Petya.A-virusangrebet dækkede snesevis af lande på få dage og udviklede sig til epidemiske proportioner i Ukraine, hvor rapporterings- og dokumenthåndteringsprogrammet M.E.Doc var involveret i spredningen af ​​malwaren. Senere sagde eksperter, at angribernes mål var fuldstændig at ødelægge dataene, men ifølge det ukrainske cyberpoliti, hvis systemet er delvist inficeret, er der en chance for at gendanne filerne.

Hvordan Petya virker

Hvis en virus får administratorrettigheder, identificerer forskere tre hovedscenarier for dens virkning:

• Computeren er inficeret og krypteret, systemet er fuldstændig kompromitteret. Datagendannelse kræver privat nøgle, og der vises en meddelelse på skærmen, der kræver at betale en løsesum (selvom dette er).
• Computeren er inficeret og delvist krypteret - systemet begyndte at kryptere filer, men brugeren stoppede denne proces ved at slukke for strømmen eller på anden måde.
• Computeren er inficeret, men MFT-tabelkrypteringsprocessen er endnu ikke begyndt.

I det første tilfælde effektiv måde Der er endnu ingen datadekryptering. Nu leder specialister fra cyberpolitiet og it-virksomheder efter ham, samt skaberen af ​​den originale Petya-virus(hvilket giver dig mulighed for at gendanne systemet ved hjælp af en nøgle). Hvis hoved-MFT-filtabellen er delvist eller slet ikke påvirket, er der stadig en chance for at få adgang til filerne.

Cyberpolitiet navngav to hovedstadier af den modificerede Petya-virus:

For det første: opnåelse af privilegerede administratorrettigheder (når du bruger Active Directory de er deaktiveret). Først gemmer virussen originalen boot sektor Til operativ system MBR'en krypterer XOR bit-operationen (xor 0x7), hvorefter den skriver sin bootloader i stedet. Resten af ​​den trojanske kode skrives til de første sektorer af disken. På dette stadium er det oprettet tekstfil om kryptering, men dataene er endnu ikke krypteret.

Den anden fase af datakryptering begynder, efter at systemet er genstartet. Petya får nu adgang til sin egen konfigurationssektor, som indeholder et mærke om ukrypterede data. Herefter begynder krypteringsprocessen og vises på skærmen som fungerer Tjek programmer Disk. Hvis den allerede kører, skal du slukke for strømmen og prøve at bruge den foreslåede datagendannelsesmetode.

Hvad tilbyder de?

Først skal du starte fra installationsdisk Windows. Hvis en tabel med partitioner er synlig harddisk(eller SSD), kan du begynde MBR-startsektorgendannelsesproceduren. Så skal du tjekke disken for inficerede filer. I dag er Petya anerkendt af alle populære antivirus.

Hvis krypteringsprocessen blev startet, men det lykkedes for brugeren at afbryde den, skal du efter indlæsning af operativsystemet bruge software til at gendanne krypterede filer (R-Studio og andre). Dataene skal gemmes til eksterne medier og geninstaller systemet.

Sådan gendannes bootloader

For Windows XP OS:

Efter at have downloadet installationen Windows disk XP ind vædder PC dialogboksen vises " Windows installation XP Professional" med en valgmenu, hvor du skal vælge muligheden "for at gendanne Windows XP ved hjælp af genoprettelseskonsollen, skal du trykke på R." Tryk på "R" TAST.

Gendannelseskonsollen indlæses.

Hvis pc'en har ét OS installeret, og det er (som standard) installeret på C-drevet, vises følgende meddelelse:

"1: C:\WINDOWS Hvilken kopi af Windows skal du logge ind?

Indtast tallet "1", tryk på "Enter"-tasten.

Der vises en meddelelse: "Indtast din administratoradgangskode." Indtast din adgangskode, tryk på "Enter" (hvis der ikke er nogen adgangskode, tryk bare på "Enter").

Du skulle blive bedt om: C:\WINDOWS>, indtast fixmbr

Meddelelsen "ADVARSEL" vises derefter.

"Bekræfter du indtastningen af ​​den nye MBR?", tryk på "Y"-tasten.

Der vises en meddelelse: "Der oprettes en ny primær opstartssektor på fysisk disk\Device\Harddisk0\Partition0."

"Ny hovedlinje boot partition oprettet med succes."

Til Windows Vista:

Hent Windows Vista. Vælg dit sprog og tastaturlayout. Klik på "Gendan din computer" på velkomstskærmen. Windows Vista vil redigere computermenuen.

Vælg dit operativsystem, og klik på Næste. Når vinduet Systemgendannelsesindstillinger vises, skal du klikke på kommandolinje. Når kommandoprompten vises, skal du indtaste denne kommando:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt gik godt, vises en bekræftelsesmeddelelse på skærmen.

Til Windows 7:

Start i Windows 7. Vælg dit sprog, tastaturlayout, og klik på Næste.

Vælg dit operativsystem, og klik på Næste. Når du vælger et operativsystem, bør du markere "Brug gendannelsesværktøjer, der kan hjælpe med at løse problemer med at starte Windows."

Klik på kommandopromptknappen på skærmen Indstillinger for systemgendannelse. Når kommandoprompten starter med succes, skal du indtaste kommandoen:

bootrec/fixmbr

Tryk på Enter-tasten og genstart din computer.

Til Windows 8:

Start i Windows 8. Klik på knappen Reparer din pc på velkomstskærmen.

Vælg Fejlfinding. Vælg kommandolinjen, når den indlæses, indtast:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt gik godt, vises en bekræftelsesmeddelelse på skærmen.

Tryk på Enter-tasten og genstart din computer.

Til Windows 10:

Start i Windows 10. På velkomstskærmen, klik på knappen "Reparer din pc", vælg "Fejlfinding".

Vælg Kommandoprompt. Når kommandoprompten indlæses, skal du indtaste kommandoen:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt gik godt, vises en bekræftelsesmeddelelse på skærmen.

Tryk på Enter-tasten og genstart din computer.

03 jul

Sådan gendanner du adgang til operativsystemet efter et angreb fra Petya-virussen: anbefalinger fra Ukraines Cyber ​​​​Police

Cyberpolitiet i Ukraines nationale politi har udgivet anbefalinger til brugere om, hvordan man gendanner adgang til computere, der har været udsat for et cyberangreb af krypteringsvirussen Petya.A.

I færd med at studere Petya.A ransomware-virussen identificerede forskere flere muligheder for virkningen af ​​malware (når du kører virussen med administratorrettigheder):

Systemet er fuldstændig kompromitteret. For at gendanne data kræves en privat nøgle, og et vindue vises på skærmen, hvor du bliver bedt om at betale en løsesum for at få nøglen til at dekryptere dataene.

Computere er inficeret og delvist krypteret. Systemet startede krypteringsprocessen, men eksterne faktorer (f.eks. strømafbrydelse osv.) stoppede krypteringsprocessen.

Computerne er inficeret, men processen med at kryptere MFT-tabellen er endnu ikke begyndt.

Hvad angår den første mulighed, er der desværre i øjeblikket ingen metode, der er garanteret til at dekryptere data. Specialister fra Cyber ​​​​Police Department, SBU, DSSTZI, ukrainske og internationale it-virksomheder arbejder aktivt på at løse dette problem.

Samtidig er der i de sidste to tilfælde en chance for at gendanne den information, der er på computeren, da MFT-partitionstabellen ikke er ødelagt eller delvist ødelagt, hvilket betyder, at ved at gendanne systemets MBR-startsektor, computeren starter og virker.

Således modificeret trojansk hest Petya arbejder i flere faser:

For det første: opnåelse af privilegerede rettigheder (administratorrettigheder). På mange computere i Windows-arkitektur (Active Directory) er disse rettigheder deaktiveret. Virusset gemmer den oprindelige opstartssektor for operativsystemet (MBR) i en krypteret form af en bitvis XOR-operation (xor 0x7), og skriver derefter sin bootloader i stedet for ovennævnte sektor; resten af ​​den trojanske kode skrives til første sektorer af disken. Dette trin opretter en tekstfil om kryptering, men dataene er faktisk ikke krypteret endnu.

Hvorfor det? Fordi det, der er beskrevet ovenfor, kun er forberedelse til diskkryptering, og det vil først begynde, efter at systemet er genstartet.

