Atak wirusa Petya.A w ciągu kilku dni objął dziesiątki krajów i rozwinął się do rozmiarów epidemii na Ukrainie, gdzie w rozprzestrzenianie szkodliwego oprogramowania zaangażowany był program do raportowania i zarządzania dokumentami M.E.Doc. Później eksperci stwierdzili, że celem atakujących było całkowite zniszczenie danych, jednak według ukraińskiej cyberpolicji, jeśli system zostanie częściowo zainfekowany, istnieje szansa na przywrócenie plików.

Jak działa Petya

Jeśli wirus uzyska uprawnienia administratora, badacze identyfikują trzy główne scenariusze jego wpływu:

• Komputer jest zainfekowany i zaszyfrowany, a system jest całkowicie zagrożony. Odzyskiwanie danych wymaga prywatny klucz, a na ekranie pojawia się komunikat z żądaniem zapłaty okupu (choć tak jest).
• Komputer jest zainfekowany i częściowo zaszyfrowany - system zaczął szyfrować pliki, lecz użytkownik zatrzymał ten proces poprzez wyłączenie zasilania lub w inny sposób.
• Komputer jest zainfekowany, ale proces szyfrowania tabeli MFT jeszcze się nie rozpoczął.

W pierwszym przypadku efektywny sposób Nie ma jeszcze odszyfrowania danych. Teraz szukają go także specjaliści z cyberpolicji i firm informatycznych twórca oryginalnego wirusa Petya(pozwala na przywrócenie systemu za pomocą klucza). Jeżeli główna tabela plików MFT jest dotknięta częściowo lub nie ma żadnego wpływu, nadal istnieje szansa na uzyskanie dostępu do plików.

Cyberpolicja wymieniła dwa główne etapy zmodyfikowanego wirusa Petya:

Po pierwsze: uzyskanie uprzywilejowanych uprawnień administratora (przy użyciu Aktywny katalog są niepełnosprawni). Najpierw wirus zapisuje oryginał sektor rozruchowy Dla system operacyjny MBR szyfruje operację bitową XOR (xor 0x7), po czym zapisuje w jej miejsce swój program ładujący. Pozostała część kodu trojana jest zapisywana w pierwszych sektorach dysku. Na tym etapie jest on tworzony plik tekstowy o szyfrowaniu, ale dane nie są jeszcze zaszyfrowane.

Druga faza szyfrowania danych rozpoczyna się po ponownym uruchomieniu systemu. Petya uzyskuje teraz dostęp do własnego sektora konfiguracyjnego, który zawiera znak informujący o niezaszyfrowanych danych. Następnie rozpoczyna się proces szyfrowania i jest wyświetlany na ekranie jako działający Sprawdź programy Dysk. Jeśli już działa, powinieneś wyłączyć zasilanie i spróbować skorzystać z proponowanej metody odzyskiwania danych.

Co oferują?

Najpierw musisz uruchomić komputer dysk instalacyjny Okna. Jeśli widoczna jest tabela z partycjami twardy dysk(lub SSD), możesz rozpocząć procedurę odzyskiwania sektora rozruchowego MBR. Następnie powinieneś sprawdzić dysk pod kątem zainfekowanych plików. Dziś Petya jest rozpoznawana przez wszystkie popularne programy antywirusowe.

Jeżeli proces szyfrowania został rozpoczęty, ale użytkownikowi udało się go przerwać, po załadowaniu systemu operacyjnego należy skorzystać z oprogramowania do odzyskiwania zaszyfrowanych plików (R-Studio i inne). Dane będą musiały zostać zapisane media zewnętrzne i zainstaluj ponownie system.

Jak przywrócić bootloader

Dla systemu operacyjnego Windows XP:

Po pobraniu instalacji Dysk z Windowsem XP w Baran Pojawi się okno dialogowe komputera „ Instalacja Windowsa XP Professional” z menu wyboru, w którym należy wybrać opcję „aby przywrócić system Windows XP za pomocą Konsoli odzyskiwania, naciśnij klawisz R”. Naciśnij klawisz „R”.

Załaduje się Konsola odzyskiwania.

Jeżeli na komputerze jest zainstalowany jeden system operacyjny i jest on (domyślnie) zainstalowany na dysku C, pojawi się następujący komunikat:

„1: C:\WINDOWS Który kopia Windowsa powinieneś się zalogować?

Wpisz cyfrę „1”, naciśnij klawisz „Enter”.

Pojawi się komunikat: „Wprowadź hasło administratora”. Wpisz swoje hasło, naciśnij „Enter” (jeśli nie ma hasła, po prostu naciśnij „Enter”).

Powinieneś zostać zapytany: C:\WINDOWS>, wpisz fixmbr

Pojawi się wówczas komunikat „OSTRZEŻENIE”.

„Czy potwierdzasz wprowadzenie nowego MBR?”, naciśnij klawisz „Y”.

Pojawi się komunikat: „Tworzy się nowy podstawowy sektor rozruchowy dysk fizyczny\Urządzenie\Dysk twardy0\Partycja0."

„Nowy główny partycja rozruchowa pomyślnie utworzono.”

Dla Windows Vista:

Pobierz system Windows Vista. Wybierz język i układ klawiatury. Na ekranie powitalnym kliknij „Przywróć komputer”. System Windows Vista dokona edycji menu komputera.

Wybierz swój system operacyjny i kliknij Dalej. Gdy pojawi się okno Opcje odzyskiwania systemu, kliknij wiersz poleceń. Gdy pojawi się wiersz poleceń, wprowadź następujące polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko poszło dobrze, na ekranie pojawi się komunikat potwierdzający.

Dla systemu Windows 7:

Uruchom system Windows 7. Wybierz język, układ klawiatury i kliknij Dalej.

Wybierz swój system operacyjny i kliknij Dalej. Wybierając system operacyjny, powinieneś zaznaczyć opcję „Użyj narzędzi do odzyskiwania, które pomogą rozwiązać problemy z uruchamianiem systemu Windows”.

Na ekranie Opcje odzyskiwania systemu kliknij przycisk Wiersz poleceń. Po pomyślnym uruchomieniu wiersza poleceń wprowadź polecenie:

bootrec/fixmbr

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 8:

Uruchom system Windows 8. Na ekranie powitalnym kliknij przycisk Napraw komputer.

Wybierz opcję Rozwiązywanie problemów. Wybierz wiersz poleceń, po załadowaniu wpisz:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko poszło dobrze, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 10:

Uruchom system Windows 10. Na ekranie powitalnym kliknij przycisk „Napraw swój komputer” i wybierz „Rozwiązywanie problemów”.

Wybierz Wiersz poleceń. Po załadowaniu wiersza poleceń wprowadź polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko poszło dobrze, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

03 lipiec

Jak przywrócić dostęp do systemu operacyjnego po ataku wirusa Petya: zalecenia Cyberpolicji Ukrainy

Departament Cyberpolicji Policji Narodowej Ukrainy opublikował zalecenia dla użytkowników dotyczące przywracania dostępu do komputerów, które padły ofiarą cyberataku wirusa szyfrującego Petya.A.

Podczas badania wirusa ransomware Petya.A badacze zidentyfikowali kilka opcji wpływu złośliwego oprogramowania (podczas uruchamiania wirusa z uprawnieniami administratora):

System jest całkowicie zagrożony. Do odzyskania danych wymagany jest klucz prywatny, a na ekranie pojawia się okno z prośbą o zapłacenie okupu w celu uzyskania klucza umożliwiającego odszyfrowanie danych.

Komputery są zainfekowane i częściowo zaszyfrowane. System rozpoczął proces szyfrowania, jednak czynniki zewnętrzne (np. przerwa w dostawie prądu itp.) przerwały proces szyfrowania.

Komputery są zainfekowane, ale proces szyfrowania tabeli MFT jeszcze się nie rozpoczął.

