SBU a spus cum să vindece un computer de virusul Petya. Cum să recuperați datele după un atac al virusului Petya (instrucțiuni pas cu pas)

Dacă computerul dvs. este infectat, nimic nu va ajuta. Mai exact, fișierele de pe hard disk care nu pot fi recuperate. Dar, în realitate, un atac cibernetic poate fi evitat, iar resuscitarea unui computer este dificilă, dar posibilă.

În primul rând, să vorbim despre măsurile de evitat. După cum am scris deja, #Petya este similar cu WCry - un virus ransomware care criptează datele și solicită o răscumpărare de 300 USD pentru a le restaura. Să remarcăm imediat – NU are sens să plătești!

Cum să evitați virusul Petya A

— blocare la nivelul endpoint-urilor pentru lansarea fișierelor *.exe, *.js*, *.vbs din %AppData%;

— la nivel de gateway de e-mail – blocarea mesajelor cu conținut activ (*.vbs, *.js, *.jse, *.exe);

— la nivel de proxy – blocarea încărcării arhivelor care conțin conținut activ (*.vbs, *.js, *.jse);

— blocarea porturilor SMB și WMI. În primul rând 135, 445;

- după infecție - NU RE PORNȚI CALCULATORUL! - asta este foarte important.

- nu deschide email-uri suspecte si mai ales atasamente in ele;

— forțați actualizarea bazei de date antivirus și a sistemelor de operare.

Cum să recuperați fișierele după un virus ransomware

De menționat că încă din 2016, un utilizator înregistrat pe Twitter sub porecla Leostone a reușit să spargă criptarea unui virus rău intenționat, după cum a raportat resursa Bleepingcomputer.com.

În special, a reușit să creeze un algoritm genetic care poate genera parola necesară pentru a decripta computerul Petya criptat de virus.

Un algoritm genetic este un algoritm de căutare utilizat pentru a rezolva probleme de optimizare și modelare prin selectarea aleatorie, combinarea și variația parametrilor doriti folosind mecanisme similare selecției naturale din natură.

Leostone și-a postat rezultatele pe site, care conține toate informațiile necesare pentru generarea codurilor de decriptare. Astfel, victima atacului poate folosi site-ul specificat pentru a genera o cheie de decriptare.

Deci, pentru a utiliza instrumentul de decriptare Leostone, va trebui să scoateți hard disk-ul de pe computer și să îl conectați la un alt PC care rulează sistemul de operare Windows. Datele care trebuie preluate sunt de 512 octeți, începând cu sectorul 55 (0x37h). Aceste date trebuie apoi convertite în codificare Base64 și utilizate pe site-ul web https://petya-pay-no-ransom.herokuapp.com/ pentru a genera o cheie.

Pentru mulți utilizatori, preluarea anumitor informații de pe hard disk-urile afectate este o problemă. Din fericire, un expert de la Emsisoft a venit în ajutor Fabian Vosar, care a creat instrumentul Petya Sector Extractor pentru a extrage informațiile necesare de pe disc.

Petya Sector Extractor

După ce utilizatorul conectează discul criptat de pe computerul infectat la un alt PC, trebuie să ruleze instrumentul Fabric Wosar's Petya Sector Extractor de la Fabric Wosar, care va detecta zonele afectate de criptor. Odată ce Petya Sector Extractor și-a încheiat activitatea, utilizatorul trebuie să facă clic pe primul buton Copy Sector și să acceseze site-urile lui Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ sau https://petya-pay -no-ransom-mirror1.herokuapp.com /), lipirea datelor copiate prin Ctrl+V în câmpul de introducere a textului (date de verificare de 512 octeți codificate în Base64). Apoi reveniți la utilitarul lui Fabian Vosar, faceți clic pe al doilea buton Copiere sector și copiați din nou datele pe site-ul lui Stone, lipindu-le într-un alt câmp de intrare (Base64 codificat 8 octeți).

Foto: bleepingcomputer.com

După completarea ambelor câmpuri, utilizatorul poate face clic pe Trimite și poate porni algoritmul.

Site-ul trebuie să furnizeze o parolă pentru a decripta datele, după care trebuie să returnați hard disk-ul la computerul afectat, să porniți sistemul și să introduceți codul primit în fereastra ransomware. Ca urmare, informațiile vor fi decriptate.

Foto: bleepingcomputer.com

Odată ce hard disk-ul este decriptat, ransomware-ul vă va solicita să reporniți computerul și acum ar trebui să pornească normal.

Pentru cei cărora le este dificil să scoată un hard disk de pe un computer și să îl conecteze la altul, puteți achiziționa o stație de andocare pentru hard disk USB.

Virusul Petya este un virus cu creștere rapidă care a afectat aproape toate întreprinderile mari din Ucraina pe 27 iunie 2017. Virusul Petya criptează fișierele dvs. și apoi oferă o răscumpărare pentru ele.

Noul virus infectează hard disk-ul computerului și funcționează ca un virus de criptare a fișierelor. După un anumit timp, virusul Petya „mâncă” fișierele de pe computer și acestea devin criptate (ca și cum fișierele ar fi arhivate și s-ar fi setat o parolă grea)
Fișierele care au fost afectate de virusul ransomware Petya nu pot fi restaurate mai târziu (există un procent în care le puteți restaura, dar este foarte mic)
Nu există NU există algoritm care restaurează fișierele afectate de virusul Petya
Cu ajutorul acestui articol scurt și MAXIM util te poți proteja de #virusPetya

Cum să IDENTIFICAȚI virusul Petya sau WannaCry și NU vă infectați cu virusul

Când descărcați un fișier prin Internet, verificați-l cu un antivirus online. Antivirusurile online pot detecta în avans un virus într-un fișier și pot preveni infectarea cu virusul Petya. Tot ce trebuie să faceți este să verificați fișierul descărcat folosind VirusTotal și apoi să îl rulați. Chiar dacă ați DESCARCAT VIRUSUL PETYA, dar NU ați rulat fișierul cu virus, virusul NU este activ și nu dăunează. Numai după ce rulați un fișier dăunător lansați un virus, amintiți-vă acest lucru

UTILIZAREA ACESTEI METODE VA OFERĂ NUMAI Orice șansă de a NU FI INFECTAT DE VIRUSUL PETYA
Virusul Petya arată astfel:

Cum să te protejezi de virusul Petya

Companie Symantec a propus o soluție care vă permite să vă protejați de virusul Petya pretinzând că îl aveți deja instalat.
Virusul Petya, când intră într-un computer, se creează în folder C:\Windows\perfc fişier perfc sau perfc.dll
Pentru a face virusul să creadă că este deja instalat și să nu-și continue activitatea, creați în folder C:\Windows\perfc fișier cu conținut gol și salvați-l setând modul de editare la „Numai citire”
Sau descărcați virus-petya-perfc.zip și dezarhivați folderul perfcîntr-un folder C:\Windows\și setați modul de schimbare la „Numai citire”
Descărcați virus-petya-perfc.zip

ACTUALIZAT 29.06.2017
De asemenea, recomand să descărcați ambele fișiere pur și simplu în folderul Windows. Multe surse scriu că fișierul perfc sau perfc.dll trebuie să fie în folder C:\Windows\

Ce trebuie să faceți dacă computerul este deja infectat cu virusul Petya

Nu porniți un computer care v-a infectat deja cu virusul Petya. Virusul Petya funcționează în așa fel încât, în timp ce computerul infectat este pornit, criptează fișierele. Adică, atâta timp cât îți menții computerul infectat cu virusul Petya pornit, tot mai multe fișiere pot fi infectate și criptate.
Hard disk-ul acestui computer merită verificat. Îl puteți verifica folosind LIVECD sau LIVEUSB cu antivirus
Unitate flash USB bootabilă cu Kaspersky Rescue Disk 10
Unitate flash bootabilă Dr.Web LiveDisk

Cine a răspândit virusul Petya în toată Ucraina

Microsoft și-a exprimat punctul de vedere cu privire la infecția globală a rețelei în marile companii ucrainene. Motivul a fost actualizarea programului M.E.Doc. M.E.Doc este un program de contabilitate popular, motiv pentru care compania a făcut o greșeală atât de mare când un virus a intrat în actualizare și a instalat virusul Petya pe mii de PC-uri pe care a fost instalat programul M.E.Doc. Și din moment ce virusul afectează computerele din aceeași rețea, s-a răspândit cu viteza fulgerului.
#: Virusul Petya afectează Android, virusul Petya, cum să detectăm și să eliminați virusul Petya, cum să tratați virusul Petya, M.E.Doc, Microsoft, creați un folder Virusul Petya

A trecut deja o săptămână de când Petya a aterizat în Ucraina. În general, peste cincizeci de țări din întreaga lume au fost afectate de acest virus de criptare, dar 75% din atacul cibernetic masiv a lovit Ucraina. Instituțiile guvernamentale și financiare din întreaga țară au fost afectate Ukrenergo și Kyivenergo au fost printre primii care au raportat că sistemele lor au fost piratate. Pentru a pătrunde și a bloca, virusul Petya.A a folosit programul de contabilitate M.E.Doc. Acest software este foarte popular în rândul diferitelor instituții din Ucraina, care a devenit fatal. Drept urmare, pentru unele companii a durat mult timp pentru a-și restabili sistemul după virusul Petya. Unii au reușit să își reia activitatea abia ieri, la 6 zile după virusul ransomware.

