Nesten alle brukere har antivirusprogrammer på datamaskinen, men noen ganger dukker det opp en trojaner eller virus som kan omgå de fleste bedre beskyttelse og infisere enheten din, og enda verre, krypter dataene dine. Denne gangen ble den krypterende trojaneren "Petya" eller, som det også kalles, "Petya" et slikt virus. Spredningshastigheten av denne trusselen er veldig imponerende: i løpet av et par dager var den i stand til å "besøke" Russland, Ukraina, Israel, Australia, USA, alle store europeiske land og mer. Det rammet hovedsakelig bedriftsbrukere (flyplasser, kraftverk, reiselivsnæring), men vanlige mennesker ble også rammet. Når det gjelder omfang og påvirkningsmetoder, er den ekstremt lik den nylig oppsiktsvekkende.

Du må absolutt beskytte datamaskinen din for ikke å bli et offer for den nye trojanske løsepengevaren "Petya". I denne artikkelen vil jeg fortelle deg hva slags "Petya"-virus dette er, hvordan det sprer seg og hvordan du kan beskytte deg mot denne trusselen. I tillegg vil vi komme inn på problemene med fjerning av trojanere og informasjonsdekryptering.

Hva er Petya-viruset?

Først bør vi forstå hva Petya er. Petya-viruset er ondsinnet programvare som er en ransomware-type trojaner (ransomware). Disse virusene er laget for å utpresse eiere av infiserte enheter for å få løsepenger fra dem for krypterte data. I motsetning til Wanna Cry, bryr ikke Petya seg selv med å kryptere individuelle filer - den "tar bort" nesten umiddelbart HDD fullstendig.

Det riktige navnet på det nye viruset er Petya.A. I tillegg kaller Kaspersky det NotPetya/ExPetr.

Beskrivelse av Petya-viruset

Etter å ha slått datamaskinen kjører Windows-systemer, krypterer Petya nesten umiddelbart MFT(Master File Table – hovedtabell over filer). Hva er dette bordet ansvarlig for?

Tenk deg at harddisken din er det største biblioteket i hele universet. Den inneholder milliarder av bøker. Så hvordan finner du riktig bok? Kun gjennom bibliotekets katalog. Det er denne katalogen Petya ødelegger. Dermed mister du enhver mulighet til å finne en "fil" på PC-en din. For å være enda mer presis, etter Petits "arbeid", vil datamaskinens harddisk ligne på et bibliotek etter en tornado, med utklipp av bøker som flyr overalt.

Derfor, i motsetning til Wanna Cry, som jeg nevnte i begynnelsen av artikkelen, krypterer ikke Petya.A separate filer, bruker en imponerende mengde tid på dette - han tar rett og slett fra deg enhver mulighet til å finne dem.

Etter alle manipulasjonene hans krever han løsepenger fra brukerne - 300 amerikanske dollar, som må overføres til en Bitcoin-konto.

Hvem skapte Petya-viruset?

Når du opprettet Petya-viruset, ble en utnyttelse ("hull") i Windows-operativsystemet kalt "EternalBlue" brukt. Microsoft ga ut en oppdatering som "lukker" dette hullet for flere måneder siden, men ikke alle bruker den lisensiert kopi Windows installerer alle systemoppdateringer, ikke sant?)

Skaperen av "Petya" var i stand til klokt å bruke uforsiktigheten til bedrifts- og private brukere og tjene penger på det. Identiteten hans er fortsatt ukjent (og er neppe kjent)

Hvordan sprer Petya-viruset seg?

Petya-viruset sprer seg oftest under dekke av vedlegg til e-poster og i arkiver med piratkopiert infisert programvare. Vedlegget kan inneholde absolutt hvilken som helst fil, inkludert et bilde eller mp3 (som det ser ut ved første øyekast). Etter at du har kjørt filen, vil datamaskinen starte på nytt og viruset vil simulere en disksjekk for CHKDSK-feil, og for øyeblikket vil det endre datamaskinens oppstartsrekord (MBR). Etter dette vil du se en rød hodeskalle på dataskjermen. Ved å klikke på en hvilken som helst knapp får du tilgang til en tekst der du blir bedt om å betale for å dekryptere filene dine og overføre det nødvendige beløpet til en bitcoin-lommebok.

