Ανάκτηση δεδομένων μετά την ανάκτηση. Πώς να ανακτήσετε δεδομένα μετά από επίθεση από τον ιό Petya (αναλυτικές οδηγίες). Πώς να προστατεύσετε τον εαυτό σας από τον ιό Petya

Εάν ο υπολογιστής σας έχει μολυνθεί, τίποτα δεν θα το βοηθήσει. Πιο συγκεκριμένα, αρχεία στον σκληρό δίσκο που δεν μπορούν να ανακτηθούν. Αλλά στην πραγματικότητα, μια επίθεση στον κυβερνοχώρο μπορεί να αποφευχθεί και η ανάνηψη ενός υπολογιστή είναι δύσκολη, αλλά δυνατή.

Αρχικά, ας μιλήσουμε για μέτρα που θα αποφύγουν τη μόλυνση με τον ιό Petya A. Όπως έχουμε ήδη γράψει, το #Petya είναι παρόμοιο με το WCry - έναν ιό ransomware που κρυπτογραφεί δεδομένα και ζητά λύτρα 300 $ για να τα επαναφέρει. Ας σημειώσουμε αμέσως - ΔΕΝ έχει νόημα να πληρώσετε!

Πώς να αποφύγετε τον ιό Petya A

Αποκλεισμός σε επίπεδο τελικού σημείου για την εκκίνηση αρχείων *.exe, *.js*, *.vbs από το %AppData%;

Σε επίπεδο πύλης αλληλογραφίας – αποκλεισμός μηνυμάτων με ενεργό περιεχόμενο (*.vbs, *.js, *.jse, *.exe);

Σε επίπεδο διακομιστή μεσολάβησης – αποκλεισμός της φόρτωσης αρχείων που περιέχουν ενεργό περιεχόμενο (*.vbs, *.js, *.jse);

Αποκλεισμός θυρών SMB και WMI. Κυρίως 135, 445;

Μετά τη μόλυνση, ΜΗΝ ΕΠΑΝΑΕΚΚΙΝΗΣΕΤΕ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ! - αυτό είναι πραγματικά σημαντικό.

Μην ανοίξεις ύποπτα γράμματακαι ειδικά οι επενδύσεις σε αυτά?

Ενημερώστε αναγκαστικά τη βάση δεδομένων και τα λειτουργικά σας συστήματα προστασίας από ιούς.

Πώς να ανακτήσετε αρχεία μετά από έναν ιό ransomware

Να σημειωθεί ότι το 2016, ένας χρήστης που ήταν εγγεγραμμένος στο Twitter με το ψευδώνυμο Leostone κατάφερε να σπάσει την κρυπτογράφηση κακόβουλο ιό, όπως έγραψε ο πόρος Bleepingcomputer.com.

Συγκεκριμένα, μπόρεσε να δημιουργήσει έναν γενετικό αλγόριθμο που μπορεί να δημιουργήσει τον κωδικό πρόσβασης που είναι απαραίτητος για την αποκρυπτογράφηση του υπολογιστή Petya που είναι κρυπτογραφημένος από τον ιό.

Ένας γενετικός αλγόριθμος είναι ένας αλγόριθμος αναζήτησης που χρησιμοποιείται για την επίλυση προβλημάτων βελτιστοποίησης και μοντελοποίησης επιλέγοντας, συνδυάζοντας και μεταβάλλοντας τυχαία επιθυμητές παραμέτρους χρησιμοποιώντας μηχανισμούς παρόμοιους με τη φυσική επιλογή στη φύση.

Η Leostone δημοσίευσε τα αποτελέσματά της στην ιστοσελίδα, η οποία περιέχει όλες τις απαραίτητες πληροφορίες για τη δημιουργία κωδικών αποκρυπτογράφησης. Έτσι, το θύμα της επίθεσης μπορεί να χρησιμοποιήσει τον καθορισμένο ιστότοπο για να δημιουργήσει ένα κλειδί αποκρυπτογράφησης.

Έτσι, για να χρησιμοποιήσετε το εργαλείο αποκρυπτογράφησης Leostone, θα πρέπει να αφαιρέσετε τον σκληρό δίσκο από τον υπολογιστή σας και να τον συνδέσετε σε άλλον υπολογιστή με λειτουργικό σύστημα Windows. Τα δεδομένα που πρέπει να ανακτηθούν είναι 512 byte, ξεκινώντας από τον τομέα 55 (0x37h). Αυτά τα δεδομένα πρέπει στη συνέχεια να μετατραπούν σε κωδικοποίηση Base64 και να χρησιμοποιηθούν στον ιστότοπο https://petya-pay-no-ransom.herokuapp.com/ για τη δημιουργία ενός κλειδιού.

Για πολλούς χρήστες αφαιρέστε ορισμένες πληροφορίεςαπό τα θύματα σκληροι ΔΙΣΚΟΙδημιουργεί πρόβλημα. Ευτυχώς, ένας ειδικός από την Emsisoft ήρθε στη διάσωση Φαμπιάν Βοσάρ, ο οποίος δημιούργησε το εργαλείο Petya Sector Extractor για εξαγωγή απαραίτητες πληροφορίεςαπό δίσκο.

Petya Sector Extractor

Αφού ο χρήστης συνδέσει τον κρυπτογραφημένο δίσκο από τον μολυσμένο υπολογιστή σε άλλο υπολογιστή, πρέπει να εκτελέσει το εργαλείο Fabric Wosar's Fabric Wosar's Petya Sector Extractor, το οποίο θα ανιχνεύει περιοχές που επηρεάζονται από τον κρυπτογραφητή. Μόλις το Petya Sector Extractor ολοκληρώσει την εργασία του, ο χρήστης πρέπει να κάνει κλικ στο πρώτο κουμπί Copy Sector και να μεταβεί στους ιστότοπους του Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ ή https:// petya-pay -no-ransom-mirror1.herokuapp.com /), επικολλώντας τα αντιγραμμένα δεδομένα μέσω Ctrl+V στο πεδίο εισαγωγής κειμένου (στοιχεία επαλήθευσης με κωδικοποίηση 512 byte Base64). Στη συνέχεια, επιστρέψτε στο βοηθητικό πρόγραμμα του Fabian Vosar, κάντε κλικ στο δεύτερο κουμπί Copy Sector και αντιγράψτε ξανά τα δεδομένα στον ιστότοπο της Stone, επικολλώντας τα σε άλλο πεδίο εισαγωγής (το Base64 κωδικοποιήθηκε 8 byte μηδενικά).

Φωτογραφία: bleepingcomputer.com

Αφού συμπληρώσετε και τα δύο πεδία, ο χρήστης μπορεί να κάνει κλικ στην Υποβολή και να ξεκινήσει τον αλγόριθμο.

Ο ιστότοπος πρέπει να παρέχει έναν κωδικό πρόσβασης για την αποκρυπτογράφηση των δεδομένων, μετά τον οποίο πρέπει να επιστρέψετε τον σκληρό δίσκο στον επηρεαζόμενο υπολογιστή, να ξεκινήσετε το σύστημα και να εισαγάγετε τον κωδικό που λάβατε στο παράθυρο ransomware. Ως αποτέλεσμα, οι πληροφορίες θα αποκρυπτογραφηθούν.

Φωτογραφία: bleepingcomputer.com

Μόλις αποκρυπτογραφηθεί ο σκληρός δίσκος, το ransomware θα σας ζητήσει να επανεκκινήσετε τον υπολογιστή σας και θα πρέπει τώρα να εκκινηθεί κανονικά.

Για όσους μπορεί να δυσκολεύονται να αφαιρέσουν τον σκληρό δίσκο από έναν υπολογιστή και να τον συνδέσουν σε άλλον, μπορείτε να αγοράσετε μια βάση σύνδεσης για σκληρός δίσκος USB.

Σύμφωνα με πληροφορίες του bykvu.com και του BAKOTEK

Οι πιο ευάλωτοι λειτουργικά συστήματαΠριν οι ιοί και τα κακόβουλα προγράμματα είναι τα Windows και το Android, το Linux και το OS X υποφέρουν πολύ λιγότερο συχνά. Οι εργασίες που επιλύουν οι ιοί είναι αρκετά διαφορετικές, αλλά πρόσφατα υπήρξε ένα κύμα ransomware, στο οποίο γίνεται όλο και πιο δύσκολο να αντισταθεί κανείς. Και αν οι συνηθισμένοι ιοί μπορούσαν να θεραπευτούν, τότε ενάντια σε ένα ransomware που έχει ήδη διεισδύσει στο σύστημα, δεν υπάρχουν εργαλεία αποκρυπτογράφησης.

Έχουμε ήδη γράψει για το οποίο, διεισδύοντας στο σύστημα, τροποποιήθηκε τομέας εκκίνησηςστη μονάδα δίσκου, ως αποτέλεσμα, κατά την εκκίνηση του υπολογιστή, εμφανίστηκε ένα μήνυμα σχετικά με την καταστροφή δεδομένων, μετά το οποίο Βοηθητικό πρόγραμμα CHKDSK. Στην πραγματικότητα, αντί να λειτουργεί το CHKDSK, τα δεδομένα κρυπτογραφήθηκαν. Στο τέλος της κρυπτογράφησης, ο χρήστης εμφανίστηκε με ένα παράθυρο λύτρων και το ποσό των λύτρων διπλασιάστηκε μετά από μια εβδομάδα.

Αλλά είτε ο συγγραφέας του ιού Petya έκανε κάτι λάθος, είτε απλώς έκανε λάθος στον κώδικα, αλλά ορισμένοι χρήστες κατάφεραν να δημιουργήσουν εργαλεία που τους επιτρέπουν να απολυμάνουν κρυπτογραφημένα δεδομένα. Πρώτα, κατεβάστε αυτό το βοηθητικό πρόγραμμα

(λήψεις: 241)

Ας σας προειδοποιήσουμε αμέσως ότι οι πληροφορίες προορίζονται μόνο για έμπειρους ή επαρκείς χρήστες με αυτοπεποίθηση, αφού προϋποθέτει γνώση του τεχνικού μέρους του υπολογιστή. Σε όλες τις άλλες περιπτώσεις, συνιστούμε να επικοινωνήσετε με ειδικούς σε ένα συνεργείο επισκευής υπολογιστών στο Κίεβο, όπου έμπειροι τεχνικοί θα πραγματοποιήσουν μια πλήρη σειρά μέτρων για την αποκατάσταση της λειτουργικότητας του υπολογιστή.

1. Συνδέστε τον σκληρό δίσκο που είναι κρυπτογραφημένος από τον Petya σε έναν άλλο υπολογιστή, εκτελέστε το βοηθητικό πρόγραμμα Petya Sector Extractor, το πρόγραμμα θα καθορίσει ποια από τις μονάδες Petya είναι ενεργοποιημένη και θα το αναφέρει.

2. Μεταβείτε στο Διαδίκτυο στη διεύθυνση https://petya-pay-no-ransom.herokuapp.com ή https://petya-pay-no-ransom-mirror1.herokuapp.com/, θα υπάρχουν δύο πεδία κειμένου που ονομάζονται Base64encoded Δεδομένα επαλήθευσης 512 byte και το Base64 encoded 8 bytes μηδενικά, τα οποία θα πρέπει να συμπληρωθούν για να λάβετε το κλειδί.

3. Για το πεδίο δεδομένων επαλήθευσης 512 byte με κωδικοποίηση Base64 στο πρόγραμμα Petya Sector Extractor, θα χρειαστεί να κάνετε κλικ στο κουμπί CopySector στο Petya Extractor· για το πεδίο Base64 με κωδικοποίηση 8 bytes nonce, τα δεδομένα λαμβάνονται κάνοντας κλικ στο κουμπί Copy Nonce . Μετά από αυτό, μπορείτε να κλείσετε το βοηθητικό πρόγραμμα Petya Sector Extractor. Έχοντας συμπληρώσει τα πεδία, κάντε κλικ στην Υποβολή και περιμένετε μερικά λεπτά, με αποτέλεσμα να έχουμε τον απαιτούμενο συνδυασμό, τον οποίο είτε θυμάστε είτε γράφετε κάπου.

4. Εισαγάγετε τον δύσμοιρο HDDπίσω, ενεργοποιήστε τον υπολογιστή, περιμένετε να εισαγάγει ο Petya τον κωδικό, εάν όλα έγιναν σωστά, ο ιός θα πρέπει να αρχίσει να αποκρυπτογραφεί τα δεδομένα στο δίσκο και αφού ολοκληρωθεί η λειτουργία, ο υπολογιστής θα επανεκκινήσει σε κανονική λειτουργία.

Όπως μπορείτε να δείτε, εξακολουθεί να είναι δυνατή η ανάκτηση από τον ιό Petya, αλλά στο μέλλον, για να αποφύγετε τέτοια περιστατικά, θα πρέπει να χρησιμοποιείτε προγράμματα προστασίας από ιούς. Επιπλέον, τις προάλλες η Petya απέκτησε έναν φίλο, έναν ιό που ονομάζεται Misha, ο οποίος είναι ακόμη πιο εξελιγμένος και για τον οποίο δεν υπάρχει ακόμη θεραπεία.