Scopul virusului Petya

Scopul majorității virușilor ransomware este extorcarea. Ei criptează informațiile de pe computerul victimei și îi cer bani pentru a obține o cheie care va restabili accesul la datele criptate. Dar escrocii nu se țin întotdeauna de cuvânt. Unele ransomware pur și simplu nu sunt concepute pentru a fi decriptate, iar virusul Petya este unul dintre ele.

Această veste tristă a fost raportată de specialiștii de la Kaspersky Lab. Pentru a recupera datele după un virus ransomware, aveți nevoie de un identificator unic de instalare a virusului. Dar în situația cu un nou virus, acesta nu generează deloc un identificator, adică creatorii malware-ului nici măcar nu au luat în considerare opțiunea de restaurare a unui PC după virusul Petya.

Dar, în același timp, victimele au primit un mesaj în care au denumit adresa unde să transfere 300 de dolari în bitcoini pentru a restabili sistemul. În astfel de cazuri, experții nu recomandă asistența hackerilor, dar, cu toate acestea, creatorii Petya au reușit să câștige peste 10.000 de dolari în 2 zile după un atac cibernetic masiv. Dar experții sunt încrezători că extorcarea nu a fost scopul lor principal, deoarece acest mecanism a fost prost gândit, spre deosebire de alte mecanisme ale virusului. Din aceasta se poate presupune că scopul virusului Petya a fost de a destabiliza activitatea întreprinderilor globale. De asemenea, este cu totul posibil ca hackerii să fi fost pur și simplu grăbiți și să nu se gândească bine la partea de a obține bani.

Restaurarea unui PC după virusul Petya

Din păcate, odată ce Petya este complet infectat, datele de pe computer nu pot fi restaurate. Dar, cu toate acestea, există o modalitate de a debloca un computer după virusul Petya dacă ransomware-ul nu a avut timp să cripteze complet datele. A fost publicat pe site-ul oficial al Poliției Cibernetice pe 2 iulie.

Există trei opțiuni pentru infectarea cu virusul Petya

— toate informațiile de pe PC sunt complet criptate, pe ecran este afișată o fereastră cu extorcare de bani;
— Datele PC sunt parțial criptate. Procesul de criptare a fost întrerupt de factori externi (inclusiv sursa de alimentare);
— PC-ul este infectat, dar procesul de criptare a tabelelor MFT nu a fost început.

În primul caz, totul este rău - sistemul nu poate fi restaurat. Cel puțin deocamdată.
În ultimele două opțiuni, situația este remediabilă.
Pentru a recupera datele care au fost parțial criptate, se recomandă să descărcați discul de instalare Windows:

Dacă hard diskul nu a fost deteriorat de un virus de criptare, sistemul de operare de pornire va vedea fișierele și va începe recuperarea MBR:

Pentru fiecare versiune de Windows, acest proces are propriile sale nuanțe.

Windows XP

După încărcarea discului de instalare, pe ecran apare fereastra „Windows XP Professional Settings”, unde trebuie să selectați „pentru a restaura Windows XP folosind consola de recuperare, apăsați R”. După ce apăsați R, consola de recuperare va începe să se încarce.

Dacă dispozitivele au un sistem de operare instalat și acesta se află pe unitatea C, va apărea o notificare:
„1: C:\WINDOWS ce copie de Windows ar trebui să folosesc pentru a mă autentifica?” În consecință, trebuie să apăsați tasta „1” și „Enter”.
Apoi va apărea următorul mesaj: „Introduceți parola de administrator”. Introduceți parola și apăsați „Enter” (dacă nu există parolă, apăsați „Enter”).
Ar trebui să apară un prompt de sistem: C:\WINDOWS>, introduceți fixmbr.

Apoi va apărea un „AVERTISMENT”.
Pentru a confirma noua intrare MBR, apăsați „y”.
Apoi va apărea notificarea „Se creează o nouă înregistrare master boot pe discul fizic\Dispozitiv\Harddisk0\Partition0”.
Și: „Noua înregistrare de pornire principală a fost creată cu succes.”

Windows Vista:

Aici situatia este mai simpla. Încărcați sistemul de operare, selectați limba și aspectul tastaturii. Apoi va apărea „Restabiliți computerul la normal” pe ecran va apărea un meniu în care trebuie să selectați „Următorul”. Va apărea o fereastră cu parametrii sistemului restaurat, unde trebuie să faceți clic pe linia de comandă, în care trebuie să introduceți bootrec /FixMbr.
După aceasta, trebuie să așteptați finalizarea procesului, dacă totul a mers bine, va apărea un mesaj de confirmare - apăsați „Enter” și computerul va începe să repornească. Toate.

Windows 7:

Procesul de recuperare este similar cu Vista. După ce ați selectat limba și aspectul tastaturii, selectați sistemul de operare, apoi faceți clic pe „Următorul”. În fereastra nouă, selectați „Utilizați instrumente de recuperare care vă pot ajuta să rezolvați problemele la pornirea Windows”.
Toate celelalte acțiuni sunt similare cu Vista.

Windows 8 și 10:

Porniți sistemul de operare, în fereastra care apare, selectați Restore your computer>troubleshooting, unde făcând clic pe linia de comandă, introduceți bootrec /FixMbr. După finalizarea procesului, apăsați „Enter” și reporniți dispozitivul.

După ce procesul de recuperare a MBR s-a încheiat cu succes (indiferent de versiunea Windows), trebuie să scanați discul cu un antivirus.
Dacă procesul de criptare a fost pornit de un virus, puteți utiliza un software de recuperare a fișierelor, cum ar fi Rstudio. După ce le copiați pe un suport amovibil, trebuie să reinstalați sistemul.
Dacă utilizați programe de recuperare a datelor scrise în sectorul de pornire, de exemplu Acronis True Image, atunci puteți fi sigur că „Petya” nu a afectat acest sector. Aceasta înseamnă că puteți readuce sistemul la starea de funcționare fără reinstalare.

Dacă găsiți o eroare, evidențiați o bucată de text și faceți clic Ctrl+Enter.

Acum câteva zile, pe resursa noastră a apărut un articol despre cum să te protejezi de virus și soiurile acestuia. În aceleași instrucțiuni, ne vom uita la cel mai rău caz - PC-ul dvs. este infectat. Desigur, după recuperare, fiecare utilizator încearcă să-și restaureze datele și informațiile personale. Acest articol va discuta cele mai convenabile și eficiente metode de recuperare a datelor. Merită să luați în considerare că acest lucru nu este întotdeauna posibil, așa că nu vom oferi nicio garanție.

Vom lua în considerare trei scenarii principale în care se pot dezvolta evenimente:
1. Computerul este infectat cu virusul Petya.A (sau variantele acestuia) și este criptat, sistemul este complet blocat. Pentru a restabili datele, trebuie să introduceți o cheie specială, pentru care trebuie să plătiți. Merită să spuneți imediat că, chiar dacă plătiți, acest lucru nu va elimina blocarea și nu vă va da înapoi accesul la computerul personal.

2. O opțiune care oferă utilizatorului mai multe opțiuni pentru acțiuni ulterioare - computerul dvs. este infectat și virusul a început să vă cripteze datele, dar criptarea a fost oprită (de exemplu, prin oprirea alimentării).

3. Ultima varianta este cea mai favorabila. Computerul dvs. este infectat, dar criptarea sistemului de fișiere nu a început încă.

Dacă aveți situația numărul 1, adică toate datele sunt criptate, atunci în această etapă nu există o modalitate eficientă de a restabili informațiile utilizatorului. Este probabil ca această metodă să apară în câteva zile sau săptămâni, dar deocamdată experții și toți cei din domeniul securității informaționale și informatice se zgârie capul peste ea.

Dacă procesul de criptare nu a început sau nu este complet finalizat, atunci utilizatorul ar trebui să îl întrerupă imediat (criptarea este afișată ca proces de sistem Check Disk). Dacă ați reușit să porniți sistemul de operare, atunci ar trebui să instalați imediat orice antivirus modern (toți recunosc în prezent Petya și fac o scanare completă a tuturor discurilor. Dacă Windows nu pornește, atunci proprietarul mașinii infectate va trebui să folosească discul de sistem sau unitatea flash pentru a restabili sectorul de boot MBR.

Restaurarea bootloader-ului pe Windows XP

După încărcarea discului de sistem cu sistemul de operare Windows XP, vi se vor prezenta opțiuni de acțiune. În fereastra „Instalați Windows XP Professional”, selectați „Pentru a restaura Windows XP utilizând Consola de recuperare, apăsați R”. Ceea ce este logic, va trebui să apăsați R pe tastatură. Ar trebui să vedeți consola pentru restaurarea partiției și mesajul:

""1: C:\WINDOWS La ce copie de Windows ar trebui să mă conectez?"

Dacă aveți o versiune de Windows XP instalată, introduceți „1” de la tastatură și apăsați Enter. Dacă aveți mai multe sisteme, atunci trebuie să îl selectați pe cel de care aveți nevoie. Veți vedea un mesaj care vă cere parola de administrator. Dacă nu există o parolă, atunci pur și simplu apăsați Enter, lăsând câmpul gol. După aceasta, va apărea o linie pe ecran, introduceți cuvântul " fixmbr"

Ar trebui să apară următorul mesaj: „ATENȚIE! Confirmați introducerea noului MBR?”, apăsați tasta „Y” de pe tastatură.
Răspunsul va apărea: „Se creează un nou sector de boot primar pe discul fizic...”
„Noua partiție master boot a fost creată cu succes.”

Restaurarea bootloader-ului pe Windows Vista

Introduceți un disc sau o unitate flash cu sistemul de operare Windows Vista. Apoi, trebuie să selectați linia „Restaurați computerul”. Selectați ce sistem de operare Windows Vista (dacă aveți mai multe) pentru a restaura. Când apare fereastra cu opțiuni de recuperare, faceți clic pe Command Prompt. La promptul de comandă, introduceți comanda " bootrec/FixMbr".

Restaurarea bootloader-ului pe Windows 7

Introduceți un disc sau o unitate flash cu sistemul de operare Windows 7 Selectați sistemul de operare Windows 7 (dacă aveți mai multe) care trebuie restaurat. Selectați „Utilizați instrumente de recuperare care vă pot ajuta la rezolvarea problemelor la pornirea Windows”. Apoi, selectați „Linia de comandă”. După ce ați încărcat linia de comandă, introduceți „ bootrec/fixmbr

Restaurarea bootloader-ului pe Windows 8

Introduceți un disc sau o unitate flash cu sistemul de operare Windows 8 Pe ecranul principal, selectați „Reparați computerul” în colțul din stânga jos. Selectați Depanare. Selectați linia de comandă, când se încarcă, introduceți: "bootrec/FixMbr" Dacă totul merge bine, veți vedea un mesaj corespunzător și tot ce rămâne este să reporniți computerul.

Restaurarea bootloader-ului pe Windows 10

Introduceți un disc sau o unitate flash cu sistemul de operare Windows 10 Pe ecranul principal, selectați „Reparați computerul” în colțul din stânga jos. Selectați Depanare. Selectați linia de comandă, când se încarcă, introduceți: "bootrec/FixMbr" Dacă totul merge bine, veți vedea un mesaj corespunzător și tot ce rămâne este să reporniți computerul.

În primul rând, să vorbim despre măsurile care vor evita infectarea cu virusul Petya A. După cum am scris deja, #Petya este similar cu WCry - un virus ransomware care criptează datele și solicită o răscumpărare de 300 USD pentru a le restaura. Să remarcăm imediat – NU are sens să plătești!

Cum să evitați virusul Petya A

Blocare la nivelul endpoint-urilor pentru lansarea fișierelor *.exe, *.js*, *.vbs din %AppData%;

La nivel de gateway de e-mail – blocarea mesajelor cu conținut activ (*.vbs, *.js, *.jse, *.exe);

La nivel de proxy – blocarea încărcării arhivelor care conțin conținut activ (*.vbs, *.js, *.jse);

Blocarea porturilor SMB și WMI. În primul rând 135, 445;

După infectare, NU RE PORNȚI CALCULATORUL! - asta este foarte important.

Nu deschideți e-mailuri suspecte și mai ales atașamente în ele;

Actualizați-vă cu forță baza de date antivirus și sistemele de operare.

Cum să recuperați fișierele după un virus ransomware

În special, a reușit să creeze un algoritm genetic care poate genera parola necesară pentru a decripta computerul Petya criptat de virus.

Petya Sector Extractor

Foto: bleepingcomputer.com

După completarea ambelor câmpuri, utilizatorul poate face clic pe Trimite și poate porni algoritmul.

Foto: bleepingcomputer.com

Odată ce hard disk-ul este decriptat, ransomware-ul vă va solicita să reporniți computerul și acum ar trebui să pornească normal.

Pentru cei cărora le este dificil să scoată un hard disk de pe un computer și să îl conecteze la altul, puteți achiziționa o stație de andocare pentru hard disk USB.

Conform informațiilor de la bykvu.com și BAKOTEK