فایل ویروس پتیا آنها به دنبال باج افزار Petya در روسیه و اوکراین هستند و می خواهند آن را در Notepad یادداشت کنند. کدام کشورها بیشترین آسیب را دیدند؟

تقریباً هر کاربر دارای برنامه های ضد ویروس در رایانه خود است، اما گاهی اوقات یک تروجان یا ویروس ظاهر می شود که می تواند بیشترین را دور بزند. حفاظت بهترو دستگاه شما را آلوده کنید، و حتی بدتر از آن، داده های خود را رمزگذاری کنید. این بار، تروجان رمزگذاری شده "Petya" یا همانطور که به آن "Petya" نیز گفته می شود به چنین ویروسی تبدیل شد. سرعت گسترش این تهدید بسیار چشمگیر است: در عرض چند روز توانست از روسیه، اوکراین، اسرائیل، استرالیا، ایالات متحده آمریکا، همه کشورهای بزرگ اروپایی و غیره بازدید کند. عمدتاً بر کاربران شرکت ها (فرودگاه ها، نیروگاه ها، صنعت گردشگری) تأثیر گذاشت، اما مردم عادی نیز تحت تأثیر قرار گرفتند. از نظر مقیاس و روش های تأثیرگذاری، بسیار شبیه به پر شور اخیر است.

مطمئناً باید از رایانه خود محافظت کنید تا قربانی باج افزار جدید تروجان "Petya" نشوید. در این مقاله به شما خواهم گفت که این چه نوع ویروس "پتیا" است، چگونه پخش می شود و چگونه از خود در برابر این تهدید محافظت کنید. علاوه بر این، ما به مسائل حذف تروجان و رمزگشایی اطلاعات خواهیم پرداخت.

ویروس پتیا چیست؟

ابتدا باید بفهمیم پتیا چیست. ویروس Petya یک نرم افزار مخرب است که یک تروجان (باج افزار) از نوع باج افزار است. این ویروس ها برای باج گیری از صاحبان دستگاه های آلوده به منظور دریافت باج از آنها برای داده های رمزگذاری شده طراحی شده اند. برخلاف Wanna Cry، Petya خود را با رمزگذاری فایل‌های فردی خسته نمی‌کند - تقریباً بلافاصله کل فایل‌ها را از بین می‌برد. HDDبه طور کامل

نام صحیح ویروس جدید Petya.A است. علاوه بر این، کسپرسکی آن را NotPetya/ExPetr می نامد.

توصیف ویروس پتیا

پس از ضربه زدن به کامپیوتر شما در حال اجرا است سیستم های ویندوز، پتیا تقریباً بلافاصله رمزگذاری می کند MFT(جدول فایل اصلی – جدول اصلی فایل ها). مسئولیت این جدول چیست؟

تصور کنید که هارد دیسک شما بزرگترین کتابخانه در کل جهان است. این شامل میلیاردها کتاب است. پس چگونه کتاب مناسب را پیدا می کنید؟ فقط از طریق کاتالوگ کتابخانه. این کاتالوگ است که پتیا از بین می برد. بنابراین، شما هرگونه امکان یافتن هر "فایل" را در رایانه شخصی خود از دست می دهید. دقیق تر، پس از «کار» پتی، هارد دیسک رایانه شما شبیه کتابخانه ای پس از گردباد خواهد بود، با تکه های کتاب در همه جا پرواز می کند.

بنابراین، برخلاف Wanna Cry که در ابتدای مقاله به آن اشاره کردم، Petya.A رمزگذاری نمی کند. فایل های جداگانه، زمان قابل توجهی را صرف این امر می کند - او به سادگی هر فرصتی را برای یافتن آنها از شما می گیرد.

پس از تمام دستکاری های خود، او از کاربران باج می خواهد - 300 دلار آمریکا که باید به حساب بیت کوین منتقل شود.

چه کسی ویروس پتیا را ایجاد کرد؟

هنگام ایجاد ویروس Petya، یک سوء استفاده ("حفره") در سیستم عامل ویندوز به نام "EternalBlue" استفاده شد. مایکروسافت چند ماه پیش وصله‌ای منتشر کرد که این حفره را می‌بندد، اما همه از آن استفاده نمی‌کنند کپی مجوزویندوز همه به روز رسانی های سیستم را نصب می کند، درست است؟)

خالق "Petya" توانست عاقلانه از بی دقتی کاربران شرکتی و خصوصی استفاده کند و از آن درآمد کسب کند. هویت او هنوز ناشناخته است (و بعید است که شناخته شود)

ویروس پتیا چگونه پخش می شود؟

ویروس پتیا اغلب تحت پوشش چسبندگی به گسترش می یابد ایمیل هاو در آرشیو با نرم افزارهای آلوده دزدی. پیوست می تواند کاملاً حاوی هر فایلی باشد، از جمله عکس یا mp3 (همانطور که در نگاه اول به نظر می رسد). پس از اجرای فایل، کامپیوتر شما راه اندازی مجدد می شود و ویروس یک بررسی دیسک برای خطاهای CHKDSK را شبیه سازی می کند و در این لحظه رکورد بوت کامپیوتر شما (MBR) را تغییر می دهد. پس از این، یک جمجمه قرمز رنگ بر روی صفحه نمایش کامپیوتر خود خواهید دید. با کلیک بر روی هر دکمه، می توانید به متنی دسترسی پیدا کنید که در آن از شما خواسته می شود برای رمزگشایی فایل های خود پول پرداخت کنید و مبلغ مورد نیاز را به کیف پول بیت کوین منتقل کنید.