Jeśli chodzi o pierwszą opcję, niestety obecnie nie ma metody gwarantującej odszyfrowanie danych. Nad rozwiązaniem tego problemu aktywnie pracują specjaliści z Departamentu Cyberpolicji, SBU, DSSTZI, ukraińskich i międzynarodowych firm informatycznych.

Jednocześnie w dwóch ostatnich przypadkach istnieje szansa na przywrócenie informacji znajdujących się na komputerze, ponieważ tablica partycjonowania MFT nie jest uszkodzona ani częściowo uszkodzona, co oznacza, że ​​​​przywracając sektor rozruchowy MBR systemu, komputer uruchomi się i będzie działał.

W ten sposób zmodyfikowany Koń trojański Petya działa w kilku etapach:

Po pierwsze: uzyskanie uprawnień uprzywilejowanych (uprawnień administratora). Na wielu komputerach w architekturze Windows (Active Directory) uprawnienia te są wyłączone. Wirus zapisuje oryginalny sektor rozruchowy systemu operacyjnego (MBR) w zaszyfrowanej formie bitowej operacji XOR (xor 0x7), a następnie zapisuje swój program ładujący w miejsce powyższego sektora; reszta kodu trojana jest zapisywana w pierwsze sektory dysku. Ten krok powoduje utworzenie pliku tekstowego dotyczącego szyfrowania, ale dane nie są jeszcze w rzeczywistości zaszyfrowane.

Dlaczego? Ponieważ to co opisano powyżej jest jedynie przygotowaniem do szyfrowania dysku i rozpocznie się ono dopiero po ponownym uruchomieniu systemu.

Po drugie: po ponownym uruchomieniu rozpoczyna się druga faza działania wirusa – szyfrowanie danych, przechodzi on teraz do swojego sektora konfiguracyjnego, w którym ustawiona jest flaga informująca, że ​​dane nie są jeszcze zaszyfrowane i wymagają szyfrowania. Następnie rozpoczyna się proces szyfrowania, który wygląda jak program Check Disk.

Proces szyfrowania został rozpoczęty, ale czynniki zewnętrzne (np. przerwa w dostawie prądu itp.) przerwały proces szyfrowania;
Proces szyfrowania tabeli MFT jeszcze się nie rozpoczął ze względu na czynniki niezależne od użytkownika (awaria wirusa, reakcja oprogramowania antywirusowego na działanie wirusa itp.).

Uruchom z dysku instalacyjnego systemu Windows;

Jeśli po uruchomieniu z dysku instalacyjnego systemu Windows pojawi się tabela z odcinki trudne dysku, możesz rozpocząć proces odzyskiwania MBR;

Dla systemu Windows XP:

Po załadowaniu dysku instalacyjnego systemu Windows XP do pamięci RAM komputera pojawi się okno dialogowe „Zainstaluj system Windows XP Professional”, zawierające menu wyboru, w którym należy wybrać opcję „aby przywrócić system Windows XP za pomocą konsoli odzyskiwania, naciśnij klawisz R”. . Naciśnij klawisz „R”.

Załaduje się Konsola odzyskiwania.

Jeżeli na komputerze jest zainstalowany jeden system operacyjny i jest on (domyślnie) zainstalowany na dysku C, pojawi się następujący komunikat:

„1:C:\WINDOWS Do której kopii systemu Windows powinienem się zalogować?”

Wpisz klawisz „1”, naciśnij klawisz „Enter”.

Pojawi się komunikat: „Wprowadź hasło administratora”. Wpisz swoje hasło, naciśnij „Enter” (jeśli nie ma hasła, po prostu naciśnij „Enter”).

Powinien pojawić się monit systemowy: C:\WINDOWS> wpisz fixmbr

Pojawi się wówczas komunikat „OSTRZEŻENIE”.

„Czy potwierdzasz wprowadzenie nowego MBR?” Naciśnij klawisz „Y”.

Pojawi się komunikat: „Tworzy się nowy podstawowy sektor rozruchowy na dysku fizycznym \Device\Harddisk0\Partition0.”

„Nowy podstawowy sektor rozruchowy został pomyślnie utworzony.”

Dla systemu Windows Vista:

Pobierz system Windows Vista. Wybierz język i układ klawiatury. Na ekranie powitalnym kliknij „Przywróć komputer”. System Windows Vista dokona edycji menu komputera.

Wybierz swój system operacyjny i kliknij Dalej.

Gdy pojawi się okno Opcje odzyskiwania systemu, kliknij Wiersz poleceń.

Gdy pojawi się wiersz poleceń, wprowadź polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Dla systemu Windows 7:

Pobierz Windowsa 7.

Wybierz język.

Wybierz układ klawiatury.

Wybierz swój system operacyjny i kliknij Dalej. Wybierając system operacyjny, powinieneś zaznaczyć opcję „Użyj narzędzi do odzyskiwania, które pomogą rozwiązać problemy z uruchamianiem systemu Windows”.

Na ekranie Opcje odzyskiwania systemu kliknij przycisk Wiersz poleceń na ekranie Opcje odzyskiwania Systemy Windows 7"

Po pomyślnym uruchomieniu wiersza poleceń wprowadź polecenie:

bootrec/fixmbr

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 8

Pobierz Windowsa 8.

Na ekranie powitalnym kliknij przycisk Przywróć komputer

Windows 8 przywróci menu komputera

Wybierz Wiersz poleceń.

Po załadowaniu wiersza poleceń wprowadź następujące polecenia:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 10

Pobierz Windowsa 10.

Na ekranie powitalnym kliknij przycisk „Napraw komputer”.

Wybierz „Rozwiązywanie problemów”

Wybierz Wiersz poleceń.

Po załadowaniu wiersza poleceń wprowadź polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

Po procedurze odzyskiwania MBR badacze zalecają sprawdzenie dysku programy antywirusowe na obecność zainfekowanych plików.

Specjaliści cyberpolicji zauważają, że działania te mają znaczenie również w przypadku, gdy proces szyfrowania został rozpoczęty, ale został przerwany przez użytkownika poprzez wyłączenie zasilania komputera na czas początkowego procesu szyfrowania. W w tym przypadku, po załadowaniu systemu operacyjnego możesz skorzystać z oprogramowania do odzyskiwania plików (np. RStudio), następnie skopiować je na nośnik zewnętrzny i ponownie zainstalować system.

Należy również zauważyć, że w przypadku korzystania z programów do odzyskiwania danych, które rejestrują swój sektor rozruchowy (takich jak Acronis Prawdziwy obraz), wówczas wirus nie dotyka tej sekcji i może zostać zwrócony warunki pracy systemów w dniu punktu kontrolnego.

Cyberpolicja poinformowała, że ​​poza danymi rejestracyjnymi dostarczonymi przez użytkowników programu M.E.doc nie zostały przesłane żadne informacje.

Przypomnijmy, że 27 czerwca 2017 r. rozpoczął się zakrojony na szeroką skalę cyberatak wirusa szyfrującego Petya.A na systemy informatyczne ukraińskich firm i agencji rządowych.

(Petya.A) i dał szereg wskazówek.

Według SBU do infekcji systemów operacyjnych dochodziło głównie poprzez otwieranie złośliwe aplikacje (Dokumenty Worda, pliki PDF), do których zostały wysłane adresy e-mail wiele agencji komercyjnych i rządowych.

„W ataku, którego głównym celem była dystrybucja narzędzia szyfrującego pliki Petya.A, wykorzystano podatność sieci MS17-010, w wyniku czego na zainfekowanej maszynie został zainstalowany zestaw skryptów, które posłużyły atakującym do uruchomienia wspomnianego narzędzia szyfrującego pliki” – podaje SBU.

Wirus atakuje komputery z systemem operacyjnym Okna wg szyfruje pliki użytkownika, po czym wyświetla komunikat o konwersji pliku z propozycją zapłaty za klucz odszyfrowujący w bitcoinach w kwocie odpowiadającej 300 $ w celu odblokowania danych.

„Niestety, zaszyfrowanych danych nie można odszyfrować. Trwają prace nad możliwością odszyfrowania zaszyfrowanych danych” – podała SBU.

Co zrobić, aby uchronić się przed wirusem

1. Jeżeli komputer jest włączony i działa normalnie, ale podejrzewasz, że może być zainfekowany, pod żadnym pozorem nie uruchamiaj go ponownie (jeśli komputer był już uszkodzony, nie uruchamiaj go również) - wirus zostanie uruchomiony po ponownym uruchomieniu i szyfruje wszystkie pliki zawarte na komputerze.

2. Oszczędzaj jak najwięcej cenne pliki na osobny nośnik, który nie jest podłączony do komputera, a najlepiej utwórz kopię zapasową wraz z systemem operacyjnym.

3. Aby zidentyfikować program szyfrujący pliki, musisz wykonać wszystkie zadania lokalne i sprawdzić następny plik: C:/Windows/perfc.dat

4. W zależności od wersji systemu operacyjnego Windows zainstaluj poprawkę.

5. Upewnij się, że wszyscy systemy komputerowe zainstalowany program antywirusowy oprogramowanie, który działa prawidłowo i korzysta z aktualnych baz sygnatur wirusów. Jeśli to konieczne, zainstaluj i zaktualizuj program antywirusowy.

6. Aby zmniejszyć ryzyko infekcji, należy ostrożnie traktować wszelką korespondencję elektroniczną i nie pobierać ani nie otwierać załączników w pismach wysyłanych z nieznani ludzie. Jeśli otrzymasz podejrzany list ze znanego adresu, skontaktuj się z nadawcą i potwierdź, że list został wysłany.

7. Zrób kopie zapasowe wszystkie krytyczne dane.

Przekaż wskazane informacje pracownikom oddziałów strukturalnych i nie pozwalaj pracownikom na pracę z komputerami, na których nie zainstalowano określonych poprawek, niezależnie od tego, czy są one podłączone do sieci lokalnej, czy do Internetu.

Można spróbować przywrócić dostęp do komputera z systemem Windows zablokowanego przez określonego wirusa.

Ponieważ określone szkodliwe oprogramowanie wprowadza zmiany w rekordach MBR, dlatego zamiast ładowania systemu operacyjnego użytkownikowi wyświetla się okno z tekstem dotyczącym szyfrowania plików. Ten problem jest w trakcie rozwiązywania Odzyskiwanie MBR dokumentacja. Do tego istnieją specjalne narzędzia. SBU użyło do tego narzędzia Boot-Repair (instrukcje pod linkiem).

B). Uruchom go i upewnij się, że wszystkie pola w oknie „Artefakty do zebrania” zostały zaznaczone.

C). Na karcie „Tryb zbierania dzienników Eset” ustaw opcję Początkowa kod binarny dysk.

D). Kliknij przycisk Zbierz.

mi). Wyślij archiwum logów.

Jeśli dany komputer jest włączony i nie został jeszcze wyłączony, przejdź do

krok 3 zebrać informacje, które pomogą napisać dekoder,

punkt 4 dotyczący leczenia systemu.

Na komputerze, którego dotyczy problem (nie można go uruchomić), musisz zebrać rekord MBR do dalszej analizy.

Można go złożyć zgodnie z poniższą instrukcją:

A). Pobierz ESET SysRescue Live CD lub USB (tworzenie opisano w kroku 3)

B). Wyraź zgodę na licencję na użytkowanie

C). Naciśnij CTRL + ALT + T (otworzy się terminal)

D). Wpisz polecenie „parted -l” bez cudzysłowów, parametrem jest mała litera „L” i naciśnij

mi). Zobacz listę dysków i zidentyfikuj komputer, którego dotyczy problem (powinien to być jeden z /dev/sda)

F). Wpisz polecenie „dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256” bez cudzysłowów, zamiast „/dev/sda” użyj dysku zdefiniowanego w poprzednim kroku i kliknij (zostanie utworzony plik/home/eset/petya.img)

G). Podłącz dysk flash USB i skopiuj plik /home/eset/petya.img

H). Możesz wyłączyć komputer.

Zobacz także - Omelyan o ochronie przed cyberatakami

Omelyan o ochronie przed cyberatakami

Badacze i eksperci ds. cyberbezpieczeństwa podają, że wirus, który najbardziej ucierpiał w wyniku ataku na Ukrainie, gdzie był pierwotnie celem, został stworzony z celowym zamiarem całkowitego unieruchomienia maszyn ofiar i nie zawiera systemu deszyfrowania informacji. Jeśli komputer zainfekował wirus Petya.C, na pewnym etapie użytkownik może jeszcze uruchomić system, ale odszyfrowanie informacji nie będzie już możliwe.

Przedstawiciele firm Cybersecurity and Co. i Positive Technologies, a także oficjalny przedstawiciel SBU Ukrainy oświadczyli, że przy pierwszych oznakach infekcji jedynym sposobem zapobiegania szyfrowaniu informacji jest wyłączenie komputera.

Gdy złośliwy kod przedostanie się do urządzenia ofiary, wirus tworzy opóźnione zadanie ponownego uruchomienia urządzenia. Do tego czasu możesz uruchomić polecenie bootrec /fixMbr, aby naprawić partycję. Dzięki temu system będzie nadal działał, ale pliki nadal będą szyfrowane. To jest bilet w jedną stronę. Petya.C działa w ten sposób, że po zainfekowaniu generuje specjalny klucz deszyfrujący, który jest niemal natychmiast usuwany.

Po pomyślnym zaszyfrowaniu informacji na komputerze na ekranie zostanie wyświetlony komunikat z prośbą o zapłacenie 300 dolarów w bitcoinach w celu otrzymania klucza do odszyfrowania informacji. Na konto hakerów wpłynęło już kilka tysięcy dolarów, ale żadna z ofiar nie otrzymała wymagany kod. Faktem jest, że niemiecki dostawca E-mail zablokował skrzynkę pocztową atakujących, co było jedyną możliwością skontaktowania się z hakerami. Ponadto przedstawiciele Kaspersky Lab poinformowali, że sami autorzy Petya.C nie mają fizycznej możliwości odszyfrowania komputerów swoich ofiar, ponieważ wirus nie umożliwia utworzenia identyfikatora komputera ofiary, który umożliwiłby hakerom o przesłanie klucza.

Do szyfrowania urządzeń Petya.C wykorzystuje lukę EternalBlue, która została ujawniona przez NSA na początku tego roku. Twórcy wykorzystali ten sam exploit Oprogramowanie ransomware WannaCry w maju. Firma Microsoft wypuściła niezbędne poprawki w marcu tego roku, a nawet zaktualizowała system Windows XP, aby zapobiec dalszym infekcjom. Firma ostrzegła, że ​​podobne ataki prawdopodobnie będą się powtarzać, dlatego użytkownicy powinni jak najszybciej zaktualizować swoje komputery. Nikt nie zaprzecza, że ​​w przyszłości może pojawić się kolejna Vasia lub Lyosha, która będzie próbowała powtórzyć „sukces” WannaCry czy Petya.C.

Przypomnijmy, że Microsoft zapowiedział szereg zmian w systemach Bezpieczeństwo Windowsa 10, które mają na celu zapobieganie powtarzającym się atakom w przyszłości. Firma już to zrobiła (została wykorzystana w atakach WannaCry i Petya.C) i będzie także dodawać kolejne elementy, utrudniając wykorzystanie exploita do zainfekowania komputera ofiary.

Wirus Petya to szybko rozwijający się wirus, który 27 czerwca 2017 r. zaatakował prawie wszystkie duże przedsiębiorstwa na Ukrainie. Wirus Petya szyfruje Twoje pliki, a następnie oferuje za nie okup.

Nowy wirus infekuje dysk twardy komputera i działa jak wirus szyfrujący pliki. Poprzez określony czas, wirus Petya „zjada” pliki na Twoim komputerze i zostają one zaszyfrowane (tak jakby pliki były archiwizowane i ustawione było ciężkie hasło)
Plików zainfekowanych wirusem ransomware Petya nie można później przywrócić (istnieje pewien odsetek możliwości ich przywrócenia, ale jest on bardzo mały)
NIE ma algorytmu przywracającego pliki zainfekowane wirusem Petya
Za pomocą tego krótkiego i MAKSYMALNIE przydatnego artykułu możesz uchronić się przed #wirusPetya

Jak ZIDENTYFIKOWAĆ wirusa Petya lub WannaCry i NIE zarazić się wirusem

Pobierając plik przez Internet, sprawdź go za pomocą internetowego programu antywirusowego. Internetowe programy antywirusowe może z wyprzedzeniem wykryć wirusa w pliku i zapobiec infekcji wirusem Petya. Wszystko, co musisz zrobić, to sprawdzić pobrany plik za pomocą programu VirusTotal, a następnie go uruchomić. Nawet jeśli POBRAŁEŚ WIRUSA PETYA, ale NIE uruchomiłeś go plik wirusa, wirus NIE jest aktywny i nie powoduje szkód. Dopiero po uruchomieniu szkodliwy plik uruchamiasz wirusa, pamiętaj o tym

KORZYSTANIE Z TEJ METOD DAJE TYLKO SZANSĘ, ABY NIE ZARAŻAĆ SIĘ WIRUSEM PETYA
Wirus Petya wygląda następująco:

Jak chronić się przed wirusem Petya

Firma Symanteca zaproponował rozwiązanie, które pozwala chronić się przed wirusem Petya udając, że już go masz zainstalowanego.
Wirus Petya, gdy dostanie się do komputera, tworzy się w folderze C:\Windows\perfc plik doskonała Lub perfc.dll
Aby wirus myślał, że jest już zainstalowany i nie kontynuował swojej działalności, utwórz go w folderze C:\Windows\perfc plik z pustą zawartością i zapisz go ustawiając tryb edycji na „Tylko do odczytu”
Lub pobierz plik Virus-petya-perfc.zip i rozpakuj folder doskonała do folderu C:\Windows\ i ustaw tryb zmiany na „Tylko do odczytu”
Pobierz plik wirusa-petya-perfc.zip

AKTUALIZACJA 29.06.2017
Polecam również po prostu pobrać oba pliki Folder Windowsa. Wiele źródeł podaje, że plik doskonała Lub perfc.dll musi być w folderze C:\Windows\

Co zrobić, jeśli Twój komputer jest już zainfekowany wirusem Petya

Nie włączaj komputera, który już zainfekował Cię wirusem Petya. Wirus Petya działa w ten sposób, że gdy zainfekowany komputer jest włączony, szyfruje pliki. To znaczy tak długo, jak ten zainfekowany wirusem jest włączony Komputer Petyi, coraz więcej plików jest podatnych na infekcję i szyfrowanie.
Winchestera tego komputera warto sprawdzić. Możesz to sprawdzić za pomocą za pomocą LIVECD lub LIVEUSB z programem antywirusowym
Rozruchowy dysk flash USB z Kaspersky Rescue Disk 10
Rozruchowy dysk flash Dr.Web LiveDisk

Kto rozprzestrzenił wirusa Petya po całej Ukrainie

Microsoft wyraził swój punkt widzenia w sprawie globalnej infekcji sieciowej w dużych ukraińskich firmach. Powodem była aktualizacja programu M.E.Doc. M.E.Doc jest popularnym programem księgowym, dlatego firma popełniła tak duży błąd, gdy do aktualizacji dostał się wirus i zainstalował wirusa Petya na tysiącach komputerów, na których zainstalowany był program M.E.Doc. A ponieważ wirus atakuje komputery w tej samej sieci, rozprzestrzenia się błyskawicznie.
#: Wirus Petya wpływa na Androida, wirus Petya, jak wykryć i usunąć wirusa Petya, jak leczyć wirusa Petya, M.E.Doc, Microsoft, utwórz folder Wirus Petya