Защита от вируса Petya. Расшифровка файлов.

Информация которую стоит знать любому пользователю о вирусе Petya.

    Что это за вирус ?
  1. Во вторник 27 июня 2017 года в сети появился вирус под названием Petya. Были атакованы компании Роснефть и банк Хоум Кредит. После выполнения эта угроза перезаписывает главную загрузочную запись (MBR) с помощью Ransom: DOS / Petya.A и шифрует сектора системного диска. Происходит это поочередно так: Заставляет ПК пере загрузиться и выводит фальшивое системное сообщение, которое отмечает предполагаемую ошибку на диске и показывает фальшивую проверку целостности: Далее вы получите следующее сообщение, содержащее инструкции по покупке ключа для разблокировании системы.
  2. Вирус шифрует файлы на всех дисках о кроме папки Windows на диске C: следующие расширение шифруемых файлов:
  3. Не давно была атака вируса WannaCry который многим похож на вирус Petya о котором говорим в этой статье. Ну для начала схожесть у них что они крипто вирусы, это вирусы которые шифруют файлы пользователя требуя за расшифровку выкуп. Как утверждает Лаборатория Касперский это не тот вирус как раньше Petya а название его ExPetr, то есть этот вирус на много модифицирован скажем так что был раньше. Более подробней вы можете узнать на сайте noransom.kaspersky.ru хотя как говориться некоторые строчки кода схожи.
  4. Защита и где можно заразиться ?
  5. Подцепить такой зловред можно в письме по электронной почте файл Петя.apx или с установкой обновления бухгалтерской программы M.E.doc. Ниже есть описание с блога Майкрософт о этой программе налогового уровня M.E.doc. Если в вашей сети дома или на работе появиться зараженная машина, то зловред будет распространяться с помощью все той же уязвимости что и вирус WannaCry по протоколу Smb. Эксплойт EternalBlue который использует уязвимость в Windows-реализации протокола SMB. Корпорация майкрософт как писалось в статье для защиты от WannaCry настоятельно рекомендует установить обновления для всех систем Windows и даже было выпущено обновления для уже давно не поддерживаемых продуктов таких как Windows Xp. Получается защита у вас должна стоят как и для вируса WannaCry так и для Petya одинаково. Более подробней о защите и установке обновлений читайте в статье обновления старых систем XP, 8, Windows server 2003. Бесплатную защиту от шифровальщиков в довесок к антивирусам и антишпионам можно установить от Касперского Kaspersky Anti-Ransomware. Так же если вы пользуетесь антишпионом MBAM то в него уже встроена защита не только от ПНП но и от вымогателей шифровальщиков, на сайте malwarebytes.com написано на счет шифровальщиков: Не дает злоумышленникам шифровать Ваши файлы с целью получения выкупа. Думаю это самый лучший способ установив MBAM к вашему антивирусу. Вариант от Майкрософт который уже встроен в систему, защитник Defender Windows 8.1 и Windows 10, Microsoft Security Essentials для Windows 7 и Windows Vista. Так же вы можете загрузить для одноразового сканирования на предмет зараженности вашего компьютера всех типов угроз Microsoft Safety Scanner. На сайте Майкрософт есть полное описание вируса откуда взялса и как попадает в систему, более точное описание правда на английском языке blogs.technet.microsoft.com. На блоге говориться что первая зараженность точнее вымогательный процесс начался с Украинской компании M.E.Doc которая разрабатывает программное обеспечение налогового учета, MEDoc.
  6. Точный перевод с использованием Google Translate: Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc.
  7. Расшифровка файлов ?
  8. Пользователям предлагают написать на указанный почтовый ящик доказательства перечисления средств для получения ключа расшифровки. Если вы соберетесь переводить средства для расшифровки файлов то вы не сможете написать на почту зло вреду что вы отправили выкуп. Адрес электронной почты, на который жертвы должны были сообщать когда перечислили средства заблокирован германским провайдером, на их сервере был почтовый ящик. Так что перевести вы сможете а выслать вам ключ не смогут. Так что скажем официально получить ключ от вымогателей не представиться возможным. Кошелек вымогателей известный на данный момент 1 июля 2017 года blockchain, данные по поступлениям обновляются в течении 15 секунд. Чтобы остановить вирус на компьютере жертвы нужно создать пустой файл на диске C:\Windows\ perfc в свойствах указать только для чтения. Именно дешифровальщиков пока еще нет исключение для старых версий вируса на GitHub hack-petya .
    Так чтобы зашифровать диск вирусу надо перезагрузить компьютер. Если вы увидели подозрение на шифрование или заражение, не перезагружать компьютерное устройство а переводите его в спящий режим. Таким образом система не будет зашифрована и вы сможете продолжит работу.
  9. Спасти файлы:
    Спасти файлы вы можете выключив компьютер как только увидели подозрение на шифрование или действие вируса. Далее не загружая систему а загрузившись с LiveCD диска, скопировать нужные вам данные с компьютерного устройства. Будьте осторожны если вы перезагрузите компьютер файлы будут зашифрованы.
  10. Ниже показано уведомления вируса.
polosa
RssYandex
Подписка на новости сайта
Ваш e-mail: