Переключиться на мобильную версию

СБУ рассказала, как вылечить компьютер от вируса Petya

Зашифрованные данные расшифровке не подлежат. Но можно попробовать избавиться от вируса. Есть несколько способов.
Зараженный вирусом компьютер можно попытаться вылечить
Зараженный вирусом компьютер можно попытаться вылечить
nashkiev.ua

Служба безопасности Украины рассказала, как работает вредоносная программа, которая атаковала Украину 27 июня (Petya.A), и дала ряд советов.

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Читай также: Кибератака в Украине: Геращенко сказал, когда восстановят сети

“Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов“, - заявила СБУ.

Вирус атакует компьютеры под управлением ОС Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных.

“Зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных“, - заявили в СБУ.

Что делать, чтобы уберечься от вируса

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все самые ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале - сделайте резервную копию вместе с ОС.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:/Windows/perfc.dat

4. В зависимости от версии ОС Windows установить патч.

Читай также: Интернет-ассоциация Украины о вирусной атаке: Это развод

5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирус.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные от неизвестных людей. В случае получения письма от известного адреса, который вызывает подозрение, - связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или Интернет.

Читай также: Хакерская атака в Украине: киберполиция дала советы

Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.

Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).

Читай также: Турчинов рассказал о последствиях кибератаки на Украину

Нужно загрузить ISO образ Boot- Repair. Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (мы использовали Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, docx, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей расшифровки и переустановить операционную систему.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний.

a). Загрузите утилиту Eset LogCollector

b). Запустите и убедитесь в том, что были установлены все галочки в окне “Артефакты для сбора“.

c). Во вкладке “Режим сбора журналов Eset“ установите Исходный двоичный код диска.

d). Нажмите на кнопку Собрать.

e). Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению

п. 3 для сбора информации, которая поможет написать декодер,

п. 4 для лечения системы.

С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:

a). Загрузите ESET SysRescue Live CD или USB (создание в описано в п.3)

b). Согласитесь с лицензией на пользование

c). Нажмите CTRL + ALT + T (откроется терминал)

d). Напишите команду “parted -l“ без кавычек, параметр этого маленькая буква “L“ и нажмите

e). Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)

f). Напишите команду “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ без кавычек, вместо “/dev/sda“ используйте диск, который определили в предыдущем шаге и нажмите (Файл/home/eset/petya.img будет создан)

g). Подключите флешку и скопируйте файл /home/eset/petya.img

h). Компьютер можно выключить.

Напомним, 27 июня Украину атаковал вирус-вымогатель. Пострадали ряд государственных и частных компаний, в том числе Укрэнерго, Новая почта,  ГП Антонов, ДТЭК, Укртелеком, Эпицентр, Укрзализныця и другие.

СНБО увидел в кибератаке российский след.

Смотри также - Омелян про зашиту от кибератак

Омелян про зашиту от кибератак
0:00 / 02:28

Комментариев (23)
Отсортировать по дате Вниз
x0xol14    28.03.2018, 21:19
Оценка:  +10
x0xol14
Наталия    28.06.2017, 09:48
Оценка:  0
Наталия
Ору))) красава))
ArcanaMace+25    28.06.2017, 12:39
Оценка:  -2
ArcanaMace+25
орудие в ад идут
ArcanaMace+25    28.06.2017, 12:57
Оценка:  -2
ArcanaMace+25
орущие
Cowboychik    02.07.2017, 17:16
Оценка:  0
Cowboychik
Меня просто умиляют юзеры, которые понятия не имеют о том, что предложил миру Линус Торвальдс. Этот планктон думает, что виндовс так подвержен вирусам потому, что на нём сидят много людей. Эти гомосапинсы понятия не имеют как устроен Линукс и почему он не подвержен таким "петям".
Cowboychik    02.07.2017, 17:20
Оценка:  0
Cowboychik
Red Hat или SUSE, что вы слышали об этих компаниях? Что вы знаете об Arch, Gentoo или BSD? Если ничего, то лучше молчите. Если вы не можете выбрать себе нужную ОС Линукс, то это не Линукс виноват. Предьявляйте претензии к своему мозгу....
GooLe2222    28.06.2017, 11:32
Оценка:  0
GooLe2222
Если знаеш как расшифровать то не теряй возможности, можеш неплохо зиаработать.
Para-trooper    28.06.2017, 12:25
Оценка:  +1
Para-trooper
срок
Para-trooper    28.06.2017, 12:28
Оценка:  +2
Para-trooper
припаяют еще вдруг написание или распространение вируса и огромный ущерб ...
TORPEDA    28.06.2017, 10:42
Оценка:  +1
TORPEDA
"Зашифрованные данные расшифровке не подлежат" та вы шо?! Серьезно?
Неистовые ламеры, лузеры, фейлеры, непрушники высшей пробы. Зато амбиций - ОГО-ГО! Не сбу, а какая-то служба охраны Ашана
CernijMartin    28.06.2017, 09:47
Оценка:  -2
CernijMartin
это в честь того кого я думаю....не оригинально ,лучше-бы назвали шоколад или рошен-так солидней
Туземун    28.06.2017, 09:47
Оценка:  +1
Туземун
Вирус атакует компьютеры под управлением ОС Windows....... Лечение простое, нужно снести винду и поставить другую, стабильную и безопасную ОС.
Para-trooper    28.06.2017, 12:26
Оценка:  +4
Para-trooper
Это ты дома можешь легко сделать, где ничего кроме игрушек нет ...
gorio    28.06.2017, 12:40
Оценка:  +2
gorio
То о чём он говорит большую часть игрушек не запустит.
Бугор19    28.06.2017, 13:46
Оценка:  -5
Бугор19
На линухе виросов нет и куча програм для офисного планктона. ах да там мозги нужно имееть. я не верю что ты гейм дизайнер тебе обязательно нужен виндовс ))
Woodbrother    29.06.2017, 13:30
Оценка:  +1
Woodbrother
Для винды пишут вирусы потому, что ее используют корпорации. Если бизнес перейдет на линукс- с линуксом будет та же ерунда. Иос долгое время жила в мире и спокойствии, пока не попала в бизнес сектор. Теперь и у иос проблемы.
Zaporojanka1    28.06.2017, 09:46
Оценка:  -5
Zaporojanka1
Боцман,очень смешно.Узнала про вирус на чонгаре,самое смешное мой компьютер сейчас лечат от вирусов.((((((
Боцман__Кобза    27.06.2017, 22:31
Оценка:  +1
Боцман__Кобза
Уважаемый получатель!
Вы только что получили Талибанский вирус!
Т.к. мы в Афганистане не очень продвинуты в технологии, - этот вирус выполняется ВРУЧНУЮ!
Пожалуйста удалите все файлы на вашем компьютере и пошлите это письмо всем своим знакомым.
Большое спасибо за сотрудничество,
Талибанский хакер.
Боцман__Кобза    27.06.2017, 22:31
Оценка:  -1
Боцман__Кобза
Уважаемый талибанский хакер!
Мы только что получили Талибанский вирус!
Т.к. мы в российской глубинке тоже не очень продвинуты в технологии, мы не можем запустить этот вирус ВРУЧНУЮ, поскольку не можем его распаковать! Пожалуйста, в следующий раз высылайте вирус вместе с архиватором.
Боцман__Кобза    27.06.2017, 22:31
Оценка:  -2
Боцман__Кобза
Заранее благодарны,
Получатели.
Боцман__Кобза    27.06.2017, 22:32
Оценка:  -2
Боцман__Кобза
Ха Ха............
Токо я ошибку нашел.............
После удалления ВСЕХ файлов письмо друзьям отослать не получится :-( (((
Передайте хакеру пускай учится
Боцман__Кобза    27.06.2017, 22:25
Оценка:  +4
Боцман__Кобза
Петя А - это тонкий намек на Петра Алексеевича?
Агент_Смитт    27.06.2017, 22:06
Оценка:  +17
Агент_Смитт
Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

Гуглим, лечим.
Реклама
Мы в соцсетях
Реклама
Реклама
Реклама
Для удобства пользования сайтом используются Cookies. Подробнее здесь