Het Petya-virus is een andere ransomware die gebruikersbestanden blokkeert. Deze ransomware kan zeer gevaarlijk zijn en elke pc infecteren, maar het belangrijkste doelwit zijn bedrijfscomputers.

Dit wordt besproken op de website Bedynet.ru

Deze malware dringt de computers van het slachtoffer binnen en voert zijn activiteiten heimelijk uit, waardoor de computer mogelijk gevaar loopt. Petya codeert bestanden met RSA-4096- en AES-256-algoritmen en wordt zelfs voor militaire doeleinden gebruikt. Een dergelijke code kan niet worden gedecodeerd zonder een privésleutel. Dit is vergelijkbaar met andere ransomware zoals het Locky-virus, het CryptoWall-virus en CryptoLocker privé sleutel op sommige opgeslagen externe server, waartoe toegang alleen mogelijk is door losgeld te betalen aan de maker van het virus.

In tegenstelling tot andere ransomware wordt uw computer onmiddellijk opnieuw opgestart zodra dit virus actief is, en wanneer het opnieuw opstart, verschijnt er een bericht op het scherm: "ZET UW PC NIET UIT! ALS U DIT PROCES STOPT, KAN U AL UW GEGEVENS VERNIETIGEN! "ZORG ERVOOR DAT UW COMPUTER IS AANGESLOTEN OP DE OPLADER!"

Ook al lijkt het er misschien op systeemfout, eigenlijk, binnen op dit moment Petya voert stilletjes encryptie uit verborgen modus. Als de gebruiker probeert het systeem opnieuw op te starten of de bestandscodering te stoppen, verschijnt er een knipperend rood skelet op het scherm, samen met de tekst 'Druk op een willekeurige toets'.

Ten slotte verschijnt er na het indrukken van de toets een nieuw venster met een losgeldbrief. In dit briefje wordt het slachtoffer gevraagd 0,9 bitcoins te betalen, wat ongeveer $400 is. Deze prijs geldt echter slechts voor één computer; Voor bedrijven met veel computers kan het bedrag daarom in de duizenden lopen. Wat deze ransomware ook onderscheidt, is dat u een volledige week de tijd krijgt om het losgeld te betalen, in plaats van de gebruikelijke 12-72 uur die andere virussen in deze categorie geven.

Bovendien houden de problemen met Petya daar niet op. Zodra dit virus het systeem binnendringt, zal het proberen het te overschrijven opstartbestanden Windows, of de zogenaamde opstartopnamewizard die nodig is om op te starten besturingssysteem. U kunt het Petya-virus niet van uw computer verwijderen, tenzij u de Master Boot Recorder (MBR)-instellingen herstelt. Zelfs als u erin slaagt deze instellingen te corrigeren en het virus van uw systeem te verwijderen, blijven uw bestanden helaas gecodeerd omdat het verwijderen van virussen de bestanden niet decodeert, maar eenvoudigweg de besmettelijke bestanden verwijdert. Natuurlijk heeft het verwijderen van virussen dat ook gedaan belangrijk als u uw computer wilt blijven gebruiken. We raden u aan betrouwbare antivirusprogramma's zoals Reimage te gebruiken om de verwijdering van Petya te regelen.

Hoe verspreidt dit virus zich en hoe kan het een computer binnendringen?

Het Petya-virus verspreidt zich meestal via spamberichten e-mail, die Dropbox-downloadlinks bevatten voor een bestand met de naam "application folder-gepackt.exe" dat eraan is toegevoegd. Het virus wordt geactiveerd wanneer het wordt gedownload en geopend specifiek bestand. Omdat u al weet hoe dit virus zich verspreidt, zou u enkele ideeën moeten hebben over hoe u uw computer kunt beschermen virus aanval. Natuurlijk moet je voorzichtig zijn bij het openen elektronische bestanden, die worden verzonden door verdachte gebruikers en onbekende bronnen, die informatie vertegenwoordigt die niet is wat u verwacht.

Vermijd ook e-mails die in de categorie 'spam' vallen, aangezien de meeste e-mailserviceproviders e-mails automatisch filteren en in de juiste mappen plaatsen. U moet deze filters echter niet vertrouwen, omdat potentiële bedreigingen er doorheen kunnen glippen. Zorg er ook voor dat uw systeem is voorzien van een betrouwbaar antivirusprogramma. Tenslotte is het altijd aan te raden om te bewaren back-ups op sommige externe schijf, in geval van gevaarlijke situaties.

Hoe kan ik het Petya-virus van mijn pc verwijderen?

U kunt Petya niet van uw computer verwijderen met een eenvoudige deïnstallatieprocedure, omdat dit hier niet zal werken malware. Dit betekent dat u dit virus automatisch moet verwijderen. Automatische verwijdering Het Petya-virus moet worden uitgevoerd met behulp van een betrouwbare antivirusmiddel, waarmee dit virus van uw computer wordt gedetecteerd en verwijderd. Als u echter problemen ondervindt bij het verwijderen, bijvoorbeeld omdat dit virus uw antivirusprogramma blokkeert, kunt u altijd de verwijderingsinstructies raadplegen.

Stap 1: Start uw computer opnieuw op Veilige modus met netwerken

Windows 7/Vista/XP Klik op Start → Afsluiten → Opnieuw opstarten → OK.

Selecteer Veilige modus met netwerkmogelijkheden in de lijst

Windows 10 / Windows 8 Klik in het Windows-inlogvenster op Aan/uit-knop. Houd vervolgens ingedrukt Shift-toets en klik op Opnieuw opstarten..
Selecteer nu Problemen oplossen → Geavanceerde opties → Opstartinstellingen en klik op Opnieuw opstarten.
Wanneer uw computer actief wordt, selecteert u in het venster Opstartinstellingen Veilige modus met netwerkmogelijkheden inschakelen.

Stap 2: Verwijder Petya
Log in met uw geïnfecteerde account en start uw browser. Download Reimage of een ander betrouwbaar antispywareprogramma. Werk het bij voordat u het scant en verwijder het kwaadaardige bestanden gerelateerd aan de ransomware en voltooi de verwijdering van Petya.

Als ransomware de Veilige modus met netwerkmogelijkheden blokkeert, probeer dan de volgende methode.

Stap 1: Start uw computer opnieuw op voor de veilige modus met opdrachtprompt

Windows 7/Vista/XP
Klik op Start → Afsluiten → Opnieuw opstarten → OK.
Zodra uw computer actief is, drukt u meerdere keren op F8 totdat het venster Geavanceerde opstartopties verschijnt.
Selecteer Opdrachtprompt in de lijst

Typ nu rstrui.exe en druk nogmaals op Enter.

Wanneer een nieuw venster verschijnt, klikt u op Volgende en selecteert u uw vorige herstelpunt. Petya-infectie. Klik daarna op Volgende. In het venster "Systeemherstel" dat verschijnt, selecteert u "Volgende"

Selecteer uw herstelpunt en klik op "Volgende"
Klik nu op Ja om het systeemherstel te starten. Klik op "Ja" en begin met Systeemherstel. Zodra u uw systeem naar een eerdere datum hebt hersteld, start u uw computer op en scant u deze om er zeker van te zijn dat de verwijdering succesvol is geweest.

"Je hoeft geen geld te betalen." InAU verklaard.

(Petya.A), en gaf een aantal tips.

Volgens de SBU vond de infectie van besturingssystemen voornamelijk plaats door het openen ervan kwaadaardige toepassingen (Word-documenten, PDF-bestanden) die zijn verzonden naar e-mailadressen veel commerciële en overheidsinstellingen.

“De aanval, waarvan het voornaamste doel was om de Petya.A-bestandsencryptor te verspreiden, werd gebruikt kwetsbaarheid van het netwerk MS17-010, waardoor een reeks scripts op de geïnfecteerde machine werd geïnstalleerd, die door de aanvallers werden gebruikt om de genoemde bestandsencryptor te starten”, aldus de SBU.

Het virus valt computers aan waarop het besturingssysteem draait Ramen door codeert de bestanden van de gebruiker, waarna het een bericht weergeeft over bestandsconversie met een voorstel om voor de decoderingssleutel in bitcoins te betalen ter waarde van $ 300 om de gegevens te ontgrendelen.

“Helaas kunnen gecodeerde gegevens niet worden gedecodeerd. Er wordt verder gewerkt aan de mogelijkheid om gecodeerde gegevens te ontsleutelen”, aldus de SBU.

Wat u moet doen om uzelf tegen het virus te beschermen

1. Als de computer is ingeschakeld en normaal werkt, maar u vermoedt dat deze geïnfecteerd is, start deze dan in geen geval opnieuw op (als de pc al beschadigd is, start deze dan ook niet opnieuw op) - het virus wordt geactiveerd bij het opnieuw opstarten en codeert alle bestanden op de computer.

2. Bewaar de meest waardevolle bestanden op een aparte schijf die niet op de computer is aangesloten, en maak idealiter een reservekopie samen met het besturingssysteem.

3. Om de bestandsencryptor te identificeren, moet u alle lokale taken voltooien en controleren volgende bestand: C:/Windows/perfc.dat

4. Installeer de patch, afhankelijk van de Windows OS-versie.

5. Zorg ervoor dat iedereen computersystemen Er is antivirussoftware geïnstalleerd die naar behoren functioneert en gebruik maakt van up-to-date databases met viruskenmerken. Installeer en update indien nodig de antivirus.

6. Om het risico op infectie te verminderen, moet u ze allemaal zorgvuldig behandelen elektronische correspondentie, download of open geen bijlagen in brieven die door onbekende mensen zijn verzonden. Als u een brief ontvangt van een bekend verdacht adres, neem dan contact op met de afzender en bevestig dat de brief is verzonden.

7. Maak back-ups van alle kritieke gegevens.

Breng het naar medewerkers van structurele divisies de opgegeven informatie, sta niet toe dat werknemers werken met computers waarop de gespecificeerde patches niet zijn geïnstalleerd, ongeacht of deze zijn verbonden met het lokale gebied of met internet.

Het is mogelijk om te proberen de toegang te herstellen tot een Windows-computer die is geblokkeerd door een specifiek virus.

Omdat de opgegeven malware wijzigingen aanbrengt in de MBR-records, krijgt de gebruiker in plaats van het besturingssysteem te laden een venster te zien met tekst over bestandsversleuteling. Dit probleem kan worden opgelost door te herstellen MBR-records. Hiervoor zijn er speciale nutsvoorzieningen. De SBU gebruikte hiervoor het hulpprogramma Boot-Repair (instructies via de link).

B). Voer het uit en zorg ervoor dat alle vakjes in het venster “Te verzamelen artefacten” zijn aangevinkt.

C). Op het tabblad “Eset-logboekverzamelingsmodus” stelt u Initial in binaire code schijf.

D). Klik op de knop Verzamelen.

e). Stuur een archief met logboeken.

Als de getroffen pc is ingeschakeld en nog niet is uitgeschakeld, gaat u verder met

stap 3 om informatie te verzamelen die helpt bij het schrijven van een decoder,

punt 4 voor de behandeling van het systeem.

Vanaf een pc die al getroffen is (deze start niet op), moet u de MBR verzamelen voor verdere analyse.

Je kunt hem monteren volgens de volgende instructies:

A). Download ESET SysRescue Live CD of USB (het maken wordt beschreven in stap 3)

B). Ga akkoord met de gebruikslicentie

C). Druk op CTRL + ALT + T (terminal wordt geopend)

D). Schrijf het commando “parted -l“ zonder aanhalingstekens, de parameter is een kleine letter “L“ en druk op

e). Bekijk de lijst met schijven en identificeer de getroffen pc (moet een van de volgende zijn: /dev/sda)

F). Schrijf het commando “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ zonder aanhalingstekens, in plaats van “/dev/sda“, gebruik de schijf die u in de vorige stap hebt gedefinieerd en klik op (Bestand/home/eset/petya.img wordt gemaakt)

G). Sluit het USB-flashstation aan en kopieer het bestand /home/eset/petya.img

H). U kunt uw computer uitschakelen.

Zie ook - Omelyan over bescherming tegen cyberaanvallen

Omelyan over bescherming tegen cyberaanvallen

De afdeling Cyberpolitie van de Nationale Politie van Oekraïne heeft aanbevelingen gepubliceerd voor het herstellen van de toegang tot computers die hierdoor beschadigd zijn geraakt.

Tijdens een gedetailleerd onderzoek naar de malware identificeerden onderzoekers drie hoofdscenario’s voor de impact ervan (wanneer uitgevoerd als beheerder):

Het systeem is volledig gecompromitteerd. Voor gegevensherstel is een privésleutel vereist en bij het opstarten verschijnt er een venster op het scherm waarin u wordt gevraagd losgeld te betalen om de decoderingssleutel te verkrijgen.

De computers zijn geïnfecteerd, gedeeltelijk versleuteld, het systeem is begonnen met het versleutelingsproces, maar externe factoren(stroomstoring, enz.) heeft het coderingsproces gestopt.

De computers zijn geïnfecteerd, maar het proces van het coderen van de MFT-tabel is nog niet begonnen.

Het herstellen van de toegang is alleen mogelijk in de laatste twee gevallen effectieve manier Helaas is er nog geen sprake van herstel van volledig gecompromitteerde systemen. Specialisten van de Cyberpolitie, de Veiligheidsdienst van Oekraïne, de State Special Communications Service van Oekraïne en binnenlandse en internationale IT-bedrijven zijn er nu actief naar op zoek.

De onderzoekers identificeerden twee hoofdfasen in de werking van de gemodificeerde Trojaans paard"Petya":

Ten eerste: het verkrijgen van bevoorrechte rechten (beheerdersrechten). Op veel computers in Windows-architectuur ( Actieve map) deze rechten zijn uitgeschakeld. Het virus bewaart de oorspronkelijke opstartsector voor het besturingssysteem (MBR) in een gecodeerde vorm van een bitsgewijze XOR-bewerking (xor 0x7), en vervangt vervolgens de bovenstaande sector door een aangepaste bootloader, de rest van de Trojaanse code wordt naar de eerste geschreven. sectoren van de schijf. In dit stadium wordt het gemaakt tekstbestand over encryptie, maar de gegevens zijn nog niet daadwerkelijk versleuteld.

Ten tweede: na het opnieuw opstarten begint de tweede fase van de werking van het virus: gegevensversleuteling, het gaat nu over naar de configuratiesector, die een opmerking bevat dat de gegevens nog niet zijn gecodeerd en moeten worden gecodeerd. Hierna begint het coderingsproces, dat op werk lijkt Programma's controleren Schijf.

Als bij het laden vanuit de installatie Windows-schijf een tafel met delen van harde schijf, dan kunt u beginnen met de procedure voor het herstellen van de MBR-opstartsector. Het wordt als volgt uitgevoerd:

Voor Windows XP-besturingssysteem:

Na het downloaden installatie schijf Windows XP RAM PC-dialoogvenster verschijnt " Windows-installatie XP Professional" met een selectiemenu, moet u de optie selecteren "om Windows XP te herstellen met behulp van de herstelconsole, druk op R." . Druk op "R".

De herstelconsole wordt geladen.

Als op de pc één besturingssysteem is geïnstalleerd en dit (standaard) op de C-schijf is geïnstalleerd, verschijnt het volgende bericht:

"1: C:\WINDOWS Welke exemplaar van Windows moet je inloggen?

Typ de "1"-toets en druk op de "Enter"-toets.

Er verschijnt een bericht: “Voer uw beheerderswachtwoord in.” Voer uw wachtwoord in, druk op "Enter" (als er geen wachtwoord is, drukt u gewoon op "Enter").

U zou moeten worden gevraagd: C:\WINDOWS> voer fixmbr in

Vervolgens verschijnt de melding “WAARSCHUWING”.

“Bevestigt u dat u de nieuwe MBR wilt schrijven?”, Druk op de “Y”-toets.

Er verschijnt een bericht: “Er wordt een nieuwe primaire aangemaakt. opstartsector op fysieke schijf\Apparaat\Harde schijf0\Partitie0."

"De nieuwe primaire opstartsector is met succes aangemaakt."

Voor Windows Vista:

Windows Vista downloaden. Selecteer uw taal en toetsenbordindeling. Klik in het welkomstscherm op 'Uw computer herstellen'. Windows Vista zal het computermenu bewerken.

Selecteer uw besturingssysteem en klik op Volgende.

Wanneer het venster Systeemherstelopties verschijnt, klikt u op Opdrachtprompt.

Wanneer zal het verschijnen opdrachtregel, voer deze opdracht in:

bootrec/FixMbr

Voor Windows 7

Windows 7 downloaden.

Selecteer een taal.

Selecteer uw toetsenbordindeling.

Selecteer uw besturingssysteem en klik op Volgende. Wanneer u een besturingssysteem kiest, moet u het vakje 'Gebruik herstelhulpmiddelen waarmee u problemen kunt oplossen' aanvinken Windows starten».

Klik in het scherm Opties voor systeemherstel op de knop Opdrachtprompt in het scherm Opties voor systeemherstel van Windows 7

Wanneer de opdrachtprompt succesvol opstart, voert u de opdracht in:

bootrec/fixmbr

Wacht tot de bewerking is voltooid. Als alles succesvol is, verschijnt er een bevestigingsbericht op het scherm.

Druk op de Enter-toets en start uw computer opnieuw op.

Voor Windows 8

Windows 8 downloaden.

Klik in het welkomstscherm op de knop Uw computer herstellen.

Selecteer Problemen oplossen.

Selecteer opdrachtregel..

Wanneer de opdrachtprompt wordt geladen, voert u de volgende opdrachten in:

bootrec/FixMbr

Wacht tot de bewerking is voltooid. Als alles succesvol is, verschijnt er een bevestigingsbericht op het scherm.

Druk op de Enter-toets en start uw computer opnieuw op.

Voor Windows 10

Windows-10 downloaden.

Klik in het welkomstscherm op de knop "Uw computer repareren".

Selecteer "Problemen oplossen"

Selecteer Opdrachtprompt.

Wanneer de opdrachtprompt wordt geladen, voert u de opdracht in:

bootrec/FixMbr

Wacht tot de bewerking is voltooid. Als alles succesvol is, verschijnt er een bevestigingsbericht op het scherm.

Druk op de Enter-toets en start uw computer opnieuw op.

Na de procedure MBR-herstel onderzoekers raden aan de schijf te controleren antivirusprogramma's op de aanwezigheid van geïnfecteerde bestanden. Er wordt ook opgemerkt dat er behalve de door M.E.doc-gebruikers verstrekte registratiegegevens geen andere informatie werd verzonden.

Een paar dagen geleden verscheen er een artikel in onze bron over hoe u uzelf kunt beschermen tegen het virus en zijn varianten. In dezelfde instructies bekijken we het worstcasescenario: uw pc is geïnfecteerd. Uiteraard probeert elke gebruiker na herstel zijn gegevens te herstellen en persoonlijke informatie. Dit artikel bespreekt de handigste en meest effectieve methoden voor gegevensherstel. Houd er rekening mee dat dit niet altijd mogelijk is en daarom geven wij geen enkele garantie.

We zullen drie hoofdscenario’s bekijken waarin gebeurtenissen zich kunnen ontwikkelen:
1. De computer is geïnfecteerd met het Petya.A-virus (of varianten ervan) en is gecodeerd, het systeem is volledig geblokkeerd. Om gegevens te herstellen, moet u invoeren speciale sleutel, waarvoor u moet betalen. Het is de moeite waard om meteen te zeggen dat zelfs als u betaalt, dit de blokkering niet opheft en u geen toegang meer geeft tot uw pc.

2. Een optie die de gebruiker meer opties biedt verdere acties- uw computer is geïnfecteerd en het virus begon uw gegevens te versleutelen, maar de versleuteling werd gestopt (bijvoorbeeld door de stroom uit te schakelen).

3. De laatste optie is de meest gunstige. Uw computer is geïnfecteerd, maar versleuteld bestandssysteem is nog niet begonnen.

Als u situatie nummer 1 heeft, dat wil zeggen, zijn al uw gegevens gecodeerd in dit stadium Er is geen effectieve manier om gebruikersinformatie te herstellen. Het is waarschijnlijk dat deze methode over een paar dagen of weken zal verschijnen, maar voorlopig zijn er experts bij iedereen op het gebied van informatie en computerbeveiliging krabben zich hierover het hoofd.

Als het coderingsproces niet is gestart of niet volledig is voltooid, moet de gebruiker dit onmiddellijk onderbreken (de codering wordt weergegeven als systeem proces Controleer schijf). Als het u is gelukt het besturingssysteem te laden, moet u er onmiddellijk een installeren moderne antivirussoftware(ze herkennen momenteel allemaal Petya en maken volledige controle alle schijven. Als Windows niet opstart, zal de eigenaar van de geïnfecteerde machine de systeemschijf of flashdrive moeten gebruiken om de MBR-opstartsector te herstellen.

De bootloader herstellen op Windows XP

Na het downloaden systeem schijf vanuit de operatiekamer Windows-systeem XP, je hebt actiemogelijkheden. In het venster "Windows XP Professional installeren" selecteert u "Om Windows XP te herstellen met behulp van de herstelconsole, drukt u op R." Dat is logisch, je zult op R op het toetsenbord moeten drukken. Een console voor het herstellen van de partitie en er zou een bericht voor je moeten verschijnen:

""1:C:\WINDOWS Bij welk exemplaar van Windows moet ik inloggen?""

Als je er een hebt geïnstalleerd Windows-versie XP, voer vervolgens "1" in via het toetsenbord en druk op Enter. Als u meerdere systemen heeft, moet u degene selecteren die u nodig heeft. U ziet een bericht waarin om het beheerderswachtwoord wordt gevraagd. Als er geen wachtwoord is, drukt u eenvoudig op Enter en laat u het veld leeg. Hierna verschijnt er een regel op het scherm, voer het woord " in fixmbr"

Het volgende bericht zou moeten verschijnen: “WAARSCHUWING! Bevestigt u de invoer van de nieuwe MBR?”, drukt u op de “Y”-toets op het toetsenbord.
Het antwoord zal verschijnen: “Er wordt een nieuwe primaire opstartsector gemaakt op de fysieke schijf...”
"Nieuw hoofd opstartpartitie succesvol aangemaakt.”

De bootloader herstellen op Windows Vista

Plaats een schijf of flashstation met het besturingssysteem Windows Vista. Vervolgens moet u de regel 'Herstel uw computer' selecteren. Selecteer welk Windows Vista-besturingssysteem (als u er meer dan één heeft) u wilt herstellen. Wanneer het venster met herstelopties verschijnt, klikt u op Opdrachtprompt. Voer bij de opdrachtprompt de opdracht " bootrec/FixMbr".

De bootloader herstellen op Windows 7

Plaats een schijf of flashstation met het Windows 7-besturingssysteem. Selecteer welk Windows 7-besturingssysteem (als u er meerdere heeft) moet worden hersteld. Selecteer 'Gebruik herstelhulpmiddelen die kunnen helpen bij het oplossen van problemen bij het starten van Windows.' Selecteer vervolgens "Opdrachtregel". Nadat u de opdrachtregel hebt geladen, typt u " bootrec/fixmbr

De bootloader herstellen op Windows 8

Plaats een schijf of flashstation met het Windows 8-besturingssysteem en selecteer "Uw computer repareren" in de linkerbenedenhoek. Selecteer Problemen oplossen. Selecteer de opdrachtregel en voer tijdens het laden het volgende in: "bootrec/FixMbr" Als alles goed gaat, ziet u een overeenkomstig bericht en hoeft u alleen nog maar de computer opnieuw op te starten.

