Залізо

Як розшифрувати дані на диску після вірусу Petya Випущено інструмент дешифрування програм-вимагачів вірусів Petya.A та WannaCry! Як розшифрувати файли після вірусу

Інформація, яку варто знати будь-якому користувачеві про вірус Petya.

    Що це за вірус?
  1. У вівторок 27 червня 2017 року у мережі з'явився вірус під назвою Petya. Були атаковані компанії Роснефть та банк Хоум Кредит. Після виконання ця загроза перезаписує головний завантажувальний запис (MBR) за допомогою Ransom: DOS/Petya.A та шифрує сектори системного диска. Відбувається це по черзі так: Примушує ПК перезавантажитись і виводить фальшиве системне повідомлення, яке відзначає ймовірну помилку на диску і показує фальшиву перевірку цілісності: Далі ви отримаєте наступне повідомлення, що містить інструкції з купівлі ключа для розблокування системи.
  2. Вірус шифрує файли на всіх дисках о крім папки Windows на диску C: наступні розширення файлів, що шифруються:
  4. Нещодавно була атака вірусу WannaCry, який багатьом схожий на вірус Petya, про який говоримо в цій статті. Ну для початку схожість у них що вони крипто віруси, це віруси, які шифрують файли користувача вимагаючи за розшифровку викуп. Як стверджує Лабораторія Касперський це не той вірус як раніше Petya, а назва його ExPetr, тобто цей вірус на багато модифікований скажемо так що був раніше. Більш детально ви можете дізнатися на сайті хоча деякі рядки коду схожі.
    5. Захист та де можна заразитися?
  5. Підчепити такий зловред можна в листі електронною поштою файл Петя.apx або з інсталяцією оновлення бухгалтерської програми M.E.doc. Нижче є опис з блогу Майкрософт про цю програму податкового рівня M.E.doc. Якщо у вашій мережі вдома або на роботі з'явиться заражена машина, то зловред буде поширюватися за допомогою тієї ж вразливості, що і вірус WannaCry за протоколом Smb. Експлойт, який використовує вразливість у Windows-реалізації протоколу SMB. Корпорація Майкрософт як писалося в статті для захисту від WannaCry настійно рекомендує встановити оновлення для всіх систем Windows і навіть було випущено оновлення для продуктів, які вже давно не підтримуються, таких як Windows Xp. Виходить захист у вас повинен стоять як і для вірусу WannaCry, так і для Petya однаково. Докладніше про захист та встановлення оновлень читайте у статті . Безкоштовний захист від шифрувальників на додачу до антивірусів і антишпигунів можна встановити від Касперського. Так само якщо ви користуєтеся антишпигуном то в нього вже вбудований захист не тільки від ПНП але і від здирників шифрувальників, на сайті написано на рахунок шифрувальників: Не дає зловмисникам шифрувати Ваші файли з метою отримання викупу. Думаю, це найкращий спосіб встановивши MBAM до вашого антивірусу. Варіант від Microsoft який вже вбудований в систему, захисник Windows 8.1 і Windows 10, Microsoft Security Essentials для Windows 7 і Windows Vista. Також ви можете завантажити для одноразового сканування на предмет зараженості комп'ютера всіх типів загроз. На сайті Microsoft є повний опис вірусу звідки взяла і як потрапляє в систему, більш точний опис правда англійською мовою. На блозі йдеться про те, що перша зараженість точніше здирницький процес розпочався з Української компанії M.E.Doc, яка розробляє програмне забезпечення податкового обліку, MEDoc.
  6. Точний переклад з використанням Google Translate: Хоча цей вектор був детально розглянутий новинами та дослідниками безпеки, включаючи власну кіберполіцію України, були лише непрямі докази цього вектора. Microsoft тепер має докази того, що кілька активних інфекцій викупу спочатку почалися з законного процесу оновлення Medoc.
    7. Розшифрування файлів?
  7. Користувачам пропонують написати на вказану поштову скриньку докази перерахування коштів для отримання ключа розшифровки. Якщо ви зберетеся переводити кошти для розшифровки файлів, то ви не зможете написати на пошту зло шкоду, що ви відправили викуп. Адреса електронної пошти, на яку жертви повинні були повідомляти коли перерахували кошти заблокований німецьким провайдером, на їхньому сервері була поштова скринька. Так що перевести ви зможете, а вислати вам ключ не зможуть. Так що скажемо офіційно отримати ключ від здирників не представитися можливим. Гаманець здирників відомий на даний момент 1 липня 2017 року, дані за надходженнями оновлюються протягом 15 секунд. Щоб зупинити вірус на комп'ютері жертви, потрібно створити порожній файл на диску C:\Windows\ perfc у властивостях вказати тільки для читання. Саме дешифрувальників поки що немає винятку для старих версій вірусу на GitHub.

Після невеликого затишшя знову заявила про себе. Зловмисники вивели всі кошти зі свого гаманця та опублікували заяву, в якій пропонують універсальний дешифратор в обмін на 100 біткоїнів.
Як повідомляє ресурс Motherboard, 5 липня фахівцями було виявлено рухи коштів на біткоін-рахунку, пов'язаному з вірусом Petya. Спочатку зловмисники перевели незначні суми у розмірі $300 на гаманці сайтів Pastebin та DeepPaste, які часто використовуються хакерами для публікацій повідомлень. Потім вони вивели всі кошти з гаманця, на який жертви вірусу відправляли гроші за розблокування - це майже 4 біткоїни (близько $10 тис). Однак найцікавіше, що практично одночасно з цими транзакціями хакери опублікували повідомлення на Pastebin і DeepPaste, в яких пропонувалося наступне:

«Надайте мені 100 біткоінов і отримайте приватний ключ для розшифровки будь-якого жорсткого диска (крім завантажувальних дисків)».
На даний момент 100 біткоїнів - це $260 тис. При цьому зловмисники не дають жодних рахунків, на які слід відправляти гроші, для зв'язку було надано лише посилання на чат-сервіс у даркнеті.

Зв'язатися з авторами вірусу поспішили журналісти Motherboard, які насамперед поцікавилися, чому така велика сума викупу за розшифровку даних. Автори Petya відповіли, що пропонують універсальний дешифратор для постраждалих користувачів, який підходить для всіх комп'ютерів. Хакери запропонували журналістам надати зашифрований документ. Як доказ вони успішно розшифрували документ, хоча експерти раніше відзначали, що Petya насправді не шифрує дані, а безповоротно їх пошкоджує. Незважаючи на це, багато фахівців і зараз стверджують, що зловмисники блефують, а розшифровка одного невеликого файлу ще нічого не означає.


Нагадаємо, вірус Petya комп'ютери у кількох країнах. Найбільше постраждала Україна, де зараження досягли найбільших масштабів. Причиною цього стала бухгалтерська програма M.E.Doc, сервери компанії-розробника якої є поліцією для подальшого розслідування.

Представники M.E.Doc, які раніше заперечували причетність компанії «Інтелект-сервіс» до поширення вірусу, визнали, що їхні сервери були зламані.

«Вперше за історію існування ПЗ „MEDoc“ стався безпрецедентний факт злому, внаслідок якого в продукт було внесено шкідливий програмний код у пакет оновлення. За словами провідних міжнародних експертів та правоохоронців, втручання було здійснено високопрофесійними фахівцями», - з повідомлення на офіційній сторінці M.E.Doc у Facebook.

Британія, США та Австралія офіційно звинуватили Росію у поширенні NotPetya

15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.


За твердженням британської влади, ця атака продемонструвала подальшу зневагу щодо суверенітету України, і внаслідок цих безрозсудних дій було порушено роботу безлічі організацією по всій Європі, що призвело до багатомільйонних збитків.


У Міністерстві зазначили, що висновок про причетність до кібератаки російського уряду та Кремля було зроблено на підставі укладання Національного центру кібербезпеки Великобританії (UK National Cyber ​​Security Centre), який «практично повністю впевнений у тому, що за атакою NotPetya стоять російські військові». У заяві сказано, що і її союзники не зазнають шкідливої ​​кіберактивності.

За словами Міністра у справах правоохоронних органів та кібербезпеки Австралії Енгуса Тейлора (Angus Taylor), на основі даних австралійських спецслужб, а також консультацій зі США та Великобританією, австралійський уряд уклав, що відповідальність за інцидент несуть зловмисники, які підтримує уряд РФ. "Австралійський уряд засуджує поведінку Росії, яка створює серйозні ризики для світової економіки, урядових операцій та послуг, ділової активності, а також безпеки та благополуччя окремих осіб", - випливає із заяви.

Кремль, який раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»

Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"

Пам'ятник комп'ютерному вірусу Petya встановили у грудні 2017 року біля будівлі Технопарку Сколково. Двометровий монумент з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкусаного жорсткого диска, був створений за підтримки компанії ІНВІТРО, серед інших компаній, що постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює у Фізтехпарку та (МТІ) спеціально приїхав на церемонію, щоб вимовити урочисту промову.

Атака на уряд Севастополя

Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.

Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах у державних установах Севастополя.


Орієнтованість на використання вільного програмного забезпечення закладена у концепції інформатизації Севастополя, затвердженої у 2015 році. У ній вказується, що при закупівлі та розробці базового ПЗ, а також ПЗ інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витрати та знизити залежність від постачальників та розробників.

Раніше, наприкінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждала і філія її філія, розташована в Севастополі. Через ураження вірусу комп'ютерної мережі філія тимчасово призупинила видачу результатів аналізів до усунення причин.

«Інвітро» заявила про призупинення прийому аналізів через кібератаку

Медична компанія «Інвітро» призупинила збирання біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор із корпоративних комунікацій компанії Антон Буланов.

Як йдеться у повідомленні компанії, найближчим часом "Інвітро" перейде до штатного режиму роботи. Результати досліджень, проведених пізніше за цей час, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторну інформаційну систему відновлено, йде процес її налаштування. «Ми шкодуємо про форс-мажорну ситуацію, що склалася, і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».

За цими даними, атаку комп'ютерного вірусу зазнали клініки в Росії, Білорусії та Казахстані.

Атака на «Газпром» та інші нафтогазові компанії

29 червня 2017 року стало відомо про глобальну кібератаку на комп'ютерні системи "Газпрому". Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.

Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді та людину, яка брала участь у розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої ​​програми Petya, яка атакувала комп'ютери загалом більш ніж у 60 країнах світу.

Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також розмір збитків, завданих хакерами. У компанії відмовилися від коментарів на запит Reuters.

Тим часом, високопоставлене джерело РБК в «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна атака хакера (27 червня 2017 року), і продовжують через два дні. Ще два джерела РБК у «Газпромі» також запевнили, що у компанії «все спокійно» і жодних вірусів немає.

У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» та «Роснефть». Остання заявила 28 червня про те, що компанія працює у штатному режимі, а «окремі проблеми» оперативно вирішуються.

Банки та промисловість

Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виготовляє форма для тварин) та російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold та Milka).

Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках та у соціальних мережах опублікував відео з докладним описом процесу запуску здирницького ПЗ на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку у соціальній мережі, на яку завантажив шкідливу програму. Під час обшуків у квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, що використовується для розповсюдження NotPetya. Також поліцейські виявили файли зі шкідливим ПЗ, після аналізу яких було підтверджено його подібність із здирником NotPetya. Як встановили співробітники кіберполіції, здирницька програма, посилання на яку опублікував нікопольчанин, було завантажено користувачами соцмережі 400 разів.

Серед тих, хто завантажив NotPetya, правоохоронці виявили компанії, які навмисно заражали свої системи здирницьким ПЗ для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіка з хакерськими атаками 27 червня цього року, тобто про будь-яку його причетність до авторів NotPetya не йдеться. Осудні йому дії стосуються лише процесів, скоєних у липні поточного року - після хвилі масштабних кібератак.

Наразі стосовно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання у роботу ЕОМ) КК України. Нікопольцю загрожує до 3 років позбавлення волі.

Поширення у світі

Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливу програму в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати належність вантажів.

Про кібератаку повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших у світі юридичних компаній DLA Piper та харчовий гігант Mondelez. Серед постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain та фармкомпанія Merck & Co.

Merck

Американський фармацевтичний гігант Merck, який сильно постраждав внаслідок червневої атаки вірусу-шифрувальника NotPetya, досі не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється у звіті компанії за формою 8-K, представленому в Комісію з цінних паперів та бірж США (SEC) наприкінці липня 2017 року. Детальніше .

Moller-Maersk та «Роснефть»

3 липня 2017 стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-вимагачем Petya ІТ-системи лише майже через тиждень після атаки, що сталася 27 червня.


У судноплавній компанії Maersk, на частку якої припадає кожен сьомий вантажний контейнер, що відправляється у світі, також додали, що всі 1500 додатків, що постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.

Постраждали переважно ІТ-системи компанії APM Terminals, що належить Maersk, яка управляє роботою десятків вантажних портів і контейнерних терміналів у більш ніж 40 країнах. За добу понад 100 тис. вантажних контейнерів проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II у Роттердамі відновив постачання 3 липня.

16 серпня 2017 року A.P. Moller-Maersk назвала зразкову суму збитків від кібернападу за допомогою вірусу Petya, зараження яким, як зазначили в європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya у другій чверті 2017 року становили від 200 до 300 млн доларів.

Тим часом майже тиждень на відновлення комп'ютерних систем від хакерської атаки знадобився також «Роснефти», про що 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу».


Декількома днями раніше «Роснефть» наголошувала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.

Принцип дії Petya

Справді, жертви вірусу неможливо розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили таку можливість взагалі. Тобто зашифрований диск апріорі не піддається дешифрування. В ідентифікаторі шкідливої ​​програми немає інформації, необхідної для розшифровки.

Спочатку експерти зарахували вірус, що вразив близько двох тисяч комп'ютерів у Росії, Україні, Польщі, Італії, Німеччині, Франції та інших країнах, до вже відомого сімейства здирників Petya. Проте виявилося, що йдеться про нове сімейство шкідливого ПЗ. "Лабораторія Касперського" назвала новий шифрувальник ExPetr.

Як боротися

Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу та держави

Метод відновлення даних від Positive Technologies

7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод застосуємо, якщо вірус NotPetya мав адміністративні привілеї та зашифрував диск повністю.

Можливість відновлення даних пов'язана з помилками реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному із зашифрованих жорстких дисків великої компанії, що опинилася серед жертв епідемії.

Компанії та незалежні розробники, що спеціалізуються на відновленні даних, можуть вільно використовувати та автоматизувати представлений сценарій розшифровки.

Результати розслідування вже підтвердили українські поліцейські. Висновки слідства «Юскутум» збирається використовувати як ключовий доказ у майбутньому проти Intellect-Service.

Процес матиме громадянський характер. Незалежне розслідування проводять правоохоронці України. Їхні представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.

У компанії M.E.Doc заявили про те, що те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПЗ вважає, що обшук, проведений кіберполіцією України, став частиною реалізації цього плану.

Початковий зараження вектор шифратором Petya

17 травня вийшло оновлення M.E.Doc, що не містить шкідливого модуля бекдора. Ймовірно, цим можна пояснити порівняно невелику кількість заражень XData, вважають у компанії. Атакуючі не очікували виходу апдейта 17 травня та запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.

Бекдор дозволяє завантажувати та виконувати в зараженій системі інше шкідливе ПЗ – так здійснювалося початкове зараження шифраторами Petya та XData. Крім того, програма збирає налаштування проксі-серверів та e-mail, включаючи логіни та паролі з програми M.E.Doc, а також коди компаній ЄДРПОУ (Єдиного державного реєстру підприємств та організацій України), що дозволяє ідентифікувати жертв.

«Нам належить відповісти на низку питань, – розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди та шкідливі програми, окрім Petya та XData, були спрямовані через цей канал? Які ще інфраструктури скомпрометувала, але поки що не використовувала кібергрупа, що стоїть за цією атакою?».

За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми та цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) та кібергрупою Telebots. Достовірно визначити, хто стоїть за діяльністю цього угруповання, поки що не вдалося.

Вірус Petya – вимога викупу для розшифровки

Через кілька годин після початку атаки в DATARC надійшло перше звернення, і ми проаналізували кілька уражених серверів. Головний висновок: є ненульова можливість відновлення даних при атаці вірусу Petya- Вірус часто пошкоджує файлову систему, але не шифрує дані.

На даний момент проаналізовані пошкодження можна розділити на категорії.

Можливе 100% відновлення даних

Ймовірно, у вірусі є помилки – він не завжди виконує свій алгоритм, не встигає зашифрувати дані, ламає завантажувач. Ми бачили такі варіанти пошкоджень:

  1. Дані не зашифровані, пошкоджено MBR
  2. Дані не зашифровані, пошкоджено MBR + NTFS bootloader
  3. Дані не зашифровані, пошкоджено MBR + NTFS bootloader + MFT – диск визначається як RAW

Відновлення даних можливо втрати більше 0%

Коли шифрування відбувається, частина файлів може залишитися непошкодженою. Ми бачили такі варіанти пошкоджень:

  1. Шифрується лише диск C: – решта логічних дисків залишається в порядку
  2. Шифруються не всі файли на диску C:
  3. Шифрується лише запис MFT, вміст файлу залишається без змін.

Розшифровка від старої версії не працює

Поточна версія Petya - це (імовірно) продовження атаки 2016 року (див. -in-one-trojan/74609/). Для старої версії було створено методику підбору ключа розшифровки (див. https://github.com/leo-stone/hack-petya). Вірус 2017 був змінений і стара методика не працює.

Наприклад, у старій версії вірусу MBR зберігався в секторі 55 і "шифрувався" XOR 0x37. У новій версії MBR зберігається в секторі 34 і "шифрується" XOR 0x07.

Зашифрований MBR:

Розшифрований MBR:

Вірус Petya - MBR після розшифровки

Що робити, якщо комп'ютер заражений

Антивірусні програми стоять на комп'ютері практично кожного користувача, проте іноді з'являється троян або вірус, який здатний обійти найкращий захист і заразити ваш пристрій, а ще гірше – зашифрувати ваші дані. На цей раз таким вірусом став троян-шифратор "Петя" або, як його ще називають, "Petya". Темпи поширення цієї загрози дуже вражають: за кілька днів він зміг "побувати" в Росії, Україні, Ізраїлі, Австралії, США, всіх великих країнах Європи і не тільки. Здебільшого він вразив корпоративних користувачів (аеропорти, енергетичні станції, туристичну галузь), але постраждали і пересічні люди. За своїми масштабами та методами впливу він вкрай схожий на гучний недавно.

Ви, безперечно, повинні захистити свій комп'ютер, щоб не стати жертвою нового трояна-вимагача “Петя”. У цій статті я розповім вам про те, що це за вірус “Petya”, як він поширюється, як захиститись від цієї загрози. Крім того ми порушимо питання видалення трояна та дешифрування інформації.

Що таке вірус “Petya”?

Для початку нам варто зрозуміти, чим є Petya. Вірус Петя – це шкідливе програмне забезпечення, яке є трояном типу ransomware (вимагач). Ці віруси призначені для шантажу власників заражених пристроїв з метою отримання від них викупу за зашифровані дані. На відміну від Wanna Cry, Petya не турбує себе шифруванням окремих файлів - він майже миттєво "відбирає" у вас весь жорсткий диск повністю.

Правильне назва нового вірусу – Petya.A. Крім того, Касперський називає його NotPetya/ExPetr.

Опис вірусу "Petya"

Після попадання на ваш комп'ютер під керуванням Windows, Petya практично миттєво зашифровує MFT(Master File Table – головна таблиця файлів). За що відповідає ця таблиця?

Уявіть, що ваш жорсткий диск – це найбільша бібліотека у всьому світі. У ній містяться мільярди книг. То як же знайти потрібну книгу? Тільки за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-який "файл" на вашому ПК. Якщо бути ще точніше, то після "роботи" Петі жорсткий диск вашого комп'ютера нагадуватиме бібліотеку після торнадо, з уривками книг, що літають усюди.

Таким чином, на відміну від Wanna Cry, який я згадував на початку статті, Petya.A не шифрує окремі файли, витрачаючи на цей значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Після всіх своїх маніпуляцій він вимагає від користувачів викуп - 300 доларів США, які потрібно перерахувати на біткойн рахунок.

Хто створив вірус Петя?

Під час створення вірусу Петя був задіяний експлойт (“дірка”) в ОС Windows під назвою “EternalBlue”. Microsoft випустив патч, який "закриває" цю дірку кілька місяців тому, проте, не все ж таки користуються ліцензійною копією Windows і встановлює всі оновлення системи, адже правда?)

Творець “Петі” зміг з розумом використати безтурботність корпоративних та приватних користувачів та заробити на цьому. Його особистість поки що невідома (та й навряд чи буде відома)

Як поширюється вірус Петя?

Вірус Petya найчастіше розповсюджується під виглядом вкладень до електронних листів та в архівах з піратським зараженим ПЗ. У вкладенні може бути абсолютно будь-який файл, у тому числі фото або mp3 (так здається з першого погляду). Після того, як ви запустите файл, ваш комп'ютер перезавантажиться і вірус зімітує перевірку диска на помилки CHKDSK, а сам зараз видозмінить завантажувальний запис вашого комп'ютера (MBR). Після цього ви побачите червоний череп на екрані комп'ютера. Натиснувши на будь-яку кнопку, ви зможете отримати доступ до тексту, в якому запропонують заплатити за розшифровку ваших файлів і перевести необхідну суму на bitcoin гаманець.

Як захиститись від вірусу Petya?

  • Найголовніше і основне - візьміть за правило ставити оновлення для вашої операційної системи! Це надзвичайно важливо. Зробіть це просто зараз, не відкладайте.
  • Поставтеся з підвищеною увагою до всіх вкладень, які додаються до листів, навіть якщо листи від знайомих людей. На час епідемії краще скористатися альтернативними джерелами передачі даних.
  • Активуйте опцію "Показувати розширення файлів" у налаштуваннях ОС - так ви завжди зможете побачити справжнє розширення файлів.
  • Увімкніть “Контроль облікових записів користувача” в установках Windows.
  • Необхідно встановити один із , щоб уникнути зараження. Почніть з установки оновлення для ОС, потім встановіть антивірус - і ви вже будете набагато більшою безпеки, ніж раніше.
  • Обов'язково робіть "бекапи" - зберігайте всі важливі дані на зовнішній жорсткий диск або у хмару. Тоді, якщо вірус Petya проникне на ваш ПК і зашифрує всі дані - вам буде досить просто провести форматування вашого жорсткого диска і встановити ОС заново.
  • Завжди перевіряйте актуальність антивірусних основ вашого антивірусу. Всі добрі антивіруси стежать за загрозами та своєчасно реагують на них, оновлюючи сигнатури загроз.
  • Встановіть безкоштовну утиліту Kaspersky Anti-Ransomware. Вона захищатиме вас від вірусів-шифраторів. Установка цього ПЗ не позбавляє вас необхідності встановити антивірус.

Як видалити вірус petya?

Як видалити вірус Petya.A з жорсткого диска? Це дуже цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то і видаляти буде фактично нічого. Якщо ви не плануєте платити здирникам (чого робити не варто) і не намагатиметеся відновлювати дані на диску надалі, вам досить просто зробити форматування диска і заново встановити ОС. Після цього від вірусу не залишиться сліду.

Якщо ж ви підозрюєте, що на вашому диску присутній заражений файл - проскануйте ваш диск однією з або встановіть антивірус Касперського і проведіть повне сканування системи. Розробник запевнив, що в його основі сигнатур вже є відомості про цей вірус.

Дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом. На даний момент не існує рішення для розшифровування заблокованих відомостей. Тим більше, не варто намагатися отримати доступ до даних у домашніх умовах.

Безперечно, ми б усі мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус вразив світ кілька місяців тому, але ліки для розшифрування даних, які він зашифрував, так і не знайдено.

Тому, якщо ви ще не стали жертвою вірусу Петя – прислухайтеся до порад, які я дав на початку статті. Якщо ви все ж таки втратили контроль над своїми даними – то у вас є кілька шляхів.

  • Заплатити гроші. Робити цього безглуздо!Фахівці вже з'ясували, що дані автор вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.
  • Витягти жорсткий диск з вашого пристрою, акуратно покласти його в шафу і натискати на появи дешифратора. До речі, Лабораторія Касперського постійно працює у цьому напрямі. Доступні дешифратори є на сайті No Ransom.
  • Форматування диска та встановлення операційної системи. Мінус – усі дані будуть втрачені.

Вірус Petya.A в Росії

У Росії та Україні було атаковано та заражено понад 80 компаній на момент написання статті, у тому числі такі великі, як “Башнефть” та “Роснефть”. Зараження інфраструктури таких великих компаній говорить про серйозність вірусу Petya.A. Безсумнівно, що троян-вимагач і далі поширюватиметься територією Росії, тому вам варто подбати про безпеку своїх даних і наслідувати поради, що були дані у статті.

Petya.A та Android, iOS, Mac, Linux

Багато користувачів турбуються – “чи може вірус Petya заразити їх пристрої під керуванням Android та iOS. Поспішаю їх заспокоїти – ні, не може. Він розрахований лише на користувачів Windows. Те саме стосується і шанувальників Linux і Mac – можете спати спокійно, вам нічого не загрожує.

Висновок

Отже сьогодні ми докладно обговорили новий вірус Petya.A. Ми зрозуміли, чим є цей троян і як він працює, дізналися як уберегтися від зараження та видалити вірус, де взяти дешифратор (decryptor) Petya. Сподіваюся, що стаття та мої поради виявилися корисними для вас.