Golovna
Mobil qo'shimchalar
Petya virusiga hujumdan keyin ma'lumotlarni qanday eslab qolish kerak (hisobot ko'rsatmalari). Petya virusidan keyin diskdagi ma'lumotlarni qanday shifrlash mumkin Petya shifrlash virusidan keyin ma'lumotlarni shifrlash

Petya virusiga hujumdan keyin ma'lumotlarni qanday eslab qolish kerak (hisobot ko'rsatmalari). Petya virusidan keyin diskdagi ma'lumotlarni qanday shifrlash mumkin Petya shifrlash virusidan keyin ma'lumotlarni shifrlash

Viruslar va shkidlivimi dasturlari oldida eng ilg'or operatsion tizimlar - Windows va Android Linux va OS X dan ko'proq zarar ko'radi. Agar birlamchi viruslarni qoralash mumkin bo'lsa, tizimga allaqachon kirib borgan shifrlovchiga qarshi shifrni ochish uchun vositalar mavjud emas.

Tizimga kirib, ishg'ol qilingan sektorni akkumulyatorli saqlashda qanday o'zgartirish haqida biz allaqachon yozgan edik, natijada kompyuter ishg'ol qilinganida, ma'lumotlar buzilganligi ko'rinib qoldi, shundan so'ng CHKDSK yordam dasturi ishga tushirildi. Aslida, CHKDSK robotining o'rinbosari ma'lumotlarni shifrlash bilan shug'ullangan. Shifrlash tugallangandan so'ng, Koristuvachevlar vikup yordamida viknoni ko'rishdi, bundan tashqari, keyingi kun davomida vikup yig'indisi bilan kurashdi.

Va Petya virusining muallifi yetarlicha ish qila olmadi, u shunchaki koddagi kechirimlarga murojaat qildi, ammo boshqa koristuvachlar shifrlangan ma'lumotlarni oldindan ko'rishga imkon beradigan vositalarni yaratishga muvaffaq bo'lishdi. Cob zavantazhuemo o'qi qiu yordam dasturi uchun

(afzallik: 253)

.

Birinchi o'rinda, ma'lumot faqat qo'shimcha ma'lumot olish uchun, yoki ayblangan koristuvachiv olish uchun, kompyuterning texnik qismi haqidagi bilimlarni etkazish shards. Reshti vipadkív da Kiyevdagi kompyuterlarni maisternu ta'mirlashda fakhívtsívga murojaat qilish tavsiya etiladi, aniq majstry kompyuterning pracsezdatnosti yangilash uchun tashriflar yangi kompleksini amalga oshirish.

1. Petyaning qattiq diskini shifrlashni boshqa kompyuterga ulang, Petya Sector Extractor yordam dasturini ishga tushiring, Petya diski joylashgan dasturni belgilang va bu haqda xabar bering.

2. https://petya-pay-no-ransom.herokuapp.com yoki https://petya-pay-no-ransom-mirror1.herokuapp.com/ manzillari uchun Internetga o'ting, ikkita matn maydoni bo'ladi. Base64encoded 512 bayt tekshirish ma'lumotlari va Base64encoded 8 bayt deb nomlanadi, siz kalitni olishni unutmasligingiz kerak.

3. Petya Sector Extractor dasturida Base64encoded 512 bayt tekshirish ma'lumotlar maydoni uchun Petya Extractor-dagi CopySector tugmasini bosishingiz kerak, Base64 kodlangan 8 bayt nonce maydoni uchun Copy Nonce tugmasini bosishingiz mumkin. Keyin Petya Sector Extractor yordam dasturini yopishingiz mumkin. Maydonlarni to'ldirib, bo'rttirma Yuborish va bir nechta eslatmalarni tekshirib ko'rganimizdan so'ng, biz kerakli kombinatsiyani olamiz, yoki uni eslab qolamiz yoki xohlagan joyingizga yozamiz.

4. Yomon qattiq diskni orqaga joylashtiring, kompyuterni yoqing, Pyotr kodni kiritishini tekshiring, agar hamma narsa to'g'ri buzilgan bo'lsa, virus diskdagi ma'lumotlarning shifrini ochishni boshlash va operatsiya tugagandan so'ng javobgar bo'ladi. , kompyuter asl rejimda qayta ishga tushadi.

Petya virusiga qarshi qanday kurashishingiz mumkin, siz hali ham qila olasiz, ammo kelajakda bunday hodisalardan qochish uchun siz antivirus dasturlari bilan tezlashtirishingiz mumkin. Tim kattaroq, do'sti bir necha kun Petyada paydo bo'lganida, Misha ismli virus yanada nozikroq va hali ham mos keladigan yuzlar yo'qdek ko'rinadi.

Petya.A virusiga qilingan hujum bir necha kun ichida o'nlab mamlakatlarni qamrab oldi va Ukrainada epidemiya miqyosigacha o'sdi, bu erda keng tarqalgan zararli dastur M.E.Doc hujjatlarni boshqarish dasturiga tegishli edi. Mutaxassislarning fikriga ko'ra, yovuzlarning usuli bo'lgan, ma'lumotlarning buzilishi ko'paygan, ammo Ukraina kiberpolitsiyasining eslatishicha, tizim tez-tez yuqtirish imkoniyati mavjud. fayllarni tiklash uchun.

Yak amaliyoti Petya

Virus ma'murning huquqlaridan mahrum bo'lganligi sababli, tergovchilar buning uchun uchta asosiy stsenariyni ko'rishadi:

  • Kompyuter zararlangan va shifrlangan, tizim butunlay buzilgan. Ushbu ma'lumotlarni tasdiqlash uchun sizga yopiq kalit kerak va ekranda to'lovni to'lash uchun eslatmani ko'rishingiz mumkin (agar xohlasangiz).
  • INFEKTSION kompyuter va tez-tez shifrlash - tizim fayllarni shifrlashni boshladi, lekin ayni paytda butun jarayonni tiklash uchun jonli yoki boshqa usullarni yoqdi.
  • INFEKTSION kompyuter, ammo MFT jadvallarini shifrlash jarayoni hali ham ochiq.

Birinchi marta ma'lumotlarni shifrlashning hech qanday usuli yo'q. Shu bilan birga, fakhívtsí cyberpolítsííí va IT-kompaniyalari, shuningdek asl virus yaratuvchisi Petya(scho kalit yordami uchun v_dnovlyuvat tizimi ruxsat). Agar MFT fayllarining bosh jadvali ko'pincha buzilgan yoki buzilmagan bo'lsa, fayllarga kirish imkoniyati hali ham mavjud.

Kiberpolitsiya robot tomonidan o'zgartirilgan Petya virusining ikkita asosiy bosqichini nomladi:

Birinchisi: administratorning imtiyozlarini olib tashlash (Active Directory-dan foydalanganda hid yoqiladi). Virus MBR operatsion tizimi uchun asl suratga olish sektorini XOR (xor 0x7) shifrlangan o'xshash bit operatsiyasidan saqlaydi, shundan so'ng u o'zining suratga olish joyini yozadi. Troyan kodi diskning birinchi sektorida qayd etilgan. Qaysi bosqichda shifrlash haqida matnli fayl yaratiladi, lekin bu ma'lumotlar hali shifrlanmagan.

Ma'lumotlarni shifrlashning yana bir bosqichi tizim qayta yoqilgandan so'ng boshlanadi. Petya o'zining konfiguratsiya sektorini ishga tushiradi, bu holda shifrlanmagan ma'lumotlar haqida eslatma mavjud. Shifrlash jarayoni boshlanganda ekran Check Disk dasturining roboti kabi paydo bo'ladi. Yoga allaqachon boshlanganidan so'ng, hayotiylikni yoqing va o'lponlarni rag'batlantirish uchun tezlashtirishga harakat qiling.

Nima va'z qilish

Kob uchun Windows o'rnatish diskidan foydalanish kerak. Agar siz qattiq disk (yoki SSD) bo'limlari bilan jadvalni ko'rsangiz, mag'lubiyatga uchragan MBR sektorini yangilash tartibiga o'tishingiz mumkin. Diskda zararlangan fayllar mavjudligini tekshirib ko'ramiz. Bugungi kunda Petya mashhur antiviruslarni tan oladi.

Shifrlash jarayoni buzilishi bilanoq, ale coristuvach uni to'xtatishi mumkin, agar operatsion tizim band bo'lsa, shifrlangan fayllarni yangilash uchun dasturiy ta'minotni tezlashtirish kerak (R-Studio va boshqalar). Ma'lumotni eskisiga saqlash va tizimni qayta o'rnatish kerak.

Zavantazhuvachni qanday ilhomlantirish kerak

Windows XP operatsion tizimi uchun:

Windows XP o'rnatish diski shaxsiy kompyuterning operativ xotirasiga yuklanganda, tanlash menyusidan "O'rnatilgan Windows XP Professional" dialog oynasi paydo bo'ladi, keyin "Qo'shimcha o'rnatish konsoli uchun Windows XP ni o'rnatish uchun R tugmasini bosing" bandini tanlashingiz kerak. . "R" tugmasini bosing.

Konsolni yangilang.

Agar shaxsiy kompyuterda bitta operatsion tizim o'rnatilgan bo'lsa va u (qulflar uchun) C diskida o'rnatilgan bo'lsa, quyidagi ogohlantirish paydo bo'ladi:

"1: C:\WINDOWS Windows nusxasi qayerda, qayerga kiritishim kerak?"

"1" raqamini kiriting, "Enter" tugmasini bosing.

So'rov paydo bo'ladi: "Administrator parolini kiriting". Parolni kiriting, Enter tugmasini bosing (agar sizda parol bo'lmasa, Enter tugmasini bosing).

So'rov uchun javobgar: C: \ WINDOWS>, fixmbr kiriting

Keling, ogohlantirishni ko'rib chiqaylik: "PREDEDZHENNYA".

"Yangi MBR yozmoqchimisiz?", "Y" tugmasini bosing.

Xabar paydo bo'ladi: "Jismoniy disk \Device\Harddisk0\Partition0da yangi asosiy sektor yaratilmoqda."

Windows Vista uchun:

Windows Vista-ni yuklab oling. Til va klaviatura tartibini tanlang. Ulanish ekranida "Kompyuterning ishlashini o'zgartirish" tugmasini bosing. Windows Vista kompyuter menyusini tahrirlash.

Operatsion tizimni tanlang va "Dal" tugmasini bosing. Agar "Tizimni tiklash parametrlari" oynasini ko'rsangiz, buyruq qatorini bosing. Agar buyruq qatori paydo bo'lsa, quyidagi buyruqni kiriting:

bootrec/FixMbr

Tugallangan operatsiyani tekshiring. Hammasi yaxshi bo'lganidek, ekranda tasdiqlash xabari paydo bo'ladi.

Windows 7 uchun:

Windows 7 ni oling. Til, klaviatura tartibini tanlang va "Keyingi" tugmasini bosing.

Operatsion tizimni tanlang va "Dal" tugmasini bosing. Operatsion tizimni tanlashda "Windows-ni ishga tushirish bilan bog'liq muammolarni hal qilishga yordam beradigan yangilash uchun qozongan vositalar" ni o'qing.

"Tizimni yangilash sozlamalari" ekranida "Buyruqlar qatori" tugmasini bosing. Agar buyruq qatori muvaffaqiyatli bo'lsa, buyruqni kiriting:

bootrec/fixmbr

Windows 8 uchun:

Windows 8-ni qulflang. "Maxfiylik" ekranida "Xush kelibsiz kompyuter" tugmasini bosing.

"Nosozliklarni baholash" bandini tanlang. Buyruqlar qatorini tanlang, agar qiziqsangiz, kiriting:

bootrec/FixMbr

Enter tugmasini bosing va kompyuterni qayta yoqing.

Windows 10 uchun:

Windows 10-ni oling. Ishga tushirish ekranida "Kompyuterni ta'mirlash" tugmasini bosing, "Muammolarni bartaraf etish" bandini tanlang.

Buyruqlar qatorini tanlang. Agar buyruq qatori chigal bo'lib qolsa, buyruqni kiriting:

bootrec/FixMbr

Tekshiring, o'rnatish jarayoni tugallanadi. Hammasi yaxshi bo'lganidek, ekranda tasdiqlash xabari paydo bo'ladi.

Enter tugmasini bosing va kompyuterni qayta yoqing.

Petya virusi tez o'sib borayotgan virus bo'lib, u 2017 yil 27 martda Ukrainadagi deyarli barcha yirik korxonalardir. Petya virusi fayllaringizni shifrlaydi va ularni keyinroq talaffuz qiladi.

Yangi virus kompyuterning qattiq diskiga hujum qiladi va fayl shifrlovchi virusi kabi ishlaydi. Bir soat o'tgach, Petya virusi kompyuteringizdagi fayllarni "ifloslaydi" va yoqimsiz hid shifrlangan bo'ladi (ular fayllarni ziplab, muhim parol o'rnatdilar)
Petya ransomware virusi ta'sir qilgan fayllar, keyin biz ularni endi yarashtirmaymiz
Petya virusidan ta'sirlangan fayllarni tiklash algoritmi - HI
Ushbu qisqa va MAKSIMUM statistika yordamida siz o'zingizni #virusPetya dan qutqarishingiz mumkin

Petya virusi yoki WannaCry-ni qanday aniqlash va virusni yuqtirmaslik

Fayl Internet orqali yuklab olinganda, u onlayn antivirus tomonidan aylantiriladi. Onlayn antiviruslar fayldagi virusni aniqlay oladi va uni Petya virusi bilan yuqtirishning oldini oladi. VirusTotal yordami uchun yozib olish faylini qayta ko'rib chiqish va keyin uni ishga tushirish kifoya. Endi siz PETYA VIRUSni o'g'irlab oldingiz, lekin virus faylini ishga tushirmang, virus faol emas va kompyuter ishlamayapti. Noto'g'ri faylni ishga tushirgandan so'ng, siz virusni ishga tushirasiz, buni unutmang

BIZDA PETYA VIRUSI BILAN BO'LMASH UCHUN HAMMA IMKONIYATLARNI BERGAN Usulimiz bor.
Petya virusi quyidagicha ko'rinadi:

Yak o'zingizni virusdan qutqaring Petya

Kompaniya Symantec Men qarorni targ'ib qildim, go'yo Petyani virusdan, vdavshidan, sizda mavjud bo'lgan o'rnatishlardan qutqarishga ruxsat bergandek.
Petya virusi, kompyuterga urilganda, u papada yaratadi C:\Windows\perfc fayl perfc yoki perfc.dll
Shunday qilib, virus o'rnatishda nima bo'lganligi haqida o'ylab, o'z faoliyatini davom ettirmasdan, papalik bilan yaratdi. C:\Windows\perfc bo'sh joy bilan faylni o'zgartirish rejimini "Faqat o'qish" ga o'rnatish orqali saqlang.
Yoki zavantazhte virus-petya-perfc.zip va papkani chiqarib oling perfc u papkasi C:\Windows\ va o'zgartirish rejimini "Faqat o'qish" ga o'rnating
Zavantage virus-petya-perfc.zip



YANGILANGAN 06/29/2017
Men ham faqat Windows papkasida zavantazhit obidva fayllarini tavsiya qilaman. Bagato dzherel qanday faylni yozadi perfc yoki perfc.dll papa bo'lishda aybdor C:\Windows\

Sizning kompyuteringiz Petya virusi hujumlariga qanchalik chidamli

Sizni allaqachon Petya virusi bilan yuqtirgan kompyuterga kirmang. Petya virusi shunday ishlaydiki, kompyuter zararlanganicha, u fayllarni shifrlaydi. Ya'ni, siz Petya kompyuterini viruslardan himoya qilishga harakat qilayotganingizda, yangi va yangi fayllar infektsiyalanadi va shifrlanadi.
Kompyuterning Vinchesteri buzilgan. Antivirus bilan LIVECD yoki LIVEUSB yordamida yoga o'tkazishingiz mumkin
Kaspersky Rescue Disk 10-dan jozibali flesh-disk
Dr.Web LiveDisk flesh-disk

Butun Ukraina bo'ylab Petya virusini kim kengaytirdi

Microsoft kompaniyasi Ukrainaning yirik kompaniyalarida global infektsiya haqida o'z nuqtai nazarini bildirdi. Buning sababi M.E.Doc dasturini yangilash edi. M.E.Doc - mashhur buxgalteriya dasturi, bu kompaniyaning juda katta xatosi, chunki u yangilanishda virusga duchor bo'lgan va M.E.Doc dasturi o'rnatilgan minglab shaxsiy kompyuterlarga Petya virusini o'rnatgan. Bir shaharda kompyuterlarga hujum qiluvchi virus parchalari tomirlarni kengaytirdi.
#: petya virusi android, Petya virusi hujum qiladi, petya virusini qanday aniqlash va ko'rish, petya virusini qanday o'g'irlash, M.E.Doc, Microsoft, papka yaratish petya virusi

Bir necha oy o'tgach, va tobora ko'proq IT Security fahivtsy yangi shkidlivistni ko'rsatdi - Petya (Win32.Trojan-Ransom.Petya.A). Klassik rozumíny vín kriptograf emas, virus shunchaki singli fayllar va vimagav vikup turlariga kirishni bloklaydi. Virus qattiq diskdagi jozibali yozuvni o'zgartirdi, shaxsiy kompyuterni primusga o'xshatib qaytadan mag'lub etdi va "shifrlanganlar - shifrni hal qilish uchun tiyinlarga turmushga chiquvchilar" haqidagi ma'lumotlarni ko'rsatdi. Virus-shifrlash sxemasi - bu fayllar aslida shifrlanmaganligi uchun aybning orqasida standart sxema. Ommabop antiviruslarning ko'pchiligi Win32.Trojan-Ransom.Petya.A paydo bo'lganidan keyin bir necha kun o'tgach aniqlay boshladi va ko'ra boshladi. Bundan tashqari, qo'lda olib tashlash bo'yicha ko'rsatmalar paydo bo'ldi. Nega biz Petya klassik shifrlar to'plami emasligi haqida qayg'uramiz? Ushbu virus Master Boot Record-ga o'zgartirishlar kiritish va OS ta'qib qilishni o'zgartirish, shuningdek Master File Table (bosh fayl jadvali) ni shifrlash uchun mo'ljallangan. Win fayllarni o'zi shifrlaydi.

Biroq, birozdan keyin yupqa virus paydo bo'ldi mischa, Shahroilarning o'zlari ta'kidlagan zamon yozuvlaridan kelib chiqqan holda. Ushbu virus fayllarni shifrlaydi va 500 - 875 $ (boshqa versiyalar uchun 1,5 - 1,8 bitcoin) uchun to'lovni amalga oshirishga yordam beradi. Shifrni ochish va uning uchun toʻlov boʻyicha koʻrsatmalar YOUR_FILES_ARE_ENCRYPTED.HTML va YOUR_FILES_ARE_ENCRYPTED.TXT fayllarida saqlanadi.

Mischa virusi - YOUR_FILES_ARE_ENCRYPTED.HTML faylida

Ayni paytda, aslida, xakerlar ikki koristuvachning kompyuterlarini axloqsizlar bilan yuqtirishadi: Petya va Mischa. Birinchisi, tizim uchun administrator huquqlarini talab qiladi. Shuning uchun Petyaning ma'mur huquqlarini ko'rish kerak yoki agar siz butun qutini qo'lda ko'rsangiz - Mischa o'ng tomonda yoqadi. Ushbu virus administrator huquqlariga muhtoj emas, klassik shifrlovchidan foydalanadi va barqaror AES algoritmidan foydalangan holda fayllarni samarali shifrlaydi va qurbonning qattiq diskidagi Master Boot Record va fayl jadvallariga kunlik o'zgartirishlar kiritmaydi.

Xavfsizlik Mischa nafaqat standart turdagi fayllarni (videolar, rasmlar, taqdimotlar, hujjatlar), balki .exe fayllarini ham shifrlaydi. Virus faqat \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow va \Chrome kataloglarini o'qimaydi.

INFEKTSION, eng muhimi, elektron pochta orqali uzatiladi, bu erda qo'shimcha fayldan varaqni topish mumkin - virus o'rnatuvchisi. Bu Podatkova varaqasi ostida, buxgalteringiz ko'rinishida, xaridlar uchun kvitantsiya va kvitansiyalarni depozit sifatida shifrlash mumkin. Bunday varaqlardagi fayllarning kengaytmasiga e'tibor bering - agar u wiki fayli (.exe) bo'lsa, u holda katta moslashuvchanlik bilan Petya\Mischa virusidan konteyner bo'lishi mumkin. Natijada, zararli dasturning modifikatsiyasi yangi - antivirusingiz javob bermasligi mumkin.

Yangilanish 30/06/2017: Petya virusining 27 ta qora modifikatsiyasi (Petya.A) Ukrainada koristuvachivga ommaviy hujum qilish Hujumning ta'siri katta va iqtisodiy zarba bo'ldi, toki hech qanday qo'llab-quvvatlanmadi. Bir kunda o‘nlab banklar, savdo shirkatlari, davlat muassasalari va turli hokimiyatdagi korxonalarning ishi falaj bo‘ldi. Virus eng muhimi, ushbu dasturiy ta'minotning qolgan avtomatik yangilanishlaridan MeDoc buxgalteriya yozuvlarini topshirishning Ukraina tizimidagi nomuvofiqlik tufayli tarqalmoqda. Bundan tashqari, virus Rossiya, Ispaniya, Buyuk Britaniya, Fransiya, Litva kabi davlatlarni qamrab oldi.

Avtomatik tozalash vositasi yordamida Petya va Mischa virusini ko'rish

Shkídlivim PZ vzagaly va zokrema dasturlari-vimagerlardan robototexnikaning Vinyatkovo samarali usuli. O'zini isbotlagan "Vykoristannya zahisny" kompleksi sichqonchani bir marta bosish orqali tashqi tomondan ko'rinadigan har qanday virusli komponentlarning namoyon bo'lishining takrorlanishini kafolatlaydi. Yaxshi sabablarga ko'ra, ikki xil jarayon mavjud: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni yangilash. Prote bir tahdid, aqldan ozgancha, pídlyagaê vydalennya, oskolki ê vídomosti pro provadzhennya ínshih kompyuter troyanlar yordam uchun.

  1. . Dasturiy ta'minotni ishga tushirgandan so'ng tugmani bosing Kompyuterni skanerlashni boshlang(Deyarli skanerlanmoqda).
  2. O'rnatilgan xavfsizlik dasturi tahdidni tekshirish haqida qo'ng'iroqni yuboradi. Barcha ma'lum tahdidlarni o'chirish uchun variantni tanlang Tahdidlarni tuzatish(Usunut tahdid qiladi). Xavfsizlik dasturini ko'rib chiqing, siz undan ko'proq narsani ko'rasiz.

Shifrlangan fayllarga kirishni tiklang

Rejaga ko'ra, Mischa sehrgarlari kuchli shifrlash algoritmi yordamida fayllarni blokirovka qiladi, shunda shifrlangan ma'lumotlarni jozibali tayoqcha to'lqini bilan tanib bo'lmaydi - shuning uchun hurmat qilish uchun aql bovar qilmaydigan miqdorni (ba'zan 1000 dollargacha) olmang. ). Haqiqatning Ale deyakí usullari muhim ma'lumotlarni eslab qolish uchun yordam sifatida, tayoqcha-viruchalochka bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin.

Fayllarni avtomatik yangilash dasturi (dekoder)

G'ayrioddiy mebelga o'xshaydi. Ushbu infektsiya fayllarni shifrlanmagan ko'rinishdan o'chirib tashlaydi. Sog'liqni saqlash usuli bilan shifrlash jarayoni, bunday daraja, ularning nusxalari bo'yicha maqsadli. Bunday dasturiy ta'minot ob'ektlarni o'chirishga, ularni hayotga qaytarishga imkon beradi. Fayllarni yangilash tartibiga o'tish qat'iy tavsiya etiladi, chunki samaradorlik shubhalarni anglatmaydi.

Jildlarning ingichka nusxalari

Yondashuv asosida fayllarni zaxiralash uchun Windows protsedurasi o'tkazildi, chunki u terining yangilanish nuqtasida takrorlanadi. Ushbu usul haqida o'ylash kerak: "Tizimni tiklash" funktsiyasi infektsiyadan oldin faollashtirilishi mumkin. Faylni har safar o'zgartirganingizda, o'zgartirish nuqtalarini qo'yganingizdan so'ng, fayl yangilangan versiyada ko'rsatilmaydi.

Zaxira

Bu barcha usullarga mos kelmaydigan eng yaxshi o'rta sinf. Qo'ng'iroq qiluvchi serverga ma'lumotlarni zaxiralash tartibi sehrgar sizning kompyuteringizga hujum qilgan paytgacha to'xtatilganligi sababli, shifrlangan fayllarni tiklash uchun siz tashqi interfeysga o'tishingiz, kerakli fayllarni tanlashingiz va ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. zaxiradan. Operatsiya tugashidan oldin, uni qayta ko'rib chiqish kerak, ya'ni PZ butunlay olib tashlangan.

Petya va Mischa tuzlangan bodringning ortiqcha tarkibiy qismlari mavjudligini ortiqcha baholash mumkin

Qo'l rejimida tozalash sehrli dasturiy ta'minotning taxminan bir nechta bo'laklarini yo'qotishiga olib kelishi mumkin, bu esa ob'ektlarni operatsion tizimga yoki elementlarni ro'yxatga olish kitobiga biriktirish ko'rinishini yashirishi mumkin. Boshqa shkidlivih elementlari uchun shaxsiy tejash xavfini yashirish uchun kompyuteringizni zararli dasturlarga ixtisoslashgan yuqori darajadagi dasturiy ta'minot majmuasi yordami uchun skanerlang.

Dekilka bir necha kun oldin bizning resursimizda o'zlarini virusdan va uning riznovidivlaridan qanday himoya qilish haqida maqola paydo bo'ldi. Ushbu ko'rsatmalarda biz eng katta variantni ko'rishimiz mumkin - sizning shaxsiy kompyuteringiz infektsiyalangan. Tabiiyki, koristuvach terisi to'lganidan so'ng, sizning ma'lumotlaringiz va shaxsiy ma'lumotlaringizni tasdiqlashingiz mumkin. Ushbu maqolada ma'lumotlarni tanib olishning eng samarali va topilgan usullari haqida so'z boradi. Warto qo'ng'irog'i, bu mumkin emas, biz kafolat bera olmaymiz.

Biz uchta asosiy stsenariyni ko'rib chiqamiz, ular ortida bo'linmalar rivojlanishi mumkin:
1. Kompyuter Petya.A virusi (yoki boshqa turdagi) va shifrlash bilan zararlangan, tizim butunlay bloklangan. Ma'lumotlarni qayta tiklash uchun siz maxsus kalitni kiritishingiz kerak, buning uchun siz to'lashingiz kerak. Sizga aniq nima to'lashingizni aytaman, agar bloklamasangiz, shaxsiy kompyuteringizga kira olmaysiz.

2. Boshqa variantlardan ko'ra yaxshiroq variant - kompyuteringiz infektsiyalanadi va virus ma'lumotlaringizni shifrlashni boshlaydi, keyin esa ma'lumotlaringizni shifrlaydi (masalan, hayotni o'z ichiga oladi).

3. Dam olish varianti eng yaxshisidir. Sizning kompyuteringiz zararlangan, lekin fayl tizimi hali shifrlanmagan.

Agar siz 1-sonli vaziyatda bo'lsangiz, unda barcha ma'lumotlaringiz shifrlangan bo'lsa, bu bosqichda asl ma'lumotni yangilashning yaxshi usuli mavjud. Bir necha kundan keyin yoki undan keyin siz paydo bo'lishingiz mutlaqo qo'zg'almas, ammo hozircha axborot va kompyuter xavfsizligi xonasidagi fahivtsy z usima boshini osib qo'yadi.

Agar shifrlash jarayoni ochilmasa yoki tugallanishlar bo'lmasa, kod noto'g'ri uziladi (shifrlash Diskni tekshirish tizimi jarayoni kabi ko'rinadi). Operatsion tizimni egallashga muvaffaq bo'lganingizdan so'ng, darhol joriy antivirusni o'rnating (hozircha Petyani tanib oling va barcha disklarni qayta tekshirib ko'ring. Agar Windows buzib tashlanmasa, u holda virusga chalingan mashinaning egasi kerak. tizim diski yoki flesh-disklar uchun flesh-disk bilan tezkor bo'ling).avangard MBR sektorini jonlantirish.

Windows XP da sarguzashtchini yangilash

Agar siz tizim diskini Windows XP operatsion tizimi bilan qabul qilsangiz, sizga variantlar taqdim etiladi. "Windows XP Professional o'rnatish" oynasida "Windows XP-ni qo'shimcha Windows XP konsoli bilan qo'llab-quvvatlash uchun R tugmasini bosing" bandini tanlang. Mantiqan toʻgʻrirogʻi, klaviaturada R tugmasini bosishingiz kerak boʻladi.Ushbu xabarning tarqalishini yangilash uchun oldingizda konsol paydo boʻlishi mumkin:

""1: C: \ WINDOWS Windows-ning nusxasi qayerda, qayerga kirishim kerak?""


Agar sizda Windows XP ning bitta versiyasi o'rnatilgan bo'lsa, klaviaturadan "1" ni kiriting va kiritishni bosing. Xo'sh, agar sizda tizimlar bo'lsa, sizga kerak bo'lgan narsani tanlashingiz kerak. Sizdan administrator parolini so'rash so'raladi. Agar parol bo'sh bo'lsa, maydonni bo'sh qoldirib, Enter ni kiriting. Ekranda qator paydo bo'lganda, so'zni kiriting " fixmbr"

Guilty z's'be shunday eslatma paydo bo'ladi: Yangi MBR yozuvini tasdiqlaysizmi?", klaviaturadagi Y tugmasini bosing.
Xabar paydo bo'ladi: "Jismoniy diskda yangi asosiy daromadli sektor yaratilmoqda..."
"Yangi asosiy qiziqarli bo'linma muvaffaqiyatli yaratildi."

Windows Vista-ga o'tish

Windows Vista operatsion tizimiga ega disk yoki USB flesh-diskini joylashtiring. Ular sizga "Kompyuter amaliyotining innovatsiyasi" qatorini tanlash zaruratini berdi. Iltimos, qaysi operatsion tizim Windows Vista (shuningdek) yangilanishi kerakligini tanlang. Agar siz yangilash variantlarini ko'rsangiz, buyruq qatorini bosing. Buyruqlar qatoriga kiriting " bootrec/FixMbr".

Windows 7 da vantazhuvach-ni yangilash

Windows 7 operatsion tizimiga ega disk yoki USB flesh-diskini joylashtiring. "Qayta tiklash uchun Vykoristovuvaty vositalari" ni tanlang, chunki ular Windows-ni ishga tushirish bilan bog'liq muammolarni hal qilishga yordam beradi. Keyin "Buyruqlar qatori" ni tanlang. Buyruqlar qatori band bo'lgandan so'ng, kiriting " bootrec/fixmbr

Windows 8-da sarguzashtni yangilash

Windows 8 operatsion tizimiga ega disk yoki flesh-diskni joylashtiring.Asosiy ekranda pastki chap burchakdagi "Kompyuterni yoqish"-ni tanlang. "Nosozliklarni baholash" bandini tanlang. Buyruqlar qatorini tanlang, agar qiziqsangiz, kiriting: "bootrec/FixMbr"

Windows 10 da sarguzashtchining qayta ixtirosi

Windows 10 operatsion tizimiga ega disk yoki flesh-diskni joylashtiring.Asosiy ekranda pastki chap burchakdagi "Kompyuterni yoqish"-ni tanlang. "Nosozliklarni baholash" bandini tanlang. Buyruqlar qatorini tanlang, agar qiziqsangiz, kiriting: "bootrec/FixMbr" Agar hamma narsa yaxshi bo'lsa, uni kuzatib borishingiz kerak va kompyuterni qayta yuklash uchun emas, balki hamma narsa yo'qoladi.

(Petya.A), va past quvonch baxsh etdi.

SBU o'lponidan so'ng, operatsion tizimlarning infektsiyasi, eng muhimi, boy tijorat va davlat tuzilmalarining elektron manzillariga yo'naltirilgan keng ko'lamli qo'shimchalar (Word hujjatlari, PDF fayllari) chiqarilishi orqali xabar qilindi.

“Asosiy usuli Petya.A fayllari shifrlagichini kengaytirish boʻlgan hujum, zararlangan mashinada skriptlar toʻplamidan foydalanish natijasida MS17-010 faylini buzdi, chunki tajovuzkorlar ishga tushirishga urinishdi. shifrlangan fayl ”, dedi SBU.

Virus ma'lumotlarni blokdan chiqarish uchun bitkoinlarda shifrni ochish kaliti uchun 300 dollar ekvivalentida to'lash taklifi bilan fayllarni o'zgartirish haqidagi ma'lumotlarni ko'rsatish uchun koristuvachadagi fayllarni shifrlash yo'li bilan Windows OT shifrlash ostidagi kompyuterlarga hujum qiladi.

“Shifrlangan ma’lumotlarni, afsuski, shifrlash mumkin emas. Shifrlangan maʼlumotlarni shifrdan chiqarish imkoniyati ustida ish davom etmoqda”, — dedi SBU.

Nima ishlash kerak, o'zingizni virusdan himoya qilish uchun

1. Agar kompyuter shikastlangan va normal ishlayotgan bo'lsa, infektsiyalar bo'lishi mumkinligiga shubha qilsangiz, uni hech qachon qayta shifrlamang (agar kompyuter allaqachon shikastlangan bo'lsa - uni qayta shifrlamang) - virus kompyuterda barcha fayllarni qayta shifrlash va shifrlashda himoyalangan.

2. Noutbukga ulanmasdan kompyuterdagi barcha eng muhim fayllarni saqlang va ideal holda - OS dan bir vaqtning o'zida zaxira nusxasini yarating.

3. Fayllarning shifrlovchisini aniqlash uchun barcha mahalliy vazifalarni bajarish va hujum qiluvchi fayl mavjudligini tekshirish kerak: C:/Windows/perfc.dat

4. Windows versiyasiga qarab, yamoqni o'rnating.

5. Antivirus dasturi barcha kompyuter tizimlarida o'rnatilganligini qayta ko'rib chiqing, chunki u to'g'ri ishlaydi va virus imzolarining haqiqiy asosini vikoristovuyu. Agar kerak bo'lsa, antivirusni o'rnating va yangilang.

6. INFEKTSION xavfini kamaytirish uchun barcha elektron yozishmalar oldiga hurmat bilan qo'yish, varaqlardagi qo'shimchalarni, begunoh odamlarning ism-shariflaridagi yozuvlarni chalkashtirmaslik va ochmaslik kerak. Ko'rsatilgan manzil ko'rsatilgan varaqni olish paytida, xuddi shubhani chaqirganda, rahbar bilan bog'laning va varaqning mustahkamligi faktini tasdiqlang.

7. Barcha muhim ma'lumotlarning zaxira nusxalarini yarating.

Belgilangan ma'lumotlarni tarkibiy bo'linmalarning amaliyotchilarga etkazish, mahalliy tarmoq yoki Internetga ulanish faktidan qat'i nazar, amaliyotchilarga patchlar o'rnatilmagan kompyuterlar bilan ishlashga yo'l qo'ymaslik.

Belgilangan virus tomonidan bloklangan Windows kompyuteriga kirishni tiklashga harakat qilish mumkin.

Zararli dastur MBR yozuviga o'zgartirishlar kiritish uchun tayinlangan, bu orqali operatsion tizimni almashtirish fayllarni shifrlash haqidagi matn bilan oynada ko'rsatiladi. Bu muammo MBR yozuvi bilan bog'liq. Shuning uchun maxsus yordam dasturlari kerak. SBU ushbu yordam dasturi uchun Boot-Repair yordam dasturini yuklab oldi (yuborish bo'yicha ko'rsatma).

b). Ishga tushiring va "Yig'ish uchun artefaktlar" qutisidagi barcha katakchalar belgilanganligini qayta ko'rib chiqing.

c). "Eset Log Collection Mode" yorlig'ida diskning chiqish dvd kodini o'rnating.

d). Tanlash tugmasini bosing.

e). Jurnallardan arxivlarni yuboring.

Kompyuter shikastlangan bo'lsa ham, hali g'o'ldiradi, vikonannyaga boring

3-bet ma'lumot to'plash uchun, qo'shimcha ravishda dekoderni qanday yozish kerak,

4 tizimni o'rnatish uchun.

Ta'sir qilingan kompyuterdan (mag'lubiyatga uchramagan) keyingi tahlil qilish uchun MBRni tanlashingiz kerak.

Keyingi yo'riqnoma uchun yoga tanlashingiz mumkin:

a). ESET SysRescue Live CD yoki USB ni o'rnating (o'rnatish 3-bandda tasvirlangan)

b). Koristuvannya uchun litsenziyani kuting

c). CTRL+ALT+T tugmalarini bosing (terminal paydo bo'ladi)

d). "parted -l" buyrug'ini panjalarsiz yozing, uning parametri "L" kichik harfini kiritish kerak.

e). Disklar ro'yxatini ko'ring va shaxsiy kompyuter tahdidlarini aniqlang (/dev/sda dan biri bo'lishi mumkin)

f). "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" buyrug'ini panjalarsiz yozing, "/dev/sda" ni almashtiring va oldingi krokka tayinlangan diskni bekor qiling. va bosing (File / home/eset/petya.img yaratiladi)

g). Fleshli drayverni ulang va /home/eset/petya.img faylidan nusxa oling

h). Kompyuter o'chirilishi mumkin.

Marvel so - Omelyan kiberhujumlardan himoya haqida

Omelyan kiberhujumlardan himoya haqida

Yangiliklarga obuna bo'ling

Ehtimol, siz 2017-yil 27-mart kuni Rossiya va Ukraina yerlarida qayd etilgan xakerlik tahdidi haqida allaqachon xabardor bo‘lgandirsiz. WannaCry. Virus kompyuterni bloklaydi va fayllarni parolini hal qilish uchun bitcoinni sotib olishga imkon beradi. Har ikki mamlakatning 80 dan ortiq kompaniyalari, jumladan, Rossiyaning Rosneft va Bashneft kompaniyalari zarar ko'rdi.

WannaCry kabi shifrlovchi virus kompyuterdagi barcha ma'lumotlarni bloklaydi va yovuzlarga bitkoinlardan 300 dollarga teng to'lovni o'tkazishga harakat qiladi. Ale on vídmínu wíd Wanna Cry, Petya okremíh fayllarni shifrlashni turbuê qilmang - vín mayzhe mittêvo "vídbiraíê" sizda butunlay qattiq disk mavjud.

Virusning to'g'ri nomi Petya.A. Ovoz ESET Diskcoder.C (exPetr, PetrWrap, Petya yoki NotPetya) imkoniyatlarini ochib beradi.

Barcha qurbonlarning statistik ma'lumotlariga ko'ra, virus fishing ro'yxatlari va zararlangan qo'shimchalarda tarqalgan. Oynadan matnli hujjatni topish uchun varaqni chaqiring va biz bilganimizdek, boshqa fayl kengaytmasi txt.exe hovaetsya va ustuvorlik faylni kengaytirish bo'lib qolmoqda. Qulflash uchun Windows operatsion tizimi fayl kengaytmalarini ko'rsatmaydi va hid o'qni quyidagicha o'zgartiradi:

Windows 8.1 da (Ko'rish \ Papka parametrlari \ Fayl turlarini ro'yxatdan o'tkazish uchun kengaytma qo'shish katagiga belgi qo'ying)

Explorer oynasida 7 (Alt \ Services \ Folder options \ Fayl turlarini ro'yxatdan o'tkazish uchun kengaytmalarni qo'shish katagiga belgi qo'yamiz)

Va eng yomoni, siz koristuvachiga josuslik qila olmaysiz, barglar noma'lum koristuvachidan kelib, noma'lum fayllarni ochishni so'raydi.

Fayl ochilganda, o'limning ko'k ekrani paydo bo'ladi.

Qayta ishga tushirilgandan so'ng, u Scan Disk-ni ishga tushiradiganlarga o'xshaydi, virus fayllarni shifrlaydi.

Boshqa dasturlarni ko'rib chiqsangiz, virus ishga tushgandan so'ng, siz kompyuteringizni qayta ishga tushirasiz va agar u yana ishga tushsa, ekranda xabar paydo bo'ladi: “KOMPYUTERNI YUTMA! USHBU JARAYONNI TA'MINLASANGIZ, SIZ BARCHA MA'LUMOTLARINGIZNI YO'qotib qo'yishingiz mumkin! Xushmuomala bo'ling, fikringizni o'zgartiring, quvvat olishdan oldin kompyuteringiz nimaga ulangan!”. Garchi bu tizimli kechirim kabi ko'rinishi mumkin bo'lsa-da, aslida, hozirgi vaqtda Petya biriktirilgan rejimda shifrlashga o'tadi. Go'yo koristuvach tizimni qaytadan buzishga yoki fayllarni shifrlashga urinayotgandek, ekranda bir vaqtning o'zida "BOS TUG'ILIK KLASTER!" yozuvi bilan miltillovchi qizil skelet paydo bo'ladi. Kalitlar hujumidan keyin Nareshti kelajakda sotib olish haqida eslatma bilan yangi paydo bo'ladi. Ushbu eslatmada jabrlanuvchidan 0,9 bitkoin to'lash so'raladi, bu taxminan 400 dollarni tashkil etadi. Prote tse narxi faqat bitta kompyuter uchun. Shuning uchun, shaxsiy kompyuterlar haqida o'ylay oladigan kompaniyalar uchun summa minglab bo'lishi mumkin. Zdirnik havoda qanday yo'l bor, vinoga umr berayotganlar, fidya to'lash uchun, buyuk 12-72 yil deputati, xuddi shu toifadagi boshqa viruslarni beradilar.

Bundan tashqari, Petyaning muammolari shu bilan tugamaydi. Bunga qo'shimcha ravishda, ushbu virus tizimga singib ketganligi sababli, Windows ta'qib qilish fayllarini qayta yozish kerak bo'ladi, aks holda ta'qib qilish ustasining sarlavhasi operatsion tizimni qo'lga olish uchun kerak bo'ladi. Siz Petya virusini kompyuteringizdan olib tashlay olmaysiz, shuning uchun siz Advanced Master Record (MBR) ni yangilay olmaysiz. Siz uni tuzatishga harakat qilishingiz va virusni tizimingizdan o'chirib tashlashingiz kerak, afsuski, sizning fayllaringiz shifrlangan bo'ladi, shuning uchun virus fayllarning shifrini ochishni ta'minlamaydi, balki faqat zararlangan fayllarni ko'radi. Shubhasiz, agar siz kompyuter bilan ishlashni davom ettirmoqchi bo'lsangiz, virus muhim bo'lishi mumkin

Windows Petya tizimi shifrlash ostida kompyuteringizga kirganingizdan so'ng, MFT (Master File Table) ni shifrlash amaliy bo'ladi. Jadval nima uchun?

Qattiq diskingiz dunyodagi eng katta kutubxona ekanligini bilib oling. Uning millionlab kitoblari bor. Unda menga kitob qanday kerak? Kutubxona katalogi yordami uchun T_lki. Petyaning katalogi va bilimi. Shunday qilib, siz shaxsiy kompyuteringizda fayl mavjudligini bilib olishingiz mumkin bo'ladi. Aniqroq qilib aytadigan bo'lsak, "robot" Petyadan keyin kompyuteringizning qattiq diski tornadodan keyin kutubxonani, atrofida uchib yurgan kitoblarning oyatlari bilan taxmin qiladi.

Shu tarzda, vídmínu víd Wanna Cry, Petya.A butun muhim soat davomida okremí fayllar, vitrachayuchi shifrlash yo'q - vín faqat vydbiraê siz í̈x bilish qobiliyatiga ega.

Petya virusini kim yaratgan?

Petya bug virusi tomonidan yaratilganda, Windows-da EternalBlue nomi ostida ekspluatatsiya (dira) ishga tushiriladi. Microsoft yamoq chiqarmoqda kb4012598(WannaCry-dan darslarni nashr etishdan oldin, biz yangilanish haqida allaqachon ma'lum qilgandik, xuddi chiziqni "qiyshiq" qilgandek.

"Petya" ning yaratuvchisi korporativ va xususiy koristuvachivning beqarorligini yutib, pul ishlash uchun etarlicha aqlli edi. Yogo ixtisosligi hali noma'lum (buni ko'rish qiyin)

Petya virusini qanday olib tashlash mumkin?

Petya.A virusini qattiq diskdan qanday olib tashlash mumkin? Tse duzhe tsykave ovqatlanish. O'ng tomonda, agar virus allaqachon ma'lumotlaringizni bloklagan bo'lsa, unda siz hech narsani ko'rmaysiz. Agar siz chizmachilarga pul to'lashni rejalashtirmasangiz (nima uchun buni qilmaysiz) va diskdagi ma'lumotlarni qayta tiklashga harakat qilmasangiz, faqat diskni formatlashingiz va OSni qayta o'rnatishingiz kerak. Agar virus o'z izini yo'qotmasa.

Agar siz diskda fayl infektsiyasi borligiga shubha qilsangiz - diskingizni ESET Nod 32 kompaniyasining antivirusi bilan skanerlang va tizimni to'liq tekshirishni amalga oshiring. NOD 32 kompaniyasining ta'kidlashicha, xuddi shu imzolar asosida allaqachon virus haqida ma'lumot mavjud.

Dekoder Petya.A

Petya.A ma'lumotlaringizni juda kuchli shifrlash algoritmi bilan shifrlaydi. Ayni paytda bloklangan yozuvlarning shifrini ochish uchun hech qanday yechim yo'q.

Shubhasiz, biz Petya.A mo''jizaviy decryptor (decryptor) olishni orzu qilgan bo'lardik, oddiygina bunday yechim yo'q. WannaCry virusi bir oy davomida dunyoni yuqtirgan, ammo ma'lumotlarni shifrlash, vinlarni shifrlash uchun harflar topilmadi.

Yagona variant, avvalgidek, sizda fayllarning boshqa nusxalari bor edi.

Shuning uchun ular Petya.A virusining qurboni bo'lishmadi - OS tizimini yangilang, ESET NOD 32 kompaniyasida antivirusni o'rnating. Agar siz hali ham o'lponlaringiz ustidan nazoratni yo'qotib qo'ysangiz, unda sizda bir oz zodagonlar bor.

Pul to'lash. Robiti tsogo ahmoqona! Fakhívtsі vzhe z'yasuvali, muallif tomonidan virusga berilgan scho vodnovlyuê emas, u í̈x í̈x í̈x vidnoviti, vrakhovyuchi shifrlash texnikasini qila olmaydi.

Virusni kompyuterdan olib tashlashga harakat qiling va qo'shimcha soya nusxasi uchun fayllaringizni olib tashlashga harakat qiling (virus hujum qilmaydi)

Sizning yordamchi binosidan Vityagnut zhorstky disk, diqqat bilan shkafga yoga qo'yish va dekoder ustida bosing paydo bo'ladi.

Diskni formatlash va operatsion tizimni o'rnatish. Minus - barcha ma'lumotlar sarflanadi.

Petya.A va Android, iOS, Mac, Linux

Ko'pgina koristuvachivlar notinch - "qanday qilib Petya virusi Android va iOS ostida ularning biriktirmalarini yuqtirishi mumkin. Men ularni tinchlantirishga shoshilaman - yo'q, qila olmayman. koristuvačív Windows haqida Vín razrahovany kamroq. Xuddi shu stosuetsya va shanuvalnikov Linux va Mac - siz tinchgina uxlashingiz mumkin, siz hech narsa bilan tahdid qilmaysiz.

Mobil qo'shimchalar

Siz ham kiyishingiz mumkin