Що таке вірус Petya. Способи відновлення файлів

  1. Як відновити пошкоджені файли

Якщо ви тільки що помітили повідомлення з вимогою викупу від вірусу Petya, то вам слід негайно відключити комп'ютер і витягти жорсткий диск. На момент появи повідомлення на екрані, процес шифрування знаходиться на самому початку, так що ви зможете врятувати більшу частину файлів.

Вперше вірус Petya був виявлений в 2016 році, і на короткий час став головною «страшилкою» в середовищі вірусів-вимагачів. Однак, через кілька тижнів після появи вірусу, якийсь користувач Твіттера під ніком Leostone створив алгоритм, що дозволяє розшифрувати файли, зашифровані Petya, а точніше, дізнатися ключ шифрування. Сам по собі метод був досить складним і трудомістким для непідготовленого користувача: для того щоб отримати свої дані потрібно було витягти жорсткий диск з зараженого ПК і підключити його до іншого пристрою, отримати певні файли, зашифрувати їх за допомогою зазначеного алгоритму і завантажити на сайт. Виконавши всі перераховані операції, протягом хвилини жертва отримувала ключі від шифрування. Незабаром після цього, інший дослідник, Fabian Wosar , Надав більш простий спосіб розшифровки, який вимагав лише вилучення жорсткого диска і підключення його до іншого робочого комп'ютера, на який необхідно було встановити спеціальну програму. Завдяки зусиллям цих двох дослідників хвиля поширення Petya була зупинена в перший раз.

Після цього вірус Petya з'являвся під різними іменами, такими як GoldenEye, Mischa, PetrWrap, Mamba та іншими. Деякі з них були явними клонами Petya, а деякі лише імітували його повідомлення, використовуючи зовсім інші моделі поведінки. Нещодавно, в кінці червня 2017 року Petya знову з'явився на просторах Інтернету, заявивши про себе шляхом масштабного зараження комп'ютерів звичайних користувачів, а також представників малого, середнього та великого бізнесу в Європі. Найбільше від атаки постраждали такі країни як Україна, Росія, Німеччина, Англія, Голландія, Данія та Іспанія. На цей раз, вірус не користувався традиційними способами поширення, а використовував уразливість ETERNALBLUE, ту ж саму, яку використовував вірус WanaCry декількома місяцями раніше. Найцікавіше в тому, що Petya заразив тисячі користувачів і мереж в тих країнах, які найбільше постраждали від вірусу WanaCry. Навіть після такої серйозної загрози користувачам просто було ліньки завантажити оновлення MS17-010 з офіційного сайту Microsoft, і назавжди убезпечити свій комп'ютер від атак з використанням даної уразливості. На даний момент немає ніяких звісток про те, як же розшифрувати дані зашифровані вірусом, але ми можемо розповісти вам, як діяти, якщо ви помітили зараження, щоб зберегти ваші дані, а також як видалити вірус з комп'ютера, щоб ви могли далі їм користуватися.

Отже, в чому ж особливість Petya, і його відмінності від інших вірусів? Зараз вірус поширюється за допомогою вразливості в програмному коді Windows, а в своїй першій редакції він користувався стандартними способами поширення. Вірус дещо знизив суму викупу: якщо в 2016 році викуп становив приблизно $ 400 в біткоіни, то тепер - $ 300. Основна відмінність Petya від інших вірусів полягає в методі його роботи. Стандартний вірус-вимагач непомітно проникає на комп'ютер користувача, шифрує файли, і після завершення шифрування показує користувачеві повідомлення з вимогами. Розробники Petya вирішили вчинити інакше: їх вірус викликає BSOD при проникненні в систему, а при подальшому завантаженні системи шифрує MFT (Master File Table) комп'ютера жертви. При цьому порушується робота MBR (Master Boot Record), внаслідок чого користувач не може отримати доступ до матеріалів на жорсткому диску, (в тому числі і до файлів вірусу). У момент завантаження системи після BSOD, коли користувач бачить повідомлення з вимогами, в якому шахраї заявляють що файли зашифровані - всі файли фактично недоторкані. Процес шифрування лише починається, і якщо ви негайно знеструмити комп'ютер і отримаєте жорсткий диск - то зможете врятувати більшу частину даних. Для того, щоб відновити працездатність вашого ПК вам потрібно відновити MBR і видалити вірус з комп'ютера. Після цього залишається лише очікувати, коли досвідчені дослідники вірусів зроблять свій хід, і створять програму для розшифровки.

Відомий дослідник вірусів, творець і власник форуму, присвяченого вірусам і боротьбі з ними, Lawrence Abram s повідомив, що звичайні користувачі можуть захистити себе від зараження вірусом Petya, створивши текстовий файл з назвою perfc в папці C: \ Windows і зробивши його «тільки для читання». Ще один дослідник вірусів, Amit Serper дізнався, що Petya сканує комп'ютер в пошуках файлу з певною назвою, і знайшовши такий файл - негайно припиняє всю свою діяльність і видаляється з комп'ютера. Крім того, деякі користувачі радять, крім файлу perfc.txt створити файли perfc.dat і perfc.dll. Варто очікувати, що ще багато шахраї спробують експлуатувати цю уразливість, так що вам, для забезпечення схоронності своїх файлів, слід створити файли, зазначені вище, і пропатчити систему патчем MS17-010 .

Як відновити пошкоджені файли

Тепер, коли ви знаєте, що з себе представляє вірус Petya і як він працює - ось поради по відновленню даних. Як завжди, єдиний 100% ефективний спосіб відновлення це завантаження резервних копій. Якщо ви робили резервні копії системи, або окремих важливих файлів, і зберігали їх на зовнішньому носії, отсоединенном від ПК на момент зараження - ваші файли в цілості й схоронності. Вам слід очистити ПК від вірусу (що може зажадати допомоги досвідченого фахівця), і завантажити файли. Крім того, після зараження ви могли помітити спливаюче вікно, в якому вам пропонувалося прийняти зміни, що вносяться до системи якоюсь програмою. Це Petya намагався видалити тіньові копії (Shadow Copies), за допомогою яких можна відновлювати видалені або змінені файли. Якщо ви не дозволили вносити зміни - то тіньові копії в порядку, і ви зможете скористатися ними безпосередньо через функціонал Windows, або за допомогою спеціальних програм Recuva і Shadow Explorer. Якщо ж у вас немає резервних копій, а все вище описані методи не спрацювали - вам слід чекати, поки представники відомих IT-компаній, або незалежні дослідники не розроблять програму для дешифрування.

  • Натисніть «Пуск»
  • Виберіть «Панель управління»

Натисніть «Пуск»   Виберіть «Панель управління»

  • Натисніть «Система і безпека»

Натисніть «Система і безпека»

  • Виберіть «Архівація та відновлення»

Виберіть «Архівація та відновлення»

  • Виберіть «Відновлення файлів з архіву»
  • Виберіть точку збереження

Відео інструкція

Додати коментар

Отже, в чому ж особливість Petya, і його відмінності від інших вірусів?