Გამოყენებითი 

Petya ვირუსი როგორ აღვადგინოთ ფაილები. ახალი ვირუსი პეტია. როგორ ვუმკურნალოთ. სახელმძღვანელო პეტიას ვირუსის ხელით მოსაშორებლად

(Petya.A) და მისცა არაერთი რჩევა.

SBU-ს ცნობით, ოპერაციული სისტემების ინფექცია ძირითადად განხორციელდა მავნე აპლიკაციების (Word დოკუმენტები, PDF ფაილები) გახსნის გზით, რომლებიც იგზავნებოდა მრავალი კომერციული და სამთავრობო უწყების ელექტრონული ფოსტის მისამართებზე.

”შეტევაში, რომლის მთავარი მიზანი იყო Petya.A ფაილების დაშიფვრის გავრცელება, გამოიყენა MS17-010 ქსელის დაუცველობა, რის შედეგადაც ინფიცირებულ აპარატზე დაინსტალირებული იყო სკრიპტების ნაკრები, რომელიც თავდამსხმელებმა გამოიყენეს გაშვებისთვის. აღნიშნული ფაილის შიფრატორი“, - აცხადებენ SBU-ში.

ვირუსი თავს ესხმის კომპიუტერებს, რომლებიც მუშაობენ Windows OS-ით მომხმარებლის ფაილების დაშიფვრით, რის შემდეგაც ის აჩვენებს შეტყობინებას ფაილების კონვერტაციის შესახებ წინადადებით, გადაიხადოს გაშიფვრის გასაღები ბიტკოინებში 300 აშშ დოლარის ექვივალენტი მონაცემების განბლოკვისთვის.

„სამწუხაროდ, დაშიფრული მონაცემების გაშიფვრა შეუძლებელია. მუშაობა გრძელდება დაშიფრული მონაცემების გაშიფვრის შესაძლებლობაზე“, - აცხადებენ SBU-ში.

რა უნდა გააკეთოთ ვირუსისგან თავის დასაცავად

1. თუ კომპიუტერი ჩართულია და ნორმალურად მუშაობს, მაგრამ გაქვთ ეჭვი, რომ ის შესაძლოა ინფიცირებული იყოს, არავითარ შემთხვევაში არ გადატვირთოთ (თუ კომპიუტერი უკვე დაზიანებულია, არც გადატვირთოთ) - ვირუსი ამოქმედდება გადატვირთვისას. და შიფრავს კომპიუტერში არსებულ ყველა ფაილს.

2. შეინახეთ ყველა ყველაზე ღირებული ფაილი ცალკეულ დისკზე, რომელიც არ არის დაკავშირებული კომპიუტერთან და იდეალურ შემთხვევაში, გააკეთეთ სარეზერვო ასლი OS-სთან ერთად.

3. ფაილის შიფრატორის იდენტიფიცირებისთვის, თქვენ უნდა შეასრულოთ ყველა ადგილობრივი დავალება და შეამოწმოთ შემდეგი ფაილის არსებობა: C:/Windows/perfc.dat

4. Windows OS-ის ვერსიიდან გამომდინარე, დააინსტალირეთ პატჩი.

5. დარწმუნდით, რომ ყველა კომპიუტერულ სისტემას აქვს დაინსტალირებული ანტივირუსული პროგრამა, რომელიც გამართულად ფუნქციონირებს და იყენებს განახლებულ ვირუსის ხელმოწერის მონაცემთა ბაზას. საჭიროების შემთხვევაში დააინსტალირეთ და განაახლეთ ანტივირუსი.

6. ინფექციის რისკის შესამცირებლად, ყურადღებით უნდა მოეპყროთ ყველა ელექტრონულ მიმოწერას და არ გადმოწეროთ ან გახსნათ დანართები უცნობი ადამიანებისგან გამოგზავნილ წერილებში. თუ თქვენ მიიღებთ წერილს ცნობილი მისამართიდან, რომელიც საეჭვოა, დაუკავშირდით გამგზავნს და დაადასტურეთ, რომ წერილი გაიგზავნა.

7. გააკეთეთ ყველა კრიტიკული მონაცემების სარეზერვო ასლები.

მიაწოდეთ მითითებული ინფორმაცია სტრუქტურული განყოფილებების თანამშრომლებს და არ დაუშვათ თანამშრომლებს იმუშაონ კომპიუტერებთან, რომლებსაც არ აქვთ დაინსტალირებული მითითებული პატჩები, მიუხედავად იმისა, არიან თუ არა ისინი დაკავშირებული ადგილობრივ ქსელთან თუ ინტერნეტთან.

შესაძლებელია შეეცადოთ აღადგინოთ წვდომა Windows კომპიუტერზე, რომელიც დაბლოკილია მითითებული ვირუსით.

იმის გამო, რომ მითითებული მავნე პროგრამა ცვლის MBR ჩანაწერებს, რის გამოც, ოპერაციული სისტემის ჩატვირთვის ნაცვლად, მომხმარებელს უჩვენებს ფანჯარა ტექსტით ფაილის დაშიფვრის შესახებ. ამ პრობლემის მოგვარება შესაძლებელია MBR ჩანაწერის აღდგენით. ამისათვის არის სპეციალური კომუნალური საშუალებები. SBU-მ ამისთვის გამოიყენა Boot-Repair პროგრამა (ინსტრუქციები ბმულზე).

ბ). გაუშვით და დარწმუნდით, რომ ყველა ველი შემოწმებულია "Artifacts to collect" ფანჯარაში.

გ). "Eset Log Collection Mode" ჩანართში დააყენეთ დისკის წყაროს ორობითი კოდი.

დ). დააჭირეთ ღილაკს შეგროვება.

ე). გაგზავნეთ ჟურნალების არქივი.

თუ დაზარალებული კომპიუტერი ჩართულია და ჯერ არ არის გამორთული, გააგრძელეთ

ნაბიჯი 3 ინფორმაციის შეგროვება, რომელიც დაგეხმარებათ დეკოდერის დაწერაში,

პუნქტი 4 სისტემის დამუშავებისთვის.

უკვე დაზარალებული კომპიუტერიდან (ის არ ჩაიტვირთება), თქვენ უნდა შეაგროვოთ MBR შემდგომი ანალიზისთვის.

მისი აწყობა შეგიძლიათ შემდეგი ინსტრუქციის მიხედვით:

ა). ჩამოტვირთეთ ESET SysRescue Live CD ან USB (შექმნა აღწერილია ნაბიჯი 3)

ბ). დაეთანხმეთ გამოყენების ლიცენზიას

გ). დააჭირეთ CTRL + ALT + T (ტერმინალი გაიხსნება)

დ). ჩაწერეთ ბრძანება „parted -l“ ბრჭყალების გარეშე, პარამეტრი არის პატარა ასო „L“ და დააჭირეთ

ე). იხილეთ დისკების სია და დაადგინეთ დაზარალებული კომპიუტერი (უნდა იყოს ერთ-ერთი /dev/sda)

ვ). ჩაწერეთ ბრძანება „dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ ბრჭყალების გარეშე, „/dev/sda“-ს ნაცვლად გამოიყენეთ წინა ეტაპზე განსაზღვრული დისკი და დააწკაპუნეთ (შეიქმნება ფაილი/home/eset/petya.img)

ზ). შეაერთეთ USB ფლეშ დრაივი და დააკოპირეთ ფაილი /home/eset/petya.img

თ). შეგიძლიათ გამორთოთ კომპიუტერი.

იხილეთ ასევე - ომელიანი კიბერშეტევებისგან დაცვის შესახებ

ომელიანი კიბერშეტევებისგან დაცვის შესახებ

გეშინიათ თქვენი კომპიუტერის WannaCry, Petya ან მსგავსი ვირუსებით დაინფიცირების? ჩვენ გეტყვით, როგორ ავიცილოთ თავიდან ამ მავნე პროგრამით დაინფიცირება და რა უნდა გააკეთოთ, რათა თავიდან აიცილოთ, მინიმუმამდე დაიყვანოთ ან შეინახოთ ყველა ფაილი!

ზედიზედ რამდენიმე თვეა, ბევრი ქვეყანა შეძრწუნდა კომპიუტერული ვირუსებით - ასობით ათასი ინფიცირებული Windows კომპიუტერი, სამუშაო დოკუმენტაციის დაკარგვა და უზარმაზარი დანაკარგები.

შესაძლებელია თუ არა ასეთი ბედის თავიდან აცილება? დიახ!

როგორ დავიცვათ თქვენი კომპიუტერი WannaCry ვირუსებისგან და მსგავსი ვირუსებისგან?

  1. გამოიყენეთ ლიცენზირებული პროგრამული უზრუნველყოფა
    • თუ იყენებთ პროგრამების პირატულ ვერსიებს სამსახურში ან სახლში, მაშინ აშკარად მგრძნობიარე ხართ ვირუსების მიმართ, რადგან არ იცით, შეიცავს თუ არა ისინი ფარულ ვირუსებს + ასეთი პროგრამა არ არის განახლებული.
  2. განაახლეთ Windows
    • თუ რაიმე მიზეზით "ავტომატური განახლებები" გამორთული იყო თქვენს Windows კომპიუტერზე ამ მომენტამდე, მაშინ დროა ჩართოთ იგი. არა მხოლოდ მიიღებთ ახალ ფუნქციონირებას და გაუმჯობესებულ სტაბილურობას ყოველი განახლებით, არამედ დააინსტალირებთ უსაფრთხოების უახლეს პატჩებს და დახურავთ დაუცველობას, რითაც გაართულებთ ცხოვრებას ჰაკერებისთვის!
    • დააინსტალირეთ Windows პატჩები, რომლებიც ფარავს დაუცველობას WannaCry-სა და Petya.A-ს მიმართ:
  3. დააინსტალირეთ ანტივირუსული პროგრამა
    • ნებისმიერი ანტივირუსული პროგრამის არსებობა, თუნდაც უფასო, მნიშვნელოვნად ზრდის Windows კომპიუტერის უსაფრთხოებას, დააინსტალირეთ ანტივირუსული პროგრამა და შეამოწმეთ თქვენი კომპიუტერი ვირუსებზე ყოველკვირეულად
    • ვირუსებზე თქვენი კომპიუტერის ყოველკვირეული სკანირების გარდა, შეამოწმეთ USB ფლეშ დრაივები (თქვენი და სხვები) ყოველ ჯერზე, როცა კომპიუტერს უერთდებით.
  4. დახურეთ პორტები
  5. არ დააჭიროთ საეჭვო ბმულებს, არ ჩამოტვირთოთ დანართები უცნობი მიმღებებისგან

