Вирус петя как восстановить файлы. Новый вирус Petya. Как лечить. Руководство по ручному удалению вируса Petya

(Petya.A), и дала ряд советов.

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

“Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов“, - заявила СБУ.

Вирус атакует компьютеры под управлением ОС Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных.

“Зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных“, - заявили в СБУ.

Что делать, чтобы уберечься от вируса

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все самые ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале - сделайте резервную копию вместе с ОС.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:/Windows/perfc.dat

4. В зависимости от версии ОС Windows установить патч .

5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирус.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные от неизвестных людей. В случае получения письма от известного адреса, который вызывает подозрение, - связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или Интернет.

Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.

Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).

b). Запустите и убедитесь в том, что были установлены все галочки в окне “Артефакты для сбора“.

c). Во вкладке “Режим сбора журналов Eset“ установите Исходный двоичный код диска.

d). Нажмите на кнопку Собрать.

e). Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению

п. 3 для сбора информации, которая поможет написать декодер,

п. 4 для лечения системы.

С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:

a). Загрузите ESET SysRescue Live CD или USB (создание в описано в п.3)

b). Согласитесь с лицензией на пользование

c). Нажмите CTRL + ALT + T (откроется терминал)

d). Напишите команду “parted -l“ без кавычек, параметр этого маленькая буква “L“ и нажмите

e). Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)

f). Напишите команду “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ без кавычек, вместо “/dev/sda“ используйте диск, который определили в предыдущем шаге и нажмите (Файл/home/eset/petya.img будет создан)

g). Подключите флешку и скопируйте файл /home/eset/petya.img

h). Компьютер можно выключить.

Смотри также - Омелян про зашиту от кибератак

Омелян про зашиту от кибератак

Боитесь заразить компьютер вирусом WannaCry, Petya или им подобным? Мы расскажем как не заразиться данными зловредами и что делать чтобы избежать, минимизировать или спасти все файлы!

Несколько месяцев подряд многие страны содрагают компьютерные вирусы — сотни тысяч зараженных компьютеров Windows, потеря рабочей документации и огромные убытки.

Можно ли избежать такой участи? Да!

Как обезопасить компьютер от вирусов WannaCry и им подобным?

1. Используйте лицензионный софт
   • если вы используете на работе или дома пиратские версии программ, тогда вы явно подверженные вирусам, так как вы не знаете заложены ли в них скрытые вирусы или нет + подобное ПО не обновляется.
2. Своевременно обновлять Windows
   • если на вашем компьютере Windows до этого момента почему-то было отключено «автоматическое обновление», то пора его включить. Мало того, что вы будете получать с каждым обновлением новую функциональность и улучшенную стабильность, но вы также установите свежие патчи безопасности, закрывая при этом уязвимости, тем самым усложняю жизнь хакерам!
   • Установите патчи Windows зарывающие уязвимость перед WannaCry и Petya.A:
3. Устанавливайте антивирусное ПО
   • наличие любого антивирусника, даже бесплатного в разы увеличивают безопасность компьютера Windows, установите антивирусную программу и еженедельно проверяйте ПК на наличие вирусов
   • Помимо еженедельного сканирования компьютера на вирусы, проверяйте USB флешки (свои и чужие), при каждом подключение к ПК
4. Закройте порты
5. Не переходите по сомнительным ссылкам, не скачивайте вложения от неизвестных адресатов
   

Что делать если компьютер заражен вирусом? Как лечить или спасти файлы?

У вас есть подозрения что ваш компьютер уже заражен или вы точно знаете что на нем вирус WannaCry, Petya.A или подобный тогда воспользуйтесь следующими рекомендациями, чтобы от избавиться от зловреда:

1. Не надо никому ничего платить, перечисляя очередную сумму денег вы тем самым оплачиваете труд хакера и стимулируете его дальнейшую работу. Также это не дает никаких гарантий о дешифровке файлов и де активации вируса.
2. Отключить компьютер от интернета
3. Выключите компьютер и больше не включайте
4. Создайте загрузочную флешку с антивирусником (Kaspersky Rescue Disk или Dr.Web LiveDisk) и от сканируйте компьютер
5. Чтобы расшифровать закриптованные файлы на жестком диске можно воспользоваться следующими антивирусными утилитами и сервисами:
   • No More Ransom — международный альянс в который входят компании Kaspersky, Intel и госучреждение по безопасности EuroPol.
   • Kaspersky Anti-Ransomware — программа для борьбы с любыми видами вымогательства
   • Воспользоваться программами для восстановления зашифрованных файлов ShadowExplorer и PhotoRec

Стоит также понимать, что несмотря на высококлассных специалистов в антивирусных компаниях создатели вирусов на шаг впереди и чтобы создать лечение для компьютера необходимо время.

Кто менее подвержен вирусам?

Если вы используете компьютеры на операционных системах — Linux, MacOS, FreeBSD, Android, iOS то пока вы в безопасности и вирусы вам не страшны, но все же, это не значит что стоит посещать сомнительные сайты и скачивать непонятные файлы.

Остались еще вопросы? Пишите их в комментариях, рассказывайте, что у вас получилось или наоборот!

Вот и все! Больше статей и инструкций читайте в разделе . Оставайтесь вместе с сайтом , дальше будет еще интересней!

Заразил компьютер, то ему уже ничего не поможет. Точнее, файлам на жестком диске, которые невозможно восстановить. Но на самом деле и кибератаки можно избежать, и реанимировать компьютер сложно, но можно.

Для начала поговорим о мерах, которые позволят избежать . Как мы уже писали, #Petya это подобие WCry — вирус-вымогатель, который шифрует данные и просит $300 выкупа за их восстановление. Сразу отметим – платить НЕ ИМЕЕТ никакого смысла!

Как избежать вируса Петя А

— блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;

— на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);

— на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);

— блокировка SMB и WMI-портов. В первую очередь 135, 445;

— после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! - это действительно важно.

— не открывайте подозрительные письма и особенно вложения в них;

— принудительно обновите базу антивируса и операционные системы.

Как восстановить файлы после вируса-шифровальщика

Следут отметить, что еще в 2016 году пользователю, который зарегистрирован в Twitter под ником Leostone, удалось взломать шифрование вредоносного вируса, о чем писал ресурс Bleepingcomputer.com .

В частности, он сумел создать генетический алгоритм, который может генерировать пароль, необходимый для дешифрования зашифрованного вирусом компьютера Petya.

Генетический алгоритм - это алгоритм поиска, используемый для решения задач оптимизации и моделирования путем случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, аналогичных естественному отбору в природе.

Свои результаты Leostone выложил на сайте , на которых находится вся необходимая информация для генерации кодов дешифровки. Таким образом, жертва атаки может воспользоваться указанным сайтом для генерации ключа дешифрования.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.

Для многих пользователей снять определенную информацию с пострадавших жестких дисков составляет проблему. К счастью, на помощь пришел эксперт компании Emsisoft Фабиан Восар , который создал инструмент Petya Sector Extractor для извлечения необходимой информации с диска.

Petya Sector Extractor

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Фабиана Восара Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области. Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com /), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data). Затем вернуться к утилите Фабиана Восара, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

Фото: bleepingcomputer.com

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

Фото: bleepingcomputer.com

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.

Для тех, кому может быть сложно удалить жесткий диск с одного компьютера и подключить его к другому, можно приобрести док-станцию для жесткого диска USB.

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A) . В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Однако несколько недель тому назад появился более изощренный вирус Mischa , судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Вредонос Mischa шифрует не только стандартные типы файлов (видео, картинки, презентации, документы), но также файлы.exe. Вирус не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

Удалить вирус Petya и Mischa c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Petya и Mischa

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Несколько дней назад на нашем ресурсе появилась статья о том, как защититься от вируса и его разновидностей. В этой же инструкции мы рассмотрим самый худший вариант - ваш ПК заражен. Естественно, что после излечения каждый пользователь старается восстановить свои данные и персональную информацию. В этой статье речь пойдет о самых удобных и действенных способах по восстановлению данных. Стоит учесть, что это далеко не всегда возможно, поэтому давать какую-то гарантию мы не станем.

Мы рассмотрим три основных сценария, по которому могут развиваться события:
1. Компьютер заражен вирусом Petya.A (или же его разновидностями) и зашифрован, система полностью заблокирована. Для восстановления данных требуется ввести специальный ключ, за который необходимо заплатить. Сразу стоит сказать, что даже если вы заплатите, это не снимет блокировку и не вернет вам доступ к персональному компьютеру.

2. Вариант который предоставляет пользователю больше вариантов по дальнейшим действиям - ваш компьютер заражен и вирус начал зашифровывать ваши данные, но шифрование удалось остановить (например, отключением питания).

3. Последний вариант самый благоприятный. Ваш компьютер заражен, но зашифровка файловой системы еще не началась.

Если у вас ситуация под номером 1, то есть все ваши данные зашифрованы, то на данном этапе отсутствует действенный способ по восстановлению пользовательской информации. Вполне вероятно, что через несколько дней или недель этот способ появится, но пока специалисты со всеми в области информационной и компьютерной безопасности ломают над этим голову.

Если процесс шифрования не начался или завершен не полностью, то пользователю стоит немедленно прервать его (шифрование отображается как системный процесс Check Disk). Если удалось загрузить операционную систему, то сразу же стоит установить любой современный антивирус (все они на данный момент распознают Petya и сделать полную проверку всех дисков. Если же Windows не грузится, то владельцу зараженной машины предстоит воспользоваться системным дисков или флешкой для восстановления загрузочного сектора MBR.

Восстановление загрузчика на Windows XP

После загрузки системного диска с операционной системой Windows XP, перед вами появятся варианты действий. В окне «Установка Windows XP Professional» с выберите пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». Что логично, вам необходимо будет нажать на клавиатуре R. Перед вами должна появиться консоль для восстановления раздела и сообщение:

"«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»"

Если у вас установлена одна версия Windows XP, то вводим с клавиатуры "1" и жмем ввод. Если же у вас несколько систем, то необходимо выбрать нужную. Вы увидите сообщение с запросом пароля администратора. Если же пароль отсутствует, то просто нажмите Enter, оставив поле пустым. После этого на экране появится строка введите слово "fixmbr "

Должно появиться следующее сообщение: «ПРЕДУПРЕЖДЕНИЕ! Подтверждаете запись новой MBR?», нажмите клавишу «Y» на клавиатуре.
Появится ответ: «Создается новый основной загрузочной сектор на физический диск....»
«Новый основной загрузочный раздел успешно создан».

Восстановление загрузчика на Windows Vista

Вставьте диск или флешку с операционной системой Windows Vista. Далее вам нужно выбрать строчку «Восстановить работоспособность компьютера». Выберите, какую именно операционную систему Windows Vista (если у вас их несколько) необходимо восстановить. Когда появится окно с вариантами восстановления, нажмите на командную строку. В командной строке введите команду "bootrec/FixMbr ".

Восстановление загрузчика на Windows 7

Вставьте диск или флешку с операционной системой Windows 7. Выберите, какую именно операционную систему Windows 7 (если у вас их несколько) необходимо восстановить. Выберите пункт "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows". Далее выбираем «Командная строка». После загрузки командной строки вводим "bootrec/fixmbr

Восстановление загрузчика на Windows 8

Вставьте диск или флешку с операционной системой Windows 8. На основном экране выберите пункт "Восстановить компьютер" в нижнем левом углу. Выберите «Устранение неисправностей». Выберите командную строку, когда она загрузится, введите: "bootrec/FixMbr" Если все пройдет успешно, то вы увидите соответствующее сообщение и все что останется, это перезагрузить компьютер.

Восстановление загрузчика на Windows 10

Вставьте диск или флешку с операционной системой Windows 10. На основном экране выберите пункт "Восстановить компьютер" в нижнем левом углу. Выберите «Устранение неисправностей». Выберите командную строку, когда она загрузится, введите: "bootrec/FixMbr" Если все пройдет успешно, то вы увидите соответствующее сообщение и все что останется, это перезагрузить компьютер.