Petya virüs dosyası. Petya.A ve WannaCry Ransomware Şifre Çözme Aracı Yayınlandı! Petya'dan nasıl kurtulurum

Petya virüsü- şifre çözme için fidye talebi

Saldırının başlamasından birkaç saat sonra DATARC ilk çağrıyı aldı ve etkilenen birkaç sunucuyu analiz ettik. Ana sonuç: evet Petya virüsü tarafından saldırıya uğradığında sıfır olmayan veri kurtarma olasılığı- virüs genellikle dosya sistemine zarar verir, ancak verileri şifrelemez.

Açık şu an Analiz edilen hasar kategorize edilebilir.

%100 veri kurtarma mümkün

Virüs muhtemelen hatalar içeriyor - algoritmasını her zaman yürütmez, verileri şifrelemek için zamanı yoktur ve önyükleyiciyi bozar. Bu tür hasar seçeneklerini gördük:

1. Veri şifrelenmemiş, MBR bozuk
2. Veriler şifrelenmemiş, bozuk MBR + NTFS önyükleyici
3. Veriler şifrelenmemiş, MBR + NTFS önyükleyici + MFT bozuk - disk RAW olarak algılandı

Veri kurtarma mümkündür, kayıp %0'dan fazladır

Şifrelemenin meydana geldiği durumlarda, bazı dosyalar bozulmadan kalabilir. Bu tür hasar seçeneklerini gördük:

1. Yalnızca C: sürücüsü şifrelenir - gerisi mantıksal sürücüler iyi kal
2. C sürücüsündeki tüm dosyalar şifrelenmez:
3. Yalnızca MFT kaydı şifrelenir, dosyanın içeriği değişmeden kalır.

Eski sürümden şifre çözme çalışmıyor

Petya'nın mevcut sürümü (muhtemelen) 2016 saldırısının devamıdır (bkz. https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ ve https://securelist.com/petya- ikisi bir arada truva atı / 74609 /). İçin eski versiyon bir şifre çözme anahtarı tahmin tekniği oluşturuldu (bkz. https://github.com/leo-stone/hack-petya). 2017 virüsü değiştirildi ve eski teknik çalışmıyor.

Örneğin, virüsün eski versiyonunda MBR, sektör 55'te saklandı ve XOR 0x37 ile “şifrelendi”. V Yeni sürüm MBR sektör 34'te depolanır ve XOR 0x07 ile "şifrelenir".

Şifreli MBR:

Şifresi çözülmüş MBR:

Petya virüsü - şifre çözme işleminden sonra MBR

Bilgisayarınıza virüs bulaşırsa ne yapmalısınız?

Antivirüs programları hemen hemen her kullanıcının bilgisayarına yüklenir, ancak bazen en çok atlayabilen bir Truva atı veya virüs ortaya çıkar. daha iyi koruma ve cihazınıza bulaştırın veya daha da kötüsü verilerinizi şifreleyin. Bu sefer böyle bir virüs şifreli Trojan Petya ya da Petya olarak da adlandırıldı. Yayılma oranı verilen tehditçok etkileyici: birkaç gün içinde sadece Rusya'yı, Ukrayna'yı, İsrail'i, Avustralya'yı, ABD'yi ve tüm büyük Avrupa ülkelerini “ziyaret edebildi”. Ağırlıklı olarak kurumsal kullanıcıları (havaalanları, enerji santralleri, turizm endüstrisi) etkiledi, aynı zamanda sıradan insanlar... Ölçeği ve etki yöntemleri açısından, son zamanlarda sansasyonel olana son derece benzer.

Yeni Petya fidye yazılımı Truva Atı'nın kurbanı olmamak için kuşkusuz bilgisayarınızı korumalısınız. Bu yazımda sizlere bu "Petya" virüsünün ne olduğunu, nasıl yayıldığını, kendinizi bu tehditten nasıl koruyacağınızı anlatacağım. Ayrıca Truva atını kaldırma ve bilgilerin şifresini çözme konularına da değineceğiz.

Petya virüsü nedir?

Öncelikle Petya'nın ne olduğunu anlamamız gerekiyor. Petya virüsü, Truva atı benzeri bir fidye yazılımı (fidye yazılımı) olan kötü amaçlı bir yazılımdır. Bu virüsler, şifrelenmiş veriler için onlardan fidye almak için virüslü cihazların sahiplerine şantaj yapmak üzere tasarlanmıştır. farklı Ağlamak istiyor, Petya tek tek dosyaları şifrelemekle uğraşmaz - neredeyse anında hepsini "alır" HDD Baştan sona.

Yeni virüs için doğru isim Petya.A. Ayrıca Kaspersky buna NotPetya / ExPetr diyor.

"Petya" virüsünün açıklaması

Windows bilgisayarınıza girdiğinde Petya neredeyse anında şifreler MFT(Ana dosya tablosu). Bu tablo neden sorumludur?

Sabit sürücünüzün tüm evrendeki en büyük kitaplık olduğunu hayal edin. Milyarlarca kitap içerir. Peki istediğiniz kitabı nasıl bulacaksınız? Sadece kütüphane kataloğunu kullanarak. Petya'nın yok ettiği bu dizin. Böylece, PC'nizde herhangi bir "dosya" bulma fırsatını kaybedersiniz. Daha kesin olmak gerekirse, Petit'in "işinden" sonra, bilgisayarınızın sabit diski bir kasırgadan sonra her yerde kitap parçaları uçuşan bir kütüphaneye benzeyecektir.

Böylece yazının başında bahsettiğim Wanna Cry'den farklı olarak Petya.A şifreleme yapmıyor. ayrı dosyalar, üzerinde etkileyici miktarda zaman harcamak - onları bulmak için her fırsatı elinizden alır.

Tüm manipülasyonlarından sonra, kullanıcılardan bir bitcoin hesabına aktarılması gereken 300 dolarlık bir fidye talep ediyor.

Petya virüsünü kim yarattı?

Petya, virüsü oluştururken Windows işletim sisteminde "EternalBlue" adlı bir açık ("delik") kullandı. Microsoft birkaç ay önce bu deliği "kapatan" bir yama yayınladı, ancak herkes lisanslı bir Windows kopyası kullanmıyor ve tüm sistem güncellemelerini yüklemiyor, değil mi?)

"Petit" in yaratıcısı, kurumsal ve özel kullanıcıların dikkatsizliğinden akıllıca yararlanarak para kazanmayı başardı. Kimliği hala bilinmiyor (ve bilinmesi pek mümkün değil)

Petya'nın virüsü nasıl bulaşıyor?

Petya virüsü en sık ekler kisvesi altında yayılır. e-postalar ve korsan virüslü yazılım içeren arşivlerde. Ek, bir fotoğraf veya mp3 dahil olmak üzere kesinlikle herhangi bir dosyayı içerebilir (ilk bakışta öyle görünüyor). Dosyayı çalıştırdıktan sonra, bilgisayarınız yeniden başlatılacak ve virüs bir disk kontrolünü simüle edecektir. CHKDSK hataları, ve şu anda o değiştirecek önyükleme kaydı bilgisayarınız (MBR). Bundan sonra, bilgisayar ekranınızda kırmızı bir kafatası göreceksiniz. Herhangi bir düğmeye tıklayarak, dosyalarınızın şifresini çözmek için ödeme yapmanızın isteneceği ve gerekli miktarı bir bitcoin cüzdanına aktaracağınız bir metne erişebilirsiniz.

Kendinizi Petya virüsünden nasıl korursunuz?

• En önemli ve en temel şey, cihazınız için güncellemeleri yüklemeyi bir kural haline getirin. işletim sistemi! Bu inanılmaz derecede önemli. Şimdi yap, gecikme.
• Tanıdığınız kişilerden gelen mektuplar bile olsa, mektuplara eklenen tüm eklere çok dikkat edin. Salgın sırasında kullanmak daha iyidir alternatif kaynaklar veri aktarımı.
• İşletim sistemi ayarlarında "Dosya uzantılarını göster" seçeneğini etkinleştirin - böylece her zaman gerçek dosya uzantısını görebilirsiniz.
• Windows ayarlarında "Kullanıcı Hesabı Denetimi"ni açın.
• Enfeksiyonu önlemek için bunlardan birini yüklemeniz gerekir. Bir işletim sistemi güncellemesi yükleyerek başlayın, ardından bir antivirüs yükleyin ve eskisinden çok daha güvende olacaksınız.
• "Yedekleme" yaptığınızdan emin olun - tüm önemli verileri harici sert disk veya bulut. Ardından Petya virüsü PC'nize girer ve tüm verileri şifrelerse, bilgisayarınızı biçimlendirmeniz oldukça kolay olacaktır. hard disk ve işletim sistemini yeniden yükleyin.
• Her zaman antivirüs veritabanlarınızın alaka düzeyini kontrol edin. Tüm iyi antivirüsler, tehditleri izler ve tehdit imzalarını güncelleyerek bunlara zamanında yanıt verir.
• Düzenlemek ücretsiz yardımcı program Kaspersky Fidye Yazılımına Karşı Koruma. Sizi şifreleme virüslerinden koruyacaktır. Bu yazılımı yüklemek, sizi bir virüsten koruma yazılımı yükleme ihtiyacından kurtarmaz.

Petya virüsü nasıl kaldırılır?

Petya.A virüsü sabit diskinizden nasıl kaldırılır? son derece faiz sor... Gerçek şu ki, virüs verilerinizi zaten engellediyse, aslında silinecek hiçbir şey olmayacaktır. Fidye yazılımını ödemeyi planlamıyorsanız (ki bunu yapmamalısınız) ve gelecekte diskteki verileri kurtarmaya çalışmayacaksanız, diski biçimlendirmeniz ve işletim sistemini yeniden yüklemeniz yeterlidir. Bundan sonra virüsten eser kalmayacak.

Diskinizde virüslü bir dosya olduğundan şüpheleniyorsanız, diskinizi bunlardan biriyle tarayın veya Kaspersky Anti-Virus yükleyin ve tam sistem taraması yapın. Geliştirici, imza veritabanının zaten bu virüs hakkında bilgi içerdiğinden emin oldu.

Dekoder Petya.A

Petya.A, verilerinizi çok güçlü bir algoritma ile şifreler. Şu anda, kilitli bilgilerin şifresini çözmek için bir çözüm yok. Üstelik verilere evde erişmeye çalışmamalısınız.

Şüphesiz hepimiz mucizevi şifre çözücü Petya.A'ya sahip olmayı hayal ederdik, ancak böyle bir çözüm yok. Virüs birkaç ay önce dünyayı vurdu, ancak şifrelediği verilerin şifresini çözecek bir tedavi bulunamadı.

Bu nedenle henüz Petya virüsünün kurbanı olmadıysanız, yazının başında verdiğim tavsiyeleri dinleyin. Yine de verilerinizin kontrolünü kaybettiyseniz, birkaç yolunuz vardır.

• Parayı öde. Bunu yapmanın bir anlamı yok! Uzmanlar, şifreleme yöntemi göz önüne alındığında, virüsün yaratıcısının verileri geri yüklemediğini ve kurtaramayacağını zaten öğrendiler.
• Sabit sürücüyü cihazınızdan çıkarın, dikkatlice kabine koyun ve kod çözücünün görünmesini bekleyin. Bu arada Kaspersky Lab sürekli olarak bu yönde çalışıyor. No Ransom web sitesinde mevcut kod çözücüler var.
• Diski biçimlendirme ve işletim sistemini yükleme. Eksi - tüm veriler kaybolacak.

Rusya'da Petya.A virüsü

Bu yazının yazıldığı sırada Rusya ve Ukrayna'da Bashneft ve Rosneft gibi büyük şirketler de dahil olmak üzere 80'den fazla şirket saldırıya uğradı ve virüs bulaştı. Bu kadar büyük şirketlerin altyapısının enfeksiyonu, Petya.A virüsünün ciddiyetini gösteriyor. Fidye yazılımı Truva Atı'nın Rusya genelinde yayılmaya devam edeceğine şüphe yok, bu nedenle verilerinizin güvenliğine dikkat etmeli ve makalede verilen tavsiyelere uymalısınız.

Petya.A ve Android, iOS, Mac, Linux

Birçok kullanıcı endişeli - “Petya virüsü cihazlarına bulaşabilir mi? Android ve iOS. Onları sakinleştirmek için acele edeceğim - hayır, olamaz. Yalnızca Windows kullanıcıları için tasarlanmıştır. Aynı şey Linux ve Mac hayranları için de geçerli - rahatça uyuyabilirsiniz, hiçbir şey sizi tehdit etmez.

Çözüm

Bu yüzden bugün ayrıntılı olarak tartıştık yeni virüs Petya.A. Bu Truva atının ne olduğunu ve nasıl çalıştığını anladık, kendimizi enfeksiyondan nasıl koruyacağımızı ve virüsü nasıl yok edeceğimizi ve Petya şifre çözücüyü nereden alacağımızı öğrendik. Umarım bu makale ve ipuçlarım size yardımcı olmuştur.

Birkaç gün içinde Petya.A virüs saldırısı düzinelerce ülkeye yayıldı ve M.E.Doc raporlama ve belge yönetimi programının kötü amaçlı yazılımın yayılmasına dahil olduğu Ukrayna'da bir salgın boyutuna ulaştı. Daha sonra uzmanlar, saldırganların amacının verileri tamamen yok etmek olduğunu, ancak Ukrayna siber polisine göre, sisteme kısmen virüs bulaşırsa, dosyaları geri yükleme şansı olduğunu söyledi.

Petya nasıl çalışır?

Bir virüs yönetici hakları kazanırsa, araştırmacılar, etkisi için üç ana senaryo belirler:

• Bilgisayar virüslü ve şifreli, sistem tamamen tehlikede. Veri kurtarma gerektirir Özel anahtar, ve ekranda fidye talep eden bir mesaj görüntülenir (olmasına rağmen).
• Bilgisayara virüs bulaşmış ve kısmen şifrelenmiş - sistem dosyaları şifrelemeye başladı, ancak kullanıcı gücü kapatarak veya başka yollarla bu işlemi durdurdu.
• Bilgisayara virüs bulaşmış, ancak MFT için şifreleme işlemi henüz başlamadı.

İlk durumda, verilerin şifresini çözmenin henüz etkili bir yolu yoktur. Şimdi siber polis ve bilişim şirketlerinden uzmanlar onu arıyor. orijinal Petya virüsünün yaratıcısı(tuşu kullanarak sistemi geri yüklemenizi sağlar). MFT dosyalarının ana tablosu kısmen zarar görmüş veya hiç etkilenmemişse, dosyalara erişme şansı hala vardır.

Siber polis, değiştirilmiş Petya virüsünün iki ana aşamasını adlandırdı:

Birincisi: ayrıcalıklı yönetici hakları elde etmek (kullanırken Aktif Dizin onlar devre dışıdır). İlk olarak, virüs orijinali kaydeder önyükleme sektörü MBR işletim sistemi için, bit düzeyinde XOR işleminin (xor 0x7) şifreli biçiminde, ardından kendi önyükleyicisini yerine yazar. Truva atının kodunun geri kalanı diskin ilk sektörlerine yazılır. Bu aşamada, Metin dosyasışifreleme hakkında, ancak veriler henüz şifrelenmedi.

Veri şifrelemenin ikinci aşaması, sistem yeniden başlatıldıktan sonra başlar. Petya, şifrelenmemiş veriler hakkında bir işaretin olduğu kendi yapılandırma sektörüne zaten atıfta bulunuyor. Bundan sonra şifreleme işlemi başlar, ekranda Check Disk programının çalışması olarak görüntülenir. Zaten çalışıyorsa, gücü kapatmalı ve önerilen veri kurtarma yöntemini kullanmayı denemelisiniz.

ne sunuyorlar

İlk önce kurulumdan önyükleme yapmanız gerekir Windows diski... Aynı zamanda, sabit diskin (veya SSD'nin) bölümleri olan bir tablo görünüyorsa, önyüklenebilir olanı geri yükleme prosedürüne devam edebilirsiniz. MBR sektörleri... Ardından, virüslü dosyalar için diski kontrol etmeye değer. Bugün Petya, tüm popüler antivirüsler tarafından tanınmaktadır.

Şifreleme işlemi başlatıldıysa, ancak kullanıcı onu kesmeyi başardıysa, işletim sistemini yükledikten sonra, şifrelenmiş dosyaları (R-Studio ve diğerleri) kurtarmak için yazılım kullanmak gerekir. Verilerin harici ortama kaydedilmesi gerekecek ve sistem yeniden yüklenecek.

Önyükleyici nasıl geri yüklenir

Windows XP için:

yüklendikten sonra kurulum diski Windows XP'de Veri deposu PC bir iletişim kutusu gösterecek " Windows'u Yükleme Kurtarma konsolunu kullanarak Windows XP'yi geri yüklemek için "öğeyi seçmeniz gereken seçim menüsünden" XP Professional, R " tuşuna basın. "R" TUŞUNA basın.

Kurtarma Konsolu yüklenecektir.

PC'de bir işletim sistemi kuruluysa ve (varsayılan olarak) C sürücüsünde kuruluysa, aşağıdaki mesaj görünecektir:

"1: C: \ WINDOWS Hangi Windows'un kopyası oturum açmalı mısın?"

"1" sayısını girin, "Enter" tuşuna basın.

Bir mesaj görünecektir: "Yönetici şifresini girin." Şifreyi girin, "Enter" tuşuna basın (şifre yoksa "Enter" tuşuna basın).

Sizden istenecektir: C: \ WINDOWS> fixmbr girin

Ardından "UYARI" mesajı görünür.

"Yeni MBR kaydını onaylıyor musunuz?", "Y" tuşuna basın.

Bir mesaj görünecektir: "Fiziksel disk \ Device \ Harddisk0 \ Partition0 üzerinde yeni bir ana önyükleme sektörü oluşturuluyor."

İçin Windows Vista:

Windows Vista'yı indirin. Dilinizi ve klavye düzeninizi seçin. Karşılama ekranında, "Bilgisayarınızı onarın" seçeneğini tıklayın. Windows Vista bilgisayar menüsünü düzenleyecektir.

İşletim sisteminizi seçin ve İleri'ye tıklayın. Sistem Kurtarma Seçenekleri penceresi göründüğünde, üzerine tıklayın. Komut satırı... Komut istemi göründüğünde, şu komutu girin:

bootrec / FixMbr

İşlemin tamamlanmasını bekleyin. Her şey yolunda giderse, ekranda bir onay mesajı görünecektir.

Windows 7 için:

Windows 7'yi başlatın. Dilinizi ve klavye düzeninizi seçin ve İleri'ye tıklayın.

İşletim sisteminizi seçin ve İleri'ye tıklayın. Bir işletim sistemi seçerken, "Sorunları çözmeye yardımcı olabilecek kurtarma araçlarını kullan" seçeneğini işaretlemelisiniz. Windows'u çalıştırmak».

Sistem Kurtarma Seçenekleri ekranında, Komut İstemi düğmesini tıklayın. Komut istemi başarıyla yüklendiğinde, şu komutu girin:

bootrec / fixmbr

Windows 8 için:

Windows 8'i başlatın. Karşılama ekranında Bilgisayarınızı onarın düğmesini tıklayın.

"Sorun Gider" i seçin. Komut satırını seçin, önyüklendiğinde şunu girin:

bootrec / FixMbr

Enter tuşuna basın ve bilgisayarınızı yeniden başlatın.

Windows 10 için:

Windows 10'u başlatın. Karşılama ekranında "Bilgisayarınızı onarın" düğmesini tıklayın, "Sorun Giderme"yi seçin.

Komut İstemi'ni seçin. Komut istemi yüklendiğinde şu komutu girin:

bootrec / FixMbr

İşlemin tamamlanmasını bekleyin. Her şey yolunda giderse, ekranda bir onay mesajı görünecektir.

Enter tuşuna basın ve bilgisayarınızı yeniden başlatın.

Petya virüsü, 27 Haziran 2017'de neredeyse tüm büyük işletmeleri Ukrayna'ya sokan hızla büyüyen bir virüstür. Petya virüsü dosyalarınızı şifreler ve ardından onlar için bir fidye sunar.

Yeni virüs bilgisayarın sabit diskine bulaşır ve dosya şifreleme virüsü olarak çalışır. Karşısında kesin zaman, Petya virüsü bilgisayarınızdaki dosyaları "yer" ve şifrelenirler (sanki dosyalar arşivlenmiş ve ağır bir şifre koymuş gibi)
Petya fidye yazılımı virüsünden zarar görmüş dosyalar daha sonra kurtarılamaz (kurtaracağınız bir yüzde vardır ama çok küçüktür)
Petya virüsünden etkilenen dosyaları geri yükleyen HİÇBİR algoritma YOKTUR
Bu kısa ve EN faydalı makalenin yardımıyla #Petya virüsünden kendinizi koruyabilirsiniz.

Petya veya WannaCry Virüsünü Nasıl TESPİT EDER ve Enfekte Olmazsınız

İnternet üzerinden bir dosya yüklerken, çevrimiçi bir antivirüs ile kontrol edin. Çevrimiçi antivirüsler, dosyadaki virüsü önceden tespit edebilir ve Petya virüs bulaşmasını önleyebilir. Tek yapmanız gereken indirilen dosyayı VirusTotal ile kontrol etmek ve ardından çalıştırmak. PETYA VİRÜSÜNÜ İNDİRDİNİZ, ancak virüs dosyasını ÇALIŞTIRMAMIŞ olsanız bile, virüs aktif DEĞİLDİR ve zarar vermez. Yalnızca zararlı bir dosyayı başlattıktan sonra bir virüs başlatırsınız, bunu unutmayın

SADECE BU YÖNTEMİ KULLANMAK SİZE PETYA VİRÜSÜNE KARŞILAŞMAMAK İÇİN TÜM ŞANSI VERİR.
Petya virüsü şöyle görünür:

Petya Virüsünden Kendinizi Nasıl Korursunuz?

Şirket Symantec zaten kuruluymuş gibi davranarak kendinizi Petya virüsünden korumanıza izin veren bir çözüm sundu.
Petya virüsü bilgisayara girdiğinde klasörde oluşturur. C:\Windows\perfc dosya mükemmel veya perfc.dll
Virüsün zaten kurulu olduğunu düşünmesini ve faaliyetine devam etmemesini sağlamak için klasörde oluşturun C:\Windows\perfc boş içeriğe sahip dosya ve değişiklik modunu "Salt Okunur" olarak ayarlayarak kaydedin
Veya virus-petya-perfc.zip dosyasını indirin ve klasörü açın mükemmel klasöre C: \ Windows \ ve değişiklik modunu "Salt Okunur" olarak ayarlayın
virus-petya-perfc.zip dosyasını indirin

GÜNCELLEME 06/29/2017
Ayrıca her iki dosyayı da basitçe yüklemenizi tavsiye ederim. Windows klasörü... Birçok kaynak dosyanın mükemmel veya perfc.dll klasörde olmalı C: \ Windows \

Bilgisayarınıza Zaten Petya Virüsü Bulaşmışsa Ne Yapmalısınız?

Size zaten Petya virüsü bulaşmış bir bilgisayarı açmayın. Petya virüsü, virüslü bilgisayar açıkken dosyaları şifreleyecek şekilde çalışır. Yani Petya virüsünden etkilenen bilgisayarı açık tuttuğunuz sürece yeni ve yeni dosyalar bulaşabilir ve şifrelenebilir.
Winchester bu bilgisayar kontrol etmeye değer. Antivirüs ile LIVECD veya LIVEUSB kullanarak kontrol edebilirsiniz.
Kaspersky Rescue Disk 10 ile önyüklenebilir USB flash sürücü
Dr.Web LiveDisk önyüklenebilir USB flash sürücü

Petya Virüsünü Ukrayna'nın Her Yerine Kim Yaydı?

Microsoft, ağın küresel olarak bulaşmasına ilişkin bakış açısını şu anda ifade etmiştir: büyük şirketler Ukrayna. Nedeni M.E.Doc programının güncellenmesiydi. M.E.Doc popüler bir muhasebe programıdır, bu yüzden bir güncellemede virüs kapmak ve Petya virüsünü M.E.Doc programını çalıştıran binlerce PC'ye yüklemek gibi şirketin bu kadar büyük bir delinmesinin nedeni budur. Ve virüs aynı ağdaki bilgisayarlara bulaştığı için yıldırım hızıyla yayılıyor.
#: Petya virüsü Android'e bulaşıyor, Petya virüsü, Petya virüsü nasıl tespit edilir ve kaldırılır, Petya virüsü nasıl tedavi edilir, M.E.Doc, Microsoft, Petya virüsü klasörü oluştur

Birkaç ay önce biz ve diğer BT Güvenliği uzmanları yeni bir kötü amaçlı yazılım keşfettik - Petya (Win32.Trojan-Ransom.Petya.A)... Klasik anlamda, o bir fidye yazılımı değildi, virüs sadece belirli dosya türlerine erişimi engelledi ve fidye istedi. Virüs, sabit diskteki önyükleme kaydını değiştirdi, bilgisayarı zorla yeniden başlattı ve "veriler şifrelendi - şifreyi çözmek için paranızı kullanın" mesajını gösterdi. Genel olarak, bu standart bir şifreleme virüsü şemasıdır, ancak dosyaların gerçekten şifrelenmemiş olması dışında. Popüler antivirüslerin çoğu, piyasaya sürüldükten birkaç hafta sonra Win32.Trojan-Ransom.Petya.A'yı tanımlamaya ve kaldırmaya başladı. Ek olarak, talimatlar vardı manuel kaldırma... Petya'nın neden klasik bir fidye yazılımı olmadığını düşünüyoruz? Bu virüs, Ana Önyükleme Kaydı'nı değiştirir ve işletim sisteminin önyüklenmesini engeller ve ayrıca Ana Dosya Tablosunu şifreler. Dosyaları kendileri şifrelemez.

Ancak, birkaç hafta önce daha karmaşık bir virüs ortaya çıktı. Mischa, görünüşe göre aynı dolandırıcılar tarafından yazılmış. Bu virüs dosyaları ŞİFRELER ve şifre çözme için 500 - 875 $ (içinde) ödemenizi gerektirir. farklı versiyonlar 1.5 - 1.8 bitcoin). "Şifre çözme" ve bunun için ödeme talimatları YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarında saklanır.

Mischa Virus - YOUR_FILES_ARE_ENCRYPTED.HTML Dosyasının İçeriği

Şimdi, aslında, bilgisayar korsanları kullanıcıların bilgisayarlarına iki kötü amaçlı yazılım bulaştırıyor: Petya ve Mischa. İlki, sistemde yönetici haklarına ihtiyaç duyar. Yani, kullanıcı Petya'ya yönetici hakları vermeyi reddederse veya bu kötü amaçlı yazılımı manuel olarak silmişse, duruma Mischa dahildir. Bu virüs yönetici haklarına ihtiyaç duymaz, klasik bir fidye yazılımıdır ve güçlü AES algoritmasını kullanarak dosyaları gerçekten şifreler ve Ana Önyükleme Kaydı ve kurbanın sabit diskindeki dosya tablosunda herhangi bir değişiklik yapmaz.

Mischa kötü amaçlı yazılımı yalnızca standart dosya türlerini (videolar, resimler, sunumlar, belgeler) değil, aynı zamanda .exe dosyalarını da şifreler. Virüs yalnızca \ Windows, \ $ Recycle.Bin, \ Microsoft, \ dizinlerini etkilemez. Mozilla Firefox, \ Opera, \ Internet Explorer, \ Temp, \ Local, \ LocalLow ve \ Chrome.

Enfeksiyon esas olarak e-posta, mektup ekli bir dosyayla birlikte gelir - bir virüs yükleyici. Vergi Dairesi'nden, muhasebecinizden gelen bir mektup altında, ekli makbuz ve satın alma makbuzları vb. olarak şifrelenebilir. Bu tür harflerdeki dosya uzantılarına dikkat edin - varsa icra dosyası(.exe), o zaman yüksek olasılıkla Petya \ Mischa virüsü içeren bir kap olabilir. Kötü amaçlı yazılımın değiştirilmesi yeniyse, virüsten koruma yazılımınız tepki vermeyebilir.

30.06.2017 Güncellemesi: 27 Haziran Petya virüsünün değiştirilmiş versiyonu (Petya.A) Ukrayna'da kitlesel olarak kullanıcılara saldırdı. Bu saldırının etkisi muazzamdı ve ekonomik zararı henüz hesaplanmadı. Bir günde onlarca bankanın işi felç oldu, perakende zincirleri, Devlet kurumları ve farklı mülkiyet biçimlerindeki işletmeler. Virüs, esas olarak, bu yazılımın en son otomatik güncellemesiyle Ukrayna muhasebe raporlama sistemi MeDoc'taki bir güvenlik açığı yoluyla yayıldı. Ayrıca virüs Rusya, İspanya, İngiltere, Fransa, Litvanya gibi ülkeleri de etkiledi.

Petya ve Mischa virüslerini otomatik bir temizleyici ile temizleyin

Genel olarak kötü amaçlı yazılımlarla ve özel olarak fidye yazılımlarıyla başa çıkmak için son derece etkili bir yöntem. Kanıtlanmış bir koruyucu kompleksin kullanılması, herhangi bir viral bileşenin tespitinin eksiksizliğini garanti eder, bunların tam kaldırma tek bir tıklama ile. Lütfen iki farklı süreçten bahsettiğimizi unutmayın: Bilgisayarınızdaki enfeksiyonun kaldırılması ve dosyaların geri yüklenmesi. Bununla birlikte, yardımı ile diğer bilgisayar Truva atlarının tanıtımı hakkında bilgi olduğundan, tehdit kesinlikle kaldırılmalıdır.

1. ... Yazılımı başlattıktan sonra düğmesine tıklayın. Bilgisayar Taramasını Başlat(Taramayı Başlat).
2. Yüklenen yazılım, tarama sırasında tespit edilen tehditler hakkında bir rapor sağlayacaktır. Bulunan tüm tehditleri kaldırmak için seçeneği belirleyin. Tehditleri gidermek(Tehditleri ortadan kaldırın). Söz konusu kötü amaçlı yazılım tamamen kaldırılacaktır.

Şifrelenmiş dosyalara erişimi geri yükleyin

Belirtildiği gibi, Mischa fidye yazılımı dosyaları güçlü bir şifreleme algoritmasıyla kilitler, böylece şifrelenmiş veriler bir fiskeyle geri yüklenemez. sihirli değnek- duyulmamış bir fidye tutarının ödenmesini hesaba katmazsanız (bazen 1000 dolara ulaşır). Ancak bazı yöntemler, önemli verileri kurtarmanıza yardımcı olacak gerçekten bir cankurtaran olabilir. Aşağıda onları tanıyabilirsiniz.

programı otomatik kurtarma dosyalar (kod çözücü)

Çok olağanüstü bir durum bilinmektedir. Bu enfeksiyon siler kaynak dosyalarışifrelenmemiş biçimde. Fidye yazılımı şifreleme işlemi bu nedenle bunların kopyalarını hedefler. Bu, böyle bir fırsat sağlar yazılım Yok edilmelerinin güvenilirliği garanti edilse bile silinen nesnelerin nasıl kurtarılacağı. Dosya kurtarma prosedürüne başvurmanız şiddetle tavsiye edilir, etkinliği şüphesizdir.

Birim gölge kopyaları

Yaklaşım aşağıdakilere dayanmaktadır: Windows prosedürü Yedek kopya her kurtarma noktasında tekrarlanan dosyalar. önemli bir durumİş Bu method: Sistem Geri Yükleme, enfeksiyondan önce etkinleştirilmelidir. Ancak, geri yükleme noktasından sonra dosyada yapılan herhangi bir değişiklik, dosyanın geri yüklenen sürümünde görüntülenmeyecektir.

Destek olmak

Bu, tüm geri ödemesiz yöntemlerin en iyisidir. Verileri harici bir sunucuya yedekleme prosedürü, bilgisayarınıza fidye yazılımı saldırısından önce kullanıldıysa, şifrelenmiş dosyaları geri yüklemek için uygun arayüze girmeniz, gerekli dosyaları seçmeniz ve yedeklemeden veri kurtarma mekanizmasını başlatmanız yeterlidir. İşlemi gerçekleştirmeden önce fidye yazılımının tamamen kaldırıldığından emin olmanız gerekir.

Petya ve Mischa fidye yazılımının olası artık bileşenlerini kontrol edin

temizlik manuel mod gizli işletim sistemi nesneleri veya kayıt defteri girdileri biçiminde silinmeyi önleyebilen belirli fidye yazılımı parçalarının ihmali ile doludur. Belirli kötü amaçlı öğelerin kısmen kaydedilme riskini ortadan kaldırmak için bilgisayarınızı güvenilir bir güvenlik yazılımı kullanarak tarayın. yazılım paketi kötü amaçlı yazılım konusunda uzmanlaşmış.

Birkaç gün önce, kaynağımızda kendinizi virüsten ve çeşitlerinden nasıl koruyacağınızla ilgili bir makale çıktı. Aynı talimatlarda, en kötü durum senaryosunu ele alacağız - bilgisayarınıza virüs bulaşmış. Doğal olarak, kurtarma işleminden sonra her kullanıcı verilerini ve kişisel bilgilerini kurtarmaya çalışır. Bu makale, verileri kurtarmanın en uygun ve verimli yollarına odaklanacaktır. Bunun her zaman mümkün olmaktan uzak olduğunu düşünmeye değer, bu yüzden herhangi bir garanti vermeyeceğiz.

Olayların gelişebileceği üç ana senaryoyu ele alacağız:
1. Bilgisayara Petya.A virüsü (veya türevleri) bulaşmış ve şifrelenmiştir, sistem tamamen kilitlenmiştir. Verileri kurtarmak için, ödemeniz gereken özel bir anahtar girmeniz gerekir. Hemen söylemeliyiz ki, ödeseniz bile kilidi açmaz ve kişisel bilgisayarınıza erişiminizi geri getirmez.

2. Kullanıcıya daha fazla seçenek sunan bir seçenek. daha fazla eylem- bilgisayarınıza virüs bulaştı ve virüs verilerinizi şifrelemeye başladı, ancak şifreleme durduruldu (örneğin, gücü kapatarak).

3. Son seçenek en uygunudur. Bilgisayarınıza virüs bulaşmış, ancak şifreleme dosya sistemi henüz başlamadı.

1 numaralı durumunuz varsa, yani tüm verileriniz şifrelenir, ardından bu aşama mevcut olmayan verimli yol kullanıcı bilgilerini geri yüklemek için. Birkaç gün veya hafta içinde bu yöntemin ortaya çıkması muhtemeldir, ancak şimdilik bilgi ve bilgi alanındaki herkesle uzmanlar. bilgisayar Güvenliğiüzerinde bulmaca.

Şifreleme işlemi başlamadıysa veya tamamen tamamlanmadıysa, kullanıcı işlemi hemen kesmelidir (şifreleme şu şekilde görüntülenir: sistem süreci Diski Kontrol Et). İşletim sistemini yüklemeyi başardıysanız, hemen herhangi bir modern antivirüs yükleyin (hepsi şu anda Petya'yı tanır ve tüm diskleri tam olarak tarar. Windows başlatılmazsa, virüslü makinenin sahibi sistemi kullanmak zorunda kalacaktır) MBR önyükleme sektörünü geri yüklemek için diskler veya bir flash sürücü) ...

Windows XP'de önyükleyiciyi onarma

yüklendikten sonra sistem diski Windows XP işletim sistemi ile size eylem seçenekleri sunulacaktır. "Windows XP Professional'ı Kur" penceresinde, "Windows XP'yi Kurtarma Konsolu'nu kullanarak geri yüklemek için R tuşuna basın" seçeneğini seçin. Mantıklı olan, R tuşuna basmanız gerekecek. Klavyede, bölümü ve mesajı geri yüklemek için konsolu görmelisiniz:

"" 1: C: \ WINDOWS Hangi Windows kopyasında oturum açmalısınız? ""

Windows XP'nin bir sürümü yüklüyse, klavyeden "1" girin ve enter tuşuna basın. Birkaç sisteminiz varsa, ihtiyacınız olanı seçmeniz gerekir. Yönetici şifresi isteyen bir mesaj göreceksiniz. Parola yoksa, alanı boş bırakarak Enter'a basmanız yeterlidir. Bundan sonra ekranda bir satır görünecek, kelimesini girin " düzeltme"

Aşağıdaki mesaj görünmelidir: “UYARI! Yeni MBR'nin yazılmasını onaylıyor musunuz? ", Klavyede "Y" tuşuna basın.
Cevap görünecektir: "Fiziksel diskte yeni bir ana önyükleme sektörü oluşturuluyor ...."
"Yeni ana önyükleme bölümü başarıyla oluşturuldu."

Windows Vista'da önyükleyiciyi onarma

Windows Vista işletim sistemine sahip bir disk veya USB flash sürücü takın. Ardından, "Bilgisayarınızı çalışacak şekilde geri yükleyin" satırını seçmeniz gerekir. Hangi Windows Vista işletim sistemini (birden fazla varsa) geri yüklemek istediğinizi seçin. Kurtarma seçeneklerinin olduğu bir pencere göründüğünde, komut istemine tıklayın. Komut isteminde, " komutunu girin bootrec / FixMbr".

Windows 7'de önyükleyiciyi onarma

Windows 7 işletim sistemine sahip bir disk veya USB flash sürücü takın. Hangi Windows 7 işletim sistemini (birkaç tane varsa) geri yüklemek istediğinizi seçin. "Windows'u başlatmayla ilgili sorunları çözmeye yardımcı olabilecek kurtarma araçlarını kullan" seçeneğini belirleyin. Ardından, "Komut Satırı" nı seçin. Komut satırını yükledikten sonra " bootrec / fixmbr

Windows 8'de önyükleyiciyi onarma

Windows 8 ile bir disk veya USB flash sürücü takın. Ana ekranda, sol alt köşedeki "Bilgisayarınızı onarın"ı seçin. "Sorun Gider" i seçin. Komut satırını seçin, önyüklendiğinde şunu girin: "bootrec / FixMbr"

Windows 10'da önyükleyiciyi onarma

Windows 10 ile bir disk veya flash sürücü takın. Ana ekranda, sol alt köşedeki "Bilgisayarınızı onarın"ı seçin. "Sorun Gider" i seçin. Komut satırını seçin, önyüklendiğinde şunu girin: "bootrec / FixMbr" Her şey yolunda giderse, ilgili bir mesaj göreceksiniz ve geriye sadece bilgisayarınızı yeniden başlatmak kalıyor.

(Petya.A) ve bazı tavsiyeler verdi.

SBU'ya göre, işletim sistemlerine bulaşma esas olarak kötü amaçlı uygulamaların açılmasıyla meydana geldi ( Word belgeleri, PDF dosyaları), yönlendirilen e-mail adresleri birçok ticari ve hükümet yapısı.

“Ana amacı Petya.A fidye yazılımı dosyasını dağıtmak olan saldırı, MS17-010 ağ güvenlik açığından yararlandı ve bunun sonucunda, siber suçlular tarafından başlatmak için kullanılan virüslü makineye bir dizi komut dosyası yüklendi. söz konusu dosya fidye yazılımı, "dedi SBU.

Virüs, kullanıcının dosyalarını şifreleyerek Windows çalıştıran bilgisayarlara saldırır ve ardından, verilerin kilidini açmak için 300 ABD Doları eşdeğerinde bitcoinlerdeki şifre çözme anahtarı için ödeme teklifiyle dosyaları dönüştürme hakkında bir mesaj görüntüler.

“Şifreli verilerin şifresi maalesef çözülemez. SBU, şifrelenmiş verilerin şifresini çözme yeteneği üzerinde çalışmaya devam ediyor, "dedi.

Kendinizi virüsten korumak için yapmanız gerekenler

1. Bilgisayar açıksa ve normal çalışıyorsa, ancak virüs bulaştığından şüpheleniyorsanız, hiçbir durumda yeniden başlatmayın (bilgisayar zaten zarar görmüşse, yeniden başlatmayın) - virüs yeniden başlatıldığında tetiklenir ve hepsini şifreler. bilgisayarda bulunan dosyalar...

2. En çok tasarruf edin değerli dosyalar bilgisayara bağlı olmayan ayrı bir ortamda ve ideal olarak - işletim sistemi ile birlikte bir yedekleme yapın.

3. Dosya şifreleyiciyi belirlemek için tüm yerel görevleri tamamlayın ve sonraki dosya: C: /Windows/perfc.dat

4. Windows işletim sisteminin sürümüne bağlı olarak yamayı yükleyin.

5. Kesinlikle emin olun bilgisayar sistemleri Düzgün çalışan ve güncel bir virüs imza veritabanı kullanan bir virüsten koruma yazılımı yüklenmiştir. Gerekirse antivirüs yükleyin ve güncelleyin.

6. Bulaşma riskini azaltmak için, tüm e-posta yazışmalarında dikkatli olmalısınız, tanımadığınız kişilerden gelen mektuplardaki ekleri indirmeyin veya açmayın. Bilinen bir adresten şüphe uyandıran bir mektup alırsanız, gönderenle iletişime geçin ve mektubun gönderildiğini teyit edin.

7. Yapın yedekler tüm kritik veriler.

Belirtilen bilgileri yapısal birimlerin çalışanlarına ulaştırmak, yerel veya internete bağlı olup olmadığına bakılmaksızın, çalışanların belirtilen yamaların kurulu olmadığı bilgisayarlarla çalışmasını engellemek.

Belirli bir virüs tarafından engellenen bir Windows bilgisayarına erişimi geri yüklemeyi denemek mümkündür.

Belirtilen kötü amaçlı yazılım MBR kayıtlarında değişiklik yaptığından, işletim sistemini yüklemek yerine kullanıcıya dosya şifreleme hakkında metin içeren bir pencere gösterilir. Bu sorun, MBR kaydı geri yüklenerek çözülür. Bunun için var özel araçlar... SBU, bunun için Boot-Repair yardımcı programını kullandı (bağlantıdaki talimatlar).

B). Çalıştırın ve "Toplanacak Eserler" penceresindeki tüm kutuların işaretlendiğinden emin olun.

C). “Eset Log Collection Mode” sekmesinde, Başlangıç ​​ayarını ayarlayın. ikili kod disk.

NS). Topla düğmesine tıklayın.

e). Günlüklerle arşiv gönderin.

Etkilenen bilgisayar açıksa ve henüz kapanmadıysa yürütmeye atlayın

s.3 bir kod çözücünün yazılmasına yardımcı olacak bilgileri toplamak için,

s.4 sistemi tedavi etmek için.

Halihazırda virüs bulaşmış bir bilgisayardan (önyükleme yapmıyor), daha fazla analiz için MBR'yi toplamanız gerekir.

Aşağıdaki talimatlara göre toplayabilirsiniz:

a). ESET SysRescue Live CD veya USB'yi indirin (bölüm 3'te açıklandığı gibi oluşturma)

B). Kullanım lisansını kabul edin

C). CTRL + ALT + T tuşlarına basın (Terminal açılacaktır)

NS). “Parted -l” komutunu tırnak işaretleri olmadan yazın, bunun parametresi küçük bir “L” harfidir ve tuşuna basın.

e). Sürücü listesine bakın ve etkilenen bilgisayarı tanımlayın (/ dev / sda'dan biri olmalıdır)

F). "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" komutunu tırnak işaretleri olmadan yazın, "/ dev / sda" yerine bir önceki adımda tanımladığınız diski kullanın ve tuşuna basın (Dosya / ana sayfa / eset / petya.img oluşturulacaktır)

G). Flash sürücüyü bağlayın ve /home/eset/petya.img dosyasını kopyalayın

H). Bilgisayar kapatılabilir.

Ayrıca bkz. - Siber saldırılara karşı korunma hakkında Omelyan

Omelyan siber saldırılardan korunma hakkında

haberlere abone ol

WannaCry benzeri büyük çaplı bir saldırıya maruz kalan Rusya ve Ukrayna ülkelerinde 27 Haziran 2017 tarihinde kaydedilen hacker tehdidinden belki de haberdarsınızdır. Virüs bilgisayarları engelliyor ve dosyaların şifresini çözmek için bitcoin cinsinden bir fidye talep ediyor. Toplamda, Rus Rosneft ve Bashneft dahil olmak üzere her iki ülkede de 80'den fazla şirket etkilendi.

Kötü şöhretli WannaCry gibi fidye yazılımı virüsü, tüm bilgisayar verilerini engelledi ve 300 dolara eşdeğer bitcoin cinsinden bir fidyenin suçlulara aktarılmasını talep ediyor. Ancak Wanna Cry'den farklı olarak Petya, tek tek dosyaları şifrelemekle uğraşmaz - neredeyse anında tüm sabit sürücünüzü "alır".

Bu virüsün doğru adı Petya.A. ESET raporu, Diskcoder.C'nin (diğer adıyla ExPetr, PetrWrap, Petya veya NotPetya) bazı özelliklerini ortaya koyuyor

Tüm kurbanların istatistiklerine göre, virüs, virüslü ekleri olan kimlik avı e-postalarında yayıldı. Genellikle bir mektup, açma talebiyle birlikte gelir. Metin belgesi, ancak bildiğimiz gibi ikinci dosya uzantısı txt.exe gizlidir ve son dosya uzantısı önceliklidir. İşletim varsayılanı Windows sistemi dosya uzantılarını görüntülemez ve şöyle görünürler:

8.1'de gezgin penceresinde (Görünüm\Klasör Seçenekleri\Kayıtlı dosya türleri için uzantıları gizle onay kutusunun işaretini kaldırın)

Gezgin penceresinde 7'de (Alt \ Araçlar \ Klasör seçenekleri \ Kayıtlı dosya türleri için uzantıları gizle onay kutusunun işaretini kaldırın)

Ve en kötüsü, kullanıcıların bilinmeyen kullanıcılardan gelen mektuplardan ve anlaşılmaz dosyaları açmalarını istemelerinden utanmamasıdır.

Dosyayı açtıktan sonra, kullanıcı “ Mavi ekranölümün".

Yeniden başlatmanın ardından, "Diski Tara" başlatılıyor gibi görünüyor, aslında virüs dosyaları şifreliyor.

Diğer fidye yazılımlarından farklı olarak, bu virüs başlatıldığında, bilgisayarınızı hemen yeniden başlatır ve yeniden başlatıldığında ekranda bir mesaj belirir: “PC'NİZİ KAPATMAYIN! BU İŞLEMİ DURDURDUĞUNUZDA TÜM VERİLERİNİZİ YOK EDEBİLİRSİNİZ! LÜTFEN BİLGİSAYARINIZIN ŞARJ CİHAZINA BAĞLI OLDUĞUNDAN EMİN OLUN! ”. gibi görünse de Sistem hatası, aslında, şu anda Petya gizli modda sessizce şifreleme yapıyor. Kullanıcı sistemi yeniden başlatmaya veya dosyaları şifrelemeyi durdurmaya çalışırsa, ekranda “HERHANGİ BİR TUŞA BASIN!” metniyle birlikte yanıp sönen kırmızı bir iskelet belirir. Son olarak, tuşa bastıktan sonra fidye notu ile yeni bir pencere açılacaktır. Bu notta kurbandan yaklaşık 400 dolar olan 0,9 bitcoin ödemesi isteniyor. Ancak, bu sadece bir bilgisayar için fiyattır. Bu nedenle, çok bilgisayarı olan şirketler için miktar binlerce olabilir. Bu fidye yazılımını diğerlerinden ayıran şey, bu kategorideki diğer virüslerin verdiği normal 12-72 saat yerine, fidyeyi ödemeniz için size tam bir hafta vermesidir.

Üstelik Petya'nın sorunları bununla da bitmiyor. Bu virüs sisteme girdikten sonra yeniden yazmaya çalışacaktır. önyükleme dosyalarıİşletim sistemini başlatmak için Windows veya sözde önyükleme kayıt sihirbazı gerekir. Önyüklenebilir ana kayıt (MBR) ayarlarını geri yüklemezseniz, Petya virüsünü bilgisayarınızdan kaldıramazsınız. Bu ayarları düzeltmeyi ve virüsü sisteminizden kaldırmayı başarsanız bile, ne yazık ki dosyalarınız şifreli kalacaktır, çünkü virüsün kaldırılması dosyaların şifresini çözmez, sadece bulaşıcı dosyaları siler. Bilgisayarınızla çalışmaya devam etmek istiyorsanız, elbette, virüs temizleme çok önemlidir.

Petya, Windows bilgisayarınızda bir kez MFT'yi (Ana Dosya Tablosu) neredeyse anında şifreler. Bu tablo neden sorumludur?

Sabit sürücünüzün tüm evrendeki en büyük kitaplık olduğunu hayal edin. Milyarlarca kitap içerir. Peki istediğiniz kitabı nasıl bulacaksınız? Sadece kütüphane kataloğunu kullanarak. Petya'nın yok ettiği bu dizin. Böylece, PC'nizde herhangi bir "dosya" bulma fırsatını kaybedersiniz. Daha kesin olmak gerekirse, Petya "çalıştıktan" sonra, bilgisayarınızın sabit diski bir kasırgadan sonra her yerde kitap parçaları uçuşan bir kütüphaneye benzeyecektir.

Böylece, Wanna Cry'den farklı olarak Petya.A, tek tek dosyaları şifrelemez, etkileyici bir zaman kaybı sağlar - onları bulmak için her şansınızı ortadan kaldırır.

Petya virüsünü kim yarattı?

Petya, virüsü oluştururken Windows işletim sisteminde "EternalBlue" adlı bir açık ("delik") kullandı. Microsoft bir yama yayınladı kb4012598(Daha önce yayınlanan WannaCry eğitimlerinden, bu açığı "kapatan" bu güncellemeden zaten bahsetmiştik.

"Petya" nın yaratıcısı, kurumsal ve özel kullanıcıların dikkatsizliğinden akıllıca yararlanarak para kazanmayı başardı. Kimliği hala bilinmiyor (ve bilinmesi pek mümkün değil)

Petya virüsü nasıl kaldırılır?

Petya.A virüsü sabit diskinizden nasıl kaldırılır? Bu son derece ilginç bir soru. Gerçek şu ki, virüs verilerinizi zaten engellediyse, aslında silinecek hiçbir şey olmayacaktır. Fidye yazılımını ödemeyi planlamıyorsanız (ki bunu yapmamalısınız) ve gelecekte diskteki verileri kurtarmaya çalışmayacaksanız, diski biçimlendirmeniz ve işletim sistemini yeniden yüklemeniz yeterlidir. Bundan sonra virüsten eser kalmayacak.

Diskinizde virüslü bir dosya olduğundan şüpheleniyorsanız, diskinizi ESET Nod 32 antivirüs ile tarayın ve tam sistem taraması yapın. NOD 32, imza veritabanının zaten bu virüs hakkında bilgi içerdiğini garanti etti.

Dekoder Petya.A

Petya.A, verilerinizi çok güçlü bir şifreleme algoritması ile şifreler. Şu anda, kilitli bilgilerin şifresini çözmek için bir çözüm yok.

Şüphesiz hepimiz mucizevi şifre çözücü Petya.A'ya sahip olmayı hayal ederdik, ancak böyle bir çözüm yok. WannaCry virüsü birkaç ay önce dünyayı vurdu, ancak şifrelediği verilerin şifresini çözecek bir tedavi bulunamadı.

Tek seçenek, daha önce dosyaların gölge kopyalarına sahip olmanızdır.

Bu nedenle, henüz Petya.A virüsünün kurbanı olmadıysanız - işletim sisteminizi güncelleyin, ESET NOD 32'den bir antivirüs yükleyin. Verilerinizin kontrolünü hala kaybettiyseniz, birkaç yolunuz vardır.

Parayı öde. Bunu yapmanın bir anlamı yok! Uzmanlar, şifreleme yöntemi göz önüne alındığında, virüsün yaratıcısının verileri geri yüklemediğini ve kurtaramayacağını zaten öğrendiler.

Virüsü bilgisayarınızdan kaldırmayı deneyin ve kullanarak dosyalarınızı geri yüklemeyi deneyin. gölge kopya(virüs onlara bulaşmaz)

Sabit sürücüyü cihazınızdan çıkarın, dikkatlice kabine koyun ve kod çözücünün görünmesini bekleyin.

Diski biçimlendirme ve işletim sistemini yükleme. Eksi - tüm veriler kaybolacak.

Petya.A ve Android, iOS, Mac, Linux

Pek çok kullanıcı endişeli - “ancak Petya virüsünün Android ve iOS çalıştıran cihazlarına bulaşıp bulaşamayacağı. Onları sakinleştirmek için acele edeceğim - hayır, olamaz. Yalnızca Windows kullanıcıları için tasarlanmıştır. Aynı şey Linux ve Mac hayranları için de geçerli - rahatça uyuyabilirsiniz, hiçbir şey sizi tehdit etmez.

Bir dizi Rus ve Ukraynalı şirket, Petya fidye yazılımı virüsü tarafından saldırıya uğradı. Sitenin ağ sürümü, AGIMA etkileşimli ajansı Kaspersky Lab'den uzmanlarla konuştu ve kurumsal bilgisayarların virüsten nasıl korunacağını ve Petya'nın aynı derecede iyi bilinen WannaCry fidye yazılımı virüsüne nasıl benzediğini öğrendi.

Petya virüsü

Rusya'da Rosneft, Bashneft, Mars, Nivea şirketleri ve çikolata üreticisi Alpen Gold Mondelez International. Çernobil nükleer santralinin bir fidye yazılımı virüsü radyasyon izleme sistemi. Ayrıca saldırı, Ukrayna hükümeti, Privatbank ve telekom operatörlerinin bilgisayarlarını da etkiledi. Virüs bilgisayarları engelliyor ve bitcoin olarak 300 dolarlık bir fidye talep ediyor.

Twitter'daki bir mikroblogda, Rosneft'in basın servisi, şirketin sunucularına yönelik bir hacker saldırısından bahsetti. Mesajda, "Şirketin sunucularına güçlü bir hacker saldırısı gerçekleştirildi. Bunun mevcut adli prosedürlerle bir ilgisi olmadığını umuyoruz. Aslında şirket siber saldırıyla ilgili olarak kolluk kuvvetlerine başvurdu" diyor.

Şirketin basın sekreteri Mikhail Leontyev'e göre, Rosneft ve yan kuruluşları normal şekilde çalışıyor. Saldırının ardından şirket, yedek sistemüretim süreçlerinin yönetimi, böylece petrol üretimi ve arıtımı durdurulmaz. Ev Kredisi banka sistemi de saldırıya uğradı.

"Petya", "Misha" olmadan bulaşmaz

Buna göre AGIMA İcra Direktörü Evgeny Lobanova, aslında saldırı iki fidye yazılımı virüsü tarafından gerçekleştirildi: Petya ve Misha.

"Birlikte çalışıyorlar. Petya, Misha olmadan bulaşmaz. Bulaşabilir, ancak dünkü saldırı iki virüstü: önce Petya, sonra Misha. Petya, önyükleme aygıtını (bilgisayarın önyükleme yaptığı yer) yeniden yazar ve Misha - dosyaları buna göre şifreler. belirli bir algoritma, - uzman açıkladı. - Petya, diskin önyükleme sektörünü (MBR) şifreler ve kendi ile değiştirir, Misha zaten diskteki tüm dosyaları şifreler (her zaman değil). "

Bu yıl Mayıs ayında büyük küresel şirketlere saldıran WannaCry fidye yazılımı virüsünün Petya'ya benzemediğini, bunun yeni bir versiyon olduğunu kaydetti.

