Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.
Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya
Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом
При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это
ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ
ВИРУСОМ PETYA
Вирус Petya выглядит вот так:
Как Уберечь Себя От Вируса Petya
Компания Symantec
предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc
файл perfc
или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc
файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc
в папку C:\Windows\
и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip
ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\
Что Делать Если Компьютер Уже Поражён Вирусом Petya
Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk
Кто Распространил Вирус Петя По Всей Украине
Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя
Заразил компьютер, то ему уже ничего не поможет. Точнее, файлам на жестком диске, которые невозможно восстановить. Но на самом деле и кибератаки можно избежать, и реанимировать компьютер сложно, но можно.
Для начала поговорим о мерах, которые позволят избежать . Как мы уже писали, #Petya это подобие WCry — вирус-вымогатель, который шифрует данные и просит $300 выкупа за их восстановление. Сразу отметим – платить НЕ ИМЕЕТ никакого смысла!
Как избежать вируса Петя А
— блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
— на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
— на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
— блокировка SMB и WMI-портов. В первую очередь 135, 445;
— после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! - это действительно важно.
— не открывайте подозрительные письма и особенно вложения в них;
— принудительно обновите базу антивируса и операционные системы.
Как восстановить файлы после вируса-шифровальщика
Следут отметить, что еще в 2016 году пользователю, который зарегистрирован в Twitter под ником Leostone, удалось взломать шифрование вредоносного вируса, о чем писал ресурс Bleepingcomputer.com .
В частности, он сумел создать генетический алгоритм, который может генерировать пароль, необходимый для дешифрования зашифрованного вирусом компьютера Petya.
Генетический алгоритм - это алгоритм поиска, используемый для решения задач оптимизации и моделирования путем случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, аналогичных естественному отбору в природе.
Свои результаты Leostone выложил на сайте , на которых находится вся необходимая информация для генерации кодов дешифровки. Таким образом, жертва атаки может воспользоваться указанным сайтом для генерации ключа дешифрования.
Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.
Для многих пользователей снять определенную информацию с пострадавших жестких дисков составляет проблему. К счастью, на помощь пришел эксперт компании Emsisoft Фабиан Восар , который создал инструмент Petya Sector Extractor для извлечения необходимой информации с диска.
Petya Sector Extractor
После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Фабиана Восара Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области. Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com /), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data). Затем вернуться к утилите Фабиана Восара, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).
Фото: bleepingcomputer.com
После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.
Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.
Фото: bleepingcomputer.com
После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.
Для тех, кому может быть сложно удалить жесткий диск с одного компьютера и подключить его к другому, можно приобрести док-станцию для жесткого диска USB.
(Petya.A), и дала ряд советов.
По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
“Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов“, - заявила СБУ.
Вирус атакует компьютеры под управлением ОС Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных.
“Зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных“, - заявили в СБУ.
Что делать, чтобы уберечься от вируса
1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
2. Сохраните все самые ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале - сделайте резервную копию вместе с ОС.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:/Windows/perfc.dat
4. В зависимости от версии ОС Windows установить патч .
5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирус.
6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные от неизвестных людей. В случае получения письма от известного адреса, который вызывает подозрение, - связаться с отправителем и подтвердить факт отправки письма.
7. Сделать резервные копии всех критически важных данных.
Довести до работников структурных подразделений указанную информацию, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или Интернет.
Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.
Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).
b). Запустите и убедитесь в том, что были установлены все галочки в окне “Артефакты для сбора“.
c). Во вкладке “Режим сбора журналов Eset“ установите Исходный двоичный код диска.
d). Нажмите на кнопку Собрать.
e). Отправьте архив с журналами.
Если пострадавший ПК включен и еще не выключался, перейдите к выполнению
п. 3 для сбора информации, которая поможет написать декодер,
п. 4 для лечения системы.
С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.
Собрать его можно по следующей инструкции:
a). Загрузите ESET SysRescue Live CD или USB (создание в описано в п.3)
b). Согласитесь с лицензией на пользование
c). Нажмите CTRL + ALT + T (откроется терминал)
d). Напишите команду “parted -l“ без кавычек, параметр этого маленькая буква “L“ и нажмите
e). Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)
f). Напишите команду “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ без кавычек, вместо “/dev/sda“ используйте диск, который определили в предыдущем шаге и нажмите (Файл/home/eset/petya.img будет создан)
g). Подключите флешку и скопируйте файл /home/eset/petya.img
h). Компьютер можно выключить.
Смотри также - Омелян про зашиту от кибератак
Омелян про зашиту от кибератак
Несколько дней назад на нашем ресурсе появилась статья о том, как защититься от вируса и его разновидностей. В этой же инструкции мы рассмотрим самый худший вариант - ваш ПК заражен. Естественно, что после излечения каждый пользователь старается восстановить свои данные и персональную информацию. В этой статье речь пойдет о самых удобных и действенных способах по восстановлению данных. Стоит учесть, что это далеко не всегда возможно, поэтому давать какую-то гарантию мы не станем.
Мы рассмотрим три основных сценария, по которому могут развиваться события:
1. Компьютер заражен вирусом Petya.A (или же его разновидностями) и зашифрован, система полностью заблокирована. Для восстановления данных требуется ввести специальный ключ, за который необходимо заплатить. Сразу стоит сказать, что даже если вы заплатите, это не снимет блокировку и не вернет вам доступ к персональному компьютеру.
2. Вариант который предоставляет пользователю больше вариантов по дальнейшим действиям - ваш компьютер заражен и вирус начал зашифровывать ваши данные, но шифрование удалось остановить (например, отключением питания).
3. Последний вариант самый благоприятный. Ваш компьютер заражен, но зашифровка файловой системы еще не началась.
Если у вас ситуация под номером 1, то есть все ваши данные зашифрованы, то на данном этапе отсутствует действенный способ по восстановлению пользовательской информации. Вполне вероятно, что через несколько дней или недель этот способ появится, но пока специалисты со всеми в области информационной и компьютерной безопасности ломают над этим голову.
Если процесс шифрования не начался или завершен не полностью, то пользователю стоит немедленно прервать его (шифрование отображается как системный процесс Check Disk). Если удалось загрузить операционную систему, то сразу же стоит установить любой современный антивирус (все они на данный момент распознают Petya и сделать полную проверку всех дисков. Если же Windows не грузится, то владельцу зараженной машины предстоит воспользоваться системным дисков или флешкой для восстановления загрузочного сектора MBR.
Восстановление загрузчика на Windows XP
После загрузки системного диска с операционной системой Windows XP, перед вами появятся варианты действий. В окне «Установка Windows XP Professional» с выберите пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». Что логично, вам необходимо будет нажать на клавиатуре R. Перед вами должна появиться консоль для восстановления раздела и сообщение:
"«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»"
Если у вас установлена одна версия Windows XP, то вводим с клавиатуры "1" и жмем ввод. Если же у вас несколько систем, то необходимо выбрать нужную. Вы увидите сообщение с запросом пароля администратора. Если же пароль отсутствует, то просто нажмите Enter, оставив поле пустым. После этого на экране появится строка введите слово "fixmbr "
Должно появиться следующее сообщение: «ПРЕДУПРЕЖДЕНИЕ! Подтверждаете запись новой MBR?», нажмите клавишу «Y» на клавиатуре.
Появится ответ: «Создается новый основной загрузочной сектор на физический диск....»
«Новый основной загрузочный раздел успешно создан».
Восстановление загрузчика на Windows Vista
Вставьте диск или флешку с операционной системой Windows Vista. Далее вам нужно выбрать строчку «Восстановить работоспособность компьютера». Выберите, какую именно операционную систему Windows Vista (если у вас их несколько) необходимо восстановить. Когда появится окно с вариантами восстановления, нажмите на командную строку. В командной строке введите команду "bootrec/FixMbr ".