Hvordan beskytte deg mot Petya-viruset?

• Det viktigste og grunnleggende er å gjøre det til en regel å installere oppdateringer for operativsystemet ditt! Dette er utrolig viktig. Gjør det akkurat nå, ikke utsett.
• Vær spesielt oppmerksom på alle vedlegg som er vedlagt brev, selv om brevene er fra personer du kjenner. Under epidemien er det bedre å bruke alternative kilder for dataoverføring.
• Aktiver alternativet "Vis filutvidelser" i OS-innstillingene - på denne måten kan du alltid se den sanne filtypen.
• Aktiver "Brukerkontokontroll" i Windows-innstillingene.
• Du må installere en av dem for å unngå infeksjon. Start med å installere en OS-oppdatering, installer deretter et antivirus - og du vil være mye tryggere enn før.
• Sørg for å lage "sikkerhetskopier" - lagre alle viktige data til en ekstern harddisk eller til skyen. Deretter, hvis Petya-viruset trenger inn på PC-en din og krypterer alle data, vil det være ganske enkelt for deg å formatere harddisk og installer operativsystemet på nytt.
• Sjekk alltid for relevans antivirus databaser antivirusprogrammet ditt. Alle gode antivirus overvåke trusler og svare på dem i tide ved å oppdatere trusselsignaturer.
• Installer det gratis Kaspersky Anti-Ransomware-verktøyet. Det vil beskytte deg mot kryptering av virus. Installering av denne programvaren fritar deg ikke for behovet for å installere et antivirusprogram.

Hvordan fjerne Petya virus?

Hvordan fjerne Petya.A virus fra harddisken? Dette er et ekstremt interessant spørsmål. Faktum er at hvis viruset allerede har blokkert dataene dine, vil det faktisk ikke være noe å slette. Hvis du ikke planlegger å betale løsepengevare (som du ikke bør gjøre) og ikke vil prøve å gjenopprette data på disken i fremtiden, kan du ganske enkelt formatere disken og installere operativsystemet på nytt. Etter dette vil det ikke være spor etter viruset igjen.

Hvis du mistenker at det er en infisert fil på disken din, skann disken med en av dem, eller installer Kaspersky antivirus og foreta en fullstendig systemskanning. Utvikleren forsikret at signaturdatabasen hans allerede inneholder informasjon om dette viruset.

Petya.En dekryptering

Petya.A krypterer dataene dine med en veldig sterk algoritme. På dette øyeblikket Det finnes ingen løsning for å dekryptere blokkert informasjon. Dessuten bør du ikke prøve å få tilgang til data hjemme.

Utvilsomt ville vi alle drømme om å få den mirakuløse dekrypteringsmaskinen Petya.A, men det finnes rett og slett ingen slik løsning. Viruset traff verden for flere måneder siden, men en kur for å dekryptere dataene det krypterte har aldri blitt funnet.

Derfor, hvis du ennå ikke har blitt et offer for Petya-viruset, lytt til rådene jeg ga i begynnelsen av artikkelen. Hvis du mister kontrollen over dataene dine, har du flere alternativer.

• Betale penger. Det er ingen vits i å gjøre dette! Eksperter har allerede funnet ut at skaperen av viruset ikke gjenoppretter dataene, og kan ikke gjenopprette dem, gitt krypteringsteknikken.
• Fjern harddisken fra enheten, plasser den forsiktig i kabinettet og trykk på dekrypteringsknappen for å vises. Forresten, Kaspersky Lab jobber hele tiden i denne retningen. Tilgjengelige dekrypteringer er tilgjengelige på nettstedet No Ransom.
• Formatere disken og installere operativsystemet. Minus - alle data vil gå tapt.

Petya.A-virus i Russland

I Russland og Ukraina ble over 80 selskaper angrepet og infisert i skrivende stund, inkludert så store som Bashneft og Rosneft. Infeksjon av infrastrukturen til slike store selskaper indikerer alvoret til Petya.A-viruset. Det er ingen tvil om at løsepenge-trojaneren vil fortsette å spre seg over hele Russland, så du bør ta vare på sikkerheten til dataene dine og følge rådene gitt i artikkelen.

