Informace stojí za to vědět, že uživateli Petya virus.
- V úterý 27.června 2017 se v síti objevil virus s názvem Petya. Rosneft a bankovní úvěr byli napadeni. Po provedení této hrozby přepíše hlavní spouštěcí záznam (MBR) pomocí RANSOM: DOS / PETEA.A a šifruje odvětví systémový disk. To se stalo alternativně takto: dělá počítač znovu načíst a zobrazí falešnou systémovou zprávu, která označí navrhovanou chybu disku a zobrazuje nesprávnou kontrolu integrity: Dále se zobrazí následující zpráva obsahující pokyny pro nákup klíče pro odemknutí systému.
- Virus šifruje soubory na všech discích složky Windows na disku C: Následující rozšíření šifrovaných souborů:
- Není již dávno útokem viru WannaCry, který mnozí podobný viru Petya, o kterém mluvíme v tomto článku. No, začít podobnost z nich, že jsou kryptoční viry, jedná se o viry, které šifrují soubory uživatele, které vyžadují rozluštění dešifrování. Podle společnosti Kaspersky Laboratory, to není virus jako před Petya a jméno jeho expert, to znamená, že tento virus je modifikován mnoha modifikovanými, takže to bylo dříve. Můžete se dozvědět více než více na místě, i když to, jak říkají některé ztuhlé zóně podobného kódu.
- Takový malware můžete vyzvednout v dopise e-mailem PETEA.APX souborem nebo s instalací aktualizace účetního programu m.e.doc. Níže je uveden popis od společnosti Microsoft Blog o tomto programu daňové úrovně m.e.doc. Pokud se v síti doma nebo v práci objeví infikovaný stroj, bude malware distribuován pomocí všech stejných chyb zabezpečení jako virus WannaCry přes protokol SMB. Využití, které používá chybu zabezpečení v oblasti implementace systému Windows protokolu SMB. Společnost Microsoft Corporation Jak to bylo napsáno v ochranném článku WannaCry, důrazně doporučuje instalovat aktualizace pro všechny systémy Windows a dokonce i aktualizace byly vydány pro dosud podporované produkty, jako jsou Windows XP. Ukazuje se ochrana, kterou byste měli stát jako pro viru WannaCry a pro Petya stejně. Přečtěte si více o ochraně a instalaci aktualizací v článku. Z Kaspersky lze instalovat bezplatnou ochranu před Encrypters k antivirům a anti-scakions. Také, pokud použijete protiskluzu, pak je ochrana již vestavěná do ní nejen z PNP, ale od extortistů šifrování, na místě je zapsána do šifrovacích důstojníků: nedává útočníky zašifrovat vaše soubory v pořádku získat výkupné. Myslím, že je to nejlepší způsob, jak nainstalovat MBAM na váš antivirus. Možnost od společnosti Microsoft, která je již zabudována do systému, Defender Windows 8.1 a Windows 10, Microsoft Bezpečnostní základy. Pro Windows 7 a Windows Vista.. Můžete také stáhnout pro jednorázové skenování pro infekci počítače všech typů hrozeb. Na webových stránkách společnosti Microsoft je kompletní popis viru, odkud hity a jak to ovlivňuje, přesnější popis pravdy anglický jazyk. Blog říká, že první infekce je přesnější na vydírání procesu začal s ukrajinskou společností m.e.doc, která vyvíjí daňový účetní software, MEDOC.
- Přesný překlad Použití Google Translate: Ačkoli tento vektor byl podrobně zkoumán zprávou a bezpečnostními výzkumníky, včetně vlastních kyberpolytingů Ukrajiny, tam byly pouze nepřímé důkazy o tomto vektoru. Microsoft má nyní důkazy o tom, že několik aktivního vykoupení infekce původně začalo legitimním procesem aktualizace MEDOC.
- Uživatelé jsou nabízeni k zápisu do zadaného poštovní schránka Doklady o převodu prostředků za účelem získání dešifrovacího klíče. Pokud se shromažďujete, abyste přeložili finanční prostředky do dešifrovaných souborů, nebudete moci napsat zlo zlo, které jste poslali vykoupení. E-mailová adresa, pro kterou musely oběti hlásit, když uvedli prostředky zablokované německým poskytovatelem, poštovní schránka byla na svém serveru. Takže můžete přeložit a poslat vám klíč nebude schopen. Tak pojďme říci oficiálně získat klíč od společnosti Exporters, aby nebyli možný. Peněženka vydírání slavný tento moment 1. července 2017, data přijetí jsou aktualizovány do 15 sekund. Chcete-li zastavit virus v počítači obětování, musíte vytvořit prázdný soubor na disku C: Windows Perfc v vlastnostech pouze pro čtení. Jsou to dešifrování, že neexistuje výjimka pro staré verze viru na GitHub.
Jaký je tento virus?
Ochrana a kde se mohu nakazit?
Dekódování souborů?
Británie, USA a Austrálie oficiálně obvinily Rusko v distribuci notpetya
15. února 2018, Spojené království Ministerstvo zahraničních věcí udělilo oficiální prohlášení, ve kterém obvinil Rusko v organizaci kybernetických útoků pomocí viru Notpetya Encrypter.
Podle britských orgánů tento útok prokázal další nerešpektování suverenity Ukrajiny a v důsledku těchto bezohledných akcí bylo porušeno práce mnoha organizací v celé Evropě, což vedlo k ztrátám multimilionu.
Ministerstvo poznamenalo, že uzavření o zapojení do Kiberataku ruské vlády a Kreml byl učiněn na základě závěru Národní centrum Britská kybernetickáružnost (UK National Cyber \u200b\u200bSecurity Center), což je téměř naprosto přesvědčeno, že ruský vojenský útok je za útokem. "Prohlášení říká, že jeho spojenci nebudou trpět škodlivou kybernetou.
| Podle ministra vymáhání práva a Cyber \u200b\u200bSecurity Australia, Engus Taylor (Angus Taylor), založený na australských speciálních službách, jakož i konzultace se Spojenými státy a Spojeným královstvím, australská vláda dospěla k závěru, že incident je zodpovědný pro incident podporovaný vládou Ruské federace. "Australská vláda odsuzuje chování Ruska, která vytváří vážná rizika pro globální ekonomiku, vládní operace a služby, obchodní činnost, jakož i bezpečnost a pohodu jednotlivců," vyplývá z žádosti. |
Kreml, který předtím opakovaně popíral jakékoli zapojení ruských orgánů na útoky hackerů, nazvaný britský zahraniční výpis část rusofobské kampaně
Památník "zde leží poražená počítačová virus PETEA 27/06/2017"
Památník počítačového virus Petya byla založena v prosinci 2017 v blízkosti budovy Skolkovo Technopark. Dvoumotorový památník s nápisem: "Leží s lidmi na 27.6.2017 Počítačová virus Petya." Dokončeno ve formě palce tuhého disku, byl vytvořen s podporou společnosti Invitro, mimo jiné společnosti postižené důsledky masivní kybernetiky. Robot jmenoval nu, který pracuje ve fiztechpark a (mt) speciálně přišel na obřad, aby vyslovil slavnostní projev.
Útok na vládu Sevastopolu
Specialisté na hlavním ředitelství informatizace a komunikace Sevastopol úspěšně odrážel útok viru Petya Síťového viru na regionální vládní servery. To bylo oznámeno 17. července 2017 na hardware zasedání vlády Sevastopolu, vedoucího informačního oddělení Denis Timofeev řekl.
Uvedl, že Petya škodlivý program neovlivnil údaje uložené na počítačích v Sevastopolských vládních agenturách.
Orientace pro použití svobodného softwaru je položena v pojetí informatizace Sevastopolu schváleného v roce 2015. Označuje, že při nákupu a vývoji základního softwaru, jakož i na informačních systémech pro automatizaci, je vhodné analyzovat možnost používat bezplatné produkty ke snížení rozpočtové výdaje a snížit závislost na dodavatelích a vývojářům.
Dříve, na konci června byla pobočka jeho pobočky umístěna v Sevastopolu zraněno v rámci rozsáhlého útoku na invitro lékařské společnosti. Vzhledem k porážce viru počítačová síť Obor dočasně pozastavil vydání výsledků testů před odstraněním příčin.
Invitro oznámila pozastavení testování kvůli Kiberataki
Lékařská společnost Invitro pozastavila sběr biomateriálu a vydávání výsledků analýz pacientů kvůli útoku hackerů 27. června. RBC vyhlášen ředitelem korporátních komunikací společnosti Anton Bulanov.
Jak je uvedeno ve zprávě společnosti, v blízké budoucnosti "Invitro" půjde do pracovního prostoru provozu. Výsledky studií provedených později než tentokrát budou doručeny pacientům po odstranění technického selhání. V současné době laboratoř informační systém Obnoveno, proces jeho nastavení pokračuje. "Litujeme současnou situaci vyšší moc a děkujeme našim zákazníkům za pochopení," uzavřili v Invitro.
Podle těchto údajů útoku počítačový virus Klinika podléhali v Rusku, Bělorusku a Kazachstánu.
Útok na gazprom a jiné ropné a plynárenské společnosti
29. června 2017, to stalo se známé o globální Kiberatce na počítačových systémech Gazprom. Proto další ruská společnost trpěla virem Petya.
Podle novinky Reuters odkazující na zdroj v ruské vládě a osobě, která se podílela na vyšetřování incidentu, trpěl Gazpromem šířením škodlivého programu Petya, který napadl počítače celkem ve více než 60 zemích svět.
Interlocutci publikace neposkytli podrobnosti o tom, kolik a které systémy byly infikovány v Gazpromu, jakož i množství škody způsobené hackery. Společnost odmítla připomínky k požadavku Reuters.
Mezitím, vysoce postavený zdroj RBC v Gazpromu oznámil publikaci, které počítače v centrální kancelář Společnosti fungovaly bez přerušení, kdy začal rozsáhlý hackerský útok (27. června 2017), a pokračovat o dva dny později. Dva další zdroje RBC v Gazpromu také ujistil, že společnost "Všechno je klidné" a žádné viry.
V sektoru ropy a plynu z viru Petya utrpěl "Bashneft" a "Rosneft". Ten prohlásil 28. června, že společnost působí v normálně, a "individuální problémy" jsou okamžitě vyřešeny.
Banky a průmysl
Stalo se o infekci počítačů v Evrazu, ruské oddělení společnosti Royal Canin (produkuje zvířecí formulář) a ruský divize Mondelez (výrobce Alpen Gold a Milka čokolády).
Podle Ministerstva vnitřních záležitostí Ukrajiny se člověk na sdílení souborů a sociálních sítí zveřejnil video s podrobným popisem procesu startovacího softwaru na počítačích. V komentářech k válci, muž zveřejnil odkaz na jeho stránku v sociální síťkterý načtil škodlivý program. V průběhu vyhledávání v bytě "Hacker", donucovací důstojníci počítačová technikaslouží k distribuci notpetya. Také policie našla soubory se škodlivým softwarem, po kterém byla potvrzena jeho podobnost s vydíráním notpetya. Jako štáb Kyberprovation, extortable program, odkaz na který nikolchanin publikoval byl stažen uživatelům sociálních sítí 400 krát.
Mezi stažený notpetya, donucovací důstojníci odhalili společnosti, které úmyslně informují své systémy s vydíratelným softwarem, aby zakrývaly trestné činnosti a únik od placení sankcí státu. Stojí za zmínku, že policie neváže činnost člověka s útoky hackerů 27. června tohoto roku, to znamená, že o některém z jeho zapojení do autorů Notpetya přijde. Sledování zákonů se týká pouze akcí spáchaných v červenci běžného roku - po vlně velkého kybernetu.
Ve vztahu k mužům byl zahájen trestní případ v rámci části 1 umění. 361 (neautorizovaný rušení s prací počítače) Ukrajiny. Nikopolchanin směřuje do 3 let ve vězení.
Distribuce na světě
Šíření viru Petya je zaznamenán ve Španělsku, Německu, Litvě, Číně a Indii. Například v důsledku škodlivého programu v Indii, technologie řízení technologie kontejnerového přístavu JavaHarlal Nehru, jehož provozovatel je A.P. Moller-Maersk přestal rozpoznat příslušnost zboží.
O společnosti Kiberatak byl informován WPP britská reklamní skupina, španělský zástupce jednoho ze světových největším právnických společností na světě a Mondelez Food Giant. Mezi oběťmi také francouzský výrobce stavebních materiálů CIE. De Saint-Gobain a Merck & Co. farmaceutické společnosti.
Merck.
Americký farmaceutický obří Merck, který silně postižen v červnového útoku Encrypter notpetya, stále nemůže obnovit všechny systémy a vrátit se k normálnímu provozu. To je hlášeno ve zprávě společnosti ve formě 8-K předložené americkému cenné papíry a Komise (SEC) na konci července 2017. Přečtěte si více.
Moller-Maersk a Rosneft
3. července 2017 se stalo známé, že dánská přepravní obří moller-Maersk a Rosneft obnovil IT systém infikovaný virem vydíratelného továrny pouze týden po útoku, ke kterému došlo 27. června.
V lodní společnosti Maersk, která účtuje pro každou sedmý nákladní kontejner zaslaný na světě, také dodal, že všechny 1500 žádostí postižených Kiberatakem se vrátí do plné práce maxima do 9. července 2017.
Údržba terminálů APM ve vlastnictví Maersk vlastněného Maerskem, která řídí práci desítek nákladních přístavů a \u200b\u200bkontejnerových terminálů ve více než 40 zemích. Na den, přes 100 tisíc nákladních kontejnerů prochází přístavy terminálů APM, jejich práce byla plně paralyzována kvůli šíření viru. Terminál Maasvlakte II v Rotterdamu získal dodání 3. července.
16. srpna 2017 A.p. Moller-Maersk nazval příkladným množstvím poškození kalibrace s virem PETEA, která byla zaznamenána Evropskou společností, prošla ukrajinským programem. Podle předběžných výpočtů Maersků, finanční ztráty z Petya Encryber ve druhém čtvrtletí roku 2017 činily 300 milionů dolarů.
Mezitím, Rosneft byl také povinen obnovit počítačové systémy z útoku hackerů na obnovu počítačových systémů, který byl také řekl v tiskové službě společnosti, "Interfax" byla hlášena 3. července:
O několik dní dříve, Rosneft zdůraznil, že ještě není učiněn tak, aby hodnotilo důsledky kyberytiky, ale výroba neobsahovala.
Princip patya
Osoby viru nemohou odemknout své soubory po infekci. Skutečnost je, že jeho tvůrci neposkytli takovou příležitost vůbec. To znamená, že šifrovaný disk a priori není přístupný dešifrováním. Neexistují žádné informace potřebné pro dešifrování v identifikátoru škodlivého softwaru.
