Petya.A-virusangrepet dekket dusinvis av land på få dager og utviklet seg til epidemiske proporsjoner i Ukraina, der rapporterings- og dokumenthåndteringsprogrammet M.E.Doc var involvert i spredningen av skadevaren. Senere sa eksperter at angripernes mål var å fullstendig ødelegge dataene, men ifølge det ukrainske cyberpolitiet, hvis systemet er delvis infisert, er det en sjanse til å gjenopprette filene.

Hvordan Petya fungerer

Hvis et virus får administratorrettigheter, identifiserer forskerne tre hovedscenarier for virkningen:

• Datamaskinen er infisert og kryptert, systemet er fullstendig kompromittert. Datagjenoppretting krever privat nøkkel, og en melding vises på skjermen som krever å betale løsepenger (selv om dette er).
• Datamaskinen er infisert og delvis kryptert - systemet begynte å kryptere filer, men brukeren stoppet denne prosessen ved å slå av strømmen eller på andre måter.
• Datamaskinen er infisert, men MFT-tabellkrypteringsprosessen har ennå ikke begynt.

I det første tilfellet effektiv måte Det er ingen datadekryptering ennå. Nå søker spesialister fra cyberpolitiet og IT-selskaper etter ham, samt skaperen av det originale Petya-viruset(som lar deg gjenopprette systemet ved hjelp av en nøkkel). Hvis hoved-MFT-filtabellen er delvis eller ikke påvirket i det hele tatt, er det fortsatt en sjanse til å få tilgang til filene.

Cyberpolitiet navnga to hovedstadier av det modifiserte Petya-viruset:

Først: å få privilegerte administratorrettigheter (ved bruk Active Directory de er deaktivert). Først lagrer viruset originalen oppstartssektoren Til operativsystem MBR-en krypterer XOR-bitoperasjonen (xor 0x7), hvoretter den skriver bootloaderen i stedet. Resten av den trojanske koden skrives til de første sektorene på disken. På dette stadiet er det opprettet tekstfil om kryptering, men dataene er ennå ikke kryptert.

Den andre fasen av datakryptering begynner etter at systemet er startet på nytt. Petya får nå tilgang til sin egen konfigurasjonssektor, som inneholder et merke om ukrypterte data. Etter dette starter krypteringsprosessen og vises på skjermen som fungerer Sjekk programmer Disk. Hvis den allerede kjører, bør du slå av strømmen og prøve å bruke den foreslåtte datagjenopprettingsmetoden.

Hva tilbyr de?

Først må du starte opp fra installasjonsdisk Windows. Hvis en tabell med partisjoner er synlig harddisk(eller SSD), kan du starte gjenopprettingsprosedyren for MBR-oppstartssektoren. Deretter bør du sjekke disken for infiserte filer. I dag er Petya anerkjent av alle populære antivirus.

Hvis krypteringsprosessen ble startet, men brukeren klarte å avbryte den, etter å ha lastet operativsystemet, må du bruke programvare for å gjenopprette krypterte filer (R-Studio og andre). Dataene må lagres til eksterne medier og installer systemet på nytt.

Hvordan gjenopprette bootloader

For Windows XP OS:

Etter å ha lastet ned installasjonen Windows-disk XP inn RAM PC-dialogboksen vises " Windows installasjon XP Professional" med en meny der du må velge alternativet "for å gjenopprette Windows XP ved å bruke gjenopprettingskonsollen, trykk R." Trykk på "R"-tasten.

Gjenopprettingskonsollen vil lastes inn.

Hvis PC-en har ett OS installert og det (som standard) er installert på C-stasjonen, vil følgende melding vises:

"1: C:\WINDOWS Hvilken kopi av Windows bør du logge på?

Skriv inn tallet "1", trykk på "Enter"-tasten.

En melding vises: "Skriv inn administratorpassordet ditt." Skriv inn passordet ditt, trykk "Enter" (hvis det ikke er noe passord, trykk bare "Enter").

Du bør bli bedt om: C:\WINDOWS>, skriv inn fixmbr

Meldingen "ADVARSEL" vil da vises.

"Bekrefter du inntastingen av den nye MBR?", trykk på "Y"-tasten.

En melding vil vises: "En ny primær oppstartssektor blir opprettet på fysisk disk\Device\Harddisk0\Partition0."