Petya.A og Android, iOS, Mac, Linux

Mange brukere er bekymret for om Petya-viruset kan infisere enhetene deres under Android-kontroll og iOS. Jeg skynder meg å berolige dem - nei, det kan det ikke. Den er kun beregnet på Windows OS-brukere. Det samme gjelder for fans av Linux og Mac - du kan sove rolig, ingenting truer deg.

Konklusjon

Så i dag diskuterte vi i detalj det nye Petya.A-viruset. Vi forsto hva denne trojaneren er og hvordan den fungerer, vi lærte hvordan vi beskytter oss mot infeksjon og fjerner viruset, og hvor vi kan få tak i Petya-dekryptøren. Jeg håper at artikkelen og tipsene mine var nyttige for deg.

18. juli 2017

Svar på de viktigste spørsmålene om Petna løsepengevirus (NotPetya, ExPetr), en Petya-basert løsepengeprogramvare som har infisert mange datamaskiner rundt om i verden.

Denne måneden var vi vitne til nok et massivt ransomware-angrep, bare uker etter . I løpet av få dager fikk denne modifikasjonen av løsepengevaren mange forskjellige navn, inkludert Petya (navnet på det originale viruset), NotPetya, EternalPetya, Nyetya og andre. Vi kalte det opprinnelig "Petya-familieviruset", men for enkelhets skyld vil vi ganske enkelt kalle det Petna.

Det er mange uklarheter rundt Petna, også utenfor navnet. Er dette samme løsepengevare som Petya, eller en annen versjon? Bør Petna betraktes som en løsepengevare som krever løsepenger eller et virus som rett og slett ødelegger data? La oss avklare noen aspekter ved det tidligere angrepet.

Sprer Petna fortsatt seg?

Høy aktivitet for noen dager siden. Spredningen av viruset begynte om morgenen 27. juni. Samme dag nådde aktiviteten sitt høyeste nivå, med tusenvis av angrepsforsøk hver time. Etter dette avtok intensiteten deres betydelig i løpet av samme dag, og bare et lite antall infeksjoner ble observert senere.

Er dette angrepet sammenlignbart med WannaCry?

Nei, etter vår dekning å dømme brukerbase. Vi observerte omtrent 20 000 angrepsforsøk over hele verden, noe som overskygges av de 1,5 millioner WannaCry-angrepene vi hindret.

Hvilke land har lidd mest?

Telemetridataene våre viser at hovedpåvirkningen av viruset var i Ukraina, hvor mer enn 90 % av angrepsforsøkene ble oppdaget. Russland, USA, Litauen, Hviterussland, Belgia og Brasil ble også rammet. I hvert av disse landene ble det registrert fra flere dusin til flere hundre infeksjonsforsøk.

Hvilke operativsystemer har blitt infisert?

Det største antallet angrep ble registrert på enheter som kjører Windows-kontroll 7 (78 %) og Windows XP (14 %). Antall angrep over moderne systemer viste seg å være betydelig mindre.

Hvordan kom Petna-viruset inn på PC-en din?

Etter å ha analysert utviklingsveiene til cyberepidemien, oppdaget vi den primære smittevektoren, som er assosiert med oppdateringen av den ukrainske regnskapsprogramvaren M.E.Doc. Dette er grunnen til at Ukraina led så alvorlig.

Et bittert paradoks: Av sikkerhetsgrunner anbefales brukere alltid å oppdatere programvaren sin, men i dette tilfellet begynte viruset å spre seg i stor skala nettopp med oppdateringen av programvaren utgitt av M.E.Doc.

Hvorfor ble datamaskiner utenfor Ukraina også berørt?

En årsak er at noen av de berørte selskapene har ukrainske datterselskaper. Når et virus infiserer en datamaskin, sprer det seg over hele nettverket. Slik klarte han å nå datamaskiner i andre land. Vi fortsetter å undersøke andre mulige infeksjonsvektorer.

Hva skjer etter infeksjon?