რა უნდა გააკეთოთ, თუ თქვენი კომპიუტერი ინფიცირებულია ვირუსით? როგორ დავამუშავოთ ან შეინახოთ ფაილები?

თუ ეჭვი გაქვთ, რომ თქვენი კომპიუტერი უკვე ინფიცირებულია ან დანამდვილებით იცით, რომ მასზე არის WannaCry, Petya.A ან მსგავსი ვირუსი, გამოიყენეთ შემდეგი რეკომენდაციები მავნე პროგრამის მოსაშორებლად:

  1. არ არის საჭირო ვინმეს რაიმეს გადახდა სხვა თანხის გადარიცხვით, თქვენ ამით იხდით ჰაკერის მუშაობას და ასტიმულირებთ მის შემდგომ მუშაობას. ის ასევე არ იძლევა გარანტიას ფაილის გაშიფვრისა და ვირუსის დეაქტივაციის შესახებ.
  2. გათიშეთ თქვენი კომპიუტერი ინტერნეტიდან
  3. გამორთეთ კომპიუტერი და აღარ ჩართოთ
  4. შექმენით ჩამტვირთავი USB ფლეშ დრაივი ანტივირუსული პროგრამით (Kaspersky Rescue Disk ან Dr.Web LiveDisk) და დაასკანირეთ თქვენი კომპიუტერი
  5. თქვენს მყარ დისკზე დაშიფრული ფაილების გასაშიფრად შეგიძლიათ გამოიყენოთ შემდეგი ანტივირუსული საშუალებები და სერვისები:
    • No More Ransom არის საერთაშორისო ალიანსი, რომელშიც შედის Kaspersky, Intel და სამთავრობო უსაფრთხოების სააგენტო EuroPol.
    • Kaspersky Anti-Ransomware - პროგრამა ყველა სახის გამოძალვის წინააღმდეგ საბრძოლველად
    • გამოიყენეთ პროგრამები დაშიფრული ფაილების აღსადგენად ShadowExplorer და PhotoRec

ასევე გასათვალისწინებელია, რომ ანტივირუსული კომპანიების მაღალკვალიფიციური სპეციალისტების მიუხედავად, ვირუსების შემქმნელები ერთი ნაბიჯით წინ არიან და კომპიუტერისთვის მკურნალობის შექმნას დრო სჭირდება.

ვინ არის ნაკლებად მგრძნობიარე ვირუსების მიმართ?

თუ იყენებთ კომპიუტერებს ოპერაციულ სისტემებზე - Linux, MacOS, FreeBSD, Android, iOS, მაშინ ამ დროისთვის დაცული ხართ და არ გეშინიათ ვირუსების, მაგრამ მაინც, ეს არ ნიშნავს, რომ უნდა ეწვიოთ საეჭვო საიტებს და ჩამოტვირთოთ გაუგებარი ფაილები.

ჯერ კიდევ გაქვთ შეკითხვები? დაწერეთ ისინი კომენტარებში, გვითხარით რა გააკეთეთ ან პირიქით!

Სულ ეს არის! წაიკითხეთ მეტი სტატიები და ინსტრუქციები განყოფილებაში. დარჩით საიტზე, ეს კიდევ უფრო საინტერესო იქნება!

თუ თქვენი კომპიუტერი ინფიცირებულია, მას არაფერი ეშველება. უფრო ზუსტად, მყარ დისკზე არსებული ფაილები, რომელთა აღდგენა შეუძლებელია. მაგრამ სინამდვილეში კიბერშეტევის თავიდან აცილება შესაძლებელია და კომპიუტერის რეანიმაცია რთულია, მაგრამ შესაძლებელია.

პირველ რიგში, მოდით ვისაუბროთ თავიდან აცილების ზომებზე. როგორც უკვე დავწერეთ, #Petya ჰგავს WCry-ს - გამოსასყიდის ვირუსს, რომელიც შიფრავს მონაცემებს და ითხოვს 300$ გამოსასყიდს მის აღსადგენად. დაუყოვნებლივ აღვნიშნოთ - გადახდას აზრი არ აქვს!

როგორ ავიცილოთ თავიდან პეტია A ვირუსი

— ბოლო წერტილების დონეზე დაბლოკვა *.exe, *.js*, *.vbs ფაილების %AppData%–დან გაშვებისთვის;

— ფოსტის კარიბჭის დონეზე – აქტიური შინაარსით შეტყობინებების დაბლოკვა (*.vbs, *.js, *.jse, *.exe);

— პროქსის დონეზე – აქტიური შინაარსის შემცველი არქივების ჩატვირთვის დაბლოკვა (*.vbs, *.js, *.jse);

- SMB და WMI პორტების დაბლოკვა. პირველ რიგში 135, 445;

- ინფექციის შემდეგ - არ გადატვირთოთ კომპიუტერი! - ეს ნამდვილად მნიშვნელოვანია.

- არ გახსნათ მათში საეჭვო წერილები და განსაკუთრებით დანართები;

- იძულებით განაახლეთ ანტივირუსული მონაცემთა ბაზა და ოპერაციული სისტემები.

როგორ აღვადგინოთ ფაილები გამოსასყიდის ვირუსის შემდეგ

აღსანიშნავია, რომ ჯერ კიდევ 2016 წელს Twitter-ზე დარეგისტრირებულმა მომხმარებელმა, მეტსახელად Leostone, მოახერხა მავნე ვირუსის დაშიფვრის გატეხვა, როგორც იტყობინება რესურსი Bleepingcomputer.com.

კერძოდ, მან შეძლო გენეტიკური ალგორითმის შექმნა, რომელსაც შეუძლია ვირუსით დაშიფრული Petya კომპიუტერის გაშიფვრისთვის საჭირო პაროლის გენერირება.

გენეტიკური ალგორითმი არის საძიებო ალგორითმი, რომელიც გამოიყენება ოპტიმიზაციისა და მოდელირების პრობლემების გადასაჭრელად სასურველი პარამეტრების შემთხვევითი შერჩევით, კომბინაციით და ცვალებადობით, ბუნებაში ბუნებრივი გადარჩევის მსგავსი მექანიზმების გამოყენებით.

ლეოსტონმა თავისი შედეგები გამოაქვეყნა ვებგვერდზე, რომელიც შეიცავს ყველა საჭირო ინფორმაციას გაშიფვრის კოდების გენერირებისთვის. ამრიგად, თავდასხმის მსხვერპლს შეუძლია გამოიყენოს მითითებული საიტი გაშიფვრის გასაღების შესაქმნელად.

ასე რომ, Leostone-ის გაშიფვრის ინსტრუმენტის გამოსაყენებლად, თქვენ მოგიწევთ ამოიღოთ მყარი დისკი თქვენი კომპიუტერიდან და დააკავშიროთ იგი სხვა კომპიუტერთან, რომელიც მუშაობს Windows OS. ამოსაღები მონაცემები არის 512 ბაიტი, დაწყებული სექტორიდან 55 (0x37 სთ). შემდეგ ეს მონაცემები უნდა გარდაიქმნას Base64 კოდირებად და გამოიყენოს ვებსაიტზე https://petya-pay-no-ransom.herokuapp.com/ გასაღების გენერირებისთვის.

ბევრი მომხმარებლისთვის პრობლემაა გარკვეული ინფორმაციის მოძიება დაზარალებული მყარი დისკებიდან. საბედნიეროდ, Emsisoft-ის ექსპერტი მოვიდა სამაშველოში ფაბიან ვოსარი, რომელმაც შექმნა Petya Sector Extractor ინსტრუმენტი დისკიდან საჭირო ინფორმაციის ამოსაღებად.

პეტიას სექტორის ექსტრაქტორი

მას შემდეგ, რაც მომხმარებელი დააკავშირებს დაშიფრულ დისკს ინფიცირებული კომპიუტერიდან სხვა კომპიუტერთან, მან უნდა გაუშვას Fabric Wosar's Fabric Wosar's Petya Sector Extractor ინსტრუმენტი, რომელიც აღმოაჩენს დაშიფვრის ზემოქმედებას. მას შემდეგ რაც Petya Sector Extractor დაასრულებს მუშაობას, მომხმარებელმა უნდა დააჭიროს Copy Sector-ის პირველ ღილაკს და გადავიდეს Leo Stone-ის საიტებზე (https://petya-pay-no-ransom.herokuapp.com/ ან https:// petya-pay). -no-ransom-mirror1.herokuapp.com /), კოპირებული მონაცემების ჩასმა Ctrl+V-ით ტექსტის შეყვანის ველში (Base64 დაშიფრულია 512 ბაიტი გადამოწმების მონაცემები). შემდეგ დაბრუნდით Fabian Vosar-ის უტილიტაში, დააწკაპუნეთ მეორე Copy Sector ღილაკზე და ისევ დააკოპირეთ მონაცემები Stone-ის ვებსაიტზე, ჩასვით სხვა შეყვანის ველში (Base64 დაშიფრულია 8 ბაიტი არაერთხელ).

ფოტო: bleepingcomputer.com

ორივე ველის შევსების შემდეგ მომხმარებელს შეუძლია დააჭიროს გაგზავნას და დაიწყოს ალგორითმი.

საიტმა უნდა მიაწოდოს პაროლი მონაცემთა გაშიფვრისთვის, რის შემდეგაც თქვენ უნდა დააბრუნოთ მყარი დისკი დაზარალებულ კომპიუტერზე, გაუშვათ სისტემა და შეიყვანოთ მიღებული კოდი გამოსასყიდის პროგრამის ფანჯარაში. შედეგად, ინფორმაცია გაშიფრული იქნება.

ფოტო: bleepingcomputer.com

მყარი დისკის გაშიფვრის შემდეგ, გამოსასყიდი პროგრამა მოგთხოვთ გადატვირთოთ კომპიუტერი და ის ახლა ნორმალურად უნდა ჩაიტვირთოს.

მათთვის, ვისაც შეიძლება გაუჭირდეს ერთი კომპიუტერიდან მყარი დისკის ამოღება და მეორესთან დაკავშირება, შეგიძლიათ შეიძინოთ USB მყარი დისკის დასამაგრებელი სადგური.

რამდენიმე თვის წინ ჩვენ და IT უსაფრთხოების სხვა სპეციალისტებმა აღმოვაჩინეთ ახალი მავნე პროგრამა - პეტია (Win32.Trojan-Ransom.Petya.A). კლასიკური გაგებით, ეს არ იყო შიფრატორი, ვირუსმა უბრალოდ დაბლოკა წვდომა გარკვეული ტიპის ფაილებზე და მოითხოვა გამოსასყიდი. ვირუსმა შეცვალა ჩატვირთვის ჩანაწერი მყარ დისკზე, იძულებით გადატვირთა კომპიუტერი და აჩვენა შეტყობინება, რომ "მონაცემები დაშიფრულია - დახარჯეთ ფული გაშიფვრისთვის". ზოგადად, დაშიფვრის ვირუსების სტანდარტული სქემა, გარდა იმისა, რომ ფაილები რეალურად არ იყო დაშიფრული. ყველაზე პოპულარულმა ანტივირუსებმა დაიწყეს Win32.Trojan-Ransom.Petya.A იდენტიფიცირება და წაშლა მისი გამოჩენიდან რამდენიმე კვირის შემდეგ. გარდა ამისა, გამოჩნდა ინსტრუქციები ხელით მოცილებისთვის. რატომ ვფიქრობთ, რომ Petya არ არის კლასიკური გამოსასყიდი პროგრამა? ეს ვირუსი ცვლის Master Boot Record-ში და ხელს უშლის OS-ის ჩატვირთვას და ასევე შიფრავს Master File Table-ს. ის თავად არ შიფრავს ფაილებს.

თუმცა, უფრო დახვეწილი ვირუსი რამდენიმე კვირის წინ გამოჩნდა მიშა, როგორც ჩანს, იგივე თაღლითების მიერ დაწერილი. ეს ვირუსი ENCRYPTS ფაილებს და მოითხოვს, რომ გადაიხადოთ 500 - 875 $ გაშიფვრისთვის (სხვადასხვა ვერსიებში 1.5 - 1.8 ბიტკოინი). „გაშიფვრის“ და მასზე გადახდის ინსტრუქციები ინახება ფაილებში YOUR_FILES_ARE_ENCRYPTED.HTML და YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – YOUR_FILES_ARE_ENCRYPTED.HTML ფაილის შიგთავსი

ახლა, ფაქტობრივად, ჰაკერები აინფიცირებენ მომხმარებლების კომპიუტერებს ორი მავნე პროგრამით: პეტია და მიშა. პირველს სჭირდება ადმინისტრატორის უფლებები სისტემაზე. ანუ, თუ მომხმარებელი უარს იტყვის პეტიას ადმინისტრატორის უფლებებზე ან ხელით წაშლის ამ მავნე პროგრამას, მიშა ჩაერთვება. ეს ვირუსი არ საჭიროებს ადმინისტრატორის უფლებებს, ის არის კლასიკური შიფრატორი და რეალურად შიფრავს ფაილებს ძლიერი AES ალგორითმის გამოყენებით და Master Boot Record-ში და მსხვერპლის მყარ დისკზე არსებული ფაილების ცხრილში ცვლილებების შეტანის გარეშე.

Mischa მავნე პროგრამა შიფრავს არა მხოლოდ სტანდარტული ფაილის ტიპებს (ვიდეოები, სურათები, პრეზენტაციები, დოკუმენტები), არამედ .exe ფაილებსაც. ვირუსი არ მოქმედებს მხოლოდ \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow და \Chrome დირექტორიებზე.

ინფექცია ხდება ძირითადად ელექტრონული ფოსტით, სადაც წერილი მიიღება თანდართული ფაილით - ვირუსის ინსტალერი. მისი დაშიფვრა შესაძლებელია საგადასახადო სამსახურის, თქვენი ბუღალტრის წერილის ქვეშ, როგორც თანდართული ქვითრები და შესყიდვების ქვითრები და ა.შ. ყურადღება მიაქციეთ ფაილის გაფართოებებს ასეთ ასოებში - თუ ეს არის შესრულებადი ფაილი (.exe), მაშინ დიდი ალბათობით შეიძლება იყოს კონტეინერი Petya\Mischa ვირუსით. და თუ მავნე პროგრამის მოდიფიკაცია ბოლო დროს მოხდა, თქვენი ანტივირუსი შეიძლება არ უპასუხოს.

