Як боротися з вірусом Petya.А

У цій статті ми вже не говоримо таких простих порад, як «не відкривати підозрілі файли, які прийшли поштою або через месенджери». Тут піде мова про більш професійних і тонких аспектах, пов'язаних з функціонуванням вірусу Petya.А (і можливо, подібних до нього майбутніх вірусів) і зараженням їм комп'ютерів

Якщо відішлете гроші - ключ шифру все одно не пришлють

Вірус Petya.А (Trojan.Encoder.12544) по компетентному висновком фахівців каліфорнійського Університету Берклі випущений в рамках атаки 27 червня 2017 роки не з метою заробітку його творців, а виключно з метою пошкодження IT-систем.

Відсилання грошей, нібито запитаних шифрувальником, не привела до появи у кого-небудь ключів розшифровки - а тому відсилати гроші абсолютно безглуздо.

2. Зашифровані файли - швидше за все, знищені безвозратно

Модифікація Petya.А радикально відрізняється від торішньої версії Petya, для якої тоді ж програмісти оперативно створили алгоритм розшифровки файлів і розблокування операційної системи. У новій версії використаний криптографически стійкий шифр зі створенням особливого ключа для кожного диска і його подальшим видаленням. Це унеможливило створення алгоритмів розкодування.

Тому файли, вже пошкоджені Petya.А (Trojan.Encoder.12544), на даний момент повернути в початковий вигляд категорично неможливо. Проте, відновити події файли, пошкоджені його модифікацією NotPetya - така версія кодує тільки MFT (керуючу файлами таблицю), а не самі файли.

3. Запустіть пошук по файлах - чи немає у вас «perfc.dat»

Якщо пошуком по файлах ви виявили у себе файли «C: \ Windows \ perfc.dat» або «C: \ Windows \ dllhost.dat» - це і є свідчення зараження вірусом. Що робити в цьому випадку - читайте далі.

ОДНАК ТВОРЦІ ВІРУСУ ЧИТАЮТЬ ПУБЛІКАЦІЇ ПРО НЕЇ І ВЖЕ ДО 30 ЧЕРВНЯ 2017 року МОЖУТЬ ПЕРЕЙМЕНУВАТИ ЦІ ФАЙЛИ •

4. Якщо є підозра зараження - не вимикайте комп'ютер

Для блокування комп'ютерів вірус Petya.А перезаписує головний завантажувальний запис - master boot record (MBR). Для запуску своєї версії MBR йому необхідне перезавантаження комп'ютера.

Тому при виявленні пошуком файлу «C: \ Windows \ perfc.dat» необхідно ні в якому разі не перезавантажувати і не вимикати комп'ютер. А слід, відключивши інтернет, зайнятися негайним копіюванням всієї важливої ​​інформації на інші носії.

5. При «перевірці диска» після завантаження - навпаки, вимикайте комп'ютер

Якщо навіть ви не натиснете перезавантаження вручну, вірус Petya.А через кілька годин може включити перезавантаження комп'ютера самостійно - після чого виводить на екран повідомлення про роботу утиліти CHKDSK. Насправді в цей момент відбувається шифрування файлів.

Якщо ви побачили перезавантаження комп'ютера і початок «перевірки диска», в цей момент потрібно відразу ж вимкнути комп'ютер - і файли залишаться незашифрованими.

Після цього завантаження з завантажувального USB-накопичувача або CD дасть доступ до файлів.

7. Спробуйте створити помилкову копію файлу вірусу

Шифрувальник файлів після перезавантаження не спрацьовує, якщо в пару до файлу «C: \ Windows \ perfc.dat» створити файл "C: \ Windows \ perfc» (без розширення).

8. Якщо Windows ліцензійна - дотримуйтесь вказівок Microsoft

Усунення уразливості Windows, якою користується вірус при автоматичному оновленні ряду програм, можливо за допомогою установки патча MS17-010 від 14 березня 2017 року.

Також на сайті Microsoft вже викладений детальний розбір всіх нюансів, пов'язаних з вірусом Petya.А.

9. MBR - на відміну від файлів - відновимо

Для програмістів: відновлення зміненої вірусом MBR можливо до перезавантаження системи або після перезавантаження, але до шифрування - за допомогою команди «bootrec /« fixmbr »(в разі Windows XP використовуйте команду« fixmbr »). Необхідно витяг копії початкового MBR з 34 сектора (зміщення на диску 0x4400, розмір 0x200), його розшифровка (xor 0x07) і перезапис «на місце»: в початковий сектор диска, повідомляє Ево-бізнес .