როგორ განაახლოთ მონაცემები პეტიას დაშიფვრის ვირუსის შემდეგ. პეტიას ვირუსი: ყველაფერი რაც თქვენ უნდა იცოდეთ ამ ვირუსის შესახებ. განახლებული გაჯეტი Windows XP-ზე

ინფორმაცია, რომელიც აინტერესებს, უნდა იცოდეს პეტიას ვირუსის შესახებ.

    რა არის ეს ვირუსი?
  1. სამშაბათს, 2017 წლის 27 ივნისს, გამოჩნდა ვირუსი სახელად პეტია. თავს დაესხნენ კომპანიებს Rosneft და Home Credit Bank. განადგურების შემდეგ, ეს მუქარა თავზე გადაიწერება გასაოცარი პოსტი(MBR) დამატებითი გამოსასყიდისთვის: DOS / Petya.A და შიფრავს სექტორებს სისტემის დისკი. ასე გამოიყურება: ორივე თქვენი კომპიუტერი ხელახლა ჩაირთვება და გამოჩნდება სისტემის ყალბი შეტყობინება, რაც მიუთითებს, რომ დეფექტი გადავიდა დისკზე და აჩვენებს მთლიანობის ცრუ დადასტურებას: შემდეგ თქვენ უარყოფთ შეტყობინებას. გთხოვთ, მიჰყვეთ ინსტრუქციას სისტემის განბლოკვის გასაღების შეძენა.
  2. ვირუსი შიფრავს ფაილებს ყველა დისკზე, გარდა Windows საქაღალდისა დისკზე C: ფაილების დაშიფვრის ხელმისაწვდომი გაფართოებები:
  4. ჩი იყო თავდასხმა ცოტა ხნის წინ WannaCry ვირუსზერომელიც ძალიან ჰგავს პეტიას ვირუსს, რაზეც ვსაუბრობთ ამ სტატიაში. დასაწყისისთვის, მათ აქვთ მსგავსება: მათ აქვთ კრიპტოვირუსების სუნი, და ეს ვირუსები შიფრავს ფაილებს და ძვირი ჯდება გაშიფვრა. როგორც კასპერსკის ლაბორატორია ადასტურებს, ეს არ არის იგივე ვირუსი, როგორც პეტიას ადრე, მაგრამ მისი სახელია ExPetr, ასე რომ, ეს ვირუსი, მრავალი მოდიფიკაციით, უფრო ადრეა. დამატებითი ინფორმაციისთვის, შეგიძლიათ გაიგოთ საიტზე, თუ გსურთ ნახოთ როგორ არის კოდი მსგავსი.
    5. ზაქისტი და სად შეიძლება დაინფიცირდე?
  5. თქვენ შეგიძლიათ ჩამოტვირთოთ ასეთი მავნე პროგრამა სიაში ფაილის Petya.apx ელექტრონული ფოსტით გაგზავნით ან განახლებული სააღრიცხვო პროგრამის M.E.doc-ის დაყენებით. ქვემოთ მოცემულია აღწერა Microsoft-ის ბლოგიდან M.E.doc მონაცემთა პროგრამის შესახებ. თუ თქვენი კომპიუტერი ან კომპიუტერი გამოჩნდება ინფიცირებული, მაშინ მავნე პროგრამა მოძებნის ყველა იგივე მავნე პროგრამას და WannaCry ვირუსს Smb პროტოკოლის გამოყენებით. ექსპლოიტი, რომელიც არის მანკიერი ექსპლოიტი Windows-ში - SMB პროტოკოლის გაყიდვა. Microsoft Corporation, როგორც წერდა თავის სტატიაში WannaCry-ისგან დასაცავად, კატეგორიულად გვირჩევს განახლების დაინსტალირებას Windows-ის ყველა სისტემისთვის და ასევე გამოუშვა განახლება იმ პროდუქტებისთვის, რომლებსაც დიდი ხანია არ უჭერდნენ მხარს, როგორიცაა Windows Xp. გამოდის, რომ თქვენ ხართ პასუხისმგებელი როგორც WannaCry ვირუსზე, ასევე პეტიაზე. წაიკითხეთ მეტი განახლებების დაცვისა და ინსტალაციის შესახებ სტატისტიკაში. ბეზკოშტოვნუ ზახისტიგარდა შიფრატორებისა და ანტივირუსებისა და ანტისპივერის, შეგიძლიათ დააინსტალიროთ Kaspersky. ასე რომ, Yakshcho Vi Koristany antishpigun არის იგივე, Zahist არ არის იგივე, არა tilki vid PNP Ale і vid Zdirnikіv cipherovannikov, საიტზე რაჭონკი შიფროვალნიცივზე წერია: არა შიფრის შიფრი შიფრებში. შიფრი თუჰია ვიკუკას. მე ვფიქრობ, რომ საუკეთესო გზაა MBAM-ის დაყენება ანტივირუსამდე. Microsoft-ის ვარიანტი, რომელიც უკვე არის სისტემაში, zahisnik Windows 8.1 და Windows 10, Microsoft უსაფრთხოების საფუძვლები Windows 7-ისთვის i Windows Vista. ასე რომ, შეგიძლიათ გააკეთოთ ერთჯერადი სკანირება, რათა ნახოთ, არის თუ არა თქვენი კომპიუტერი ინფიცირებული ყველა სახის საფრთხეებით. Microsoft-ის ვებსაიტზე პოვნის აღწერავირუსი იღებს და გადადის სისტემაში, უფრო ზუსტი აღწერა მართალია ინგლისური. ამბობენ, რომ პირველი ინფექცია, უფრო სწორად, გამოძალვის პროცესი დაიწყო უკრაინული კომპანია M.E.Doc-ით, რომელიც ავითარებს მიწოდების უსაფრთხოების პროგრამას MEDoc.
  6. ზუსტი თარგმანი Google Translate-დან: მიუხედავად იმისა, რომ ეს ვექტორი დეტალურად იქნა შესწავლილი უახლესი ამბებისა და უსაფრთხოების მკვლევარების მიერ, მათ შორის უკრაინის კიბერპოლიციის ძალაუფლების, ამ ვექტორის მხოლოდ ირიბი მტკიცებულება იყო. Microsoft-ს ახლა აქვს მტკიცებულება, რომ ბევრი აქტიური ინფექცია წარმოიშვა ლეგიტიმური Medoc განახლების პროცესიდან.
    7. ფაილის გაშიფვრა?
  7. კორისტუვაჩებმა უნდა დაწერონ ინსტრუქციები საფოსტო სკრინშოტიგაშიფვრის გასაღების აღსადგენად სახსრების ხელახალი დაზღვევის დამადასტურებელი საბუთი. თუ გადაწყვეტთ გადაწეროთ ფული ფაილების გაშიფვრისთვის, მაშინ ვერ შეძლებთ ფოსტაზე დაწეროთ გამოსასყიდი. ელექტრონული ფოსტის მისამართები, რომლებზედაც დაზარალებულებს ეცნობებათ, თუ ისინი აღადგენდნენ გერმანულ პროვაიდერს მიერ დაბლოკილ თანხებს, მათ სერვერზე იქნებოდა საფოსტო ყუთი. ასე რომ, შეგიძლიათ თარგმნოთ, მაგრამ ვერ მოგცემთ გასაღებს. ასე რომ, ვთქვათ, შეუძლებელია გასაღების ოფიციალურად ამოღება კარებიდან. Gamanets vimagachiv vіdomy on დანიური მომენტი 1 linya 2017 როკი, შედეგების მონაცემები განახლებულია 15 წამის განმავლობაში. მსხვერპლის კომპიუტერზე ვირუსის შესაჩერებლად, თქვენ უნდა შექმნათ ცარიელი ფაილი C:\Windows\perfc დისკზე და დაავალოთ ხელისუფლებამ დააყენოს ის მხოლოდ წასაკითხად. თავად დეშიფრატორები კვლავ გამორთულია ვირუსის ძველი ვერსიებისთვის GitHub-ზე.

რამდენიმე რუსული და უკრაინული კომპანია დაშიფვრის ვირუსის Petya-ს თავდასხმებს ექვემდებარებოდა. მერეჟევას ვებსაიტმა გაიარა კონსულტაცია Kaspersky Lab-ის ექსპერტებთან, ინტერაქტიული სააგენტო AGIMA, და განმარტა, თუ როგორ უნდა დავიცვათ კორპორატიული კომპიუტერები ვირუსისგან და როგორ ჰგავს პეტია თანაბრად ცნობილ WannaCry დაშიფვრის ვირუსს.

ვირუსი "პეტია"

რუსული კომპანიები "Rosneft", "Bashneft", Mars, Nivea და Alpen Gold შოკოლადის მწარმოებელი Mondelez International. ვირუსი შემოიჭრება ჩერნობილის ატომური ელექტროსადგურის რადიაციული მონიტორინგის სისტემაში. გარდა ამისა, თავდასხმა მოხვდა კომპიუტერებზე უკრაინაში, პრივატბანკსა და საკომუნიკაციო ოპერატორებზე. ვირუსი ბლოკავს თქვენს კომპიუტერს და ითხოვს გამოსასყიდს 300 დოლარის სახით ბიტკოინში.

Twitter-ზე როსნეფტის პრესსამსახურმა კომპანიის სერვერებზე ჰაკერული თავდასხმის შესახებ განაცხადა. "მიმდინარეობს ჰაკერული თავდასხმა კომპანიის სერვერებზე. ჩვენ ვეჭვობთ, რომ ეს არანაირად არ არის დაკავშირებული მიმდინარე სასამართლო პროცედურებთან. კიბერშეტევის ფაქტიდან გამომდინარე, კომპანია ეცნობა სამართალდამცავ ორგანოებს", - ამბობს რესპონდენტი. .

კომპანიის პრესმდივნის მიხაილ ლეონტიევის თქმით, როსნეფტი და მისი შვილობილი კომპანიები ჩვეულ რეჟიმში მუშაობენ. თავდასხმის შემდეგ კომპანია გადავიდა სარეზერვო სისტემაწარმოების პროცესების კონტროლი, რათა წარმოება და ზეთის მომზადება არ შეფერხდეს. სისტემა ასევე იქნა მიღებული Home Credit Bank-ის მიერ.