განახლება 06/30/2017: 27 ივნისი, პეტიას ვირუსის შეცვლილი ვერსია (Petya.A)უკრაინაში მასიურად თავს დაესხნენ მომხმარებლებს. ამ თავდასხმის ეფექტი უზარმაზარი იყო და ეკონომიკური ზარალი ჯერ არ არის გათვლილი. ერთ დღეში ათეულობით ბანკის, საცალო ქსელის, სამთავრობო უწყებისა და საკუთრების სხვადასხვა ფორმის საწარმოს მუშაობა პარალიზებული იყო. ვირუსი ძირითადად გავრცელდა უკრაინული ბუღალტრული აღრიცხვის სისტემის MeDoc-ის დაუცველობით ამ პროგრამული უზრუნველყოფის უახლესი ავტომატური განახლებით. გარდა ამისა, ვირუსი შეეხო ისეთ ქვეყნებს, როგორიცაა რუსეთი, ესპანეთი, დიდი ბრიტანეთი, საფრანგეთი და ლიტვა.

ამოიღეთ პეტია და მიშა ვირუსი ავტომატური გამწმენდის გამოყენებით

ზოგადად მავნე პროგრამებთან და კონკრეტულად გამოსასყიდ პროგრამებთან მუშაობის უკიდურესად ეფექტური მეთოდი. დადასტურებული დამცავი კომპლექსის გამოყენება გარანტირებულია ნებისმიერი ვირუსული კომპონენტის საფუძვლიან გამოვლენასა და მათ სრულ მოცილებას ერთი დაწკაპუნებით. გთხოვთ გაითვალისწინოთ, რომ ჩვენ ვსაუბრობთ ორ განსხვავებულ პროცესზე: ინფექციის დეინსტალაცია და ფაილების აღდგენა თქვენს კომპიუტერში. თუმცა, საფრთხე, რა თქმა უნდა, უნდა მოიხსნას, რადგან არსებობს ინფორმაცია მისი გამოყენებით სხვა კომპიუტერული ტროიანების დანერგვის შესახებ.

  1. . პროგრამის დაწყების შემდეგ დააჭირეთ ღილაკს დაიწყეთ კომპიუტერის სკანირება(დაიწყეთ სკანირება).
  2. დაინსტალირებული პროგრამა უზრუნველყოფს ანგარიშს სკანირების დროს აღმოჩენილი საფრთხეების შესახებ. ყველა აღმოჩენილი საფრთხის მოსაშორებლად, აირჩიეთ ვარიანტი Საფრთხეების აღმოფხვრა(მუქარის აღმოფხვრა). აღნიშნული მავნე პროგრამა მთლიანად წაიშლება.

აღადგინეთ წვდომა დაშიფრულ ფაილებზე

როგორც აღინიშნა, Mischa გამოსასყიდი ბლოკავს ფაილებს დაშიფვრის ძლიერი ალგორითმის გამოყენებით, ისე, რომ დაშიფრული მონაცემების აღდგენა შეუძლებელია ჯადოსნური ჯოხის ტალღით - თუ არ გადაიხდის გაუგონარი გამოსასყიდის თანხას (ზოგჯერ $1000-მდე აღწევს). მაგრამ ზოგიერთი მეთოდი ნამდვილად შეიძლება იყოს მაშველი, რომელიც დაგეხმარებათ მნიშვნელოვანი მონაცემების აღდგენაში. ქვემოთ შეგიძლიათ გაეცნოთ მათ.

ფაილების ავტომატური აღდგენის პროგრამა (გაშიფვრა)

ცნობილია ძალიან უჩვეულო გარემოება. ეს ინფექცია შლის ორიგინალ ფაილებს დაშიფრული სახით. ამგვარად, დაშიფვრის პროცესი გამოძალვის მიზნით მიზნად ისახავს მათ ასლებს. ეს შესაძლებელს ხდის პროგრამულ უზრუნველყოფას, როგორიცაა წაშლილი ობიექტების აღდგენა, მაშინაც კი, თუ მათი ამოღების საიმედოობა გარანტირებულია. რეკომენდირებულია მიმართოთ ფაილის აღდგენის პროცედურას, მისი ეფექტურობა ეჭვგარეშეა.

ტომების ჩრდილოვანი ასლები

მიდგომა ეფუძნება Windows ფაილის სარეზერვო პროცესს, რომელიც მეორდება აღდგენის თითოეულ წერტილში. ამ მეთოდის მუშაობის მნიშვნელოვანი პირობა: "სისტემის აღდგენის" ფუნქცია უნდა იყოს გააქტიურებული ინფექციის წინ. თუმცა, აღდგენის წერტილის შემდეგ ფაილში შეტანილი ნებისმიერი ცვლილება არ გამოჩნდება ფაილის აღდგენილ ვერსიაში.

სარეზერვო

ეს საუკეთესოა ყველა არაგამოსყიდვის მეთოდს შორის. თუ გარე სერვერზე მონაცემების სარეზერვო ასლის შექმნის პროცედურა გამოიყენებოდა თქვენს კომპიუტერზე გამოსასყიდი პროგრამის შეტევამდე, დაშიფრული ფაილების აღსადგენად უბრალოდ უნდა შეიყვანოთ შესაბამისი ინტერფეისი, შეარჩიოთ საჭირო ფაილები და გაუშვათ მონაცემთა აღდგენის მექანიზმი სარეზერვოდან. ოპერაციის შესრულებამდე უნდა დარწმუნდეთ, რომ გამოსასყიდი პროგრამა მთლიანად ამოღებულია.

შეამოწმეთ Petya და Mischa გამოსასყიდის პროგრამების ნარჩენი კომპონენტების შესაძლო არსებობა

ხელით გაწმენდა რისკავს დაკარგავს გამოსასყიდი პროგრამის ცალკეულ ნაწილებს, რომლებიც შეიძლება არ მოიხსნას, როგორც ფარული ოპერაციული სისტემის ობიექტები ან რეესტრის ელემენტები. ცალკეული მავნე ელემენტების ნაწილობრივი შეკავების რისკის აღმოსაფხვრელად, დაასკანირეთ თქვენი კომპიუტერი საიმედო უსაფრთხოების პროგრამული პაკეტის გამოყენებით, რომელიც სპეციალიზირებულია მავნე პროგრამულ უზრუნველყოფაში.

რამდენიმე დღის წინ ჩვენს რესურსზე გამოჩნდა სტატია იმის შესახებ, თუ როგორ დაიცვათ თავი ვირუსისა და მისი ჯიშებისგან. იმავე ინსტრუქციებში ჩვენ განვიხილავთ ყველაზე უარეს სცენარს - თქვენი კომპიუტერი ინფიცირებულია. ბუნებრივია, აღდგენის შემდეგ, თითოეული მომხმარებელი ცდილობს აღადგინოს თავისი მონაცემები და პირადი ინფორმაცია. ამ სტატიაში განვიხილავთ მონაცემთა აღდგენის ყველაზე მოსახერხებელ და ეფექტურ მეთოდებს. გასათვალისწინებელია, რომ ეს ყოველთვის არ არის შესაძლებელი, ამიტომ არანაირ გარანტიას არ მოგცემთ.

ჩვენ განვიხილავთ სამ მთავარ სცენარს, რომლებშიც შეიძლება განვითარდეს მოვლენები:
1. კომპიუტერი ინფიცირებულია Petya.A ვირუსით (ან მისი ვარიანტებით) და დაშიფრულია, სისტემა მთლიანად დაბლოკილია. მონაცემების აღსადგენად, თქვენ უნდა შეიყვანოთ სპეციალური გასაღები, რისთვისაც უნდა გადაიხადოთ. დაუყოვნებლივ უნდა ითქვას, რომ გადახდის შემთხვევაშიც კი, ეს არ მოხსნის დაბლოკვას და არ მოგცემთ წვდომას თქვენს პერსონალურ კომპიუტერზე.

2. ოფცია, რომელიც მომხმარებელს უზრუნველჰყოფს შემდგომი მოქმედებების უფრო მეტ ვარიანტს - თქვენი კომპიუტერი დაინფიცირდა და ვირუსმა დაიწყო თქვენი მონაცემების დაშიფვრა, მაგრამ დაშიფვრა შეჩერდა (მაგალითად, დენის გამორთვით).

3. ბოლო ვარიანტი ყველაზე ხელსაყრელია. თქვენი კომპიუტერი ინფიცირებულია, მაგრამ ფაილური სისტემის დაშიფვრა ჯერ არ დაწყებულა.

თუ თქვენ გაქვთ სიტუაცია ნომერი 1, ანუ თქვენი ყველა მონაცემი დაშიფრულია, მაშინ ამ ეტაპზე არ არსებობს მომხმარებლის ინფორმაციის აღდგენის ეფექტური გზა. სავარაუდოა, რომ ეს მეთოდი რამდენიმე დღეში ან კვირაში გამოჩნდება, მაგრამ ამ დროისთვის ექსპერტები და ყველა ინფორმაციული და კომპიუტერული უსაფრთხოების სფეროში თავს იჭერს.

თუ დაშიფვრის პროცესი არ დაწყებულა ან ბოლომდე არ დასრულებულა, მაშინ მომხმარებელმა დაუყოვნებლივ უნდა შეწყვიტოს იგი (დაშიფვრა ნაჩვენებია როგორც Check Disk სისტემის პროცესი). თუ შეძელით ოპერაციული სისტემის ჩატვირთვა, მაშინ დაუყოვნებლივ უნდა დააინსტალიროთ ნებისმიერი თანამედროვე ანტივირუსი (ამჟამად ყველა მათგანი აღიარებს პეტიას და ყველა დისკის სრულ სკანირებას აკეთებს. თუ Windows არ ჩაიტვირთება, მაშინ ინფიცირებული აპარატის მფლობელს მოუწევს გამოიყენეთ სისტემის დისკი ან ფლეშ დრაივი MBR ჩატვირთვის სექტორის აღსადგენად.

ჩამტვირთველის აღდგენა Windows XP-ზე

სისტემის დისკის Windows XP ოპერაციული სისტემით ჩატვირთვის შემდეგ, თქვენ წარმოგიდგენთ მოქმედების ვარიანტებს. "Install Windows XP Professional" ფანჯარაში აირჩიეთ "Windows XP-ის აღდგენისთვის Recovery Console-ის გამოყენებით, დააჭირეთ R." რაც ლოგიკურია, თქვენ უნდა დააჭიროთ R-ს კლავიატურაზე. თქვენ უნდა ნახოთ დანაყოფის აღდგენის კონსოლი და შეტყობინება:

""1:C:\WINDOWS ვინდოუსის რომელ ასლში უნდა შეხვიდე?""


თუ დაინსტალირებული გაქვთ Windows XP-ის ერთი ვერსია, შეიყვანეთ „1“ კლავიატურაზე და დააჭირეთ Enter. თუ თქვენ გაქვთ რამდენიმე სისტემა, მაშინ უნდა აირჩიოთ თქვენთვის სასურველი. თქვენ იხილავთ შეტყობინებას ადმინისტრატორის პაროლის მოთხოვნით. თუ პაროლი არ არის, უბრალოდ დააჭირეთ Enter და დატოვეთ ველი ცარიელი. ამის შემდეგ ეკრანზე გამოჩნდება ხაზი, შეიყვანეთ სიტყვა " fixmbr"

უნდა გამოჩნდეს შემდეგი შეტყობინება: „გაფრთხილება! ადასტურებთ თუ არა ახალი MBR-ის შეყვანას?", დააჭირეთ კლავიატურაზე "Y" ღილაკს.
გამოჩნდება პასუხი: "ფიზიკურ დისკზე იქმნება ახალი პირველადი ჩატვირთვის სექტორი..."
"ახალი პირველადი ჩატვირთვის დანაყოფი წარმატებით შეიქმნა."

Windows Vista-ზე ჩამტვირთველის აღდგენა

ჩადეთ დისკი ან ფლეშ დრაივი Windows Vista ოპერაციული სისტემით. შემდეგი, თქვენ უნდა აირჩიოთ ხაზი "თქვენი კომპიუტერის აღდგენა". აირჩიეთ რომელი Windows Vista ოპერაციული სისტემა (თუ ერთზე მეტი გაქვთ) აღადგინოთ. როდესაც გამოჩნდება აღდგენის პარამეტრების ფანჯარა, დააწკაპუნეთ ბრძანების სტრიქონზე. ბრძანების სტრიქონში შეიყვანეთ ბრძანება " bootrec/FixMbr".

ჩამტვირთველის აღდგენა Windows 7-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 7 ოპერაციული სისტემით აირჩიეთ რომელი Windows 7 ოპერაციული სისტემა (თუ რამდენიმე მათგანი გაქვთ) გსურთ აღადგინოთ. აირჩიეთ "გამოიყენეთ აღდგენის ხელსაწყოები, რომლებიც დაგეხმარებათ Windows-ის დაწყების პრობლემების მოგვარებაში." შემდეგი, აირჩიეთ "ბრძანების ხაზი". ბრძანების ხაზის ჩატვირთვის შემდეგ შეიყვანეთ " bootrec/fixmbr

ჩამტვირთველის აღდგენა Windows 8-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 8 ოპერაციული სისტემით მთავარ ეკრანზე ქვედა მარცხენა კუთხეში აირჩიეთ „შეაკეთეთ თქვენი კომპიუტერი“. აირჩიეთ პრობლემების მოგვარება. აირჩიეთ ბრძანების ხაზი, როდესაც ის იტვირთება, შეიყვანეთ: "bootrec/FixMbr"თუ ყველაფერი კარგად წავიდა, ნახავთ შესაბამის შეტყობინებას და რჩება მხოლოდ კომპიუტერის გადატვირთვა.

ჩამტვირთველის აღდგენა Windows 10-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 10 ოპერაციული სისტემით მთავარ ეკრანზე ქვედა მარცხენა კუთხეში აირჩიეთ „შეაკეთეთ თქვენი კომპიუტერი“. აირჩიეთ პრობლემების მოგვარება. აირჩიეთ ბრძანების ხაზი, როდესაც ის იტვირთება, შეიყვანეთ: "bootrec/FixMbr"თუ ყველაფერი კარგად წავიდა, ნახავთ შესაბამის შეტყობინებას და რჩება მხოლოდ კომპიუტერის გადატვირთვა.



გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა