NotPetya - не простий шифрувальник, а інструмент кібервійни. Вірус Petya: все, що вам потрібно знати про цей вірус Вірус petya файл

Антивірусні програми коштують на комп'ютері практично кожного користувача, проте іноді з'являється троян або вірус, який здатний обійти найкращий захист і заразити ваш пристрій, а що ще гірше - зашифрувати ваші дані. Цього разу таким вірусом став троян-шифратор «Петя» або, як його ще називають, «Petya». Темпи поширення даний загрози дуже вражають: за пару днів він зміг «побувати» в Росії, Україні, Ізраїлі, Австралії, США, всіх великих країнах Європи і не тільки. В основному він вразив корпоративних користувачів (аеропорти, енергетичні станції, туристичну галузь), але постраждали і звичайні люди. За своїми масштабами і методам впливу він вкрай схожий на гучний недавно.

Ви безсумнівно повинні захистити свій комп'ютер, щоб не стати жертвою нового трояна-здирника «Петя». У цій статті я розповім вам про те, що це за вірус «Petya», як він поширюється, як захиститися від цієї небезпеки. Крім того ми торкнемося питання видалення трояна і дешифрування інформації.

Що таке вірус «Petya»?

Для початку нам варто зрозуміти, чим же є Petya. Вірус Петя - це шкідливе програмне забезпечення, яке є трояном типу «ransomware» (вимагач). Дані віруси призначені для шантажу власників заражених пристроїв з метою отримання від них викупу за зашифровані дані. На відміну від Wanna Cry, Petya не обтяжує себе шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий диск цілком.

Правильна назва нового вірусу - Petya.A. Крім того, Касперський називає його NotPetya / ExPetr.

Опис вірусу «Petya»

Після потрапляння на ваш комп'ютер під управлінням системи Windows, Petya практично миттєво зашифровує MFT(Master File Table - головна таблиця файлів). За що ж відповідає ця таблиця?

Уявіть, що ваш жорсткий диск - це найбільша бібліотека у всьому всесвіті. У ній містяться мільярди книг. Так як же знайти потрібну книгу? Тільки за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-якої «файл» на вашому ПК. Якщо бути ще точніше, то після «роботи» Петі жорсткий диск вашого комп'ютера буде нагадувати бібліотеку після торнадо, з обривками книг, літаючими всюди.

Таким чином, на відміну від Wanna Cry, який я згадував на початку статті, Petya.A не шифрується окремі файли, Витрачаючи на це значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Після всіх своїх маніпуляцій він вимагає від користувачів викуп - 300 доларів США, які потрібно перерахувати на біткойн рахунок.

Хто створив вірус Петя?

При створенні вірусу Петя був задіяний експлойт ( «діра») в ОС Windows під назвою «EternalBlue». Microsoft випустив патч, який «закриває» цю діру кілька місяців тому, проте, не всі ж користуються ліцензійною копією Windows і встановлює всі оновлення системи, адже правда?)

Творець «Петі» зміг з розумом використовувати безпечність корпоративних і приватних користувачів і заробити на цьому. Його особа поки що невідома (та й навряд чи буде відома)

Як поширюється вірус Петя?

Вірус Petya найчастіше поширюється під виглядом вкладень до електронних листів і в архівах з піратським зараженим ПО. У вкладенні може перебувати абсолютно будь-який файл, в тому числі фото або mp3 (так здається з першого погляду). Після того, як ви запустите файл, ваш комп'ютер перезавантажиться і вірус зімітує перевірку диска на помилки CHKDSK, а сам в цей момент видоизменит завантажувальний записвашого комп'ютера (MBR). Після цього ви побачите червоний череп на екрані вашого комп'ютера. Натиснувши на будь-яку кнопку, ви зможете отримати доступ до тексту, в якому вам запропонують заплатити за розшифровку ваших файлів і перевести необхідну суму на bitcoin гаманець.

Як захиститися від вірусу Petya?

Найголовніше і найбільше - візьміть за правило ставити поновлення для вашої операційної системи! Це неймовірно важливо. Зробіть це прямо зараз, не відкладайте.
Поставтеся з підвищеною увагою до всіх вкладень, які включені до листів, навіть якщо листи від знайомих людей. На час епідемії краще користуватися альтернативними джерелами передачі даних.
Активуйте опцію «Показувати розширення файлів» в настройках ОС - так ви завжди зможете побачити справжнє розширення файлів.
Увімкніть «Керування обліковими записами користувачів» в настройках Windows.
Необхідно встановити один з, щоб уникнути зараження. Почніть з установки оновлення для ОС, потім встановіть антивірус - і ви вже будете в набагато більшій безпеці, ніж раніше.
Обов'язково робіть «бекапи» - зберігайте всі важливі дані на зовнішній жорсткий диск або в хмару. Тоді, якщо вірус Petya проникне на ваш ПК і зашифрує всі дані - вам буде досить простий провести форматування вашого жорсткого дискаі встановити ОС заново.
Завжди перевіряйте актуальність антивірусних базвашого антивіруса. всі хороші антивірусистежать за погрозами і своєчасно реагують на них, оновлюючи сигнатури погроз.
Встановіть безкоштовну утиліту Kaspersky Anti-Ransomware. Вона буде захищати вас від вірусів-шифраторів. Установка даного ПЗ не позбавляє вас від необхідності встановити антивірус.

Як видалити вірус Petya?

Як видалити вірус Petya.A з вашого жорсткого диска? Це вкрай цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то і видаляти буде, фактично, нічого. Якщо ви не планує платити здирникам (чого робити не варто) і не будете пробувати відновлювати дані на диску в подальшому, вам досить просто провести форматування диска і заново встановити ОС. Після цього від вірусу не залишиться і сліду.

Якщо ж ви підозрюєте, що на вашому диску присутній заражений файл - проскануйте ваш диск однієї з або ж встановіть антивірус Касперського і проведіть повне сканування системи. Розробник запевнив, що в його основі сигнатур вже є відомості про даний вірус.

дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом. на даний моментне існує рішення для розшифровки заблокованих відомостей. Тим більше не варто намагатися отримати доступ до даних в домашніх умовах.

Безсумнівно, ми б все мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус вразив світ кілька місяців тому, але ліки для розшифровки даних, які він зашифрував, так і не знайдено.

Тому, якщо ви ще не стали жертвою вірусу Петя - прислухайтеся до порад, які я дав на початку статті. Якщо ви все ж втратили контроль над своїми даними - то у вас є кілька шляхів.

Заплатити гроші. Робити цього безглуздо!Фахівці вже з'ясували, що дані творець вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.
Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і жати появи дешифратора. До речі, Лабораторія Касперського постійно працює в цьому напрямку. Доступні дешифратори є на сайті No Ransom.
Форматування диска і установка операційної системи. Мінус - всі дані будуть втрачені.

Вірус Petya.A в Россі

У Росії і Україні було атаковано і заражене понад 80 компаній на момент написання статті, в тому числі такі великі, як «Башнефть» і «Роснефть». Зараження інфраструктури таких великих компаній говорить про всю серйозність вірусу Petya.A. Безсумнівно, що троян-здирник буде і далі поширюватися по території Росії, тому вам варто подбати про безпеку своїх даних і послухатися поради, які були дані в статті.

Petya.A і Android, iOS, Mac, Linux

Багато користувачів турбуються - «а чи може вірус Petya заразити їх влаштування під управлінням Androidі iOS. Поспішу їх заспокоїти - ні, не може. Він розрахований тільки на користувачів ОС Windows. Те ж саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.

висновок

Отже, сьогодні ми детально обговорили новий вірус Petya.A. Ми зрозуміли, чим є цей троян і як він працює, дізналися як уберегтися від зараження і видалити вірус, де взяти дешифратор (decryptor) Petya. Сподіваюся, що стаття і мої поради виявилися корисні для вас.

Вірус Petya - швидко зростаючий вірус, який поклав практично всі великі підприємства в Україні 27 червня 2017 року. Вірус Petya шифрує ваші файли і пропонує за них потім викуп.

новий вірусвражає вінчестер комп'ютера і працює як вірус шифрувальник файлів. Через певний час, вірус Petya «поїдає» файли на вашому комп'ютері і вони стають зашифрованими (як ніби файли заархівувати і поставили важкий пароль)
Файли, які постраждали від вірусу шифрувальника Petya, потім вже не відновити (відсоток, що ви їх відновите є, але він дуже маленький)
Алгоритму, який відновлює файли постраждалих від вірусу Petya - НІ
За допомогою цієї короткої і МАКСИМАЛЬНО корисної статті ви зможете вберегти себе від # вірусPetya

Як ВИЗНАЧИТИ Вірус Petya або WannaCry і НЕ Заразитися Вірусом

При завантаженні файлу через інтернет, перевірте його онлайн-антивірусом. Онлайн антивіруси можуть заздалегідь визначити вірус в файлі і запобігти зараженню вірусом Petya. Все, що варто зробити, щоб переглянути завантажений файл за допомогою VirusTotal, а потім його вже запускати. Навіть якщо ви завантажили ВІРУС PETYA, але НЕ запустили вірусний файл, вірус НЕ активний і шкоди не завдає. Тільки після запуску шкідливого файлу ви запускаєте вірус, пам'ятайте це

ВИКОРИСТАННЯ НАВІТЬ ТІЛЬКИ ЦЬОГО МЕТОДУ ДАЄ ВАМ ВСЕ ШАНСИ НЕ ЗАРАЗИТИСЯ ВІРУСОМ PETYA
Вірус Petya виглядає ось так:

Як Уберегти себе Від Вірусу Petya

компанія Symantecзапропонувала рішення, яке дозволяє себе вберегти від вірусу Petya, зробивши вигляд, що він вже у Вас - встановлений.
Вірус Petya при попаданні на комп'ютер, створює в папці C: \ Windows \ perfcфайл perfcабо perfc.dll
Чтобивірусподумал, що він вже встановлений і не продовжив свою активність, створіть в папці C: \ Windows \ perfcфайл з порожнім змістом і збережіть його поставивши режим зміни «Тільки Читання»
Або завантажте virus-petya-perfc.zip і розархівуйте папку perfcв папку C: \ Windows \і поставте режим зміни «Тільки Читання»
Завантажити virus-petya-perfc.zip

ОНОВЛЕНО 29.06.2017
Також рекомендую завантажити обидва файли просто в папку Windows. Багато джерел пишуть, що файл perfcабо perfc.dllповинен знаходитися в папці C: \ Windows \

Що Робити Якщо Комп'ютер Уже уражених Вірусом Petya

Не вмикайте комп'ютер, який вже вразив вас вірусом Petya. Вірус Petya працює таким чином, що поки заражений комп'ютер включений, він шифрує файли. Тобто, поки ви тримаєте включеним уражений вірусом Petya комп'ютер, нові і нові файли піддаються зараженню і шифрування.
вінчестер даного комп'ютераварто перевірити. Перевірити його можна за допомогою LIVECD або LIVEUSB з антивірусом
Завантажувальна флешка з Kaspersky Rescue Disk 10
Завантажувальна флешка Dr.Web LiveDisk

Хто Розповсюдив Вірус Петя За Всією Україною

Компанія Microsoft висловила свою точку зору на рахунок глобального зараження мережі в крупних компаніях України. Причиною стало, оновлення до програми M.E.Doc. M.E.Doc - популярна бухгалтерська програма, по-цьому такий великий прокол компанії, як потрапляння вірусу в оновлення і встановило вірус Petya на тисячі ПК, на яких стояла програма M.E.Doc. А так як вірус вражає комп'ютери в одній мережі поширився він блискавично.
#: Петя вірус вражає андроїд, вірус Petya, як виявити і видалити вірус петя, вірус petya як лікувати, M.E.Doc, Microsoft, створити папку вірус петя

Сьогодні вірус-вимагач атакував безліч комп'ютерів в державному, комерційному і приватному секторах України

Безпрецедентна атака хакера нокаутувала безліч комп'ютерів і серверів в державних органах і комерційних організаціях по всій країні

Масштабна і ретельно спланована кібер-атака вивела сьогодні з ладу об'єкти критичної інфраструктури багатьох держпідприємств і компаній. Про це повідомила Служба безпеки (СБУ).

Починаючи з обіду в інтернеті як сніжний ком почали з'являтися повідомлення про зараження комп'ютерів в державному і приватному секторі. Представники урядових установ заявили про хакерські атаки на їх IT-інфраструктуру.

За даними СБУ, зараження переважно відбувалося внаслідок відкриття word- і pdf-файлів, які зловмисники розсилали по електронній пошті. Вірус-вимагач (ransomware) Petya.A використовував мережеву вразливість в операційній системі Windows. За розблокування зашифрованих даних кібер-злочинці вимагали оплату в біткоіни розміром $ 300.

Секретар Ради національної безпеки і оборони Олександр Турчинов заявив, що держоргани, які були включені в захищений контур - спеціальний інтернет-вузол - не зазнали пошкоджень. Очевидно, Кабінет міністрів належним чином не виконав рекомендації Національного координаційного центру кібербезпеки, тому що урядові комп'ютери постраждали від Petya.A. Не встояли перед сьогоднішньою атакою Мінфін, ЧАЕС, Укренерго, Укрпошта, Нова Поштаі ряд банків.

Деякий час навіть не відкривалися інтернет-сторінки СБУ, кіберполіції та Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ).

Станом на вечір вівторка, 27-го червня, жоден з правоохоронних органів, в обов'язки яких входить боротьба з кібер-атаками, не повідомила, звідки взявся Petya.A і хто за ним стоїть. СБУ, кіберполіції (сайт якої не працював цілий день), ДССЗЗІ зберігали олімпійський мовчання з приводу розміру заподіяної вірусом-здирником шкоди.

Команда реагування на надзвичайні комп'ютерні події (CERT-UA, входить в ДССЗЗІ) оприлюднила поради для усунення наслідків Petya Ransomware. Для цього технічні фахівці рекомендували використовувати програмне забезпечення компанії ESET. Пізніше СБУ також розповіла про те, як уберегтися або зменшити шкоду від вірусу.

Вірус «Петя»:як не впіймати, як розшифрувати, звідки взявся - останні новинипро вірус-здирників Petya, який на третій день своєї «діяльності» вразив близько 300 тисяч комп'ютерів в різних країнах світу, і поки його ніхто не зупинив.

Вірус Petya - як розшифрувати, останні новини.Творці шифрувальника «Петя» після нападу на комп'ютер вимагають викуп в 300 доларів (в біткоіни), але розшифрувати вірус Petya, навіть якщо користувач заплатить гроші, можливості немає. Фахівці «Лабораторії Касперського», які розгледіли в новий вірус відмінності від «Петі» і назвали його ExPetr, стверджують - для розшифровки необхідний унікальний ідентифікатор конкретної установки трояна.

В раніше відомих версіях схожих шифрувальників Petya / Mischa / GoldenEye ідентифікатор установки містив необхідну для цього інформацію. У разі ExPetr цього ідентифікатора немає - пише РИА Новости.

Вірус «Петя» - звідки взявся, останні новини.Німецькі фахівці з безпеки висунули першу версію, звідки взяв свій шлях цей шифрувальник. На їхню думку, вірус Petya почав гуляти по комп'ютерам з відкриття файлів M.E.Doc. Це програма бухгалтерської звітності, яка використовується на Україні після заборони 1С.

Тим часом, в «Лабораторії Касперського» говорять про те, що висновки про походження і джерелі поширення вірусу ExPetr робити поки рано. Не виключено, що у зловмисників були великі дані. Наприклад, е-майл адреси з попередньою розсилки або якісь інші ефективні способипроникнення в комп'ютери.

З їх допомогою вірус «Петя» і обрушився всій потужністю на Україну і Росію, а також інші країни. Але реальний масштаб цієї хакерської атаки буде зрозумілий через кілька днів - повідомляє.

Вірус «Петя»: як не впіймати, як розшифрувати, звідки взявся - останні новинипро вірус-здирників Petya, які вже отримали в «Лабораторії Касперського» нове ім'я - ExPetr.

Короткий екскурс в історію нейминга шкідливих програм.

В закладки

Логотип вірусу Petya.A

27 червня по щонайменше 80 російських і українських компаній зазнали атаки вірусу Petya.A. Програма заблокувала інформацію на комп'ютерах відомств і підприємств і також, як і відомий вірус-вимагач, зажадала у користувачів в біткоіни.

Імена шкідливих програм зазвичай дають співробітники компаній-розробників антивірусів. Винятком стають ті шифрувальники, вимагачі, руйнівники і викрадачі особистих даних, які крім комп'ютерних заражень викликають медійні епідемії - підвищену галас в ЗМІ і активне обговорення в Мережі.

Однак вірус Petya.A - представник нового покоління. Ім'я, яким він сам представляється - частина маркетингової стратегії розробників, спрямованої на підвищення його впізнаваності і зростання популярності на даркнет-ринку.

субкультурное явище

В ті часи, коли комп'ютерів було мало і далеко не всі вони були з'єднані між собою, самораспространяющемуся програми (ще не віруси) вже існували. Однією з перших таких став, жартівливо вітав користувача і пропонував зловити його і видалити. Наступним став Cookie Monster, який вимагав «дати йому печеньку», ввівши слово «cookie».

Ранні шкідливі програми теж мали почуття гумору, хоча воно і не завжди стосувалося їх назв. Так, Річарда Скрента, призначений для комп'ютера Apple-2, раз в 50 завантажень комп'ютера читав жертві віршик, а імена вірусів, часто приховані в коді, а не виставлені на показ, відсилали до жартів і субкультурних слівець, поширеним в середовищі гиків того часу. Вони могли асоціюватися з назвами метал-груп, популярною літературою і настільними рольовими іграми.

В кінці 20 століття творці вірусів особливо не ховалися - більш того, часто, коли програма виходила з під контролю, намагалися взяти участь в усуненні принесеного їй шкоди. Так було з пакистанським і руйнівним, створеним майбутнім співзасновником бізнес-інкубатора Y-Combinator.

Поетичні здібності демонстрував і один з російських вірусів, згаданих Євгеном Касперського в його книзі 1992 року «Комп'ютерні віруси в MS-DOS». Програма Condom-тисяча п'ятсот вісімдесят одна час від часу демонструвала жертві, присвячене проблемам засмічення світового океану продуктами людської життєдіяльності.

Географія і календар

У 1987 році вірус Jerusalem, відомий також як Israeli Virus, отримав назву за місцем свого першого виявлення, а його альтернативна назва Black Friday було пов'язано з тим, що він активізувався і видаляв запускаються файли, якщо 13 число місяця доводилося на п'ятницю.

За календарним принципом отримав назву і вірус Michelangelo, що викликав паніку в ЗМІ навесні 1992 року. Тоді Джон Макафі, пізніше прославився створенням одного з найбільш настирливих антивірусів, під час сіднейської конференції з кібербезпеки, журналістам і публіці: «Якщо ви завантажте інфіковану систему 6 березня, всі дані на жорсткому диску зіпсуються». Причому тут Мікеланджело? 6 березня біля італійського художника був день народження. Втім, жахи, які передбачав Макафі, в результаті надмірно перебільшеними.

функціональність

Можливості вірусу і його специфіка часто служать основою назви. У 1990 році один з перших поліморфних вірусів отримав ім'я Chameleon, а його, що володіє широкими можливостями приховувати свою присутність (а значить, що відноситься до категорії стелс-вірусів), був названий Frodo, натякаючи на героя «Володаря Кілець» і переховується від очей оточуючих Кільце . А, наприклад, вірус OneHalf 1994 року одержав свою назву через те, що виявляв агресію тільки заразивши половину диска атакується пристрою.

службові назви

Більшість вірусів вже давно отримують назви в лабораторіях, де їх розбирають на частини аналітики.

Зазвичай це нудні порядкові імена і загальні «сімейні» назви, що описують категорію вірусу, то, які системи він атакує і що з ними робить (на кшталт Win32.HLLP.DeTroie). Однак іноді, коли в коді програми вдається виявити натяки, залишені розробниками, віруси отримують трохи індивідуальності. Так з'явилися, наприклад, віруси MyDoom і KooKoo.

Втім, це правило працює не завжди - скажімо, вірус Stuxnet, який зупинив збагачують уран центрифуги в Ірані, не став називатися Myrtus, хоча це слово ( «мирт»), в коді, і було майже прямим натяком на участь в його розробці ізраїльських спецслужб. В даному випадку перемогло вже стало відомим широкому загалу назва, присвоєне вірусу на перших етапах його виявлення.

завдання

Часто буває і так, що віруси, які потребують великої уваги і сил для свого вивчення отримують у антивірусних компаній красиві назви, які простіше говорити і записувати - так сталося з Red October, дипломатичне листування і дані, здатні вплинути на міжнародні відносини, а також з IceFog , великомасштабним промисловим шпигунством.

розширення файлів

Ще один популярний спосіб найменування - по розширенню, яке вірус присвоює заражених файлів. Так, один з «військових» вірусів Duqu, був названий так не через графа Дуку з «Зоряних воєн», а завдяки префіксу ~ DQ, який відзначав створювані їм файли.

Так само отримав свою назву гучний цієї весни вірус WannaCry, маркирующий зашифровані їм дані расшіреніем.wncry.

Більш раннє назва вірусу Wanna Decrypt0r, не прижилося - воно гірше звучало і мало різночитання при написанні. Не всі трудилися ставити «0» в якості «о».

«Ви стали жертвою вірусу-здирника Petya»

Саме так представляється найбільш обговорювана сьогодні шкідлива програма, завершивши шифрування файлів на атакованому комп'ютері. У вірусу Petya A. є не тільки люди знають ім'я, але і логотип у вигляді піратського черепа з кістками, і ціла маркетингового просування. Помічений разом зі своїм братом «Misha» ще, вірус звернув на себе увагу аналітиків саме цим.

З субкультурного явища, пройшовши через період, коли для такого роду «хакерства» були потрібні досить серйозні технічні знання, віруси перетворилися на знаряддя кібер-гоп-стопу. Тепер їм доводиться грати за ринковими правилами - і хто отримує більше уваги, той і приносить своїм розробникам великі прибутки.

Атака вірусу «Петя» стала неприємною несподіванкою для жителів багатьох країн. Тисячі комп'ютерів піддалися зараженню, внаслідок якого користувачі втратили важливі дані, що зберігалися на їх жорстких дисках.

Звичайно ж, зараз ажіотаж навколо даного інциденту спав, але ніхто не може гарантувати, що подібне не повториться знову. Саме тому дуже важливо захистити свій комп'ютер від можливої загрози і не ризикувати даремно. Про те, як зробити це найбільш ефективно, і піде мова нижче.

наслідки атаки

Для початку слід згадати, до яких наслідків призвела недовга активність Petya.A. Всього за кілька годин постраждали десятки українських і російських компаній. На Україні, до слова, була практично повністю паралізована робота комп'ютерних відділів таких установ, як «Дніпроенерго», «Нова Пошта» та «Київський метрополітен». Більш того, не врятувалися від вірусу «Петя» деякі державні організації, банки та оператори мобільного зв'язку.

У країнах Європейського союзу шифрувальник також встиг наробити чимало лиха. Французькі, датські, англійські і міжнародні компанії повідомили про тимчасові неполадки в роботі, пов'язаних з атакою комп'ютерного вірусу «Петя».

Як бачите, загроза дійсно серйозна. І навіть незважаючи на те, що зловмисники вибрали в якості своїх жертв великі фінансові організації, звичайні користувачі постраждали не менше.

Як працює «Петя»

Щоб зрозуміти, як захиститися від вірусу «Петя», потрібно спочатку розібратися, як він працює. Отже, потрапивши на комп'ютер, шкідлива програма викачує з інтернету спеціальний шифрувальник, який вражає Master Boot Record. Це окрема область на жорсткому диску, прихована від очей користувача і призначена для завантаження операційної системи.

Для користувача цей процес виглядає як стандартна робота програми Check Disk після раптового падіння системи. Комп'ютер різко перезавантажується, а на екрані виникає повідомлення про перевірці жорсткогодиска на наявність помилок і прохання не вимикати харчування.

Як тільки цей процес добігає кінця, з'являється заставка з інформацією про блокування комп'ютера. Творця вірусу «Петя» вимагають від користувача заплатити викуп у розмірі 300 $ (більше 17,5 тис. Руб.), Обіцяючи натомість вислати ключ, необхідний для відновлення роботи ПК.

профілактика

Логічно, що набагато простіше попередити зараження комп'ютерним вірусом«Петя», ніж потім боротися з його наслідками. Щоб убезпечити свій ПК:

завжди встановлюйте свіжі оновленнядля операційної системи. Це ж, в принципі, стосується і всього програмного забезпечення, Встановленого на вашому ПК. До речі, «Петя» не може нашкодити комп'ютерів під управлінням MacOS і Linux.
використовуйте актуальні версіїантивіруса і не забувайте оновлювати його бази. Так, рада банальний, але далеко не всі його дотримуються.
Не відкривайте підозрілі файли, надіслані вам на пошту. Крім того, завжди перевіряйте додатки, завантажені з сумнівних джерел.
регулярно робіть резервні копіїважливих документів і файлів. Найкраще зберігати їх на окремому носії або в «хмарі» ( Google Drive, "Яндекс. Диск" і т. Д.). Завдяки цьому, навіть якщо з вашим комп'ютером щось трапиться, цінна інформація не постраждає.

Створення стоп-файлу

Розробники провідних антивірусних програм з'ясували, як видалити вірус «Петя». Точніше, завдяки проведеним дослідженням, їм вдалося зрозуміти, що шифрувальник на початкових етапах зараження намагається знайти на комп'ютері локальний файл. Якщо йому це вдається, вірус припиняє свою роботу і не завдає шкоди ПК.

Простіше кажучи, ви можете вручну створити свого роду стоп-файл і таким чином захистити комп'ютер. Для цього:

Відкрийте настройки параметрів папок і зніміть галочку з пункту «Приховувати розширення для зареєстрованих типів файлів».
Створіть за допомогою блокнота новий файл і помістіть його в директорію C: / Windows.
Перейменуйте створений документ, назвавши його «perfc». Потім зайдіть в і включіть опцію «Тільки для читання».

Тепер вірус «Петя», потрапивши на ваш комп'ютер, не зможе завдати йому шкоди. Але майте на увазі, що зловмисники можуть у майбутньому модифікувати шкідливу програму і спосіб зі створенням стоп-файлу стане неефективним.

Якщо зараження вже сталося

Коли комп'ютер самостійно йде на перезавантаження і запускається робота Check Disk, вірус тільки починає шифрувати файли. В цьому випадку ви ще можете встигнути врятувати свої дані, виконавши такі дії:

Відразу ж вимкніть живлення ПК. Тільки так ви можете запобігти поширенню вірусу.
Далі слід підключити свій жорсткий диск до іншого ПК (тільки не в якості завантажувального!) І скопіювати з нього важливу інформацію.
Після цього необхідно повністю відформатувати заражений вінчестер. Природно, що потім вам доведеться заново встановлювати на нього операційну систему та інше програмне забезпечення.

Крім того, ви можете спробувати використовувати спеціальний завантажувальний диск, Щоб вилікувати вірус «Петя». Антивірус Касперського, наприклад, надає для цих цілей програму Kaspersky Rescue Disk, яка працює в обхід операційної системи.

Чи варто платити здирникам

Як вже було сказано раніше, творці «Петі» вимагають від користувачів, чиї комп'ютери були заражені, викуп в розмірі 300 $. За словами здирників, які постраждали після оплати вказаної суми буде висланий ключ, що усуває блокування інформації.

Проблема в тому, що користувачеві, що бажає повернути свій комп'ютер до нормального стану, необхідно написати зловмисникам на електронну пошту. Однак все E-Mail вимагачів оперативно блокуються уповноваженими службами, тому зв'язатися з ними просто неможливо.

Більш того, багато провідних розробники антивірусного програмного забезпечення впевнені, що розблокувати будь-яким кодом комп'ютер, що піддався зараженню «Петром», і зовсім неможливо.

Як ви напевно зрозуміли, платити здирникам не варто. Інакше ви не тільки залишитеся з неробочим ПК, але ще і втратите велику суму грошей.

Чи будуть нові атаки

Вперше вірус Petya був виявлений ще в березні 2016 року. Тоді фахівці з безпеки швидко помітили загрозу і не допустили її масового поширення. Але вже в кінці червня 2017 року атака повторилася знову, що призвело до дуже серйозних наслідків.

Навряд чи все закінчиться на цьому. Атаки з використанням вірусів-вимагачів - явище нерідке, тому дуже важливо постійно підтримувати свій комп'ютер в захищеному стані. Проблема полягає в тому, що ніхто не може передбачити, в якому форматі відбудеться наступне зараження. Як би там не було, завжди варто слідувати нехитрим рекомендаціям, наведеним в даній статті, щоб скоротити таким чином ризики до мінімуму.

За даними компанії Positive Technologies, в Росії і на Україні від дій Petya постраждали понад 80 організацій. У порівнянні з WannaCry цей вірус визнаний більш руйнівним, так як поширюється декількома методами - за допомогою Windows Management Instrumentation, PsExec і експлойта EternalBlue. Крім того, в шифрувальник впроваджена безкоштовна утиліта Mimikatz.

«Такий набір інструментарію дозволяє Petya зберігати працездатність навіть в тих інфраструктурах, де було враховано урок WannaCry і встановлені відповідні оновлення безпеки, саме тому шифрувальник настільки ефективний», - заявили в Positive Technologies.

Як розповів «Газеті.Ru» керівник відділу реагування на загрози інформаційної безпекикомпанії Ельмар Набігаев,

якщо говорити про причини виникнення сьогоднішньої ситуації, то проблема знову в недбалому ставленні до проблем інформаційної безпеки.

Керівник вірусної лабораторії Avast Якуб Кроустек в бесіді з «Газетой.Ru» заявив, що не можна достеменно встановити, хто саме стоїть за даною кібератакою, але вже відомо, що вірус Petya поширюється в даркнета по бізнес-моделі RaaS (шкідливе ПЗ як послуга).

«Так, частка розповсюджувачів програми досягає 85% з викупу, 15% дістається авторам вірусу-здирника», - розповів Кроустек. Він зазначив, що автори Petya надають всю інфраструктуру, C & C-сервери і системи грошових переказів, що допомагає залучати людей для поширення вірусу, навіть якщо у них немає досвіду в програмуванні.

Крім того, в компанії Avast розповіли, які саме операційні системи постраждали від вірусу найбільше.

На першому місці опинилася Windows 7 - 78% від усіх заражених комп'ютерів. Далі следу.т Windows XP (18%), Windows 10 (6%) і Windows 8.1 (2%).

«Лабораторія Касперського» порахувала, що хоч вірус і схожий на сімейство Petya, але все ж належить до іншої категорії, і дала йому іншу назву - ExPetr, тобто «колишній Петро».

Заступник директора з розвитку компанії «Айдеко» Дмитро Хомутов пояснив кореспонденту «Газети.Ru», що кібератаки вірусами WannaCry і Petya привели до того, «про що давно попереджав», тобто до глобальної вразливості використовуваних повсюдно інформаційних систем.

«Лазівки, залишені американськими корпораціями спецслужбам, стали доступними хакерам і швидко були схрещені з традиційним арсеналом кіберзлочинців - шифрувальники, ботнет-клієнтами і мережними хробаками», - розповів Хомутов.

Таким чином, WannaCry практично нічому не навчив світове співтовариство - комп'ютери так і залишилися незахищеними, системи не були оновлені, а зусилля по випуску патчів навіть для застарілих систем просто пропали даром.

Експерти закликають не платити необхідний викуп в біткоіни, так як Поштова адреса, Який хакери залишили для зв'язку, був заблокований місцевим провайдером. Таким чином, навіть в разі «чесних і добрих намірів» кіберзлочинців користувач не тільки втратить гроші, але і не отримає інструкції для розблокування своїх даних.

Найбільше Petya нашкодив Україні. Серед постраждалих опинилися «Запоріжжяобленерго», «Дніпроенерго», Київський метрополітен, українські мобільні оператори«Київстар», LifeCell і «Укртелеком», магазин «Ашан», Приватбанк, аеропорт Бориспіль та інші.

Українська влада тут же звинуватили в кібератаці Росію.

«Війна в кіберпросторі, що сіє страх і жах серед мільйонів користувачів персональних комп'ютеріві завдає прямої матеріальної шкоди через дестабілізацію роботи бізнесу та держорганів, - це частина загальної стратегії гібридної війни російської імперії проти України », - заявив, депутат Ради від« Народного фронту ».

Україна могла постраждати сильніше інших через початкового поширення Petya через автоматичне оновлення M.E.doc - програми для бухгалтерської звітності. Саме так були заражені українські відомства, об'єкти інфраструктури та комерційні компанії - всі вони користуються цим сервісом.

У прес-службі ESET Russia «Газеті.Ru» пояснили, що для зараження вірусом Petya корпоративної мережі досить одного вразливого комп'ютера, на якому не встановлені оновлення безпеки. З його допомогою шкідлива програма потрапить в мережу, отримає права адміністратора і пошириться на інші пристрої.

Однак M.E.doc виступила з офіційним спростуванням цієї версії.

«Обговорення джерел виникнення і поширення кібератаки активно проводиться користувачами в соцмережах, форумах та інших інформаційних ресурсах, в формулюваннях яких однією з причин вказується установка оновлень програми M.E.Doc. Команда розробки M.E.Doc спростовує дану інформацію і заявляє, що подібні висновки - однозначно помилкові, адже розробник M.E.Doc, як відповідальний постачальник програмного продукту, стежить за безпекою і чистотою власного коду », - йдеться в

На початку травня близько 230 000 комп'ютерів в більш ніж 150 країнах були заражені вірусом-шифрувальником. Не встигли жертви усунути наслідки цієї атаки, як виникла нова - під назвою Petya. Від неї постраждали найбільші українські та російські компанії, а також держустанови.

Кіберполіції України встановила, що атака вірусу почалася через механізм поновлення бухгалтерського програмного забезпечення M.E.Doc, яке використовують для підготовки і відправки податкової звітності. Так, стало відомо, що зараження не уникли мережі «Башнефть», «Роснефти», «Запоріжжяобленерго», «Дніпроенерго» і Дніпровської електроенергетичної системи. На Україні вірус проник в урядові комп'ютери, ПК Київського метрополітену, операторів зв'язку і навіть Чорнобильської АЕС. У Росії постраждали Mondelez International, Mars і Nivea.

Вірус Petya експлуатує уразливість EternalBlue в операційній системі Windows. Фахівці Symantec і F-Secure стверджують, що, хоча Petya і шифрує дані, подібно WannaCry, він все ж таки дещо відрізняється від інших видів вірусів-шифрувальників. «Вірус Петя - це новий видвимагання зі злим умислом: він не просто шифрує файли на диску, а блокує весь диск, роблячи його практично непридатним, - пояснюють F-Secure. - Зокрема, він шифрує головний файловий таблицю MFT ».

Як це відбувається і чи можна цей процес попередити?

Вірус «Петя» - як працює?

Вірус Petya відомий також під іншими назвами: Petya.A, PetrWrap, NotPetya, ExPetr. Потрапляючи в комп'ютер, він викачує з інтернету шифрувальник і намагається вразити частину жорсткого диска з даними, необхідними для завантаження комп'ютера. Якщо йому це вдається, то система видає Blue Screen of Death ( « синій екрансмерті »). Після перезавантаження виходить повідомлення про перевірку жорсткого диска з проханням не відключати харчування. Таким чином, вірус-шифрувальник видає себе за системну програмупо перевірці диска, шифруючи в цей час файли з певними розширеннями. В кінці процесу з'являється повідомлення про блокування комп'ютера і інформація про те, як отримати цифровий ключ для дешифрування даних. Вірус Petya вимагає викупу, як правило, в біткоіни. Якщо у жертви немає резервної копії файлів, вона стоїть перед вибором - сплатити суму в розмірі $ 300 або втратити всю інформацію. На думку деяких аналітиків, вірус лише маскується під вимагача, в той час як його справжня мета - нанесення масового шкоди.

Як позбутися від Petya?

Фахівці виявили, що вірус Petya шукає локальний файл і, якщо цей файл вже існує на диску, виходить з процесу шифрування. Це означає, що захистити свій комп'ютер від вірусу-здирника користувачі можуть шляхом створення цього файлу і установки його тільки для читання.

Незважаючи на те, що ця хитра схема запобігає запуск процесу вимагання, даний метод можна розглядати скоріше як «вакцинацію комп'ютера». Таким чином, користувачеві доведеться самостійно створювати файл. Зробити це ви можете наступним чином:

Для початку потрібно розібратися з розширенням файлів. Переконайтеся, що у вікні «Параметри папок» в чекбоксі «Приховати розширення для зареєстрованих типів файлів» немає галочки.
Відкрийте папку C: \ Windows, перейдіть, поки не побачите програму notepad.exe.
Клацніть по notepad.exe лівою кнопкою, потім натисніть Ctrl + C, щоб скопіювати, а потім Ctrl + V, щоб вставити файл. Ви отримаєте запит з проханням надати дозвіл на копіювання файлу.
Натисніть кнопку «Продовжити», і файл буде створений як блокнот - Copy.exe. Клацніть лівою кнопкою миші по цьому файлу і натисніть клавішу F2, а потім зітріть ім'я файлу Copy.exe і введіть perfc.
Після зміни імені файлу на perfc натисніть Enter. Підтвердіть перейменування.
Тепер, коли файл perfc створений, потрібно зробити його доступним тільки для читання. Для цього клікніть правою кнопкою миші на файл і виберіть «Властивості».
Відкриється меню властивостей цього файлу. Внизу ви побачите «Тільки для читання». Поставте галочку.
Тепер натисніть кнопку «Застосувати», а потім кнопку «ОК».

Деякі експерти з безпеки пропонують крім файлу C: \ windows \ perfc створити файли C: \ Windows \ perfc.dat і C: \ Windows \ perfc.dll, щоб ретельніше захиститися від вірусу Petya. Ви можете повторити описані вище кроки для цих файлів.

Вітаємо, ваш комп'ютер захищений від NotPetya / Petya!

Експерти Symantec дають деякі поради користувачам ПК, щоб застерегти їх від дій, які можуть призвести до блокування файлів або втрати грошей.

Не платіть гроші зловмисникам.Навіть якщо ви перерахуєте гроші здирникам, немає ніякої гарантії, що ви зможете відновити доступ до своїх файлів. А у випадку з NotPetya / Petya це в принципі безглуздо, тому що мета шифрувальника - знищити дані, а не отримати гроші.
Переконайтеся, що ви регулярно створюєте резервні копії даних.В цьому випадку, навіть якщо ваш ПК стане об'єктом атаки вірусу-здирника, ви зможете відновити будь-які видалені файли.
Не відкривайте електронні листиз сумнівними адресами.Зловмисники будуть намагатися обдурити вас при установці шкідливих програм або постараються отримати важливі дані для атак. Обов'язково повідомляйте ІТ-фахівцям про випадки, якщо ви або ваші співробітники отримують підозрілі листи, посилання.
Використовуйте надійне програмне забезпечення.Важливу роль у захисті комп'ютерів від заражень грає своєчасне оновлення антівірусніков. І, звичайно, потрібно використовувати продукти авторитетних в цій області компаній.
Використовуйте механізми сканування і блокування повідомлень зі спамом.Вхідні електронні листи повинні перевірятися на наявність загроз. Важливо, щоб блокувалися будь-які типи повідомлень, які в своєму тексті містять посилання або типові ключові словафішингу.
Переконайтеся, що всі програми оновлені.Регулярне усунення вразливостей програмного забезпечення необхідно для запобігання заражень.

Чи варто чекати нових атак?

Вперше вірус Petya заявив про себе в березні 2016 року, і його поведінка одразу помітили фахівці з безпеки. Новий вірус Петя вразив комп'ютери на Україні і в Росії в кінці червня 2017 року. Але цим навряд чи все закінчиться. Хакерські атаки з використанням вірусів-вимагачів, аналогічних Petya і WannaCry, повторяться, заявив заступник голови правління Ощадбанку Станіслав Кузнєцов. В інтерв'ю ТАСС він попередив, що подібні атаки точно будуть, проте заздалегідь складно передбачити, в якому вигляді і форматі вони можуть з'явитися.

Якщо після всіх минулих кібератак ви ще не зробили хоча б мінімальні дії для того, щоб захистити свій комп'ютер від вірусу-шифрувальника, то настав час цим зайнятися впритул.