Zpočátku, odborníci zařadili virus, který zasáhl asi dva tisíce počítačů v Rusku, na Ukrajině, Polsku, Itálii, Německu, Francii a dalších zemích, již známé rodině Petya Extortyists. Ukázalo se však, že mluvíme o nové rodině škodlivého softwaru. Kaspersky Laboated New Expert šifrování.
Jak bojovat
Bojovní kyberckoly vyžadují sdružení bank, IT podnikání a státu
Metoda obnovy dat pozitivních technologií
Dne 7. července 2017 představil odborné pozitivní technologie Dmitry Sklyarov metodu pro obnovu dat šifrovaného viru notpetya. Podle odborníka je metoda použitelná, pokud virus notpetya měl správní oprávnění a zašifrovat celý disk.
Schopnost obnovit data je spojena s chybami v implementaci šifrovacího algoritmu SALSA20, který provedl samotné útočníky. Výkon metody je testován jak na zkušebním nosiči, tak na jednom z šifrovaných pevné disky Velká společnost v počtu obětí epidemie.
Společnosti a nezávislé vývojáři specializující se na obnovu dat mohou volně používat a automatizovat předložený dešifrovací skript.
Výsledky vyšetřování již potvrdily ukrajinské cyberprolice. Závěry vyšetřování "YUSCURTUM" budou používat jako klíčový důkaz v budoucím procesu proti intelektu-službě.
Proces bude civilizován. Nezávislé vyšetřovací výdaje práce donucovací agentury Ukrajina. Jejich zástupci dříve prohlásili možnost zahájení případu zaměstnanců služeb intelektu.
Ve společnosti samotná, m.e.doc uvedl, že to, co se děje - pokus o zajetí jezdce společnosti. Výrobce jediného populárního ukrajinského účetního softwaru se domnívá, že vyhledávání ve společnosti vedené Cyberpolytingem Ukrajiny se stalo součástí realizace tohoto plánu.
Počáteční vektorová infekce s Petya Encoder
17. května, aktualizace byla aktualizována m.e.doc, která neobsahuje backdore škodlivý modul. Je pravděpodobné, že to může vysvětlit relativně malý počet infekcí XDATA, věřil ve společnosti. Útočící neočekával aktualizační výstup 17. května a spustil kodér 18. května, když se většina uživatelů již podařilo nainstalovat zabezpečenou aktualizaci.
Backdor vám umožní stáhnout jiný malware v infikovaném systému - byla provedena počáteční infekce snímačů PETEA a XDATA. Kromě toho program shromažďuje nastavení proxy serverů a e-mailu, včetně přihlášení a hesel z aplikace MEDOC, stejně jako Erpoe Company Cody (jednotný státní registr podniků a organizací Ukrajiny), což vám umožní identifikovat oběti.
"Musíme odpovědět na řadu otázek," řekl Anton Cherepanov, Senior ESET virový analytik. - Jak dlouho se používá backdoor? Jaké týmy a škodlivé programy, kromě Petya a Xdata, byly poslány přes tento kanál? Jaké další infrastruktury ohrožují, ale dosud nepoužíval cybergroup za tímto útokem? ".
Odborná značení, které zahrnují infrastrukturu, škodlivé nástroje, schémata a cíle útoky, odborníci ESET navázali spojení mezi epidemickou epidemii diskcoder.c (Petya) a telebotboty CyberGroup. Není možné spolehlivě určit, kdo stojí za aktivity této skupiny.
Anti-virus programy stojí na počítači téměř každý uživatel, ale někdy se objeví trojan nebo virus, který je schopen se dostat kolem nejlepší ochrany a infikovat zařízení, a co je ještě horší - šifrování dat. Tentokrát, troyan-encoder "Petya" se stal takovým virem nebo, jak se také nazývá "Petya". Distribuční rychlost tato hrozba Velmi působivé: za pár dní on byl schopen "navštívit Rusko, Ukrajina, Izrael, Austrálii, Spojené státy, všechny hlavní země v Evropě a nejen. V podstatě udeřil firemní uživatele (letiště, energetické stanice, turistické průmysly), ale byli zraněni a obyčejní lidé. Ve svém rozsahu a způsobech dopadu je nedávno velmi podobné senzační.
Musíte svůj počítač nepochybně chránit tak, aby se nestal obětí nového troja-extortorta "Petya". V tomto článku vám řeknu o tom, jaký druh virus "Petya", jak to platí pro ochranu před touto hrozbou. Kromě toho se dotkneme problematiky vymazání trojských a dešifrovacích informací.
Jaká je virus "Petya"?
Pro začátek bychom měli pochopit, co je Petya. Petya virus je škodlivý software, který je trojský typ "ransomware" (extortorist). Tyto viry jsou navrženy tak, aby odřezaly majitele infikovaných zařízení, aby od nich obdrželi odkupu pro zašifrovaná data. Na rozdíl od Wanna Cry, Petya se neobtěžuje s šifrováním jednotlivých souborů - téměř okamžitě "vybere" máte všechny hDD. Celý.
Správný název nového viru je PETEA.A. Kaspersky to navíc volá notpetya / expert.
Popis viru "Petya"
Po zadání počítače se systémem Windows, Petya prakticky okamžitě šifrovat MFT. (Master souboru tabulka - tabulka souboru domů). Na co tato tabulka odpoví?
Představte si, že váš pevný disk je největší knihovna v celém vesmíru. Obsahuje miliardy knih. Tak jak najít správnou knihu? Pouze pomocí adresáře knihovny. Je to tento katalog, který ničí Petya. Ztratíte tedy možnost najít jakýkoliv "soubor" na vašem počítači. Abychom byli ještě přesnější, pak po "práci" Petta pevný disk počítače připomene knihovnu po tornádu, s kousky knih létání všude.
Na rozdíl od chceš plakat, který jsem zmínil na začátku článku, PETEA.A nepřijímá samostatné soubory, Výdaje na tento působivý čas - jen vybírá vás všechny příležitosti najít je.
Po všech svých manipulacích vyžaduje uživatelům výkupu - 300 amerických dolarů, které je třeba převést na účet Bitcoin.
Kdo vytvořil Petya virus?
Při vytváření viru PETEA, exploit ("díra") se zapojil do oken s názvem "EternalBlue". Společnost Microsoft vydala opravu, která "zavírá" tuto díru před několika měsíci, nicméně, ještě nepoužívá licencovanou kopii systému Windows a nastaví všechny aktualizace systému, protože true?)
Stvořitel Petit byl schopen používat neopatrnost firemních a soukromých uživatelů a vydělat na něj. Jeho osobnost je stále neznámá (a bude to sotva známo)
Jak platí Petya virus?
Petya virus je nejčastěji aplikován pod rouškou investic do e-mailů a v archivech s pirátským infikovaným softwarem. V příloze může být absolutně libovolný soubor, včetně fotografie nebo mp3 (zdá se, že je to na první pohled). Po spuštění souboru se počítač restartuje a virus symbolizuje kontrolu disku na chyby Chkdsk a v tomto okamžiku zobrazí zaváděcí záznam počítače (MBR). Poté uvidíte červenou lebku na obrazovce počítače. Kliknutím na libovolné tlačítko můžete přistupovat k textu, ve kterém budete nabízeni zaplatit za dešifrování souborů a přeložit potřebná částka Na bitcoin peněženku.
Jak se chránit před virem Petya?
- Nejdůležitější a hlavní věc - vezměte pravidlo pro instalaci aktualizací pro operační systém! To je neuvěřitelně důležité. Udělej to hned teď, neodkládejte.
