Je možné obnovit počítač po viru petya. Jak znovu získat přístup k počítači po útoku virem Petya: tipy od ukrajinské kybernetické policie. Kdo je méně náchylný k virům

Infikovaný počítač, pak mu nic nepomůže. Přesněji řečeno, soubory na pevném disku, které nelze obnovit. Ale ve skutečnosti se lze kybernetickým útokům vyhnout a oživení počítače je obtížné, ale možné.

Pro začátek si promluvme o opatřeních, která zabrání infekci virem Petya A. Jak jsme již psali, #Petya je druh WCry – ransomwarový virus, který šifruje data a za jejich obnovu žádá výkupné 300 dolarů. Ihned poznamenáváme - NEMÁ smysl platit!

Jak se vyhnout viru Petya A

Blokování na úrovni koncových bodů spouštění souborů *.exe, *.js*, *.vbs from% AppData%;

Na úrovni poštovní brány – blokování zpráv s aktivním obsahem (*.vbs, *.js, *.jse, *.exe);

Na úrovni proxy – blokování stahování archivů obsahujících aktivní obsah (*.vbs, *.js, *.jse);

Blokování portů SMB a WMI. Primárně 135 445;

Po infekci – NEREBOTUJTE POČÍTAČ! - je to opravdu důležité.

Neotevírejte podezřelé e-maily a zejména jejich přílohy;

Vynutit aktualizaci antivirové databáze a operačních systémů.

Jak obnovit soubory po viru ransomware

Je třeba poznamenat, že v roce 2016 se uživateli registrovanému na Twitteru pod přezdívkou Leostone podařilo prolomit šifrování škodlivého viru, jak uvádí zdroj Bleepingcomputer.com.

Zejména se mu podařilo vytvořit genetický algoritmus, který dokáže vygenerovat heslo potřebné k dešifrování počítače Petya zašifrovaného virem.

Genetický algoritmus je vyhledávací algoritmus používaný k řešení problémů optimalizace a modelování náhodným výběrem, kombinací a variací požadovaných parametrů pomocí mechanismů podobných přirozenému výběru v přírodě.

Leostone zveřejnil své výsledky na stránce, která obsahuje všechny potřebné informace pro generování dešifrovacích kódů. Oběť útoku tak může použít určený web k vygenerování dešifrovacího klíče.

Chcete-li tedy použít dešifrovací nástroj Leostone, budete muset vyjmout pevný disk z počítače a připojit jej k jinému počítači se systémem Windows. Data, která mají být extrahována, mají 512 bajtů, počínaje sektorem 55 (0x37h). Poté musí být tato data převedena do kódování Base64 a použita na webu https://petya-pay-no-ransom.herokuapp.com/ k vygenerování klíče.

Pro mnoho uživatelů je odstranění určitých informací z postižených pevných disků problémem. Naštěstí přišel na pomoc odborník z Emsisoftu. Fabian Vosar, který vytvořil nástroj Petya Sector Extractor pro extrahování potřebných informací z disku.

Extraktor sektoru Petya

Poté, co uživatel připojí šifrovaný disk z infikovaného počítače k jinému PC, měl by se spustit nástroj Fabian Vosar's Fabric Wosar's Petya Sector Extractor, který odhalí oblasti zasažené ransomwarem. Jakmile Petya Sector Extractor dokončí svou práci, uživatel musí kliknout na první tlačítko Kopírovat sektor a přejít na webové stránky Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ nebo https://petya-pay -no-ransom-mirror1.herokuapp.com /) vložení zkopírovaných dat pomocí Ctrl+V do pole pro zadávání textu (ověřovací data zakódovaná v Base64 o velikosti 512 bajtů). Poté se vraťte do nástroje Fabian Vosar, stiskněte druhé tlačítko Copy Sector a zkopírujte data znovu na Stoneův web a vložte je do jiného vstupního pole (Base64 kóduje 8 bajtů nonce).

Foto: bleepingcomputer.com

Po vyplnění obou polí může uživatel kliknout na Odeslat a spustit algoritmus.

Stránka musí poskytnout heslo k dešifrování dat, po kterém je třeba vrátit pevný disk do postiženého počítače, spustit systém a zadat přijatý kód do okna ransomwaru. V důsledku toho budou informace dešifrovány.

Foto: bleepingcomputer.com

Jakmile je pevný disk dešifrován, ransomware vás vyzve k restartování počítače a nyní by se měl normálně spustit.