De bootloader herstellen op Windows 10

Plaats een schijf of flashstation met het Windows 10-besturingssysteem en selecteer 'Uw computer repareren' in de linkerbenedenhoek. Selecteer Problemen oplossen. Selecteer de opdrachtregel en voer tijdens het laden het volgende in: "bootrec/FixMbr" Als alles goed gaat, ziet u een overeenkomstig bericht en hoeft u alleen nog maar de computer opnieuw op te starten.

De Petya.A-virusaanval besloeg binnen enkele dagen tientallen landen en ontwikkelde zich tot epidemische proporties in Oekraïne, waar het rapportage- en documentbeheerprogramma M.E.Doc betrokken was bij de verspreiding van de malware. Later zeiden experts dat het doel van de aanvallers was volledige vernietiging gegevens, maar volgens de Oekraïense cyberpolitie bestaat er een kans om de bestanden te herstellen als het systeem gedeeltelijk is geïnfecteerd.

Hoe Petya werkt

Als een virus beheerdersrechten krijgt, identificeren onderzoekers drie hoofdscenario’s voor de impact ervan:

• De computer is geïnfecteerd en gecodeerd, het systeem is volledig gecompromitteerd. Om gegevens te herstellen is een privésleutel vereist en er wordt een bericht op het scherm weergegeven waarin de betaling van losgeld wordt geëist (hoewel dit wel het geval is).
• De computer is geïnfecteerd en gedeeltelijk gecodeerd. Het systeem begon bestanden te coderen, maar de gebruiker stopte dit proces door de stroom of op een andere manier uit te schakelen.
• De computer is geïnfecteerd, maar het coderingsproces van de MFT-tabel is nog niet begonnen.

In het eerste geval is er nog geen effectieve manier om de gegevens te ontsleutelen. Nu zijn specialisten van de cyberpolitie en IT-bedrijven naar hem op zoek maker van het originele Petya-virus(zodat u het systeem kunt herstellen met een sleutel). Als de hoofd-MFT-bestandstabel gedeeltelijk of helemaal niet wordt beïnvloed, bestaat er nog steeds een kans om toegang te krijgen tot de bestanden.

De cyberpolitie noemde twee hoofdfasen van het gemodificeerde Petya-virus:

Ten eerste: het verkrijgen van bevoorrechte beheerdersrechten (if met behulp van Actief Directory, ze zijn uitgeschakeld). Ten eerste bewaart het virus de oorspronkelijke opstartsector voor het besturingssysteem MBR-systemen in de gecodeerde vorm van een bit XOR-bewerking (xor 0x7), waarna het zijn bootloader op zijn plaats schrijft. De rest van de Trojaanse code wordt naar de eerste sectoren van de schijf geschreven. Op dit punt wordt een tekstbestand over encryptie aangemaakt, maar de gegevens zijn nog niet gecodeerd.

De tweede fase van gegevensversleuteling begint nadat het systeem opnieuw is opgestart. Petya heeft nu toegang tot zijn eigen configuratiesector, die een markering bevat over niet-gecodeerde gegevens. Hierna begint het coderingsproces en het scherm laat zien hoe het Check Disk-programma draait. Als het al actief is, moet u de stroom uitschakelen en de voorgestelde gegevensherstelmethode proberen.

Wat bieden ze?

Eerst moet u opstarten vanaf de Windows-installatieschijf. Als een tabel met partities zichtbaar is harde schijf(of SSD), kunt u beginnen met de herstelprocedure voor de MBR-opstartsector. Vervolgens moet u de schijf controleren op geïnfecteerde bestanden. Tegenwoordig wordt Petya herkend door alle populaire antivirussen.

Als het coderingsproces is gestart, maar de gebruiker erin is geslaagd dit te onderbreken, moet u dit na het laden van het besturingssysteem gebruiken software om gecodeerde bestanden te herstellen (R-Studio en anderen). De gegevens moeten worden opgeslagen in externe media en installeer het systeem opnieuw.

Hoe de bootloader te herstellen

Voor Windows XP-besturingssysteem:

Nadat u de installatieschijf van Windows XP in het RAM-geheugen van de pc hebt geladen, verschijnt het dialoogvenster "Windows XP Professional installeren" met een selectiemenu waarin u moet selecteren "om Windows XP te herstellen met behulp van de herstelconsole, druk op R." Druk op de "R"-TOETS.

De herstelconsole wordt geladen.

Als op de pc één besturingssysteem is geïnstalleerd en dit (standaard) op de C-schijf is geïnstalleerd, verschijnt het volgende bericht:

"1:C:\WINDOWS Bij welk exemplaar van Windows moet ik inloggen?"

Voer het nummer “1” in en druk op de “Enter”-toets.

Er verschijnt een bericht: “Voer uw beheerderswachtwoord in.” Voer uw wachtwoord in, druk op "Enter" (als er geen wachtwoord is, drukt u gewoon op "Enter").

U zou moeten worden gevraagd: C:\WINDOWS>, voer fixmbr in

Vervolgens verschijnt de melding “WAARSCHUWING”.

“Bevestigt u de invoer van de nieuwe MBR?”, druk op de “Y”-toets.

Er verschijnt een bericht: “Er wordt een nieuwe master-opstartsector gemaakt op de fysieke schijf \Device\Harddisk0\Partition0."

"De nieuwe master-opstartpartitie is met succes aangemaakt."

Voor Windows Vista:

Windows Vista downloaden. Selecteer uw taal en toetsenbordindeling. Klik in het welkomstscherm op 'Uw computer herstellen'. Windows Vista zal het computermenu bewerken.

Selecteer uw besturingssysteem en klik op Volgende. Wanneer het venster Systeemherstelopties verschijnt, klikt u op Opdrachtprompt. Wanneer de opdrachtprompt verschijnt, voert u deze opdracht in:

bootrec/FixMbr

Wacht tot de bewerking is voltooid. Als alles goed is gegaan, verschijnt er een bevestigingsbericht op het scherm.

Voor Windows 7:

Start Windows 7 op. Selecteer uw taal, toetsenbordindeling en klik op Volgende.

Selecteer uw besturingssysteem en klik op Volgende. Wanneer u een besturingssysteem kiest, moet u 'Gebruik herstelhulpmiddelen die kunnen helpen bij het oplossen van problemen bij het opstarten van Windows' aanvinken.

Klik in het scherm Systeemherstelopties op de opdrachtpromptknop. Wanneer de opdrachtprompt succesvol opstart, voert u de opdracht in:

bootrec/fixmbr

Druk op de Enter-toets en start uw computer opnieuw op.

Voor Windows 8:

Start Windows 8 op. Klik in het welkomstscherm op de knop Uw pc repareren.

Selecteer Problemen oplossen. Selecteer de opdrachtregel en voer tijdens het laden het volgende in:

bootrec/FixMbr

Wacht tot de bewerking is voltooid. Als alles goed is gegaan, verschijnt er een bevestigingsbericht op het scherm.

Druk op de Enter-toets en start uw computer opnieuw op.

Voor Windows 10:

Start Windows 10 op. Klik in het welkomstscherm op de knop "Uw pc repareren" en selecteer "Problemen oplossen".

Selecteer Opdrachtprompt. Wanneer de opdrachtprompt wordt geladen, voert u de opdracht in:

bootrec/FixMbr

Wacht tot de bewerking is voltooid. Als alles goed is gegaan, verschijnt er een bevestigingsbericht op het scherm.

Druk op de Enter-toets en start uw computer opnieuw op.