Gandrīz katram lietotājam datorā ir pretvīrusu programmas, taču dažreiz parādās Trojas zirgs vai vīruss, kas var apiet visvairāk labāka aizsardzība un inficēt jūsu ierīci un, vēl ļaunāk, šifrēt jūsu datus. Šoreiz par šādu vīrusu kļuva šifrējošais Trojas zirgs “Petya” jeb, kā to mēdz dēvēt arī “Petya”. Šo draudu izplatības tempi ir ļoti iespaidīgi: pāris dienu laikā tas varēja “apciemot” Krieviju, Ukrainu, Izraēlu, Austrāliju, ASV, visas lielākās Eiropas valstis un citas. Tas galvenokārt skāra korporatīvos lietotājus (lidostas, spēkstacijas, tūrisma nozari), bet cieta arī parastie iedzīvotāji. Sava mēroga un ietekmes metožu ziņā tas ir ārkārtīgi līdzīgs nesen sensacionālajam.

Jums noteikti ir jāaizsargā savs dators, lai nekļūtu par jaunās Trojas izspiedējvīrusa “Petya” upuri. Šajā rakstā es jums pastāstīšu, kāda veida “Petya” vīruss tas ir, kā tas izplatās un kā pasargāt sevi no šiem draudiem. Turklāt mēs pieskarsimies Trojas zirgu noņemšanas un informācijas atšifrēšanas jautājumiem.

Kas ir Petya vīruss?

Pirmkārt, mums vajadzētu saprast, kas ir Petja. Petya vīruss ir ļaunprātīga programmatūra, kas ir ransomware tipa Trojas zirgs (ransomware). Šie vīrusi ir paredzēti, lai šantažētu inficēto ierīču īpašniekus, lai iegūtu no viņiem izpirkuma maksu par šifrētiem datiem. Atšķirībā no Wanna Cry, Petja neuztraucas ar atsevišķu failu šifrēšanu - tas gandrīz uzreiz “atņem” visu. HDD pilnībā.

Jaunā vīrusa pareizais nosaukums ir Petya.A. Turklāt Kaspersky to sauc par NotPetya/ExPetr.

Petya vīrusa apraksts

Pēc datora palaišanas Windows sistēmas, Petja šifrē gandrīz uzreiz MFT(Master File Table – galvenā failu tabula). Par ko šī tabula ir atbildīga?

Iedomājieties, ka jūsu cietais disks ir lielākā bibliotēka visā Visumā. Tajā ir miljardiem grāmatu. Tātad, kā atrast pareizo grāmatu? Tikai caur bibliotēkas katalogu. Tieši šo katalogu Petja iznīcina. Tādējādi jūs zaudējat jebkādu iespēju datorā atrast jebkuru “failu”. Vēl precīzāk sakot, pēc Petita “darba” datora cietais disks atgādinās bibliotēku pēc viesuļvētras, kur visur lidos grāmatu lūžņi.

Tādējādi, atšķirībā no Wanna Cry, ko minēju raksta sākumā, Petya.A nešifrē atsevišķi faili, veltot tam iespaidīgu laiku - viņš vienkārši atņem jums iespēju tos atrast.

Pēc visām savām manipulācijām viņš no lietotājiem pieprasa izpirkuma maksu – 300 ASV dolārus, kas jāpārskaita uz Bitcoin kontu.

Kas radīja Petya vīrusu?

Veidojot Petya vīrusu, Windows operētājsistēmā tika izmantots eksploīts (“caurums”) ar nosaukumu “EternalBlue”. Microsoft pirms vairākiem mēnešiem izlaida ielāpu, kas “aizver” šo caurumu, tomēr ne visi to izmanto licencēta kopija Windows instalē visus sistēmas atjauninājumus, vai ne?)

“Petya” veidotājs prata gudri izmantot korporatīvo un privāto lietotāju neuzmanību un ar to nopelnīt. Viņa identitāte joprojām nav zināma (un maz ticams, ka tā būs zināma)

Kā izplatās Petya vīruss?

Petya vīruss visbiežāk izplatās aizsegā ar pieķeršanos e-pastiem un arhīvos ar pirātisku inficētu programmatūru. Pielikumā var būt pilnīgi jebkurš fails, ieskaitot fotoattēlu vai mp3 (kā šķiet no pirmā acu uzmetiena). Pēc faila palaišanas jūsu dators tiks atsāknēts un vīruss simulēs diska pārbaudi, vai nav CHKDSK kļūdu, un šajā brīdī tas pārveidos jūsu datora sāknēšanas ierakstu (MBR). Pēc tam datora ekrānā redzēsit sarkanu galvaskausu. Noklikšķinot uz jebkuras pogas, jūs varat piekļūt tekstam, kurā jums tiks lūgts samaksāt par failu atšifrēšanu un pārskaitīt nepieciešamo summu uz bitcoin maku.

Kā pasargāt sevi no Petya vīrusa?

• Vissvarīgākais un pamata lieta ir ieviest operētājsistēmas atjauninājumu instalēšanu par noteikumu! Tas ir neticami svarīgi. Dariet to tūlīt, nekavējieties.
• Pievērsiet īpašu uzmanību visiem pielikumiem, kas ir pievienoti vēstulēm, pat ja vēstules ir no jums pazīstamām personām. Epidēmijas laikā labāk izmantot alternatīvus datu pārraides avotus.
• OS iestatījumos aktivizējiet opciju “Rādīt faila paplašinājumus” - tādā veidā jūs vienmēr varat redzēt patieso faila paplašinājumu.
• Windows iestatījumos iespējojiet “Lietotāja konta kontroli”.
• Lai izvairītos no infekcijas, jums ir jāinstalē viens no tiem. Sāciet ar OS atjauninājuma instalēšanu, pēc tam instalējiet pretvīrusu - un jūs būsiet daudz drošāks nekā iepriekš.
• Noteikti izveidojiet dublējumus — saglabājiet visus svarīgos datus ārējā cietajā diskā vai mākonī. Tad, ja Petya vīruss iekļūst jūsu datorā un šifrēs visus datus, jums būs diezgan viegli formatēt cietais disks un vēlreiz instalējiet OS.
• Vienmēr pārbaudiet atbilstību pretvīrusu datu bāzes jūsu antivīruss. Visi labi antivīrusi uzraudzīt draudus un reaģēt uz tiem savlaicīgi, atjauninot draudu parakstus.
• Instalējiet bezmaksas Kaspersky Anti-Ransomware utilītu. Tas pasargās jūs no vīrusu šifrēšanas. Šīs programmatūras instalēšana neatbrīvo jūs no nepieciešamības instalēt pretvīrusu.

Kā noņemt Petya vīrusu?

Kā noņemt Petya.A vīrusu no cietā diska? Tas ir ārkārtīgi interesants jautājums. Fakts ir tāds, ka, ja vīruss jau ir bloķējis jūsu datus, tad patiesībā nebūs ko dzēst. Ja neplānojat maksāt izpirkuma programmatūru (ko nevajadzētu darīt) un turpmāk nemēģināsit atgūt datus diskā, varat vienkārši formatēt disku un pārinstalēt OS. Pēc tam no vīrusa nepaliks nekādas pēdas.

Ja jums ir aizdomas, ka jūsu diskā ir inficēts fails, skenējiet disku ar kādu no tiem vai instalējiet Kaspersky anti-virus un veiciet pilnu sistēmas skenēšanu. Izstrādātājs apliecināja, ka viņa parakstu datubāzē jau ir informācija par šo vīrusu.

Petja.Atšifrētājs

Petya.A šifrē jūsu datus ar ļoti spēcīgu algoritmu. Ieslēgts Šis brīdis Nav risinājuma, lai atšifrētu bloķētu informāciju. Turklāt jums nevajadzētu mēģināt piekļūt datiem mājās.

Neapšaubāmi, mēs visi sapņotu iegūt brīnumaino atšifrētāju Petya.A, taču tāda risinājuma vienkārši nav. Vīruss pasauli skāra pirms vairākiem mēnešiem, taču līdz šim nav atrasts līdzeklis tā šifrēto datu atšifrēšanai.

Tāpēc, ja vēl neesat kļuvis par Petya vīrusa upuri, ieklausieties padomos, ko sniedzu raksta sākumā. Ja tomēr zaudējat kontroli pār saviem datiem, jums ir vairākas iespējas.

• Maksājiet naudu. Nav jēgas to darīt! Speciālisti jau noskaidrojuši, ka vīrusa radītājs datus neatjauno un nevar atjaunot, ņemot vērā šifrēšanas tehniku.
• Izņemiet cieto disku no ierīces, uzmanīgi ievietojiet to skapī un nospiediet atšifrētāju, lai parādītos. Starp citu, Kaspersky Lab pastāvīgi strādā šajā virzienā. Pieejamie atšifrētāji ir pieejami vietnē No Ransom.
• Diska formatēšana un operētājsistēmas instalēšana. Mīnuss - visi dati tiks zaudēti.

Petya.A vīruss Krievijā

Raksta tapšanas laikā Krievijā un Ukrainā tika uzbrukti un inficēti vairāk nekā 80 uzņēmumi, tostarp tādi lieli uzņēmumi kā Bašņeftj un Rosņeftj. Šādu lielu uzņēmumu infrastruktūras inficēšanās liecina par Petya.A vīrusa nopietnību. Nav šaubu, ka izspiedējvīrusa Trojas zirgs turpinās izplatīties visā Krievijā, tāpēc jums vajadzētu parūpēties par savu datu drošību un ievērot rakstā sniegtos padomus.

