Головне - оновлюйте Windows! Ключові питання з приводу вірусу Petya

"Як зрозуміти, що ваш комп'ютер заражений і куди бігти / що робити, якщо так"

Поточні деталі щодо епідемії ransomware Petya, Petya.C, NotPetya, Petna.

Чим ризикуємо при зараженні?

Ваш ПК перезавантажиться. На жорсткому диску буде перезаписан MBR, в наслідок замість завантаження вашого Windows, ви побачите підробку під перевірку диска, а після того на екрані з'явиться текст, де у вас будуть просить гроші (у вкладенні). Якщо вам не пощастить - файли на вашому диску будуть зашифровані. Поки є відомості про те що шифрується диск C :. Ось типи файлів, що шифруються:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Як розшифрувати дані?

Поки ніяк. Можна спробувати відновити дані з диска за допомогою R-Studio, GetDataBack. Але це лотерея, може вийти, може - ні. Є хлопці на всяких olx, стверджують свою здатність розшифрувати дані. Але ніяких підтверджень цьому немає. Жодна серйозна організація, яка займається безпекою, не підтвердила це. Тому чекаємо. Після минулої епідемії з xdata ентузіасти зробили дешіфровщіка за тиждень.

Що робити, якщо ПК тільки перезавантажився і з'явилося повідомлення як на скрині?

Відразу вимкнути живлення в ПК (є шанси, що важлива інформація ще не зашифрована). Почати відновлення за допомогою компетентних фахівців.

Як відновити роботу ПК?

Наші фахівці в Сервісному Центрі КТС (Рівне, Соборна, 1) вміють

Самостійно ж:

1. Відключаємося від локальної мережі.
2. Завантажуємо з компакт-диска / флешки з Windows PE з встановленими дисковими утилітами (наприклад з Hiren's Boot CD).
3. Відновлюємо MBR.
4. Резервуємо всі необхідні незашифровані дані на зовнішній диск (флешку / usb hdd / usb ssd).
5. Чистимо c: \ windows \ temp.
6. Перевіряємо всі антивірусом.
7. Для параноїків (рекомендуємо бути параноїком :)) форматіруем диск C :, видаляємо все exe-файли, перевстановлюємо Windows.

Чому я можу заразитися?

1. У вас не встановлені оновлення операційної системи. Помилка, яку має вірус, була виправлена ​​у всіх версіях Windows 17 березня 2017 року. Оновлюйтеся і все буде набагато краще. Ні в якому разі не відключайте автоматичні оновлення.
2. Ви завантажуєте файли, які прийшли вам на пошту від невідомих адресатів.
3. Ви заходите на вже заражений комп'ютер під своїм логіном і ваш комп'ютер в тій же мережі.
4. Є підозра, що ті, хто оновлював meDoc близько 12: 30-13: 30 27 червня, завантажили вірус з оновленням (поки не підтверджено 100%).

А може я вже заражений, тільки ще не перезавантажився?

Може. Подивіться, може в каталозі c: \ windows вже знаходиться файл perfc.dat, dllhost.dat.

Якщо так - панікуйте і починайте відновлення.

Як ще захиститися?

Робити резервні копії якомога частіше. Тримайте важливі документи в Google Docs, Dropbox, інших хмарних сервісах. Відключити SMB 1.0. Якщо у вас в мережі Windows XP - то це не варіант.

використовувати MBRFilter , Щоб не можна було переписати ваш MBR. Але це може заважати встановленню майбутніх оновлень ОС. Дехто каже, що можна покласти файли perfc і perfc.dat в каталог c: \ windows, зробити його системним і тільки для читання і так вірус не зможе стартувати.

Головне - оновлюйте Windows!

Забороняється відключати автоматичне оновлення. Перезавантажуйтесь, коли Windows цього просить. Тоді в таких вірусів набагато менше шансів пролізти.