Восстановление загрузчика на Windows 7
Вставьте диск или флешку с операционной системой Windows 7. Выберите, какую именно операционную систему Windows 7 (если у вас их несколько) необходимо восстановить. Выберите пункт "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows". Далее выбираем «Командная строка». После загрузки командной строки вводим "bootrec/fixmbr
Восстановление загрузчика на Windows 8
Вставьте диск или флешку с операционной системой Windows 8. На основном экране выберите пункт "Восстановить компьютер" в нижнем левом углу. Выберите «Устранение неисправностей». Выберите командную строку, когда она загрузится, введите: "bootrec/FixMbr" Если все пройдет успешно, то вы увидите соответствующее сообщение и все что останется, это перезагрузить компьютер.
Восстановление загрузчика на Windows 10
Вставьте диск или флешку с операционной системой Windows 10. На основном экране выберите пункт "Восстановить компьютер" в нижнем левом углу. Выберите «Устранение неисправностей». Выберите командную строку, когда она загрузится, введите: "bootrec/FixMbr" Если все пройдет успешно, то вы увидите соответствующее сообщение и все что останется, это перезагрузить компьютер.
03 ИюлКак восстановить доступ к операционной системе после атаки вируса Petya: рекомендации от Киберполиции Украины
Департамент Киберполиции Национальной полиции Украины опубликовал рекомендации пользователям по восстановлению доступа к компьютерам, которые подверглись кибератаке вируса-шифровальщика Petya.A.
В процессе изучения вируса-шифровальщика Petya.A исследователи установили несколько вариантов воздействия вредоносного ПО (при запуске вируса с правами администратора):
Система полностью скомпрометирована. Для восстановления данных требуется закрытый ключ, а на экране отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки данных.
Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования.
Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Что касается первого варианта — к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса активно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, украинских и международных ИТ-компаний.
В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится на компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, компьютер запустится и будет работать.
Таким образом модифицированная троянская программа «Petya» работает в несколько этапов:
Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.
Почему так? Потому что описанное выше — это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.
Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.
Процесс шифрования был запущен, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования;
Процесс шифрования таблицы MFT еще не начался из-за факторов, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и т.д.).
Загрузиться с установочного диска Windows;
Если после загрузки с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процессу восстановления MBR;
Для Windows XР:
После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». . Нажмите клавишу «R».
Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»
Введите клавишу «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должен появиться запрос системы: C: \ WINDOWS> введите fixmbr
Затем появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?». Нажмите клавишу «Y».
Появится сообщение: «Создается новый основной загрузочной сектор на физический диск \ Device \ Harddisk0 \ Partition0.»
«Новый основной загрузочный сектор успешно создан».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее».
Когда появится окно «Параметры восстановления системы», нажмите на командную строку.
Когда появится командная строка, введите команду:
bootrec / FixMbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.
Для Windows 7:
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7»
Когда командная строка успешно загрузится, введите команду:
bootrec / fixmbr
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 8
Загрузите Windows 8.
На экране «Приветствие» нажмите кнопку «Восстановить компьютер»
Windows 8 восстановит компьютерное меню
Выберите командную строку.
Когда загрузится командная строка, введите следующие команды:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 10
Загрузите Windows 10.
На экране приветствия нажмите кнопку «Восстановить компьютер»
Выберите «Устранение неисправностей»
Выберите командную строку.
Когда загружается командную строку, введите команду:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
После процедуры восстановления MBR, исследователи рекомендуют проверить диск антивирусными программами на наличие зараженных файлов.
Специалисты киберполиции отмечают, что указанные действия также актуальны, если процесс шифрования был начат, но прерван пользователем путем отключения питания компьютера на начальном процессе шифрования. В данном случае, после загрузки ОС, можно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.
Также отмечается что в случае использования программ восстановления данных, которые записывают свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
В киберполиции сообщили, что кроме регистрационных данных, которые указывались пользователями программы «M.E.doc», никакой информации не передавалось.
Напомним, 27 июня 2017 года началась масштабная кибератака вируса-шифровальщика Petya.A на IT-системы украинских компаний и госучреждений.