Petya.A un Android, iOS, Mac, Linux

Daudzi lietotāji ir noraizējušies par to, vai Petya vīruss var inficēt viņu ierīces zem Android vadība un iOS. Es steigšu viņus nomierināt - nē, tas nevar. Tas ir paredzēts tikai Windows OS lietotājiem. Tas pats attiecas uz Linux un Mac faniem – var mierīgi gulēt, nekas nedraud.

Secinājums

Tātad, šodien mēs detalizēti apspriedām jauno Petya.A vīrusu. Mēs sapratām, kas ir šis Trojas zirgs un kā tas darbojas, mēs uzzinājām, kā pasargāt sevi no infekcijas un noņemt vīrusu, un kur iegūt Petya atšifrētāju. Es ceru, ka raksts un mani padomi jums bija noderīgi.

, 2017. gada 18. jūlijs

Atbildes uz svarīgākajiem jautājumiem par Petna ransomware vīrusu (NotPetya, ExPetr), uz Petya balstītu izspiedējvīrusu, kas ir inficējis daudzus datorus visā pasaulē.

Šomēnes mēs bijām liecinieki vēl vienam masveida izspiedējvīrusa uzbrukumam tikai dažas nedēļas pēc . Dažu dienu laikā šī izspiedējvīrusa modifikācija saņēma daudz dažādu nosaukumu, tostarp Petya (sākotnējā vīrusa nosaukums), NotPetya, EternalPetya, Nyetya un citus. Sākotnēji mēs to saucām par “Petya ģimenes vīrusu”, bet ērtības labad sauksim to vienkārši par Petnu.

Ap Petnu ir daudz neskaidrību, pat ārpus tās nosaukuma. Vai šī ir tā pati izpirkuma programmatūra, kas Petya, vai cita versija? Vai Petna jāuzskata par izpirkuma programmatūru, kas pieprasa izpirkuma maksu, vai vīrusu, kas vienkārši iznīcina datus? Noskaidrosim dažus pagātnes uzbrukuma aspektus.

Vai Petna joprojām izplatās?

Augstākā aktivitāte pirms dažām dienām. Vīrusa izplatība sākās 27.jūnija rītā. Tajā pašā dienā tā aktivitāte sasniedza augstāko līmeni, un katru stundu notika tūkstošiem uzbrukumu mēģinājumu. Pēc tam to intensitāte tajā pašā dienā ievērojami samazinājās, un pēc tam tika novērots tikai neliels skaits infekciju.

Vai šis uzbrukums ir salīdzināms ar WannaCry?

Nē, spriežot pēc mūsu pārklājuma lietotāju bāze. Mēs novērojām aptuveni 20 000 uzbrukuma mēģinājumu visā pasaulē, kas ir mazāks par 1,5 miljoniem WannaCry uzbrukumu, ko mēs izjaucām.

Kuras valstis ir cietušas visvairāk?

Mūsu telemetrijas dati liecina, ka vīrusa galvenā ietekme bija Ukrainā, kur tika atklāti vairāk nekā 90% uzbrukumu mēģinājumu. Cietusi arī Krievija, ASV, Lietuva, Baltkrievija, Beļģija un Brazīlija. Katrā no šīm valstīm tika reģistrēti no vairākiem desmitiem līdz vairākiem simtiem inficēšanās mēģinājumu.

Kuras operētājsistēmas ir inficētas?

Lielākais uzbrukumu skaits reģistrēts ierīcēm, kas darbojas Windows vadība 7 (78%) un Windows XP (14%). Uzbrukumu skaits beidzies modernas sistēmas izrādījās ievērojami mazāk.

Kā Petnas vīruss nokļuva jūsu datorā?

Izanalizējot kiberepidēmijas attīstības ceļus, atklājām primāro infekcijas pārnēsātāju, kas saistīts ar Ukrainas grāmatvedības programmatūras M.E.Doc atjauninājumu. Tāpēc Ukraina cieta tik nopietni.

Rūgts paradokss: drošības apsvērumu dēļ lietotājiem vienmēr tiek ieteikts atjaunināt programmatūru, taču šajā gadījumā vīruss plašā mērogā sāka izplatīties tieši ar M.E.Doc izdotās programmatūras atjauninājumu.

Kāpēc tika ietekmēti arī datori ārpus Ukrainas?

Viens no iemesliem ir tas, ka dažiem skartajiem uzņēmumiem ir meitasuzņēmumi Ukrainā. Kad vīruss inficē datoru, tas izplatās visā tīklā. Tā viņam izdevās tikt pie datoriem citās valstīs. Mēs turpinām izmeklēt citus iespējamos infekcijas pārnēsātājus.

Kas notiek pēc inficēšanās?

Kad ierīce ir inficēta, Petna mēģina šifrēt failus ar noteiktiem paplašinājumiem. Mērķa failu saraksts nav tik liels, salīdzinot ar oriģinālā Petya vīrusa un citu izspiedējvīrusu sarakstiem, taču tajā ir fotoattēlu paplašinājumi, dokumenti, pirmkodi, datu bāzes, diska attēli un citi. Turklāt šī programmatūra ne tikai šifrē failus, bet arī kā tārps izplatās uz citām lokālajam tīklam pieslēgtām ierīcēm.

Kā, vīruss izmanto trīs Dažādi ceļi izplatīšana: izmantojot EternalBlue (pazīstams no WannaCry) vai EternalRomance, izmantojot Windows tīkla koplietojumus, izmantojot upura nozagtus akreditācijas datus (izmantojot tādas utilītas kā Mimikatz, kas var iegūt paroles), kā arī uzticamus rīkus, piemēram, PsExec un WMIC.

Pēc failu šifrēšanas un izplatīšanās tīklā vīruss mēģina uzlauzt ielādējot Windows(pārveidojot galveno sāknēšanas ierakstu, MBR) un pēc piespiedu atsāknēšanas šifrē galveno failu tabulu (MFT) sistēmas disks. Tas neļauj datoram vairs ielādēt Windows un padara datoru neiespējamu lietošanu.

Vai Petna var inficēt manu datoru ar visiem instalētiem drošības atjauninājumiem?

Jā, tas ir iespējams iepriekš aprakstītās ļaunprātīgās programmatūras horizontālās izplatības dēļ. Pat konkrēta ierīce aizsargāts gan no EternalBlue, gan EternalRomance, tas joprojām var tikt inficēts ar trešo veidu.

Vai šī ir Petua, WannaCry 2.0 vai kas cits?

Petna vīruss noteikti ir balstīts uz oriģinālo Petna ransomware. Piemēram, daļā, kas ir atbildīga par galvenās failu tabulas šifrēšanu, tas ir gandrīz identisks iepriekš sastaptam draudam. Tomēr tas nav pilnīgi identisks vecākām izpirkuma programmatūras versijām. Tiek uzskatīts, ka vīrusu modificēja trešā puse, nevis sākotnējais autors, pazīstams kā Janus, kurš arī komentēja šo lietu Twitter, un vēlāk publicēja galveno atšifrēšanas atslēgu visām iepriekšējām programmas versijām.

Galvenā Petna un WannaCry līdzība ir tā, ka viņi izmantoja EternalBlue izplatību.

Vai tiešām vīruss neko nešifrē, bet vienkārši iznīcina datus diskos?

Tā nav patiesība. Šī ļaunprātīgā programmatūra šifrē tikai failus un galveno failu tabulu (MFT). Cits jautājums ir par to, vai šos failus var atšifrēt.

Vai ir pieejams bezmaksas atšifrēšanas rīks?

Diemžēl nē. Vīruss izmanto diezgan spēcīgu šifrēšanas algoritmu, kuru nevar pārvarēt. Tas šifrē ne tikai failus, bet arī galveno failu tabulu (MFT), kas ļoti apgrūtina atšifrēšanas procesu.

Vai ir vērts maksāt izpirkuma maksu?

Nē! Mēs nekad neiesakām maksāt izpirkuma maksu, jo tas tikai atbalsta noziedzniekus un mudina viņus turpināt šādas darbības. Turklāt ir iespējams, ka jūs neatgūsit savus datus pat tad, ja maksāsiet. Šajā gadījumā tas ir acīmredzamāks nekā jebkad agrāk. Un tāpēc.

Oficiālā e-pasta adrese, kas norādīta izpirkuma pieprasījuma logā [aizsargāts ar e-pastu], uz kuru upuriem tika lūgts nosūtīt izpirkuma maksu, e-pasta pakalpojumu sniedzējs slēdza neilgi pēc vīrusa uzbrukuma. Tāpēc izpirkuma programmatūras veidotāji nevar noskaidrot, kurš maksāja un kurš ne.

MFT nodalījuma atšifrēšana principā nav iespējama, jo atslēga tiek pazaudēta pēc tam, kad izspiedējprogrammatūra to šifrē. IN iepriekšējās versijas vīrusu, šī atslēga tika saglabāta upura identifikatorā, bet jaunākās modifikācijas gadījumā tā ir tikai nejauša virkne.

Turklāt failiem lietotā šifrēšana ir ļoti haotiska. Kā

Iespējams, jūs jau zināt par hakeru draudiem, kas fiksēti 2017. gada 27. jūnijā Krievijas un Ukrainas valstīs, kas tika pakļautas liela mēroga uzbrukumam, kas līdzīgs WannaCry. Vīruss bloķē datorus un pieprasa izpirkuma maksu bitkoinos par failu atšifrēšanu. Kopumā abās valstīs tika ietekmēti vairāk nekā 80 uzņēmumi, tostarp Krievijas Rosņeftj un Bašņeftj.

Izpirkuma programmatūras vīruss, tāpat kā bēdīgi slavenais WannaCry, ir bloķējis visus datora datus un pieprasa, lai noziedzniekiem tiktu pārskaitīta izpirkuma maksa bitkoinos, kas atbilst 300 USD. Bet atšķirībā no Wanna Cry, Petja neuztraucas ar atsevišķu failu šifrēšanu - tas gandrīz uzreiz “atņem” jūsu viss grūti visu disku.

Pareizais šī vīrusa nosaukums ir Petya.A. ESET pārskats atklāj dažas Diskcoder.C (pazīstams arī kā ExPetr, PetrWrap, Petya vai NotPetya) iespējas.

Saskaņā ar visu upuru statistiku, vīruss tika izplatīts pikšķerēšanas e-pastos ar inficētiem pielikumiem. Parasti vēstule nāk ar lūgumu atvērt Teksta dokuments, un kā mēs zinām otro faila paplašinājumu txt.exe ir paslēpts, bet prioritāte ir jaunākie paplašinājumi failu. Pēc noklusējuma operētājsistēma Windows nerāda failu paplašinājumus, un tie izskatās šādi:

Programmā 8.1 pārlūkprogrammas logā (Skats\Mapes opcijas\Noņemiet atzīmi no izvēles rūtiņas Slēpt paplašinājumus reģistrētajiem failu tipiem)

7 pārlūkprogrammas logā (Alt\Tools\Folder Options\Noņemiet atzīmi no izvēles rūtiņas Slēpt paplašinājumus zināmajiem failu tipiem)

Un trakākais ir tas, ka lietotājus nemaz netraucē tas, ka vēstules nāk no nezināmiem lietotājiem un lūdz atvērt nesaprotamus failus.

Pēc faila atvēršanas lietotājs redz " zils ekrāns no nāves".

Pēc atsāknēšanas šķiet, ka ir palaists "Skenēšanas disks"; patiesībā vīruss šifrē failus.

Atšķirībā no citām izspiedējvīrusu programmām, kad šis vīruss darbojas, tas nekavējoties restartē jūsu datoru un, kad tas atkal sāk darboties, ekrānā parādās ziņojums: “NEIZSLĒDZIET datoru! PĀRTRAUKT ŠO PROCESU, JŪS VARAT Iznīcināt VISUS SAVUS DATU! LŪDZU, PĀRLIECINIETIES, VAI JŪSU DATORS IR PIEVIENOTS LĀDĒŠANAI!” Lai gan tā var izskatīties sistēmas kļūda, patiesībā Petja pašlaik klusi veic šifrēšanu slepenā režīmā. Ja lietotājs mēģina atsāknēt sistēmu vai apturēt failu šifrēšanu, ekrānā parādās mirgojošs sarkans skelets kopā ar tekstu “PRESS ANY KEY!” Visbeidzot, pēc taustiņa nospiešanas parādīsies jauns logs ar izpirkuma piezīmi. Šajā piezīmē cietušajam tiek lūgts samaksāt 0,9 bitkoīnus, kas ir aptuveni 400 USD. Taču šī cena ir tikai par vienu datoru. Tāpēc uzņēmumiem, kuriem ir daudz datoru, summa var būt tūkstošos. Šo izpirkuma programmu atšķir arī tas, ka tā dod jums pilnu nedēļu izpirkuma maksas samaksai, nevis parastās 12–72 stundas, ko dod citi šīs kategorijas vīrusi.

Turklāt problēmas ar Petju ar to nebeidzas. Kad šis vīruss iekļūst sistēmā, tas mēģinās pārrakstīt sāknēšanas failu Windows faili, vai tā sauktais sāknēšanas ierakstīšanas galvenais, kas nepieciešams operētājsistēmas sāknēšanai. Jūs nevarēsiet noņemt Petya vīrusu no sava datora, ja vien neatjaunosiet Master Boot Recorder (MBR) iestatījumus. Pat ja jums izdosies labot šos iestatījumus un noņemt vīrusu no sistēmas, diemžēl jūsu faili paliks šifrēti, jo vīrusu noņemšana neatšifrē failus, bet vienkārši noņem infekciozos failus. Protams, vīrusa noņemšana ir svarīga, ja vēlaties turpināt darbu ar datoru

Atrodoties jūsu Windows datorā, Petja gandrīz uzreiz šifrē MFT (galveno failu tabulu). Par ko šī tabula ir atbildīga?

Iedomājieties, ka jūsu cietais disks ir lielākā bibliotēka visā Visumā. Tajā ir miljardiem grāmatu. Tātad, kā atrast pareizo grāmatu? Tikai caur bibliotēkas katalogu. Tieši šo katalogu Petja iznīcina. Tādējādi jūs zaudējat jebkādu iespēju datorā atrast jebkuru “failu”. Vēl precīzāk sakot, pēc Petja “nostrādāšanas” datora cietais disks atgādinās bibliotēku pēc viesuļvētras, kur visur lidos grāmatu lūžņi.

Tādējādi, atšķirībā no Wanna Cry, Petya.A nešifrē atsevišķus failus, pavadot tam ievērojamu laiku - tas vienkārši atņem iespēju tos atrast.

Kas radīja Petya vīrusu?

Veidojot Petya vīrusu, Windows operētājsistēmā tika izmantots eksploats (“caurums”) ar nosaukumu “EternalBlue”. Microsoft ir izlaidusi ielāpu kb4012598(no iepriekš izdotajām WannaCry nodarbībām mēs jau runājām par šo atjauninājumu, kas “aizver” šo caurumu.

Petya radītājs spēja gudri izmantot korporatīvo un privāto lietotāju neuzmanību un nopelnīt ar to naudu. Viņa identitāte joprojām nav zināma (un maz ticams, ka tā būs zināma)

Kā noņemt Petya vīrusu?

Kā noņemt Petya.A vīrusu no cietā diska? Tas ir ārkārtīgi interesants jautājums. Fakts ir tāds, ka, ja vīruss jau ir bloķējis jūsu datus, tad patiesībā nebūs ko dzēst. Ja neplānojat maksāt izpirkuma programmatūru (ko nevajadzētu darīt) un turpmāk nemēģināsit atgūt datus diskā, varat vienkārši formatēt disku un pārinstalēt OS. Pēc tam no vīrusa nepaliks nekādas pēdas.

Ja jums ir aizdomas, ka jūsu diskā ir inficēts fails, skenējiet disku ar pretvīrusu no ESET Nod 32 un veiciet pilnu sistēmas skenēšanu. Uzņēmums NOD 32 apliecināja, ka tā parakstu datu bāzē jau ir informācija par šo vīrusu.

Petja.Atšifrētājs

Petya.A šifrē jūsu datus ar ļoti spēcīgu šifrēšanas algoritmu. Pašlaik nav risinājuma, lai atšifrētu bloķētu informāciju.

Neapšaubāmi, mēs visi sapņotu iegūt brīnumaino atšifrētāju Petya.A, taču tāda risinājuma vienkārši nav. WannaCry vīruss pasauli skāra pirms dažiem mēnešiem, taču līdz šim nav atrasts līdzeklis tā šifrēto datu atšifrēšanai.

Vienīgā iespēja ir, ja jums iepriekš bija failu ēnu kopijas.

Tāpēc, ja vēl neesat kļuvis par Petya.A vīrusa upuri, atjauniniet savu OS sistēmu, instalējiet antivīrusu no ESET NOD 32. Ja joprojām zaudējat kontroli pār saviem datiem, jums ir vairākas iespējas.

Maksājiet naudu. Nav jēgas to darīt! Speciālisti jau noskaidrojuši, ka vīrusa radītājs datus neatjauno un nevar atjaunot, ņemot vērā šifrēšanas tehniku.

Mēģiniet noņemt vīrusu no datora un mēģiniet atjaunot failus, izmantojot ēnu kopiju (vīruss tos neietekmē)

Izņemiet cieto disku no ierīces, uzmanīgi ievietojiet to skapī un nospiediet atšifrētāju, lai parādītos.

Diska formatēšana un operētājsistēmas instalēšana. Mīnuss - visi dati tiks zaudēti.

Petya.A un Android, iOS, Mac, Linux

Daudzi lietotāji ir noraizējušies par to, vai Petya vīruss var inficēt viņu Android un iOS ierīces. Es steigšu viņus nomierināt - nē, tas nevar. Tas ir paredzēts tikai Windows OS lietotājiem. Tas pats attiecas uz Linux un Mac faniem – var mierīgi gulēt, nekas nedraud.

Petja vīrusa uzbrukums bija nepatīkams pārsteigums daudzu valstu iedzīvotājiem. Tūkstošiem datoru tika inficēti, kā rezultātā lietotāji zaudēja svarīgus datus, kas tika glabāti viņu cietajos diskos.

Protams, tagad ažiotāža ap šo incidentu ir mazinājusies, taču neviens nevar garantēt, ka tas neatkārtosies. Tāpēc ir ļoti svarīgi aizsargāt datoru no iespējamiem draudiem un lieki neriskēt. Kā to izdarīt visefektīvāk, tiks apspriests tālāk.

Uzbrukuma sekas

Sākumā mums vajadzētu atcerēties, kādas sekas izraisīja Petya.A īslaicīgā darbība. Tikai dažu stundu laikā tika ietekmēti desmitiem Ukrainas un Krievijas uzņēmumu. Ukrainā, starp citu, datoru nodaļu darbs tādās iestādēs kā “Dneprenergo”, “ Jaunā Pošta" un "Kijevas metro". Turklāt dažas valdības organizācijas, bankas un mobilo sakaru operatori nebija pasargāti no Petya vīrusa.

Arī Eiropas Savienības valstīs izpirkuma programmatūra paspēja sagādāt daudz nepatikšanas. Francijas, Dānijas, Anglijas un starptautiskās kompānijas ziņojušas par īslaicīgiem traucējumiem datorvīrusa Petya uzbrukuma dēļ.

Kā redzat, draudi ir patiešām nopietni. Un, lai gan uzbrucēji par upuriem izvēlējās lielas finanšu organizācijas, parastie lietotāji cieta ne mazāk.

Kā Petja darbojas?

Lai saprastu, kā pasargāt sevi no Petya vīrusa, vispirms ir jāsaprot, kā tas darbojas. Tātad, nonākot datorā, ļaunprātīgā programma no interneta lejupielādē īpašu izspiedējprogrammatūru, kas inficē Master Boot Ieraksts. Šī ir atsevišķa vieta cietajā diskā, kas ir paslēpta no lietotāja acīm un paredzēta operētājsistēmas ielādei.

Lietotājam šis process izskatās pēc programmas Check Disk standarta darbības pēc pēkšņas sistēmas avārijas. Dators pēkšņi pārstartējas, un ekrānā tiek parādīts ziņojums par rūpīgi pārbauda diskā par kļūdām un, lūdzu, neizslēdziet strāvu.

Tiklīdz šis process beidzas, tiek parādīts ekrānsaudzētājs ar informāciju par bloķēto datoru. Petya vīrusa radītājs pieprasa lietotājam samaksāt izpirkuma maksu 300 USD (vairāk nekā 17,5 tūkstošus rubļu) apmērā, apsolot pretī nosūtīt datora darbības atsākšanai nepieciešamo atslēgu.

Profilakse

Loģiski, ka infekciju novērst ir daudz vieglāk datorvīruss“Petija”, nekā vēlāk risināt tās sekas. Lai aizsargātu datoru:

• Vienmēr instalējiet jaunākos operētājsistēmas atjauninājumus. Tas pats principā attiecas uz visu programmatūra instalēta jūsu datorā. Starp citu, “Petya” nevar kaitēt datoriem, kuros darbojas MacOS un Linux.
• Izmantojiet jaunākās pretvīrusu versijas un neaizmirstiet atjaunināt tās datu bāzi. Jā, padoms ir banāls, bet ne visi to ievēro.
• Neatveriet aizdomīgus failus, kas jums nosūtīti pa e-pastu. Tāpat vienmēr pārbaudiet lietotnes, kas lejupielādētas no apšaubāmiem avotiem.
• Dariet to regulāri dublējumkopijas svarīgi dokumenti un faili. Vislabāk tos glabāt atsevišķā datu nesējā vai “mākonī” (Google disks, Yandex. Disk utt.). Pateicoties tam, pat ja kaut kas notiks ar datoru, vērtīga informācija netiks sabojāta.

Apturēšanas faila izveide

Vadošie izstrādātāji pretvīrusu programmas uzzināju, kā noņemt Petya vīrusu. Precīzāk, pateicoties viņu pētījumiem, viņi spēja saprast, ko izpirkuma programmatūra mēģina atrast datorā infekcijas sākumposmā. lokālais fails. Ja viņam izdodas, vīruss pārstāj darboties un nekaitē datoram.

Vienkārši sakot, jūs varat manuāli izveidot sava veida stop failu un tādējādi aizsargāt savu datoru. Priekš šī:

• Atveriet mapes opciju iestatījumus un noņemiet atzīmi no izvēles rūtiņas "Paslēpt zināmo failu tipu paplašinājumus".
• Izveidojiet jaunu failu, izmantojot Notepad, un ievietojiet to C:/Windows direktorijā.
• Pārdēvējiet izveidoto dokumentu, nosaucot to par "perfc". Pēc tam dodieties uz un iespējojiet opciju Tikai lasāms.

Tagad Petya vīruss, nonākot jūsu datorā, nespēs tam kaitēt. Bet paturiet prātā, ka uzbrucēji var tos modificēt nākotnē. ļaunprogrammatūra un stop faila izveides metode kļūs neefektīva.

Ja infekcija jau ir notikusi

Kad dators tiek atsāknēts pats no sevis un tiek startēts Check Disk, vīruss tikai sāk šifrēt failus. Šādā gadījumā joprojām varat saglabāt savus datus, veicot tālāk norādītās darbības.

• Nekavējoties izslēdziet datora strāvu. Tas ir vienīgais veids, kā novērst vīrusa izplatīšanos.
• Tālāk jums vajadzētu savienot cieto disku ar citu datoru (nevis kā sāknēšanas disku!) un kopēt no tā svarīgu informāciju.
• Pēc tam inficētais cietais disks ir pilnībā jāformatē. Protams, jums tas būs jāinstalē no jauna operētājsistēma un cita programmatūra.