"Petya.A, WannaCry ailesindendir (veya daha doğrusu WannaCrypt), ancak asıl fark, neden aynı virüs olmadığıdır, MBR'nin yerini kendi önyükleme sektörü ile değiştirmiştir - bu, Fidye Yazılımı için bir yeniliktir. Petya virüs uzun zaman önce ortaya çıktı, GitHab'da (BT projeleri ve ortak programlama için çevrimiçi bir hizmet - site) https://github.com/leo-stone/hack-petya "target =" _blank "> bunun için bir şifre çözücü vardı şifreleyici, ancak yeni değişiklik için hiçbir şifre çözücü uygun değil.

Yevgeny Lobanov, saldırının Ukrayna'yı Rusya'dan daha sert vurduğunu vurguladı.

"Diğer Batılı ülkelere göre saldırılara karşı daha duyarlıyız. Virüsün bu versiyonundan korunacağız, ancak değişikliklerinden korunmayacağız. İnternetimiz güvensiz, Ukrayna'da daha da az. Temel olarak nakliye şirketleri, bankalar, mobil operatörler(Vodafone, Kievstar) ve tıp şirketleri, aynı Farmmag, Shell benzin istasyonları - hepsi çok büyük kıtalararası şirketler, "dedi.

AGIMA'nın genel müdürü, şimdiye kadar virüsün dağıtıcısının coğrafi konumunu gösterecek hiçbir gerçek olmadığını kaydetti. Ona göre, virüs muhtemelen Rusya'da ortaya çıktı. Ne yazık ki, bunun doğrudan bir kanıtı yoktur.

"İlk değişiklik Rusya'da ortaya çıktığından ve kimsenin sırrı olmayan virüsün kendisinin adının Petro Poroshenko'dan gelmesinden bu yana bunların bizim bilgisayar korsanlarımız olduğuna dair bir varsayım var. Bu, Rus bilgisayar korsanlarının bir gelişimiydi, ancak onu daha da değiştiren Rusya'da bile, örneğin Amerika Birleşik Devletleri'nde coğrafi konumu olan bir bilgisayarı ele geçirmenin kolay olduğunu söylemek zor, "diye açıkladı uzman.

"Bilgisayarınıza aniden virüs bulaşırsa bilgisayarı kapatamazsınız. Yeniden başlatırsanız sisteme bir daha asla giremezsiniz."

"Bir bilgisayara aniden virüs bulaşırsa, bilgisayarı kapatamazsınız, çünkü Petya virüsü, işletim sisteminin yüklendiği ilk önyükleme sektörü olan MBR'nin yerini alır. Yeniden başlatırsanız, sisteme bir daha asla giremezsiniz. Bu kesiliyor. kaçış yolları, görünse bile." tablet "verileri iade etmek imkansız olacak. Ardından, bilgisayarın çevrimiçi olmaması için hemen İnternet bağlantısını kesmeniz gerekir. Microsoft'tan resmi bir yama zaten yayınlandı, yüzde 98 güvenlik garantisi sağlıyor. Ne yazık ki, henüz yüzde 100 değil. Virüsün belirli bir modifikasyonunu (üç parçasını), şimdiye kadar atlıyor, "Lobanov tavsiye etti. - Bununla birlikte, yine de yeniden başlattıysanız ve "diski kontrol et" işleminin başladığını gördüyseniz, şu anda bilgisayarınızı hemen kapatmanız gerekir ve dosyalar şifrelenmemiş kalacaktır ..

Ayrıca uzman, saldırıların çoğunun neden saldırılara maruz kaldığını da anlattı. Microsoft kullanıcıları MacOSX (Apple'ın işletim sistemi - sitesi) ve Unix sistemleri yerine.

"Burada sadece MacOSX'ten değil, tüm unix sistemlerinden bahsetmek daha doğru olur (ilke aynıdır). Virüs sadece bilgisayarlara yayılıyor, virüs olmadan. mobil cihazlar... Saldırı, Windows işletim sistemini etkiler ve yalnızca işlevi devre dışı bırakan kullanıcıları tehdit eder. otomatik güncelleme sistemler. Eski sahipler için bile olağanüstü güncellemeler mevcuttur Windows sürümleri artık güncellenmeyenler: XP, Windows 8 ve Windows Server 2003 ", - dedi uzman.

"MacOSX ve Unix küresel olarak bu tür virüslere maruz kalmıyor, çünkü birçok büyük şirket Microsoft altyapısını kullanıyor. MacOSX, devlet kurumlarında çok yaygın olmadığı için hassas değil. Microsoft'a saldırın, "dedi uzman.

"Saldırıya uğrayan kullanıcı sayısı iki bine ulaştı"

Kaspersky Lab basın servisinde Uzmanları en son enfeksiyon dalgasını araştırmaya devam eden , "bu fidye yazılımı, birçok ortak kod satırına sahip olmasına rağmen, zaten iyi bilinen Petya fidye yazılımı ailesine ait değil" dedi.

Laboratuvar, bu durumda yeni bir kötü niyetli aileden bahsettiğimizden emin. yazılım Petya'dan önemli ölçüde farklı işlevselliğe sahip. Kaspersky Lab, yeni fidye yazılımına ExPetr adını verdi.

"Kaspersky Lab'e göre saldırıya uğrayan kullanıcı sayısı iki bine ulaştı. Olayların çoğu Rusya ve Ukrayna'da kaydedildi ve enfeksiyon vakaları Polonya, İtalya, İngiltere, Almanya, Fransa, Amerika Birleşik Devletleri'nde gözlemlendi. ve bir dizi başka ülke Şu anda uzmanlarımız, kötü amaçlı yazılımın birkaç saldırı vektörü kullandığını öne sürüyor. kurumsal ağlar değiştirilmiş EternalBlue istismarı ve EternalRomance istismarı kullanıldı, "dedi.

Uzmanlar ayrıca verilerin şifresini çözmek için kullanılabilecek bir kod çözücü aracı oluşturma olasılığını da araştırıyorlar. Laboratuvar ayrıca gelecekte bir virüs saldırısından kaçınmak için tüm kuruluşlara önerilerde bulundu.

"Kuruluşların Windows güncellemelerini yüklemelerini öneririz. Windows XP ve Windows 7 güvenlik güncellemesi MS17-010'u yüklemeli ve etkin bir yedekleme sistemine sahip olmalarını sağlamalıdır. Zamanında ve güvenli veri yedeklemeleri, kötü amaçlı yazılım tarafından şifrelenmiş olsalar bile orijinal dosyaları geri yükleyebilir." Kaspersky Lab uzmanları tavsiye etti.

Laboratuvar ayrıca kurumsal müşterilerine tüm koruma mekanizmalarının etkinleştirildiğinden emin olmalarını, özellikle de bulut altyapısı Kaspersky Güvenlik Ağ, ek bir önlem olarak, tüm uygulama gruplarının "perfc.dat" vb. adlı bir dosyaya erişmesini (ve dolayısıyla yürütmesini) engellemek için Uygulama Ayrıcalığı Denetimi bileşeninin kullanılması önerilir.

"Kaspersky Lab ürünlerini kullanmıyorsanız, işletim sisteminde bulunan AppLocker işlevini kullanarak (işletim sistemi - web sitesi) Sysinternals paketinden PSExec yardımcı programının başlatılmasını engellemenin yanı sıra perfc.dat adlı dosyanın yürütülmesini engellemenizi öneririz. ) Pencereler", laboratuvarda önerilir.

12 Mayıs 2017 birçok - veri şifreleyici açık sabit sürücüler bilgisayarlar. Cihazı kilitler ve fidyeyi ödemeyi talep eder.
Virüs, Sağlık Bakanlığı, Acil Durumlar Bakanlığı, İçişleri Bakanlığı, sunucuların saldırıya uğradığı Rusya da dahil olmak üzere dünya genelinde onlarca ülkede kurum ve departmanları etkiledi. hücresel operatörler ve birkaç büyük banka.

Virüsün yayılması yanlışlıkla ve geçici olarak durduruldu: Bilgisayar korsanları yalnızca birkaç satır kod değiştirirse, kötü amaçlı yazılım yeniden çalışmaya başlar. Programdan kaynaklanan hasarın 1 milyar dolar olduğu tahmin ediliyor. Dilbilimsel bir adli analizden sonra uzmanlar, WannaCry'nin Çin veya Singapur'dan gelen göçmenler tarafından oluşturulduğunu buldu.