چگونه از خود در برابر ویروس پتیا محافظت کنیم؟

  • مهمترین و اساسی ترین چیز این است که نصب به روز رسانی برای سیستم عامل خود را به یک قانون تبدیل کنید! این فوق العاده مهم است. همین الان انجامش بده، معطل نکن
  • به تمام ضمیمه هایی که به حروف پیوست می شوند توجه ویژه ای داشته باشید، حتی اگر حروف از طرف افرادی باشد که شما می شناسید. در طول اپیدمی، بهتر است از منابع جایگزین انتقال داده استفاده شود.
  • گزینه "نمایش پسوند فایل" را در تنظیمات سیستم عامل فعال کنید - به این ترتیب همیشه می توانید پسوند فایل واقعی را ببینید.
  • "User Account Control" را در تنظیمات ویندوز فعال کنید.
  • برای جلوگیری از عفونت باید یکی از آنها را نصب کنید. با نصب یک به روز رسانی سیستم عامل شروع کنید، سپس یک آنتی ویروس نصب کنید - و بسیار ایمن تر از قبل خواهید بود.
  • حتماً "پشتیبان گیری" تهیه کنید - تمام داده های مهم را در یک هارد دیسک خارجی یا در فضای ابری ذخیره کنید. سپس، اگر ویروس Petya به رایانه شخصی شما نفوذ کند و تمام داده ها را رمزگذاری کند، فرمت کردن دستگاه برای شما بسیار آسان خواهد بود. هارد دیسکو دوباره سیستم عامل را نصب کنید.
  • همیشه ارتباط را بررسی کنید پایگاه داده های آنتی ویروسآنتی ویروس شما همه آنتی ویروس های خوبتهدیدها را رصد کرده و با به‌روزرسانی امضاهای تهدید، به موقع به آنها پاسخ دهید.
  • ابزار رایگان Kaspersky Anti-Ransomware را نصب کنید. این شما را از رمزگذاری ویروس ها محافظت می کند. نصب این نرم افزار شما را از نصب آنتی ویروس بی نیاز نمی کند.

چگونه ویروس Petya را حذف کنیم؟

چگونه ویروس Petya.A را از هارد دیسک خود حذف کنیم؟ این یک سوال فوق العاده جالب است. واقعیت این است که اگر ویروس قبلاً داده های شما را مسدود کرده باشد، در واقع چیزی برای حذف وجود نخواهد داشت. اگر قصد پرداخت باج افزار را ندارید (که نباید انجام دهید) و در آینده سعی نمی کنید اطلاعات روی دیسک را بازیابی کنید، می توانید به سادگی دیسک را فرمت کرده و سیستم عامل را دوباره نصب کنید. پس از این، دیگر اثری از ویروس باقی نخواهد ماند.

اگر شک دارید که یک فایل آلوده روی دیسک شما وجود دارد، دیسک خود را با یکی از آنها اسکن کنید یا آنتی ویروس کسپرسکی را نصب کنید و یک اسکن کامل سیستم را انجام دهید. توسعه دهنده اطمینان داد که پایگاه داده امضای او قبلاً حاوی اطلاعاتی در مورد این ویروس است.

رمزگشای Petya.A

Petya.A داده های شما را با یک الگوریتم بسیار قوی رمزگذاری می کند. بر این لحظههیچ راه حلی برای رمزگشایی اطلاعات مسدود شده وجود ندارد. علاوه بر این، نباید سعی کنید به داده ها در خانه دسترسی پیدا کنید.

بدون شک، همه ما آرزوی دریافت رمزگشای معجزه آسا Petya.A را داریم، اما به سادگی چنین راه حلی وجود ندارد. این ویروس چندین ماه پیش به جهان وارد شد، اما درمانی برای رمزگشایی داده‌هایی که رمزگذاری کرده بود، هرگز یافت نشد.

بنابراین، اگر هنوز قربانی ویروس پتیا نشده اید، به توصیه هایی که در ابتدای مقاله دادم گوش دهید. اگر کنترل اطلاعات خود را از دست دادید، چندین گزینه دارید.

  • پرداخت پول. این کار فایده ای ندارد!کارشناسان قبلاً دریافته اند که سازنده ویروس با توجه به تکنیک رمزگذاری، داده ها را بازیابی نمی کند و نمی تواند آنها را بازیابی کند.
  • هارد دیسک را از دستگاه خود خارج کنید، آن را با دقت در کابینت قرار دهید و رمزگشا را فشار دهید تا ظاهر شود. به هر حال، آزمایشگاه کسپرسکی به طور مداوم در این مسیر کار می کند. رمزگشاهای موجود در وب سایت No Ransom موجود است.
  • فرمت کردن دیسک و نصب سیستم عامل منهای - تمام داده ها از بین خواهند رفت.

ویروس Petya.A در روسیه

در روسیه و اوکراین، بیش از 80 شرکت در زمان نگارش این مقاله مورد حمله قرار گرفتند و آلوده شدند، از جمله شرکت‌های بزرگی مانند باشنفت و روس‌نفت. آلودگی زیرساخت های چنین شرکت های بزرگی نشان دهنده جدی بودن ویروس Petya.A است. شکی نیست که تروجان باج افزار همچنان در سراسر روسیه گسترش خواهد یافت، بنابراین باید مراقب امنیت داده های خود باشید و توصیه های ارائه شده در مقاله را دنبال کنید.