- Využijte s vysokou pozorností na všechny investice, které jsou připojeny k dopisům, a to i v případě, že dopisy ze známých lidí. V době epidemie je lepší použít alternativní zdroje dat.
- Aktivujte volbu "Zobrazit rozšíření souboru" v Nastavení OS - takže můžete vždy zobrazit příponu opravdového souboru.
- Povolit ovládání uživatelského účtu "v nastavení systému Windows.
- Je nutné instalovat jeden z, aby se zabránilo infekci. Začněte instalací aktualizace pro OS a nainstalujte antivirus - a budete již mnohem větší než dříve.
- Ujistěte se, že "zálohování" - uložte všechna důležitá data na externím pevném disku nebo cloudu. Pokud virus Petya proniká v PC a šifruje všechna data - bude snadné pro formátování formátování pevného disku a instalace OS aktualizováno.
- Vždy zkontrolujte význam antivirových anti-virů databází. Všechny dobré antivirony jsou sledovány a včas reagují a reagují včas a aktualizují podpisy hrozeb.
- Nainstalujte volný nástroj Kaspersky anti-ransomware. Ochrání vás před viry kodérů. Instalace tohoto softwaru vás neukládá z potřeby instalace antivirového.
Jak odstranit Petya virus?
Jak odstranit Petya.a virus z pevného disku? Jedná se o mimořádně zajímavou otázku. Faktem je, že pokud virus již zablokoval vaše data, bude to ve skutečnosti nic. Pokud neplánujete platit extyxivatele (což nestojí za to dělat) a nebudete se snažit obnovit data na disku v budoucnu, je dostačující k vytvoření formátování disku a přeinstalace operačního systému. Poté nebude od viru žádná stopa.
Pokud máte podezření, že infikovaný soubor je přítomen na disku - skenujte disk jeden z nebo nainstalovat aplikaci Kaspersky Anti-Virus a proveďte kompletní skenování systému. Developer si ujistil, že ve své databázi podpisu již existuje informace o tomto viru.
Decifranger Petya.a.
Petya.a šifruje vaše data velmi odolným algoritmem. V tuto chvíli neexistuje žádné řešení rozluštit uzamčené informace. Zvláště jeden se musí pokusit o přístup k datům doma.
Bezpochyby jsme všichni snili, že dostali zázračný decryptor (Decryptor) Petya.a, ale prostě neexistují žádné takové řešení. Virus zasáhl svět před několika měsíci, ale lék pro dešifrování dat, které šifrovaly a nebyl nalezen.
Proto, pokud jste se ještě nestali obětí Petya virus - poslouchat radu, kterou jsem dal na začátku článku. Pokud stále ztratíte kontrolu nad svými daty - pak máte několik způsobů.
- Zaplatit peníze. Udělej to bezvýznamný!Odborníci již zjistili, že tito virus tvůrce neobnovuje, a nemůže je obnovit, s ohledem na techniku \u200b\u200bšifrování.
- Vytáhněte pevný disk z přístroje, jemně jej vložte do skříně a sklízet vzhled dekodéru. Mimochodem, Kaspersky Lab neustále pracuje v tomto směru. Dostupné dekodéry jsou na webových stránkách žádného ransomu.
- Formátování disku a instalace operačního systému. Minus - všechna data budou ztracena.
Petya.a virus v Rossi
V Rusku a na Ukrajině, více než 80 společností bylo napadeno a infikováno v době psaní článku, včetně tak velkého jako "Bashneft" a "Rosneft". Infekce infrastruktury těchto velkých společností hovoří o závažnosti viru PETEA.A. Není pochyb o tom, že Trojan Extorterer bude i nadále šířit územím Ruska, takže byste měli postarat o bezpečnost svých dat a následovat radu, které byly uvedeny v článku.
Petya.a a Android, IOS, Mac, Linux
Mnoho uživatelů se bojí - "Can Petya je virus infikovat jejich zařízení běží Android a IOS. Senkování je uklidnit - ne, nemůže. Je určen pouze pro uživatele systému Windows. Totéž platí pro fanoušky Linux a Mac - můžete dobře spát, nic vás neohrožuje.
Závěr
Takže dnes jsme podrobně diskutovali o nové Petya.a virus. Chápali jsme, co je Troyan a jak to funguje, naučil jsem se, jak se chránit před infekcí a odstranit virus, kde si vzít decryptor. Petya. Doufám, že článek a mé tipy byly pro vás užitečné.
Útok viru PETEA.A v několika dnech pokrytých desítek zemí a vyvinuté do stupnice epidemie na Ukrajině, kde program pro podávání zpráv a řízení dokumentů m.e.doc byl zapojen do šíření škodlivého softwaru. Později, odborníci, že účel útočníků bylo dokončit zničení údajů, ale jako kybernety zpráv Ukrajiny, s částečnou infekcí systému šanci obnovit soubory.
Jak funguje Petya
Pokud virus obdrží práva správce, výzkumníci přidělují tři základní scénáře pro svůj dopad:
- Počítač je infikován a zašifrován, systém je zcela ohrožen. Pro obnovení dat je zapotřebí uzavřený klíč a na obrazovce se zobrazí zpráva s požadavkem na odměnu (i když to).
- Počítač je infikován a částečně zašifrován - systém začal šifrování souborů, ale napájení, které má být vypnuto nebo jiné metody, který uživatel zastavil tento proces.
- Počítač je infikován, ale proces šifrování tabulky MFT ještě nezačal.
V prvním případě ještě není účinná metoda dešifrovací dat. Nyní hledá specialisty od Cyberpolyting a IT firem, stejně jako stvořitel původní Petya virus (povoleno obnovit systém pomocí tlačítka). Pokud je hlavní tabulka souborů MFT porušena částečně nebo vůbec, šance na přístup k souborům je stále tam.
V Cyberprises byly nazývány dvě hlavní fáze modifikované Petya virus:
První: Příjem privilegovaných práv správce (při použití Aktivní adresář. Jsou zakázány). Za prvé, virus uloží původní spouštěcí sektor pro operační systém MBR v zašifrované formě operace bitů XOR (XOR 0x7), po které zaznamenává jeho nakladač. Zbytek trojského kódu je zaznamenán v prvním sektoru disku. V této fázi je vytvořen textový soubor o šifrování, ale data ještě nejsou šifrována.
Druhá fáze šifrování dat začíná po restartování systému. Petya již odkazuje na vlastní konfigurační sektor, ve kterém je známka nešifrovaných dat. Poté začne proces šifrování, na obrazovce se zobrazí jako prací programu kontrolního disku. Pokud je již spuštěn, měli byste vypnout napájení a pokusit se použít navrhovanou metodu obnovy dat.
Co je nabízeno
Nejprve se musíte spustit instalační disk Okna. Pokud bude tabulka s oddíly s pevným diskem (nebo SSD) viditelné, můžete pokračovat postupem pro obnovení spouštěcího sektoru MBR. Pak stojí za to zkontrolovat disk pro infikované soubory. Dnes Petya rozpozná všechny populární antivirusy.
Pokud byl spuštěn proces šifrování, ale uživatel jej podařilo přerušit po načtení operačního systému, je nutné použít software pro obnovení šifrovaných souborů (R-Studio a další). Data budou muset ukládat na externím médiu a přeinstalovat systém.
Jak obnovit zavaděč
Pro systém Windows XP:
Po načtení instalačního disku systému Windows XP v rAM Dialog se zobrazí PC Instalace systému Windows. XP Professional »Z nabídky výběru, kde chcete vybrat" Obnovit Windows XP pomocí konzoly pro obnovu stiskněte R. " Stiskněte tlačítko "R".
Konzola pro zotavení bude načtena.
Pokud je nainstalován jeden OS nainstalovaný v počítači, a IT (ve výchozím nastavení) je nainstalován na disku C, zobrazí se následující zpráva:
"1: C: Windows na co kopie oken Musíte se přihlásit? "
Zadejte číslo "1", stiskněte klávesu Enter.
Zobrazí se zpráva: "Zadejte heslo správce." Zadejte heslo, stiskněte klávesu Enter (pokud nejsou žádné heslo, jednoduše stiskněte tlačítko "ENTER").
Musíte se zobrazit: C: Windows\u003e Zadejte Fixmbr
Zobrazí se zpráva: "VAROVÁNÍ".
"Potvrďte záznam nové MBR?", Stiskněte tlačítko "Y".
Zobrazí se zpráva: "Nový hlavní spouštěcí sektor je vytvořen na fyzickém disku zařízení Harddisk0 partition0."
Pro systém Windows Vista:
Stáhněte si Windows Vista. Vyberte jazyk klávesnice a rozložení. Na uvítací obrazovce klikněte na "Obnovit počítačové operace". Systém Windows Vista upraví nabídku počítače.
Vyberte operační systém a klepněte na tlačítko Další. Když se zobrazí okno nastavení systému nastavení, klepněte na tlačítko příkazový řádek. Když se objeví příkazový řádek, zadejte tento příkaz:
bootrec / fixmbr.
Počkejte na operaci. Pokud bylo vše úspěšně úspěšně, na obrazovce se zobrazí potvrzovací zpráva.
Pro Windows 7:
Stáhnout Windows 7. Vyberte jazyk, rozložení klávesnice a klepněte na tlačítko Další.
Vyberte operační systém a klepněte na tlačítko Další. Při výběru operačního systému, zkontrolujte "Použít nástroje pro obnovu, které mohou pomoci vyřešit problémy spuštění systému Windows.».
Na obrazovce Nastavení systému nastavení klepněte na tlačítko "Příkazový řádek". Když je příkazový řádek úspěšně načten, zadejte příkaz:
bootrec / fixmbr.
Pro Windows 8:
Upload Windows 8. Na obrazovce "Pozdrav" klepněte na tlačítko Obnovit počítače.
Vyberte Odstraňování problémů. Vyberte příkazový řádek při botách, zadejte:
bootrec / fixmbr.
Stiskněte klávesu Enter a restartujte počítač.
Pro Windows 10:
Upload Windows 10. Na uvítací obrazovce klepněte na tlačítko Obnovit počítače, vyberte příkaz Odstraňování problémů.
Vyberte příkazový řádek. Při zesílení příkazového řádku zadejte příkaz:
bootrec / fixmbr.
Počkejte, až bude operace dokončena. Pokud bylo vše úspěšně úspěšně, na obrazovce se zobrazí potvrzovací zpráva.
Stiskněte klávesu Enter a restartujte počítač.
Petya virus je rychle rostoucí virus, který dává téměř všechny hlavní podniky na Ukrajině 27. června 2017. Petya virus šifruje vaše soubory a nabízí pro ně vykoupení.
Nový virus je zasažen pevný disk počítače a funguje jako soubory virového šifrování. Po určité době, Petya virus "Jíst" soubory v počítači a stávají se šifrovaným (jako by byly soubory archivovány a dali těžké heslo)
Soubory, které byly zraněny z viru Petya Encrypter, pak se neobnoví (procento, které je obnovíte, je, ale je to velmi malé)
Algoritmus, který obnovuje soubory obětí z Petya virus - ne
S tímto krátkým a maximálním užitečným článkem se můžete ušetřit od # Viruspetya
Jak určit virus PETYA nebo WANNACRY a není infikován virem
Při stažení souboru přes internet, podívejte se na online antivirus. Online antivirusy mohou definovat virus předem v souboru a zabránit infekci virem PETEA. Vše, co by mělo být provedeno, zkontrolujte stažený soubor pomocí VirusTotal a spusťte jej. I když jste stáhli virus Petya, ale nezačal virový soubor, virus není aktivní a škoda nezpůsobuje. Teprve po startování škodlivého souboru spustíte virus, zapamatujte si to
Použití i pouze touto metodou vám dává každou šanci na infikovat Petya virus
Petya virus vypadá takto:
Jak se chránit před virem PETEA
Společnost Symantec.nabídl řešení, které umožňuje chránit se před virem PETEA, předstírá, že je již nainstalován.
Petya virus při zasažení počítače, vytvoří ve složce C: Windows Perfc soubor perfec. nebo perfc.dll.
Stejně tak, že je již nainstalován a nepodařilo se pokračovat ve své činnosti, vytvořte ve složce C: Windows Perfc Soubor s prázdným obsahem a uložením režimu změny změny "pouze pro čtení"
Nebo upload virus-petya-perfc.zip a rozbalení složky perfec.ve složce C: Windows \\ t a vložte režim změny "pouze pro čtení"
Stáhněte si fotografii virus-petya-perfc.zip.
Aktualizováno 06/29/2017.
Doporučuji také stahování obou souborů jednoduše do složky Windows. Mnoho zdrojů napsat tento soubor perfec. nebo perfc.dll.musí být ve složce C: Windows \\ t
Co dělat, pokud je počítač již ohromen virem Petya
Nezapínejte počítač, který vás již udeřil s Petya virem. Petya virus funguje tak, že zatímco infikovaný počítač je zapnutý, zašifruje soubory. To znamená, že udržujete počítač-pilíře PETEA virus, nové a nové soubory jsou infekce a šifrování.
Winchester tento počítač Stojí za to odhlásit. Můžete ji zkontrolovat s LiveCD nebo LiveUSB s antivirem
Boot Flash Drive s Kaspersky Rescue Disk 10
Boot Flash Drive Dr.Web Livedisk
Kdo šíří virus Petya v celém Ukrajině
Společnost Microsoft vyjádřila svůj pohled na globální síťovou infekci ve velkých společnostech na Ukrajině. Důvodem byla aktualizace programu m.e.doc. M.e.doc je populárním účetním programem, takový velký propíchnutí společnosti, jak vstoupit do viru k aktualizaci a nainstalované virus Petya pro tisíce počítačů, na kterých stál program m.e.decen. A protože virus postihuje počítače ve stejné síti, rozšířil se na blesk.
#: Petya virus je nápadný Android, Petya virus, jak detekovat a odstranit Petya virus, Petya virus, jak léčit, m.doc, Microsoft, vytvořit složku Petya virus složku
Před několika měsíci a my a další IT bezpečnostní experti našli nový malware - Petya (Win32.trojan-ransom.petya.a). V klasickém porozumění nebyl štítek, virus jednoduše zablokoval přístup k určitým typům souborů a požadoval vykoupení. Virus upravil spouštěcí záznam na pevném disku, násilím znovu načíst počítač a ukázal zprávu, že "data jsou šifrována - řídit své peníze na dekódování." Obecně platí, že standardní schéma viružek šifrování kromě toho, že soubory nejsou ve skutečnosti šifrovány. Většina populárních antivirů začala identifikovat a odstranit Win32.trojan-ransom.petya.a několik týdnů po jeho vzhledu. Navíc se objeví pokyny pro ruční odstranění. Proč si myslíme, že Petya není klasický šifrování? Tento virus provádí změny na hlavní spouštěcí záznam a zabraňuje zavádění operačního systému a také šifruje tabulku hlavního souboru (hlavní tabulka souborů). Nezašívá samotné soubory.
Nicméně, sofistikovanější virus se objevil před několika týdny. Mischa., zřejmě napsané stejnými podvodníky. Tento virus šifruje soubory a vyžaduje zaplatit za dešifrování 500 - $ 875 (v různé verze 1,5 - 1,8 bitcoin). Pokyny pro "dekódování" a platba za to jsou uloženy v souborech vašich souborů_files_are_Encrypted.html a vaše_files_are_Encrypted.txt.
MISCHA virus - obsah souboru Yours_Files_are_Encrypted.html
Teď vlastně hackeři infikují uživatele uživatelů se dvěma škodlivými: PETEA a MISCHA. První je potřebná práva správce v systému. To znamená, že pokud uživatel odmítne vydávat práva správce PETEA nebo odstranil tento manuál Malware - Mischa je zapnuta. Tento virus nepotřebuje práva správce, jedná se o klasickou šifrovací list a skutečně šifrovány soubory podle algoritmu odolného proti AES a bez jakýchkoliv změn na hlavní spouštěcí záznam a tabulku souborů na pevném disku oběti.
Porucha MISCHA Šifrování nejen standardní typy typů souborů (video, obrázky, prezentace, dokumenty), ale také soubory.exe. Virus neovlivní pouze adresáře Windows, $ recycle.bin, \\ t Mozilla Firefox., Opera, Internet Explorer, Temp, Local, Locallow a Chrome.
Infekce dochází především prostřednictvím e-mailu, kde dopis je dodáván s vnořeným souborem - instalačním zařízením virem. Lze jej zašifrovat pod dopise s daň z vašeho účetního, as investovaným příjmem a kontrolami o nákupech i.t.d. Věnujte pozornost rozšířením souborů v těchto písmen - pokud se jedná o výkonný soubor (.exe), pak s vysokou pravděpodobností může být kontejner s PETEA MISCHA virem. A pokud modifikace malwaru je čerstvá - váš antivirus nemůže reagovat.
Aktualizace 06/30/2017: 27. června Modifikovaný virus Petya (Petya.a) Masivně zaútočili na uživatele na Ukrajině. Účinek tohoto útoku byl kolosální a ekonomické poškození ještě není vypočítáno. Jednoho dne byla paralyzována práce desítek bank, obchodních řetězců, vládních agentur a podniků různých forem vlastnictví. Virus byl distribuován hlavně přes zranitelnost v ukrajinském medoc účetním systému s nejnovější automatickou aktualizací tohoto softwaru. Kromě toho se virus dotkl takovými zeměmi jako Rusko, Španělsko, Spojené království, Francie, Litva.
Vyjměte virus PETEA a MISCHA pomocí automatického brushera
Výhradně efektivní metoda Práce se škodlivým softwarem obecně a zejména programy vydírání. Použití osvědčeného ochranného komplexu zajišťuje pečlivost detekce všech virových složek, jejich plné odstranění Jeden klik. Upozorňujeme, že mluvíme o dvou různých procesech: Odinstalace infekce a obnovení souborů v počítači. Hrozba je však rozhodně vymazána, protože existují informace o zavádění ostatních počítačových trojských koní s jeho pomocí.
- . Po spuštění softwaru klepněte na tlačítko Spusťte počítačové skenování. (Začni skenovat).
- Zavedený software poskytne zprávu o hrozbách nalezených při skenování. Chcete-li odstranit všechny nalezené hrozby, vyberte možnost. Opravit nedostatky. (Eliminovat hrozby). Zvláštní zvažovaný software bude zcela odstraněn.
Obnovit přístup k šifrovaným souborům
Jak bylo uvedeno, program MISCHA-Extortort program blokuje soubory pomocí přetrvávajícího šifrovacího algoritmu, takže šifrovaná data nelze obnovit s magickou hůlkou - pokud neberete v úvahu výplatu neslýchaných částek výkupného (někdy dosahuje 1000 $). Některé metody se však mohou opravdu stát hůlkami, což pomůže obnovit důležitá data. Níže se s nimi můžete seznámit.
Program automatické obnovy Soubory (dekiferranger)
Je známo velmi mimořádná okolnost. Tato infekce vymaže zdrojové soubory v nezašifrovaném formuláři. Proces šifrování pro účely vydírání je tak zaměřen na jejich kopie. To poskytuje příležitost pro takový software, jak obnovit vymazané objekty, i když je zaručena spolehlivost jejich eliminace. Důrazně se doporučuje uchýlit se k postupu obnovy souborů, jeho účinnost není pochyb. 
Stínové kopie tomov
Na základě přístupu poskytovaného postupem Windows rezervní kopie Soubory, které se opakuje v každém místě obnovení. Důležitou podmínkou pro provoz této metody: Systém "Obnovení systému" musí být aktivován až do okamžiku infekce. Kromě toho, jakékoli změny souboru provedené po bodu obnovení nejsou zobrazeny v obnovené verzi souboru.
Záloha
To je nejlepší mezi všechny nevykoupené metody. Pokud byl postup zálohování dat k externímu serveru použito do útoku programu vydírání do počítače, budete jednoduše potřeba k obnovení šifrovaných souborů pro zadání příslušného rozhraní, vyberte potřebné soubory a spusťte mechanismus obnovy dat z rezervy . Před provedením operace se musíte ujistit, že software explortable je zcela odstraněn.
Zkontrolujte možnou přítomnost zbytkových složek expozicí PETEA a MISCHA
Čištění v ručním režimu je plné vynechání jednotlivých fragmentů exportable softwaru, který se může vyhnout odstranění ve formě tajných objektů operačního systému nebo prvků registru. Chcete-li odstranit riziko částečného uchovávání jednotlivých škodlivých prvků, skenujte počítač pomocí spolehlivé ochrany softwarový balíčekse specializovat na škodlivý software.
Před několika dny, článek o ochraně před virem a jeho odrůd se objevil na našem zdroje. Ve stejné instrukci se podíváme na nejhorší možnost - váš počítač je infikován. Přirozeně po vyléčení se každý uživatel pokusí obnovit své údaje a osobní údaje. Tento článek popisuje nejvhodnější a nejúčinnější způsoby obnovení dat. Je třeba vzít v úvahu, že to není vždy možné, takže nedáme nějakou záruku.
Budeme zvažovat tři základní scénáře, podle kterých se mohou rozvíjet události:
1. Počítač je infikován PETEA.A virem (nebo jeho odrůdami) a zašifrovaný, systém je zcela blokován. Chcete-li obnovit data, musíte zadat speciální klíč, pro který chcete zaplatit. Okamžitě to stojí za to říct, že i když zaplatíte, neodstraní blokování a nebude se vrátit k přístupu k osobnímu počítači.
2. Možnost, která poskytuje uživateli další možnosti pro další akce - počítač je infikován a virus začal šifrovat data, ale šifrování se podařilo zastavit (například výstup).
3. Poslední možností je nejpříznivější. Váš počítač je infikován, ale šifrování souborový systém Nebylo ještě zahájeno.
Pokud máte situaci na číslo 1, tj. Všechna vaše data jsou šifrována, pak v této fázi neexistuje žádný efektivní způsob, jak obnovit informace o uživateli. Je pravděpodobné, že během několika dní nebo týdnů se tímto způsobem objeví, ale zatím odborníci s každým v oblasti informačních a počítačové bezpečnosti rozbijí jejich hlavy.
Pokud proces šifrování nezačal nebo dokončeno, není zcela úplný, pak jej uživatel okamžitě přerušit (šifrování se zobrazí jako systémový proces Zkontrolujte disk). Pokud se vám podařilo načíst operační systém, okamžitě stojí za to instalovat jakýkoliv moderní antivirový program (všechny z nich rozpoznat PETEA a proveďte kompletní kontrolu všech disků. Pokud systém Windows není načten, vlastník infikovaného stroje bude mít Pro obnovení spouštěcího sektoru MBR použijte systémové disky nebo flash disk..
Obnovení zavaděče v systému Windows XP
Po stažení systémového disku se systémem operačního systému Windows XP se objeví možnosti před vámi. V okně Windows XP Professional "s výběrem" pro obnovení systému Windows XP pomocí konzoly pro obnovení stiskněte R ". Co je logické, budete muset kliknout na klávesnici REC. Před vámi se konzola musí obnovit oddíl a zprávu:
"1: C: Windows Jakou kopii do systému Windows potřebujete se přihlásit?"
Pokud máte nainstalován windows verze XP, já zadám z klávesnice "1" a stiskněte vstup. Pokud máte několik systémů, musíte si vybrat požadovaný. Zobrazí se zpráva s požadavkem hesla správce. Pokud neexistují heslo, stiskněte klávesu Enter a ponechte pole prázdné. Poté se na obrazovce zobrazí řádek. Zadejte slovo " fixmbr."
Měla by se zobrazit následující zpráva: "VAROVÁNÍ! Potvrďte nahrávání nové MBR? ", Stiskněte klávesu" \u200b\u200bY "na klávesnici.
Odpověď se objeví: "Nový hlavní spouštěcí sektor je vytvořen na fyzickém disku ....»
"Nový primární boot sekce Úspěšně vytvořen. "
Obnovení zavaděče na Windows Vista
Vložte disk nebo USB flash disk s operačním systémem Windows Vista. Dále je třeba vybrat řádek "Obnovit výkon počítače". Vyberte, jaký druh operačního systému Windows Vista (pokud máte několik z nich), musíte obnovit. Když se zobrazí okno s možností obnovení, stiskněte příkazový řádek. V příkazovém řádku zadejte příkaz " bootrec / fixmbr.".
Obnovení zavaděče na Windows 7
Vložte disk nebo flash disk s operačním systémem Windows 7. Vyberte přesně to, co je Windows 7 operační systém (pokud máte několik z nich), musí být obnoveno. Vyberte "Použít nástroje pro obnovu, které mohou pomoci vyřešit problémy se systémem Windows". Dále vyberte "příkazový řádek". Po stažení příkazového řádku zadáme " bootrec / fixmbr.
Obnovení zavaděče na Windows 8
Vložte disk nebo flash disk s operačním systémem Windows 8. Na hlavní obrazovce vyberte v levém dolním rohu "Obnovit počítač". Vyberte Odstraňování problémů. Vyberte příkazový řádek při botách, zadejte: "Bootrec / fixmbr"
Obnovení zavaděče na Windows 10
Vložte disk nebo flash disk s operačním systémem Windows 10. Na hlavní obrazovce vyberte v levém dolním rohu "Obnovit počítač". Vyberte Odstraňování problémů. Vyberte příkazový řádek při botách, zadejte: "Bootrec / fixmbr" Pokud všechno jde úspěšně, uvidíte příslušnou zprávu a vše zůstane, restartuje počítač.
(Petya.a) a dal řadu tipů.
Podle SBU došlo zejména infekce operačních systémů přes otevření škodlivých aplikací ( slovo dokumenty, PDF soubory), které byly zaměřeny na e-mailové adresy mnoha komerčních a státních struktur.
"Útok, jehož hlavním účelem bylo distribuce šifrování souborů PETYA.A, používal chybu zabezpečení sítě MS17-010, v důsledku operace, z nichž byly skripty instalovány na infikovaném stroji, které používaly útočníky, aby mohli začít zmíněny Soubor šifrování, "řekl SBU.
Virus útočí na počítače se systémem Windows OS šifrováním uživatelských souborů, po kterých zobrazuje zprávu o konverzi souborů s návrhem zaplatit klíčový dešifrovací klíč v Bitcoins ve výši 300 USD pro odemknutí dat.
"Šifrovaná data bohužel nepodléhá dekódování. Práce pokračuje na možnosti dešifrování šifrovaných dat, "řekl v SBU.
Co dělat, aby se chránil před virem
1. Pokud je počítač zapnutý a běží normálně, ale máte podezření, že může být infikován, v žádném případě ne restartujte (pokud počítač již byl zraněn - necítíte to taky) - virus funguje při restartování a Šifrování všech souborů obsažených v počítači.
2. Uložte všechny nejcennější soubory do nepřipojených médií, která není připojena k počítači, ale v ideálním případě, zálohovat s operačním systémem.
3. Chcete-li identifikovat Enrypter souborů, musíte dokončit všechny místní úkoly a zkontrolujte následující soubor: C: /Windows/perfc.dat
4. V závislosti na verzi systému Windows nainstalujte opravu.
5. Zkontrolujte, zda všechny počítačové systémy instalují antivirový software, který funguje správně a používá aktuální databáze virových podpisů. Pokud je to nutné, nainstalujte a aktualizujte antivirus.
6. Aby se snížil riziko infekce, mělo by být pečlivě spojeno s veškerou elektronickou korespondenci, nikoli nahrát a ne otevřít aplikace v písmenech, které jsou zasílány z neznámých lidí. Pokud obdržíte dopis z dobře známé adresy, že podezření je podezřelé - kontaktujte odesílatele a potvrďte skutečnost odesílání písmen.
7. Proveďte záložní kopie všech kritických dat.
Chcete-li zadat specifikované informace zaměstnancům strukturálních jednotek, zabraňují pracovníkům pracovat s počítači, na kterých nejsou určené záplaty nainstalovány, bez ohledu na skutečnost připojení k místním nebo internetu.
Je možné se pokusit obnovit přístup do blokovaného zadaného virového počítače s Windows.
Vzhledem k tomu, že zadané VEP provádí změny MBR záznamu, protože namísto načítání operačního systému je uživatel zobrazen okno s textem šifrování textu. Tento problém je vyřešen zotavením MBR záznamu. Pro to existuje speciální nástroje. Nástroj pro opravu spouštění (instrukce na odkazu) byl použit pro SBU.
b). Spustit a ujistěte se, že všechny klíšťata jsou nainstalovány v okně "Artefacts for Collection".
c). V tabulce "ESET Magazine Magazine" zřídit zdroj binární kód disk.
d). Klepněte na vybrané tlačítko.
e). Poslat archiv s protokoly.
Pokud je postižený PC zapnutý a ještě se nevypnuto, přejděte na provedení
s. 3 pro shromažďování informací, které pomohou napsat dekodér,
p. 4 pro léčbu systému.
S již postiženým PC (není načten), musíte sbírat MBR pro další analýzu.
Můžete jej shromáždit podle následujících pokynů:
a). Stáhnout ESET SysRescue Live CD nebo USB (doložka v dodatku 3)
b). Souhlasíte s licencí pro použití
c). Stiskněte CTRL + ALT + T (Otevře se terminál)
d). Napište příkaz "částed -l" bez uvozovek, parametr tohoto malého písmene "l" a klepněte na tlačítko
e). Podívejte se na seznam disků a identifikujte postižený PC (musí být jeden z / dev / SDA)
f). Napište příkaz "dd pokud \u003d / dev / sda of \u003d / home / eSEET / pETEA.IMG bs \u003d 4096 počet \u003d 256" bez uvozovek, místo "/ dev / sda" použijte disk, který byl stanoven v předchozím kroku a Stiskněte (soubor / soubor / Home / ESET / PETEA.IMG bude vytvořen)
g). Připojte jednotku USB flash a zkopírujte soubor /home/set/petya.img
h). Počítač lze vypnout.
Viz také - Omelian O Šití od Kiberataku
Omelian o šité z Kiberatu
Přihlásit se k odběru novinek
Na počátku května bylo asi 230 000 počítačů ve více než 150 zemích nakaženo virem-šifrování. Oběti neměly čas odstranit důsledky tohoto útoku, jako nový jeden následoval - nazvaný Petya. Největší ukrajinské a ruské firmy, stejně jako státní instituce, byli z něj zraněni.
Cyberpolyting Ukrajiny zjistil, že útok viru začal prostřednictvím účetního mechanismu software M.e.doc, který se používá k přípravě a odesílání daňových hlášení. Takže se stalo známé, že infekce se nevyhnete síti "Bashneft", Rosneft, Zaporozhelenergo, Dneprönenergo a systém elektrické energie Dněper. Na Ukrajině, virus proniká vládní počítače, PC Metro Kyjeva, telekomunikačních operátorů a dokonce i Černobyl JE. Mondelez International, Mars a Nivea byli zraněni v Rusku.
Petya virus využívá zranitelnost EternalBlue operační systém Okna. Symantec a F-Secure odborníci tvrdí, že i když Petya šifruje data, jako Wannacry, je stále poněkud odlišná od jiných typů virů šifrování. "Petya virus je nový druh Vyvolání se škodlivým záměrem: Není to jen šifrovat soubory na disku, ale zablokuje celý disk, takže je téměř rozrušený, - vysvětlit F-Secure. - Zejména šifruje hlavní tabulku MFT. "
Jak se to stalo a je možné tento proces varovat?
Petya virus - Jak to funguje?
Petya virus je také známý jako jiná jména: Petya.a, Petwrap, Notpety, Expert. Nalezení do počítače, stahuje šifrování z internetu a pokusí se zasáhnout část pevného disku s daty potřebnými ke stažení počítače. Pokud uspěje, systém dává modrou obrazovku smrti ("modrá obrazová obrazovka"). Po restartu se rozběhne zkontrolujte tvrdě Disk Poznámky nevypnou napájení. Engrypingman virus se tedy dává systémovému programu pro kontrolu disku, šifrování v tomto časovém spisu se specifickými rozšířeními. Na konci procesu se zobrazí zpráva zámku počítače a informace o tom, jak získat digitální klíč k dešifrování dat. Petya virus vyžaduje vykoupení zpravidla v Bitcoins. Pokud oběti nemá žádné záložní soubory, je konfrontován s výběrem - zaplatit částku 300 USD nebo ztratit všechny informace. Podle některých analytiků je virus pouze maskován pod vyhoštěním, zatímco její skutečný cíl je aplikovat hromadné škody.
Jak se zbavit Petya?
Odborníci zjistili, že PETEA virus hledá místního souboru a pokud tento soubor již existuje na disku, vychází z procesu šifrování. To znamená, že chcete počítač chránit před virem Etformator, uživatelé mohou tento soubor vytvořit a nainstalovat pouze pro čtení.
Navzdory skutečnosti, že tento složitý režim zabraňuje spuštění procesu vydírání, může být tato metoda prohlížena spíše jako "počítačová vakcinace". Uživatel tak bude muset vytvořit soubor nezávisle. Udělej to takto:
- Nejprve se musíte vypořádat s příponou souboru. Ujistěte se, že v okně parametrů složek nejsou žádné zaškrtnutí v okně zaškrtávací políčko "Skrýt rozšíření pro registrované typy souborů".
- Otevřete složku C: Windows, přejděte dolů, dokud neuvidíte program NotePad.exe.
- Klepněte na tlačítko NotEpad.exe s levým tlačítkem, stiskněte klávesu Ctrl + C pro kopírování a potom CTRL + V vložte soubor. Obdržíte požadavek na poskytnutí povolení k zkopírování souboru.
- Klepněte na tlačítko "Pokračovat" a soubor bude vytvořen jako Poznámkový blok - Copy.exe. Klikněte na levé tlačítko myši v tomto souboru a stiskněte klávesu F2 a vymažte název souboru Copy.exe a zadejte Perfc.
- Po změně názvu souboru na Perfc stiskněte ENTER. Potvrďte přejmenování.
- Nyní, když je vytvořen soubor Perfc, musíte ji udělat pouze pro čtení. Chcete-li to provést, klepněte pravým tlačítkem myši na soubor a vyberte možnost "Vlastnosti".
- Otevře se nabídka Vlastnosti. Níže uvidíte "pouze pro čtení." Klíště.
- Nyní klikněte na tlačítko Použít a poté tlačítko "OK".
Některé bezpečnostní experti nabízejí kromě souboru C: Windows Perfc, vytvořit C: Windows Perfc.dat a C: Windows Perfc.dll soubory, aby se pečlivě chráněny před viru Petya. Pro tyto soubory můžete opakovat výše popsané kroky.
Gratulujeme, váš počítač je chráněn před notpety / Petya!
Odborníci společnosti Symantec poskytují některé tipy na uživatele PC, aby je varovali před akcí, které mohou vést k blokování souborů nebo ztrátě peněz.
- Neplatí peníze útočníkům.I když uveďte peníze na vydírání, neexistuje žádná záruka, že můžete obnovit přístup ke svým souborům. A v případě notpety / Petya, to je v zásadě bezvýznamné, protože účelem šifrování je zničit data, a nedostanou peníze.
- Ujistěte se, že pravidelně vytvoříte záložní data.V tomto případě, i když váš počítač je předmětem útoku na vydání viru, můžete obnovit všechny smazané soubory.
- Neotvírat e-maily S pochybnými adresami.Útočníci se budou snažit oklamat vás při instalaci škodlivých programů nebo se pokusit získat důležité údaje pro útoky. Nezapomeňte informovat IT odborníky na případy, pokud vy nebo vaši zaměstnanci dostanou podezřelé dopisy, odkazy.
- Použijte spolehlivý software.Důležitou roli v ochraně počítačů z infekce hraje včasnou aktualizaci antivirového. A samozřejmě potřebujete používat produkty autoritativního v této oblasti společností.
- Použijte skenovací mechanismy a blokové zprávy se spamem.Příchozí e-maily by měly být zkontrolovány na hrozby. Je důležité, aby všechny typy zpráv byly blokovány, které v jejich textu obsahují odkazy nebo typická phishing klíčová slova.
- Ujistěte se, že jsou aktualizovány všechny programy.K zabránění infekcí je nutné pravidelné odstranění chyb zabezpečení softwaru.
Měl bych čekat na nové útoky?
Petya virus poprvé prohlásil v březnu 2016 a jeho chování okamžitě všiml bezpečnostních specialistů. Nová Petya virus udeřil počítače na Ukrajině a v Rusku na konci června 2017. Ale to je nepravděpodobné, že skončí. Hacker útoky pomocí vydíratelných virů, podobných Petya a WannaCry, opakoval, řekl zástupce předsedy Sberbank, Stanislava Kuznetsov. V rozhovoru s hřbetem varoval, že takové útoky by určitě byly, ale je obtížné předem předem předvídat, v jakém formě a formátu se mohou objevit.
Pokud po všem kolem Kiberatak ještě ještě neučinili alespoň minimální akce, abyste mohli chránit počítač před virem Encrypter, pak je čas to udělat úzce.