Galbūt jau žinote apie įsilaužėlių grėsmę, užfiksuotą 2017 m. birželio 27 d. Rusijos ir Ukrainos šalyse, kurios buvo ištiktos didelio masto ataka, panašia į WannaCry. Virusas užrakina kompiuterius ir reikalauja išpirkos bitkoinais už failų iššifravimą. Iš viso nukentėjo daugiau nei 80 įmonių abiejose šalyse, įskaitant Rusijos „Rosneft“ ir „Bašneft“.
Išpirkos reikalaujantis virusas, kaip ir liūdnai pagarsėjęs WannaCry, užblokavo visus kompiuterio duomenis ir reikalauja, kad nusikaltėliams būtų pervesta 300 USD išpirka bitkoinais. Tačiau skirtingai nei Wanna Cry, Petya nesivargina šifruodama atskirų failų – ji beveik akimirksniu „atima“ visą standųjį diską.
Teisingas šio viruso pavadinimas yra Petya.A. ESET ataskaita atskleidžia kai kurias Diskcoder.C (dar žinomas kaip ExPetr, PetrWrap, Petya arba NotPetya) galimybes.
Remiantis visų aukų statistika, virusas buvo platinamas sukčiavimo laiškuose su užkrėstais priedais. Paprastai laiškas ateina su prašymu atidaryti tekstinį dokumentą, bet, kaip žinome, antrasis failo plėtinys txt.exe yra paslėptas, o pirmenybė teikiama paskutiniam failo plėtiniui. Pagal numatytuosius nustatymus „Windows“ operacinė sistema nerodo failų plėtinių ir jie atrodo taip:
8.1 naršyklės lange (View\Folder Options\Uncheck Slėpti registruotų failų tipų plėtinius)
7 naršyklės lange (Alt\Tools\Folder Options\Atžymėkite Slėpti žinomų failų tipų plėtinius)
O blogiausia, kad vartotojų net nejaudina tai, kad laiškai ateina iš nepažįstamų vartotojų ir prašo atidaryti nesuprantamus failus.
Atidaręs failą, vartotojas mato „mėlyną mirties ekraną“.
Po perkrovimo atrodo, kad paleistas „Scan Disk“; iš tikrųjų virusas užšifruoja failus.
Skirtingai nuo kitų išpirkos reikalaujančių programų, šis virusas, paleidęs, iš karto perkrauna kompiuterį, o kai vėl įsijungia, ekrane pasirodo pranešimas: „NEIŠJUNKITE PC! JEI SUSTABDITE ŠĮ PROCESĄ, GALITE SUNAIKINTI VISUS SAVO DUOMENYS! ĮSItikinkite, ar JŪSŲ KOMPIUTERIS PRIJUNGTAS PRIE ĮKROVIMO! Nors tai gali atrodyti kaip sistemos klaida, Petya iš tikrųjų tyliai atlieka šifravimą slaptuoju režimu. Jei vartotojas bando iš naujo paleisti sistemą arba sustabdyti failų šifravimą, ekrane pasirodo mirksintis raudonas skeletas kartu su tekstu „PRESS ANY KEY! Galiausiai, paspaudus klavišą, atsiras naujas langas su išpirkos užrašu. Šioje pastaboje nukentėjusiojo prašoma sumokėti 0,9 bitkoino, o tai yra maždaug 400 USD. Tačiau ši kaina nurodyta tik už vieną kompiuterį. Todėl įmonėms, kurios turi daug kompiuterių, suma gali siekti tūkstančius. Be to, ši išpirkos programa skiriasi tuo, kad ji suteikia jums visą savaitę išpirkai sumokėti, o ne įprastai 12–72 valandas, kurias suteikia kiti šios kategorijos virusai.
Be to, problemos su Petya tuo nesibaigia. Kai šis virusas pateks į sistemą, jis bandys perrašyti Windows įkrovos failus arba vadinamąjį Boot Writer, reikalingą operacinei sistemai paleisti. Negalėsite pašalinti Petya viruso iš savo kompiuterio, nebent atkursite Master Boot Recorder (MBR) nustatymus. Net jei jums pavyks ištaisyti šiuos nustatymus ir pašalinti virusą iš savo sistemos, deja, jūsų failai išliks užšifruoti, nes viruso pašalinimas ne iššifruoja failus, o tiesiog pašalina užkrečiamus failus. Žinoma, viruso pašalinimas yra svarbus, jei norite toliau dirbti su kompiuteriu
Patekusi į jūsų Windows kompiuterį, Petya beveik akimirksniu užšifruoja MFT (pagrindinę failų lentelę). Už ką atsakinga ši lentelė?
Įsivaizduokite, kad jūsų kietasis diskas yra didžiausia biblioteka visoje visatoje. Jame yra milijardai knygų. Taigi, kaip rasti tinkamą knygą? Tik per bibliotekos katalogą. Būtent šį katalogą Petya sunaikina. Taigi jūs prarasite bet kokią galimybę rasti bet kokį „failą“ savo kompiuteryje. Jei dar tiksliau, Petya „padirbėjus“, jūsų kompiuterio kietasis diskas primins biblioteką po viesulo, o knygų skiautelės skraido visur.
Taigi, skirtingai nei „Wanna Cry“, „Petya.A“ nešifruoja atskirų failų, tam skirdama daug laiko – tai tiesiog atima bet kokią galimybę juos rasti.
Kas sukūrė Petya virusą?
Kuriant Petya virusą buvo naudojamas išnaudojimas („skylė“) „Windows“ OS pavadinimu „EternalBlue“. „Microsoft“ išleido pataisą kb4012598(Iš anksčiau išleistų WannaCry pamokų jau kalbėjome apie šį atnaujinimą, kuris „uždaro“ šią skylę.
Petya kūrėjas sugebėjo išmintingai panaudoti įmonių ir privačių vartotojų nerūpestingumą ir iš to užsidirbti pinigų. Jo tapatybė vis dar nežinoma (ir vargu ar bus žinoma)
Kaip pašalinti Petya virusą?
Kaip pašalinti Petya.A virusą iš standžiojo disko? Tai nepaprastai įdomus klausimas. Faktas yra tas, kad jei virusas jau užblokavo jūsų duomenis, tada iš tikrųjų nebus ką ištrinti. Jei neplanuojate mokėti išpirkos reikalaujančių programų (to neturėtumėte daryti) ir ateityje nebandysite atkurti duomenų diske, galite tiesiog suformatuoti diską ir iš naujo įdiegti OS. Po to viruso neliks jokių pėdsakų.
Jei įtariate, kad diske yra užkrėstas failas, nuskaitykite diską naudodami antivirusinę programą iš ESET Nod 32 ir atlikite visą sistemos nuskaitymą. NOD 32 įmonė patikino, kad jos parašų duomenų bazėje jau yra informacijos apie šį virusą.
Petya.Iššifruotojas
Petya.A užšifruoja jūsų duomenis labai stipriu šifravimo algoritmu. Šiuo metu nėra sprendimo, kaip iššifruoti užblokuotą informaciją.
Be abejonės, visi svajotume gauti stebuklingą iššifruotoją Petya.A, tačiau tokio sprendimo tiesiog nėra. WannaCry virusas pasaulį pasiekė prieš kelis mėnesius, tačiau vaistų, kaip iššifruoti jo užšifruotus duomenis, taip ir nepavyko.
Vienintelė galimybė yra, jei anksčiau turėjote šešėlines failų kopijas.
Todėl, jei dar netapote Petya.A viruso auka, atnaujinkite savo OS sistemą, įdiekite antivirusinę programą iš ESET NOD 32. Jei vis tiek prarandate duomenų kontrolę, turite keletą variantų.
Mokėti pinigus. Nėra prasmės tai daryti! Ekspertai jau išsiaiškino, kad viruso kūrėjas duomenų neatkuria ir negali atkurti, atsižvelgiant į šifravimo techniką.
Pabandykite pašalinti virusą iš savo kompiuterio ir pabandykite atkurti failus naudodami šešėlinę kopiją (virusas jų neveikia)
Išimkite standųjį diską iš įrenginio, atsargiai įdėkite jį į spintelę ir paspauskite iššifravimo mygtuką, kad atsirastų.
Disko formatavimas ir operacinės sistemos įdiegimas. Minusas – visi duomenys bus prarasti.
Petya.A ir Android, iOS, Mac, Linux
Daugelis vartotojų nerimauja, ar Petya virusas gali užkrėsti jų Android ir iOS įrenginius. Paskubėsiu juos nuraminti – ne, negali. Jis skirtas tik Windows OS vartotojams. Tas pats galioja ir Linux bei Mac gerbėjams – gali ramiai miegoti, tau niekas negresia.
Neįprastos išpirkos reikalaujančios kenkėjiškos programos. Petya ransomware yra sena gera spintelė, kurią neseniai pakeitė išpirkos reikalaujančios programos. Tačiau Petya ne tik blokuoja darbalaukį ar naršyklės langą, bet ir neleidžia operacinei sistemai įkelti. Išpirkos pranešime teigiama, kad kenkėjiška programa naudoja „karinį šifravimo algoritmą“ ir vienu metu užšifruoja visą standųjį diską.
Netolimoje praeityje spintelės (dar žinomos kaip blokatoriai) buvo labai paplitusi kenkėjiškų programų rūšis. Vieni jų užblokavo darbalaukį, kiti – tik naršyklės langą, tačiau visi pareikalavo iš aukos išpirkos, kad atkurtų prieigą. Spintelės buvo pakeistos šifruotojais, kurie ne tik blokuoja duomenis, bet ir juos užšifruoja, o tai gerokai padidina tikimybę sumokėti išpirką.
Tačiau G DATA specialistai aptiko naują spintelės, kuri vadinasi Petya, pavyzdį. Išpirkos pranešime kenkėjiška programa nurodo, kad ji vienu metu sujungia blokatoriaus ir šifruotojo funkcijas.
Sukčiavimo el. laiškas personalo specialistui
Petya pirmiausia puola personalo specialistus. Norėdami tai padaryti, užpuolikai siunčia labai tikslingus sukčiavimo el. laiškus. Manoma, kad pranešimai yra atnaujinami iš kandidatų į bet kurias pareigas. Kartu su laiškais pateikiama nuoroda į visą pareiškėjo portfelį, kurio failas yra Dropbox. Žinoma, vietoje portfelio nuorodoje yra kenkėjiška programa – failas application_portfolio-packed.exe (išvertus iš vokiečių kalbos).
![](https://i2.wp.com/xakep.ru/wp-content/uploads/2016/03/csm_12443128_966761246740226_314967621_n_5c8be0cf7b.jpg)
Paleidus šį .exe failą, sistema sugenda į „mėlynąjį mirties ekraną“ ir paleidžiama iš naujo. G DATA ekspertai mano, kad prieš paleidžiant iš naujo, kenkėjiška programa trukdo MBR veikimui, kad perimtų įkrovos proceso kontrolę.
![](https://i0.wp.com/xakep.ru/wp-content/uploads/2016/03/Petya-Processing.png)
Iš naujo paleidus kompiuterį, nukentėjusysis mato disko patikrinimo (CHKDSK) imitaciją, po kurios kompiuterio ekrane įkeliama visai ne operacinė sistema, o Petya užrakinimo ekranas. Išpirkos reikalaujanti programa informuoja auką, kad visi jo standžiajame diske esantys duomenys buvo užšifruoti naudojant „karinį šifravimo algoritmą“ ir jų negalima atkurti.
Norėdami atkurti prieigą prie sistemos ir iššifruoti duomenis, auka turi sumokėti išpirką, apsilankius užpuoliko svetainėje .onion zonoje. Jei per 7 dienas nesumokama, išpirkos suma padvigubinama. Užpuolikui siūlomas specialus „iššifravimo kodas“, iš kurio „pirkti“, kurį reikia įvesti tiesiai spintelės ekrane.
G DATA specialistai rašo, kad dar iki galo nesuprato, kaip veikia Petya, tačiau įtaria, kad kenkėjiška programa tiesiog meluoja apie duomenų šifravimą. Greičiausiai kenkėjiška programa tiesiog blokuoja prieigą prie failų ir neleidžia įkelti operacinei sistemai. Ekspertai primygtinai pataria nemokėti išpirkos užpuolikams ir žada artimiausiu metu paskelbti atnaujintą informaciją apie grėsmę.
Žemiau esančiame vaizdo įraše galite pamatyti „Petya“ veikimą.
Antradienį, birželio 27 d., įmonės visame pasaulyje patyrė plataus masto elektroniniu paštu platinamų kenkėjiškų programų kibernetinę ataką. Virusas užšifruoja vartotojo duomenis kietuosiuose diskuose ir išvilioja pinigus bitkoinais. Daugelis iš karto nusprendė, kad tai Petya virusas, aprašytas dar 2016 metų pavasarį, tačiau antivirusinių programų gamintojai mano, kad ataka įvyko dėl kažkokios kitos, naujos kenkėjiškos programos.
Birželio 27 d. popietę galinga programišių ataka pirmiausia smogė Ukrainai, o vėliau kelioms didelėms Rusijos ir užsienio įmonėms. Virusas, kurį daugelis klaidingai laikė praėjusių metų „Petya“, kompiuteriuose su „Windows“ operacine sistema plinta per šlamšto laišką su nuoroda, kurią paspaudus atsidaro langas, kuriame prašoma administratoriaus teisių. Jei vartotojas leidžia programai prieiti prie savo kompiuterio, virusas pradeda reikalauti iš vartotojo pinigų – 300 USD bitkoinais, o suma po kurio laiko padvigubėja.
2016 m. pradžioje aptiktas Petya virusas išplito lygiai tokiu pat būdu, todėl daugelis vartotojų nusprendė, kad būtent taip. Tačiau antivirusinės programinės įrangos kūrimo įmonių ekspertai jau pareiškė, kad dėl įvykusios atakos kaltas koks nors kitas, visiškai naujas virusas, kurį dar tirs. Kaspersky Lab ekspertai jau padarė duota nežinomas viruso pavadinimas - NotPetya.
Mūsų preliminariais duomenimis, tai ne Petya virusas, kaip minėta anksčiau, o nauja mums nežinoma kenkėjiška programa. Štai kodėl mes jį pavadinome NotPetya.
Bus du teksto laukai, pavadinti „Base64“ užkoduoti 512 baitų patvirtinimo duomenys ir „Base64“ užkoduoti 8 baitais. Norėdami gauti raktą, į šiuos du laukus turite įvesti programos ištrauktus duomenis.
Programa išduos slaptažodį. Jį turėsite įvesti įdėję diską ir pamatę viruso langą.
Kibernetinės atakos aukos
Labiausiai nuo nežinomo viruso nukentėjo Ukrainos įmonės. Užkrėsti Boryspilio oro uosto, Ukrainos vyriausybės, parduotuvių, bankų, žiniasklaidos ir telekomunikacijų įmonių kompiuteriai. Po to virusas pasiekė Rusiją. Išpuolio aukomis tapo „Rosneft“, „Bashneft“, „Mondelez International“, „Mars“, „Nivea“.
Net kai kurios užsienio organizacijos pranešė apie IT sistemų problemas dėl viruso: Didžiosios Britanijos reklamos kompanija WPP, Amerikos farmacijos kompanija Merck & Co, stambus Danijos krovinių vežėjas Maersk ir kt. Apie tai savo „Twitter“ paskyroje parašė Costinas Raiu, „Kaspersky Lab“ tarptautinės tyrimų grupės vadovas.
Petrwrap/Petya ransomware variantas su kontaktu [apsaugotas el. paštas] plinta, visame pasaulyje nukentėjo daugybė šalių.
Kaip pranešama jos socialiniame tinkle „Twitter“, „Rosneft“ kompanija buvo patyrusi galingą įsilaužėlių ataką.
„Įmonės serveriuose buvo įvykdyta galinga programišių ataka. Tikimės, kad tai neturi nieko bendra su vykstančiais teisiniais procesais“, – sakoma pranešime. „Rosneft“ svetainė nebuvo pasiekiama pranešimo paskelbimo metu.
Naftos kompanija pranešė, kad dėl įvykio kreipėsi į teisėsaugos institucijas. Dėl operatyvių saugos tarnybos veiksmų „Rosneft“ darbas nenutrūko ir tęsiasi kaip įprasta.
„Įsilaužėlių ataka gali sukelti rimtų pasekmių, tačiau dėl to, kad įmonė perėjo prie atsarginės gamybos procesų valdymo sistemos, nebuvo sustabdyta nei naftos gavyba, nei naftos ruošimas“, – „Gazeta.Ru“ korespondentui sakė bendrovės atstovai.
Jie perspėjo, kad visi, kurie platins melagingą informaciją, „bus laikomi išpuolio organizatorių bendrininkais ir bus atsakingi kartu su jais“.
Be to, buvo užkrėsti ir „Bashneft“ kompanijos kompiuteriai, pranešė jie "Vedomosti". Išpirkos reikalaujantis virusas, kaip ir liūdnai pagarsėjęs WannaCry, užblokavo visus kompiuterio duomenis ir reikalauja, kad nusikaltėliams būtų pervesta 300 USD išpirka bitkoinais.
Deja, tai ne vienintelės didelio masto įsilaužėlių atakos aukos – „Cybersecurity and Co. Telegram“ kanalas. praneša apie Mondelez International (prekių ženklai Alpen Gold ir Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA ir kitas bendroves.
Kanalo autorius Aleksandras Litrejevas teigė, kad virusas vadinasi Petya.A ir jis tikrai panašus į WannaCry, kuris šių metų gegužę užkrėtė daugiau nei 300 tūkstančių kompiuterių visame pasaulyje. Petya.A atakuoja standųjį diską ir užšifruoja pagrindinę failų lentelę (MFT). Litrejevo teigimu, virusas buvo platinamas sukčiavimo laiškais su užkrėstais priedais.
IN dienoraštį Kaspersky Lab paskelbė leidinį su informacija apie tai, kaip užsikrečiama. Pasak autoriaus, virusas plinta daugiausia per personalo vadovus, nes laiškai yra užmaskuoti kaip žinutė iš kandidato į konkrečias pareigas.
„HR specialistas gauna netikrą el. laišką su nuoroda į Dropbox, kuri tariamai leidžia eiti į ir atsisiųsti „CV“. Bet failas nuorodoje yra ne nekenksmingas tekstinis dokumentas, o savaime išsiskleidžiantis archyvas su plėtiniu .EXE“, – sako ekspertas.
Atidaręs failą, vartotojas mato „mėlyną mirties ekraną“, po kurio Petya.A blokuoja sistemą.
Grupės IB specialistai Gazeta.Ru sakė, kad „Petya“ šifruoklį neseniai panaudojo „Cobalt“ grupė, siekdama paslėpti tikslinės atakos prieš finansines institucijas pėdsakus.
Vėl rusų įsilaužėliai
Labiausiai nuo Petya.A viruso nukentėjo Ukraina. Tarp aukų yra „Zaporozhyeoblenergo“, „Dneproenergo“, Kijevo metro, Ukrainos mobiliojo ryšio operatoriai „Kyivstar“, „LifeCell“ ir „UkrTeleCom“, parduotuvė „Auchan“, „PrivatBank“, Boryspilio oro uostas ir kitos organizacijos bei struktūros.
Iš viso buvo užpulta per 80 įmonių Rusijoje ir Ukrainoje.
Ukrainos Rados narys iš Liaudies fronto, Vidaus reikalų ministerijos valdybos narys Antonas Geraščenka teigė, kad dėl kibernetinės atakos kaltos Rusijos specialiosios tarnybos.
„Preliminariais duomenimis, tai yra Rusijos specialiųjų tarnybų organizuota sistema. Šios kibernetinės atakos taikiniai yra bankai, žiniasklaida, Ukrzaliznica, Ukrtelecom. Virusas į kompiuterius atkeliavo kelias dienas, net savaites įvairių tipų el. laiškų pavidalu; šiuos pranešimus atidarę vartotojai leido virusui išplisti visuose kompiuteriuose. Tai dar vienas kibernetinių atakų panaudojimo pavyzdys hibridiniame kare prieš mūsų šalį“, – sakė A. Geraščenka.
„WannaCry“ išpirkos reikalaujančios programos ataka įvyko 2017 m. gegužės viduryje ir paralyžiavo kelių tarptautinių kompanijų darbą visame pasaulyje. Žala, kurią pasaulinei bendruomenei padarė didelio masto WannaCry virusas, buvo įvertinta 1 mlrd.
Kenkėjiška programa išnaudojo „Windows“ operacinės sistemos pažeidžiamumą, užblokavo kompiuterį ir pareikalavo išpirkos. Viruso plitimą netyčia sustabdė vienas britų programuotojas – užregistravo domeno vardą, kurį programa pasiekė.
Nepaisant to, kad WannaCry kibernetinė ataka turėjo planetos mastą, iš viso buvo užfiksuoti tik 302 išpirkos mokėjimo atvejai, dėl kurių įsilaužėliai galėjo uždirbti 116 tūkst.
Petya viruso aprašymas. Viskas, ką turime žinoti apie Petya virusą
Petya virusas yra dar viena išpirkos programa, kuri blokuoja vartotojo failus. Ši išpirkos programa gali būti labai pavojinga ir užkrėsti bet kurį kompiuterį, tačiau pagrindinis jos taikinys yra Vokietijos kompanijų kompiuteriai. Ši kenkėjiška programa patenka į aukos kompiuterius ir savo veiklą vykdo slaptai, todėl kompiuteriui gali kilti pavojus. Petya šifruoja failus RSA-4096 ir AES-256 algoritmais, jis naudojamas net kariniams tikslams. Tokio kodo negalima iššifruoti be privataus rakto. Kaip ir kitos išpirkos reikalaujančios programos, tokios kaip Locky virusas, CryptoWall virusas ir CryptoLocker, šis privatus raktas yra saugomas kokiame nors nuotoliniame serveryje, kurį galima pasiekti tik sumokėjus išpirką viruso kūrėjui.
Skirtingai nuo kitų išpirkos reikalaujančių programų, šis virusas, paleidęs, iš karto perkrauna kompiuterį, o kai vėl įsijungia, ekrane pasirodo pranešimas: „NEIŠJUNKITE PC! JEI SUSTABDITE ŠĮ PROCESĄ, GALITE SUNAIKINTI VISUS SAVO DUOMENYS! ĮSItikinkite, ar JŪSŲ KOMPIUTERIS PRIJUNGTAS PRIE ĮKROVIMO! Nors tai gali atrodyti kaip sistemos klaida, Petya iš tikrųjų tyliai atlieka šifravimą slaptuoju režimu. Jei vartotojas bando iš naujo paleisti sistemą arba sustabdyti failų šifravimą, ekrane pasirodo mirksintis raudonas skeletas kartu su tekstu „PRESS ANY KEY! Galiausiai, paspaudus klavišą, atsiras naujas langas su išpirkos užrašu. Šioje pastaboje nukentėjusiojo prašoma sumokėti 0,9 bitkoino, o tai yra maždaug 400 USD. Tačiau ši kaina nurodyta tik už vieną kompiuterį; todėl daug kompiuterių turinčioms įmonėms suma gali siekti tūkstančius. Be to, ši išpirkos reikalaujanti programa išsiskiria tuo, kad ji suteikia jums visą savaitę išpirkai sumokėti, o ne įprastų 12–72 valandų, kurias suteikia kiti šios kategorijos virusai.
Be to, problemos su Petya tuo nesibaigia. Kai šis virusas pateks į sistemą, jis bandys perrašyti Windows įkrovos failus arba vadinamąjį Boot Writer, reikalingą operacinei sistemai paleisti. Negalėsite pašalinti Petya viruso iš savo kompiuterio, nebent atkursite Master Boot Recorder (MBR) nustatymus. Net jei jums pavyks ištaisyti šiuos nustatymus ir pašalinti virusą iš savo sistemos, deja, jūsų failai išliks užšifruoti, nes viruso pašalinimas ne iššifruoja failus, o tiesiog pašalina užkrečiamus failus. Žinoma, viruso pašalinimas yra svarbus, jei norite toliau dirbti su kompiuteriu. Rekomenduojame naudoti patikimas antivirusines priemones, tokias kaip Reimage, kad pasirūpintumėte Petya pašalinimu.
Petya virusas plinta.
Kaip šis virusas plinta ir kaip jis gali patekti į kompiuterį?
Petya virusas dažniausiai plinta per šlamšto el. laiškus, kuriuose yra Dropbox atsisiuntimo nuorodos į failą, vadinamą „folder-gepackt.exe programa“, prie jų pridėtą. Virusas suaktyvinamas, kai atsisiunčiamas ir atidaromas konkretus failas. Kadangi jau žinote, kaip šis virusas plinta, turėtumėte turėti idėjų, kaip apsaugoti kompiuterį nuo virusų atakų. Žinoma, turėtumėte būti atsargūs atidarydami elektroninius failus, kuriuos siunčia įtartini vartotojai ir nežinomi šaltiniai, kuriuose pateikiama ne tokia informacija, kokios tikitės. Taip pat turėtumėte vengti laiškų, kurie patenka į „spam“ kategoriją, nes dauguma el. pašto paslaugų teikėjų automatiškai filtruoja el. laiškus ir talpina juos į atitinkamus katalogus. Tačiau neturėtumėte pasitikėti šiais filtrais, nes per juos gali praslysti galimos grėsmės. Be to, įsitikinkite, kad jūsų sistemoje yra patikimas antivirusinis įrankis. Galiausiai, iškilus pavojingoms situacijoms, visada rekomenduojama pasidaryti atsargines kopijas kokiame nors išoriniame diske.
Petya viruso pašalinimas.
Kaip pašalinti Petya virusą iš savo kompiuterio?
Kaip jau minėjome, Petya viruso pašalinimas yra būtinas jūsų būsimų failų saugumui. Be to, duomenų atkūrimas iš išorinių diskų gali būti atliktas tik visiškai pašalinus virusą ir visus jo komponentus iš kompiuterio. Priešingu atveju Petya gali prasiskverbti ir užkrėsti jūsų failus išoriniuose diskuose.
Negalite pašalinti Petya iš savo kompiuterio naudodami paprastą pašalinimo procedūrą, nes ji neveiks su šia kenkėjiška programa. Tai reiškia, kad šį virusą turėtumėte pašalinti automatiškai. Automatinis Petya viruso pašalinimas turėtų būti atliekamas naudojant patikimą antivirusinę priemonę, kuri aptiks ir pašalins šį virusą iš jūsų kompiuterio. Tačiau jei susiduriate su kai kuriomis pašalinimo problemomis, pavyzdžiui, šis virusas gali blokuoti jūsų antivirusinę programą, visada galite patikrinti pašalinimo instrukcijas, pateiktas straipsnio pabaigoje.Vadovas, kaip rankiniu būdu pašalinti Petya virusą:
- 1 būdas: pašalinkite Petya naudodami saugųjį režimą su tinklu
- 2 būdas: pašalinkite Petya naudodami sistemos atkūrimą
- Jūsų duomenų atkūrimas po Petya viruso
Pašalinkite Petya naudodami saugųjį režimą su tinklu
Jei išpirkos reikalaujančios programos blokuoja saugųjį režimą su tinklu, išbandykite šį metodą.
Pašalinkite Petya naudodami sistemos atkūrimą
1 žingsnis: Iš naujo paleiskite kompiuterį saugiuoju režimu naudodami komandų eilutę
„Windows 7“ / „Vista“ / „XP“.
„Windows 10“ / „Windows 8“.2 žingsnis: Atkurkite sistemos failus ir nustatymus
Atkūrę ankstesnę sistemą, paleiskite ir nuskaitykite kompiuterį, kad įsitikintumėte, jog pašalinimas buvo sėkmingas.
Galiausiai, visada turėtumėte pagalvoti apie apsaugą nuo kriptovaliutų išpirkos reikalaujančių programų. Norėdami apsaugoti kompiuterį nuo Petya ir kitų panašių programų, naudokite patikimą šnipinėjimo programą, pvz., Reimage, Plumbytes Anti-Malware arba Malwarebytes Anti Malware
Kas yra Petya.A?
Tai yra „išpirkos reikalaujantis virusas“, kuris užšifruoja duomenis kompiuteryje ir reikalauja 300 USD už raktą, kad jį iššifruotų. Apie birželio 27 d. vidurdienį ji pradėjo užkrėsti Ukrainos kompiuterius, o vėliau išplito į kitas šalis: Rusiją, Didžiąją Britaniją, Prancūziją, Ispaniją, Lietuvą ir kt. Dabar „Microsoft“ svetainėje yra virusas Tai turi „rimtas“ grėsmės lygis.
Infekcija atsirado dėl to paties Microsoft Windows pažeidžiamumo, kaip ir viruso WannaCry atveju, kuris gegužę užkrėtė tūkstančius kompiuterių visame pasaulyje ir padarė įmonėms apie 1 mlrd.
Vakare kibernetinė policija pranešė, kad viruso ataka skirta elektroniniam pranešimui ir dokumentų valdymui. Teisėsaugos pareigūnų teigimu, 10.30 val. buvo išleistas kitas M.E.Doc atnaujinimas, kurio pagalba į kompiuterius buvo parsisiunčiama kenkėjiška programinė įranga.
Petya buvo išplatinta el. paštu, apsimetant darbuotojo gyvenimo aprašymu. Jei žmogus bandė atidaryti gyvenimo aprašymą, virusas paprašė suteikti jam administratoriaus teises. Jei vartotojas sutiko, kompiuteris buvo paleistas iš naujo, tada kietasis diskas buvo užšifruotas ir pasirodė langas, kuriame prašoma „išpirkos“.
VIDEO
Petya viruso infekcijos procesas. Vaizdo įrašas: „G DATA Software AG“ / „YouTube“.
Tuo pačiu metu pats Petya virusas turėjo pažeidžiamumą: naudojant specialią programą buvo galima gauti raktą duomenims iššifruoti. Šį metodą 2016 m. balandžio mėn. aprašė Geektimes redaktorius Maksimas Agadžanovas.
Tačiau kai kurie vartotojai nori mokėti išpirką. Pagal vieną iš gerai žinomų „Bitcoin“ piniginių, viruso kūrėjai gavo 3,64 bitkoino, o tai atitinka maždaug 9100 USD.
Kas yra paveiktas viruso?
Ukrainoje Petya.A aukomis daugiausia tapo verslo klientai: vyriausybinės agentūros, bankai, žiniasklaida, energetikos įmonės ir kitos organizacijos.
Be kita ko, nukentėjo šios įmonės: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Borisas, Ukrzaliznica, TNK, Antonov, Epicenter, Channel 24, taip pat Boryspilio oro uostas, Ukrainos ministrų kabinetas, valstybė. Fiskalinė tarnyba ir kt.
Išpuolis išplito ir į regionus. Pavyzdžiui, n ir Černobylio atominėje elektrinėje dėl kibernetinės atakos nustojo veikti elektroninis dokumentų valdymas ir stotis perėjo prie rankinio radiacijos lygio stebėjimo. Charkove buvo užblokuotas didelio prekybos centro „Rost“ darbas, o oro uoste registracija į skrydžius buvo perjungta į rankinį režimą.
Dėl Petya.A viruso prekybos centre „Rost“ nustojo veikti kasos aparatai. Nuotrauka: Kh...evy Kharkov / VKontakte
Leidinio teigimu, Rusijoje buvo užpultos bendrovės „Rosneft“, „Bašneft“, „Mars“, „Nivea“ ir kt.
Kaip apsisaugoti nuo Petya.A?
Instrukcijas, kaip apsisaugoti nuo Petya.A, paskelbė Ukrainos saugumo tarnyba ir kibernetinė policija.
Kibernetinė policija pataria vartotojams įsidiegti Windows naujinimus iš oficialios Microsoft svetainės, atnaujinti arba įdiegti antivirusinę programą, nesiųsti įtartinų failų iš el. laiškų, o pastebėjus pažeidimus nedelsiant atjungti kompiuterį nuo tinklo.
SBU pabrėžė, kad kilus įtarimui kompiuterio perkrauti negalima, nes failų šifravimas vyksta būtent perkrovimo metu. Žvalgybos tarnyba rekomendavo ukrainiečiams vertingus failus išsaugoti atskiroje laikmenoje ir pasidaryti atsarginę operacinės sistemos kopiją.
Kibernetinio saugumo ekspertas Vladas Styranas rašė feisbuke, kad viruso plitimą vietiniame tinkle galima sustabdyti Windows sistemoje blokuojant TCP prievadus 1024-1035, 135, 139 ir 445. Internete yra instrukcijų, kaip tai padaryti.
Amerikos kompanijos Symantec specialistai