Når en enhet er infisert, prøver Petna å kryptere filer med visse utvidelser. Listen over målfiler er ikke så stor sammenlignet med listene over det originale Petya-viruset og annen løsepengevare, men den inkluderer utvidelser av bilder, dokumenter, kildekoder, databaser, diskbilder og andre. I tillegg krypterer denne programvaren ikke bare filer, men sprer seg også som en orm til andre enheter koblet til det lokale nettverket.

Hvordan, viruset bruker tre forskjellige måter distribusjon: ved å bruke EternalBlue (kjent fra WannaCry) eller EternalRomance-utnyttelser, gjennom Windows-nettverksdelinger ved å bruke stjålet legitimasjon fra offeret (ved å bruke verktøy som Mimikatz, som kan trekke ut passord), samt pålitelige verktøy som PsExec og WMIC.

Etter å ha kryptert filer og spredt over nettverket, prøver viruset å bryte laster inn Windows(endrer master boot record, MBR), og etter en tvungen omstart, krypterer master file table (MFT) systemdisk. Dette hindrer datamaskinen i å laste inn Windows lenger og gjør datamaskinen umulig å bruke.

Kan Petna infisere datamaskinen min med alle sikkerhetsoppdateringer installert?

Ja, dette er mulig på grunn av den horisontale spredningen av skadelig programvare beskrevet ovenfor. Til og med bestemt enhet beskyttet mot både EternalBlue og EternalRomance, kan den fortsatt bli infisert på en tredje måte.

Er dette Petua, WannaCry 2.0 eller noe annet?

Petna-viruset er definitivt basert på den originale Petna-ransomwaren. For eksempel, i den delen som er ansvarlig for å kryptere hovedfiltabellen, er den nesten identisk med trusselen som ble møtt tidligere. Den er imidlertid ikke helt identisk med eldre versjoner av løsepengevaren. Det antas at viruset ble modifisert av en tredjepart i stedet for den opprinnelige forfatteren, kjent som Janus, som også kommenterte saken i Twitter, og publiserte senere hoveddekrypteringsnøkkelen for alle tidligere versjoner av programmet.

Hovedlikheten mellom Petna og WannaCry er at de brukte EternalBlue-utnyttelsen for å spre seg.

Er det sant at viruset ikke krypterer noe, men rett og slett ødelegger data på disker?

Det er ikke sant. Denne skadelige programvaren krypterer bare filer og hovedfiltabellen (MFT). Et annet spørsmål er om disse filene kan dekrypteres.

Er det et gratis dekrypteringsverktøy tilgjengelig?

Dessverre ikke. Viruset bruker en ganske kraftig krypteringsalgoritme som ikke kan overvinnes. Den krypterer ikke bare filene, men også hovedfiltabellen (MFT), noe som gjør dekrypteringsprosessen svært vanskelig.

Er det verdt å betale løsepenger?

Nei! Vi anbefaler aldri å betale løsepenger, da dette kun støtter kriminelle og oppmuntrer dem til å fortsette slike aktiviteter. Dessuten er det sannsynlig at du ikke får tilbake dataene dine selv om du betaler. I dette tilfellet er dette mer åpenbart enn noen gang før. Og det er derfor.

Den offisielle e-postadressen som er angitt i vinduet med løsepenger [e-postbeskyttet], som ofrene ble bedt om å sende løsepenger til, ble stengt av e-postleverandøren kort tid etter virusangrepet. Derfor kan ikke skaperne av løsepengevaren finne ut hvem som betalte og hvem som ikke gjorde det.

Dekryptering av MFT-partisjonen er i prinsippet umulig, siden nøkkelen går tapt etter at ransomware krypterer den. I tidligere versjoner virus, denne nøkkelen ble lagret i offeridentifikatoren, men i tilfelle den siste modifikasjonen er det bare en tilfeldig streng.

I tillegg er krypteringen brukt på filene veldig kaotisk. Hvordan

Du er kanskje allerede klar over hackertrusselen registrert 27. juni 2017 i landene Russland og Ukraina, som ble utsatt for et storstilt angrep som ligner på WannaCry. Viruset låser datamaskiner og krever løsepenger i bitcoins for å dekryptere filer. Totalt ble mer enn 80 selskaper i begge land berørt, inkludert russiske Rosneft og Bashneft.

Ransomware-viruset har, i likhet med det beryktede WannaCry, blokkert all datadata og krever at løsepenger i bitcoins tilsvarende $300 overføres til de kriminelle. Men i motsetning til Wanna Cry, bryr ikke Petya seg med å kryptere individuelle filer - det tar nesten umiddelbart bort alt hardt hele disken.

Det riktige navnet på dette viruset er Petya.A. ESET-rapporten avslører noen av egenskapene til Diskcoder.C (aka ExPetr, PetrWrap, Petya eller NotPetya)

Ifølge statistikk fra alle ofre ble viruset distribuert i phishing-e-poster med infiserte vedlegg. Vanligvis kommer et brev med en forespørsel om å åpne Tekstdokument, og hvordan vet vi den andre filtypen tekst.exe er skjult, men prioritet er siste utvidelser fil. Som standard viser ikke Windows-operativsystemet filutvidelser, og de ser slik ut:

I 8.1, i Utforsker-vinduet (Vis\Mappealternativer\Fjern merket for Skjul utvidelser for registrerte filtyper)

I 7 i Utforsker-vinduet (Alt\Tools\Folder Options\Fjern merket for Skjul utvidelser for kjente filtyper)

Og det verste er at brukerne ikke en gang plages av at brev kommer fra ukjente brukere og ber dem åpne uforståelige filer.

Etter å ha åpnet filen, ser brukeren " Blå skjerm av død".

Etter omstart ser det ut til at "Scan Disk" er lansert; faktisk krypterer viruset filene.

I motsetning til andre løsepengeprogrammer, starter det umiddelbart datamaskinen på nytt når dette viruset kjører, og når det starter opp igjen, vises en melding på skjermen: "IKKE SLÅ AV PCEN! HVIS DU STOPPER DENNE PROSESSEN, KAN DU ØDELEGGE ALLE DINE DATA! VENNLIGST KONTROLLER AT DIN DATAMASKIN ER KOBLET TIL LADER!" Selv om det kan se ut som systemfeil, faktisk, Petya utfører for tiden stille kryptering i stealth-modus. Hvis brukeren prøver å starte systemet på nytt eller stoppe filkryptering, vises et blinkende rødt skjelett på skjermen sammen med teksten "TRYKK EN NØKKEL!" Til slutt, etter å ha trykket på tasten, vises et nytt vindu med en løsepengenota. I dette notatet blir offeret bedt om å betale 0,9 bitcoins, som er omtrent $400. Denne prisen er imidlertid kun for én datamaskin. Derfor, for selskaper som har mange datamaskiner, kan beløpet være i tusenvis. Det som også gjør denne løsepengevaren annerledes er at den gir deg en hel uke til å betale løsepengene, i stedet for de vanlige 12-72 timene som andre virus i denne kategorien gir.

Dessuten slutter ikke problemene med Petya der. Når dette viruset kommer inn i systemet, vil det prøve å omskrive oppstarten Windows-filer, eller den såkalte boot recording master, nødvendig for å starte operativsystemet. Du vil ikke kunne fjerne Petya-virus fra datamaskinen din med mindre du gjenoppretter innstillingene for Master Boot Recorder (MBR). Selv om du klarer å korrigere disse innstillingene og fjerne viruset fra systemet ditt, vil dessverre filene dine forbli krypterte fordi virusfjerning ikke dekrypterer filene, men fjerner ganske enkelt de smittsomme filene. Selvfølgelig er det viktig å fjerne viruset hvis du vil fortsette å jobbe med datamaskinen

En gang på Windows-datamaskinen krypterer Petya nesten umiddelbart MFT (Master File Table). Hva er dette bordet ansvarlig for?

Tenk deg at harddisken din er det største biblioteket i hele universet. Den inneholder milliarder av bøker. Så hvordan finner du riktig bok? Kun gjennom bibliotekets katalog. Det er denne katalogen Petya ødelegger. Dermed mister du enhver mulighet til å finne en "fil" på PC-en din. For å være enda mer presis, etter at Petya "fungerer", vil datamaskinens harddisk ligne på et bibliotek etter en tornado, med utklipp av bøker som flyr overalt.

Derfor, i motsetning til Wanna Cry, krypterer ikke Petya.A individuelle filer, og bruker en betydelig mengde tid på dette - det tar rett og slett bort enhver mulighet for deg å finne dem.

Hvem skapte Petya-viruset?

Når du opprettet Petya-viruset, ble en utnyttelse ("hull") i Windows OS kalt "EternalBlue" brukt. Microsoft har gitt ut en patch kb4012598(fra tidligere utgitte leksjoner på WannaCry har vi allerede snakket om denne oppdateringen, som "lukker" dette hullet.

Skaperen av Petya var i stand til klokt å bruke uforsiktigheten til bedrifts- og private brukere og tjene penger på det. Identiteten hans er fortsatt ukjent (og er neppe kjent)

Hvordan fjerne Petya-virus?

Hvordan fjerne Petya.A virus fra harddisken? Dette er et ekstremt interessant spørsmål. Faktum er at hvis viruset allerede har blokkert dataene dine, vil det faktisk ikke være noe å slette. Hvis du ikke planlegger å betale løsepengevare (som du ikke bør gjøre) og ikke vil prøve å gjenopprette data på disken i fremtiden, kan du ganske enkelt formatere disken og installere operativsystemet på nytt. Etter dette vil det ikke være spor etter viruset igjen.

Hvis du mistenker at det er en infisert fil på disken din, skann disken med et antivirusprogram fra ESET Nod 32 og foreta en fullstendig systemskanning. NOD 32-selskapet forsikret at deres signaturdatabase allerede inneholder informasjon om dette viruset.

Petya.En dekryptering

Petya.A krypterer dataene dine med en veldig sterk krypteringsalgoritme. Det er foreløpig ingen løsning for å dekryptere blokkert informasjon.

Utvilsomt ville vi alle drømme om å få den mirakuløse dekrypteringsmaskinen Petya.A, men det finnes rett og slett ingen slik løsning. WannaCry-viruset traff verden for noen måneder siden, men en kur for å dekryptere dataene det krypterte har aldri blitt funnet.

Det eneste alternativet er hvis du tidligere hadde skyggekopier av filene.

Derfor, hvis du ennå ikke har blitt et offer for Petya.A-viruset, oppdater OS-systemet, installer et antivirus fra ESET NOD 32. Hvis du fortsatt mister kontrollen over dataene dine, har du flere alternativer.

Betale penger. Det er ingen vits i å gjøre dette! Eksperter har allerede funnet ut at skaperen av viruset ikke gjenoppretter dataene, og kan ikke gjenopprette dem, gitt krypteringsteknikken.

Prøv å fjerne viruset fra datamaskinen din, og prøv å gjenopprette filene dine ved hjelp av en skyggekopi (viruset påvirker dem ikke)

Fjern harddisken fra enheten, plasser den forsiktig i kabinettet og trykk på dekrypteringsknappen for å vises.

Formatere disken og installere operativsystemet. Minus - alle data vil gå tapt.

Petya.A og Android, iOS, Mac, Linux

Mange brukere er bekymret for om Petya-viruset kan infisere deres Android- og iOS-enheter. Jeg skynder meg å berolige dem - nei, det kan det ikke. Den er kun beregnet på Windows OS-brukere. Det samme gjelder for fans av Linux og Mac - du kan sove rolig, ingenting truer deg.

Angrepet av Petya-viruset kom som en ubehagelig overraskelse for innbyggere i mange land. Tusenvis av datamaskiner ble infisert, noe som førte til at brukere mistet viktige data lagret på harddiskene deres.

Nå har selvfølgelig hypen rundt denne hendelsen lagt seg, men ingen kan garantere at dette ikke vil skje igjen. Derfor er det veldig viktig å beskytte datamaskinen mot mulige trusler og ikke ta unødvendige risikoer. Hvordan du gjør dette mest effektivt vil bli diskutert nedenfor.

Konsekvenser av angrepet

Til å begynne med bør vi huske hvilke konsekvenser Petya.As kortvarige aktivitet førte til. På bare noen få timer ble dusinvis av ukrainske og russiske selskaper berørt. I Ukraina, forresten, arbeidet til dataavdelinger ved slike institusjoner som "Dneprenergo", " Nova Poshta" og "Kyiv Metro". Dessuten var noen offentlige organisasjoner, banker og mobiloperatører ikke beskyttet mot Petya-viruset.

I landene i EU klarte løsepengevaren også å skape mye trøbbel. Franske, danske, engelske og internasjonale selskaper har rapportert om midlertidige forstyrrelser på grunn av Petya-datavirusangrepet.

Som du kan se, er trusselen virkelig alvorlig. Og selv om angriperne valgte store økonomiske organisasjoner som sine ofre, led vanlige brukere ikke mindre.

Hvordan fungerer Petya?

For å forstå hvordan du kan beskytte deg mot Petya-viruset, må du først forstå hvordan det fungerer. Så en gang på datamaskinen laster det ondsinnede programmet ned en spesiell løsepengevare fra Internett, som infiserer Master Boot Ta opp. Dette er et eget område på harddisken, skjult for brukerens øyne og beregnet for lasting av operativsystemet.

For brukeren ser denne prosessen ut som standarddriften til Check Disk-programmet etter en plutselig systemkrasj. Datamaskinen starter plutselig på nytt, og en melding vises på skjermen om sjekker hardt disk for feil og ikke slå av strømmen.

Så snart denne prosessen tar slutt, vises en skjermsparer med informasjon om datamaskinen som er blokkert. Skaperen av Petya-viruset krever at brukeren betaler løsepenger på $300 (mer enn 17,5 tusen rubler), og lover til gjengjeld å sende nøkkelen som er nødvendig for å gjenoppta driften av PC-en.

Forebygging

Det er logisk at det er mye lettere å forhindre smitte datavirus"Petya," enn å håndtere konsekvensene senere. Slik sikrer du PC-en din:

• Installer alltid de siste oppdateringene for operativsystemet ditt. Det samme gjelder i prinsippet alt programvare installert på din PC. Forresten, "Petya" kan ikke skade datamaskiner som kjører MacOS og Linux.
• Bruk de nyeste versjonene av antiviruset og ikke glem å oppdatere databasen. Ja, rådet er banalt, men ikke alle følger det.
• Ikke åpne mistenkelige filer sendt til deg via e-post. Sjekk også alltid apper som er lastet ned fra tvilsomme kilder.
• Gjør det regelmessig sikkerhetskopier viktige dokumenter og filer. Det er best å lagre dem på et eget medium eller i "skyen" (Google Drive, Yandex. Disk, etc.). Takket være dette, selv om noe skulle skje med datamaskinen din, vil ikke verdifull informasjon bli skadet.

Opprette en stoppfil

Ledende utviklere antivirusprogrammer fant ut hvordan du fjerner Petya-viruset. Mer presist, takket være deres forskning, var de i stand til å forstå hva løsepengevaren prøver å finne på datamaskinen i de innledende stadiene av infeksjonen lokal fil. Hvis han lykkes, slutter viruset å virke og skader ikke PC-en.

Enkelt sagt kan du manuelt lage en slags stoppfil og dermed beskytte datamaskinen din. For dette:

• Åpne innstillingene for mappealternativer og fjern merket for "Skjul utvidelser for kjente filtyper."
• Lag en ny fil ved hjelp av Notisblokk og plasser den i C:/Windows-katalogen.
• Gi nytt navn til det opprettede dokumentet, og kall det "perfc". Gå deretter til og aktiver alternativet Skrivebeskyttet.

Nå vil Petya-viruset, når det først er på datamaskinen din, ikke kunne skade det. Men husk at angripere kan endre dem i fremtiden. skadevare og metoden for å lage en stoppfil vil bli ineffektiv.

Hvis infeksjon allerede har oppstått

Når datamaskinen starter på nytt og Sjekk disk starter, begynner viruset akkurat å kryptere filer. I dette tilfellet kan du fortsatt ha tid til å lagre dataene dine ved å følge disse trinnene:

• Slå av strømmen til PC-en umiddelbart. Dette er den eneste måten du kan forhindre spredning av viruset.
• Deretter bør du koble harddisken til en annen PC (ikke som en oppstartsstasjon!) og kopiere viktig informasjon fra den.
• Etter dette må du formatere den infiserte harddisken fullstendig. Naturligvis må du installere den på nytt operativsystem og annen programvare.

Alternativt kan du prøve å bruke en spesiell oppstartsdiskå kurere Petya-viruset. Kaspersky Anti-Virus, for eksempel, tilbyr et program for disse formålene Kaspersky Rescue Disk, som omgår operativsystemet.

Er det verdt å betale til utpressere?

Som nevnt tidligere krever skaperne av Petya en løsepenge på $300 fra brukere hvis datamaskiner var infisert. Ifølge utpresserne, etter å ha betalt det angitte beløpet, vil ofrene få tilsendt en nøkkel som vil eliminere blokkering av informasjon.

Problemet er at en bruker som ønsker å sette datamaskinen tilbake til normal, må skrive til angriperne kl e-post. Men alle løsepenge-e-poster blokkeres raskt av autoriserte tjenester, så det er rett og slett umulig å kontakte dem.

Dessuten er mange ledende antivirusprogramvareutviklere sikre på at det er helt umulig å låse opp en datamaskin infisert av Petya ved å bruke hvilken som helst kode.

Som du sikkert forstår, bør du ikke betale utpressere. Ellers vil du ikke bare sitte igjen med en ikke-fungerende PC, men også tape en stor sum penger.

Kommer det nye angrep?

Petya-viruset ble først oppdaget i mars 2016. Da merket sikkerhetsspesialister raskt trusselen og forhindret massespredningen. Men allerede i slutten av juni 2017 gjentok angrepet seg igjen, noe som førte til svært alvorlige konsekvenser.

Det er usannsynlig at alt ender der. Ransomware-angrep er ikke uvanlig, så det er viktig å holde datamaskinen beskyttet til enhver tid. Problemet er at ingen kan forutsi i hvilket format neste infeksjon vil skje. Uansett er det alltid verdt å følge de enkle anbefalingene gitt i denne artikkelen for å redusere risikoen til et minimum.

Virus "Petya": hvordan ikke fange det, hvordan tyde det, hvor det kom fra - siste nytt om Petya løsepengevirus, som på den tredje dagen av sin "aktivitet" hadde infisert rundt 300 tusen datamaskiner i forskjellige land i verden, og så langt har ingen stoppet det.

Petya-virus - hvordan dekrypteres, siste nytt. Etter et angrep på en datamaskin krever skaperne av Petya løsepengevare en løsepenge på $300 (i bitcoins), men det er ingen måte å dekryptere Petya-viruset på, selv om brukeren betaler penger. Kaspersky Lab-spesialister, som så forskjeller i det nye viruset fra Petit og kalte det ExPetr, hevder at dekryptering krever en unik identifikator for en spesifikk trojansk installasjon.

Tidligere kjente versjoner lignende krypteringer Petya/Mischa/GoldenEye, inneholdt installasjonsidentifikatoren nødvendig informasjon for dette. I tilfellet med ExPetr eksisterer ikke denne identifikatoren, skriver RIA Novosti.

"Petya"-viruset – hvor det kom fra, siste nytt. Tyske sikkerhetseksperter har lagt frem den første versjonen av hvor denne løsepengevaren kom fra. Etter deres mening begynte Petya-viruset å spre seg gjennom datamaskiner da M.E.Doc-filer ble åpnet. Dette er et regnskapsprogram som brukes i Ukraina etter forbudet mot 1C.

I mellomtiden sier Kaspersky Lab at det er for tidlig å trekke konklusjoner om opprinnelsen og kilden til spredning av ExPetr-viruset. Det er mulig at angriperne hadde omfattende data. For eksempel e-postadresser fra forrige nyhetsbrev eller noen andre effektive måter penetrering i datamaskiner.

Med deres hjelp traff "Petya"-viruset Ukraina og Russland, så vel som andre land, med sin fulle kraft. Men det virkelige omfanget av dette hackerangrepet vil bli klart om noen dager, melder.

"Petya" virus: hvordan ikke fange det, hvordan dechiffrere det, hvor det kom fra - siste nytt om Petya løsepengevirus, som allerede har fått et nytt navn fra Kaspersky Lab - ExPetr.