Već je prošla sedmica otkako je Petya sletio u Ukrajinu. Općenito, više od pedeset zemalja širom svijeta bilo je pogođeno ovim virusom šifriranja, ali 75% masovnog sajber napada pogodilo je Ukrajinu. Pogođene su vlade i finansijske institucije širom zemlje; Ukrenergo i Kyivenergo su bili među prvima koji su prijavili da su njihovi sistemi hakovani. Za prodor i blokiranje, virus Petya.A koristio je računovodstveni program M.E.Doc. Ovaj softver je veoma popularan među raznim institucijama u Ukrajini, što je postalo fatalno. Kao rezultat toga, nekim kompanijama je trebalo dosta vremena da obnove svoj sistem nakon Petya virusa. Neki su uspjeli nastaviti s radom tek jučer, 6 dana nakon ransomware virusa.
Svrha virusa Petya
Cilj većine ransomware virusa je iznuda. Oni šifruju informacije na žrtvinom računaru i traže novac od nje da bi dobili ključ koji će vratiti pristup šifrovanim podacima. Ali prevaranti ne drže uvijek svoju riječ. Neki ransomware jednostavno nisu dizajnirani za dešifriranje, a Petya virus je jedan od njih.
Ovu tužnu vijest objavili su stručnjaci iz Kaspersky Lab-a. Da biste oporavili podatke nakon virusa ransomwarea, potreban vam je jedinstveni identifikator instalacije virusa. Ali u situaciji s novim virusom, on uopće ne generira identifikator, odnosno kreatori zlonamjernog softvera nisu ni razmatrali opciju vraćanja računala nakon Petya virusa.
Ali u isto vrijeme, žrtve su dobile poruku u kojoj su naveli adresu na koju treba prenijeti 300 dolara u bitkoinima kako bi se sistem vratio. U takvim slučajevima stručnjaci ne preporučuju pomoć hakerima, ali ipak, kreatori Petya uspjeli su zaraditi više od 10.000 dolara u 2 dana nakon masovnog cyber napada. No, stručnjaci su uvjereni da iznuda nije bila njihov glavni cilj, jer je ovaj mehanizam bio loše promišljen, za razliku od drugih mehanizama virusa. Iz ovoga se može pretpostaviti da je cilj Petya virusa bio da destabilizuje rad globalnih preduzeća. Takođe je sasvim moguće da su hakeri jednostavno bili u žurbi i da nisu dobro razmislili o dijelu prikupljanja novca.
Vraćanje računara nakon Petya virusa
Nažalost, kada je Petya potpuno zaražena, podaci na vašem računaru se ne mogu vratiti. Ali ipak, postoji način da otključate računalo nakon Petya virusa ako ransomware nije imao vremena da potpuno šifrira podatke. Objavljeno je na službenoj web stranici Cyber policije 2. jula.
Postoje tri opcije za infekciju Petya virusom
— sve informacije na računaru su potpuno šifrovane, na ekranu se prikazuje prozor sa iznudom novca;
— PC podaci su djelimično šifrirani. Proces šifriranja je prekinut vanjskim faktorima (uključujući napajanje);
— Računar je zaražen, ali proces šifriranja MFT tabela nije pokrenut.
U prvom slučaju sve je loše - sistem se ne može vratiti. Barem za sada.
U posljednje dvije opcije situacija je popravljiva.
Za oporavak podataka koji su djelomično šifrirani, preporučuje se preuzimanje Windows instalacionog diska:
Ako tvrdi disk nije oštećen virusom ransomware-a, OS za pokretanje će vidjeti datoteke i započeti oporavak MBR-a:
Za svaku verziju Windowsa, ovaj proces ima svoje nijanse.
Windows XP
Nakon učitavanja instalacionog diska, na ekranu se pojavljuje prozor "Windows XP Professional Settings" u kojem trebate odabrati "da biste vratili Windows XP pomoću konzole za oporavak, pritisnite R." Nakon što pritisnete R, konzola za oporavak će se početi učitavati.
Ako uređaji imaju instaliran jedan operativni sistem i on se nalazi na disku C, pojavit će se obavijest:
"1: C:\WINDOWS koju kopiju Windowsa trebam koristiti za prijavu?" U skladu s tim, trebate pritisnuti tipke “1” i “Enter”.
Tada će se pojaviti sljedeća poruka: “Unesite administratorsku lozinku.” Unesite lozinku i pritisnite “Enter” (ako nema lozinke pritisnite “Enter”).
Trebalo bi da se pojavi sistemska prompt: C:\WINDOWS>, unesite fixmbr.
Tada će se pojaviti “UPOZORENJE”.
Da biste potvrdili novi MBR unos, pritisnite “y”.
Tada će se pojaviti obavijest "Novi glavni zapis za pokretanje se kreira na fizičkom disku\Device\Harddisk0\Partition0."
I: "Novi glavni zapis za pokretanje je uspješno kreiran."
Windows Vista:
Ovdje je situacija jednostavnija. Učitajte OS, odaberite jezik i raspored tastature. Zatim će se na ekranu pojaviti “Vratite svoj računar u normalu” Pojavit će se meni u kojem morate odabrati “Dalje”. Pojavit će se prozor s parametrima vraćenog sistema u kojem treba kliknuti na komandnu liniju u koju treba unijeti bootrec /FixMbr.
Nakon toga morate pričekati da se proces završi; ako je sve prošlo dobro, pojavit će se poruka potvrde - pritisnite “Enter” i računar će se početi ponovo pokretati. Sve.
Windows 7:
Proces oporavka je sličan Visti. Nakon što odaberete jezik i raspored tastature, odaberite svoj OS, a zatim kliknite "Dalje". U novom prozoru odaberite "Koristite alate za oporavak koji mogu pomoći u rješavanju problema pri pokretanju Windowsa".
Sve ostale radnje su slične Visti.
Windows 8 i 10:
Pokrenite OS, u prozoru koji se pojavi odaberite Restore your computer>proubleshooting, gdje klikom na komandnu liniju unesite bootrec /FixMbr. Kada se proces završi, pritisnite "Enter" i ponovo pokrenite uređaj.
Nakon što je proces oporavka MBR-a uspješno završen (bez obzira na verziju Windowsa), trebate skenirati disk antivirusnim programom.
Ako je proces šifriranja pokrenuo virus, možete koristiti softver za oporavak datoteka, kao što je Rstudio. Nakon što ih kopirate na prenosivi medij, morate ponovo instalirati sistem.
Ako koristite programe za oporavak podataka snimljene u boot sektoru, na primjer Acronis True Image, onda možete biti sigurni da “Petya” nije utjecala na ovaj sektor. To znači da možete vratiti sistem u radno stanje bez ponovne instalacije.
Ako pronađete grešku, označite dio teksta i kliknite Ctrl+Enter.
Petya virus je još jedan ransomware koji blokira korisničke datoteke. Ovaj ransomware može biti veoma opasan i zaraziti bilo koji računar, ali njegova glavna meta su računari kompanije.
O tome se raspravlja na web stranici Bedynet.ru
Ovaj zlonamjerni softver ulazi u računare žrtve i obavlja svoje aktivnosti prikriveno, a računar može biti ugrožen. Petya šifrira datoteke pomoću algoritama RSA-4096 i AES-256, čak se koristi i u vojne svrhe. Takav kod se ne može dešifrirati bez privatnog ključa. Kao i drugi ransomware kao što su Locky virus, CryptoWall virus i CryptoLocker, ovaj privatni ključ je pohranjen na nekom udaljenom serveru, kojem se može pristupiti samo plaćanjem otkupnine kreatoru virusa.
Za razliku od drugih ransomware-a, kada se ovaj virus pokrene, odmah restartuje vaš računar, a kada se ponovo pokrene, na ekranu se pojavljuje poruka: "NE ISKLJUČITE VAŠ PC! AKO ZAUSTAVITE OVAJ PROCES, MOŽETE UNIŠTITI SVE VAŠE PODATKE! " UVERITE SE DA JE VAŠ RAČUNAR POVEZAN NA PUNJAČ!"
Iako ovo može izgledati kao sistemska greška, Petya zapravo tiho izvodi šifriranje u skrivenom načinu rada. Ako korisnik pokuša ponovo pokrenuti sistem ili zaustaviti šifriranje datoteke, na ekranu se pojavljuje trepćući crveni kostur zajedno s tekstom „Pritisnite bilo koji taster“.
Konačno, nakon pritiska na tipku, pojavit će se novi prozor sa napomenom o otkupnini. U ovoj napomeni od žrtve se traži da plati 0,9 bitkoina, što je otprilike 400 dolara. Međutim, ova cijena je samo za jedan računar; stoga, za kompanije koje imaju mnogo računara, iznos može biti u hiljadama. Ono što takođe izdvaja ovaj ransomware je to što vam daje cijelu sedmicu da platite otkupninu, umjesto uobičajenih 12-72 sata koje daju drugi virusi u ovoj kategoriji.
Štaviše, problemi s Petyom tu ne prestaju. Kada ovaj virus uđe u sistem, pokušaće da prepiše Windows boot fajlove, ili takozvani Boot Writer, neophodan za pokretanje operativnog sistema. Nećete moći da uklonite Petya virus sa svog računara osim ako ne vratite postavke Master Boot Recorder (MBR). Čak i ako uspijete ispraviti ove postavke i ukloniti virus sa vašeg sistema, nažalost, vaše datoteke će ostati šifrirane jer uklanjanje virusa ne dešifruje datoteke, već jednostavno uklanja zarazne datoteke. Naravno, uklanjanje virusa je važno ako želite da nastavite da radite sa svojim računarom. Preporučujemo korištenje pouzdanih antivirusnih alata kao što je Reimage kako biste se pobrinuli za uklanjanje Petya.
Kako se ovaj virus širi i kako može ući u računar?
Petya virus se obično širi putem neželjenih e-poruka koje sadrže Dropbox linkove za preuzimanje datoteke pod nazivom “folder-gepackt.exe aplikacija” koja im je priložena. Virus se aktivira kada se određeni fajl preuzme i otvori. Pošto već znate kako se ovaj virus širi, trebali biste imati neke ideje o tome kako zaštititi svoje računalo od napada virusa. Naravno, treba biti oprezan pri otvaranju elektronskih datoteka koje šalju sumnjivi korisnici i nepoznati izvori koji sadrže informacije koje nisu ono što očekujete.
Također biste trebali izbjegavati e-poruke koje spadaju u kategoriju "spam", jer većina provajdera usluga e-pošte automatski filtrira e-poštu i stavlja ih u odgovarajuće direktorije. Međutim, ne biste trebali vjerovati ovim filterima jer potencijalne prijetnje mogu proći kroz njih. Također, uvjerite se da vaš sistem ima pouzdan antivirusni alat. Konačno, uvijek se preporučuje čuvanje sigurnosnih kopija na nekom vanjskom disku u slučaju opasnih situacija.
Kako mogu ukloniti Petya virus sa svog računara?
Ne možete ukloniti Petya sa svog računara jednostavnim postupkom deinstaliranja jer neće raditi s ovim zlonamjernim softverom. To znači da biste trebali automatski ukloniti ovaj virus. Automatsko uklanjanje Petya virusa trebalo bi obaviti pomoću pouzdanog antivirusnog alata koji će otkriti i ukloniti ovaj virus s vašeg računala. Međutim, ako naiđete na neke probleme pri deinstalaciji, na primjer, ovaj virus možda blokira vaš antivirusni program, uvijek možete provjeriti upute za deinstalaciju.
Korak 1: Ponovo pokrenite računar za bezbedni režim sa umrežavanjem
Windows 7/Vista/XP Kliknite na Start → Shutdown → Restart → OK.
Odaberite Safe Mode with Networking sa liste
Windows 10 / Windows 8 U prozoru za prijavu na Windows kliknite na dugme za napajanje. Zatim pritisnite i držite tipku Shift i kliknite Restart.
Sada izaberite Rešavanje problema → Napredne opcije → Podešavanja pokretanja i kliknite na Restart.
Kada vaš računar postane aktivan, u prozoru postavki pokretanja izaberite Omogući bezbedan način rada sa umrežavanjem.
Korak 2: Uklonite Petyu
Prijavite se koristeći zaraženi nalog i pokrenite pretraživač. Preuzmite Reimage ili drugi pouzdani anti-špijunski program. Ažurirajte ga prije skeniranja i uklonite zlonamjerne datoteke povezane s ransomwareom i dovršite uklanjanje Petya.
Ako ransomware blokira Safe Mode s umrežavanjem, isprobajte sljedeću metodu.
Korak 1: Ponovo pokrenite računar za Safe Mode sa komandnom linijom
Windows 7/Vista/XP
Kliknite na Start → Shutdown → Restart → OK.
Kada je vaš računar aktivan, pritisnite F8 nekoliko puta dok se ne pojavi prozor Advanced Boot Options.
Sa liste izaberite Command Prompt
Sada upišite rstrui.exe i ponovo pritisnite Enter.
Kada se pojavi novi prozor, kliknite na Next i odaberite svoju tačku vraćanja prije Petya infekcije. Nakon toga kliknite na Next. U prozoru "System Restore" koji se pojavi odaberite "Dalje"
Odaberite svoju tačku vraćanja i kliknite "Dalje"
Sada kliknite Da da započnete oporavak sistema. Kliknite na "Da" i započnite vraćanje sistema u prethodno stanje Nakon što vratite svoj sistem na prethodni datum, pokrenite i skenirajte računar kako biste bili sigurni da je uklanjanje bilo uspješno.
"Ne morate platiti novac." Navela je InAU.
Gotovo svaki korisnik ima antivirusne programe na svom računalu, ali ponekad se pojavi trojanac ili virus koji može zaobići najbolju zaštitu i zaraziti vaš uređaj, a još gore, šifrirati vaše podatke. Ovog puta, trojanac za šifrovanje „Petya” ili, kako ga još zovu, „Petya”, postao je takav virus. Brzina širenja ove prijetnje je vrlo impresivna: za nekoliko dana uspio je “posjetiti” Rusiju, Ukrajinu, Izrael, Australiju, SAD, sve veće evropske zemlje i još mnogo toga. Uglavnom su pogođeni korporativni korisnici (aerodromi, elektrane, turistička industrija), ali su pogođeni i obični ljudi. Po svojim razmjerima i metodama utjecaja izuzetno je sličan onom nedavno senzacionalnom.
Svakako morate zaštititi svoj računar kako ne biste postali žrtva novog Petya ransomware trojanca. U ovom članku ću vam reći kakva je to vrsta Petya virusa, kako se širi i kako se zaštititi od ove prijetnje. Osim toga, dotaknut ćemo se pitanja uklanjanja trojanaca i dešifriranja informacija.
Šta je Petya virus?
Prvo, treba da shvatimo šta je Petya. Petya virus je zlonamjerni softver koji je trojanac tipa ransomware (ransomware). Ovi virusi su dizajnirani da ucjenjuju vlasnike zaraženih uređaja kako bi od njih dobili otkupninu za šifrirane podatke. Za razliku od Wanna Cry, Petya se ne zamara sa šifriranjem pojedinačnih datoteka - gotovo trenutno vam "oduzima" cijeli tvrdi disk.
Tačan naziv novog virusa je Petya.A. Pored toga, Kaspersky ga naziva NotPetya/ExPetr.
Opis Petya virusa
Jednom na vašem Windows računaru, Petya šifrira gotovo trenutno MFT(Master File Table - glavna tabela datoteka). Za šta je odgovoran ovaj sto?
Zamislite da je vaš hard disk najveća biblioteka u cijelom svemiru. Sadrži milijarde knjiga. Kako onda pronaći pravu knjigu? Samo preko bibliotečkog kataloga. To je ovaj katalog koji Petya uništava. Na taj način gubite svaku mogućnost da pronađete bilo koju „datoteku“ na vašem računaru. Da budemo još precizniji, nakon Petitovog "posla", hard disk vašeg računara će ličiti na biblioteku nakon tornada, sa komadićima knjiga koje lete posvuda.
Dakle, za razliku od Wanna Cry, koji sam spomenuo na početku članka, Petya.A ne šifrira pojedinačne datoteke, trošeći na to značajnu količinu vremena - jednostavno oduzima svaku priliku da ih pronađete.
Nakon svih svojih manipulacija, on od korisnika traži otkupninu - 300 dolara, koja mora biti prebačena na bitcoin račun.
Ko je stvorio Petya virus?
Prilikom kreiranja Petya virusa korištena je eksploatacija („rupa“) u Windows OS-u pod nazivom „EternalBlue“. Microsoft je prije nekoliko mjeseci objavio zakrpu koja "zatvara" ovu rupu, međutim, ne koriste svi licenciranu kopiju Windowsa i instaliraju sva ažuriranja sistema, zar ne?)
Tvorac „Petita“ je uspeo da mudro iskoristi nepažnju korporativnih i privatnih korisnika i na tome zaradi. Njegov identitet je još uvijek nepoznat (i malo je vjerovatno da će biti poznat)
Kako se virus Petya širi?
Petya virus se najčešće širi pod krinkom priloga e-porukama i arhivama koje sadrže piratski zaraženi softver. Prilog može sadržavati apsolutno bilo koju datoteku, uključujući fotografiju ili mp3 (kako se čini na prvi pogled). Nakon što pokrenete datoteku, vaš računar će se ponovo pokrenuti i virus će simulirati provjeru diska za CHKDSK greške i u ovom trenutku će modificirati zapis za pokretanje (MBR) vašeg računala. Nakon toga, vidjet ćete crvenu lobanju na ekranu vašeg računara. Klikom na bilo koje dugme možete pristupiti tekstu u kojem će se od vas tražiti da platite dešifrovanje vaših fajlova i prebacite potreban iznos u bitcoin novčanik.
Kako se zaštititi od Petya virusa?
- Najvažnije i najosnovnije je da postavite za pravilo instaliranje ažuriranja za vaš operativni sistem! Ovo je nevjerovatno važno. Uradite to odmah, nemojte odlagati.
- Obratite posebnu pažnju na sve priloge koji su priloženi pismima, čak i ako su pisma od ljudi koje poznajete. Za vrijeme epidemije bolje je koristiti alternativne izvore prijenosa podataka.
- Aktivirajte opciju "Prikaži ekstenzije datoteka" u postavkama OS - na ovaj način uvijek možete vidjeti pravu ekstenziju datoteke.
- Omogućite "Kontrolu korisničkog naloga" u postavkama Windowsa.
- Morate instalirati jedan od njih kako biste izbjegli infekciju. Počnite instaliranjem ažuriranja za OS, a zatim instalirajte antivirus - i bit ćete mnogo sigurniji nego prije.
- Obavezno napravite "sigurnosne kopije" - sačuvajte sve važne podatke na eksternom čvrstom disku ili u oblaku. Zatim, ako Petya virus prodre u vaš PC i šifrira sve podatke, bit će vam prilično jednostavno formatirati tvrdi disk i ponovo instalirati OS.
- Uvijek provjerite da li je vaša antivirusna baza podataka ažurirana. Svi dobri antivirusi prate prijetnje i brzo reagiraju na njih ažuriranjem potpisa prijetnji.
- Instalirajte besplatni Kaspersky Anti-Ransomware uslužni program. Zaštitit će vas od šifriranja virusa. Instaliranje ovog softvera ne oslobađa vas potrebe za instaliranjem antivirusnog programa.
Kako ukloniti Petya virus?
Kako ukloniti Petya.A virus sa tvrdog diska? Ovo je izuzetno zanimljivo pitanje. Činjenica je da ako je virus već blokirao vaše podatke, onda zapravo nećete imati ništa za brisanje. Ako ne planirate da plaćate ransomware (što ne biste trebali činiti) i nećete pokušati oporaviti podatke na disku u budućnosti, možete jednostavno formatirati disk i ponovo instalirati OS. Nakon toga virusu neće ostati ni traga.
Ako sumnjate da na vašem disku postoji zaražena datoteka, skenirajte disk nekom od njih ili instalirajte Kaspersky anti-virus i izvršite potpuno skeniranje sistema. Programer je uvjerio da njegova baza potpisa već sadrži informacije o ovom virusu.
Petya.A decryptor
Petya.A šifrira vaše podatke vrlo jakim algoritmom. Trenutno ne postoji rješenje za dešifriranje blokiranih informacija. Štaviše, ne biste trebali pokušavati pristupiti podacima kod kuće.
Bez sumnje, svi bismo sanjali da dobijemo čudesni dekriptor Petya.A, ali takvog rješenja jednostavno nema. Virus je svijet pogodio prije nekoliko mjeseci, ali lijek za dešifriranje podataka koje je šifrirao nikada nije pronađen.
Stoga, ako još niste postali žrtva Petya virusa, poslušajte savjete koje sam dao na početku članka. Ako ste i dalje izgubili kontrolu nad svojim podacima, tada imate nekoliko opcija.
- Plati novac. Nema smisla ovo raditi! Stručnjaci su već otkrili da kreator virusa ne vraća podatke, niti ih ne može vratiti, s obzirom na tehniku šifriranja.
- Uklonite tvrdi disk iz uređaja, pažljivo ga stavite u ormarić i pritisnite dešifriranje da se pojavi. Inače, Kaspersky Lab stalno radi u tom pravcu. Dostupni dekriptori dostupni su na web stranici No Ransom.
- Formatiranje diska i instalacija operativnog sistema. Loša strana je što će svi podaci biti izgubljeni.
Petya.Virus u Rusiji
U Rusiji i Ukrajini, preko 80 kompanija je napadnuto i zaraženo u vrijeme pisanja ovog teksta, uključujući velike poput Bašnjefta i Rosnjefta. Infekcija infrastrukture tako velikih kompanija ukazuje na ozbiljnost virusa Petya.A. Nema sumnje da će se ransomware trojanac nastaviti širiti po cijeloj Rusiji, stoga trebate voditi računa o sigurnosti svojih podataka i slijediti savjete date u članku.
Petya.A i Android, iOS, Mac, Linux
Mnogi korisnici su zabrinuti da li Petya virus može zaraziti njihove Android i iOS uređaje. Požuriću da ih razuverim - ne, ne može. Namijenjen je samo korisnicima Windows OS-a. Isto važi i za ljubitelje Linuxa i Mac-a - možete mirno spavati, ništa vam ne prijeti.
Zaključak
Dakle, danas smo detaljno razgovarali o novom Petya.A virusu. Shvatili smo šta je ovaj trojanac i kako radi, naučili smo kako se zaštititi od infekcije i ukloniti virus, te gdje nabaviti Petya dekriptor. Nadam se da su vam članak i moji savjeti bili korisni.
Ako je vaš računar zaražen, ništa mu neće pomoći. Tačnije, datoteke na tvrdom disku koje se ne mogu oporaviti. Ali u stvarnosti, sajber napad se može izbjeći, a oživljavanje kompjutera je teško, ali moguće.
Prvo, razgovarajmo o mjerama koje će izbjeći infekciju Petya A virusom. Kao što smo već pisali, #Petya je slična WCry-u - ransomware virusu koji šifrira podatke i traži otkupninu od 300 dolara da ih vrati. Odmah da napomenemo – NEMOJTE plaćati!
Kako izbjeći Petya A virus
Blokiranje na nivou krajnje tačke za pokretanje *.exe, *.js*, *.vbs datoteka iz %AppData%;
Na nivou mail gatewaya – blokiranje poruka sa aktivnim sadržajem (*.vbs, *.js, *.jse, *.exe);
Na proxy nivou – blokiranje učitavanja arhiva koje sadrže aktivni sadržaj (*.vbs, *.js, *.jse);
Blokiranje SMB i WMI portova. Prvenstveno 135, 445;
Nakon infekcije, NEMOJTE PONOVNO POKRETATI VAŠ RAČUNAR! - ovo je zaista važno.
Ne otvarajte sumnjive mejlove, a posebno priloge u njima;
Prisilno ažurirajte svoju antivirusnu bazu podataka i operativne sisteme.
Kako oporaviti datoteke nakon ransomware virusa
Treba napomenuti da je još 2016. godine korisnik registrovan na Twitteru pod nadimkom Leostone uspio da provali šifriranje zlonamjernog virusa, kako prenosi resurs Bleepingcomputer.com.
Konkretno, uspio je stvoriti genetski algoritam koji može generirati lozinku neophodnu za dešifriranje Petya kompjutera šifriranog virusom.
Genetski algoritam je algoritam pretraživanja koji se koristi za rješavanje problema optimizacije i modeliranja slučajnim odabirom, kombinovanjem i variranjem željenih parametara koristeći mehanizme slične prirodnoj selekciji u prirodi.
Leostone je svoje rezultate objavio na web stranici koja sadrži sve potrebne informacije za generiranje kodova za dešifriranje. Dakle, žrtva napada može koristiti navedenu lokaciju za generiranje ključa za dešifriranje.
Dakle, da biste koristili Leostone alat za dešifrovanje, moraćete da uklonite čvrsti disk sa računara i povežete ga sa drugim računarom koji radi pod operativnim sistemom Windows. Podaci za preuzimanje su 512 bajtova, počevši od sektora 55 (0x37h). Ovi podaci se zatim moraju konvertovati u Base64 kodiranje i koristiti na web stranici https://petya-pay-no-ransom.herokuapp.com/ za generiranje ključa.
Za mnoge korisnike, preuzimanje određenih informacija sa zahvaćenih tvrdih diskova predstavlja problem. Na sreću, u pomoć je priskočio stručnjak iz Emsisofta Fabian Vosar, koji je kreirao alat Petya Sector Extractor za izdvajanje potrebnih informacija sa diska.
Petya Sector Extractor
Nakon što korisnik poveže šifrirani disk sa zaraženog računala na drugi PC, mora pokrenuti Petya Sector Extractor alat Fabric Wosar Fabric Wosar, koji će otkriti područja na koja je enkriptor zahvaćen. Nakon što Petya Sector Extractor završi svoj posao, korisnik mora kliknuti na prvo dugme Copy Sector i otići na stranice Lea Stonea (https://petya-pay-no-ransom.herokuapp.com/ ili https:// petya-pay -no-ransom-mirror1.herokuapp.com /), zalijepite kopirane podatke preko Ctrl+V u polje za unos teksta (podaci za verifikaciju od 512 bajtova kodiranih u Base64). Zatim se vratite na uslužni program Fabiana Vosara, kliknite na drugo dugme Copy Sector i ponovo kopirajte podatke na Stoneovu web stranicu, zalijepite ih u drugo polje za unos (Base64 kodirano 8 bajtova jednokratno).
Foto: bleepingcomputer.com
Nakon što popuni oba polja, korisnik može kliknuti na Pošalji i pokrenuti algoritam.
Stranica mora dati lozinku za dešifriranje podataka, nakon čega trebate vratiti hard disk na pogođeni računar, pokrenuti sistem i unijeti primljeni kod u prozor ransomware-a. Kao rezultat, informacije će biti dešifrovane.
Foto: bleepingcomputer.com
Kada se hard disk dešifruje, ransomware će od vas zatražiti da ponovo pokrenete računar i on bi se sada trebao normalno pokrenuti.
Za one kojima je teško da uklone čvrsti disk sa jednog računara i spoje ga na drugi, možete kupiti USB priključnu stanicu za čvrsti disk.
Prema informacijama bykvu.com i BAKOTEK
Program za izvještavanje i upravljanje dokumentima M.E.Doc. Stručnjaci su kasnije otkrili da je cilj napadača bio da potpuno unište podatke, ali, kao i kod djelomične infekcije sistema, postoji šansa za vraćanje datoteka.
Kako Petya radi?
Ako virus dobije administratorska prava, istraživači identificiraju tri glavna scenarija njegovog utjecaja:
Računar je zaražen i šifriran, sistem je potpuno kompromitovan. Za oporavak podataka potreban je privatni ključ, a na ekranu se pojavljuje poruka u kojoj se traži da platite otkupninu (iako to neće pomoći).
- Računar je zaražen i djelimično šifriran - sistem je počeo da šifrira datoteke, ali je korisnik zaustavio ovaj proces isključivanjem struje ili na neki drugi način.
- Računar je zaražen, ali proces šifriranja MFT tablice još nije započeo.
U prvom slučaju još ne postoji efikasan način dešifriranja podataka. Sada za njim tragaju i stručnjaci iz sajber policije i IT kompanija tvorac originalnog Petya virusa(omogućava vam da vratite sistem pomoću ključa). Ako je glavna tabela MFT datoteka djelomično ili uopće nije pogođena, još uvijek postoji šansa za pristup datotekama.
Sajber policija je navela dvije glavne faze modificiranog Petya virusa:
Prvo: dobijanje privilegovanih administratorskih prava (onemogućena su kada se koristi Active Directory). Prvo, virus sprema originalni sektor za pokretanje za MBR operativni sistem u šifrovanom obliku operacije bita XOR (xor 0x7), a zatim na njegovo mjesto upisuje vlastiti pokretački program. Ostatak trojanskog koda je upisan u prve sektore diska. U ovom trenutku kreira se tekstualna datoteka o šifriranju, ali podaci još nisu šifrirani.
Druga faza šifriranja podataka počinje nakon ponovnog pokretanja sistema. Petya sada pristupa vlastitom konfiguracijskom sektoru, koji sadrži oznaku o nešifriranim podacima. Nakon toga počinje proces šifriranja, a na ekranu se prikazuje kako radi program Check Disk. Ako je već pokrenut, trebali biste isključiti napajanje i pokušati koristiti predloženu metodu oporavka podataka.
Šta oni nude?
Prvo morate pokrenuti sistem sa Windows instalacionog diska. Ako je vidljiva tabela sa particijama tvrdog diska (ili SSD), možete započeti proceduru za vraćanje MBR sektora za pokretanje. Zatim biste trebali provjeriti disk za zaražene datoteke. Danas Petya prepoznaju svi popularni antivirusi.
Ako je proces šifriranja pokrenut, ali je korisnik uspio da ga prekine, nakon učitavanja operativnog sistema morate koristiti softver za oporavak šifriranih datoteka (R-Studio i drugi). Podaci će se morati sačuvati na vanjski medij i ponovo instalirati sistem.
Kako vratiti bootloader?
Za Windows XP OS:
Nakon učitavanja Windows XP instalacionog diska u RAM računara, pojaviće se dijaloški okvir „Instaliraj Windows XP Professional“ sa izbornim menijem u kojem treba da izaberete „da biste vratili Windows XP koristeći Konzolu za oporavak, pritisnite R“. Pritisnite tipku "R".
Učitat će se konzola za oporavak.
Ako računar ima instaliran jedan OS i on je (podrazumevano) instaliran na C drajv, pojaviće se sledeća poruka:
"1:C:\WINDOWS Na koju kopiju Windowsa da se prijavim?"
Unesite broj "1", pritisnite taster "Enter".
Pojavit će se poruka: "Unesite svoju administratorsku lozinku." Unesite svoju lozinku, pritisnite "Enter" (ako nema lozinke, samo pritisnite "Enter").
Trebalo bi da budete upitani: C:\WINDOWS>, unesite fixmbr
Tada će se pojaviti poruka “WARNING”.
“Da li potvrđujete unos novog MBR-a?”, pritisnite tipku “Y”.
Pojavit će se poruka: "Novi primarni sektor za pokretanje se kreira na fizičkom disku \Device\Harddisk0\Partition0."
"Nova primarna particija za pokretanje je uspješno kreirana."
Za Windows Vista:
Preuzmite Windows Vista. Odaberite svoj jezik i raspored tastature. Na ekranu dobrodošlice kliknite na "Vrati svoj računar". Windows Vista će urediti meni računara.
Odaberite svoj operativni sistem i kliknite na Next. Kada se pojavi prozor System Recovery Options, kliknite na Command Prompt. Kada se pojavi komandna linija, unesite ovu naredbu:
bootrec/FixMbr
Sačekajte da se operacija završi. Ako je sve prošlo kako treba, na ekranu će se pojaviti poruka za potvrdu.
Za Windows 7:
Pokrenite Windows 7. Odaberite jezik, raspored tastature i kliknite na Next.
Odaberite svoj operativni sistem i kliknite na Next. Prilikom odabira operativnog sistema, trebali biste provjeriti "Koristi alate za oporavak koji mogu pomoći u rješavanju problema pri pokretanju Windows-a."
Na ekranu Opcije oporavka sistema kliknite na dugme Komandna linija. Kada se komandna linija uspješno pokrene, unesite naredbu:
bootrec/fixmbr
Pritisnite taster Enter i ponovo pokrenite računar.
Za Windows 8:
Pokrenite Windows 8. Na ekranu dobrodošlice kliknite na dugme Popravi svoj računar.
Odaberite Rješavanje problema. Odaberite komandnu liniju, kada se učita, unesite:
bootrec/FixMbr
Sačekajte da se operacija završi. Ako je sve prošlo kako treba, na ekranu će se pojaviti poruka za potvrdu.
Pritisnite taster Enter i ponovo pokrenite računar.
Za Windows 10:
Pokrenite Windows 10. Na ekranu dobrodošlice kliknite na dugme „Popravi svoj računar“, izaberite „Rešavanje problema“.
Odaberite Command Prompt. Kada se komandna linija učita, unesite naredbu:
bootrec/FixMbr
Sačekajte da se operacija završi. Ako je sve prošlo kako treba, na ekranu će se pojaviti poruka za potvrdu.
Pritisnite taster Enter i ponovo pokrenite računar.
