SBU đã hướng dẫn cách chữa máy tính khỏi virus Petya. Cách khôi phục dữ liệu sau khi bị virus Petya tấn công (hướng dẫn từng bước)

Nếu máy tính của bạn bị nhiễm virus, không có gì có thể giúp được nó. Chính xác hơn là các tập tin trên ổ cứng không thể phục hồi được. Nhưng trên thực tế, có thể tránh được một cuộc tấn công mạng và việc khôi phục máy tính là điều khó khăn nhưng có thể thực hiện được.

Đầu tiên, hãy nói về các biện pháp cần tránh. Như chúng tôi đã viết, #Petya tương tự như WCry - một loại virus ransomware mã hóa dữ liệu và yêu cầu khoản tiền chuộc 300 USD để khôi phục dữ liệu. Hãy lưu ý ngay – việc trả tiền KHÔNG có ý nghĩa gì!

Cách phòng tránh virus Petya A

— chặn ở cấp độ điểm cuối để khởi chạy các tệp *.exe, *.js*, *.vbs từ %AppData%;

— ở cấp cổng thư – chặn các thư có nội dung hoạt động (*.vbs, *.js, *.jse, *.exe);

— ở cấp độ proxy – chặn tải các kho lưu trữ chứa nội dung hoạt động (*.vbs, *.js, *.jse);

— chặn các cổng SMB và WMI. Chủ yếu là 135, 445;

- sau khi bị nhiễm trùng - KHÔNG KHỞI ĐỘNG LẠI MÁY TÍNH CỦA BẠN! - điều này thực sự quan trọng.

- không mở các email đáng ngờ và đặc biệt là các tệp đính kèm trong đó;

— buộc cập nhật cơ sở dữ liệu chống vi-rút và hệ điều hành.

Cách khôi phục tập tin sau khi bị virus ransomware

Cần lưu ý rằng vào năm 2016, một người dùng đã đăng ký trên Twitter với biệt danh Leostone đã tìm cách bẻ khóa mã hóa của một loại virus độc hại, theo báo cáo của tài nguyên Bleepingcomputer.com.

Đặc biệt, anh ta đã có thể tạo ra một thuật toán di truyền có thể tạo ra mật khẩu cần thiết để giải mã máy tính Petya bị virus mã hóa.

Thuật toán di truyền là thuật toán tìm kiếm được sử dụng để giải quyết các vấn đề tối ưu hóa và mô hình hóa bằng cách chọn ngẫu nhiên, kết hợp và thay đổi các tham số mong muốn bằng các cơ chế tương tự như chọn lọc tự nhiên trong tự nhiên.

Leostone đã đăng kết quả của mình lên trang web, trong đó có tất cả thông tin cần thiết để tạo mã giải mã. Do đó, nạn nhân của cuộc tấn công có thể sử dụng trang web được chỉ định để tạo khóa giải mã.

Vì vậy, để sử dụng công cụ giải mã Leostone, bạn sẽ phải tháo ổ cứng ra khỏi máy tính và kết nối nó với một PC khác chạy HĐH Windows. Dữ liệu cần truy xuất là 512 byte, bắt đầu từ khu vực 55 (0x37h). Dữ liệu này sau đó phải được chuyển đổi sang mã hóa Base64 và sử dụng trên trang web https://petya-pay-no-ransom.herokuapp.com/ để tạo khóa.

Đối với nhiều người dùng, việc lấy một số thông tin nhất định từ ổ cứng bị ảnh hưởng là một vấn đề. Rất may đã có chuyên gia của Emsisoft đến giải cứu Fabian Vosar, người đã tạo ra công cụ Petya Sector Extractor để trích xuất thông tin cần thiết từ đĩa.

Máy chiết xuất ngành Petya

Sau khi người dùng kết nối ổ đĩa được mã hóa từ máy tính bị nhiễm với một PC khác, họ cần chạy công cụ Petya Sector Extractor của Fabric Wosar, công cụ này sẽ phát hiện các khu vực bị ảnh hưởng bởi bộ mã hóa. Sau khi Petya Sector Extractor hoàn thành công việc của mình, người dùng cần nhấp vào nút Sao chép ngành đầu tiên và truy cập các trang web của Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ hoặc https:// petya-pay -no-ransom-mirror1.herokuapp.com /), dán dữ liệu đã sao chép qua Ctrl+V vào trường nhập văn bản (dữ liệu xác minh 512 byte được mã hóa Base64). Sau đó quay lại tiện ích của Fabian Vosar, nhấp vào nút Sao chép ngành thứ hai và sao chép lại dữ liệu vào trang web của Stone, dán vào trường nhập khác (Base64 được mã hóa 8 byte nonce).

Ảnh: bleepingcomputer.com

Sau khi điền vào cả hai trường, người dùng có thể nhấp vào Gửi và bắt đầu thuật toán.

Trang web phải cung cấp mật khẩu để giải mã dữ liệu, sau đó bạn cần trả lại ổ cứng cho máy tính bị ảnh hưởng, khởi động hệ thống và nhập mã nhận được vào cửa sổ ransomware. Kết quả là thông tin sẽ được giải mã.

Ảnh: bleepingcomputer.com

Sau khi ổ cứng được giải mã, ransomware sẽ nhắc bạn khởi động lại máy tính và bây giờ máy sẽ khởi động bình thường.

Đối với những người gặp khó khăn khi tháo ổ cứng khỏi máy tính này và kết nối nó với máy tính khác, bạn có thể mua một ổ cắm ổ cứng USB.

Virus Petya là một loại virus phát triển nhanh chóng, ảnh hưởng đến hầu hết các doanh nghiệp lớn ở Ukraine vào ngày 27 tháng 6 năm 2017. Virus Petya mã hóa các tập tin của bạn và sau đó đưa ra tiền chuộc cho chúng.

Loại virus mới lây nhiễm vào ổ cứng máy tính và hoạt động như một loại virus mã hóa tập tin. Sau một thời gian nhất định, virus Petya “ăn” các tập tin trên máy tính của bạn và chúng bị mã hóa (như thể các tập tin đã được lưu trữ và đặt mật khẩu nặng)
Các tập tin bị ảnh hưởng bởi virus Petya ransomware sau này không thể khôi phục được (có một tỷ lệ phần trăm bạn có thể khôi phục chúng nhưng rất nhỏ)
KHÔNG có thuật toán nào khôi phục các tệp bị ảnh hưởng bởi virus Petya
Với sự trợ giúp của bài viết ngắn và hữu ích TỐI ĐA này, bạn có thể tự bảo vệ mình khỏi #virusPetya

Cách XÁC ĐỊNH virus Petya hoặc WannaCry và KHÔNG bị nhiễm virus

Khi tải xuống một tệp qua Internet, hãy kiểm tra tệp đó bằng phần mềm chống vi-rút trực tuyến. Phần mềm chống vi-rút trực tuyến có thể phát hiện trước vi-rút trong tệp và ngăn chặn vi-rút Petya lây nhiễm. Tất cả những gì bạn phải làm là kiểm tra tệp đã tải xuống bằng VirusTotal, sau đó chạy nó. Ngay cả khi bạn TẢI XUỐNG PETYA VIRUS nhưng KHÔNG chạy tệp vi-rút thì vi-rút này KHÔNG hoạt động và không gây hại. Chỉ sau khi chạy file độc hại, bạn mới phát tán virus, hãy nhớ điều này

SỬ DỤNG PHƯƠNG PHÁP NÀY CHỈ MANG LẠI CHO BẠN MỌI CƠ HỘI KHÔNG BỊ NHIỄM BỞI VIRUS PETYA
Virus Petya trông như thế này:

Cách bảo vệ bản thân khỏi virus Petya

Công ty Symantecđã đề xuất một giải pháp cho phép bạn tự bảo vệ mình khỏi virus Petya bằng cách giả vờ rằng bạn đã cài đặt nó.
Virus Petya khi xâm nhập vào máy tính sẽ tạo ra trong thư mục C:\Windows\perfc tài liệu hoàn hảo hoặc perfc.dll
Để khiến virus nghĩ rằng nó đã được cài đặt và không tiếp tục hoạt động, hãy tạo trong thư mục C:\Windows\perfc tệp có nội dung trống và lưu nó bằng cách đặt chế độ chỉnh sửa thành “Chỉ đọc”
Hoặc tải virus-petya-perfc.zip và giải nén thư mục hoàn hảo vào một thư mục C:\Windows\ và đặt chế độ thay đổi thành “Chỉ đọc”
Tải xuống virus-petya-perfc.zip

CẬP NHẬT 29/06/2017
Tôi cũng khuyên bạn nên tải cả hai tệp xuống thư mục Windows. Nhiều nguồn viết rằng tập tin hoàn hảo hoặc perfc.dll phải có trong thư mục C:\Windows\

Phải làm gì nếu máy tính của bạn đã bị nhiễm virus Petya

Đừng bật máy tính đã bị nhiễm vi-rút Petya. Virus Petya hoạt động theo cách khi bật máy tính bị nhiễm, nó sẽ mã hóa các tập tin. Nghĩa là, miễn là bạn luôn bật máy tính của mình bị nhiễm vi-rút Petya thì ngày càng có nhiều tệp có thể bị nhiễm và mã hóa.
Ổ cứng của máy tính này đáng để kiểm tra. Bạn có thể kiểm tra bằng LIVECD hoặc LIVEUSB với phần mềm chống vi-rút
Ổ đĩa flash USB có khả năng khởi động với Kaspersky Rescue Disk 10
Ổ đĩa flash có khả năng khởi động Dr.Web LiveDisk

Ai đã phát tán virus Petya khắp Ukraine

Microsoft đã bày tỏ quan điểm của mình về việc lây nhiễm mạng toàn cầu ở các công ty lớn của Ukraine. Lý do là do bản cập nhật của chương trình M.E.Doc. M.E.Doc là một chương trình kế toán phổ biến, đó là lý do tại sao công ty đã phạm sai lầm lớn như vậy khi một loại vi-rút xâm nhập vào bản cập nhật và cài đặt vi-rút Petya trên hàng nghìn PC có cài đặt chương trình M.E.Doc. Và vì virus ảnh hưởng đến các máy tính trên cùng một mạng nên nó lây lan với tốc độ cực nhanh.
#: Virus Petya ảnh hưởng đến android, Virus Petya, cách phát hiện và diệt virus Petya, cách trị virus petya, M.E.Doc, Microsoft, tạo thư mục Petya virus

Một tuần đã trôi qua kể từ khi Petya đặt chân đến Ukraine. Nhìn chung, hơn 50 quốc gia trên thế giới bị ảnh hưởng bởi loại virus mã hóa này, nhưng 75% cuộc tấn công mạng quy mô lớn đều nhắm vào Ukraine. Chính phủ và các tổ chức tài chính trên khắp đất nước bị ảnh hưởng; Ukrenergo và Kyivenergo là những nơi đầu tiên báo cáo rằng hệ thống của họ đã bị tấn công. Để xâm nhập và ngăn chặn, virus Petya.A đã sử dụng chương trình kế toán M.E.Doc. Phần mềm này rất phổ biến ở nhiều tổ chức khác nhau ở Ukraine và đã trở nên nguy hiểm. Kết quả là đối với một số công ty, phải mất một thời gian dài để khôi phục hệ thống của họ sau virus Petya. Một số chỉ có thể tiếp tục hoạt động vào ngày hôm qua, 6 ngày sau khi xảy ra virus ransomware.

Mục đích của virus Petya

Mục tiêu của hầu hết các virus ransomware là tống tiền. Họ mã hóa thông tin trên PC của nạn nhân và đòi tiền của cô ấy để lấy chìa khóa khôi phục quyền truy cập vào dữ liệu được mã hóa. Nhưng những kẻ lừa đảo không phải lúc nào cũng giữ lời. Một số ransomware đơn giản là không được thiết kế để giải mã và virus Petya là một trong số đó.

Tin buồn này đã được các chuyên gia đến từ Kaspersky Lab đưa ra. Để khôi phục dữ liệu sau khi bị nhiễm vi-rút ransomware, bạn cần có một mã định danh cài đặt vi-rút duy nhất. Nhưng trong trường hợp có một loại vi-rút mới, nó hoàn toàn không tạo ra mã nhận dạng, nghĩa là những người tạo ra phần mềm độc hại thậm chí còn không xem xét tùy chọn khôi phục PC sau vi-rút Petya.

Nhưng cùng lúc đó, các nạn nhân nhận được một tin nhắn trong đó họ nêu tên địa chỉ cần chuyển 300 đô la bitcoin để khôi phục hệ thống. Trong những trường hợp như vậy, các chuyên gia không khuyến nghị hỗ trợ tin tặc, tuy nhiên, những người tạo ra Petya đã kiếm được hơn 10.000 USD trong 2 ngày sau một cuộc tấn công mạng lớn. Nhưng các chuyên gia tin tưởng rằng tống tiền không phải là mục tiêu chính của họ, vì cơ chế này chưa được nghĩ ra kỹ lưỡng, không giống như các cơ chế khác của virus. Từ đó có thể giả định rằng mục tiêu của virus Petya là gây bất ổn cho hoạt động của các doanh nghiệp toàn cầu. Cũng hoàn toàn có khả năng các tin tặc chỉ đơn giản là vội vàng và không suy nghĩ kỹ về phần kiếm tiền.

Khôi phục PC sau virus Petya

Thật không may, một khi Petya bị nhiễm virus hoàn toàn thì dữ liệu trên máy tính của bạn sẽ không thể khôi phục được. Tuy nhiên, vẫn có cách để mở khóa máy tính sau virus Petya nếu ransomware không có thời gian để mã hóa hoàn toàn dữ liệu. Nó được công bố trên trang web chính thức của Cảnh sát mạng vào ngày 2 tháng 7.

Có ba lựa chọn để lây nhiễm virus Petya

— mọi thông tin trên PC đều được mã hóa hoàn toàn, trên màn hình hiển thị một cửa sổ tống tiền;
- Dữ liệu PC được mã hóa một phần. Quá trình mã hóa bị gián đoạn bởi các yếu tố bên ngoài (bao gồm cả nguồn điện);
— PC bị nhiễm virus nhưng quá trình mã hóa bảng MFT chưa được bắt đầu.

Trong trường hợp đầu tiên, mọi thứ đều tệ - hệ thống không thể được khôi phục. Ít nhất là bây giờ.
Trong hai lựa chọn cuối cùng, tình hình có thể khắc phục được.
Để khôi phục dữ liệu đã bị mã hóa một phần, nên tải xuống đĩa cài đặt Windows:

Nếu ổ cứng không bị vi-rút mã hóa làm hỏng, hệ điều hành khởi động sẽ nhìn thấy các tệp và bắt đầu khôi phục MBR:

Đối với mỗi phiên bản Windows, quá trình này có những sắc thái riêng.

Windows XP

Sau khi tải đĩa cài đặt, cửa sổ “Cài đặt chuyên nghiệp Windows XP” xuất hiện trên màn hình, nơi bạn cần chọn “để khôi phục Windows XP bằng bảng điều khiển khôi phục, nhấn R.” Sau khi nhấn R, bảng điều khiển khôi phục sẽ bắt đầu tải.

Nếu các thiết bị được cài đặt một hệ điều hành và nó nằm trên ổ C, một thông báo sẽ xuất hiện:
"1: C:\WINDOWS tôi nên sử dụng bản sao Windows nào để đăng nhập?" Theo đó, bạn cần nhấn phím “1” và “Enter”.
Sau đó sẽ xuất hiện thông báo sau: “Nhập mật khẩu quản trị viên”. Nhập mật khẩu và nhấn “Enter” (nếu không có mật khẩu thì nhấn “Enter”).
Lời nhắc hệ thống sẽ xuất hiện: C:\WINDOWS>, nhập fixmbr.

Sau đó, dòng chữ “CẢNH BÁO” sẽ xuất hiện.
Để xác nhận mục nhập MBR mới, nhấn “y”.
Sau đó, thông báo “Bản ghi khởi động chính mới đang được tạo trên đĩa vật lý\Thiết bị\Harddisk0\Partition0."
Và: “Bản ghi khởi động chính mới đã được tạo thành công.”

Windows Vista:

Ở đây tình hình đơn giản hơn. Tải hệ điều hành, chọn ngôn ngữ và bố trí bàn phím. Sau đó, “Khôi phục máy tính của bạn về bình thường” sẽ xuất hiện trên màn hình, trong đó bạn phải chọn “Tiếp theo”. Một cửa sổ sẽ xuất hiện với các thông số của hệ thống được khôi phục, tại đây bạn cần nhấp vào dòng lệnh, trong đó bạn cần nhập bootrec /FixMbr.
Sau đó, bạn cần đợi quá trình hoàn tất; nếu mọi thứ suôn sẻ, một thông báo xác nhận sẽ xuất hiện - nhấn “Enter” và máy tính sẽ bắt đầu khởi động lại. Tất cả.

Windows 7:

Quá trình khôi phục tương tự như Vista. Sau khi chọn ngôn ngữ và bố cục bàn phím, hãy chọn hệ điều hành của bạn, sau đó nhấp vào “Tiếp theo”. Trong cửa sổ mới, chọn “Sử dụng các công cụ khôi phục có thể giúp giải quyết sự cố khi khởi động Windows”.
Tất cả các hành động khác đều tương tự như Vista.

Windows 8 và 10:

Khởi động hệ điều hành, trong cửa sổ xuất hiện, chọn Khôi phục máy tính của bạn>khắc phục sự cố, trong đó bằng cách nhấp vào dòng lệnh, nhập bootrec /FixMbr. Sau khi quá trình hoàn tất, nhấn “Enter” và khởi động lại thiết bị của bạn.

Sau khi quá trình khôi phục MBR hoàn tất thành công (bất kể phiên bản Windows), bạn cần quét đĩa bằng phần mềm chống vi-rút.
Nếu quá trình mã hóa được bắt đầu bởi vi-rút, bạn có thể sử dụng phần mềm khôi phục tệp, chẳng hạn như Rstudio. Sau khi sao chép chúng vào phương tiện di động, bạn cần cài đặt lại hệ thống.
Nếu bạn sử dụng các chương trình khôi phục dữ liệu được ghi vào khu vực khởi động, chẳng hạn như Acronis True Image, thì bạn có thể chắc chắn rằng “Petya” không ảnh hưởng đến khu vực này. Điều này có nghĩa là bạn có thể đưa hệ thống trở lại trạng thái hoạt động mà không cần cài đặt lại.

Nếu bạn tìm thấy lỗi, vui lòng đánh dấu một đoạn văn bản và nhấp vào Ctrl+Enter.

Một vài ngày trước, một bài báo đã xuất hiện trên tài nguyên của chúng tôi về cách bảo vệ bạn khỏi vi-rút và các loại vi-rút của nó. Theo hướng dẫn tương tự, chúng ta sẽ xem xét trường hợp xấu nhất - PC của bạn bị nhiễm virus. Đương nhiên, sau khi khôi phục, mỗi người dùng sẽ cố gắng khôi phục dữ liệu và thông tin cá nhân của mình. Bài viết này sẽ thảo luận về các phương pháp thuận tiện và hiệu quả nhất để phục hồi dữ liệu. Điều đáng lưu ý là điều này không phải lúc nào cũng có thể thực hiện được, vì vậy chúng tôi sẽ không đưa ra bất kỳ đảm bảo nào.

Chúng ta sẽ xem xét ba kịch bản chính trong đó các sự kiện có thể phát triển:
1. Máy tính bị nhiễm virus Petya.A (hoặc các biến thể của nó) và bị mã hóa, hệ thống bị chặn hoàn toàn. Để khôi phục dữ liệu, bạn cần nhập một khóa đặc biệt mà bạn phải trả tiền. Cần phải nói ngay rằng ngay cả khi bạn trả tiền, điều này sẽ không loại bỏ việc chặn và sẽ không cấp lại cho bạn quyền truy cập vào máy tính cá nhân của bạn.

2. Một tùy chọn cung cấp cho người dùng nhiều tùy chọn hơn cho các hành động tiếp theo - máy tính của bạn bị nhiễm và vi-rút bắt đầu mã hóa dữ liệu của bạn, nhưng quá trình mã hóa đã bị dừng (ví dụ: bằng cách tắt nguồn).

3. Lựa chọn cuối cùng là thuận lợi nhất. Máy tính của bạn bị nhiễm nhưng quá trình mã hóa hệ thống tệp vẫn chưa bắt đầu.

Nếu bạn gặp tình huống số 1, tức là tất cả dữ liệu của bạn đã được mã hóa, thì ở giai đoạn này không có cách nào hiệu quả để khôi phục thông tin người dùng. Có khả năng phương pháp này sẽ xuất hiện trong vài ngày hoặc vài tuần nữa, nhưng hiện tại, các chuyên gia và mọi người trong lĩnh vực thông tin và bảo mật máy tính đang loay hoay tìm hiểu về nó.

Nếu quá trình mã hóa chưa bắt đầu hoặc chưa hoàn tất hoàn toàn thì người dùng nên ngắt nó ngay lập tức (mã hóa được hiển thị dưới dạng quy trình hệ thống Check Disk). Nếu bạn có thể khởi động hệ điều hành, thì bạn nên cài đặt ngay bất kỳ phần mềm chống vi-rút hiện đại nào (tất cả chúng hiện đều nhận ra Petya và quét toàn bộ tất cả các đĩa. Nếu Windows không khởi động được thì chủ sở hữu của máy bị nhiễm sẽ phải thực hiện sử dụng đĩa hệ thống hoặc ổ đĩa flash để khôi phục khu vực khởi động MBR.

Khôi phục bootloader trên Windows XP

Sau khi tải đĩa hệ thống với hệ điều hành Windows XP, bạn sẽ thấy các tùy chọn hành động. Trong cửa sổ "Cài đặt Windows XP Professional", chọn "Để khôi phục Windows XP bằng Recovery Console, nhấn R." Điều này hợp lý, bạn sẽ cần nhấn R trên bàn phím. Một bảng điều khiển để khôi phục phân vùng và một thông báo sẽ xuất hiện trước mặt bạn:

""1: C:\WINDOWS Tôi nên đăng nhập vào bản sao Windows nào?""

Nếu bạn đã cài đặt một phiên bản Windows XP, hãy nhập “1” từ bàn phím và nhấn enter. Nếu bạn có một số hệ thống, thì bạn cần chọn hệ thống bạn cần. Bạn sẽ thấy thông báo yêu cầu mật khẩu quản trị viên. Nếu không có mật khẩu, bạn chỉ cần nhấn Enter, để trống trường. Sau đó trên màn hình sẽ xuất hiện một dòng, bạn nhập chữ " fixmbr"

Thông báo sau sẽ xuất hiện: “CẢNH BÁO! Bạn có xác nhận đang viết MBR mới không?", nhấn phím "Y" trên bàn phím.
Phản hồi sẽ xuất hiện: “Một khu vực khởi động chính mới đang được tạo trên đĩa vật lý…”
"Phân vùng khởi động chính mới đã được tạo thành công."

Khôi phục bootloader trên Windows Vista

Chèn một đĩa hoặc ổ đĩa flash với hệ điều hành Windows Vista. Tiếp theo, bạn cần chọn dòng Khôi phục máy tính của bạn. Chọn hệ điều hành Windows Vista nào (nếu bạn có nhiều hệ điều hành) để khôi phục. Khi cửa sổ tùy chọn khôi phục xuất hiện, nhấp vào Dấu nhắc lệnh. Tại dấu nhắc lệnh, nhập lệnh " bootrec/FixMbr".

Khôi phục bootloader trên Windows 7

Lắp đĩa hoặc ổ đĩa flash có hệ điều hành Windows 7. Chọn hệ điều hành Windows 7 nào (nếu bạn có một vài hệ điều hành trong số đó) mà bạn muốn khôi phục. Chọn "Sử dụng các công cụ khôi phục có thể giúp giải quyết sự cố khi khởi động Windows." Tiếp theo, chọn “Dòng lệnh”. Sau khi tải dòng lệnh, hãy nhập " bootrec/fixmbr

Khôi phục bootloader trên Windows 8

Lắp đĩa hoặc ổ đĩa flash có hệ điều hành Windows 8. Trên màn hình chính, chọn "Sửa chữa máy tính của bạn" ở góc dưới bên trái. Chọn Khắc phục sự cố. Chọn dòng lệnh, khi tải xong hãy nhập: "bootrec/FixMbr" Nếu mọi thứ suôn sẻ, bạn sẽ thấy một thông báo tương ứng và tất cả những gì còn lại là khởi động lại máy tính.

Khôi phục bootloader trên Windows 10

Lắp đĩa hoặc ổ đĩa flash có hệ điều hành Windows 10 Trên màn hình chính, chọn "Sửa chữa máy tính của bạn" ở góc dưới bên trái. Chọn Khắc phục sự cố. Chọn dòng lệnh, khi tải xong hãy nhập: "bootrec/FixMbr" Nếu mọi thứ suôn sẻ, bạn sẽ thấy một thông báo tương ứng và tất cả những gì còn lại là khởi động lại máy tính.

Đầu tiên, hãy nói về các biện pháp giúp tránh nhiễm vi rút Petya A. Như chúng tôi đã viết, #Petya tương tự như WCry - một loại virus ransomware mã hóa dữ liệu và yêu cầu khoản tiền chuộc 300 USD để khôi phục dữ liệu. Hãy lưu ý ngay – việc trả tiền KHÔNG có ý nghĩa gì!

Cách phòng tránh virus Petya A

Chặn ở cấp điểm cuối để khởi chạy các tệp *.exe, *.js*, *.vbs từ %AppData%;

Ở cấp độ cổng thư – chặn các thư có nội dung hoạt động (*.vbs, *.js, *.jse, *.exe);

Ở cấp độ proxy – chặn tải các kho lưu trữ chứa nội dung đang hoạt động (*.vbs, *.js, *.jse);

Chặn cổng SMB và WMI. Chủ yếu là 135, 445;

Sau khi bị nhiễm trùng, KHÔNG KHỞI ĐỘNG LẠI MÁY TÍNH CỦA BẠN! - điều này thực sự quan trọng.

Không mở các email đáng ngờ và đặc biệt là các tệp đính kèm trong đó;

Cập nhật mạnh mẽ cơ sở dữ liệu chống vi-rút và hệ điều hành của bạn.

Cách khôi phục tập tin sau khi bị virus ransomware

Đặc biệt, anh ta đã có thể tạo ra một thuật toán di truyền có thể tạo ra mật khẩu cần thiết để giải mã máy tính Petya bị virus mã hóa.

Máy chiết xuất ngành Petya

Ảnh: bleepingcomputer.com

Sau khi điền vào cả hai trường, người dùng có thể nhấp vào Gửi và bắt đầu thuật toán.

Ảnh: bleepingcomputer.com

Sau khi ổ cứng được giải mã, ransomware sẽ nhắc bạn khởi động lại máy tính và bây giờ máy sẽ khởi động bình thường.

Đối với những người gặp khó khăn khi tháo ổ cứng khỏi máy tính này và kết nối nó với máy tính khác, bạn có thể mua một ổ cắm ổ cứng USB.

Theo thông tin từ bykvu.com và BAKOTEK