"პეტია" არ ინფიცირდება "მიშას" გარეშე

სიტყვების მიღმა AGIMA-ს ვიცე დირექტორი ევგენ ლობანოვიფაქტობრივად, შეტევა განხორციელდა ორი დაშიფვრის ვირუსით: პეტია და მიშა.

"სუნს სუნი ასდის." პეტია მიშას გარეშე არ ინფიცირდება. შეგიძლიათ დაინფიცირდეთ, მაგრამ გუშინდელი შეტევა განხორციელდა ორმა ვირუსმა: პეტიამ, შემდეგ მიშამ. - პეტია შიფრავს დისკის კერძო სექტორს (MBR) და ცვლის მას თავისით, მიშა შიფრავს ყველა ფაილს დისკზე (არა ისევ).

იმის გათვალისწინებით, რომ WannaCry დაშიფვრის ვირუსი, რომელიც თავს დაესხა დიდ მსოფლიო კომპანიებს ამ ბედის ბალახში, არ ჰგავს "პეტიას", ფასი არის ახალი ვერსია.

"Petya.A WannaCry ოჯახიდან (უფრო ზუსტად WannaCrypt), მაგრამ მთავარი ის არის, რომ ეს არ არის იგივე ვირუსები, რომლებიც MBR-ს ექვემდებარება მძლავრი ავანგარდული სექტორის მიერ - მაგრამ ის ახალია Ransomware-ისთვის. Petya ვირუსი. დიდი ხნის წინ გამოჩნდა GitHab-ზე (ონლაინ - სერვისი IT პროექტებისთვის და სპეციალიზებული პროგრამირებისთვის - ვებსაიტი) https://github.com/leo-stone/hack-petya "target =" _ blank"> არის ამ შიფრატორის დეშიფრატორი, მაგრამ არც ერთი დეშიფრატორი არ არის შესაფერისი ახალი მოდიფიკაციისთვის.

ევგენ ლობანოვმა ხაზგასმით აღნიშნა, რომ თავდასხმა უკრაინას უფრო მეტად დაარტყა, ვიდრე რუსეთი.

"ჩვენ უფრო მდგრადი ვართ თავდასხმების მიმართ, სხვა ქვეყნებთან შედარებით დაბალი. ვირუსის ამ ვერსიით ჩვენ მოგვპარავენ, მაგრამ არ იქნება. ჩვენი ინტერნეტი არ არის დაცული, უკრაინაში კი ის ნაკლებად. ძირითადად ტრანსპორტი იყო. კომპანიები, ბანკები, მობილური ტელეფონები თავდასხმამდე ოპერატორები (Vodafone, Kyivstar) და სამედიცინო კომპანიები, იგივე Pharmamag, Shell-ის ბენზინგასამართი სადგურები - ყველა დიდი ტრანსკონტინენტური კომპანია“, - განაცხადა მან საიტთან საუბარში.

AGIMA-ს ვიცე-დირექტორმა აღნიშნა, რომ ჯერ კიდევ არ არსებობს ფაქტები, რომლებიც მიუთითებენ ვირუსის გავრცელების გეოგრაფიულ მდებარეობაზე. ჩემი აზრით, ვირუსი თავად რუსეთში გაჩნდა. სამწუხაროდ, ამის პირდაპირი მტკიცებულება არ არსებობს.

„როგორები არიან ჩვენი ჰაკერები, პირველი მოდიფიკაციის ფრაგმენტები გაჩნდა რუსეთში და თავად ვირუსი, რომელიც არავისთვის არ არის საიდუმლო, პეტრო პოროშენკოს პატივსაცემად დაარქვეს. რუსი ჰაკერების განვითარება იყო, მაგრამ ვინ დააზარალა მათ - ეს არის ძნელი სათქმელია: ”გასაგებია, რომ თუ რუსეთში მოგზაურობთ, მაგალითად, აშშ-ში გეოლოკაციის მქონე კომპიუტერის პოვნა ადვილია”, - განმარტა ექსპერტმა.

"კომპიუტერი დაინფიცირდა - თქვენ არ შეგიძლიათ გამორთოთ კომპიუტერი. თუ ხელახლა შეხვალთ, სისტემაში ხელახლა შესვლას ვერ შეძლებთ."

„როგორც კი კომპიუტერი ინფიცირდება, კომპიუტერის გამორთვა შეუძლებელია, რადგან Petya ვირუსი ცვლის MBR-ს - პირველი სექტორი, რომელიც შემოიჭრება ოპერაციულ სისტემაში. ხელახლა ჩართვის შემთხვევაში, სისტემაში ვერასდროს შეხვალთ. ისევ. სხვადასხვა გასასვლელი მარშრუტები, აღარ იქნება შესაძლებელი იმის თქმა, თუ სად უნდა გამოჩნდეს "ტაბლეტი" მონაცემების ჩართვისთვის. შემდეგ, თქვენ დაუყოვნებლივ უნდა დაუკავშირდეთ ინტერნეტს, რათა კომპიუტერი არ გამოვიდეს ხაზგარეშე. ინფექცია უკვე დაფიქსირდა. Microsoft-ის ოფიციალური პაჩის მიერ გამოშვებული, თქვენ დაცული იქნებით უსაფრთხოების 98 ასი გარანტიით, ბოდიში ახლა არა 100 მეასედი. ვირუსის ერთჯერადი მოდიფიკაცია (სამი მათგანია) ჯერ არ უნდა გვერდის ავლით,“ - გვირჩევს ლობანოვი. - თუმცა, თუ მაინც გადატვირთავთ და დაიწყეთ „დისკის ხელახალი გადამოწმების“ პროცესი, ამ დროს მოგიწევთ დაუყოვნებლივ ჩართოთ კომპიუტერი და ფაილები აღარ იქნება დაშიფრული.

გარდა ამისა, ექსპერტმა ასევე დაადასტურა, რომ Microsoft-ის სისტემებზე თავდასხმა ყველაზე ხშირად ხდება, ვიდრე MacOSX (Apple ოპერაციული სისტემა - ვებსაიტი) და Unix სისტემები.

„აქ უფრო სწორია საუბარი არა მარტო MacOSX-ზე, არამედ ყველა unix სისტემაზე (პრინციპი ერთი და იგივეა). ვირუსი ვრცელდება მხოლოდ კომპიუტერებზე, მობილური მოწყობილობების გარეშე. დახვეწილ Windows ოპერაციულ სისტემაზე თავდასხმები მხოლოდ ამ ჰაკერებს ემუქრება. როგორც ჩართულია სისტემის ავტომატური განახლების ფუნქცია. განახლებები ხელმისაწვდომია Windows-ის ძველი ვერსიების მომხმარებლებისთვის, რომლებიც აღარ არის განახლებული: XP, Windows 8 და Windows სერვერი 2003 წელი“, - განაცხადა ექსპერტმა.

"MacOSX და Unix არ იყვნენ მგრძნობიარე მსგავსი ვირუსების მიმართ გლობალურად, რადგან ბევრი მსხვილი კორპორაცია იყენებს Microsoft-ის ინფრასტრუქტურას. MacOSX არ არის საკმარისად ძლიერი, რადგან არც ისე გავრცელებულია სამთავრობო სტრუქტურებში. მის ქვეშ არის ნაკლები ვირუსები, ისინი არ ჩანს სამუშაოდ. , ასე რომ, თავდასხმის სეგმენტი ნაკლები იქნება, nіzh, yakscho "Attack Microsoft," განაცხადა Fahivets.

„დასხმული კორისტუვაჩების რაოდენობამ ორ ათასს მიაღწია“

კასპერსკის ლაბორატორიის პრესსამსახურშიექსპერტებმა, რომლებიც აგრძელებენ დარჩენილი ინფექციის გამოძიებას, დაასკვნეს, რომ „ეს შიფრატორი არ მიეკუთვნება Petya სისტემების უკვე ცნობილ ოჯახს, თუმცა მას უკავშირდება კოდის რამდენიმე სტრიქონი“.

ლაბორატორიაში ამბობენ, რომ ამ ეპიზოდში საუბარია ცელქითა ახალ ოჯახზე პროგრამული უზრუნველყოფის უსაფრთხოებაპეტიას ფუნქციონალურობაში რეალური განსხვავებაა. კასპერსკის ლაბორატორიამ დაშიფვრის ახალ ხელსაწყოს ExPetr დაარქვა.

„კასპერსკის ლაბორატორიის მონაცემებით, ჰაკერების თავდასხმის რაოდენობამ ორ ათასს მიაღწია. ყველაზე მეტი ინციდენტი დაფიქსირდა რუსეთსა და უკრაინაში, ხოლო ინფექციის გავრცელება დაფიქსირდა პოლონეთში, იტალიაში, დიდ ბრიტანეთში, გერმანიაში, საფრანგეთში, აშშ-ში და სხვა. ამ დროისთვის, ჩვენი ექსპერტები აღიარებენ, რომ "პროგრამული უზრუნველყოფა დაზიანებულია თავდასხმის მრავალი ვექტორის მიერ. დადგენილია, რომ EternalBlue ექსპლოიტის და EternalRomance ექსპლოიტის მოდიფიკაციები დაინსტალირებულია კორპორატიულ ქსელებში გაფართოების მიზნით." განაცხადა პრესსამსახურმა.

ექსპერტები ასევე აფასებენ დეკოდერის ხელსაწყოს შექმნის შესაძლებლობას, რომელიც შეიძლება გამოყენებულ იქნას მონაცემთა გაშიფვრისთვის. ლაბორატორიამ ასევე მისცა რეკომენდაციები ყველა ორგანიზაციას, რათა თავიდან აიცილონ მომავალი ვირუსის შეტევები.

"ჩვენ ვურჩევთ ორგანიზაციებს დააინსტალირონ განახლება Windows OS-ისთვის. Windows XP-ისთვის და Windows 7-ისთვის დააინსტალირეთ უსაფრთხოების განახლება MS17-010, ასევე ჩამოტვირთოთ მონაცემთა სარეზერვო ეფექტური სისტემა. თქვენი მონაცემების სწრაფად და უსაფრთხოდ სარეზერვო ასლის შექმნა ორიგინალური ფაილების განახლების შესაძლებლობა , ისევე, როგორც "სუნი დაშიფრული იყო ცუდი პროგრამული უზრუნველყოფით", კმაყოფილი იყვნენ კასპერსკის ლაბორატორიის ექსპერტები.

თქვენს კორპორატიული კლიენტებისთვისლაბორატორია ასევე რეკომენდაციას უწევს ხელახლა დაკავშირებას, რათა გააქტიურდეს დაცვის ყველა მექანიზმი და უზრუნველყოფილი იყოს კავშირი კრიტიკულ ინფრასტრუქტურასთან. Kaspersky Securityქსელში, რეკომენდებულია „პროგრამის აქტივობის კონტროლის“ კომპონენტის ვიკორიზაცია, რათა თავიდან აიცილოთ წვდომის ყველა ჯგუფის წვდომა (და, შესაბამისად, ვიკონირება) ფაილზე სახელწოდებით „perfc.dat“ და ა.შ.

თუ თქვენ არ იყენებთ Kaspersky Lab-ის პროდუქტებს, რეკომენდებულია დავიცვათ ფაილი სახელად perfc.dat vikorist-ისგან და ასევე დაბლოკოთ PSExec პროგრამის გაშვება Sysinternals პაკეტით AppLocker-ის დამატებითი ფუნქციისთვის, რათა შეიყვანოთ ოპერაციული სისტემების საცავი (ოპერაცია ї სისტემები - ვებსაიტი) Windows", - რეკომენდებულია ლაბორატორიაში.

2017 წლის 12 მაისი Roku მდიდარია - მონაცემთა დაშიფვრა კომპიუტერების მყარ დისკებზე. ის ბლოკავს მოწყობილობას და მოითხოვს გამოსასყიდის გადახდას.
ვირუსი მოხვდა ორგანიზაციებსა და დეპარტამენტებში მსოფლიოს ათობით ქვეყანაში, მათ შორის რუსეთში, სადაც ჯანდაცვის სამინისტრო, გადასახადების სამინისტრო, შინაგან საქმეთა სამინისტრო და სერვერები დაზარალდნენ თავდასხმას. სტილნიკოვის ოპერატორებიდა რამდენიმე დიდი ბანკი.

ვირუსის გავრცელება თანდათან და თანდათან შენელდა: როცა ჰაკერები ცვლიდნენ კოდის ყოველ რამდენიმე რიგს, ცუდი პროგრამული უზრუნველყოფა ისევ იწყებდა მუშაობას. პროგრამიდან მიღებული შემოსავალი მილიარდ დოლარად არის შეფასებული. ლინგვისტური და სასამართლო ექსპერტიზის ანალიზის შემდეგ, ექსპერტებმა დაადგინეს, რომ WannaCry შეიქმნა ჩინეთიდან ან სინგაპურის შემქმნელების მიერ.

თავდასხმა პეტიას ვირუსზედა რამდენიმე დღეში ის გავრცელდა ათეულობით ქვეყანაში და გაიზარდა ეპიდემიის მასშტაბებამდე უკრაინაში, სადაც ფართოდ გავრცელებული მავნე პროგრამა მოიცავდა ანგარიშგების და დოკუმენტების მართვის პროგრამას M.E.Doc. ბოლოდროინდელმა ექსპერტებმა დაადგინეს, რომ თავდამსხმელებმა გამოიყენეს მონაცემთა ამოწურვის მეთოდი და, როგორც უკრაინის კიბერპოლიცია იუწყება, თუ სისტემა ხშირად ინფიცირდება, ფაილების განახლების შანსი არ არის.

როგორ მუშაობს პეტია

როდესაც ვირუსი ართმევს ადმინისტრატორის უფლებებს, გამომძიებლები ხედავენ მისი შემოდინების სამ მთავარ სცენარს:

  • კომპიუტერი ინფიცირებულია და დაშიფრულია, სისტემა მთლიანად დაზიანებულია. მონაცემების განახლებისთვის დაგჭირდებათ პირადი გასაღები და ეკრანზე გამოჩნდება შეტყობინება იმის შესახებ, თუ რისი გადახდა შეგიძლიათ (თუ გსურთ).
  • კომპიუტერული ინფექციები და ხშირი დაშიფვრა - სისტემამ დაიწყო ფაილების დაშიფვრა, მაგრამ არ იყო დაკავშირებული საცავთან ან სხვა გზით, პროცესი შეფერხდა.
  • კომპიუტერი ინფიცირებულია, მაგრამ MFT ცხრილის დაშიფვრის პროცესი ჯერ არ დაწყებულა.

ჯერ კიდევ არ არსებობს მონაცემების გაშიფვრის რეალური გზა. ამ ძიებას აწარმოებენ კიბერპოლიცია და IT კომპანიები, ასევე ორიგინალური პეტიას ვირუსის შემქმნელი(გაძლევთ საშუალებას განაახლოთ სისტემა დამატებითი გასაღებით). მიუხედავად იმისა, რომ MFT ფაილების სათაური ცხრილი ნაწილობრივ დაზიანებულია ან საერთოდ არ არის დაზიანებული, ჯერ კიდევ არ არის იმის შანსი, რომ უარი თქვან ფაილებზე წვდომაზე.

კიბერპოლიციამ დაასახელა შეცვლილი პეტიას ვირუსის მოქმედების ორი ძირითადი ეტაპი:

პირველი: ადმინისტრატორის პრივილეგირებული უფლებების გაუქმება (თუ Active Directory გამორთულია, ისინი გამორთულია). თავდაპირველად, ვირუსი ინახავს თავდაპირველ დაცულ სექტორს MBR ოპერაციული სისტემისთვის ბიტი XOR ოპერაციის დაშიფრული ფორმით (xor 0x7), რის შემდეგაც ის წერს საკუთარ დაცულ სექტორს ამ ადგილას. ტროას კოდის კიდევ ერთი ნაწილი იწერება დისკის პირველ სექტორებში. ამ ეტაპზე იქმნება ტექსტური ფაილი დაშიფვრის შესახებ, მაგრამ მონაცემები ჯერ არ არის დაშიფრული.

მონაცემთა დაშიფვრის კიდევ ერთი ეტაპი იწყება სისტემის ხელახალი დაშიფვრის შემდეგ. პეტია ბოლომდე მიდის კონფიგურაციის სექტორში, რომელიც შეიცავს გაფრთხილებას, რომ მონაცემები არ არის დაშიფრული. დაშიფვრის პროცესის დაწყების შემდეგ ეკრანზე გამოჩნდება პროგრამა Check Disk. თუ უკვე მუშაობთ, ჩართეთ მეხსიერება და შეეცადეთ სწრაფად განაახლოთ მონაცემები შესაბამისი მეთოდით.

რა იმღეროს

დასაწყებად, თქვენ უნდა მიიზიდოთ სამონტაჟო დისკიფანჯრები. როდესაც ხედავთ ცხრილს სექციებით მყარი დისკი(ან SSD), შეგიძლიათ დაიწყოთ MBR სარეზერვო სექტორის განახლების პროცედურა. შემდეგ თქვენ უნდა შეამოწმოთ დისკი ინფიცირებული ფაილებისთვის. დღეს პეტია ცნობს ყველა პოპულარულ ანტივირუსს.

თუ დაშიფვრის პროცესი დაწყებულია, მაგრამ მომხმარებელმა შეწყვიტა იგი, ოპერაციული სისტემის დაზიანების შემდეგ აუცილებელია დაშიფრული ფაილების განახლებისთვის პროგრამული უზრუნველყოფის სწრაფი გამოყენება (R-Studio და სხვა). საჭირო იქნება მონაცემების შენახვა გარე მოწყობილობაზე და სისტემის გადატვირთვა.

როგორ განაახლოთ თქვენი ამაოება

Windows XP OS-სთვის:

Windows XP-ის საინსტალაციო დისკის ჩასმის შემდეგ ოპერატიული მეხსიერებაკომპიუტერი გამოჩნდება დიალოგურ ფანჯარაში " ვინდოუსის ინსტალაცია XP Professional" შერჩევის მენიუდან, თქვენ უნდა აირჩიოთ პუნქტი "Windows XP განახლებისთვის დამატებითი განახლების კონსოლის გამოყენებით, დააჭირეთ R". დააჭირეთ ღილაკს "R".

აღფრთოვანდით განახლებული კონსოლით.

თუ კომპიუტერზე მხოლოდ ერთი OS არის დაინსტალირებული და ის (შესაძლოა) დაინსტალირებულია C დისკზე, თქვენ მიიღებთ შემდეგ ინფორმაციას:

"1: C:\WINDOWS Windows-ის რომელ ასლს აქვს შესვლის კვალი?"

შეიყვანეთ ნომერი "1" და დააჭირეთ "Enter" ღილაკს.

გამოჩნდება შეტყობინება: "შეიყვანეთ ადმინისტრატორის პაროლი". შეიყვანეთ პაროლი, დააჭირეთ ღილაკს "Enter" (თუ პაროლი არ არის, უბრალოდ დააჭირეთ "Enter").

გთხოვთ შეიყვანოთ: C:\WINDOWS>, შეიყვანეთ fixmbr

შემდეგ გამოჩნდება განცხადება: "ADVANCED".

„ადასტურებთ თუ არა ახალი MBR-ის ჩაწერას?“, დააჭირეთ ღილაკს „Y“.

ჩნდება შეტყობინება: "ახალი სათავე სექტორი იქმნება ფიზიკურ დისკზე \Device\Harddisk0\Partition0".

Windows Vista-სთვის:

აღფრთოვანებული იყავით Windows Vista-ით. აირჩიეთ თქვენი ენა და კლავიატურის განლაგება. საწყის ეკრანზე დააწკაპუნეთ „შექმენით თქვენი კომპიუტერის ეფექტურობის ინოვაცია“. Windows Vista არედაქტირებს კომპიუტერის მენიუს.

აირჩიეთ ოპერაციული სისტემა და დააჭირეთ ღილაკს "შემდეგი". როდესაც გამოჩნდება "სისტემის განახლების პარამეტრები" ფანჯარა, დააწკაპუნეთ ბრძანების სტრიქონზე. როდესაც ბრძანების ხაზი გამოჩნდება, შეიყვანეთ ეს ბრძანება:

bootrec/FixMbr

შეამოწმეთ ოპერაციის დასრულება. თუ ყველაფერი კარგად წავიდა, ეკრანზე გამოჩნდება დამადასტურებელი შეტყობინება.

Windows 7-ისთვის:

გაუშვით Windows 7. აირჩიეთ თქვენი ენა, კლავიატურის განლაგება და დააჭირეთ ღილაკს „შემდეგი“.

აირჩიეთ ოპერაციული სისტემა და დააჭირეთ ღილაკს "შემდეგი". ოპერაციული სისტემის არჩევისას, გთხოვთ, შეამოწმოთ „გადახედეთ განახლების ხელსაწყოებს, რომლებიც დაგეხმარებათ პრობლემების მოგვარებაში Windows-ის გაშვება».

"სისტემის განახლების პარამეტრები" ეკრანზე დააწკაპუნეთ ღილაკზე "Command Row". თუ ბრძანების სტრიქონი წარმატებით არის ნაჩვენები, შეიყვანეთ ბრძანება:

bootrec/fixmbr

Windows 8-ისთვის:

წარმოგიდგინეთ Windows 8. „კონფიდენციალურობის“ ეკრანზე დააჭირეთ ღილაკს „განახლეთ თქვენი კომპიუტერი“.

აირჩიეთ "გაუმართაობის მოგვარება". აირჩიეთ ბრძანების ხაზი, თუ გაინტერესებთ, შეიყვანეთ:

bootrec/FixMbr

დააჭირეთ ღილაკს "Enter" და გადატვირთეთ კომპიუტერი.

Windows 10-ისთვის:

განაახლეთ Windows 10. მთავარ ეკრანზე დააჭირეთ ღილაკს „განახლეთ თქვენი კომპიუტერი“ და აირჩიეთ „პრობლემების მოგვარება“.

აირჩიეთ ბრძანების სტრიქონი. როდესაც ხედავთ ბრძანების ხაზს, შეიყვანეთ ბრძანება:

bootrec/FixMbr

შეამოწმეთ ოპერაციის დასრულებამდე. თუ ყველაფერი კარგად წავიდა, ეკრანზე გამოჩნდება დამადასტურებელი შეტყობინება.

დააჭირეთ ღილაკს "Enter" და გადატვირთეთ კომპიუტერი.

პეტიას ვირუსი არის სწრაფად მზარდი ვირუსი, რომელმაც 2017 წლის 27 ივნისს დააინფიცირა უკრაინის თითქმის ყველა მსხვილი საწარმო. Petya ვირუსი შიფრავს თქვენს ფაილებს და შემდეგ იხდის მათ ფულს.

ახალი ვირუსი აინფიცირებს კომპიუტერის მყარ დისკს და მოქმედებს როგორც ფაილების დაშიფვრის ვირუსი. მეშვეობით სიმღერის საათი Petya ვირუსი "ჭამს" ფაილებს თქვენს კომპიუტერში და ისინი დაშიფრული ხდება (როგორც თქვენ დაარქივებთ ფაილებს და დააყენებთ მნიშვნელოვან პაროლს)
ფაილები, რომლებზეც დაზარალდა Petya დაშიფვრის ვირუსი, ვეღარ აღდგება (რაოდენობა თქვენ აღადგენთ მათ, მაგრამ თუნდაც მცირე)
ალგორითმი, რომელიც განაახლებს პეტიას ვირუსის მსხვერპლთა ფაილებს - НІ
ამ მოკლე და მაქსიმუმ სასარგებლო სტატიისთვის შეგიძლიათ დაიცვათ თავი #virusPetya-სგან

როგორ მივუთითოთ Petya ან WannaCry ვირუსი და არ დაინფიცირდეთ ვირუსით

თუ თქვენ გაქვთ წვდომა ფაილზე ინტერნეტის საშუალებით, შეამოწმეთ იგი ონლაინ ანტივირუსით. ონლაინ ანტივირუსებს შეუძლიათ მოგვიანებით აღმოაჩინონ ვირუსი ფაილში და თავიდან აიცილონ ინფიცირება Petya ვირუსით. ყველაფერი რაც თქვენ უნდა გააკეთოთ არის დაათვალიეროთ დანართების ფაილი VirusTotal-ის გამოყენებით და შემდეგ გაუშვათ იგი. თუ თქვენ შეიძინეთ PETYA VIRUS, მაგრამ არ გაუშვით ვირუსის ფაილი, ვირუსი არ არის აქტიური და არ იწვევს რაიმე მავნე პროგრამას. მხოლოდ იმ შემთხვევაში, თუ თქვენ გაუშვით დაზიანებული ფაილი და გაუშვით ვირუსი, გახსოვდეთ ეს

ვიკორისტანას აქვს ამ მეთოდის რაღაცა, რაც გაძლევთ ყველა შანსს, არ დაინფიცირდეთ პეტიას ვირუსით
პეტიას ვირუსი ასე გამოიყურება:

როგორ დავიცვათ თავი პეტიას ვირუსისგან

კომპანია Symantecმე მივიღე გადაწყვეტილება, რომელიც ჩემს თავს უფლებას აძლევს დავიცვა პეტიას ვირუსისგან, ისე, რომ თქვენ უკვე დაადგინეთ იგი.
Petya ვირუსი, როდესაც ის მოხვდება კომპიუტერში, ქმნის ვირუსს საქაღალდეში C:\Windows\perfcფაილი perfcან კიდევ perfc.dll
იმისათვის, რომ ვირუსმა იფიქროს, რომ უკვე დამკვიდრდა და არ გააგრძელა თავისი საქმიანობა, შექმენით საქაღალდე C:\Windows\perfcფაილი ცარიელი სივრცით და შეინახეთ შეცვლის რეჟიმის დაყენებით „მხოლოდ კითხვაზე“
ან გადმოწერეთ virus-petya-perfc.zip და გახსენით საქაღალდე perfcსაქაღალდეში C:\Windows\და დააყენეთ შეცვლის რეჟიმი „მხოლოდ კითხვაზე“
Vantage virus-petya-perfc.zip



განახლებულია 29/06/2017
ასევე გირჩევთ, რომ შეურაცხმყოფელი ფაილები უბრალოდ შეიყვანოთ Windows საქაღალდე. Richly Dzherel წერენ, scho ფაილი perfcან კიდევ perfc.dllრომის პაპმა დამნაშავედ სცნო C:\Windows\

რა Robiti Yakshko კომპიუტერი უკვე დაინფიცირდა პეტიას ვირუსით

არ გამოიყენოთ კომპიუტერი, რომელმაც უკვე დაგაინფიცირათ პეტიას ვირუსი. Petya ვირუსი მუშაობს ისე, რომ სანამ ის აინფიცირებს კომპიუტერს, ის შიფრავს ფაილებს. სანამ თქვენი კომპიუტერი დაინფიცირებულია Petya ვირუსით, ახალი და ახალი ფაილები იქნება ინფიცირებული და დაშიფრული.
ვინჩესტერი ამ კომპიუტერსგთხოვთ გადაამოწმოთ. შეგიძლიათ შეამოწმოთ LIVECD ან LIVEUSB ანტივირუსით
ახალი ფლეშ დრაივი Kaspersky Rescue Disk 10-ით
Dr.Web LiveDisk ფლეშ დრაივი

ვინ არის ვარდი ყველგან ვირუსი პეტია მთელი უკრაინისთვის

Microsoft-მა დაადგინა თავისი ყურადღება უკრაინის მსხვილ კომპანიებში ინფიცირების გლობალურ მაჩვენებელზე. მიზეზი M.E.Doc პროგრამის განახლება გახდა. M.E.Doc არის პოპულარული საბუღალტრო პროგრამა, რის გამოც კომპანიის ასეთი დიდი შეცდომაა, რადგან ვირუსი დაიკარგა განახლებაში და Petya ვირუსი დაინსტალირდა ათასობით კომპიუტერზე, რომლებზეც დაინსტალირებული იყო M.E.Doc პროგრამა. ასე რომ, როგორც ვირუსი აინფიცირებს კომპიუტერებს, ის სწრაფად ფართოვდება.
#: პეტიას ვირუსი უტევს ანდროიდს, პეტიას ვირუსი, როგორ ამოვიცნოთ და ამოიღოთ პეტია ვირუსი, პეტიას ვირუსი როგორ განკურნოთ, M.E.Doc, Microsoft, შექმენით პეტიას ვირუსის საქაღალდე

რამდენიმე თვის წინ ჩვენმა IT უსაფრთხოების ბუღალტერებმა აღმოაჩინეს ახალი პრობლემა - პეტია (Win32.Trojan-Ransom.Petya.A). კლასიკურ ბოროტ ვირუსში, ის არ არის დაშიფვრა, ვირუსი უბრალოდ ბლოკავს წვდომას გარკვეული ტიპის ფაილებზე და ამოიღებს გამოსასყიდს. ვირუსმა შეცვალა დაზიანებული ჩანაწერი მყარ დისკზე, ავტომატურად ხელახლა დაიცვა კომპიუტერი და აჩვენა შეტყობინება იმის შესახებ, რომ „მონაცემები დაშიფრულია - თქვენი ფული დაიხარჯება გაშიფვრაზე“. ეს არის სტანდარტული სქემა ვირუსების დაშიფვრისთვის, სიფრთხილით, რომ ფაილები რეალურად არ არის დაშიფრული. ყველაზე პოპულარული ანტივირუსებიჩვენ დავიწყეთ Win32.Trojan-Ransom.Petya.A იდენტიფიცირება და წაშლა მისი გამოჩენიდან რამდენიმე წლის შემდეგ. გარდა ამისა, ინსტრუქციები ხელით ხედვა. რატომ გვაინტერესებს, რომ პეტია არ არის კლასიკური შიფრატორი? ეს ვირუსი ცვლის ძირითადი ჩატვირთვის ჩანაწერს და ცვლის ინფიცირებულ ოპერაციულ სისტემას, ასევე დაშიფვრავს Master File Table-ს. VIN არ შიფრავს თავად ფაილებს.

თუმცა, ბოლო წლებში ვირუსი უფრო დახვეწილი გახდა მიშა, ამ თხზულებებით ვიმსჯელებთ თვით ამ შაჰრეების მიერ. ეს ვირუსი შიფრავს ფაილებს და მოგთხოვთ გადაიხადოთ $500 - $875 გაშიფვრისთვის (in სხვადასხვა ვერსიები 1.5 - 1.8 ბიტკოინი). „გაშიფვრის“ და მასზე გადახდის ინსტრუქციები ინახება ფაილებში YOUR_FILES_ARE_ENCRYPTED.HTML და YOUR_FILES_ARE_ENCRYPTED.TXT.

Virus Mischa - ფაილის ნაცვლად YOUR_FILES_ARE_ENCRYPTED.HTML

ახლა, ფაქტობრივად, ჰაკერები აინფიცირებენ ორი ყველაზე ბოროტი ადამიანის კომპიუტერებს: პეტიას და მიშას. პირველ ადამიანს სჭირდება ადმინისტრატორის უფლებები სისტემაში. თუ მომხმარებელს სავარაუდოდ აქვს პეტიას ადმინისტრატორის უფლებები, ან თუ მან ხელით ნახა ეს მავნე პროგრამა, Mischa ჩაერთვება უფლებაში. ეს ვირუსი არ საჭიროებს ადმინისტრატორის უფლებებს, არის კლასიკური დაშიფვრის ინსტრუმენტი და ეფექტურად შიფრავს ფაილებს ძლიერი AES ალგორითმის გამოყენებით და არ ახდენს რაიმე ცვლილებას Master Boot Record-ში ან მსხვერპლის მყარ დისკზე არსებული ფაილების ცხრილში.

უბედური მიშა შიფრავს არა მხოლოდ სტანდარტული ფაილის ტიპებს (ვიდეოები, სურათები, პრეზენტაციები, დოკუმენტები), არამედ .exe ფაილებსაც. ვირუსი არ ინახავს მხოლოდ \Windows\$Recycle.Bin,\Microsoft\ დირექტორიებს Mozilla Firefox,\ოპერა,\ Internet Explorer,\Temp,\Local,\LocalLow i\Chrome.

მნიშვნელოვანია, რომ დაინფიცირდეს გზით ელ, სად მივიღოთ ფურცელი თანდართული ფაილიდან - ვირუსის ინსტალერი. ეს შეიძლება დაშიფრული იყოს წარდგენის ფურცლის ქვეშ, თქვენი ბუღალტრისგან, როგორც დეპონირებული ქვითრები და შესყიდვების ქვითრები და ა.შ. ყურადღება მიაქციეთ ფაილის გაფართოებებს ასეთ ფურცლებში - თუ ეს არის საბოლოო ფაილი (.exe), მაშინ დიდი დარწმუნებით შეიძლება იყოს კონტეინერი Petya\Mischa ვირუსით. და თუ მავნე პროგრამის მოდიფიკაცია ახალია, თქვენი ანტივირუსი შეიძლება არ უპასუხოს.

განახლებულია 06/30/2017:პეტიას ვირუსის 27 ჭიის მოდიფიკაცია (Petya.A)მასიურად უტევს კორისტუვაჩებს უკრაინაში. ამ შეტევის ეფექტი ბოლომდე კოლოსალური და ეკონომიური იქნება. ერთ დღეში ათობით ბანკის, სავაჭრო საზღვრების, სამთავრობო დაწესებულებებისა და ხელისუფლების სხვადასხვა ფორმის საწარმოების მუშაობა პარალიზებული იყო. ვირუსი მნიშვნელოვნად გავრცელდა უკრაინის მიწოდების სისტემაში გაჟონვის შედეგად საბუღალტრო ინფორმაცია MeDoc დანარჩენთან ერთად ავტომატური განახლებებიამ PZ-ს. გარდა ამისა, ვირუსი შეეხო ისეთ ქვეყნებს, როგორიცაა რუსეთი, ესპანეთი, დიდი ბრიტანეთი, საფრანგეთი, ლიტვა.

ამოიღეთ პეტია და მიშა ვირუსი ავტომატური გამწმენდის გამოყენებით

ინკლუზიური ეფექტური მეთოდირობოტებმა დაიწყეს მუშაობა იაფი პროგრამული უზრუნველყოფით და პროგრამულ უზრუნველყოფაზე დაფუძნებული პროგრამული უზრუნველყოფით. ვიკორისტანმა, რომელმაც დაამტკიცა, რომ ქიმიური კომპლექსია, გარანტიას იძლევა ნებისმიერი ვირუსული კომპონენტის გამოვლენის საიმედოობას, მათ შორის გარე ხედიუბრალოდ დააწკაპუნეთ ჩემზე. გთხოვთ გაითვალისწინოთ, რომ ჩვენ ვსაუბრობთ ორ ცალკეულ პროცესზე: ინფექციის დეინსტალაცია და ფაილების განახლება თქვენს კომპიუტერში. პროტე, საფრთხე, გიჟურად, კვლავაც ჩანს და ასევე არის ცნობები მისი დახმარებით სხვა კომპიუტერული ტროიანების დანერგვის შესახებ.

  1. . პროგრამის დაწყების შემდეგ დააჭირეთ ღილაკს დაიწყეთ კომპიუტერის სკანირება(დაიწყეთ სკანირება).
  2. დაინსტალირებული პროგრამული უზრუნველყოფა ჟღერს სკანირების დროს აღმოჩენილი საფრთხეების საფუძველზე. ყველა ცნობილი საფრთხის სანახავად აირჩიეთ ვარიანტი Საფრთხეების აღმოფხვრა(უსუნუთი იმუქრებიან). ცუდად გამოიყურება, როცა გარედან ჩანს.

განაახლეთ წვდომა დაშიფრულ ფაილებზე

Yak Bulo Vidno, vimagach mischi ბლოკავს ფაილებს Herbalonnie-ის ალგორითმის წინასწარი დასასრულისთვის, ასე რომ hesdovani diligo შესაძლებელია ტალღის ტალღით - იაკშჩო არ ძმაა პატივი სცეს არაცერემონიულ სუმი ვიკუს (ილნოდი 1000 დოლარს აღწევს). ყველა ეს მეთოდი შეიძლება ეფექტურად იქცეს ჯადოსნურ ჯოხად, რომელიც დაგეხმარებათ მნიშვნელოვანი მონაცემების განახლებაში. ქვემოთ შეგიძლიათ გაეცნოთ მათ.

პროგრამა ავტომატური განახლებაფაილები (დეშიფრატორი)

როგორც ჩანს, ავეჯეულობა უჩვეულოა. ეს ინფექცია შლის გამომავალ ფაილებს დაშიფრული ფორმით. დაშიფვრის პროცესი მათ ასლზე სამიზნეების დაშინების მეთოდის გამოყენებით. ეს საშუალებას აძლევს ასეთებს პროგრამული მახასიათებლებიროგორ აღვადგინოთ წაშლილი ობიექტები, მათი საიმედოობა გარანტირებულია. მკაცრად რეკომენდებულია ფაილის განახლების პროცედურის გავლა, სანამ მისი ეფექტურობა საეჭვო იქნება.

ტომების მუქი ასლები

მიდგომა ეფუძნება Windows-ის პროცედურას ფაილების სარეზერვო ასლისთვის, რომელიც მეორდება განახლების ყოველ ეტაპზე. ამ მეთოდის საფუძველი მნიშვნელოვანია: "სისტემის განახლების" ფუნქცია უნდა იყოს გააქტიურებული ინფექციის მომენტამდე. განახლების წერტილის შემდეგ ფაილში შეტანილი ნებისმიერი ცვლილება არ აისახება ფაილის განახლებულ ვერსიაში.

სარეზერვო ასლი

ეს არის ყველაზე მოკლე ყველა მეთოდს შორის, რომელიც არ არის დაკავშირებული მეთოდების მთელ სპექტრთან. მას შემდეგ, რაც გარე სერვერზე მონაცემების სარეზერვო ასლის შექმნის პროცედურა გაყინული იყო თქვენს კომპიუტერზე თავდასხმამდე, დაშიფრული ფაილების განახლებისთვის თქვენ უბრალოდ უნდა შეხვიდეთ შესვლის ინტერფეისზე, შეარჩიოთ საჭირო ფაილები და გაუშვათ რეზერვიდან მონაცემების განახლების მექანიზმი. ოპერაციის შესრულებამდე აუცილებელია დარწმუნდეთ, რომ დაზიანება დადასტურებულია.

შეამოწმეთ Petya და Mischa აპარატის ჭარბი კომპონენტების შესაძლო არსებობა

ხელით რეჟიმში გაწმენდამ შეიძლება გამოიწვიოს ოპერაციული სისტემის პროგრამული უზრუნველყოფის მრავალი ფრაგმენტის გამოტოვება, რომელიც შეიძლება დაიკარგოს ოპერაციული სისტემის ფარული ობიექტების ან რეესტრის ელემენტებში. ბევრი არასასურველი ნივთის პირადი შენახვის რისკის გამორთვისთვის, დაასკანირეთ თქვენი კომპიუტერი საიმედო გადაწყვეტისთვის პროგრამული კომპლექსი, რომელიც სპეციალიზირებულია პროგრამულ სურათებში.

სულ რამდენიმე დღის წინ ჩვენს რესურსზე გამოჩნდა სტატია იმის შესახებ, თუ როგორ დაიცვათ თავი ვირუსისა და მისი ჯიშებისგან. ამ ინსტრუქციებში ჩვენ განვიხილავთ ყველაზე ცუდ ვარიანტს - თქვენი კომპიუტერი ინფიცირებულია. ბუნებრივია, კანის გაწმენდის შემდეგ პაციენტს მოუწოდებენ განაახლოს თავისი მონაცემები და პირადი ინფორმაცია. ეს სტატია გიამბობთ მონაცემთა განახლების ყველაზე მოსახერხებელ და ეფექტურ გზებზე. Varto vrahuvat, რომელიც შორს არის სამუდამოდ შესაძლებელი, ჩვენ მას არანაირ გარანტიას არ მივცემთ.

ჩვენ განვიხილავთ სამ მთავარ სცენარს, რამაც შეიძლება გამოიწვიოს:
1. კომპიუტერი ინფიცირებულია Petya.A ვირუსით (ან მისი სხვა ტიპებით) და დაშიფრულია, სისტემა მთლიანად დაბლოკილია. მონაცემების განახლებისთვის უნდა შეიყვანოთ სპეციალური გასაღები, რისთვისაც უნდა გადაიხადოთ. მნიშვნელოვანია იმის თქმა, რომ გადაიხდით, მაგრამ არ დაბლოკავთ და არ მოგცემთ წვდომას თქვენს პერსონალურ კომპიუტერზე.

2. ეს პარამეტრი გაძლევს მეტ ვარიანტს შემდგომი ქმედებები- თქვენი კომპიუტერი ინფიცირებულია და ვირუსმა დაიწყო თქვენი მონაცემების დაშიფვრა, მაგრამ დაშიფვრა ვერ მოხერხდა (მაგალითად, სიცოცხლის კავშირები).

3. დარჩენილი ვარიანტი ყველაზე ხელსაყრელია. თქვენი კომპიუტერი ინფიცირებულია, მაგრამ ფაილური სისტემის დაშიფვრა ჯერ არ დაწყებულა.

თუ თქვენ გაქვთ სიტუაცია ნომერი 1, მაშინ თქვენი ყველა მონაცემი დაშიფრულია, მაშინ ამ ეტაპზე არის ყოველდღიური მოქმედება ბუღალტერების ინფორმაციის განახლებისთვის. სავსებით დარწმუნებულია, რომ რამდენიმე დღეში ან მეტ დღეში სხვა გზებიც გამოჩნდება, მაგრამ მანამდე ინფორმაციისა და კომპიუტერული უსაფრთხოების სფეროში მცოდნე ფაქივისტები თავებს იჭრიან.

თუ დაშიფვრის პროცესი არ დაწყებულა ან დასრულებულია სრული კომუნიკაციით, მაშინ აუცილებელია მისი შეწყვეტა (დაშიფვრა ნაჩვენებია როგორც სისტემური პროცესიშეამოწმეთ დისკი). თუ გადაწყვეტთ ოპერაციულ სისტემაში შეჭრას, მაშინ დროა დააინსტალიროთ რაიმე სახის ანტივირუსი (ამჟამად ყველა მათგანი აღიარებს პეტიას და შეასრულებს ყველა დისკის ახალ სკანირებას. თუ Windows არ დაირღვეს, მაშინ ინფიცირებული აპარატის მფლობელი სწრაფად უნდა გამოიყენოს სისტემის დისკები ან ფლეშ დრაივები MBR-ის ავანგარდული სექტორის განახლებისთვის.

განახლებული გაჯეტი Windows XP-ზე

Windows XP ოპერაციული სისტემით სისტემის დისკის დაინსტალირების შემდეგ, თქვენ წარმოგიდგენთ ვარიანტებს. "Install Windows XP Professional" ფანჯარაში აირჩიეთ პუნქტი "Windows XP განახლებისთვის დამატებითი განახლების კონსოლის გამოყენებით, დააჭირეთ R". რაც ლოგიკურია, კლავიატურაზე R უნდა დააჭიროთ. კონსოლი მოგთხოვთ განაახლოთ განყოფილება და ინფორმაცია:

"" 1: C:\WINDOWS Windows-ის რომელ ასლს აქვს შესვლის კვალი? ""


თუ თქვენ გაქვთ დაყენებული ვინდოუსის ვერსია XP, შემდეგ კლავიატურიდან შეიყვანეთ „1“ და დააჭირეთ Enter. თუ თქვენ გაქვთ მრავალი სისტემა, თქვენ უნდა აირჩიოთ ის, რაც გჭირდებათ. თქვენ მიიღებთ ინფორმაციას ადმინისტრატორის პაროლის შეყვანით. თუ პაროლი მოქმედია, უბრალოდ დააჭირეთ Enter-ს და ველი ცარიელი დატოვეთ. ამის შემდეგ ეკრანზე გამოჩნდება ხაზი, რომ შეიყვანოთ სიტყვა " fixmbr"

სირცხვილია ასე გამოჩენა: „დაპრესილი! ადასტურებთ ახალი MBR-ის ჩანაწერს? ", დააჭირეთ კლავიატურაზე "Y" ღილაკს.
ჩნდება დადასტურება: "ახალი სათავე სექტორი იქმნება ფიზიკურ დისკზე..."
"წარმატებული შემოქმედების ახალი მთავარი ინოვაციური განყოფილება."

განახლებული გაჯეტი Windows Vista-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows Vista ოპერაციული სისტემით. შემდეგ თქვენ უნდა აირჩიოთ სტრიქონი "ინოვაციური თქვენი კომპიუტერის ეფექტურობა". აირჩიეთ რომელი Windows Vista ოპერაციული სისტემა (თუ გაქვთ) უნდა განახლდეს. როდესაც განახლების პარამეტრები გამოჩნდება, დააწკაპუნეთ ბრძანების სტრიქონზე. ბრძანების სტრიქონში შეიყვანეთ ბრძანება " bootrec/FixMbr".

განახლებული გაჯეტი Windows 7-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 7 ოპერაციული სისტემით. აირჩიეთ რომელი ოპერაციული სისტემა თავად Windows 7 (თუ გაქვთ) საჭიროებს განახლებას. აირჩიეთ პუნქტი "შეამოწმეთ განახლების ხელსაწყოები, რომლებიც დაგეხმარებათ Windows-ის დაწყების პრობლემებში." შემდეგი, აირჩიეთ "Command Row". ბრძანების სტრიქონის არჩევის შემდეგ, შეიყვანეთ " bootrec/fixmbr

განახლებული გაჯეტი Windows 8-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 8 ოპერაციული სისტემით. მთავარი ეკრანიდან ქვედა მარცხენა კუთხეში აირჩიეთ პუნქტი „განახლეთ თქვენი კომპიუტერი“. აირჩიეთ "გაუმართაობის მოგვარება". აირჩიეთ ბრძანების ხაზი, თუ გაინტერესებთ, შეიყვანეთ: "Bootrec/FixMbr"

განახლებული გაჯეტი Windows 10-ზე

ჩადეთ დისკი ან ფლეშ დრაივი Windows 10 ოპერაციული სისტემით. მთავარი ეკრანიდან ქვედა მარცხენა კუთხეში აირჩიეთ პუნქტი „განახლეთ თქვენი კომპიუტერი“. აირჩიეთ "გაუმართაობის მოგვარება". აირჩიეთ ბრძანების ხაზი, თუ გაინტერესებთ, შეიყვანეთ: "Bootrec/FixMbr"თუ ყველაფერი კარგად წავიდა, მიიღებთ დამატებით ინფორმაციას და კომპიუტერის გადატვირთვით დაკარგავთ ყველაფერს.

(Petya.A) და არაერთი სიამოვნება მისცა.

SBU-ის თანახმად, ოპერაციული სისტემების დაინფიცირება მნიშვნელოვანი იყო უფასო დანამატების (Word დოკუმენტები, PDF ფაილები) ხელმისაწვდომობით, რომლებიც პირდაპირ იგზავნებოდა ელექტრონული ფოსტის მისამართებიმდიდარი კომერციული და სამთავრობო სტრუქტურები.

”შეტევამ, რომლის მთავარი მეთოდი იყო Petya.A ფაილების დაშიფვრის გაფართოება, MS17-010 ძაფის ვიკორიზაცია მოხდა, რის შედეგადაც ინფიცირებულ აპარატზე დაინსტალირებული იყო სკრიპტების ნაკრები, რომელსაც ვიკორისტები იყენებდნენ. გასაშვებად საიდუმლო ფაილების დაშიფვრის საშუალებით“, - თქვა SBU-მ.

ვირუსი უტევს კომპიუტერებს, რომლებიც მუშაობენ Windows OS-ით მომხმარებლის ფაილების დაშიფვრით, რის შემდეგაც თქვენ მიიღებთ შეტყობინებას ფაილების ტრანსფორმაციის შესახებ, ბიტკოინში გაშიფვრის გასაღების გადახდის ოფციით 300 აშშ დოლარის ექვივალენტად, დიახ მათი განბლოკვისთვის.

"სამწუხაროდ, დაშიფრული მონაცემები არ იძლევა გაშიფვრის საშუალებას. მუშაობა გრძელდება დაშიფრული მონაცემების გაშიფვრის შესაძლებლობაზე", - აცხადებენ SBU-ში.

რა უნდა გააკეთოთ ვირუსისგან თავის დასაცავად

1. თუ კომპიუტერი ჩართულია და ნორმალურად მუშაობს და თუ ეჭვი გაქვთ, რომ შეიძლება იყოს ინფექციები, არ ჩართოთ იგი ხელახლა ნებისმიერ დროს (თუ კომპიუტერი უკვე დაზიანებულია, არ ჩართოთ ხელახლა) - ვირუსი გამოიყოფა ხელახლა ჩართვისას ის შიფრავს ყველა ფაილს, რომელიც მდებარეობს კომპიუტერში.

2. შეინახეთ ყველა თქვენი ყველაზე ღირებული ფაილი მანამ, სანამ არ დაუკავშირდებით კომპიუტერს და იდეალურ შემთხვევაში, შექმენით სარეზერვო ასლი ერთდროულად OS-თან ერთად.

3. ფაილის დაშიფვრის იდენტიფიცირებისთვის, თქვენ უნდა შეასრულოთ ყველა ადგილობრივი დავალება და შეამოწმოთ ფაილის არსებობა: C: /Windows/perfc.dat

4. დააინსტალირეთ პატჩი Windows OS-ის ვერსიის მიხედვით.

5. Rollover, ყველასთვის კომპიუტერული სისტემებიდაინსტალირებულია ანტივირუსული უსაფრთხოების პროგრამა, რომელიც გამართულად ფუნქციონირებს და ინახავს ვირუსის ხელმოწერის განახლებულ მონაცემთა ბაზებს. საჭიროების შემთხვევაში დააინსტალირეთ და განაახლეთ ანტივირუსი.

6. ინფიცირების რისკის შესამცირებლად, მნიშვნელოვანია კვალი დადოთ ყველა ელექტრონულ კორესპონდენციაზე და არ დაშიფროთ ან გახსნათ დანართები უცნობი ადამიანებისთვის გაგზავნილ ფურცლებში. როდესაც თქვენ ამოიღებთ ფურცელს მოცემული მისამართიდან, რომელიც საეჭვოა, დაუკავშირდით დისპეჩერს და დაადასტურეთ, რომ ფურცელი გაიგზავნა.

7. ზრობიტი სარეზერვო ასლებიყველა კრიტიკულად მნიშვნელოვანი მონაცემი.

მიაწოდეთ დანიშნული ინფორმაცია სტრუქტურული ერთეულების მუშაკებს, არ დაუშვათ მუშებს იმუშაონ კომპიუტერებთან, რომლებსაც არ აქვთ დაყენებული დანიშნულების პატჩები, მიუხედავად ლოკალურ ან ინტერნეტთან კავშირის ფაქტისა.

ჯერ კიდევ შესაძლებელია სცადოთ წვდომის აღდგენა კომპიუტერზე, რომელიც მუშაობს Windows OS-ით, რომელიც დაბლოკილია კონკრეტული ვირუსით.

მავნე პროგრამას ახლა დაევალა ცვლილებები შეიტანოს MBR ჩანაწერებში, რომლის მეშვეობითაც, ოპერაციული სისტემის შეცვლის ნაცვლად, გამოჩნდება ფანჯარა ფაილის დაშიფვრის შესახებ ტექსტით. ეს პრობლემა ჩნდება MBR ჩანაწერების განახლებისას. რისთვისაც არის სპეციალური კომუნალური საშუალებები. SBU-მ ამ მიზნით გამოიყენა Boot-Repair უტილიტა (გაგზავნის ინსტრუქცია).

ბ). გაუშვით და გადადით, რათა დარწმუნდეთ, რომ ყველა ჩამრთველი ფანჯარაში „არტეფაქტები შეგროვებისთვის“ არის მონიშნული.

გ). "Eset log collect mode" ჩანართში დააყენეთ გამომავალი ორმაგი დისკის კოდი.

დ). დააჭირეთ ღილაკს Zebra.

ე). იპოვნეთ არქივები ჟურნალებით.

თუ თქვენი კომპიუტერი ჩართულია და ჯერ არ გაფუჭდა, გადადით შემდეგ გვერდზე

ნაბიჯი 3 ინფორმაციის შეგროვებისთვის დეკოდერის დაწერაში დასახმარებლად,

პუნქტი 4 სისტემის გაწმენდისთვის.

შემდგომი ანალიზისთვის აუცილებელია MBR-ის შეგროვება უკვე დაზიანებული კომპიუტერიდან (არა დაშიფრული).

შეგიძლიათ გადმოწეროთ შემდეგი ინსტრუქციებისთვის:

ა). ჩამოტვირთეთ ESET SysRescue Live CD ან USB (ვარიანტი აღწერილია მე-3 პუნქტში)

ბ). დაელოდეთ მერჩენდაიზინგის ლიცენზიას

გ). დააჭირეთ CTRL + ALT + T (ტერმინალი გაიხსნება)

დ). ჩაწერეთ ბრძანება "parted -l" ბალიშების გარეშე, რომლის პარამეტრი არის პატარა ასო "L" და დააჭირეთ.

ე). ნახეთ დისკების სია და იდენტიფიცირეთ მტრული კომპიუტერი (მისი ბრალი არის /dev/sda)

ვ). ჩაწერეთ ბრძანება "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" თათების გარეშე, შეცვალეთ "/ dev / sda" თქვენს მიერ მითითებული დისკით წინა ეტაპზე და დააჭირეთ ( შეიქმნება ფაილი / მთავარი / eset / petya.img)

ზ). შეაერთეთ ფლეშ დრაივი და დააკოპირეთ ფაილი /home/eset/petya.img

თ). შეგიძლიათ დააკავშიროთ თქვენი კომპიუტერი.

ასევე ნახეთ - ომელიანი კიბერშეტევებისგან დაცვის შესახებ

ომელიანი კიბერშეტევებისგან დაცვის შესახებ

გამოიწერეთ სიახლეები

თავდაპირველად, დაშიფვრის ვირუსით ინფიცირებული იყო თითქმის 230 000 კომპიუტერი 150-ზე მეტ ქვეყანაში. ამ თავდასხმის მემკვიდრეობას მსხვერპლი არ მოჰყვა, რადგან ახალი ვერსია დაიწყო - პეტიას სახელით. შედეგად ყველაზე მეტი უკრაინელი დაზარალდა. რუსული კომპანიები, და ასევე შეინახეთ იგი.

უკრაინის კიბერ პოლიციამ დაადგინა, რომ ვირუსზე თავდასხმა დაიწყო საბუღალტრო პროგრამული უზრუნველყოფის M.E.Doc განახლების მექანიზმით, რომელიც გამოიყენება შეტანილი ინფორმაციის მომზადებისა და გაგზავნისთვის. ამრიგად, გაირკვა, რომ დაბინძურება არ შემოიფარგლება მხოლოდ ბაშნეფტის, როსნეფტის, ზაპორიჟჟიაობლენერგოს, დნიპროენერგოსა და დნეპერის ელექტროენერგიის ქსელებით. უკრაინაში ვირუსმა შეაღწია უფროს კომპიუტერებში, კიევის მეტროს კომპიუტერებში, საკომუნიკაციო ოპერატორებსა და ჩერნობილის ატომურ ელექტროსადგურში. რუსეთში დაზარალდნენ Mondelez International, Mars და Nivea.

Petya ვირუსი იყენებს EternalBlue დაუცველობას ოპერაციული სისტემაფანჯრები. Symantec-ისა და F-Secure-ის ოფიციალური პირები ადასტურებენ, რომ მიუხედავად იმისა, რომ პეტია შიფრავს მონაცემებს, როგორიცაა WannaCry, მაინც ნაკლებად სავარაუდოა, რომ გადარჩეს, ვიდრე სხვა ტიპის დაშიფვრის ვირუსები. „Petya ვირუსი არის ახალი ტიპის მავნე განზრახვა: ის არა მხოლოდ შიფრავს ფაილებს დისკზე, არამედ ბლოკავს მთელ დისკს, რაც პრაქტიკულად შეუძლებელს ხდის მის აღმოჩენას“, განმარტავს F-Secure. - Zokrema, Vіn შიფრავს სათავე ფაილების ცხრილს MFT.

როგორ შეიძლება ამის პროგნოზირება და როგორ შეიძლება ეს პროცესი წინ წავიდეს?

ვირუსი "პეტია" - როგორ მუშაობს?

პეტიას ვირუსი ასევე ცნობილია სხვა სახელებით: Petya.A, PetrWrap, NotPetya, ExPetr. კომპიუტერში მოხვედრით ის ჩამოტვირთავს დაშიფვრის ხელსაწყოს ინტერნეტიდან და ცდილობს დააინფიციროს მყარი დისკის ნაწილი კომპიუტერის დასაცავად საჭირო მონაცემებით. თუ დააკვირდებით, სისტემა აჩვენებს სიკვდილის ლურჯ ეკრანს (" ლურჯი ეკრანისიკვდილი"). ხელახლა ჩართვის შემდეგ დატოვეთ შეტყობინება ჟორსტკის გარყვნილებადისკი ერთად prohannyam არ ჩართოთ საკვები. ამ გზით, დაშიფვრის ვირუსი საკუთარ თავს ხედავს როგორც სისტემური პროგრამადისკის გადაბრუნებით, ფაილების დაშიფვრით სპეციალური გაფართოებით. პროცესის დასასრულს გამოჩნდება შეტყობინება კომპიუტერის დაბლოკვის შესახებ და ინფორმაცია იმის შესახებ, თუ როგორ უნდა მიიღოთ ციფრული გასაღები მონაცემთა გაშიფვრისთვის. პეტიას ვირუსი ჩვეულებრივ ბიტკოინის საშუალებით გადადის. თუ მსხვერპლს არ აქვს მისი ფაილების სარეზერვო ასლი, ის დგება არჩევანის წინაშე, გადაიხადოს $300 ან დაკარგოს მთელი ინფორმაცია. ზოგიერთი ანალიტიკოსის აზრით, ვირუსი აღარ არის საფრთხის სახე, იმ დროს, როდესაც ის ფართომასშტაბიანი ზიანის მიზეზია.

როგორ გადავლახო პეტია?

ჰაკერებმა გამოავლინეს, რომ Petya ვირუსი ეძებს ლოკალურ ფაილს და, რადგან ეს ფაილი უკვე დისკზეა, ტოვებს დაშიფვრის პროცესს. ეს ნიშნავს, რომ კომპიუტერის მომხმარებლებს შეუძლიათ დაიცვან თავიანთი კომპიუტერი ვირუსის მკვლელისაგან ფაილის შექმნით და მხოლოდ წაკითხვის ფაილად დაყენებით.

მიუხედავად იმისა, რომ ეს ეშმაკური სქემა ხელს უშლის წარმოსახვითი პროცესის დაწყებას, დანიური მეთოდიშეიძლება ჩაითვალოს უფრო "კომპიუტერულ ვაქცინაციად". ამ გზით, კორსტუვაჩევას მოუწევს დამოუკიდებლად შექმნას ფაილი. შეგიძლიათ დაიწყოთ:

  • დასაწყებად, დაგჭირდებათ ფაილის გაფართოებებზე წვდომა. გადადით "საქაღალდის პარამეტრები" ფანჯარაში და არ არის მონიშნული ველი "მიიღეთ გაფართოებები ფაილის ტიპების რეგისტრაციისთვის".
  • გახსენით C:\Windows საქაღალდე და გადადით სანამ არ გახსნით notepad.exe პროგრამას.
  • დააწკაპუნეთ მარცხნივ notepad.exe-ზე, შემდეგ დააჭირეთ Ctrl + C კოპირებისთვის და შემდეგ Ctrl + V ფაილის ჩასასვლელად. თქვენ გააუქმებთ მოთხოვნას და მოგცემთ ფაილის კოპირების უფლებას.
  • დააწკაპუნეთ ღილაკზე „გაგრძელება“ და ფაილი შეიქმნება რვეულის მსგავსად - Copy.exe. დააწკაპუნეთ მაუსის მარცხენა ღილაკით ამ ფაილზე და დააჭირეთ F2 ღილაკს, შემდეგ შეხედეთ ფაილის სახელს Copy.exe და შეიყვანეთ perfc.
  • perfc-ზე ფაილის სახელის შეცვლის შემდეგ დააჭირეთ Enter-ს. დაადასტურეთ სახელის შეცვლა.
  • ახლა, თუ perfc ფაილი შეიქმნა, თქვენ უნდა გახადოთ ის ხელმისაწვდომი მხოლოდ წასაკითხად. ამისათვის დააწკაპუნეთ ფაილზე მარჯვენა ღილაკით და აირჩიეთ "Power".
  • გაიხსნება ფაილის ავტორიტეტების მენიუ. ქვემოთ წაიკითხავთ „ტილკი საკითხავად“. შეამოწმეთ ყუთი.
  • ახლა დააჭირეთ ღილაკს "გაყინვა" და შემდეგ "OK".

უსაფრთხოების ექსპერტებმა უნდა შექმნან ფაილები C:\windows\perfc და შექმნან ფაილები C:\Windows\perfc.dat და C:\Windows\perfc.dll, რათა უკეთ დაიცვან თავი Petya ვირუსისგან. მეტი ფაილებისთვის შეგიძლიათ გაიმეოროთ ზემოთ აღწერილი აღწერა.

როგორც ჩანს, თქვენს კომპიუტერს იპარავენ NotPetya/Petya-დან!

Symantec-ის ექსპერტები კომპიუტერის მომხმარებლებს ურჩევენ თავი აარიდონ ქმედებებს, რამაც შეიძლება გამოიწვიოს ფაილის დაბლოკვა ან ფულის დაკარგვა.

  1. გროშებს ნუ გადაუხდი ბოროტმოქმედს.თუმცა, თუ ფულს გადარიცხავთ მფლობელებს, არ არსებობს გარანტია, რომ შეძლებთ თქვენს ფაილებზე წვდომის აღდგენას. და NotPetya / Petya-სთან ერთად, ეს ძირითადად უაზროა, რადგან დაშიფვრის მიზანია ფულის შეგროვება და არა ფულის მოპარვა.
  2. დარწმუნდით, რომ რეგულარულად ქმნით თქვენი მონაცემების სარეზერვო ასლებს.ამ შემთხვევაში, თუ თქვენი კომპიუტერი გახდება მავნე ვირუსის თავდასხმის სამიზნე, შეგიძლიათ განაახლოთ ნებისმიერი წაშლილი ფაილი.
  3. არ გახსნათ ელ.წერილები საეჭვო მისამართებით.თაღლითები შეეცდებიან მოგატყუონ ინსტალაციის დროს ფასდაკლების პროგრამებიან ისინი შეეცდებიან ამოიღონ მნიშვნელოვანი მონაცემები თავდასხმებისთვის. დარწმუნდით, რომ აცნობეთ თქვენს IT პერსონალს ნებისმიერი პრობლემის შესახებ, რომელიც შეიძლება წარმოიშვას, თუ თქვენ ან თქვენი უსაფრთხოების გუნდი წაშლით საეჭვო ფურცლებს ან შეტყობინებებს.
  4. Vikorist ყველაზე საიმედო უსაფრთხოების პროგრამა.თქვენი ანტივირუსული პროგრამული უზრუნველყოფის განახლება მნიშვნელოვან როლს ასრულებს კომპიუტერების ინფიცირების თავიდან ასაცილებლად. და, რა თქმა უნდა, აუცილებელია ამ სფეროში ცნობილი კომპანიების პროდუქციის ვიკორიზაცია.
  5. შეამოწმეთ სპამის შეტყობინებების სკანირებისა და დაბლოკვის მექანიზმები.შეყვანის ელფოსტა უნდა შემოწმდეს საფრთხეებზე. მნიშვნელოვანია, რომ დაბლოკოთ ნებისმიერი ტიპის შეტყობინებები, რომლებიც შეიცავს შეტყობინებებს ან ტიპურ საკვანძო სიტყვებს ფიშინგისთვის თქვენს ტექსტში.
  6. შეამოწმეთ, რომ დარწმუნდეთ, რომ ყველა პროგრამა განახლებულია.პროგრამული უზრუნველყოფის დაღვრაზე რეგულარული შემოწმება აუცილებელია ინფექციის თავიდან ასაცილებლად.

როგორ შევამოწმოთ ახალი შეტევები?

პეტიას ვირუსი პირველად 2016 წლის გაზაფხულზე გამოჩნდა და მისი ქცევა მაშინვე აღნიშნეს უსაფრთხოების აგენტებმა. ახალმა ვირუსმა პეტიამ 2017 წლის ბოლოს დააინფიცირა კომპიუტერები უკრაინასა და რუსეთში. ნაკლებად სავარაუდოა, რომ ყველაფერი დამთავრდება. „Oschadbank“-ის ხელმძღვანელის სტანისლავ კუზნეცოვის თქმით, მავნე ვირუსებისგან ჰაკერული შეტევები, პეტიას და WannaCry-ის მსგავსი, მეორდება. TASS-თან ინტერვიუში, როდესაც თქვა, რომ ასეთი თავდასხმები აუცილებლად მოხდება, ძნელია იმის თქმა, თუ რა ფორმითა და ფორმატით შეიძლება გამოჩნდნენ ისინი.

მას შემდეგ, რაც ყველა წარსული კიბერშეტევის შემდეგ მათ ჯერ არ გადაუდგამთ მინიმალური ნაბიჯებიც კი, რათა დაიცვან თავიანთი კომპიუტერი დაშიფვრის ვირუსისგან, მაშინ დადგა დრო, რომ ჩვენ დავკავდეთ.

Petya virus - Vikupu გაშიფვრის ინსტრუმენტი

შეტევის დაწყებიდან რამდენიმე წლის შემდეგ, DATARC-მა აღმოაჩინა პირველი შეტევა და ჩვენ გავაანალიზეთ რამდენიმე სერვერის შეტევა. თავის გვირგვინი: є Petya ვირუსის შეტევის დროს მონაცემების განახლების არანულოვანი საიმედოობა- ვირუსი ხშირად არღვევს ფაილურ სისტემას, ვიდრე მონაცემების დაშიფვრას.

ამჟამად, გაანალიზებული ქცევა შეიძლება დაიყოს კატეგორიებად.

შესაძლებელია მონაცემების 100% განახლება

გასაგებია, რომ ვირუსს აქვს პრობლემა - ის არასოდეს ცვლის თავის ალგორითმს, არ შეუძლია მონაცემების დაშიფვრა, არღვევს ავანგარდს. ჩვენ გვქონდა შემდეგი ვარიანტები პრობლემების აღმოსაფხვრელად:

  1. მონაცემები არ არის დაშიფრული, MBR დაზიანებულია
  2. მონაცემები არ არის დაშიფრული, MBR + NTFS ჩამტვირთველი დაზიანებულია
  3. მონაცემები არ არის დაშიფრული, MBR + NTFS ჩამტვირთველი + MFT დაზიანებულია - დისკი მითითებულია როგორც RAW

თქვენ შეგიძლიათ განაახლოთ თქვენი მონაცემები 0%-ზე მეტის დახარჯვით

ამ შემთხვევაში, თუ დაშიფვრა ჩართულია, ზოგიერთი ფაილი შეიძლება დაშიფრული გახდეს. ჩვენ გვქონდა შემდეგი ვარიანტები პრობლემების აღმოსაფხვრელად:

  1. მხოლოდ დისკი C: არის დაშიფრული - სხვა ლოგიკური დისკები მწყობრიდან არ არის
  2. ყველა ფაილი დისკზე C: არ არის დაშიფრული
  3. მხოლოდ MFT ჩანაწერი დაშიფრულია და ფაილი იკარგება ცვლილებების გარეშე.

გაშიფვრა არ მუშაობს ძველ ვერსიაზე

Petya-ს ამჟამინდელი ვერსია არის (დაახლოებით) 2016 წლის შეტევის გაგრძელება (div https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ და https://securelist.com/petya- the-two -in-one-trojan/74609/). ამისთვის ძველი ვერსიაშეიქმნა გაშიფვრის გასაღების არჩევის მეთოდი (div https://github.com/leo-stone/hack-petya). 2017 წლის ვირუსი შეიცვალა და ძველი მეთოდი არ მუშაობს.

მაგალითად, ვირუსის ძველ ვერსიაში MBR იყო შენახული 55 სექტორში და „დაშიფრული“ XOR 0x37-ით. IN ახალი ვერსიები MBR შენახულია სექტორში 34 და "დაშიფრულია" XOR 0x07-ით.

MBR დაშიფვრა:

MBR გაშიფვრა:

პეტიას ვირუსი - MBR გაშიფვრის შემდეგ

როგორია კომპიუტერული ინფექციების შიში?

© 2021 მობილური და კომპიუტერული გაჯეტები