Как удалить или защититься от вируса вымогателя Petya?

Как защитить компьютер Windows от вируса Petya (NotPetya)

Обновлено: добавлена информация о файлах perfc.dat и perfc.dll

Вредоносная кампания Petya была запущена 27 июня и за считанные часы угроза инфицировала огромное количество компьютеров по всему миру. Шифровальщик блокирует разделы MFT и MBR на жестком диске и препятствует нормальной загрузке компьютеров. Если жертвы не желают платить выкуп, то действенного способа для восстановления файлов на данный момент не существует.

Первоначально исследователи полагали, что новый троян-вымогатель стал обновленной версией старой угрозы под названием Petya. Однако, позже выяснилось, что исследователи имеют дело с новым видом шифровальщика, который заимствовал часть кода от Petya. Вот почему программа-вымогатель была переименована и теперь часто встречается как NotPetya, Petna или SortaPetya.

Найден способ предотвращения заражения вирусом Petya (NotPetya)

Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.

Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.

98% sure that the name is is perfc.dll Create a file in c:windows called perfc with no extension and #petya #Nopetya won&&񖔃t run! SHARE!! https://t.co/0l14uwb0p9

Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security, TrustedSec, Emsisoft и Symantec.

Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.

Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.

Как защититься от NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который автоматически выполняет все действия.

Загрузить данный файл можно по следующей ссылке — nopetyavac.bat. Скачайте и запустите файл на компьютере от имени администратора.

Обратите внимание, что bat-скрипт также будет создавать два дополнительных файла, которые называются perfc.dat и perfc.dll. Хотя тестирование данного способа выполнялось без них, автором метода была получена информация, что эти дополнительные файлы необходимы для надежности работы вакцинации.

Для тех, кто хочет вакцинировать свой компьютер вручную, мы приводим отдельную инструкцию (опубликована на BleepingComputer). Обратите внимание, что мы подробно описали шаги, чтобы они были понятны даже неопытным пользователям ПК.

Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид”. Убедитесь, что в “Параметры папок > Вид” отключена опция “Скрывать расширения для зарегистрированных типов файлов” (галочка не отмечена).

Затем откройте папку C:Windows и прокрутите вниз, пока не увидите программу notepad.exe.

Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl + C , чтобы скопировать, а затем Ctrl + V , чтобы вставить его. При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.

Нажмите кнопку “Продолжить”, и будет создана копия блокнота: notepad — копия.exe. Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала — notepad — копия.exe и введите perfc, как показано ниже.

После того как имя файла было изменено на perfc, нажмите Enter на клавиатуре. Теперь вы получите запрос, действительно ли вы хотите переименовать файл.

Нажмите “Да”, а затем “Продолжить”.

Теперь, когда файл perfc был создан, нужно установить атрибут доступа “Только чтение”. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.

Откроется меню свойств этого файла. Внизу нужно установить флажок “Только чтение”. Установите галочку, как показано на рисунке ниже.

Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто.

Для надежности вакцинации повторите те же действия, создав файлы C:Windowsperfc.dat и C:Windowsperfc.dll.

Теперь ваш компьютер будет защищен от шифровальщика NotPetya / SortaPetya / Petya.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Как удалить вирус-вымогатель Petya с зараженного компьютера и как его вылечить

Petya вирус — очередной вымогатель, который блокирует файлы пользователя. Этот вымогатель может быть очень опасным и заразить любой ПК, но его основной целью являются компьютеры компаний.

Об этом говориться на сайте Bedynet.ru

Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа. Подобно другим вимогателям, как Locky virus, CryptoWall virus, и CryptoLocker, этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.

В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает компьютер, и когда он загружается снова, на экране появляется сообщение: «НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!».

Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “Нажмите любую клавишу”.

Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.

Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как Reimage, чтобы позаботиться о удалении Petya.

Как распространяется этот вирус и как он может войти в компьютер?

Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки. Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете.

Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги. Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.

Как я могу удалить вирус Petya с моего ПК?

Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически. Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера. Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, вы всегда можете проверить инструкцию удаления.

Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

Windows 7 / Vista / XP Щелкните Start → Shutdown → Restart → OK.
Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
В списке выберите Safe Mode with Networking

Windows 10 / Windows 8В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.

Шаг 2: Удалить Petya
Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Petya.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

Windows 7 / Vista / XP
Щелкните Start → Shutdown → Restart → OK.
Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
В списке выберите Command Prompt


Теперь введите rstrui.exe и снова нажмите Enter.

После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Petya. После этого нажмите Next. В появившемся окне ‘System Restore’ выберите ‘Next’

Выберите Вашу точку восстановления и щелкните ‘Next’
Теперь щелкните Yes для начала восстановления системы. Щелкните ‘Yes’ и начните восстановление системы После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер убедитесь, что удаление прошло успешно.

Вирус Petya: все, что вам нужно знать об этом вирусе

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже – зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор “Петя” или, как его еще называют, “Petya”. Темпы распространения данный угрозы очень впечатляют: за пару дней он смог “побывать” в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно вирус Wanna Cry.

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя “Петя”. В этой статье я расскажу вам о том, что это за вирус “Petya”, как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус “Petya”?

Для начала нам стоит понять, чем же является Petya. Вирус Петя – это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно “отбирает” у вас весь жесткий диск целиком.

Правильное название нового вируса – Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса “Petya”

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table – главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск – это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо “файл” на вашем ПК. Если быть еще точнее, то после “работы” Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время – он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп – 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт (“дыра”) в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который “закрывает” эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель “Пети” смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

  • Самое главное и основное – возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
  • Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
  • Активируйте опцию “Показывать расширения файлов” в настройках ОС – так вы всегда сможете увидеть истинное расширение файлов.
  • Включите “Контроль учетных записей пользователя” в настройках Windows.
  • Необходимо установить один из лучших антивирусов, чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус – и вы уже будете в гораздо большей безопасности, чем раньше.
  • Обязательно делайте “бэкапы” – сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные – вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
  • Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
  • Установите бесплатную утилиту Kaspersky Anti-Ransomware. Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл – просканируйте ваш диск одной из утилит для удаления вредоносного ПО или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус Wanna Cry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя – прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными – то у вас есть несколько путей.

  • Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
  • Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom.
  • Форматирование диска и установка операционной системы. Минус – все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как “Башнефть” и “Роснефть”. Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся – “а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить – нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac – можете спать спокойно, вам ничего не угрожает.

Как удалить или защититься от вируса вымогателя Petya?

Недавно многие интернет ресурсы и компьютеры пользователей подверглись атаке, за ней стоял вирус-вымогатель Petya. Были заблокированы сайты крупнейших госучреждений, от Ощадбанка и сайта правительства до Новой почты и т.д. За последнее время Petya/NoPetya является самым масштабным вирусом, который поразил множество компьютеров. Благо, как и от любого вируса, от него есть возможность защититься и удалить, только ничего не стоит делать самостоятельно.

Petya вирус: как работает?

Компьютерный вирус Петя относится к нише шифровальщиков, он проникает в систему и провоцирует перезапуск системы, а во время загрузки ОС шифрует файлы, а также реестр. По окончании процесса показывается сообщение, в котором требуется выкуп в 300-400$ на биткоин счет, затем придет пароль для обратной расшифровки файлов.

Особенность вируса в том, что он поражает систему необратимым образом и доступа к её функциям нет вовсе. Наибольшее распространение приобрел на территории Украины и России. Эксперты еще устанавливают пути заражения вирусом, но сегодня считается, что он проникал через фальшивое обновление известной программы M.E.Doc. Механизм действия вируса построен на использовании уже известной уязвимости ETERNALBLUE, которая была задействована у печально известной Wanna Cry, а также эксплойт ETERNALROMANCE. При помощи подбора паролей и указанных дыр в защите Windows вирус распространялся и поражал все компьютеры в рамках одной локальной сети.

Настолько широкого распространения как у Wanna Cry вирус не приобрел, так как распространение через сеть не происходит, но использование обоих эксполойтов помогает заразить все компьютеры локальной системы.

Вирус Петя: как удалить?

Вирус Петя защита не всегда помогает, тем более, что на стадии распространения многие антивирусы не распознавали файл в качестве вируса. Столь масштабное поражение ПК не было проигнорировано разработчиками антивирусных сигнатур и риск в дальнейшем столкнуться с вирусом невысок, а вот другие модификации встретить возможно.

Сразу после проникновения в ПК вирус перезапускает его, процедура выполняется принудительно. В процессе загрузки появляется окно, в котором предлагается выполнить процедуру восстановления системы. Ничего не подозревающий пользователь нажимает Enter и начинается процесс шифрования. На самом деле окно, которое подделано под системное CHKDSK, не является оригинальным, таким образом пользователь подтверждает действия вируса.

Не стоит идти на поводу, просто перезагрузить ПК повторно. При помощи F9 перейти к выбору накопителя и перейти на другой диск, если такой есть. Далее необходимо с рабочего стола Windows выполнить сканирование системы на предмет наличия вирусов, сегодня уже практически все передовые антивирусы правильно распознают шифровальщик и позволят удалить его.

Иначе просто выполнить загрузку при помощи диска восстановления (установочный диск или флешка).

Вирус Петя: как защититься?

Вирус Петя как не поймать его на свой компьютер, а соответственно защитить свои данные? Сразу после проявления вируса, его образец поступил ко многим продвинутым администраторам, которые пытались найти методы борьбы с Petya. Сам вирус использует уязвимости системы для проникновения и поражения ее, а программисты нашли уязвимости в коде вредителя.

От пользователя требуется минимальное количество действий, нужно создать файл perfc, который должен находиться в каталоге C:Windows и иметь параметр «Только чтение». Нельзя назвать метод панацеей, так как дальнейшие модификации вируса обойдут это ограничения и проблема появится снова, но до того времени появится полноценная защита со стороны антивирусов.

Процесс создания файла:

  1. Изначально стоит сделать доступными расширения файлов для редактирования. Необходимо открыть любую папку и нажать на «Упорядочить» и выбрать «Параметры папок и поиска», если у вас десятка, то пункт можно найти в разделе «Файл»;
  2. Перейти во вкладку «Вид» и пролистать перечень к концу, снять галочку с раздела «Скрывать расширения для зарегистрированных типов файлов»;

  1. Теперь создайте или скопируйте любой файл на диске;

  1. ПКМ по нему и «Переименовать», не стоит менять уже имеющиеся файлы, иначе может возникнуть ошибка;
  2. Введите имя perfc, никаких расширений стоять не должно и подтвердите окно предупреждения;
  3. ПКМ по созданному защитному файлу и установить галочку возле «Только чтение».

В большей мере направленность вируса приходится на корпоративные сети, таким образом компания теряет колоссальные средства за простой и это может подвигнуть заплатить вымогателю. Существуют общие способы защиты от всех видов вирусов.

Вирус вымогатель Петя – способы защиты

Команда из Kaspersky Lab определила, что ко многим компаниям на компьютер проник вирус через банальные ссылки на облако, обычно отсылаются файлы типа резюме.

Когда Вирус Петя атаковал, то уже поздно предпринимать действия для защиты, разве что нужно сразу отключить локальную сеть, поэтому нужно защититься предварительно:

  1. Бекапы – это основа любого бизнеса, без них присутствует высокий риск потери важнейших данных. Важно делать 2 копии: первая хранится на облаке, вторая на обычном съемном диске и заблокировать доступ к редактированию и изменению файлов на накопителе;
  2. Фишинг – подделка сайтов, писем и т.д. от других организаций, например, банков, магазинов, интернет ресурсов информационного характера. Помимо подделанного текста всегда в сообщении есть ссылка на страницу, которая загрузит файл, скрипт и система будет поражена вирусом;
  3. Взлом – друзей, знакомых могут взломать в Skype, ВК, Gmail, Facebook и т.д. не стоит доверять никому, иначе можно получить вирус Petya;
  4. Загружая файлы из сети обратите внимание на расширения, самые опасные – exe, vbs и scr.
  5. Выполняйте обновления антивируса, ОС.

Заключение

Новый вирус Петя по сути использует уже известные уязвимости с целью получения прав администратора, потом вводит пользователя в заблуждение поддельным окном восстановления. Таким образом, когда вы уже знаете алгоритм действия Petya/NoPetya, можно не попасть на удочку злоумышленников.

Если у Вас остались вопросы по теме «Как удалить или защититься от вируса вымогателя Petya?», то можете задать их в комментариях

Вирус Petya: как защититься

Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:Windows, прокрутите вниз, пока не увидите программу notepad.exe.
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: windows perfc создать файлы C: Windows perfc.dat и C: Windows perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Как защититься от вирусов-вымогателей Petya и Misha?

Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc :

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл C:Windowsperfc (perfc — файл без расширения).

а также установкой патчей с сайта Microsoft.

Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?

2 ответа 2

Создаем файл perfc

В момент атаки Petya ищет файл C:Windowsperfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный «Блокнот». Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

WMIC и PSEXEC

Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:

Поставить патчи безопасности

Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:

Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office.

Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:

Обновить сигнатуры антивирусов

База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.

Отключить TCP-порты

Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.

Отключить протокол SMB

В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.

Настроить блокировку атак

В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).

Если заражение все же произошло

Отключение системы

Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренное отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.

Не переводить деньги

Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.

Вирус Petya.A: как защититься и что делать с зараженным компьютером?

28-06-2017, 00:52 | Технологии

Сегодня, 27 июня, Украину атаковал компьютерный вирус Petya A. От него уже пострадал ряд украинских государственных компаний, а также Кабинет Министров. Однако от вируса можно «излечиться».

Не нажимайте на ссылки из неизвестных вам источников, пришедшие по электронной почте. На данный момент это самый частый случай заражения вирусом-шифровальщиком.

КАК «ПЕТЯ» ПОПАДАЕТ В КОМПЮТЕР

Команда антивирусной программы Kaspersky Lab выяснила, что основная цель вируса — корпоративные пользователи: шифровальщик попадает на ПК с помощью спама, притворяясь письмом от кандидата на ту или иную должность. Стандартный сценарий заражения выглядит так:

HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением .EXE.

После того как пользователь решается открыть «резюме», перед ним оказывается не документ с информацией об опыте работы кандидата, а синий экран смерти. Это значит, что «Petya A» попал на ПК пользователя и приступил к своим черным делам.

КАК ЗАЩИТИТЬСЯ ОТ ВИРУСА-ВЫМОГАТЕЛЯ

— Регулярно делайте резервные копии всех важных файлов. Желательно, чтобы у вас было два бэкапа: один в облаке, например в Dropbox, Google Drive и других специализированных сервисах. А другой на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук).

— Для этого устройства установите ограниченные права доступа только на чтение и запись, без возможностей удаления или перезаписи. Резервные копии пригодятся вам и в других случаях — если вы случайно удалите важный файл или при поломке основного жесткого диска.

— Преступники часто создают фальшивые письма, похожие на сообщения от интернет-магазинов или банков, чтобы распространять вредоносное ПО, — это называется «фишинг». Так что настройте спам-фильтр в почте и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми.
Не доверяйте никому. Такой вирус могут прислать со взломанного аккаунта вашего друга в Skype или «ВКонтакте», товарища по онлайн-играм или даже коллеги с работы.

— Включите функцию «Показывать расширения файлов» в настройках. Так вам будет легче разобраться, какой файл является опасным. Трояны — это программы, значит, опасаться нужно в первую очередь подозрительных файлов с расширениями «exe», «vbs» и «scr».
Регулярно устанавливайте обновления для вашей ОС, браузера, антивируса и другого ПО. Преступники используют «дыры» в программном обеспечении, чтобы заразить устройства пользователей.

— Установите надежный антивирус, который умеет бороться с троянами-вымогателями.

— Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троян-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы.

Как вылечиться от вируса-шифровальщика?

1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.

2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.

3. Чтобы удалить вирус, вам необходимо скачать со здорового компьютера загрузочный диск с антивирусом, который способен вылечить компьютер от «Пети». Это умеют например ESET NOD32 LiveCD или Kaspersky Rescue Disk.

После скачивания, по инструкции запишите загрузочный диск на флешку и загрузите компьютер с него. Далее антивирус все сделает сам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

Есть и более сложный способ, однако пользоваться им стоит на свой страх и риск.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.

Чтобы снять информацию с поврежденных дисков, можно воспользоваться инструментом Petya Sector Extractor для извлечения необходимой информации с диска.

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области.

Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).

Затем вернуться к утилите, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.

Как защититься от вируса Petya, парализовавшего целые города?

Одним из главных событий этой недели уже стала новая вирусная атака на Россию и Украину. Совершенно неожиданно начали появляться сообщения о заражении компьютеров самых разных предприятий. Сейчас количество пострадавших компаний исчисляется десятками, сотнями или даже тысячами. В данной статье мы написали инструкцию, как защитить себя от этого вируса и что нужно делать в случае заражения.

В России о заражении сообщили «Башнефть», «Роснефть» и «Рязанская нефтеперерабатывающая компания». На Украине атаке были подвержены крупные энергокомпании, банки, мобильные операторы, почтовые компании, большие магазины, такие как «Ашан», «Эпицентр» и METRO, и даже аэропорт «Борисполь». Многие магазины были вынуждены остановить свою работу, люди не могут снять деньги в банкоматах, а в киевском метро нельзя оплатить проезд банковской картой или смартфоном.

Вирус Petya опасен исключительно для компьютеров под управлением Windows. При этом есть информация, что даже установка самых последних обновлений системы и безопасности не спасает от него. Кроме того, наличие антивируса также не гарантирует вам безопасность. Но защититься от этого вируса всё же можно, и это не составит особого труда: достаточно закрыть на компьютере определённые TCP-порты. Мы подготовили подробные инструкции для пользователей Windows 7 и Windows 10.

Как защититься от вируса Petya на Windows 7:

  • зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

  • в открывшемся окне выберите пункт «Дополнительные параметры»;

  • в левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;

  • выберите «Для порта» и нажмите «Далее»;
  • в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
  • нажмите «Далее»;

  • в следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

  • примените правило для всех профилей и закончите процедуру;
  • аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

Как защититься от вируса Petya на Windows 10:

  • через встроенный поиск Windows введите «брандмауэр» и запустите соответствующую службу;

  • в левой панели выберите «Правила для входящих подключений»;

  • затем в правой панели нажмите «Создать правило»;

  • в открывшемся окне выберите «Для порта» и нажмите «Далее»;

  • в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;

  • в новом окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

  • примените правило для всех профилей и нажмите «Далее»;
  • в последнем окне вам нужно указать любое имя для правила и нажать «Готово»;

  • повторите всю процедуру для «Правила для исходящих подключений».

Если вы всё же «поймали» вирус Petya, то необходимо сразу же отключить все остальные компьютеры от сети, а заражённую машину выключить любым способом. Затем необходимо загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жёсткий диск/SSD-накопитель и подключить его к другому компьютеру для переноса всех важных данных.

“PETYA” — как удалить вирус вымогатель.

PETYA — это вирус-вымогатель. Очередная его версия поразила вчера многие компьютеры по всему миру. В данной модификации было добавлено использование тех же уязвимостей, которые эксплуатировал WannaCry. Особо серьезной атаке подверглись государственные учреждения, банки и крупные корпорации.

Как вымогатель Petya заражает компьютер?

Это новая модификация вируса, известного уже давно. Текущая реализация «Petya» шифрует MBR — загрузочный сектор диска и заменяет его своим собственным. Далее вирус пытается зашифровать уже все файлы на диске (правда не всегда). Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Данный вирус позаимствовал способ заражения через уязвимости в ОС у нашумевшего в мае WannaCry. Несмотря на то, что к предыдущей версии вируса Petya известны дешифраторы, для данной реализации они не применимы.

Важно! Для перезаписи MBR вымогателю необходима перезагрузка компьютера, что пользователи часто и делают в панике.

Поэтому прежде всего, при заражении НЕ ВЫКЛЮЧАЙТЕ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep». И конечно отключите от интернета.

Как определить заражение вирусом PETYA?

Для этого достаточно проверить, существует ли файл %WINDIR%perfc.dat.
Если файл существует — вы заражены. НЕ ВЫКЛЮЧАЙТЕ КОМПЬЮТЕР!

Кроме того, крайне необходимо установить критические обновления MS017-010.

И наконец, если вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ ко всем файлам.

Инструкция по ручному удалению вируса PETYA

Для того, чтобы самостоятельно избавиться от PETYA, вам необходимо последовательно выполнить все шаги, которые я привожу ниже:

    Поискать «PERFC.DAT» в списке установленных программ и удалить ее.

Открыть Диспетчер задач и закрыть программы, у которых в описании или имени есть слова «PERFC.DAT». Заметьте, из какой папки происходит запуск этой программы. Удалите эти папки.

Запретить вредные службы с помощью консоли services.msc.

Удалить “Назначенные задания”, относящиеся к PETYA или PERFC.DAT, с помощью консоли taskschd.msc.

С помощью редактора реестра regedit.exe поискать ключи с названием или содержащим «PERFC.DAT» в реестре.

Проверить ярлыки для запуска браузеров на предмет наличия в конце командной строки дополнительных адресов Web сайтов и убедиться, что они указывают на подлинный браузер.

Проверить плагины всех установленных браузеров Internet Explorer, Chrome, Firefox и т.д.

Проверить настройки поиска, домашней страницы. При необходимости сбросить настройки в начальное положение.

  • Очистить корзину, временные файлы, кэш браузеров.
  • И все же автоматика лучше!

    Если ручной метод — не для вас, и хочется более легкий путь, существует множество специализированного ПО, которое сделает всю работу за вас. Я рекомендую воспользоваться UnHackMe от Greatis Software, выполнив все по пошаговой инструкции.
    Шаг 1. Установите UnHackMe. (1 минута)
    Шаг 2. Запустите поиск вредоносных программ в UnHackMe. (1 минута)
    Шаг 3. Удалите вредоносные программы. (3 минуты)

    UnHackMe выполнит все указанные шаги, проверяя по своей базе, всего за одну минуту.

    При этом UnHackMe скорее всего найдет и другие вредоносные программы, а не только PETYA.

    При ручном удалении могут возникнуть проблемы с удалением открытых файлов. Закрываемые процессы могут немедленно запускаться вновь, либо могут сделать это после перезагрузки. Часто возникают ситуации, когда недостаточно прав для удалении ключа реестра или файла.

    UnHackMe легко со всем справится и выполнит всю трудную работу во время перезагрузки.

    И это еще не все. Если после удаления PETYA какие то проблемы остались, то в UnHackMe есть ручной режим, в котором можно самостоятельно определять вредоносные программы в списке всех программ.

    Итак, приступим:

    Шаг 1. Установите UnHackMe (1 минута).

    1. Скачали софт, желательно последней версии. И не надо искать на всяких развалах, вполне возможно там вы нарветесь на пиратскую версию с вшитым очередным мусором. Оно вам надо? Идите на сайт производителя, тем более там есть бесплатный триал. Запустите установку программы.

    Затем следует принять лицензионное соглашение.

    И наконец указать папку для установки. На этом процесс инсталляции можно считать завершенным.

    Шаг 2. Запустите поиск вредоносных программ в UnHackMe (1 минута).

    1. Итак, запускаем UnHackMe, и сразу стартуем тестирование, можно использовать быстрое, за 1 минуту. Но если время есть — рекомендую расширенное онлайн тестирование с использованием VirusTotal — это повысит вероятность обнаружения не только PETYA, но и остальной нечисти.

    Мы увидим как начался процесс сканирования.

    Шаг 3. Удалите вредоносные программы (3 минуты).

    1. Обнаруживаем что-то на очередном этапе. UnHackMe отличается тем, что показывает вообще все, и очень плохое, и подозрительное, и даже хорошее. Не будьте обезьяной с гранатой! Не уверены в объектах из разряда “подозрительный” или “нейтральный” — не трогайте их. А вот в опасное лучше поверить. Итак, нашли опасный элемент, он будет подсвечен красным. Что делаем, как думаете? Правильно — убить! Ну или в английской версии — Remove Checked. В общем, жмем красную кнопку.

  • После этого вам возможно будет предложено подтверждение. И приглашение закрыть все браузеры. Стоит прислушаться, это поможет.
  • В случае, если понадобится удалить файл, или каталог, пожалуй лучше использовать опцию удаления в безопасном режиме. Да, понадобится перезагрузка, но это быстрее, чем начинать все сначала, поверьте.

    Ну и в конце вы увидите результаты сканирования и лечения.

    Итак, как вы наверное заметили, автоматизированное лечение значительно быстрее и проще! Лично у меня избавление от PETYA заняло 5 минут! Поэтому я настоятельно рекомендую использовать UnHackMe для лечения вашего компьютера от любых нежелательных программ!

    Андрей «Вирусолог»

    Андрей — обычный парень, который пользуется компьютером каждый день, и ненавидит, когда неприятности наполняют его жизнь. А еще он любит петь. Но не переживайте, его голос не будет досаждать вам. Только текст )

    Удаление вируса Petya (Июн 2018 обновление) — Руководство по удалению

    Разработчики Petya снова нападают: Bad Rabbit вымогатель появился в октябре 2017 года

    Petya — это вирус-вымогатель [1] , который начал распространяться в 2016 году. Однако в этом году он был обновлен несколько раз и последняя версия, в качестве Diskcoder.D или Bad Rabbit вымогателя появилась в октябре 2017 года. Согласно текущим отчетам, последняя версия вымогателя в основном затрагивает российские и украинские организации.

    Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа.

    Подобно другим вимогателям, как Locky virus, CryptoWall virus, и CryptoLocker, этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.

    В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение:

    “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”

    Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме.

    Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. [2]

    Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.

    Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы.

    Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR).

    Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы.

    Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как Reimage, чтобы позаботиться о удалении Petya.

    Вирус под названием NotPetya нарушает деятельность Чернобыльской электростанции

    В июне 27 2017 года вирус под названием NotPetya имитируюзщий Petya проникнул в компьютерные системына корпораций и международных правительственных учреждений. В связи с этим системы не могли запускаться нормально. В обмен на доступ требуються 300 долларов. Дальнейший анализ показал, что вирус не настоящий Petya. [3] .

    Наблюдая масштабы нападения, Украина в основном пострадала. Из-за неисправности систем Киевскому аэропорту пришлось отменить некоторые полеты. Кроме того, работники Чернобыльской электростанцией должны были срегулировать уровень радиации вручную.

    Интересно, что некоторые IT специалисты обнаружили, что вирус распространяться через поврежденные обновления, связанные с производителeм компьютерных программ «MeDoc» в Украине. Однако такие обвинения по-прежнему нуждаются в дополнительных доказательствах. [4]

    К счастью, другие специалисты по кибербезопасности нашли временное решение как предотвратить NotPetya/Petya.a атаку. [5]


    На приведенном выше изображении отображается Petya примечания о выкупе.

    Как распространяется этот вирус и как он может войти в компьютер?

    Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки.

    Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете. Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги.

    Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.

    Как я могу удалить вирус Petya с моего ПК?

    Как ми уже упоминали, удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов. Также, восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК. В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.
    Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически.

    Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера.

    Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, вы всегда можете проверить инструкцию удаления, приведенную в конце статьи.

  • Ссылка на основную публикацию