Сьогодні, 27 червня, Україна атакував комп'ютерний вірус Petya A . Від нього вже постраждав ряд українських державних компаній , А також Кабінет Міністрів. Однак від вірусу можна «вилікуватися».
Про це повідомляє інформатор з посиланням на букви .
Не натискайте на посилання з невідомих вам джерел, які прийшли по електронній пошті. На даний момент це самий частий випадок зараження вірусом-шифрувальником.
Як вилікуватися від вірусу-шифрувальника?
1. Коли користувач бачить синій екран смерті, його дані ще не зашифровані, тобто «Петя» ще не дістався до головної таблиці файлів. Якщо ви бачите, що комп'ютер показує вам синій екран, перезавантажується і запускає Check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп'ютера (тільки не в якості завантажувального тому!) І скопіювати свої файли.
2. «Петя» шифрує тільки таблицю, не чіпаючи самі файли. Фахівці з відновлення даних можуть їх повернути. Це тривала і дорога процедура, але цілком реальна. Та годі здійснити її самостійно - через випадкову помилку ваші файли можуть зникнути назавжди.
3. Щоб видалити вірус, вам необхідно завантажити зі здорового комп'ютера завантажувальний диск з антивірусом, який здатний вилікувати комп'ютер від «Петі». Це вміють наприклад ESET NOD32 LiveCD або Kaspersky Rescue Disk.
Після завантаження, за інструкцією запишіть завантажувальний диск на флешку і завантажте комп'ютер з нього. Далі антивірус все зробить сам.
Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для жителів країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від російськомовних розробників.
Ці способи не гарантують повного відновлення файлів.
Є і більш складний спосіб, проте користуватися ним стоїть на свій страх і ризик.
Так, щоб використовувати інструмент дешифрування Leostone, доведеться зняти вінчестер з комп'ютера і підключити його до іншого ПК, що працює під управлінням ОС Windows. Дані, які треба зробити, складають 512 байт, починаючи з сектора 55 (0x37h). Потім ці дані необхідно перетворити в кодування Base64 і використовувати на сайті https://petya-pay-no-ransom.herokuapp.com/ для генерації ключа.
Щоб зняти інформацію з пошкоджених дисків, можна скористатися інструментом Petya Sector Extractor для вилучення необхідної інформації з диска.
Після того як користувач підключить зашифрований диск з зараженого комп'ютера до іншого ПК, потрібно запустити інструмент Fabric Wosar's Petya Sector Extractor, який виявить уражені шифрувальником області.
Як тільки Petya Sector Extractor завершить свою роботу, користувачеві потрібно натиснути першу кнопку Copy Sector ( «Скопіювати сектор») і перейти на сайти Лео Стоуна ( https://petya-pay-no-ransom.herokuapp.com/ або https://petya-pay-no-ransom-mirror1.herokuapp.com /), Вставивши скопійовані дані через Ctrl + V в поле введення тексту (Base64 encoded 512 bytes verification data).
Потім повернутися до утиліти, натиснути другу кнопку Copy Sector і знову скопіювати дані на сайт Стоуна, вставивши їх в інше поле введення (Base64 encoded 8 bytes nonce).
Після заповнення обох полів користувач може натискати Submit і запускати роботу алгоритму.
Сайт повинен надати пароль для розшифровки даних, після чого потрібно повернути жорсткий диск в постраждалий комп'ютер, запустити систему і ввести отриманий код у вікні вимагача. В результаті інформація буде розшифрована.
Після того, як жорсткий диск буде дешифрований, програма ransomware запропонує вам перезавантажити комп'ютер, і тепер він повинен нормально завантажуватися.
Як захиститися від вірусу, читайте тут .
Христина Лях
Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter.
Як вилікуватися від вірусу-шифрувальника?