Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Вірус-шифрувальник Petya: лікування і дешифратор файлів (АПД. Червень 17

  1. Видалити вірус Petya і Mischa c допомогою автоматичного чистильника
  2. Відновити доступ до зашифрованих файлів
  3. Перевірити можливу наявність залишкових компонентів вимагача Petya і Mischa

Кілька місяців тому і ми та інші IT Security фахівці виявили новий шкідливий - Petya (Win32.Trojan-Ransom.Petya.A). У класичному розумінні він не був шифрувальником, вірус просто блокував доступ до певних типів файлів і вимагав викуп. Вірус модифікував завантажувальний запис на жорсткому диску, примусово перезавантажувати ПК і показував повідомлення про те що "дані зашифровані - женіть ваші гроші за розшифровку". Загалом стандартна схема вірусів-шифрувальників за винятком того що файли фактично НЕ зашифровувати. Більшість популярних антивірусів почали ідентифікувати і видаляти Win32.Trojan-Ransom.Petya.A через кілька тижнів після його появи. Крім того з'явилися інструкції по ручному видаленню. Чому ми вважаємо що Petya не класичний шифрувальник? Цей вірус вносить зміни в в Master Boot Record і перешкоджає завантаженні ОС, а також шифрує Master File Table (головну таблицю файлів). Він не шифрує самі файли. Кілька місяців тому і ми та інші IT Security фахівці виявили новий шкідливий - Petya (Win32

Шкідливий Petya. Екран з попередженням

Однак кілька тижнів тому з'явився більш витончений вірус Mischa, судячи з усього написаний тими самими шахраями. Цей вірус шифрує файли і вимагає заплатити за розшифровку 500 - 875 $ (в різних версіях 1.5 - 1.8 біткоіни). Інструкції по "розшифровці" і оплаті за неї зберігаються в файлах YOUR_FILES_ARE_ENCRYPTED.HTML і YOUR_FILES_ARE_ENCRYPTED.TXT.

Вірус Mischa - вміст файлу YOUR_FILES_ARE_ENCRYPTED.HTML

Зараз фактично хакери заражають комп'ютери користувачів двома шкідливий: Petya і Mischa. Першому потрібні права адміністратора в системі. Тобто якщо користувач відмовляється видати Petya адмінських права або ж видалив цей зловредів вручну - в справу включається Mischa. Цьому вірусу не потрібні права адміністратора, він є класичним шифрувальником і дійсно шифрує файли по стійкому алгоритмом AES і не вносячи жодних змін в Master Boot Record і таблицю файлів на вінчестері жертви.

Реклама "пакету" шкідливий Mischa і Petya на одному з хакерських форумів

Шкідливий Mischa шифрує не тільки стандартні типи файлів (відео, картинки, презентації, документи), але також файли .exe. Вірус не зачіпає тільки директорії \ Windows \ $ Recycle.Bin, \ Microsoft \ Mozilla Firefox, \ Opera, \ Internet Explorer, \ Temp, \ Local, \ LocalLow і \ Chrome.

Зараження відбувається переважно через електронну пошту, куди приходить лист із вкладеним файлом - інсталятором вірусу. Воно може бути зашифровано під лист з Податкової, від Вашого бухгалтера, як вкладені квитанції і чеки про покупки і.т.д. Звертайте увагу на розширення файлів в таких листах - якщо це виконавчий файл (.exe), то з великою ймовірністю він може бути контейнером з вірусом Petya \ Mischa. І якщо модифікація зловреда свіжа - Ваш антивірус може і не відреагувати.

Оновлення 30.06.2017: 27 июня модифікований варіант вірусу Petya (Petya.A) масово атакував користувачів в Україні. Ефект від даної атаки був колосальний і економічний збиток поки не підрахований. За один день була паралізована робота десятків банків, торговельних мереж, державних установ і підприємств різних форм власності. Вірус поширювався переважно через уразливість в українській системі подачі бухгалтерської звітності MeDoc з останнім автоматичним оновленням даного ПЗ. Крім того вірус торкнувся і такі країни як Росія, Іспанія, Великобританія, Франція, Литва.

"Український" варіант вірусу Petya

Видалити вірус Petya і Mischa c допомогою автоматичного чистильника

Виключно ефективний метод роботи з шкідливим ПО взагалі і програмами-вимагачами зокрема. Використання зарекомендував себе захисного комплексу гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, мова йде про двох різних процесах: деінсталяції інфекції та відновлення файлів на Вашому ПК. Проте, загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців з її допомогою.

  1. Завантажити програму для видалення вірусу Mischa \ Petya . Після запуску програмного засобу, натисніть кнопку Start Computer Scan (Почати сканування). Завантажити програму для видалення зловредів
    Petya і Mischa
  2. Встановлене ПЗ надасть звіт по виявленим в ході сканування загрозам. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats (Усунути загрози). Розглядається шкідливий ПО буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було відзначено, програма-вимагач Mischa блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу (іноді доходить до 1000 $). Але деякі методи дійсно можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитися.

Програма автоматичного відновлення файлів (дешифратор)

Відомо досить неординарне обставина. Дана інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою вимагання, таким чином, націлений на їх копії. Це надає можливість таким програмних засобів як Data Recovery Pro відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів. Відомо досить неординарне обставина

Завантажити програму восстановелнія даних
Data Recovery Pro

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється в кожній точці відновлення. Важлива умова роботи даного методу: функція "Відновлення системи" повинна бути активована до моменту зараження. При цьому будь-які зміни в файл, внесені після точки відновлення, в відновленої версії файлу відображатися не будуть.

Резервне копіювання

Це найкращий серед всіх не пов'язаних з викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-здирника на Ваш комп'ютер, для відновлення зашифрованих файлів знадобитися просто увійти до відповідного інтерфейс, вибрати необхідні файли і запустити механізм відновлення даних з резерву. Перед виконанням операції необхідно упевнитися, що здирницькі ПО повністю видалено.

Перевірити можливу наявність залишкових компонентів вимагача Petya і Mischa

Очищення в ручному режимі чревата упущенням окремих фрагментів здирницькі ПО, які можуть уникнути видалення у вигляді укритті об'єктів операційної системи або елементів реєстру. Щоб виключити ризик часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на образами ПО.

Завантажити програму для видалення вірусу
Mischa і Petya

схоже

Чому ми вважаємо що Petya не класичний шифрувальник?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.