Alternatīvi varat mēģināt izmantot īpašu sāknēšanas disks lai izārstētu Petijas vīrusu. Piemēram, Kaspersky Anti-Virus nodrošina programmu šiem nolūkiem Kaspersky glābšana Disks, kas apiet operētājsistēmu.

Vai ir vērts maksāt izspiedējiem?

Kā minēts iepriekš, Petya veidotāji no lietotājiem, kuru datori bija inficēti, pieprasa izpirkuma maksu 300 USD apmērā. Kā norāda izspiedēji, pēc noteiktās summas samaksāšanas cietušajiem tiks nosūtīta atslēga, kas novērsīs informācijas bloķēšanu.

Problēma ir tāda, ka lietotājam, kurš vēlas atjaunot savu datoru normālā režīmā, ir jāraksta uzbrucējiem uz e-pasts. Tomēr visus ransomware e-pastus ātri bloķē pilnvarotie servisi, tāpēc sazināties ar viņiem vienkārši nav iespējams.

Turklāt daudzi vadošie pretvīrusu programmatūras izstrādātāji ir pārliecināti, ka ir pilnīgi neiespējami atbloķēt Petya inficētu datoru, izmantojot jebkuru kodu.

Kā jūs droši vien saprotat, jums nevajadzētu maksāt izspiedējiem. Pretējā gadījumā jūs ne tikai paliksit ar nestrādājošu datoru, bet arī zaudēsiet lielu naudas summu.

Vai būs jauni uzbrukumi?

Petya vīruss pirmo reizi tika atklāts 2016. gada martā. Tad drošības speciālisti ātri pamanīja draudus un novērsa to masveida izplatību. Taču jau 2017. gada jūnija beigās uzbrukums atkārtojās vēlreiz, kas noveda pie ļoti nopietnām sekām.

Diez vai ar to viss beigsies. Ransomware uzbrukumi nav nekas neparasts, tāpēc ir svarīgi visu laiku aizsargāt datoru. Problēma ir tā, ka neviens nevar paredzēt, kādā formātā notiks nākamā infekcija. Lai kā arī būtu, vienmēr ir vērts ievērot šajā rakstā sniegtos vienkāršos ieteikumus, lai riskus samazinātu līdz minimumam.

Vīruss "Petya": kā to nenoķert, kā to atšifrēt, no kurienes tas nācis - pēdējās ziņas par Petya ransomware vīrusu, kas līdz trešajai “darbības” dienai dažādās pasaules valstīs bija inficējis aptuveni 300 tūkstošus datoru, un līdz šim neviens to nav apturējis.

Petya vīruss - kā atšifrēt, jaunākās ziņas. Pēc uzbrukuma datoram Petya ransomware veidotāji pieprasa izpirkuma maksu 300 dolāru apmērā (bitkoinos), taču Petya vīrusu nevar atšifrēt, pat ja lietotājs maksā naudu. Kaspersky Lab speciālisti, kuri saskatīja atšķirības jaunajā vīrusā no Petit un nosauca to par ExPetr, apgalvo, ka atšifrēšanai ir nepieciešams unikāls identifikators konkrētai Trojas zirga instalācijai.

Iepriekš zināmās versijas līdzīgi šifrētāji Petya/Mischa/GoldenEye, instalācijas identifikators saturēja tam nepieciešamo informāciju. ExPetr gadījumā šis identifikators neeksistē, raksta RIA Novosti.

“Petya” vīruss – no kurienes tas nācis, jaunākās ziņas. Vācu drošības eksperti ir izvirzījuši pirmo versiju par to, no kurienes nāk šī izspiedējvīrusa programmatūra. Pēc viņu domām, Petya vīruss sāka izplatīties caur datoriem, kad tika atvērti M.E.Doc faili. Šī ir grāmatvedības programma, kas tika izmantota Ukrainā pēc 1C aizlieguma.

Tikmēr Kaspersky Lab norāda, ka ir pāragri izdarīt secinājumus par ExPetr vīrusa izcelsmi un izplatības avotu. Iespējams, ka uzbrucēju rīcībā bija plaši dati. Piemēram, e-pasta adreses no iepriekšējā informatīvā izdevuma vai dažiem citiem efektīvi veidi iekļūšana datoros.

Ar viņu palīdzību “Petya” vīruss ar pilnu spēku skāra Ukrainu un Krieviju, kā arī citas valstis. Taču šī hakeru uzbrukuma patiesais mērogs kļūs skaidrs pēc dažām dienām, ziņo.

“Petya” vīruss: kā to nenoķert, kā to atšifrēt, no kurienes tas nāca - jaunākās ziņas par Petya ransomware vīrusu, kas jau saņēmis jaunu nosaukumu no Kaspersky Lab - ExPetr.