen. De flesta av incidenterna registrerades i Ryssland och Ukraina, liksom fall av infektion observerades i Polen, Italien, Storbritannien, Tyskland, Frankrike, USA och ett antal andra länder. För närvarande föreslår våra experter att skadlig programvara använde flera attackvektorer. företagsnätverk det modifierade EternalBlue-exploatet och EternalRomance-exploatet användes", sa presstjänsten.

Experter undersöker också möjligheten att skapa ett dekoderverktyg som kan användas för att dekryptera data. Labbet gav också rekommendationer till alla organisationer för att undvika en virusattack i framtiden.

"Vi rekommenderar att organisationer installerar Windows-uppdateringar. Windows XP och Windows 7 bör installera säkerhetsuppdatering MS17-010 och se till att de har ett effektivt säkerhetskopieringssystem. Snabba och säkra säkerhetskopieringar av data kan återställa de ursprungliga filerna, även om de var krypterade av skadlig programvara, " Kaspersky Labs experter gav råd.

Laboratoriet rekommenderar också sina företagskunder att se till att alla skyddsmekanismer är aktiverade, i synnerhet se till att anslutningen till molninfrastruktur Kaspersky Security Nätverk, som en ytterligare åtgärd rekommenderas det att använda komponenten Application Privilege Control för att förhindra alla applikationsgrupper från att komma åt (och följaktligen exekvera) en fil med namnet "perfc.dat", etc.

"Om du inte använder produkter från Kaspersky Lab rekommenderar vi att du blockerar körningen av filen med namnet perfc.dat, samt att du blockerar lanseringen av PSExec-verktyget från Sysinternals-paketet med hjälp av AppLocker-funktionen som ingår i operativsystemet (operativsystem - webbplats) ) Windows", rekommenderas i laboratoriet.

12 maj 2017 många - datakryptering på hårddiskar datorer. Han låser enheten och kräver att betala lösen.
Viruset har påverkat organisationer och avdelningar i dussintals länder runt om i världen, inklusive Ryssland, där hälsoministeriet, ministeriet för nödsituationer, inrikesministeriet, servrar attackerades mobiloperatörer och flera stora banker.

Spridningen av viruset stoppades av misstag och tillfälligt: ​​om hackare bara ändrar några rader kod kommer skadlig programvara att börja fungera igen. Skadorna från programmet uppskattas till 1 miljard dollar. Efter en språklig rättsmedicinsk analys fann experter att WannaCry skapades av invandrare från Kina eller Singapore.