Новый вирус Petya. Как лечить. Вирус Petya: все, что вам нужно знать об этом вирусе Восстановить windows после вируса петя

Вирус Petya – требование выкупа для расшифровки

Через несколько часов после начала атаки в DATARC поступило первое обращение и мы проанализировали несколько пораженных серверов. Главный вывод: есть ненулевая вероятность восстановления данных при атаке вируса Petya – вирус часто повреждает файловую систему, но не шифрует данные.

На данный момент проанализированные повреждения можно разделить на категории.

Возможно 100% восстановление данных

Вероятно, в вирусе есть ошибки – он не всегда выполняет свой алгоритм, не успевает зашифровать данные, ломает загрузчик. Мы видели такие варианты повреждений:

1. Данные не зашифрованы, поврежден MBR
2. Данные не зашифрованы, поврежден MBR + NTFS bootloader
3. Данные не зашифрованы, поврежден MBR + NTFS bootloader + MFT – диск определяется как RAW

Восстановление данных возможно, потери больше 0%

В тех случаях, когда шифрование происходит, часть файлов может остаться неповрежденной. Мы видели такие варианты повреждений:

1. Шифруется только диск C: – остальные логические диски остаются в порядке
2. Шифруются не все файлы на диске C:
3. Шифруется только запись MFT, содержимое файла остается без изменений.

Расшифровка от старой версии не работает

Текущая версия Petya – это (предположительно) продолжение атаки 2016 года (см https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ и https://securelist.com/petya-the-two-in-one-trojan/74609/). Для старой версии была создана методика подбора ключа расшифровки (см https://github.com/leo-stone/hack-petya). Вирус 2017 года был изменён и старая методика не работает.

Например, в старой версии вируса MBR сохранялся в сектор 55 и “шифровался” XOR 0x37. В новой версии MBR сохраняется в сектор 34 и “шифруется” XOR 0x07.

Зашифрованный MBR:

Расшифрованный MBR:

Вирус Petya – MBR после расшифровки

Что делать, если компьютер заражен

Департамент киберполиции Национальной полиции Украины опубликовал рекомендации по восстановлению доступа к компьютерам, которые были поражены в результате .

В процессе детального изучения вредоносного ПО исследователями было установлено три основных сценария его воздействия (при запуске от имени администратора):

Система скомпрометирована полностью. Для восстановления данных требуется закрытый ключ, а на экране при запуске отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки.

Компьютеры заражены, частично зашифрованы, система начала процесс шифрования, но внешние факторы (отключение питания и т.д.) прекратили процесс шифрования.

Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Восстановление доступа возможно только в последних двух случаях, тогда как действенного способа восстановления полностью скомпрометированных систем пока, к сожалению, нет. Его поиском сейчас активно занимаются специалисты Департамента киберполиции, СБУ, Госспецсвязи Украины, отечественных и международных IT-компаний.

Исследователи выделили два основных этапа работы модифицированной троянской программы «Petya»:

Первый: получение привилегированных прав (прав администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем подменяет вышеуказанный сектор модифицированным загрузчиком, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором содержится отметка, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.

Если при загрузке с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процедуре восстановления загрузочного сектора MBR. Она осуществляется следующим образом:

Для ОС Windows XР:

После загрузки установочного диска Windows XP в оперативную память ПК появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». . Нажмите «R».

Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»

Введите клавишу «1», нажмите клавишу «Enter».

Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).

Должен появиться запрос: C: \ WINDOWS> введите fixmbr

Затем появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».

«Подтверждаете запись новой MBR?», Нажмите клавишу «Y».

Появится сообщение: «Создается новый основной загрузочной сектор на физический диск \ Device \ Harddisk0 \ Partition0.»

«Новый основной загрузочный сектор успешно создан».

Для Windows Vista:

Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее».

Когда появится окно «Параметры восстановления системы», нажмите на командную строку.

Когда появится командная строка, введите эту команду:

bootrec / FixMbr

Для Windows 7

Загрузите Windows 7.

Выберите язык.

Выберите раскладку клавиатуры.

Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7»

Когда командная строка успешно загрузится, введите команду:

bootrec / fixmbr

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 8

Загрузите Windows 8.

На экране «Приветствие» нажмите кнопку «Восстановить компьютер».

Выберите «Устранение неисправностей».

Выберите командную строку..

Когда загрузится командная строка, введите следующие команды:

bootrec / FixMbr

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 10

Загрузите Windows 10.

На экране приветствия нажмите кнопку «Восстановить компьютер»

Выберите «Устранение неисправностей»

Выберите командную строку.

Когда загрузится командная строка, введите команду:

bootrec / FixMbr

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

После процедуры восстановления MBR исследователи рекомендуют обязательно проверить диск антивирусными программами на наличие зараженных файлов. Также отмечается, что кроме регистрационных данных, указанных пользователями «M.E.doc», никакой другой информации не передавалось.

Появилась информация, каким способом можно вылечить зараженный вирусом Petya компьютер

В частности пользователь, который зарегистрирован в Twitter под ником Leostone, смог взломать шифрование вредоносного вируса. Он создал генетический алгоритм, который может генерировать пароль, необходимый для дешифрования зашифрованного вирусом компьютера Petya.

Генетический алгоритм — это алгоритм поиска, используемый для решения задач оптимизации и моделирования путем случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, аналогичных естественному отбору в природе.

Свои результаты Leostone выложил на сайте, где находится вся необходимая информация для генерации кодов дешифровки. Таким образом, жертва атаки может воспользоваться указанным сайтом для генерации ключа дешифрования.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.

Для многих пользователей снять определенную информацию с пострадавших жестких дисков составляет проблему. К счастью, на помощь пришел эксперт компании Emsisoft Фабиан Восар, который создал инструмент Petya Sector Extractor для извлечения необходимой информации с диска.

После того, как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Фабиана Восара Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области. Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data). Затем вернуться к утилите Фабиана Восара, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce). После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже — зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор «Петя» или, как его еще называют, «Petya». Темпы распространения данный угрозы очень впечатляют: за пару дней он смог «побывать» в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя «Петя». В этой статье я расскажу вам о том, что это за вирус «Petya», как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус «Petya»?

Для начала нам стоит понять, чем же является Petya. Вирус Петя — это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название нового вируса — Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса «Petya»

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск — это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп — 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который «закрывает» эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель «Пети» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

• Самое главное и основное — возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
• Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
• Активируйте опцию «Показывать расширения файлов» в настройках ОС — так вы всегда сможете увидеть истинное расширение файлов.
• Включите «Контроль учетных записей пользователя» в настройках Windows.
• Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус — и вы уже будете в гораздо большей безопасности, чем раньше.
• Обязательно делайте «бэкапы» — сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные — вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
• Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
• Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя — прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

• Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
• Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
• Форматирование диска и установка операционной системы. Минус — все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как «Башнефть» и «Роснефть». Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.

Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.

Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya

Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом

При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это

ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:

Как Уберечь Себя От Вируса Petya

Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip




ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\

Что Делать Если Компьютер Уже Поражён Вирусом Petya

Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk

Кто Распространил Вирус Петя По Всей Украине

Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя