Как восстановить информацию после вируса петя

Атака вируса Petya.A за несколько дней охватила десятки стран и развилась до масштабов эпидемии в Украине, где в распространении зловреда была причастна программа для отчетности и документооборота M.E.Doc. Позже эксперты выяснили, что целью злоумышленников было полное уничтожение данных, но, как сообщает киберполиция Украины, при частичном заражении системы шанс восстановить файлы есть.

Если вирус получает права администратора, исследователи выделяют три основных сценария его воздействия:

Компьютер заражен и зашифрован, система полностью скомпрометрирована. Для восстановления данных требуется закрытый ключ, а на экране отображается сообщение с требованием уплатить выкуп (хотя это не поможет).
Компьютер заражен и частично зашифрован — система начала шифровать файлы, но отключением питания или другими способами пользователь остановил этот процесс.
Компьютер заражен, но процесс шифрования таблицы MFT еще не начался.

В первом случае действенного способа расшифровки данных пока нет. Сейчас его поиском занимаются специалисты киберполиции и IT-компаний, а также создатель оригинального вируса Petya (позволявшего восстанавливать систему с помощью ключа). Если же главная таблица файлов MFT нарушена частично или вовсе не затронута, шанс получить доступ к файлам все еще есть.

В киберполиции назвали два основных этапа работы модифицированного вируса Petya:

Первый: получение привилегированных прав администратора (при использовании Active Directory они отключены). Сначала вирус сохраняет оригинальный загрузочный сектор для операционной системы MBR в зашифрованном виде битовой операции XOR (xor 0x7), после чего записывает на его место свой загрузчик. Остальная часть кода трояна записывается в первые секторы диска. На этом этапе создается текстовый файл о шифровании, но данные еще не зашифрованы.

Вторая фаза шифрования данных начинается после перезагрузки системы. Petya обращается уже к собственному конфигурационному сектору, в котором есть отметка о не зашифрованных данных. После этого начинается процесс шифрования, на экране от отображается как работа программы Check Disk. Если он уже запущен, стоит отключить питание и попробовать воспользоваться предложенным способом восстановления данных.

Для начала нужно загрузиться с установочного диска Windows. Если при этом будет видна таблица с разделами жесткого диска (или SSD), можно приступить к процедуре восстановления загрузочного сектора MBR. Затем стоит проверить диск на наличие зараженных файлов. Сегодня Petya распознают все популярные антивирусы.

Если процесс шифрования был начат, но пользователь успел его прервать, после загрузки операционной системы необходимо воспользоваться программным обеспечением для восстановления зашифрованных файлов (R-Studio и другие). Данные нужно будет сохранить на внешний носитель и переустановить систему.

В киберполиции опубликовали инструкцию по восстановлению загрузочного сектора для разных версий Windows.

Для ОС Windows XP:

Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

Должен появиться запрос: C: \ WINDOWS>, введите fixmbr

Для Windows Vista:

Подождите завершения операции. Если все прошло успешно, на экране появится сообщение о подтверждении.

Для Windows 7:

Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.

Для Windows 8:

Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.

Для Windows 10:

Выберите командную строку. Когда загрузится командная строка, введите команду:

Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A). В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Вредонос Petya. Экран с предупреждением

Однако несколько недель тому назад появился более изощренный вирус Mischa, судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Реклама “пакета” вредоносов Mischa и Petya на одном из хакерских форумов

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

“Украинский” вариант вируса Petya

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Загрузить программу для удаления вируса Mischa \ Petya. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления зловреда
Petya и Mischa
Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

" data-medium-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" data-large-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" class="lazyload" data-src="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515" alt="previous-versions" width="392" height="515" data-recalc-dims="1" />

Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

В результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний.

Эксперты отмечают, что удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов, пишет Bedynet.

Восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК.

В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.

Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически.

Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера. Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, можете проверить инструкцию удаления:

Удалите Petya, используя Safe Mode with Networking

Windows 7 / Vista / XP

Щелкните Start → Shutdown → Restart → OK.

Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.

В списке выберите Safe Mode with Networking

Windows 10 / Windows 8

В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..

Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.

Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.

Шаг 2: Удалить Petya

Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Petya.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите Petya, используя System Restore

Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

Windows 7 / Vista / XP

Щелкните Start → Shutdown → Restart → OK.

Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.

В списке выберите Command Prompt

Windows 10 / Windows 8

В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..

Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.

Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt.

Шаг 2: Восстановите Ваши системные файлы и настройки

После появления окна Command Prompt, введите cd restore и щелкните Enter

Теперь введите rstrui.exe и снова нажмите Enter..

После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Petya. После этого нажмите Next.

Теперь щелкните Yes для начала восстановления системы.

После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Как сообщали Українські Новини, хакерской атаке подверглись сотни украинских интернет-сайтов: список.

Команда антивирусной программы выяснила основную цель вируса и как от него защититься.

Департамент киберполиции Национальной полиции Украины опубликовал рекомендации по восстановлению доступа к компьютерам, которые были поражены в результате недавней кибератаки вируса-шифровальщика Petya.A.

В процессе детального изучения вредоносного ПО исследователями было установлено три основных сценария его воздействия (при запуске от имени администратора):

Система скомпрометирована полностью. Для восстановления данных требуется закрытый ключ, а на экране при запуске отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки.

Компьютеры заражены, частично зашифрованы, система начала процесс шифрования, но внешние факторы (отключение питания и т.д.) прекратили процесс шифрования.

Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Восстановление доступа возможно только в последних двух случаях, тогда как действенного способа восстановления полностью скомпрометированных систем пока, к сожалению, нет. Его поиском сейчас активно занимаются специалисты Департамента киберполиции, СБУ, Госспецсвязи Украины, отечественных и международных IT-компаний.

Первый: получение привилегированных прав (прав администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем подменяет вышеуказанный сектор модифицированным загрузчиком, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором содержится отметка, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.

Если при загрузке с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процедуре восстановления загрузочного сектора MBR. Она осуществляется следующим образом:

Для ОС Windows XР:

Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

Должен появиться запрос: C: \ WINDOWS> введите fixmbr

Для Windows Vista:

Когда появится командная строка, введите эту команду:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 7

Загрузите Windows 7.

Выберите раскладку клавиатуры.

Когда командная строка успешно загрузится, введите команду:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 8

Загрузите Windows 8.

Выберите командную строку..

Когда загрузится командная строка, введите следующие команды:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 10

Загрузите Windows 10.

Выберите командную строку.

Когда загрузится командная строка, введите команду:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Департамент Киберполиции Национальной полиции Украины опубликовал рекомендации пользователям по восстановлению доступа к компьютерам, которые подверглись кибератаке вируса-шифровальщика Petya.A.

В процессе изучения вируса-шифровальщика Petya.A исследователи установили несколько вариантов воздействия вредоносного ПО (при запуске вируса с правами администратора):

Система полностью скомпрометирована. Для восстановления данных требуется закрытый ключ, а на экране отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки данных.

Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр .: отключение питания и т.д.) прекратили процесс шифрования.

Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Что касается первого варианта — к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса активно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, украинских и международных ИТ-компаний.

В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится на компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, компьютер запустится и будет работать.

Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Почему так? Потому что описанное выше — это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.

Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.

Далее приведены рекомендации, о возобновлении доступа к пораженной вирусом операционной системе, при условии, что:

• Процесс шифрования был запущен, но внешние факторы (напр .: отключение питания и т.д.) прекратили процесс шифрования;
• Процесс шифрования таблицы MFT еще не начался из-за факторов, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и т.д.).

Рекомендуется провести следующие действия для проверки и восстановления зашифрованной информации:

• Загрузиться с установочного диска Windows;

• Если после загрузки с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процессу восстановления MBR;

Для Windows XР:

Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

Должен появиться запрос системы: C: \ WINDOWS> введите fixmbr

Для Windows Vista:

Когда появится командная строка, введите команду:

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 7:

Загрузите Windows 7.

Выберите раскладку клавиатуры.

Когда командная строка успешно загрузится, введите команду:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 8

Загрузите Windows 8.

Windows 8 восстановит компьютерное меню

Выберите командную строку.

Когда загрузится командная строка, введите следующие команды:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

Для Windows 10

Загрузите Windows 10.

Выберите командную строку.

Когда загружается командную строку, введите команду:

Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.

После процедуры восстановления MBR, исследователи рекомендуют проверить диск антивирусными программами на наличие зараженных файлов.

Специалисты киберполиции отмечают, что указанные действия также актуальны, если процесс шифрования был начат, но прерван пользователем путем отключения питания компьютера на начальном процессе шифрования. В данном случае, после загрузки ОС, можно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.

Также отмечается что в случае использования программ восстановления данных, которые записывают свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.

Напомним, 27 июня 2017 года началась масштабная кибератака вируса-шифровальщика Petya.A на IT-системы украинских компаний и госучреждений.

Некоторое время назад специалистами был обнаружен вирус Petya. В G DATA SecurityLabs выяснили, что вирусу нужен административный доступ в систему, при этом он не шифрует файлы, а лишь блокирует доступ к ним. На сегодняшний день средства от Petya (Win32.Trojan-Ransom.Petya.A‘) уже существуют. Сам же вирус модифицирует загрузочную запись на системном накопителе и вызывает аварийное завершение работы компьютера, выдавая сообщение о повреждении данных на диске. На деле же это как раз шифрование.

За восстановление доступа разработчики зловреда требовали оплату.

Однако на сегодняшний день вдобавок к вирусу Petya появился ещё более изощрённый - Misha. Ему не нужны административные права, и он шифрует данные как классический Ransomware, создавая на диске или в папке с зашифрованными данными файлы YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT. В них содержится инструкция по получению ключе, цена которого составляет примерно 875 долларов.

Важно отметить, что заражение происходит через электронную почту, на которую приходит exe-файл с вирусами, маскирующийся под pdf-документ. И здесь остаётся снова напомнить - внимательно проверяйте письма с прикреплёнными файлами, а также старайтесь не скачивать документы из Интернета, поскольку сейчас вирус или вредоносный макрос можно встроить в doc-файл или веб-страницу.

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A) . В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Однако несколько недель тому назад появился более изощренный вирус Mischa , судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

Во вторник, 27 июня, украинские и российские компании сообщили о массовой вирусной атаке: компьютеры на предприятиях отображали сообщение с требованием о выкупе. разобралась, кто в очередной раз пострадал из-за хакеров и как уберечься от кражи важных данных.

Украинцы начали публиковать последствия заражения в сети: судя по многочисленным снимкам, компьютеры атаковал вирус-вымогатель. На экране пораженных устройств выскакивало сообщение о том, что все данные зашифрованы, и владельцам устройств нужно заплатить 300 долларов выкупа в биткоинах. При этом хакеры не сообщили, что произойдет с информацией в случае бездействия, и даже не установили таймер обратного отсчета до уничтожения данных, как это было с атакой вируса WannaCry.

Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, и ПриватБанка.

Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.

Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).

По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории отметил , что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.

Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем - установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.

Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.

Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.

В середине мая компьютеры по всему миру атаковал похожий вирус-вымогатель WannaCrypt0r 2.0, также известный как WannaCry. Всего за несколько часов он парализовал работу сотен тысяч работавших на Windows устройств в более чем 70 странах. В числе пострадавших оказались и российские силовые структуры, банки и мобильные операторы. Попав на компьютер жертвы, вирус шифровал жесткий диск и требовал отправить злоумышленникам 300 долларов в биткоинах. На размышление отводилось три дня, после чего сумма увеличивалась вдвое, а через неделю файлы зашифровывались навсегда.

Правообладатель иллюстрации PA Image caption По мнению экспертов, бороться с новым вымогателем сложнее, чем с WannaCry

Программа-вымогатель 27 июня заблокировала компьютеры и зашифровала файлы в десятках компаний по всему миру.

Сообщается, что больше всех пострадали украинские компании - вирус заразил компьютеры крупных компаний, госструктур и объектов инфраструктуры.

За расшифровку файлов вирус требует от жертв 300 долларов в биткойнах.

Русская служба Би-би-си отвечает на главные вопросы о новой угрозе.

Кто пострадал?

Распространение вируса началось с Украины. Пострадали аэропорт "Борисполь", некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. Отключились компьютеры и в правительстве Украины.

Вслед за этим наступила очередь компаний в России: "Роснефть", "Башнефть", Mondelеz International, Mars, Nivea и другие также стали жертвами вируса.

Как работает вирус?

Эксперты пока не пришли к единому мнению относительно происхождения нового вируса. Компании Group-IB и Positive Technologies видят в нем разновидность вируса Petya 2016 года.

"Это вымогательское программное обеспечение использует как хакерские методы и утилиты, так и стандартные утилиты системного администрирования, - комментирует руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. - Все это гарантирует высокую скорость распространения внутри сети и массовость эпидемии в целом (при заражении хотя бы одного персонального компьютера). Результатом является полная неработоспособность компьютера и шифрование данных".

В румынской компании Bitdefender видят больше общего с вирусом GoldenEye, в котором Petya объединяется с еще одним вредоносом под названием Misha. Преимущество последнего - для шифрования файлов он не требует у будущей жертвы права администратора, а добывает их самостоятельно.

Брайан Кэмбелл из Fujitsu и ряд других экспертов полагают, что новый вирус использует украденную у Агентства национальной безопасности США, модифицированную программу EternalBlue.

После публикации этой программы хакерами The Shadow Brokers в апреле 2017 года весь мир облетел созданный на ее основе вирус-вымогатель WannaCry.

Используя уязвимости Windows, эта программа позволяет вирусу распространяться на компьютеры по всей корпоративной сети. Оригинальный же Petya рассылался по электронной почте под видом резюме и мог заражать только тот компьютер, где это резюме открывали.

В "Лаборатории Касперского" заявили "Интерфаксу", что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения.

"Программные продукты "Лаборатории Касперского" детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.", - отметил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

В общем, если и называть новый вирус русским именем, нужно иметь в виду, что внешне он больше похож на чудовище Франкенштейна, поскольку собран из нескольких вредоносных программ. Доподлинно известно, что вирус появился на свет 18 июня 2017 года.

Image caption За расшифровку файлов и разблокировку компьютера вирус требует 300 долларов

Круче чем WannaCry?

WannaCry понадобилось всего несколько суток в мае 2017 года, чтобы достичь статуса самой массовой кибератаки подобного рода в истории. Обгонит ли новый вирус-вымогатель своего недавнего предшественника?

За неполные сутки злоумышленники получили от своих жертв 2,1 биткойна - порядка 5 тыс. долларов. WannaCry за тот же срок собрал 7 биткойнов.

При этом, по мнению Эльмара Набигаева из Positive Technologies, бороться с новым вымогателем сложнее.

"Помимо эксплойта [уязвимости в Windows] эта угроза распростряется также с помощью учетных записей операционных систем, украденных с помощью специальных хакерских утилит", - отметил эксперт.

Как бороться с вирусом?

В качестве профилактики эксперты советуют вовремя устанавливать обновления для операционных систем и проверять файлы, полученные по электронной почте.

Продвинутым администраторам советуют временно отключить протокол передачи данных в сети Server Message Block (SMB).

Если же компьютеры оказались заражены - ни в коем случае не платить злоумышленникам. Нет никакой гарантии, что, получив оплату, они расшифруют файлы, а не станут требовать больше.

Остается только ждать программу-дешифровщик: в случае с WannaCry на ее создание у специалиста французской компании Quarkslab Адриена Гинье ушла неделя.

Первая программа-вымогатель AIDS (PC Cyborg) была написана биологом Джозефом Поппом в 1989 году. Она скрывала каталоги и шифровала файлы, требуя выплатить 189 долларов за " продление лицензии " на счет в Панаме. Свое детище Попп распространял с помощью дискет по обычной почте, совершив в общей сложности около 20 тыс яч отправлений . Попп был задержан при попытке обналичить чек, но избежал суда - в 1991 году его признали невменяемым.

Читайте также: