Инструкция по удалению вируса Petya. Как расшифровать файлы .Petya

Если вы только что заметили сообщение с требованием выкупа от вируса Petya, то вам следует немедленно отключить компьютер и извлечь жесткий диск. На момент появления сообщения на экране, процесс шифрования находится в самом начале, так что вы сможете спасти большую часть файлов.

 

 

Впервые вирус Petya был обнаружен в 2016 году, и на короткое время стал главной «страшилкой» в среде вирусов-вымогателей. Однако, через несколько недель после появления вируса, некий пользователь Твиттера под никнеймом Leostone создал алгоритм, позволяющий расшифровать файлы, зашифрованные Petya, а точнее, узнать ключ шифрования. Сам по себе метод был довольно сложным и трудозатратным для неподготовленного пользователя: для того чтобы получить свои данные нужно было извлечь жесткий диск из зараженного ПК и подключить его к другому устройству, извлечь определенные файлы, зашифровать их с помощью указанного алгоритма и загрузить на сайт. Выполнив все перечисленные операции, в течение минуты жертва получала ключи от шифрования. Вскоре после этого, другой исследователь, Fabian Wosar, предоставил более простой способ расшифровки, который требовал лишь извлечения жесткого диска и подключения его к другому рабочему компьютеру, на который необходимо было установить специальную программу. Благодаря усилиям этих двух исследователей волна распространения Petya была остановлена в первый раз.

 

 

 

После этого вирус Petya появлялся под различными именами, такими как GoldenEye, Mischa, PetrWrap, Mamba и другими. Некоторые из них были явными клонами Petya, а некоторые лишь имитировали его сообщения, используя совсем другие модели поведения. Недавно, в конце июня 2017 года Petya снова появился на просторах Интернета, заявив о себе путём масштабного заражения компьютеров обычных пользователей, а также представителей малого, среднего и крупного бизнеса в Европе. Больше всего от атаки пострадали такие страны как Украина, Россия, Германия, Англия, Голландия, Дания и Испания. На этот раз, вирус не пользовался традиционными способами распространения, а использовал уязвимость ETERNALBLUE, ту же самую, которую использовал вирус WanaCry несколькими месяцами ранее. Самое интересное в том, что Petya заразил тысячи пользователей и сетей в тех странах, которые больше всего пострадали от вируса WanaCry. Даже после такой серьезной угрозы пользователям просто было лень скачать обновление MS17-010 с официального сайта Microsoft, и навсегда обезопасить свой компьютер от атак с использованием данной уязвимости. На данный момент нет никаких известий о том, как же расшифровать данные зашифрованные вирусом, но мы можем рассказать вам, как действовать, если вы заметили заражение, чтобы сохранить ваши данные, а также как удалить вирус с компьютера, чтобы вы могли дальше им пользоваться.

 

Итак, в чем же особенность Petya, и его отличия от других вирусов? Сейчас вирус распространяется с помощью уязвимости в программном коде Windows, а в своей первой редакции он пользовался стандартными способами распространения. Вирус несколько снизил сумму выкупа: если в 2016 году выкуп составлял приблизительно $400 в Биткоинах, то теперь - $300. Основное отличие Petya от других вирусов заключается в методе его работы. Стандартный вирус-вымогатель незаметно проникает на компьютер пользователя, шифрует файлы, и после завершения шифрования показывает пользователю сообщение с требованиями. Разработчики Petya решили поступить иначе: их вирус вызывает BSOD при проникновении в систему, а при последующей загрузке системы шифрует MFT (Master File Table) компьютера жертвы. При этом нарушается работа MBR (Master Boot Record), вследствие чего пользователь не может получить доступ к материалам на жестком диске, (в том числе и к файлам вируса). В момент загрузки системы после BSOD, когда пользователь видит сообщение с требованиями, в котором мошенники заявляют что файлы зашифрованы - все файлы фактически нетронуты. Процесс шифрования лишь начинается, и если вы немедленно обесточите компьютер и извлечете жесткий диск – то сможете спасти большую часть данных. Для того, чтобы восстановить работоспособность вашего ПК вам потребуется восстановить MBR и удалить вирус с компьютера. После этого остаётся лишь ожидать, когда опытные исследователи вирусов сделают свой ход, и создадут программу для расшифровки.

 

Известный исследователь вирусов, создатель и владелец форума, посвященного вирусам и борьбе с ними, Lawrence Abrams сообщил, что обычные пользователи могут защитить себя от заражения вирусом Petya, создав текстовый файл с названием perfc в папке C:\Windows и сделав его «только для чтения». Еще один исследователь вирусов, Amit Serper узнал, что Petya сканирует компьютер в поисках файла с определенным названием, и найдя такой файл – немедленно прекращает всю свою деятельность и удаляется с компьютера. Кроме того, некоторые пользователи советуют, кроме файла perfc.txt создать файлы perfc.dat и perfc.dll. Стоит ожидать, что еще многие мошенники попытаются эксплуатировать эту уязвимость, так что вам, для обеспечение сохранности своих файлов, следует создать файлы, указанные выше, и пропатчить систему патчем MS17-010.

 

Как восстановить поврежденные файлы

Теперь, когда вы знаете, что из себя представляет вирус Petya и как он работает – вот советы по восстановлению данных. Как всегда, единственный 100% эффективный способ восстановления это загрузка бэкапов. Если вы делали резервные копии системы, или отдельных важных файлов, и хранили их на внешнем носителе, отсоединенном от ПК на момент заражения – ваши файлы в целости и сохранности. Вам следует очистить ПК от вируса (что может потребовать помощи опытного специалиста), и загрузить файлы. Помимо того, после заражения вы могли заметить всплывающее окно, в котором вам предлагалось принять изменения, вносимые в систему какой-то программой. Это Petya пытался удалить теневые копии (Shadow Copies), с помощью которых можно восстанавливать удаленные или измененные файлы. Если вы не разрешили вносить изменения – то теневые копии в порядке, и вы сможете воспользоваться ими непосредственно через функционал Windows, или с помощью специальных программ Recuva и Shadow Explorer. Если же у вас нет бэкапов, а все выше описанные методы не сработали – вам следует ждать, пока представители известных IT-компаний, или независимые исследователи не разработают программу для дешифровки.

  • Нажмите «Пуск»
  • Выберите «Панель управления»

Восстановление системы. Шаг 1

 

  • Нажмите «Система и безопасность»

Восстановление системы. Шаг 2

 

  • Выберите «Архивация и восстановление»

Восстановление системы. Шаг 3

 

  • Выберите «Восстановление файлов из архива»
  • Выберите точку сохранения

 

Видео инструкция

 

 

 

 

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results