Petya.A و اندروید، iOS، مک، لینوکس

بسیاری از کاربران نگران این هستند که آیا ویروس Petya می تواند دستگاه های آنها را تحت تأثیر قرار دهد یا خیر کنترل اندرویدو iOS من عجله می کنم تا به آنها اطمینان دهم - نه، نمی تواند. این فقط برای کاربران سیستم عامل ویندوز در نظر گرفته شده است. همین امر در مورد طرفداران لینوکس و مک نیز صدق می کند - شما می توانید آرام بخوابید، هیچ چیز شما را تهدید نمی کند.

نتیجه

بنابراین، امروز به طور مفصل درباره ویروس جدید Petya.A بحث کردیم. ما فهمیدیم که این تروجان چیست و چگونه کار می کند، یاد گرفتیم که چگونه از خود در برابر عفونت محافظت کنیم و ویروس را حذف کنیم و رمزگشای Petya را از کجا دریافت کنیم. امیدوارم مقاله و نکات من برای شما مفید بوده باشد.

، 18 جولای 2017

پاسخ به مهمترین سوالات در مورد ویروس باج افزار Petna (NotPetya، ExPetr)، یک باج افزار مبتنی بر Petya که بسیاری از رایانه ها را در سراسر جهان آلوده کرده است.

در این ماه، تنها چند هفته پس از آن، شاهد یک حمله باج افزار عظیم دیگر بودیم. در عرض چند روز، این اصلاح باج‌افزار نام‌های مختلفی از جمله Petya (نام ویروس اصلی)، NotPetya، EternalPetya، Nyetya و غیره دریافت کرد. ما در ابتدا آن را "ویروس خانواده Petya" نامیدیم، اما برای راحتی، آن را به سادگی Petna می نامیم.

ابهامات زیادی پیرامون پتنا وجود دارد، حتی فراتر از نامش. آیا این همان باج افزار Petya است یا نسخه دیگری؟ آیا پتنا را باید باج افزاری در نظر گرفت که تقاضای باج می کند یا ویروسی که به سادگی داده ها را از بین می برد؟ اجازه دهید برخی از جنبه های حمله گذشته را روشن کنیم.

آیا پتنا هنوز در حال گسترش است؟

اوج فعالیت چند روز پیش. شیوع این ویروس از صبح روز 27 ژوئن آغاز شد. در همان روز، فعالیت آن به بالاترین سطح خود رسید و هر ساعت هزاران حمله انجام می شد. پس از این، شدت آنها به طور قابل توجهی در طول همان روز کاهش یافت و تنها تعداد کمی از عفونت ها متعاقبا مشاهده شد.

آیا این حمله با WannaCry قابل مقایسه است؟

نه، با توجه به پوشش ما قضاوت می کنیم پایگاه کاربر. ما تقریباً 20000 تلاش برای حمله را در سراسر جهان مشاهده کردیم، که با 1.5 میلیون حمله WannaCry که ما خنثی کردیم، این مقدار کمتر است.

کدام کشورها بیشترین آسیب را دیده اند؟

داده‌های تله‌متری ما نشان می‌دهد که تأثیر اصلی ویروس در اوکراین بوده است، جایی که بیش از 90 درصد از حملات تلاش شده شناسایی شده است. روسیه، ایالات متحده آمریکا، لیتوانی، بلاروس، بلژیک و برزیل نیز تحت تاثیر قرار گرفتند. در هر یک از این کشورها، از چندین ده تا چند صد تلاش برای عفونت مشاهده شد.

کدام سیستم عامل ها آلوده شده اند؟

بیشترین تعداد حملات در دستگاه های در حال اجرا ثبت شده است کنترل ویندوز 7 (78%) و ویندوز XP (14%). تعداد حملات تمام شده است سیستم های مدرنمعلوم شد که به طور قابل توجهی کمتر است.

چگونه ویروس Petna وارد رایانه شخصی شما شد؟

پس از تجزیه و تحلیل مسیرهای توسعه اپیدمی سایبری، ناقل اصلی عفونت را کشف کردیم که با به روز رسانی نرم افزار حسابداری اوکراینی M.E.Doc مرتبط است. به همین دلیل اوکراین به شدت آسیب دید.

یک پارادوکس تلخ: به دلایل امنیتی، همیشه به کاربران توصیه می شود نرم افزار خود را به روز کنند، اما در این مورد، ویروس دقیقاً با به روز رسانی نرم افزار منتشر شده توسط M.E.Doc شروع به انتشار در مقیاس بزرگ کرد.

چرا رایانه های خارج از اوکراین نیز تحت تأثیر قرار گرفتند؟

یکی از دلایل این است که برخی از شرکت های تحت تأثیر شرکت های تابعه اوکراینی دارند. هنگامی که یک ویروس کامپیوتری را آلوده می کند، در سراسر شبکه پخش می شود. اینگونه بود که او توانست به کامپیوترهای کشورهای دیگر دست یابد. ما به بررسی سایر ناقلین عفونت احتمالی ادامه می دهیم.

بعد از عفونت چه اتفاقی می افتد؟

هنگامی که یک دستگاه آلوده می شود، Petna سعی می کند فایل هایی با پسوندهای خاص را رمزگذاری کند. لیست فایل های هدف در مقایسه با لیست های ویروس اصلی Petya و سایر باج افزارها چندان بزرگ نیست، اما شامل پسوند عکس ها، اسناد، کدهای منبع، پایگاه های داده، تصاویر دیسک و موارد دیگر است. علاوه بر این، این نرم افزار نه تنها فایل ها را رمزگذاری می کند، بلکه مانند یک کرم به سایر دستگاه های متصل به شبکه محلی پخش می شود.

چگونه، ویروس از سه استفاده می کند راه های مختلفتوزیع: با استفاده از EternalBlue (معروف از WannaCry) یا EternalRomance، از طریق اشتراک‌گذاری شبکه ویندوز با استفاده از اطلاعات کاربری سرقت شده از قربانی (با استفاده از ابزارهایی مانند Mimikatz که می‌تواند رمز عبور را استخراج کند)، و همچنین ابزارهای قابل اعتماد مانند PsExec و WMIC.

پس از رمزگذاری فایل ها و انتشار در شبکه، ویروس سعی در شکستن دارد در حال بارگذاری ویندوز(تغییر رکورد بوت اصلی، MBR)، و پس از راه اندازی مجدد اجباری، جدول فایل اصلی (MFT) را رمزگذاری می کند. دیسک سیستم. این کار از بارگذاری ویندوز دیگر توسط رایانه جلوگیری می کند و استفاده از رایانه را غیرممکن می کند.

آیا Petna می تواند کامپیوتر من را با همه به روز رسانی های امنیتی نصب شده آلوده کند؟

بله، به دلیل گسترش افقی بدافزاری که در بالا توضیح داده شد، این امکان وجود دارد. زوج دستگاه خاصکه از هر دو EternalBlue و EternalRomance محافظت می شود، همچنان می تواند به روش سوم آلوده شود.

آیا این Petua، WannaCry 2.0 یا چیز دیگری است؟

ویروس Petna قطعا بر اساس باج افزار اصلی Petna است. به عنوان مثال، در بخشی که مسئول رمزگذاری جدول فایل اصلی است، تقریباً مشابه تهدید قبلی است. با این حال، کاملاً مشابه نسخه های قدیمی تر باج افزار نیست. اعتقاد بر این است که ویروس توسط شخص ثالث به جای نویسنده اصلی، معروف به Janus، اصلاح شده است، که او نیز در مورد این موضوع در توییتر، و بعداً کلید رمزگشایی اصلی را برای تمام نسخه های قبلی برنامه منتشر کرد.

شباهت اصلی بین Petna و WannaCry این است که آنها از سوء استفاده EternalBlue برای گسترش استفاده کردند.

آیا این درست است که ویروس چیزی را رمزگذاری نمی کند، بلکه به سادگی داده های روی دیسک ها را از بین می برد؟

این درست نیست. این بدافزار فقط فایل ها و جدول فایل اصلی (MFT) را رمزگذاری می کند. سوال دیگر این است که آیا می توان این فایل ها را رمزگشایی کرد؟

آیا ابزار رمزگشایی رایگان در دسترس است؟

متاسفانه نه. این ویروس از یک الگوریتم رمزگذاری نسبتاً قدرتمند استفاده می کند که نمی توان بر آن غلبه کرد. نه تنها فایل ها، بلکه جدول فایل اصلی (MFT) را رمزگذاری می کند که فرآیند رمزگشایی را بسیار دشوار می کند.

آیا ارزش پرداخت دیه را دارد؟

نه! ما هرگز پرداخت باج را توصیه نمی کنیم، زیرا این فقط از مجرمان حمایت می کند و آنها را به ادامه چنین فعالیت هایی تشویق می کند. علاوه بر این، این احتمال وجود دارد که حتی در صورت پرداخت، اطلاعات خود را پس نخواهید گرفت. در این مورد، این امر بیش از هر زمان دیگری آشکار است. و به همین دلیل.

    آدرس ایمیل رسمی که در پنجره درخواست باج نشان داده شده است [ایمیل محافظت شده]، که از قربانیان خواسته شد برای آن باج بفرستند، مدت کوتاهی پس از حمله ویروس توسط ارائه دهنده خدمات ایمیل بسته شد. بنابراین، سازندگان باج افزار نمی توانند بفهمند چه کسی پول پرداخت کرده و چه کسی پرداخت نکرده است.

    رمزگشایی پارتیشن MFT در اصل غیرممکن است، زیرا پس از رمزگذاری باج افزار، کلید از بین می رود. که در نسخه های قبلیویروس، این کلید در شناسه قربانی ذخیره شده است، اما در مورد آخرین اصلاح، فقط یک رشته تصادفی است.

    علاوه بر این، رمزگذاری اعمال شده بر روی فایل ها بسیار آشفته است. چگونه

شاید قبلاً از تهدید هکری ثبت شده در 27 ژوئن 2017 در کشورهای روسیه و اوکراین مطلع باشید که مورد حمله گسترده ای مشابه WannaCry قرار گرفتند. این ویروس رایانه ها را قفل می کند و برای رمزگشایی فایل ها باج به بیت کوین می خواهد. در مجموع، بیش از 80 شرکت در هر دو کشور، از جمله روس نفت و باشنفت روسیه، تحت تأثیر قرار گرفتند.

ویروس باج‌افزار مانند WannaCry بدنام، تمام داده‌های رایانه‌ای را مسدود کرده است و می‌خواهد باج بیت‌کوینی معادل ۳۰۰ دلار به مجرمان منتقل شود. اما برخلاف Wanna Cry، Petya با رمزگذاری فایل‌های فردی به خود زحمت نمی‌دهد - تقریباً فوراً شما را از بین می‌برد. همه سختکل دیسک

نام صحیح این ویروس Petya.A است. گزارش ESET برخی از قابلیت‌های Diskcoder.C (معروف به ExPetr، PetrWrap، Petya یا NotPetya) را نشان می‌دهد.

طبق آمار همه قربانیان، ویروس در ایمیل های فیشینگ با پیوست های آلوده توزیع شده است. معمولاً نامه ای با درخواست باز کردن می آید سند متنیو چگونه پسوند فایل دوم را بشناسیم txtexeپنهان است، اما اولویت است آخرین افزونه هافایل. به طور پیش فرض، سیستم عامل ویندوز پسوند فایل را نمایش نمی دهد و به شکل زیر است:

در 8.1، در پنجره اکسپلورر (مشاهده\گزینه‌های پوشه\برداشتن علامت پنهان کردن پسوندها برای انواع فایل‌های ثبت‌شده)

در 7 در پنجره اکسپلورر (Alt\Tools\Folder Options\علامت گزینه Hide extensions for type file شناخته شده را بردارید)

و بدترین چیز این است که کاربران حتی از این واقعیت که نامه هایی از طرف کاربران ناشناس می آید و از آنها می خواهند فایل های نامفهوم را باز کنند ناراحت نمی شوند.

پس از باز کردن فایل، کاربر می بیند " صفحه آبیمرگ".

پس از راه اندازی مجدد، به نظر می رسد که "اسکن دیسک" راه اندازی شده است؛ در واقع، ویروس فایل ها را رمزگذاری می کند.

برخلاف سایر باج افزارها، هنگامی که این ویروس اجرا می شود، بلافاصله رایانه شما را مجدداً راه اندازی می کند و هنگامی که دوباره بوت می شود، پیامی روی صفحه ظاهر می شود: «کامپیوتر خود را خاموش نکنید! اگر این فرآیند را متوقف کنید، ممکن است تمام داده های خود را از بین ببرید! لطفاً مطمئن شوید که رایانه شما به شارژر وصل است!» اگرچه ممکن است به نظر برسد خطای سیستمدر واقع، Petya در حال حاضر به صورت بی صدا در حال انجام رمزگذاری در حالت مخفی کاری است. اگر کاربر بخواهد سیستم را راه اندازی مجدد کند یا رمزگذاری فایل را متوقف کند، یک اسکلت قرمز چشمک زن همراه با متن "PESS ANY KEY!" روی صفحه ظاهر می شود. در نهایت پس از فشردن کلید، پنجره جدیدی با یادداشت باج ظاهر می شود. در این یادداشت از قربانی خواسته می شود 0.9 بیت کوین که تقریباً 400 دلار است بپردازد. البته این قیمت فقط برای یک کامپیوتر است. بنابراین، برای شرکت هایی که رایانه های زیادی دارند، این مبلغ می تواند هزاران نفر باشد. چیزی که این باج افزار را متفاوت می کند این است که به جای 12 تا 72 ساعت معمولی که ویروس های دیگر این دسته می دهند، یک هفته کامل برای پرداخت باج به شما فرصت می دهد.

علاوه بر این، مشکلات پتیا به همین جا ختم نمی شود. هنگامی که این ویروس وارد سیستم می شود، سعی می کند بوت را بازنویسی کند فایل های ویندوز، یا به اصطلاح boot recording master، لازم برای بوت کردن سیستم عامل. شما نمی توانید ویروس Petya را از رایانه خود حذف کنید مگر اینکه تنظیمات Master Boot Recorder (MBR) را بازیابی کنید. حتی اگر بتوانید این تنظیمات را اصلاح کنید و ویروس را از سیستم خود حذف کنید، متاسفانه فایل های شما رمزگذاری شده می مانند زیرا حذف ویروس فایل ها را رمزگشایی نمی کند، بلکه به سادگی فایل های عفونی را حذف می کند. البته اگر می خواهید به کار با رایانه خود ادامه دهید، حذف ویروس مهم است

پتیا پس از استفاده از رایانه ویندوزی خود، تقریباً بلافاصله MFT (جدول فایل اصلی) را رمزگذاری می کند. مسئولیت این جدول چیست؟

تصور کنید که هارد دیسک شما بزرگترین کتابخانه در کل جهان است. این شامل میلیاردها کتاب است. پس چگونه کتاب مناسب را پیدا می کنید؟ فقط از طریق کاتالوگ کتابخانه. این کاتالوگ است که پتیا از بین می برد. بنابراین، شما هرگونه امکان یافتن هر "فایل" را در رایانه شخصی خود از دست می دهید. حتی دقیق‌تر، پس از «کار کردن» پتیا، هارد دیسک رایانه شما پس از گردباد شبیه کتابخانه‌ای می‌شود که تکه‌هایی از کتاب‌ها در همه جا پرواز می‌کنند.

بنابراین، برخلاف Wanna Cry، Petya.A فایل‌های فردی را رمزگذاری نمی‌کند و زمان قابل توجهی را صرف این کار می‌کند - به سادگی هر فرصتی را از شما برای یافتن آنها می‌گیرد.

چه کسی ویروس پتیا را ایجاد کرد؟

هنگام ایجاد ویروس Petya، یک اکسپلویت ("حفره") در سیستم عامل ویندوز به نام "EternalBlue" استفاده شد. مایکروسافت یک پچ منتشر کرده است kb4012598(از درس های منتشر شده قبلی در WannaCry، قبلاً در مورد این به روز رسانی صحبت کردیم که این سوراخ را "بسته" می کند.

خالق پتیا توانست عاقلانه از بی دقتی کاربران شرکتی و خصوصی استفاده کند و از آن درآمد کسب کند. هویت او هنوز ناشناخته است (و بعید است که شناخته شود)

چگونه ویروس Petya را حذف کنیم؟

چگونه ویروس Petya.A را از هارد دیسک خود حذف کنیم؟ این یک سوال فوق العاده جالب است. واقعیت این است که اگر ویروس قبلاً داده های شما را مسدود کرده باشد، در واقع چیزی برای حذف وجود نخواهد داشت. اگر قصد پرداخت باج افزار را ندارید (که نباید انجام دهید) و در آینده سعی نمی کنید اطلاعات روی دیسک را بازیابی کنید، می توانید به سادگی دیسک را فرمت کرده و سیستم عامل را دوباره نصب کنید. پس از این، دیگر اثری از ویروس باقی نخواهد ماند.

اگر شک دارید که یک فایل آلوده روی دیسک شما وجود دارد، دیسک خود را با آنتی ویروس ESET Nod 32 اسکن کنید و یک اسکن کامل سیستم را انجام دهید. شرکت NOD 32 اطمینان داد که پایگاه داده امضای آن قبلاً حاوی اطلاعاتی در مورد این ویروس است.

رمزگشای Petya.A

Petya.A داده های شما را با یک الگوریتم رمزگذاری بسیار قوی رمزگذاری می کند. در حال حاضر هیچ راه حلی برای رمزگشایی اطلاعات مسدود شده وجود ندارد.

بدون شک، همه ما آرزوی دریافت رمزگشای معجزه آسا Petya.A را داریم، اما به سادگی چنین راه حلی وجود ندارد. ویروس WannaCry چند ماه پیش به جهان وارد شد، اما درمانی برای رمزگشایی داده‌هایی که رمزگذاری کرده بود، هرگز یافت نشد.

تنها گزینه این است که قبلاً کپی سایه ای از فایل ها داشته باشید.

بنابراین، اگر هنوز قربانی ویروس Petya.A نشده اید، سیستم عامل خود را به روز کنید، یک آنتی ویروس از ESET NOD 32 نصب کنید. اگر همچنان کنترل داده های خود را از دست دادید، چندین گزینه دارید.

پرداخت پول. این کار فایده ای ندارد!کارشناسان قبلاً دریافته اند که سازنده ویروس با توجه به تکنیک رمزگذاری، داده ها را بازیابی نمی کند و نمی تواند آنها را بازیابی کند.

سعی کنید ویروس را از رایانه خود حذف کنید و سعی کنید فایل های خود را با استفاده از یک کپی سایه بازیابی کنید (ویروس روی آنها تأثیر نمی گذارد)

هارد دیسک را از دستگاه خود خارج کنید، آن را با دقت در کابینت قرار دهید و رمزگشا را فشار دهید تا ظاهر شود.

فرمت کردن دیسک و نصب سیستم عامل منهای - تمام داده ها از بین خواهند رفت.

Petya.A و اندروید، iOS، مک، لینوکس

بسیاری از کاربران نگران این هستند که آیا ویروس Petya می تواند دستگاه های اندروید و iOS آنها را آلوده کند یا خیر. من عجله می کنم تا به آنها اطمینان دهم - نه، نمی تواند. این فقط برای کاربران سیستم عامل ویندوز در نظر گرفته شده است. همین امر در مورد طرفداران لینوکس و مک نیز صدق می کند - شما می توانید آرام بخوابید، هیچ چیز شما را تهدید نمی کند.

حمله ویروس پتیا برای ساکنان بسیاری از کشورها غافلگیر کننده ناخوشایند بود. هزاران رایانه آلوده شدند که باعث شد کاربران اطلاعات مهم ذخیره شده در هارد دیسک خود را از دست بدهند.

البته اکنون هیاهوی پیرامون این حادثه فروکش کرده است، اما هیچکس نمی تواند تضمین کند که این اتفاق دیگر تکرار نخواهد شد. به همین دلیل بسیار مهم است که از رایانه خود در برابر تهدیدات احتمالی محافظت کنید و خطرات غیر ضروری را متحمل نشوید. نحوه انجام این کار به طور موثر در زیر مورد بحث قرار خواهد گرفت.

عواقب حمله

برای شروع، باید به خاطر داشته باشیم که فعالیت کوتاه مدت Petya.A چه عواقبی را در پی داشت. تنها در چند ساعت، ده ها شرکت اوکراینی و روسی تحت تاثیر قرار گرفتند. در اوکراین، به هر حال، کار بخش های کامپیوتری مؤسساتی مانند "Dneprenergo"، " نوا پشتاو "مترو کیف". علاوه بر این، برخی از سازمان های دولتی، بانک ها و اپراتورهای تلفن همراه در برابر ویروس پتیا محافظت نشدند.

در کشورهای اتحادیه اروپا نیز این باج افزار توانست دردسرهای زیادی ایجاد کند. شرکت های فرانسوی، دانمارکی، انگلیسی و بین المللی اختلالات موقتی را به دلیل حمله ویروس کامپیوتری Petya گزارش کرده اند.

همانطور که می بینید، تهدید واقعا جدی است. و حتی اگر مهاجمان سازمان های مالی بزرگ را به عنوان قربانیان خود انتخاب کردند، کاربران عادی کمتر از این آسیب دیدند.

پتیا چگونه کار می کند؟

برای درک چگونگی محافظت از خود در برابر ویروس پتیا، ابتدا باید نحوه عملکرد آن را بدانید. بنابراین، برنامه مخرب یک بار روی رایانه، یک باج افزار ویژه را از اینترنت دانلود می کند که آلوده می شود. استاد بوترکورد. این قسمت جداگانه روی هارد دیسک است که از چشم کاربر پنهان است و برای بارگذاری سیستم عامل در نظر گرفته شده است.

برای کاربر، این فرآیند مانند عملکرد استاندارد برنامه Check Disk پس از یک خرابی ناگهانی سیستم به نظر می رسد. کامپیوتر ناگهان راه اندازی مجدد می شود و پیامی در مورد آن روی صفحه ظاهر می شود سخت چک کردندیسک برای خطا و لطفا برق را خاموش نکنید.

به محض پایان یافتن این فرآیند، یک محافظ صفحه نمایش با اطلاعاتی در مورد رایانه در حال مسدود شدن ظاهر می شود. خالق ویروس "Petya" کاربر را ملزم به پرداخت باج 300 دلاری (بیش از 17.5 هزار روبل) می کند و در ازای آن قول می دهد که کلید لازم برای از سرگیری عملکرد رایانه شخصی را ارسال کند.

جلوگیری

منطقی است که جلوگیری از عفونت بسیار ساده تر است ویروس کامپیوتری"پتیا"، تا بعداً با عواقب آن مقابله کنیم. برای ایمن سازی رایانه شخصی خود:

  • همیشه آخرین به روز رسانی ها را برای سیستم عامل خود نصب کنید. در اصل، همین امر در مورد همه چیز صدق می کند نرم افزاربر روی کامپیوتر شما نصب شده است. به هر حال، "Petya" نمی تواند به رایانه های دارای MacOS و Linux آسیب برساند.
  • از آخرین نسخه های آنتی ویروس استفاده کنید و فراموش نکنید که پایگاه داده آن را به روز کنید. بله، توصیه پیش پا افتاده است، اما همه آن را دنبال نمی کنند.
  • فایل های مشکوکی که از طریق ایمیل برای شما ارسال می شود را باز نکنید. همچنین، همیشه برنامه های دانلود شده از منابع مشکوک را بررسی کنید.
  • آن را به طور منظم انجام دهید پشتیبان گیریاسناد و پرونده های مهم بهتر است آنها را در یک رسانه جداگانه یا در "ابر" (Google Drive، Yandex. Disk و غیره) ذخیره کنید. به لطف این، حتی اگر اتفاقی برای رایانه شما بیفتد، اطلاعات ارزشمند آسیب نمی بینند.

ایجاد یک فایل توقف

توسعه دهندگان پیشرو برنامه های آنتی ویروسمتوجه شد که چگونه ویروس Petya را حذف کنید. به‌طور دقیق‌تر، به لطف تحقیقات خود، آنها توانستند بفهمند که باج‌افزار در مراحل اولیه آلودگی در رایانه در تلاش است چه چیزی را بیابد. فایل محلی. اگر او موفق شود، ویروس کار نمی کند و به رایانه شخصی آسیب نمی رساند.

به عبارت ساده، می توانید به صورت دستی نوعی فایل توقف ایجاد کنید و در نتیجه از رایانه خود محافظت کنید. برای این:

  • تنظیمات Folder Options را باز کنید و تیک گزینه Hide extensions for known file types را بردارید.
  • یک فایل جدید با استفاده از Notepad ایجاد کنید و آن را در پوشه C:/Windows قرار دهید.
  • نام سند ایجاد شده را تغییر دهید و آن را "perfc" نامید. سپس به گزینه Read Only بروید و آن را فعال کنید.

اکنون ویروس Petya، یک بار روی رایانه شما، نمی تواند به آن آسیب برساند. اما به خاطر داشته باشید که مهاجمان ممکن است در آینده آنها را تغییر دهند. بد افزارو روش ایجاد استاپ فایل بی اثر می شود.

اگر عفونت قبلا رخ داده باشد

هنگامی که کامپیوتر خود به خود راه اندازی مجدد می شود و Check Disk شروع به کار می کند، ویروس تازه شروع به رمزگذاری فایل ها می کند. در این صورت، با دنبال کردن این مراحل، همچنان می‌توانید برای ذخیره اطلاعات خود زمان داشته باشید:

  • فوراً برق رایانه شخصی را خاموش کنید. این تنها راهی است که می توانید از انتشار ویروس جلوگیری کنید.
  • در مرحله بعد، باید هارد دیسک خود را به کامپیوتر دیگری متصل کنید (نه به عنوان درایو بوت!) و اطلاعات مهم را از آن کپی کنید.
  • پس از این، باید هارد دیسک آلوده را به طور کامل فرمت کنید. طبیعتاً باید دوباره روی آن نصب کنید سیستم عاملو نرم افزارهای دیگر

در غیر این صورت، می توانید از یک ویژه استفاده کنید دیسک بوتبرای درمان ویروس پتیا به عنوان مثال، آنتی ویروس کسپرسکی، برنامه ای را برای این اهداف ارائه می دهد نجات کسپرسکیدیسکی که سیستم عامل را دور می زند.