"Ny hovedlinje oppstartspartisjon vellykket opprettet."

Til Windows Vista:

Last ned Windows Vista. Velg språk og tastaturoppsett. Klikk på "Gjenopprett datamaskinen" på velkomstskjermen. Windows Vista vil redigere datamaskinmenyen.

Velg ditt operativsystem og klikk på Neste. Når vinduet Alternativer for systemgjenoppretting vises, klikker du på kommandolinje. Når ledeteksten vises, skriv inn denne kommandoen:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt gikk bra, vises en bekreftelsesmelding på skjermen.

For Windows 7:

Start opp i Windows 7. Velg språk, tastaturoppsett og klikk Neste.

Velg ditt operativsystem og klikk på Neste. Når du velger et operativsystem, bør du krysse av for "Bruk gjenopprettingsverktøy som kan hjelpe med å løse problemer med å starte Windows."

På skjermbildet Alternativer for systemgjenoppretting klikker du på ledetekst-knappen. Når ledeteksten starter opp, skriv inn kommandoen:

bootrec/fixmbr

Trykk på Enter-tasten og start datamaskinen på nytt.

For Windows 8:

Start opp i Windows 8. Klikk på Reparer PC-knappen på velkomstskjermen.

Velg Feilsøking. Velg kommandolinjen, når den laster, skriv inn:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt gikk bra, vises en bekreftelsesmelding på skjermen.

Trykk på Enter-tasten og start datamaskinen på nytt.

For Windows 10:

Start opp i Windows 10. På velkomstskjermen klikker du på knappen "Reparer din PC", velg "Feilsøking".

Velg Kommandoprompt. Når ledeteksten lastes, skriv inn kommandoen:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt gikk bra, vises en bekreftelsesmelding på skjermen.

Trykk på Enter-tasten og start datamaskinen på nytt.

03 jul

Hvordan gjenopprette tilgang til operativsystemet etter et angrep av Petya-viruset: anbefalinger fra Cyber ​​​​Police of Ukraine

Cyber ​​​​Police Department of National Police of Ukraine har publisert anbefalinger for brukere om hvordan de kan gjenopprette tilgang til datamaskiner som har vært utsatt for et nettangrep av krypteringsviruset Petya.A.

I prosessen med å studere Petya.A løsepengevirus, identifiserte forskere flere alternativer for virkningen av skadelig programvare (når du kjører viruset med administratorrettigheter):

Systemet er fullstendig kompromittert. For å gjenopprette data kreves en privat nøkkel, og et vindu vises på skjermen som ber deg betale løsepenger for å få nøkkelen for å dekryptere dataene.

Datamaskiner er infisert og delvis kryptert. Systemet startet krypteringsprosessen, men eksterne faktorer (f.eks. strømbrudd osv.) stoppet krypteringsprosessen.

Datamaskinene er infisert, men prosessen med å kryptere MFT-tabellen har ennå ikke begynt.

Når det gjelder det første alternativet, er det dessverre ingen metode som garantert kan dekryptere data. Spesialister fra Cyber ​​​​Police Department, SBU, DSSTZI, ukrainske og internasjonale IT-selskaper jobber aktivt for å løse dette problemet.

Samtidig er det i de to siste tilfellene en sjanse til å gjenopprette informasjonen som er på datamaskinen, siden MFT-partisjonstabellen ikke er ødelagt eller delvis ødelagt, noe som betyr at ved å gjenopprette MBR-oppstartssektoren til systemet, datamaskinen starter og fungerer.

Dermed modifisert trojansk hest Petya jobber i flere stadier:

Først: skaffe privilegerte rettigheter (administratorrettigheter). På mange datamaskiner i Windows-arkitektur (Active Directory) er disse rettighetene deaktivert. Viruset lagrer den opprinnelige oppstartssektoren for operativsystemet (MBR) i en kryptert form av en bitvis XOR-operasjon (xor 0x7), og skriver deretter oppstartslasteren i stedet for sektoren ovenfor; resten av trojanske koden skrives til første sektorer av disken. Dette trinnet oppretter en tekstfil om kryptering, men dataene er faktisk ikke kryptert ennå.

Hvorfor det? Fordi det som er beskrevet ovenfor kun er forberedelse for diskkryptering, og det vil begynne først etter at systemet er startet på nytt.

For det andre: etter omstart begynner den andre fasen av virusets operasjon - datakryptering, det går nå til konfigurasjonssektoren, der flagget er satt at dataene ennå ikke er kryptert og må krypteres. Etter dette starter krypteringsprosessen, som ser ut som Check Disk-programmet.

Krypteringsprosessen ble startet, men eksterne faktorer (f.eks. strømbrudd osv.) stoppet krypteringsprosessen;
Prosessen med å kryptere MFT-tabellen har ennå ikke begynt på grunn av faktorer som ikke var avhengig av brukeren (en funksjonsfeil i viruset, reaksjonen til antivirusprogramvare på virusets handlinger, etc.).

Start opp fra Windows-installasjonsdisken;

Hvis, etter oppstart fra Windows-installasjonsdisken, en tabell med deler av hardt disk, så kan du starte MBR-gjenopprettingsprosessen;

For Windows XP:

Etter å ha lastet Windows XP-installasjonsdisken inn i PC-ens RAM, vil dialogboksen "Installer Windows XP Professional" vises, som inneholder en valgmeny, du må velge elementet "for å gjenopprette Windows XP ved hjelp av gjenopprettingskonsollen, trykk R." . Trykk på "R"-tasten.

Gjenopprettingskonsollen vil lastes inn.

Hvis PC-en har ett OS installert og det (som standard) er installert på C-stasjonen, vil følgende melding vises:

"1:C:\WINDOWS Hvilken kopi av Windows skal jeg logge på?"

Skriv inn "1"-tasten, trykk på "Enter"-tasten.

En melding vises: "Skriv inn administratorpassordet ditt." Skriv inn passordet ditt, trykk "Enter" (hvis det ikke er noe passord, trykk bare "Enter").

Systemledeteksten skal vises: C:\WINDOWS> skriv inn fixmbr

Meldingen "ADVARSEL" vil da vises.

"Bekrefter du oppføringen av den nye MBR?" Trykk på "Y"-tasten.

En melding vil vises: "En ny primær oppstartssektor blir opprettet på den fysiske disken \Device\Harddisk0\Partition0."

"Den nye primære oppstartssektoren har blitt opprettet."

For Windows Vista:

Last ned Windows Vista. Velg språk og tastaturoppsett. Klikk på "Gjenopprett datamaskinen" på velkomstskjermen. Windows Vista vil redigere datamaskinmenyen.

Velg ditt operativsystem og klikk på Neste.

Når vinduet Alternativer for systemgjenoppretting vises, klikker du på ledetekst.

Når ledeteksten vises, skriv inn kommandoen:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt er vellykket, vises en bekreftelsesmelding på skjermen.

For Windows 7:

Last ned Windows 7.

Velg språk.

Velg tastaturoppsettet ditt.

Velg ditt operativsystem og klikk på Neste. Når du velger et operativsystem, bør du krysse av for "Bruk gjenopprettingsverktøy som kan hjelpe med å løse problemer med å starte Windows."

På skjermbildet Sklikker du på ledetekst-knappen på skjermbildet Gjenopprettingsalternativer Windows-systemer 7"

Når ledeteksten starter opp, skriv inn kommandoen:

bootrec/fixmbr

Trykk på Enter-tasten og start datamaskinen på nytt.

For Windows 8

Last ned Windows 8.

På velkomstskjermen klikker du på Gjenopprett datamaskinen-knappen

Windows 8 vil gjenopprette datamaskinmenyen

Velg Kommandoprompt.

Når ledeteksten lastes inn, skriv inn følgende kommandoer:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt er vellykket, vises en bekreftelsesmelding på skjermen.

Trykk på Enter-tasten og start datamaskinen på nytt.

For Windows 10

Last ned Windows 10.

Klikk på "Reparer datamaskinen"-knappen på velkomstskjermen

Velg "Feilsøking"

Velg Kommandoprompt.

Når ledeteksten lastes, skriv inn kommandoen:

bootrec/FixMbr

Vent til operasjonen er fullført. Hvis alt er vellykket, vises en bekreftelsesmelding på skjermen.

Trykk på Enter-tasten og start datamaskinen på nytt.

Etter MBR-gjenopprettingsprosedyren anbefaler forskere å sjekke disken antivirusprogrammer for tilstedeværelsen av infiserte filer.

Spesialister på nettpolitiet bemerker at disse handlingene også er relevante hvis krypteringsprosessen ble startet, men avbrutt av brukeren ved å slå av datamaskinstrømmen under den første krypteringsprosessen. I i dette tilfellet, etter å ha lastet inn operativsystemet, kan du bruke filgjenopprettingsprogramvare (som RStudio), og deretter kopiere dem til eksterne medier og installere systemet på nytt.

Det bemerkes også at i tilfelle bruk av datagjenopprettingsprogrammer som registrerer oppstartssektoren deres (som Acronis Sant bilde), så berører ikke viruset denne delen og kan returneres arbeidsforhold systemer på sjekkpunktdatoen.

Cyberpolitiet rapporterte at utenom registreringsdataene gitt av brukere av M.E.doc-programmet, ble ingen informasjon overført.

La oss huske at 27. juni 2017 begynte et storstilt nettangrep av Petya.A-krypteringsviruset på IT-systemene til ukrainske selskaper og offentlige etater.

(Petya.A), og ga en rekke tips.

I følge SBU skjedde infeksjon av operativsystemer hovedsakelig gjennom åpning ondsinnede applikasjoner (Word-dokumenter, PDF-filer) som ble sendt til e-post adresse mange kommersielle og offentlige etater.

"Angrepet, hvis hovedmål var å distribuere Petya.A-filkrypteringen, ble brukt nettverkssårbarhet MS17-010, som et resultat av at et sett med skript ble installert på den infiserte maskinen, som ble brukt av angriperne for å starte den nevnte filkrypteringen,» sa SBU.

Viruset angriper datamaskiner som kjører OS Windows av krypterer brukerens filer, hvoretter den viser en melding om filkonvertering med et forslag om å betale for dekrypteringsnøkkelen i bitcoins tilsvarende $300 for å låse opp dataene.

"Dessverre kan krypterte data ikke dekrypteres. Arbeidet fortsetter med muligheten for å dekryptere krypterte data," sa SBU.

Hva du skal gjøre for å beskytte deg mot viruset

1. Hvis datamaskinen er slått på og fungerer normalt, men du mistenker at den kan være infisert, må du ikke starte den på nytt under noen omstendigheter (hvis PC-en allerede er skadet, ikke start den på nytt heller) - viruset utløses ved omstart og krypterer alle filene på datamaskinen.

2. Spar mest mulig verdifulle filer til et eget medium som ikke er koblet til datamaskinen, og ideelt sett lage en sikkerhetskopi sammen med operativsystemet.

3. For å identifisere filkrypteren må du fullføre alle lokale oppgaver og se etter neste fil: C:/Windows/perfc.dat

4. Installer oppdateringen, avhengig av Windows OS-versjonen.

5. Sørg for at alle datasystemer antivirus installert programvare, som fungerer som den skal og bruker oppdaterte virussignaturdatabaser. Om nødvendig, installer og oppdater antivirusprogrammet.

6. For å redusere risikoen for infeksjon bør du behandle all elektronisk korrespondanse nøye og ikke laste ned eller åpne vedlegg i brev sendt fra ukjente personer. Hvis du mottar et brev fra en kjent adresse som er mistenkelig, kontakt avsender og bekreft at brevet er sendt.

7. Lag sikkerhetskopier alle kritiske data.

Ta med den angitte informasjonen til ansatte i strukturelle avdelinger, og la ikke ansatte jobbe med datamaskiner som ikke har de spesifiserte oppdateringene installert, uavhengig av om de er koblet til et lokalt nettverk eller Internett.

Det er mulig å prøve å gjenopprette tilgangen til en Windows-datamaskin som er blokkert av et spesifisert virus.

Fordi den spesifiserte skadelige programvaren gjør endringer i MBR-postene, er det grunnen til at brukeren i stedet for å laste operativsystemet får vist et vindu med tekst om filkryptering. Dette problemet blir løst MBR gjenoppretting poster. For dette er det spesielle verktøy. SBU brukte Boot-Repair-verktøyet for dette (instruksjoner på lenken).

b). Kjør den og sørg for at alle boksene i "Artefakter å samle"-vinduet er merket av.

c). I «Eset log collection mode»-fanen velger du Initial binær kode disk.

d). Klikk på Samle-knappen.

e). Send et arkiv med logger.

Hvis den berørte PC-en er slått på og ennå ikke er slått av, fortsett til

trinn 3 for å samle informasjon som vil hjelpe med å skrive en dekoder,

punkt 4 for behandling av systemet.

Fra en allerede berørt PC (den starter ikke opp), må du samle inn MBR for videre analyse.

Du kan montere den i henhold til følgende instruksjoner:

en). Last ned ESET SysRescue Live CD eller USB (oppretting er beskrevet i trinn 3)

b). Godta lisensen for bruk

c). Trykk CTRL + ALT + T (terminalen åpnes)

d). Skriv inn kommandoen "parted -l" uten anførselstegn, parameteren er liten bokstav "L" og trykk

e). Se listen over stasjoner og identifiser den berørte PC-en (bør være en av /dev/sda)

f). Skriv kommandoen "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" uten anførselstegn, i stedet for "/dev/sda" bruk disken du definerte i forrige trinn og klikk (File/ home/eset/petya.img vil bli opprettet)

g). Koble til USB-flashstasjonen og kopier filen /home/eset/petya.img

h). Du kan slå av datamaskinen.

Se også - Omelyan om beskyttelse mot cyberangrep

Omelyan om beskyttelse mot cyberangrep

Forskere og cybersikkerhetseksperter rapporterer at viruset, som ble hardest rammet av angrepet i Ukraina, hvor viruset opprinnelig var målrettet, ble opprettet med det bevisste målet å fullstendig deaktivere ofrenes maskiner og ikke inkluderer et system for dekryptering av informasjon. Hvis Petya.C-viruset har infisert en datamaskin, kan brukeren på et visst tidspunkt fortsatt starte systemet på nytt, men det vil ikke lenger være mulig å dekryptere informasjonen.

Representanter for selskapene Cybersecurity and Co. og Positive Technologies, samt den offisielle representanten for SBU i Ukraina, sa at ved de første tegn på infeksjon er den eneste måten å forhindre kryptering av informasjon på å slå av datamaskinen.

Når ondsinnet kode kommer inn på offerets enhet, skaper viruset en forsinket oppgave for å starte enheten på nytt. Inntil da kan du kjøre bootrec /fixMbr-kommandoen for å reparere partisjonen. På grunn av dette vil systemet forbli operativt, men filene vil fortsatt være kryptert. Dette er en enveisbillett. Petya.C fungerer på en slik måte at når den blir infisert, genererer den en spesiell dekrypteringsnøkkel, som slettes nesten umiddelbart.

Etter vellykket kryptering av datamaskinens informasjon, vises en melding på skjermen som krever at du betaler $300 i bitcoins for å motta nøkkelen til å dekryptere informasjonen. Hackernes konto har allerede mottatt flere tusen dollar, men ingen av ofrene har mottatt nødvendig kode. Faktum er at den tyske leverandøren E-post blokkerte angripernes postkasse, som var den eneste måten å kontakte hackerne på. I tillegg rapporterte representanter for Kaspersky Lab at forfatterne av Petya.C selv ikke har den fysiske evnen til å dekryptere datamaskinene til ofrene sine, siden viruset ikke sørger for opprettelse av en identifikator for offerets datamaskin, noe som ville tillate hackere for å sende nøkkelen.

For å kryptere enheter bruker Petya.C sårbarheten EternalBlue, som ble lekket av NSA tidligere i år. Den samme utnyttelsen ble brukt av skaperne WannaCry løsepengevare i mai. Microsoft slapp de nødvendige oppdateringene tilbake i mars i år og oppdaterte til og med Windows XP for å forhindre ytterligere infeksjoner. Selskapet advarte om at lignende angrep sannsynligvis vil bli gjentatt, så brukere bør oppdatere datamaskinene sine så snart som mulig. Ingen benekter det faktum at det i fremtiden kan dukke opp en annen Vasia eller Lyosha, som vil prøve å gjenta "suksessen" til WannaCry eller Petya.C.

La oss huske at Microsoft annonserte en rekke endringer i systemene Windows-sikkerhet 10, som er laget for å forhindre gjentatte angrep i fremtiden. Selskapet har allerede (det ble brukt i WannaCry- og Petya.C-angrepene) og vil også legge til, noe som gjør det vanskeligere å bruke utnyttelsen til å infisere et offers datamaskin.

