1. Я думаю все вже в курсі, що сьогодні, 27 червня 2017, багато Українські компанії перевізників, банків,...

Я думаю все вже в курсі, що сьогодні, 27 червня 2017, багато Українські компанії перевізників, банків, мережі магазинів і багато інших були атаковані вірусом Petya.A, який вимагає переклад Bitcoin монет в еквіваленті 300 $ на вказану адресу.

Цьому передувала глобальна атака по всьому світу і зокрема Росії, вірусу wanna cry, який використовував уразливість в системі і лінь користувачів або сіс.дамінов в питанні своєчасного оновлення ОС Windows.

Поки що відомо, що #Petya шифрує MBR завантажувальний сектор диска і замінює його своїм власним, що є новинкою в світі Ransomware, ЄГУ один #Misha, який прибуває трохи пізніше, шифрує вже всі файли на диску. Петя і Міша не нові, але такого глобального поширення не було раніше. Постраждали і досить добре захищені компанії.

У інтренет вже почали з'являтися спроби написання дешифровщиков: github.com/leo-stone/hack-petya (UPD: підходить тільки для старих версій шифрувальників до 26.06.17)

Однак, їх працездатність не підтверджена.

Проблема так само полягає в тому, що для перезапису MBR Петі необхідне перезавантаження комп'ютера, що користувачі в паніці успішно і роблять, «панічний натискання кнопки викл» я б назвав це так.

З діючих рекомендацій станом на 17 годин 27 червня, я б порадив НЕ вимикати комп'ютер, якщо виявили шифрувальника, а переводити його в режим гібернації, з відключенням від інтернету.

Якщо Ви постраждали від програми вимагача, можливо Вам допоможе торішня стаття, цитую.

Кріптовимогатель Petya грошей не отримає: генеруємо ключ розблокування жорсткого диска самі.

3 квітня на Habrahabr з'явилася інформація з виявлення нового кріптовимогателя, який шифрує не окремі файли, а весь розділ диска (тому). Програма отримала назву Petya, а її метою є таблиця розміщення файлів NTFS. Ransomware працює з диском на низькому рівні, з повною втратою доступу до файлів томи для користувача.

У Petya виявлена ​​також спеціальна схема маскування для приховування активності. Спочатку кріптовимогатель запитує у користувача активацію UAC, маскуючись під легальні додатки. Як тільки розширені привілеї отримані, шкідливе ПЗ починає діяти. Як тільки тому зашифрований, кріптовимогатель починає вимагати у користувача гроші, причому на виплату «викупу» дається певний термін. Якщо користувач не виплачує кошти за цей час, сума подвоюється. «Поле чудес», та й годі.

Але кріптовимогатель виявився сам по собі не дуже добре захищений. Користувач Твіттера з ніком leostone розробив генератор ключів для Petya, який дозволяє зняти шифрування дисків. Ключ індивідуальний, і на підбір йде приблизно 7 секунд.

Цей же користувач створив сайт , Який генерує ключі для користувачів, чиї ПК постраждали через Petya. Для отримання ключа необхідно надати інформацію з зараженого диска.

Що потрібно робити?

Заражений носій потрібно вставити в інший ПК і отримати певні дані з певних секторів зараженого жорсткого диска. Ці дані потім потрібно прогнати через Base64 декодер і відправити на сайт для обробки.

Звичайно, це не найпростіший спосіб, і для багатьох користувачів він може бути взагалі нездійсненним. Але вихід є. Інший користувач, Fabian Wosar , Створив спеціальний інструмент, який робить все самостійно. Для його роботи потрібно переставити заражений диск в інший ПК з Windows OS. Як тільки це зроблено, качаємо Petya Sector Extractor і зберігаємо на робочий стіл. Потім виконуємо PetyaExtractor.exe. Цей софт сканує всі диски для пошуку Petya. Як тільки виявляється заражений диск, програма починає другий етап роботи.

Витягнуту інформацію потрібно завантажити на сайт, вказаний вище. Там буде два текстових поля, озаглавлених, як Base64 encoded 512 bytes verification data і Base64 encoded 8 bytes nonce. Для того, щоб отримати ключ, потрібно ввести дані, витягнуті програмою, в ці два поля.

Для цього в програмі натискаємо кнопку Copy Sector, і вставляємо скопійовані в буфер дані в поле сайту Base64 encoded 512 bytes verification data.

Потім в програмі вибираємо кнопку Copy Nonce, і вставляємо скопійовані дані в Base64 encoded 8 bytes nonce на сайті.

Якщо все зроблено правильно, має з'явитися ось таке вікно:

Для отримання пароля розшифровки натискаємо кнопку Submit.

Пароль буде генеруватися близько хвилини.

Записуємо пароль, і підключаємо заражений диск назад.

Як тільки з'явиться вікно вірусу, вводимо свій пароль.

кінець цитати .

Petya починає дешифрування томи, і все починає працювати по завершенню процесу.