Pro ty, pro které může být obtížné vyjmout pevný disk z jednoho počítače a připojit jej k jinému, lze zakoupit dokovací stanici pro pevný disk USB.

Podle bykvu.com a BAKOTECH

Objevily se informace, jak vyléčit počítač napadený virem Petya

Zejména uživatel, který je na Twitteru registrován pod přezdívkou Leostone, dokázal prolomit šifrování škodlivého viru. Vytvořil genetický algoritmus, který dokáže vygenerovat heslo potřebné k dešifrování virem zašifrovaného počítače Petya.

Leostone zveřejnil své výsledky na stránce, kde se nacházejí všechny potřebné informace pro generování dešifrovacích kódů. Oběť útoku tak může použít určený web k vygenerování dešifrovacího klíče.

Pro mnoho uživatelů je odstranění určitých informací z postižených pevných disků problémem. Naštěstí přišel na pomoc Fabian Vosar, odborník na Emsisoft a vytvořil nástroj Petya Sector Extractor, který z disku vytáhne potřebné informace.

Poté, co uživatel připojí šifrovaný disk z infikovaného počítače k jinému PC, měl by se spustit nástroj Fabian Vosar's Fabric Wosar's Petya Sector Extractor, který odhalí oblasti zasažené ransomwarem. Jakmile Petya Sector Extractor dokončí svou práci, uživatel musí kliknout na první tlačítko Kopírovat sektor a přejít na webové stránky Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ nebo https://petya-pay -no-ransom-mirror1.herokuapp.com/) vložení zkopírovaných dat pomocí Ctrl+V do pole pro zadávání textu (ověřovací data zakódovaná v Base64 o velikosti 512 bajtů). Poté se vraťte do nástroje Fabian Vosar, stiskněte druhé tlačítko Copy Sector a zkopírujte data znovu na Stoneův web a vložte je do jiného vstupního pole (Base64 kóduje 8 bajtů nonce). Po vyplnění obou polí může uživatel kliknout na Odeslat a spustit algoritmus.

Po vyplnění obou polí může uživatel kliknout na Odeslat a spustit algoritmus.

Útok viru "Petya" byl pro obyvatele mnoha zemí nepříjemným překvapením. Byly infikovány tisíce počítačů, v důsledku čehož uživatelé přišli o důležitá data uložená na jejich pevných discích.

Samozřejmě, že nyní vzrušení kolem tohoto incidentu opadlo, ale nikdo nemůže zaručit, že se to nebude opakovat. Proto je velmi důležité chránit svůj počítač před možnou hrozbou a zbytečně neriskovat. Jak to udělat nejúčinněji a bude diskutováno níže.

Následky útoku

Nejprve bychom si měli připomenout důsledky krátké aktivity Petya.A. Během několika hodin utrpěly desítky ukrajinských a ruských společností. Mimochodem, na Ukrajině byla téměř úplně paralyzována práce počítačových oddělení takových institucí jako Dněproenergo, Novaja Pochta a Kyjevské metro. Některé státní organizace, banky a mobilní operátoři se navíc před virem Petya neuchránili.

V zemích Evropské unie dokázal ransomware také nadělat nemalé potíže. Francouzské, dánské, britské a mezinárodní společnosti ohlásily dočasné výpadky související s útokem počítačového viru Petya.

Jak vidíte, hrozba je opravdu vážná. A i přesto, že si útočníci vybrali za své oběti velké finanční instituce, běžní uživatelé utrpěli neméně.

Jak Péťa působí?

Abyste pochopili, jak se chránit před virem Petya, musíte nejprve pochopit, jak funguje. Jakmile se tedy malware dostane do počítače, stáhne z internetu speciální šifrovač, který infikuje hlavní spouštěcí záznam. Jedná se o samostatnou oblast na pevném disku, skrytou očím uživatele a určenou ke spouštění operačního systému.

Pro uživatele tento proces vypadá jako standardní operace programu Check Disk po náhlém pádu systému. Počítač se náhle restartuje a na obrazovce se zobrazí zpráva o kontrole chyb na pevném disku a žádostí, abyste nevypínali napájení.

Jakmile tento proces skončí, objeví se úvodní obrazovka s informací o uzamčení počítače. Tvůrci viru Petya požadují, aby uživatel zaplatil výkupné ve výši 300 $ (více než 17,5 tisíc rublů), přičemž na oplátku slibuje zaslání klíče potřebného k obnovení počítače.