For det andet: efter genstart begynder den anden fase af virussens drift - datakryptering, den vender nu til sin konfigurationssektor, hvor flaget er indstillet, at dataene endnu ikke er krypteret og skal krypteres. Herefter begynder krypteringsprocessen, som ligner Check Disk-programmet.

Krypteringsprocessen blev startet, men eksterne faktorer (f.eks. strømafbrydelse osv.) stoppede krypteringsprocessen;
Processen med at kryptere MFT-tabellen er endnu ikke begyndt på grund af faktorer, der ikke var afhængige af brugeren (en funktionsfejl i virussen, antivirussoftwarens reaktion på virussens handlinger osv.).

Start fra Windows installationsdisken;

Hvis, efter opstart fra Windows installationsdisken, en tabel med sektioner af hårdt disk, så kan du begynde MBR-gendannelsesprocessen;

For Windows XP:

Efter at have indlæst Windows XP installationsdisketten i pc'ens RAM, vil dialogboksen "Installer Windows XP Professional" vises, indeholdende en valgmenu, du skal vælge punktet "for at gendanne Windows XP ved hjælp af genoprettelseskonsollen, tryk R." . Tryk på "R" TAST.

Gendannelseskonsollen indlæses.

Hvis pc'en har ét OS installeret, og det er (som standard) installeret på C-drevet, vises følgende meddelelse:

"1:C:\WINDOWS Hvilken kopi af Windows skal jeg logge ind på?"

Indtast "1"-tasten, tryk på "Enter"-tasten.

Der vises en meddelelse: "Indtast din administratoradgangskode." Indtast din adgangskode, tryk på "Enter" (hvis der ikke er nogen adgangskode, tryk bare på "Enter").

Systemprompten skulle vises: C:\WINDOWS> indtast fixmbr

Meddelelsen "ADVARSEL" vises derefter.

"Bekræfter du optagelsen af ​​den nye MBR?" Tryk på "Y"-tasten.

En meddelelse vises: "Der oprettes en ny primær bootsektor på den fysiske disk \Device\Harddisk0\Partition0."

"Den nye primære boot-sektor er blevet oprettet med succes."

For Windows Vista:

Hent Windows Vista. Vælg dit sprog og tastaturlayout. Klik på "Gendan din computer" på velkomstskærmen. Windows Vista vil redigere computermenuen.

Vælg dit operativsystem, og klik på Næste.

Når vinduet Systemgendannelsesindstillinger vises, skal du klikke på Kommandoprompt.

Når kommandoprompten vises, skal du indtaste kommandoen:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt lykkes, vises en bekræftelsesmeddelelse på skærmen.

Til Windows 7:

Hent Windows 7.

Vælg sprog.

Vælg dit tastaturlayout.

Vælg dit operativsystem, og klik på Næste. Når du vælger et operativsystem, bør du markere "Brug gendannelsesværktøjer, der kan hjælpe med at løse problemer med at starte Windows."

På skærmen Indstillinger for systemgendannelse skal du klikke på kommandopromptknappen på skærmen Gendannelsesindstillinger Windows-systemer 7"

Når kommandoprompten starter med succes, skal du indtaste kommandoen:

bootrec/fixmbr

Tryk på Enter-tasten og genstart din computer.

Til Windows 8

Hent Windows 8.

Klik på knappen Gendan din computer på velkomstskærmen

Windows 8 vil gendanne computermenuen

Vælg Kommandoprompt.

Når kommandoprompten indlæses, skal du indtaste følgende kommandoer:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt lykkes, vises en bekræftelsesmeddelelse på skærmen.

Tryk på Enter-tasten og genstart din computer.

Til Windows 10

Download Windows 10.

På velkomstskærmen skal du klikke på knappen "Reparer din computer".

Vælg "Fejlfinding"

Vælg Kommandoprompt.

Når kommandoprompten indlæses, skal du indtaste kommandoen:

bootrec/FixMbr

Vent på, at operationen er fuldført. Hvis alt lykkes, vises en bekræftelsesmeddelelse på skærmen.

Tryk på Enter-tasten og genstart din computer.

Efter MBR-gendannelsesproceduren anbefaler forskere at kontrollere disken antivirus programmer for tilstedeværelsen af ​​inficerede filer.

Cyberpolitiets specialister bemærker, at disse handlinger også er relevante, hvis krypteringsprocessen blev startet, men afbrudt af brugeren ved at slukke for computerens strøm under den indledende krypteringsproces. I I dette tilfælde, efter indlæsning af operativsystemet, kan du bruge filgendannelsessoftware (som RStudio), derefter kopiere dem til eksterne medier og geninstallere systemet.

Det bemærkes også, at i tilfælde af brug af datagendannelsesprogrammer, der registrerer deres bootsektor (som Acronis Sandt billede), så rører virussen ikke dette afsnit og kan returneres arbejdsvilkår systemer på checkpointdatoen.

Cyberpolitiet rapporterede, at ud over registreringsdataene fra brugere af M.E.doc-programmet, blev der ikke transmitteret nogen information.

Lad os huske på, at den 27. juni 2017 begyndte et storstilet cyberangreb af Petya.A krypteringsvirus på ukrainske virksomheders og offentlige myndigheders it-systemer.

(Petya.A), og gav en række tips.

Ifølge SBU opstod infektion af operativsystemer hovedsageligt gennem åbning ondsindede applikationer (Word dokumenter, PDF-filer), der blev sendt til email adresse mange kommercielle og offentlige myndigheder.

“Angrebet, hvis hovedmål var at distribuere Petya.A-filkrypteringen, blev brugt netværkssårbarhed MS17-010, som et resultat af hvilket et sæt scripts blev installeret på den inficerede maskine, som blev brugt af angriberne til at starte den nævnte filkryptering,” sagde SBU.

Virussen angriber computere, der kører OS Windows af krypterer brugerens filer, hvorefter den viser en besked om filkonvertering med et forslag om at betale for dekrypteringsnøglen i bitcoins svarende til $300 for at låse op for dataene.

“Desværre kan krypterede data ikke dekrypteres. Arbejdet fortsætter med muligheden for at dekryptere krypterede data,” sagde SBU.

Hvad du skal gøre for at beskytte dig selv mod virussen

1. Hvis computeren er tændt og fungerer normalt, men du har mistanke om, at den kan være inficeret, skal du under ingen omstændigheder genstarte den (hvis pc'en allerede er blevet beskadiget, skal du heller ikke genstarte den) - virussen udløses ved genstart og krypterer alle filer på computeren.

2. Spar alt det meste værdifulde filer til et separat medie, der ikke er tilsluttet computeren, og lav helst en sikkerhedskopi sammen med OS.

3. For at identificere filkryptering skal du udføre alle lokale opgaver og tjekke efter næste fil: C:/Windows/perfc.dat

4. Installer programrettelsen, afhængigt af Windows OS-versionen.

5. Sørg for, at alle computersystemer antivirus installeret software, som fungerer korrekt og bruger opdaterede virussignaturdatabaser. Installer og opdater om nødvendigt antivirusprogrammet.

6. For at mindske smitterisikoen bør du omhyggeligt behandle al elektronisk korrespondance og ikke downloade eller åbne vedhæftede filer i breve sendt fra ukendte personer. Hvis du modtager et brev fra en kendt adresse, der er mistænkelig, skal du kontakte afsenderen og bekræfte, at brevet er sendt.

7. Lav sikkerhedskopier alle kritiske data.

Bring de angivne oplysninger til medarbejdere i strukturelle afdelinger, og tillad ikke medarbejdere at arbejde med computere, der ikke har de angivne patches installeret, uanset om de er forbundet til et lokalt netværk eller internettet.

Det er muligt at forsøge at genoprette adgangen til en Windows-computer, der er blokeret af en bestemt virus.

Fordi den angivne malware foretager ændringer i MBR-posterne, hvilket er grunden til, at brugeren i stedet for at indlæse operativsystemet får vist et vindue med tekst om filkryptering. Dette problem er ved at blive løst MBR-gendannelse optegnelser. For dette er der særlige forsyninger. SBU'en brugte Boot-Repair-værktøjet til dette (instruktioner på linket).

b). Kør det, og sørg for, at alle felterne i vinduet "Artefakter at indsamle" er markeret.

c). På fanen "Eset log collection mode" skal du indstille Initial binær kode disk.

d). Klik på knappen Saml.

e). Send et arkiv med logfiler.

Hvis den berørte pc er tændt og endnu ikke er blevet slukket, skal du fortsætte til

trin 3 for at indsamle oplysninger, der vil hjælpe med at skrive en dekoder,

punkt 4 for behandling af systemet.

Fra en allerede påvirket pc (den starter ikke), skal du indsamle MBR'en til yderligere analyse.

Du kan samle den i henhold til følgende instruktioner:

en). Download ESET SysRescue Live CD eller USB (oprettelse er beskrevet i trin 3)

b). Accepter licensen til brug

c). Tryk på CTRL + ALT + T (terminalen åbnes)

d). Indtast kommandoen "parted -l" uden anførselstegn, parameteren er lille bogstav "L" og tryk

e). Se listen over drev og identificer den berørte pc (bør være en af ​​/dev/sda)

f). Skriv kommandoen "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" uden anførselstegn, i stedet for "/dev/sda" brug den disk, du definerede i det forrige trin, og klik (File/home/eset/petya.img oprettes)

g). Tilslut USB-flashdrevet og kopier filen /home/eset/petya.img

h). Du kan slukke din computer.

Se også - Omelyan om beskyttelse mod cyberangreb

Omelyan om beskyttelse mod cyberangreb

Forskere og cybersikkerhedseksperter rapporterer, at virussen, der blev hårdest ramt af angrebet i Ukraine, hvor virussen oprindeligt var rettet mod, blev skabt med det bevidste mål at deaktivere ofrenes maskiner fuldstændigt og ikke omfatter et system til dekryptering af information. Hvis Petya.C-virussen har inficeret en computer, kan brugeren på et bestemt tidspunkt stadig genstarte systemet, men det vil ikke længere være muligt at dekryptere oplysningerne.

Repræsentanter for virksomhederne Cybersecurity and Co. og Positive Technologies, såvel som den officielle repræsentant for SBU i Ukraine, sagde, at ved de første tegn på infektion er den eneste måde at forhindre kryptering af information på at slukke for computeren.

Hvornår ondsindet kode kommer ind på offerets enhed, skaber virussen en forsinket opgave for at genstarte enheden. Indtil da kan du køre kommandoen bootrec /fixMbr for at reparere partitionen. På grund af dette vil systemet forblive operationelt, men filerne vil stadig være krypteret. Dette er en enkeltbillet. Petya.C fungerer på en sådan måde, at når den er inficeret, genererer den en speciel dekrypteringsnøgle, som slettes næsten øjeblikkeligt.

Efter succesfuld kryptering af computerens oplysninger, vises en meddelelse på skærmen, der kræver, at du betaler $300 i bitcoins for at modtage nøglen til at dekryptere oplysningerne. Hackernes konto har allerede modtaget flere tusinde dollars, men ingen af ​​ofrene har modtaget påkrævet kode. Faktum er, at den tyske udbyder E-mail blokerede angribernes postkasse, hvilket var den eneste måde at kontakte hackerne på. Derudover rapporterede repræsentanter for Kaspersky Lab, at forfatterne af Petya.C ikke selv har den fysiske evne til at dekryptere deres ofres computere, da virussen ikke giver mulighed for oprettelse af en identifikator til ofrets computer, hvilket ville tillade hackere til at sende nøglen.

Til at kryptere enheder bruger Petya.C EternalBlue-sårbarheden, som blev lækket af NSA tidligere i år. Den samme udnyttelse blev brugt af skaberne WannaCry ransomware i maj. Microsoft udgav de nødvendige patches tilbage i marts i år og opdaterede endda Windows XP for at forhindre yderligere infektioner. Virksomheden advarede om, at lignende angreb sandsynligvis vil blive gentaget, så brugere bør opdatere deres computere så hurtigt som muligt. Ingen benægter det faktum, at der i fremtiden kan dukke en anden Vasia eller Lyosha op, som vil forsøge at gentage "succesen" fra WannaCry eller Petya.C.

Lad os huske, at Microsoft annoncerede en række ændringer i systemer Windows sikkerhed 10, som er lavet for at forhindre gentagne angreb i fremtiden. Virksomheden har allerede (det blev brugt i WannaCry- og Petya.C-angrebene) og vil også tilføje, hvilket gør det sværere at bruge udnyttelsen til at inficere et offers computer.

Petya-virussen er en hastigt voksende virus, der ramte næsten alle store virksomheder i Ukraine den 27. juni 2017. Petya-virussen krypterer dine filer og tilbyder derefter en løsesum for dem.

Den nye virus inficerer computerens harddisk og fungerer som en filkrypteringsvirus. igennem bestemt tidspunkt, Petya-virussen "spiser" filer på din computer, og de bliver krypteret (som om filerne blev arkiveret og en tung adgangskode blev sat)
Filer, der er blevet ramt af Petya ransomware-virussen, kan ikke gendannes senere (der er en procentdel, som du kan gendanne dem, men den er meget lille)
Der er INGEN algoritme, der gendanner filer, der er påvirket af Petya-virussen
Ved hjælp af denne korte og MAKSIMUM nyttige artikel kan du beskytte dig selv mod #virusPetya

Sådan IDENTIFICERER du Petya- eller WannaCry-virussen og IKKE bliver inficeret med virussen

Når du downloader en fil via internettet, skal du kontrollere den med et online antivirus. Online antivirus kan detektere en virus i en fil på forhånd og forhindre infektion med Petya-virussen. Alt du skal gøre er at tjekke den downloadede fil ved hjælp af VirusTotal og derefter køre den. Også selvom du DOWNLOADDE PETYA VIRUS, men IKKE kørte den virus fil, virussen er IKKE aktiv og forårsager ikke skade. Først efter lanceringen skadelig fil du starter en virus, husk dette

AT BRUGE DENNE METODE GIVER DIG KUN ALLE CHANCE FOR IKKE AT BLIVE INFICERET AF PETYA VIRUSET
Petya-virussen ser sådan ud:

Sådan beskytter du dig selv mod Petya-virussen

Selskab Symantec foreslået en løsning, der giver dig mulighed for at beskytte dig selv mod Petya-virussen ved at lade som om, du allerede har den installeret.
Petya-virussen, når den kommer ind i en computer, opretter i mappen C:\Windows\perfc fil perfc eller perfc.dll
For at få virussen til at tro, at den allerede er installeret og ikke fortsætte sin aktivitet, skal du oprette i mappen C:\Windows\perfc fil med tomt indhold og gem det ved at indstille redigeringstilstanden til "Read Only"
Eller download virus-petya-perfc.zip og pak mappen ud perfc til en mappe C:\Windows\ og indstil ændringstilstanden til "Kun læse"
Download virus-petya-perfc.zip

OPDATERET 29.06.2017
Jeg anbefaler også at downloade begge filer blot ind Windows mappe. Mange kilder skriver, at filen perfc eller perfc.dll skal være i mappen C:\Windows\

Hvad skal man gøre, hvis din computer allerede er inficeret med Petya-virussen

Tænd ikke en computer, der allerede har inficeret dig med Petya-virussen. Petya-virussen fungerer på en sådan måde, at mens den inficerede computer er tændt, krypterer den filer. Det vil sige, så længe du holder den virusinficerede tændt Petya computer, flere og flere filer er modtagelige for infektion og kryptering.
Winchester af denne computer værd at tjekke ud. Du kan tjekke det med ved hjælp af LIVECD eller LIVEUSB med antivirus
Opstartbart USB-flashdrev med Kaspersky Rescue Disk 10
Dr.Web LiveDisk bootbart flashdrev

Hvem spredte Petya-virussen i hele Ukraine

Microsoft har givet udtryk for sit synspunkt vedrørende global netværksinfektion i store ukrainske virksomheder. Årsagen var opdateringen til M.E.Doc-programmet. M.E.Doc er et populært regnskabsprogram, og derfor begik virksomheden så stor en fejl, da en virus kom ind i opdateringen og installerede Petya-virussen på tusindvis af pc'er, hvor M.E.Doc-programmet var installeret. Og da virussen rammer computere på samme netværk, spredte den sig med lynets hast.
#: Petya virus påvirker Android, Petya virus, hvordan man opdager og fjerner Petya virus, hvordan man behandler Petya virus, M.E.Doc, Microsoft, opret en mappe Petya virus