Petya-viruset er et raskt voksende virus som rammet nesten alle store bedrifter i Ukraina 27. juni 2017. Petya-viruset krypterer filene dine og tilbyr deretter løsepenger for dem.

Det nye viruset infiserer datamaskinens harddisk og fungerer som et filkrypteringsvirus. Gjennom Viss tid, Petya-viruset "spiser" filer på datamaskinen din og de blir kryptert (som om filene ble arkivert og et tungt passord ble satt)
Filer som har blitt påvirket av Petya løsepengevirus kan ikke gjenopprettes senere (det er en prosentandel du kan gjenopprette dem, men den er veldig liten)
Det er INGEN algoritme som gjenoppretter filer som er berørt av Petya-viruset
Ved hjelp av denne korte og MAKSIMUM nyttige artikkelen kan du beskytte deg mot #virusPetya

Hvordan IDENTIFISERE Petya- eller WannaCry-viruset og IKKE bli infisert med viruset

Når du laster ned en fil via Internett, sjekk den med et online antivirus. Online antivirus kan oppdage et virus i en fil på forhånd og forhindre infeksjon av Petya-viruset. Alt du trenger å gjøre er å sjekke den nedlastede filen ved hjelp av VirusTotal, og deretter kjøre den. Selv om du har lastet ned PETYA VIRUS, men IKKE kjørte det virusfil, viruset er IKKE aktivt og forårsaker ikke skade. Først etter lansering skadelig fil du lanserer et virus, husk dette

Å BRUKE DENNE METODEN GIR DEG BARE ALL SJANSE TIL IKKE Å BLI SMITTET AV PETYA-VIRUSET
Petya-viruset ser slik ut:

Hvordan beskytte deg mot Petya-viruset

Selskap Symantec foreslått en løsning som lar deg beskytte deg mot Petya-viruset ved å late som om du allerede har det installert.
Petya-viruset, når det kommer inn i en datamaskin, opprettes i mappen C:\Windows\perfc fil perfc eller perfc.dll
For å få viruset til å tro at det allerede er installert og ikke fortsette aktiviteten, oppretter du i mappen C:\Windows\perfc fil med tomt innhold og lagre den ved å sette redigeringsmodusen til "Read Only"
Eller last ned virus-petya-perfc.zip og pakk ut mappen perfc til en mappe C:\Windows\ og sett endringsmodusen til "Skrivebeskyttet"
Last ned virus-petya-perfc.zip

OPPDATERT 29.06.2017
Jeg anbefaler også å laste ned begge filene ganske enkelt Windows-mappen. Mange kilder skriver at filen perfc eller perfc.dll må være i mappen C:\Windows\

Hva du skal gjøre hvis datamaskinen din allerede er infisert med Petya-viruset

Ikke slå på en datamaskin som allerede har infisert deg med Petya-viruset. Petya-viruset fungerer på en slik måte at mens den infiserte datamaskinen er slått på, krypterer den filer. Det vil si så lenge du holder den virusinfiserte slått på Petya datamaskin, flere og flere filer er utsatt for infeksjon og kryptering.
Winchester av denne datamaskinen verdt å sjekke ut. Du kan sjekke det med bruker LIVECD eller LIVEUSB med antivirus
Oppstartbar USB-flash-stasjon med Kaspersky Rescue Disk 10
Dr.Web LiveDisk oppstartbar flash-stasjon

Hvem spredte Petya-viruset over hele Ukraina

Microsoft har uttrykt sitt synspunkt angående global nettverksinfeksjon i store ukrainske selskaper. Årsaken var oppdateringen til M.E.Doc-programmet. M.E.Doc er et populært regnskapsprogram, og derfor gjorde selskapet en så stor feil da et virus kom inn i oppdateringen og installerte Petya-viruset på tusenvis av PC-er som M.E.Doc-programmet var installert på. Og siden viruset rammer datamaskiner på samme nettverk, spredte det seg med lynets hastighet.
#: Petya-virus påvirker Android, Petya-virus, hvordan oppdage og fjerne Petya-virus, hvordan behandle petya-virus, M.E.Doc, Microsoft, opprett en mappe Petya-virus