Prevence

Je logické, že je mnohem snazší zabránit infekci počítačovým virem Petya, než později řešit její následky. Chcete-li zabezpečit počítač:

Vždy instalujte nejnovější aktualizace operačního systému. Totéž v zásadě platí pro veškerý software nainstalovaný na vašem PC. Mimochodem, "Petya" nemůže ublížit počítačům se systémem MacOS a Linux.
Používejte nejnovější verze antiviru a nezapomeňte aktualizovat jeho databáze. Ano, rada je banální, ale ne každý ji dodržuje.
Neotevírejte podezřelé soubory zaslané e-mailem. Vždy také zkontrolujte aplikace stažené z pochybných zdrojů.
Provádějte pravidelné zálohy důležitých dokumentů a souborů. Nejlepší je uložit je na samostatné médium nebo do „cloudu“ (Google Drive, Yandex.Disk atd.). Díky tomu, i když se s vaším počítačem něco stane, cenné informace nebudou ovlivněny.

Vytvořte stop soubor

Vývojáři předních antivirových programů přišli na to, jak odstranit virus Petya. Přesněji řečeno, díky svému výzkumu mohli pochopit, že během počátečních fází infekce se ransomware snaží najít místní soubor v počítači. Pokud uspěje, virus zastaví svou práci a nepoškodí PC.

Jednoduše řečeno, můžete ručně vytvořit jakýsi stop soubor a chránit tak svůj počítač. Pro tohle:

Otevřete Možnosti složky a zrušte zaškrtnutí políčka "Skrýt přípony pro známé typy souborů".
Vytvořte nový soubor pomocí poznámkového bloku a umístěte jej do adresáře C:/Windows.
Přejmenujte vytvořený dokument tak, že jej nazvete „perfc“. Poté přejděte na a povolte možnost „Pouze pro čtení“.

Nyní virus "Petya", který se dostal do vašeho počítače, jej nebude moci poškodit. Mějte však na paměti, že útočníci mohou v budoucnu modifikovat malware a metoda zastavení vytváření souborů se stane neúčinnou.

Pokud již došlo k infekci

Když se počítač sám restartuje a spustí se Check Disk, virus právě začíná šifrovat soubory. I v tomto případě můžete svá data uložit následujícím způsobem:

Okamžitě vypněte počítač. Jedině tak můžete zabránit šíření viru.
Dále byste měli připojit svůj pevný disk k jinému počítači (ale ne jako zaváděcí!) A zkopírovat z něj důležité informace.
Poté musíte infikovaný pevný disk zcela zformátovat. Přirozeně pak budete muset přeinstalovat operační systém a další software na něm.

Kromě toho můžete zkusit použít speciální spouštěcí disk k vyléčení viru Petya. Kaspersky Anti-Virus například pro tyto účely poskytuje program Kaspersky Rescue Disk, který obchází operační systém.

Mám platit vyděračům?

Jak již bylo zmíněno dříve, tvůrci Petyi požadují od uživatelů, jejichž počítače byly infikovány, výkupné ve výši 300 dolarů. Po zaplacení stanovené částky bude podle vyděračů obětem zaslán klíč, který blokování informací odstraní.

Problém je, že uživatel, který chce vrátit svůj počítač do normálního stavu, potřebuje útočníkům napsat e-mail. Veškerý e-mailový ransomware je však okamžitě zablokován autorizovanými službami, takže je prostě nemožné je kontaktovat.

Navíc mnoho předních vývojářů antivirového softwaru je přesvědčeno, že je zcela nemožné odemknout počítač infikovaný Petyou jakýmkoli kódem.

Jak jste asi pochopili, nevyplatí se platit vyděračům. V opačném případě vám nezůstane pouze nefunkční PC, ale také přijdete o velké množství peněz.

Budou nové útoky

Virus Petya byl poprvé objeven v březnu 2016. Pak si bezpečnostní experti rychle všimli hrozby a zabránili jejímu masovému rozšíření. Ale již na konci června 2017 se útok znovu opakoval, což vedlo k velmi vážným následkům.

Je nepravděpodobné, že tam všechno skončí. Ransomwarové útoky nejsou neobvyklé, proto je důležité, aby byl váš počítač neustále chráněn. Problém je v tom, že nikdo nemůže předpovědět, jaký formát bude mít další infekce. Ať je to jakkoli, vždy se vyplatí dodržovat jednoduchá doporučení uvedená v tomto článku, abyste tímto způsobem snížili rizika na minimum.

Petya virus je další ransomware, který blokuje soubory uživatele. Tento ransomware může být velmi nebezpečný a infikovat jakýkoli počítač, ale jeho hlavním cílem jsou firemní počítače.

To je uvedeno na webových stránkách Bedynet.ru

Tento škodlivý program se dostane do počítačů oběti a vykonává svou činnost skrytým způsobem a počítač může být ohrožen. Petya šifruje soubory pomocí algoritmů RSA-4096 a AES-256, používá se i pro vojenské účely. Takový kód nelze dešifrovat bez soukromého klíče. Stejně jako ostatní ransomware, jako je Locky virus, CryptoWall virus a CryptoLocker, je tento soukromý klíč uložen na nějakém vzdáleném serveru, ke kterému lze získat přístup pouze zaplacením výkupného tvůrci viru.

Na rozdíl od jiného ransomwaru, jakmile je tento virus spuštěn, okamžitě restartuje počítač a po opětovném spuštění se na obrazovce objeví zpráva: „NEVYPÍNEJTE SVŮJ POČÍTAČ! POKUD TENTO PROCES ZASTAVÍTE, MŮŽETE ZNIČIT VŠECHNA VAŠE DATA ! UJISTĚTE SE PROSÍM, ŽE JE VÁŠ POČÍTAČ PŘIPOJEN K NABÍJENÍ!".

Ačkoli to může vypadat jako systémová chyba, ve skutečnosti Péťa v současné době tiše provádí šifrování v utajeném režimu. Pokud se uživatel pokusí restartovat systém nebo zastavit šifrování souboru, na obrazovce se objeví blikající červená kostra spolu s textem „Stiskněte libovolnou klávesu“.

Nakonec se po stisknutí klávesy objeví nové okno s poznámkou o výkupném. V této poznámce je oběť požádána, aby zaplatila 0,9 bitcoinů, což je přibližně 400 $. Tato cena je však pouze za jeden počítač; proto u společností, které mají mnoho počítačů, může být částka v tisících. Tento ransomware se také liší tím, že vám dává celý týden na zaplacení výkupného namísto obvyklých 12–72 hodin, které poskytují jiné viry v této kategorii.

Navíc tím problémy s Péťou nekončí. Jakmile se tento virus dostane do systému, pokusí se přepsat spouštěcí soubory Windows, neboli tzv. zaváděcí zapisovač, který je nutný k zavedení operačního systému. Virus Petya nebudete moci z počítače odstranit, dokud neobnovíte nastavení bootovatelné hlavní vypalovačky (MBR). I když se vám podaří tato nastavení opravit a virus ze systému odstranit, vaše soubory bohužel zůstanou zašifrované, protože odstranění viru nezajistí dešifrování souborů, ale pouze smaže infekční soubory. Odstranění virů je samozřejmě nezbytné, pokud chcete s počítačem dále pracovat. K odstranění Petya doporučujeme používat spolehlivé antivirové nástroje, jako je Reimage.

Jak se tento virus šíří a jak se může dostat do počítače?

Virus Petya se obvykle šíří prostřednictvím spamových e-mailů, ke kterým jsou připojeny odkazy na stažení Dropboxu pro soubor s názvem „app folder-gepackt.exe“. Virus se aktivuje při stažení a otevření konkrétního souboru. Vzhledem k tomu, že již víte, jak se tento virus šíří, měli byste mít nápady, jak chránit počítač před útokem viru. Samozřejmě musíte být opatrní při otevírání elektronických souborů, které jsou odesílány podezřelými uživateli a neznámými zdroji a prezentují informace, které nesouvisí s tím, co očekáváte.

Měli byste se také vyhnout e-mailům, které spadají do kategorie „spam“, protože většina poskytovatelů e-mailových služeb automaticky filtruje e-maily a ukládá je do příslušných adresářů. Těmto filtrům byste však neměli důvěřovat, protože jimi mohou proklouznout potenciální hrozby. Také se ujistěte, že váš systém je vybaven spolehlivým antivirovým nástrojem. Nakonec se vždy doporučuje uchovávat zálohy na nějakém externím disku, pro případ nebezpečných situací.

Jak mohu odstranit Petya virus z mého PC?

Petyu nemůžete z počítače odebrat pomocí jednoduchého postupu odstranění, protože s tímto malwarem nebude fungovat. To znamená, že byste tento virus měli odstranit automaticky. Automatické odstranění viru Petya by mělo být provedeno pomocí spolehlivého antivirového nástroje, který tento virus detekuje a odstraní z vašeho počítače. Pokud se však potýkáte s některými problémy s odinstalací, jako je například, že tento virus může blokovat váš antivirový program, můžete vždy zkontrolovat pokyny k odinstalaci.

Krok 1: Restartujte počítač do nouzového režimu se sítí

Windows 7 / Vista / XP Klepněte na Start → Vypnout → Restartovat → OK.

Ze seznamu vyberte Nouzový režim se sítí

Windows 10 / Windows 8V přihlašovacím okně Windows stiskněte tlačítko Napájení. Poté stiskněte a podržte klávesu Shift a klikněte na Restartovat.
Nyní vyberte Poradce při potížích → Pokročilé možnosti → Nastavení spouštění a klikněte na Restartovat.
Když se váš počítač aktivuje, v okně Nastavení spouštění vyberte možnost Povolit nouzový režim se sítí.

Krok 2: Odstraňte Petyu
Přihlaste se pomocí infikovaného účtu a spusťte prohlížeč. Stáhněte si Reimage nebo jiný spolehlivý antispywarový program. Aktualizujte jej před skenováním a odstraňte škodlivé soubory související s ransomwarem a dokončete odstranění Petya.

Pokud ransomware blokuje nouzový režim se sítí, zkuste další metodu.

Krok 1: Restartujte počítač do nouzového režimu pomocí příkazového řádku

Windows 7/Vista/XP
Klepněte na Start → Vypnout → Restartovat → OK.
Když se váš počítač aktivuje, stiskněte několikrát F8, dokud se nezobrazí okno Rozšířené možnosti spouštění.
Vyberte příkazový řádek ze seznamu

Nyní zadejte rstrui.exe a znovu stiskněte Enter.

Když se objeví nové okno, klikněte na Další a vyberte bod obnovení před infekcí Petya. Poté klepněte na tlačítko Další. V zobrazeném okně „Obnovení systému“ vyberte „Další“

Vyberte bod obnovení a klikněte na „Další“
Nyní kliknutím na Ano spusťte obnovu systému. Klikněte na "Ano" a spusťte obnovu systému Po obnovení systému k předchozímu datu spusťte a prohledejte počítač, abyste se ujistili, že odstranění bylo úspěšné.

"Nemůžeš platit peníze." V InAU říkali.

Nejprve si promluvme o opatřeních, kterým se vyhneme. Jak jsme již psali, #Petya je druh WCry – ransomwarový virus, který šifruje data a za jejich obnovu žádá výkupné 300 dolarů. Ihned poznamenáváme - NEMÁ smysl platit!

Jak se vyhnout viru Petya A

- blokování na úrovni koncových bodů spouštění souborů *.exe, *.js*, *.vbs z% AppData%;

— na úrovni poštovní brány – blokování zpráv s aktivním obsahem (*.vbs, *.js, *.jse, *.exe);

— na úrovni proxy – blokování stahování archivů obsahujících aktivní obsah (*.vbs, *.js, *.jse);

- blokování portů SMB a WMI. Primárně 135 445;

- po infekci - NEREBOTUJTE POČÍTAČ! - je to opravdu důležité.

- neotevírat podezřelé emaily a zejména jejich přílohy;

- Vynutit aktualizaci antivirové databáze a operačních systémů.

Jak obnovit soubory po viru ransomware

Je třeba poznamenat, že v roce 2016 se uživateli registrovanému na Twitteru pod přezdívkou Leostone podařilo prolomit šifrování škodlivého viru, jak uvádí zdroj Bleepingcomputer.com.

Zejména se mu podařilo vytvořit genetický algoritmus, který dokáže vygenerovat heslo potřebné k dešifrování počítače Petya zašifrovaného virem.

Extraktor sektoru Petya

Foto: bleepingcomputer.com

Po vyplnění obou polí může uživatel kliknout na Odeslat a spustit algoritmus.

Foto: bleepingcomputer.com

Jakmile je pevný disk dešifrován, ransomware vás vyzve k restartování počítače a nyní by se měl normálně spustit.

Pro ty, pro které může být obtížné vyjmout pevný disk z jednoho počítače a připojit jej k jinému, lze zakoupit dokovací stanici pro pevný disk USB.