آیا ارزش پرداخت به زورگیران را دارد؟

همانطور که قبلا ذکر شد، سازندگان Petya از کاربرانی که رایانه‌هایشان آلوده شده است، باج 300 دلاری می‌خواهند. به گفته زورگیران، پس از پرداخت مبلغ مشخص شده، کلیدی برای قربانیان ارسال می شود که مسدود شدن اطلاعات را از بین می برد.

مشکل اینجاست که کاربری که می‌خواهد کامپیوترش را به حالت عادی بازگرداند، باید برای مهاجمان بنویسد پست الکترونیک. با این حال، تمام ایمیل های باج افزار به سرعت توسط سرویس های مجاز مسدود می شوند، بنابراین تماس با آنها به سادگی غیرممکن است.

علاوه بر این، بسیاری از توسعه دهندگان پیشرو نرم افزار آنتی ویروس مطمئن هستند که باز کردن قفل رایانه آلوده به Petya با استفاده از هر کدی کاملاً غیرممکن است.

همانطور که احتمالاً متوجه شده اید، نباید به زورگیران پول بدهید. در غیر این صورت، شما نه تنها با یک کامپیوتر غیر کارآمد باقی خواهید ماند، بلکه مقدار زیادی پول نیز از دست خواهید داد.

آیا حملات جدیدی رخ خواهد داد؟

ویروس پتیا اولین بار در مارس 2016 کشف شد. سپس متخصصان امنیتی به سرعت متوجه این تهدید شدند و از گسترش انبوه آن جلوگیری کردند. اما در پایان ژوئن 2017، این حمله دوباره تکرار شد که منجر به عواقب بسیار جدی شد.

بعید است که همه چیز به همین جا ختم شود. حملات باج افزار غیر معمول نیستند، بنابراین مهم است که همیشه از رایانه خود محافظت کنید. مشکل این است که هیچ کس نمی تواند پیش بینی کند که عفونت بعدی در چه قالبی رخ می دهد. به هر حال، همیشه ارزش دارد که توصیه های ساده ارائه شده در این مقاله را دنبال کنید تا خطرات را به حداقل برسانید.

ویروس "پتیا":چگونه آن را نگیریم، چگونه آن را رمزگشایی کنیم، از کجا آمده است - آخرین اخباردر مورد ویروس باج افزار Petya که تا سومین روز "فعالیت" خود حدود 300 هزار رایانه را در کشورهای مختلف جهان آلوده کرده بود و تاکنون هیچکس آن را متوقف نکرده است.

ویروس پتیا - نحوه رمزگشایی، آخرین اخبار.پس از حمله به رایانه، سازندگان باج‌افزار Petya 300 دلار (به بیت کوین) باج می‌خواهند، اما هیچ راهی برای رمزگشایی ویروس Petya وجود ندارد، حتی اگر کاربر پول پرداخت کند. متخصصان آزمایشگاه کسپرسکی که تفاوت‌هایی را در ویروس جدید Petit دیدند و آن را ExPetr نامیدند، ادعا می‌کنند که رمزگشایی به یک شناسه منحصر به فرد برای نصب تروجان خاص نیاز دارد.

قبلا نسخه های شناخته شدهرمزگذارهای مشابه Petya/Mischa/GoldenEye، شناسه نصب حاوی اطلاعات لازم برای این کار بود. ریانووستی می نویسد، در مورد ExPetr، این شناسه وجود ندارد.

ویروس "Petya" - از کجا آمده است، آخرین اخبار.کارشناسان امنیتی آلمان اولین نسخه از جایی که این باج افزار از کجا آمده است را ارائه کرده اند. به نظر آنها، ویروس Petya با باز شدن پرونده های M.E.Doc از طریق رایانه شروع به انتشار کرد. این یک برنامه حسابداری است که پس از ممنوعیت 1C در اوکراین استفاده می شود.

در همین حال، آزمایشگاه کسپرسکی می گوید که هنوز برای نتیجه گیری در مورد منشا و منبع انتشار ویروس ExPetr زود است. این احتمال وجود دارد که مهاجمان اطلاعات گسترده ای داشته باشند. به عنوان مثال، آدرس های ایمیل از خبرنامه قبلی یا برخی دیگر راه های موثرنفوذ به کامپیوتر

با کمک آنها، ویروس "پتیا" با تمام قوا به اوکراین و روسیه و همچنین سایر کشورها حمله کرد. اما میزان واقعی این حمله هکری تا چند روز دیگر مشخص خواهد شد.

ویروس "پتیا": چگونه آن را نگیریم، چگونه آن را رمزگشایی کنیم، از کجا آمده است - آخرین اخباردر مورد ویروس باج افزار Petya که قبلاً نام جدیدی از آزمایشگاه کسپرسکی دریافت کرده است - ExPetr.