Жаңа ransomware вирусы petya. Жаңа Petya шифрлау вирусы Украина президентінің есімімен аталды - сарапшы. Петя қалай жұмыс істейді?

Мамыр айының басында 150-ден астам елде 230 000-ға жуық компьютер ransomware вирусын жұқтырған. Жәбірленушілер осы шабуылдың салдарын жоюға үлгермей тұрып, Петя деп аталатын жаңасы келді. Бұдан ірі украиндық және ресейлік компаниялар, сондай-ақ мемлекеттік мекемелер зардап шекті.

Украинаның кибер полициясы вирустық шабуыл салық есептерін дайындау және жіберу үшін пайдаланылатын M.E.Doc бухгалтерлік бағдарламалық қамтамасыз етуді жаңарту механизмі арқылы басталғанын анықтады. Осылайша, «Башнефть», «Роснефть», «Запорожьеобленерго», «Днепроэнерго» және «Днепр электр жүйесі» желілері инфекциядан құтылмағаны белгілі болды. Украинада вирус үкіметтік компьютерлерге, Киев метросының дербес компьютерлеріне, байланыс операторларына, тіпті Чернобыль атом электр станциясына да еніп кетті. Ресейде Mondelez International, Mars және Nivea зардап шеккен.

Petya вирусы Windows операциялық жүйесіндегі EternalBlue осалдығын пайдаланады. Symantec және F-Secure сарапшылары Петя WannaCry сияқты деректерді шифрлағанымен, ол шифрлау вирустарының басқа түрлерінен біршама ерекшеленеді дейді. «Петя» вирусы – зиянды мақсаттағы бопсалаудың жаңа түрі: ол дискідегі файлдарды шифрлап қана қоймайды, сонымен қатар бүкіл дискіні құлыптап, оны іс жүзінде жарамсыз етеді», - деп түсіндіреді F-Secure. «Атап айтқанда, ол MFT негізгі файл кестесін шифрлайды.»

Бұл қалай болады және бұл процестің алдын алуға болады ма?

«Петя» вирусы - бұл қалай жұмыс істейді?

Петя вирусы басқа атаулармен де белгілі: Petya.A, PetrWrap, NotPetya, ExPetr. Компьютерге кіргеннен кейін ол Интернеттен ransomware жүктеп алады және кейбіреулерін жұқтыруға тырысады қатты дисккомпьютерді жүктеуге қажетті деректермен. Егер ол сәтті болса, жүйе өлімнің көк экранын шығарады (« көк экранөлім»). Қайта жүктегеннен кейін қатты дискіні тексеру туралы қуатты өшірмеуіңізді сұрайтын хабар пайда болады. Осылайша, төлемдік бағдарлама өзін көрсетеді жүйелік бағдарламадискіні тексеру, осы уақытта белгілі бір кеңейтімдері бар файлдарды шифрлау. Процестің соңында компьютердің бұғатталғанын көрсететін хабарлама және деректерді шифрды шешу үшін сандық кілтті алу жолы туралы ақпарат пайда болады. Петя вирусы төлемді талап етеді, әдетте Bitcoin-де. Егер жәбірленушінің файлдарының резервтік көшірмесі болмаса, ол 300 доллар төлеу немесе барлық ақпаратты жоғалту таңдауымен бетпе-бет келеді. Кейбір сарапшылардың пікірінше, вирус тек төлемдік бағдарлама ретінде маскировка жасайды, ал оның шынайы мақсаты - жаппай зиян келтіру.

Петядан қалай құтылуға болады?

Сарапшылар Петя вирусының жергілікті файлды іздейтінін және бұл файл дискіде бұрыннан бар болса, шифрлау процесінен шығатынын анықтады. Бұл пайдаланушылар осы файлды жасау және оны тек оқуға арналған етіп орнату арқылы компьютерін төлемдік бағдарламадан қорғай алатынын білдіреді.

Бұл айлакер схема бопсалау процесінің басталуына кедергі келтірсе де, бұл әдісті «компьютерлік вакцинация» сияқты қарастыруға болады. Осылайша, пайдаланушы файлды өзі жасауы керек. Мұны келесідей орындауға болады:

• Алдымен сіз файл кеңейтімін түсінуіңіз керек. Қалта параметрлері терезесінде Белгілі файл түрлері үшін кеңейтімдерді жасыру құсбелгісінің алынбағанына көз жеткізіңіз.
• C:\Windows қалтасын ашыңыз, notepad.exe бағдарламасын көргенше төмен айналдырыңыз.
• Notepad.exe файлын тінтуірдің сол жақ түймешігімен басыңыз, содан кейін көшіру үшін Ctrl + C, содан кейін файлды қою үшін Ctrl + V басыңыз. Сіз файлды көшіруге рұқсат сұрайтын сұрау аласыз.
• «Жалғастыру» түймесін басыңыз, сонда файл блокнот ретінде жасалады - Copy.exe. Осы файлды тінтуірдің сол жақ түймешігімен басып, F2 пернесін басыңыз, содан кейін Copy.exe файл атауын өшіріп, perfc енгізіңіз.
• Файл атауын perfc деп өзгерткеннен кейін Enter пернесін басыңыз. Атын өзгертуді растаңыз.
• Енді perfc файлы жасалғаннан кейін оны тек оқуға арналған ету керек. Мұны істеу үшін файлды тінтуірдің оң жақ түймешігімен басып, «Сипаттар» тармағын таңдаңыз.
• Бұл файлдың сипаттары мәзірі ашылады. Төменгі жағында сіз «Тек оқуға арналған» дегенді көресіз. Құсбелгіні қойыңыз.
• Енді Қолдану түймесін, содан кейін OK түймесін басыңыз.

Кейбір қауіпсіздік мамандары Петя вирусынан мұқият қорғау үшін C:\Windows\perfc.dat және C:\Windows\perfc.dll файлдарын C:\windows\perfc файлына қосымша жасауды ұсынады. Бұл файлдар үшін жоғарыдағы қадамдарды қайталауға болады.

Құттықтаймыз, сіздің компьютеріңіз NotPetya/Petya-дан қорғалған!

Symantec мамандары ДК пайдаланушыларына файлдарды құлыптауға немесе ақша жоғалтуға әкеп соқтыратын әрекеттерді болдырмау үшін кейбір кеңестер ұсынады.

1. Қылмыскерлерге ақша бермеңіз.Сіз төлемдік бағдарламаға ақша аударсаңыз да, файлдарыңызға қайта кіру мүмкіндігіне кепілдік жоқ. Ал NotPetya/Petya жағдайында бұл негізінен мағынасыз, өйткені төлемдік бағдарламаның мақсаты ақша алу емес, деректерді жою.
2. Тұрақты түрде жасағаныңызға көз жеткізіңіз сақтық көшірмелердеректер.Бұл жағдайда, сіздің компьютеріңіз төлемдік бағдарлама вирусының шабуылының нысанасына айналса да, сіз жойылған файлдарды қалпына келтіре аласыз.
3. Күмәнді мекенжайлардан келген электрондық хаттарды ашпаңыз.Орнату кезінде шабуылдаушылар сізді алдауға тырысады зиянды бағдарламанемесе шабуылдар үшін маңызды деректерді алуға тырысыңыз. Сіз немесе сіздің қызметкерлеріңіз күдікті электрондық хаттар немесе сілтемелер алған жағдайда IT мамандарына хабарлауды ұмытпаңыз.
4. Сенімді пайдаланыңыз бағдарламалық қамтамасыз ету. Вирусқа қарсы бағдарламаларды уақтылы жаңарту компьютерлерді инфекциялардан қорғауда маңызды рөл атқарады. Және, әрине, осы саладағы беделді компаниялардың өнімдерін пайдалану керек.
5. Спам хабарламаларды сканерлеу және блоктау механизмдерін пайдаланыңыз.Кіріс электрондық хаттарды қауіп-қатерлерге қарап шығу керек. Сілтемелері немесе мәтінінде әдеттегі фишингтік кілт сөздері бар хабарламалардың кез келген түрлерін блоктау маңызды.
6. Барлық бағдарламалардың жаңартылғанын тексеріңіз.Инфекциялардың алдын алу үшін бағдарламалық жасақтаманың осалдықтарын жүйелі түрде жою қажет.

Жаңа шабуылдарды күтуіміз керек пе?

Петя вирусы алғаш рет 2016 жылдың наурыз айында пайда болды және қауіпсіздік мамандары оның әрекетін бірден байқады. Жаңа Петя вирусы 2017 жылдың маусым айының соңында Украина мен Ресейдегі компьютерлерді зақымдады. Бірақ мұның соңы болуы екіталай. Petya және WannaCry-ге ұқсас ransomware вирустарын пайдаланатын хакерлер шабуылдары қайталанатын болады, деп хабарлады Сбербанк басқарма төрағасының орынбасары Станислав Кузнецов. ТАСС агенттігіне берген сұхбатында ол мұндай шабуылдар міндетті түрде болатынын, бірақ олардың қандай формада және форматта пайда болуы мүмкін екенін алдын ала болжау қиын екенін ескертті.

Егер орын алған барлық кибершабуылдардан кейін сіз компьютеріңізді төлемдік бағдарлама вирусынан қорғау үшін ең аз шараларды әлі қабылдамаған болсаңыз, онда бұл мәселеге байыппен кірісетін кез келді.

«Петя» вирусы:оны қалай ұстамауға болады, оның қайдан келгенін қалай шешуге болады - өзінің «белсенділігінің» үшінші күнінде 300 мыңға жуық компьютерді жұқтырған Petya ransomware вирусы туралы соңғы жаңалықтар әртүрлі елдерәлем, және оны әлі ешкім тоқтатқан жоқ.

Петя вирусы - шифрды қалай шешуге болады, соңғы жаңалықтар.Компьютерге жасалған шабуылдан кейін Petya ransomware бағдарламалық құралын жасаушылар 300 доллар (биткоиндер) төлем талап етеді, бірақ пайдаланушы ақша төлесе де, Петя вирусының шифрын ашудың ешқандай жолы жоқ. Petit-тен жаңа вирустың айырмашылығын көрген және оны ExPetr деп атаған Kaspersky Lab мамандары шифрды шешу үшін арнайы трояндық орнату үшін бірегей идентификатор қажет деп мәлімдейді.

Осыған ұқсас Petya/Mischa/GoldenEye шифрлағыштарының бұрын белгілі нұсқаларында орнату идентификаторы осыған қажетті ақпаратты қамтыған. ExPetr жағдайында бұл идентификатор жоқ, деп жазады РИА Новости.

«Петя» вирусы – қайдан пайда болды, соңғы жаңалықтар.Неміс қауіпсіздік сарапшылары бұл төлем бағдарламасының қайдан келгенінің алғашқы нұсқасын алға тартты. Олардың пікірінше, Петя вирусы M.E.Doc файлдары ашылған кезде компьютерлер арқылы тарай бастады. Бұл Украинада 1С-қа тыйым салынғаннан кейін қолданылатын бухгалтерлік бағдарлама.

Сонымен қатар, Касперский зертханасы ExPetr вирусының шығу тегі мен таралу көзі туралы қорытынды жасауға әлі ерте екенін айтады. Шабуылдаушыларда ауқымды деректер болған болуы мүмкін. Мысалы, алдыңғы ақпараттық бюллетеньдегі электрондық пошта мекенжайлары немесе басқалары тиімді жолдарыкомпьютерлерге ену.

Олардың көмегімен «Петя» вирусы Украина мен Ресейге, сондай-ақ басқа елдерге толық күшімен әсер етті. Бірақ мұның нақты ауқымы хакерлік шабуылбірнеше күннен кейін белгілі болады - есептер.

«Петя» вирусы: оны қалай ұстауға болмайды, оны қалай шешуге болады, қайдан келді - соңғы жаңалықтар Kaspersky Lab – ExPetr жаңа атауын алған Petya ransomware вирусы туралы.

Бірнеше ай бұрын біз және басқа IT қауіпсіздік мамандары жаңа зиянды бағдарламаны анықтадық - Петя (Win32.Trojan-Ransom.Petya.A). Классикалық мағынада бұл шифрлаушы емес еді; вирус файлдардың белгілі бір түрлеріне кіруді бұғаттап, төлемді талап етті. Вирус қатты дискідегі жүктеу жазбасын өзгертті, компьютерді мәжбүрлеп қайта жүктеді және «деректер шифрланған - шифрды шешуге ақшаңызды жұмсаңыз» деген хабарды көрсетті. Жалпы, шифрлау вирустарының стандартты схемасы, тек файлдар шын мәнінде шифрланбаған. Ең танымал антивирустар пайда болғаннан кейін бірнеше аптадан кейін Win32.Trojan-Ransom.Petya.A анықтауды және жоюды бастады. Сонымен қатар, қолмен жою нұсқаулары пайда болды. Неліктен Петя классикалық төлем бағдарламасы емес деп ойлаймыз? Бұл вирус негізгі жүктеу жазбасына өзгерістер енгізеді және ОЖ жүктелуіне жол бермейді, сонымен қатар негізгі файл кестесін шифрлайды. Ол файлдардың өзін шифрламайды.

Дегенмен, бірнеше апта бұрын күрделірек вирус пайда болды Миша, шамасы, сол алаяқтар жазған. Бұл вирус файлдарды ENCRYPTS және шифрды шешу үшін 500 - 875 $ төлеуді талап етеді (әр түрлі нұсқаларда 1,5 - 1,8 биткоиндер). "Шифрды шешу" және ол үшін төлем туралы нұсқаулар YOUR_FILES_ARE_ENCRYPTED.HTML және YOUR_FILES_ARE_ENCRYPTED.TXT файлдарында сақталады.

Mischa вирусы – YOUR_FILES_ARE_ENCRYPTED.HTML файлының мазмұны

Енді, шын мәнінде, хакерлер пайдаланушылардың компьютерлерін екі зиянды бағдарламамен жұқтырады: Петя және Миша. Біріншісі жүйеде әкімші құқықтарын қажет етеді. Яғни, егер пайдаланушы Петяға әкімші құқығын беруден бас тартса немесе бұл зиянды бағдарламаны қолмен жойса, Миша араласады. Бұл вирус әкімшінің құқықтарын қажет етпейді, ол классикалық шифрлаушы болып табылады және шын мәнінде күшті AES алгоритмін пайдаланып және негізгі жүктеу жазбасына және жәбірленушінің қатты дискідегі файлдар кестесіне ешқандай өзгеріс енгізбей файлдарды шифрлайды.

Mischa зиянды бағдарламасы стандартты файл түрлерін (бейнелер, суреттер, презентациялар, құжаттар) ғана емес, сонымен қатар .exe файлдарын да шифрлайды. Вирус тек \Windows, \$Recycle.Bin, \Microsoft, \ каталогтарына ғана әсер етпейді. Mozilla Firefox,\Опера,\ Internet Explorer, \Temp, \Local, \LocalLow және \Chrome.

Инфекция негізінен арқылы жүреді электрондық пошта, онда хат тіркелген файлмен келеді - вирус орнатушы. Ол Салық қызметінің хаты бойынша, сіздің бухгалтеріңізден, қоса берілген түбіртектер мен сатып алулар үшін түбіртектермен және т.б. ретінде шифрлануы мүмкін. Мұндай әріптердегі файл кеңейтіміне назар аударыңыз - егер бұл орындалатын файл болса (.exe), онда жоғары ықтималдықпен ол Petya\Mischa вирусы бар контейнер болуы мүмкін. Ал егер зиянды бағдарламаның модификациясы жақында болса, антивирус жауап бермеуі мүмкін.

Жаңарту 30.06.2017: 27 маусым, Петя вирусының өзгертілген нұсқасы (Петя.А)Украинадағы пайдаланушыларға жаппай шабуыл жасалды. Бұл шабуылдың әсері орасан зор болды және экономикалық шығын әлі есептелген жоқ. Бір күнде ондаған банктердің, сауда желілерінің, мемлекеттік мекемелер мен түрлі меншік нысанындағы кәсіпорындардың жұмысы тығырыққа тірелді. Вирус негізінен Украинаның MeDoc бухгалтерлік есеп беру жүйесінің ең соңғы нұсқасымен осалдығы арқылы тарады. автоматты жаңартуосы бағдарламалық құралдың. Сонымен қатар, вирус Ресей, Испания, Ұлыбритания, Франция және Литва сияқты елдерге де әсер етті.

Петя мен Миша вирусын автоматты тазартқышты пайдаланып жойыңыз

Жалпы зиянды бағдарламамен және атап айтқанда төлемдік бағдарламамен жұмыс істеудің өте тиімді әдісі. Дәлелденген қорғаныс кешенін пайдалану кез келген вирустық компоненттерді мұқият анықтауға кепілдік береді, олардың толық жоюбір рет басу арқылы. Назар аударыңыз, туралы айтып отырмызекі түрлі процесс туралы: инфекцияны жою және компьютердегі файлдарды қалпына келтіру. Дегенмен, қауіпті жою қажет, өйткені оны пайдаланатын басқа компьютерлік трояндарды енгізу туралы ақпарат бар.

1. . Бағдарламаны іске қосқаннан кейін түймені басыңыз Компьютерді сканерлеуді іске қосыңыз(Сканерлеуді бастау).
2. Орнатылған бағдарламалық құрал сканерлеу кезінде анықталған қауіптер туралы есеп береді. Барлық анықталған қауіптерді жою үшін опцияны таңдаңыз Қауіптерді түзету(Қауіптерді жою). Қарастырылып отырған зиянды бағдарлама толығымен жойылады.

Шифрланған файлдарға қолжетімділікті қалпына келтіріңіз

Жоғарыда айтылғандай, Mischa ransomware файлдарды күшті шифрлау алгоритмі арқылы құлыптайды, осылайша шифрланған деректерді сиқырлы таяқшаның толқынымен қалпына келтіру мүмкін емес - бұл бұрын-соңды болмаған төлем сомасын төлеуге жетпейді (кейде $1000 дейін жетеді). Бірақ кейбір әдістер шынымен маңызды деректерді қалпына келтіруге көмектесетін құтқарушы болуы мүмкін. Төменде олармен танысуға болады.

Бағдарлама автоматты қалпына келтіруфайлдар (дешифрлеуші)

Өте ерекше жағдай белгілі. Бұл инфекция бастапқы файлдарды шифрланбаған түрде жояды. Қорқытып алу мақсатындағы шифрлау процесі осылайша олардың көшірмелеріне бағытталған. Бұл осындай мүмкіндік береді бағдарламалық қамтамасыз етужойылған объектілерді, тіпті егер оларды жою сенімділігіне кепілдік берілсе де, қалпына келтіру жолы. Файлдарды қалпына келтіру процедурасына жүгіну өте ұсынылады, оның тиімділігі күмән тудырмайды.

Томдардың көлеңкелі көшірмелері

Әдіс Windows процедурасына негізделген Резервтік көшірмефайлдар, ол әрбір қалпына келтіру нүктесінде қайталанады. Маңызды еңбек жағдайлары бұл әдіс: «Жүйені қалпына келтіру» функциясын инфекция жұқтырмас бұрын қосу керек. Дегенмен, қалпына келтіру нүктесінен кейін файлға жасалған кез келген өзгертулер файлдың қалпына келтірілген нұсқасында көрсетілмейді.

Сақтық көшірме

Бұл төлемге жатпайтын барлық әдістердің ішіндегі ең жақсысы. Егер сыртқы серверге деректердің сақтық көшірмесін жасау процедурасы сіздің компьютеріңізге ransomware шабуылына дейін қолданылған болса, шифрланған файлдарды қалпына келтіру үшін сізге сәйкес интерфейсті енгізу жеткілікті. қажетті файлдаржәне сақтық көшірмеден деректерді қалпына келтіру механизмін іске қосыңыз. Операцияны орындамас бұрын, төлемдік бағдарлама толығымен жойылғанына көз жеткізу керек.

Petya және Mischa ransomware бағдарламасының қалдық құрамдастарының болуын тексеріңіз

Қолмен тазалау жасырын нысандар ретінде жойылмай қалуы мүмкін төлем бағдарламасының жеке бөліктерін жоғалту қаупін тудырады операциялық жүйенемесе тізілім элементтері. Жеке зиянды элементтерді ішінара ұстау қаупін болдырмау үшін сенімді қауіпсіздік бағдарламалық құралын пайдаланып компьютерді сканерлеңіз. бағдарламалық пакет, зиянды бағдарламаларға маманданған.

27 маусымда Еуропа елдері зиянсыз Петя атымен белгілі (әртүрлі дереккөздерде Petya.A, NotPetya және GoldenEye есімдерін де табуға болады) төлемдік бағдарлама вирусының шабуылына ұшырады. Төлемдік бағдарлама 300 долларға тең биткоиндердегі төлемді талап етеді. Ондаған ірі украин және ресейлік компаниялар, вирустың таралуы Испания, Франция және Данияда да тіркелген.

Кімге тиді?

Украина

Украина алғашқы шабуылға ұшыраған елдердің бірі болды. Алдын ала болжам бойынша, 80-ге жуық компания мен мемлекеттік мекеме шабуылға ұшырады:

Бүгінгі күні вирус жеке файлдарды шифрлап қана қоймайды, сонымен қатар пайдаланушының қатты дискіге кіру мүмкіндігін толығымен алып тастайды. Төлемдік бағдарламалық жасақтама жалғанды ​​да пайдаланады электрондық қолтаңбаПайдаланушыларға бағдарламаны сенімді автор жасағанын және қауіпсіз екендігіне кепілдік беретін Microsoft Microsoft корпорациясы. Компьютерді жұқтырғаннан кейін вирус өзгереді арнайы код, амалдық жүйені жүктеу үшін қажет. Нәтижесінде компьютер іске қосылған кезде операциялық жүйе емес, зиянды код жүктеледі.

Өзіңізді қалай қорғауға болады?

1. 1024–1035, 135 және 445 TCP порттарын жабыңыз.
2. Вирусқа қарсы өнімдеріңіздің дерекқорларын жаңартыңыз.
3. Петя фишинг көмегімен таратылатындықтан, белгісіз көздерден хаттарды ашпаңыз (егер жіберуші белгілі болса, электрондық поштаның қауіпсіз екенін тексеріңіз), достарыңыздан әлеуметтік желілерден келген хабарламаларға мұқият болыңыз, өйткені олардың аккаунттары бұзылып кетуі мүмкін.
4. Вирус іздеп тұруфайл C:\Windows\perfc, және егер ол оны таппаса, ол инфекцияны тудырады және бастайды. Егер мұндай файл компьютерде бұрыннан бар болса, вирус инфекциясыз жұмысын аяқтайды. Бірдей атпен бос файл жасау керек. Бұл процесті толығырақ қарастырайық.

— Hacker Fantastic (@hackerfantastic)

Әрбір дерлік пайдаланушының компьютерінде антивирустық бағдарламалар бар, бірақ кейде ең жақсы қорғанысты айналып өтіп, құрылғыны жұқтыруы мүмкін троян немесе вирус пайда болады, одан да жаманы деректеріңізді шифрлайды. Бұл жолы шифрлаушы троян «Петя» немесе оны «Петя» деп те атайды, осындай вирус болды. Бұл қауіптің таралу жылдамдығы өте әсерлі: бірнеше күн ішінде ол Ресейге, Украинаға, Израильге, Австралияға, АҚШ-қа, Еуропаның барлық ірі елдеріне және т.б. Бұл негізінен корпоративтік пайдаланушыларға (әуежайлар, электр станциялары, туризм индустриясы) әсер етті, бірақ қарапайым адамдар да зардап шекті. Өзінің ауқымы мен әсер ету әдістері жағынан ол соңғы кездегі сенсацияға өте ұқсас.

Жаңа «Petya» трояндық төлем бағдарламасының құрбаны болмас үшін, әрине, компьютеріңізді қорғау керек. Бұл мақалада мен сізге бұл қандай «Петя» вирусы екенін, оның қалай таралатынын және өзіңізді осы қауіптен қалай қорғау керектігін айтамын. Сонымен қатар, біз трояндарды жою және ақпаратты шифрды шешу мәселелеріне тоқталамыз.

Петя вирусы дегеніміз не?

Алдымен біз Петяның не екенін түсінуіміз керек. Petya вирусы – төлемдік бағдарламалық құрал түріндегі троян (ренсом) болып табылатын зиянды бағдарламалық құрал. Бұл вирустар вирус жұққан құрылғылардың иелерінен шифрланған деректер үшін төлем алу үшін бопсалауға арналған. Wanna Cry-ден айырмашылығы, Петя жеке файлдарды шифрлаумен айналыспайды - ол бірден бүкіл файлды «алып кетеді». қатты дисктолығымен.

Жаңа вирустың дұрыс атауы - Петя.А. Сонымен қатар, Касперский оны NotPetya/ExPetr деп атайды.

Петя вирусының сипаттамасы

Компьютерді басқаннан кейін Windows жүйелері, Петя дерлік шифрлайды MFT(Master File Table – файлдардың негізгі кестесі). Бұл кесте не үшін жауапты?

Сіздің қатты дискіңіз бүкіл әлемдегі ең үлкен кітапхана екенін елестетіп көріңіз. Онда миллиардтаған кітаптар бар. Сонымен, дұрыс кітапты қалай табуға болады? Тек кітапхана каталогы арқылы. Петя дәл осы каталогты бұзады. Осылайша, сіз өзіңіздің компьютеріңізде кез келген «файлды» табу мүмкіндігін жоғалтасыз. Дәлірек айтсақ, Петидің «жұмысынан» кейін сіздің компьютеріңіздің қатты дискісі торнадодан кейінгі кітапханаға ұқсайды, барлық жерде ұшатын кітаптар сынықтары бар.

Осылайша, мен мақаланың басында айтқан Wanna Cry-ден айырмашылығы, Petya.A жеке файлдарды шифрламайды, оған көп уақыт жұмсайды - бұл оларды табудың кез келген мүмкіндігін алып тастайды.

Оның барлық айла-шарғыларынан кейін ол пайдаланушылардан төлем талап етеді - 300 АҚШ доллары, оны Bitcoin шотына аудару керек.

Петя вирусын жасаған кім?

Petya вирусын жасау кезінде Windows операциялық жүйесінде «EternalBlue» деп аталатын эксплойт («тесік») пайдаланылды. Майкрософт бірнеше ай бұрын осы тесікті «жабатын» патч шығарды, дегенмен бәрі бірдей Windows лицензиялық көшірмесін пайдалана бермейді және барлық жүйелік жаңартуларды орната бермейді, солай ма?)

«Петяны» жасаушы корпоративті және жеке пайдаланушылардың ұқыпсыздығын ақылмен пайдаланып, одан ақша таба алды. Оның жеке басы әлі белгісіз (және белгілі болуы екіталай)

Петя вирусы қалай таралады?

Петя вирусы көбінесе электрондық пошталарға және пираттық вирус жұқтырған бағдарламалық жасақтаманы қамтитын мұрағаттарға тіркемелердің астында таралады. Қосымшада кез келген файл болуы мүмкін, соның ішінде фотосурет немесе mp3 (бір қарағанда көрінетіндей). Файлды іске қосқаннан кейін, компьютеріңіз қайта жүктеледі және вирус CHKDSK қателерінің бар-жоғын дискіні тексеруді имитациялайды және осы сәтте ол сіздің компьютеріңіздің жүктелу жазбасын (MBR) өзгертеді. Осыдан кейін сіз компьютер экранында қызыл бас сүйекті көресіз. Кез келген түймені басу арқылы сізден файлдарды шифрды шешу үшін ақы сұралатын мәтінге қол жеткізе аласыз және қажетті соманы биткоин әмиянына аудара аласыз.

Өзіңізді Петя вирусынан қалай қорғауға болады?

• Ең бастысы және негізгі нәрсе - операциялық жүйеңізге жаңартуларды орнатуды ережеге айналдыру! Бұл керемет маңызды. Дәл қазір жасаңыз, кешіктірмеңіз.
• Хаттар сіз білетін адамдардан болса да, хаттарға тіркелген барлық қосымшаларға ерекше назар аударыңыз. Эпидемия кезінде деректерді берудің балама көздерін қолданған дұрыс.
• Операциялық жүйе параметрлерінде «Файл кеңейтімдерін көрсету» опциясын белсендіріңіз - осылайша сіз әрқашан шынайы файл кеңейтімін көре аласыз.
• Windows параметрлерінде «Пайдаланушы тіркелгісін басқару» мүмкіндігін қосыңыз.
• Инфекцияны болдырмау үшін олардың біреуін орнату керек. ОЖ жаңартуын орнатудан бастаңыз, содан кейін антивирусты орнатыңыз - және сіз бұрынғыдан әлдеқайда қауіпсіз боласыз.
• «Сақтық көшірмелерді» жасауды ұмытпаңыз - барлық маңызды деректерді сақтаңыз сыртқы қаттыдискіге немесе бұлтқа. Содан кейін, егер Петя вирусы сіздің компьютеріңізге еніп, барлық деректерді шифрласа, қатты дискіні пішімдеу және ОЖ-ны қайта орнату оңай болады.
• Әрқашан сәйкестігін тексеріңіз антивирустық мәліметтер базасысіздің антивирусыңыз. Барлық жақсы антивирустарқауіп қолтаңбаларын жаңарту арқылы қауіптерді бақылау және оларға дер кезінде жауап беру.
• Тегін Kaspersky Anti-Ransomware утилитасын орнатыңыз. Ол сізді вирустарды шифрлаудан қорғайды. Бұл бағдарламалық құралды орнату сізді антивирус орнату қажеттілігінен босатпайды.

Петя вирусын қалай жоюға болады?

Petya.A вирусын қатты дискіден қалай жоюға болады? Бұл өте қызықты сұрақ. Өйткені, егер вирус сіздің деректеріңізді бұғаттап қойған болса, онда жоюға ештеңе болмайды. Егер сіз төлемдік бағдарламаны төлеуді жоспарламасаңыз (оны жасамауыңыз керек) және болашақта дискідегі деректерді қалпына келтіруге әрекет жасамасаңыз, дискіні пішімдеуге және ОЖ-ны қайта орнатуға болады. Осыдан кейін вирустың ізі қалмайды.

Дискіде вирус жұққан файл бар деп күдіктенсеңіз, олардың біреуімен дискіңізді сканерлеңіз немесе Kaspersky антивирусын орнатып, жүйені толық сканерлеңіз. Әзірлеуші ​​оның қолтаңба дерекқорында бұл вирус туралы ақпарат бар деп сендірді.

Петя. Шифрлеуші

Petya.A деректеріңізді өте күшті алгоритммен шифрлайды. Қосулы осы сәтБұғатталған ақпараттың шифрын шешудің шешімі жоқ. Сонымен қатар, сіз үйде деректерге қол жеткізуге тырыспауыңыз керек.

Сөзсіз, біз бәріміз Petya.A ғажайып дешифрлеушісін алуды армандайтын едік, бірақ мұндай шешім жоқ. Вирус бірнеше ай бұрын әлемге тарады, бірақ ол шифрлаған деректердің шифрын шешудің емі ешқашан табылмады.

Сондықтан, егер сіз әлі Петя вирусының құрбаны болмасаңыз, мақаланың басында айтқан кеңесімді тыңдаңыз. Деректеріңізді бақылауды жоғалтсаңыз, сізде бірнеше опция бар.

• Ақша төлеу. Бұлай істеудің мағынасы жоқ!Сарапшылар вирусты жасаушы деректерді қалпына келтірмейтінін және шифрлау техникасын ескере отырып, оны қалпына келтіре алмайтынын анықтады.
• Қатты дискіні құрылғыдан шығарып, оны шкафқа абайлап салыңыз да, пайда болу үшін дешифраторды басыңыз. Айтпақшы, Касперский зертханасы бұл бағытта үнемі жұмыс істейді. Қолжетімді дешифрлағыштар No Ransom веб-сайтында қол жетімді.
• Дискіні пішімдеу және операциялық жүйені орнату. Минус - барлық деректер жоғалады.

Петя.Ресейдегі вирус

Ресей мен Украинада 80-нен астам компания, соның ішінде «Башнефть» және «Роснефть» сияқты ірі компанияларға шабуыл жасалып, вирус жұқтырылды. Мұндай инфрақұрылымды жұқтыру ірі компанияларПетя.А вирусының ауырлығы туралы айтады. Төлемдік бағдарламалық қамтамасыз ету троянының бүкіл Ресейде таралатынына күмән жоқ, сондықтан сіз деректеріңіздің қауіпсіздігіне қамқорлық жасап, мақалада берілген кеңестерді орындауыңыз керек.

Petya.A және Android, iOS, Mac, Linux

Көптеген пайдаланушылар Петя вирусы олардың құрылғыларын жұқтыруы мүмкін бе деп алаңдайды Android басқаружәне iOS. Мен оларды сендіруге асығамын - жоқ, мүмкін емес. Ол тек Windows ОЖ пайдаланушыларына арналған. Бұл Linux және Mac жанкүйерлеріне де қатысты - сіз тыныш ұйықтай аласыз, сізге ештеңе қауіп төндірмейді.

Қорытынды

Сондықтан бүгін біз егжей-тегжейлі талқыладық жаңа вирусПетя.А. Біз бұл троянның не екенін және оның қалай жұмыс істейтінін түсіндік, біз өзімізді инфекциядан қалай қорғауға және вирусты жоюға болатынын және Петя дешифрлеушісін қайдан алуға болатынын білдік. Мақала мен менің кеңестерім сізге пайдалы болды деп үміттенемін.