È già passata una settimana da quando Petya si è asciugato in Ucraina. In generale, più di cinquanta paesi in tutto il mondo hanno sofferto di questo virus di crittografia, ma il 75% degli attacchi informatici di massa ha colpito l'Ucraina. Le istituzioni statali e finanziarie in tutto il paese sono state colpite, con Ukrenergo e Kievenergo tra le prime a riferire che i loro sistemi erano stati violati. Il virus Petya.A ha utilizzato il programma di contabilità M.E.Doc per penetrarlo e bloccarlo. Questo software è molto popolare tra varie istituzioni in Ucraina, che è diventato fatale. Di conseguenza, per alcune aziende è stato necessario molto tempo per ripristinare il sistema dopo il virus Petya. Alcuni sono riusciti a riprendere il lavoro solo ieri, 6 giorni dopo il virus ransomware.
L'obiettivo del virus Petya
Lo scopo della maggior parte dei virus ransomware è l'estorsione. Crittografano le informazioni sul PC della vittima e chiedono denaro alla vittima per ottenere una chiave che ripristinerà l'accesso ai dati crittografati. Ma i truffatori non sempre mantengono la parola data. Alcuni ransomware semplicemente non sono progettati per essere decifrati e il virus Petya è uno di questi.
Questa triste notizia è stata riportata dagli specialisti di Kaspersky Lab. Per recuperare i dati dopo un virus ransomware, è necessario un identificatore di installazione del virus univoco. Ma nella situazione con il nuovo virus, non genera affatto un identificatore, ovvero i creatori del malware non hanno nemmeno considerato l'opzione di ripristinare il PC dopo il virus Petya.
Ma allo stesso tempo, le vittime hanno ricevuto un messaggio in cui veniva chiamato l'indirizzo dove trasferire 300 dollari in bitcoin per poter ripristinare il sistema. In questi casi, gli esperti non consigliano di assistere gli hacker, ma comunque i creatori di "Petya" sono riusciti a guadagnare più di $ 10.000 in 2 giorni dopo un massiccio attacco informatico. Ma gli esperti sono sicuri che l'estorsione non fosse il loro compito principale, poiché questo meccanismo era mal congegnato, a differenza di altri meccanismi del virus. Da ciò si può presumere che lo scopo del virus Petya fosse quello di destabilizzare il lavoro delle imprese globali. È anche del tutto possibile che gli hacker siano stati solo frettolosi e mal pensati sulla parte di ottenere i soldi.
Ripristino del PC dopo il virus Petya
Sfortunatamente, una volta che Petya è completamente infetto, i dati sul computer non possono essere recuperati. Tuttavia, esiste un modo per sbloccare il computer dopo il virus Petya se il crittografo non ha avuto il tempo di crittografare completamente i dati. È stato reso pubblico sul sito ufficiale di Cyberpolice il 2 luglio.
Esistono tre modi per essere infettati dal virus Petya
- tutte le informazioni sul PC sono completamente crittografate, sullo schermo viene visualizzata una finestra con l'estorsione di denaro;
- I dati del PC sono parzialmente crittografati. Il processo di crittografia è stato interrotto da fattori esterni (compreso l'alimentazione);
- Il PC è infetto, ma il processo di crittografia della tabella MFT non è stato avviato.
Nel primo caso, tutto va male - il sistema non è recuperabile. Almeno per ora.
Nelle ultime due opzioni, la situazione è risolvibile.
Per recuperare i dati che sono stati parzialmente crittografati, si consiglia di caricare il disco di installazione di Windows:
Se il disco rigido non è stato danneggiato dal virus ransomware, il sistema operativo avviabile vedrà i file e avvierà il ripristino dell'MBR:
Per ogni versione di Windows, questo processo ha le sue sfumature.
Windows XP
Dopo aver caricato il disco di installazione, sullo schermo viene visualizzata la finestra "Impostazioni di Windows XP Professional", lì è necessario selezionare "per ripristinare Windows XP utilizzando la console di ripristino, premere R". Dopo aver premuto R, la console di ripristino inizierà a caricarsi.
Se i dispositivi hanno un sistema operativo installato e si trova sull'unità C, verrà visualizzata una notifica:
"1: C:\WINDOWS quale copia di Windows devo usare per accedere?" Di conseguenza, è necessario premere il tasto "1" e "Enter".
Quindi apparirà: "Inserisci password amministratore". Immettere la password e premere "Invio" (se non è presente la password, premere "Invio").
Dovrebbe apparire il prompt di sistema: C:\WINDOWS> , digitare fixmbr.
Quindi apparirà "AVVISO".
Per confermare la nuova voce MBR, è necessario premere "y".
Quindi la notifica "Un nuovo record di avvio principale è in corso sul disco fisico \Device\Harddisk0\Partition0".
E: "Il nuovo record di avvio principale è stato creato correttamente."
Windows Vista:
Qui la situazione è più semplice. Avvia il sistema operativo, seleziona la lingua e il layout della tastiera. Quindi sullo schermo apparirà "Ripara il tuo computer" Apparirà un menu in cui dovrai selezionare "Avanti". Apparirà una finestra con i parametri del sistema ripristinato, in cui è necessario fare clic sulla riga di comando, in cui è necessario inserire bootrec /FixMbr.
Successivamente, è necessario attendere il completamento del processo, se tutto è andato bene, verrà visualizzato un messaggio di conferma: premere "Invio" e il computer inizierà a riavviarsi. Tutti.
Windows 7:
Il processo di ripristino è simile a Vista. Dopo aver selezionato la lingua e il layout della tastiera, selezionare il sistema operativo, quindi fare clic su "Avanti". Nella nuova finestra, seleziona la voce "Utilizza strumenti di ripristino che possono aiutare a risolvere i problemi di avvio di Windows".
Tutte le altre azioni sono simili a Vista.
Windows 8 e 10:
Avvia il sistema operativo, nella finestra che appare, seleziona Ripara il tuo computer> risoluzione dei problemi, dove facendo clic sulla riga di comando, inserisci bootrec /FixMbr. Una volta completato il processo, premi "Invio" e riavvia il dispositivo.
Dopo che il processo di ripristino dell'MBR è stato completato correttamente (indipendentemente dalla versione di Windows), è necessario eseguire la scansione del disco con un antivirus.
Nel caso in cui il processo di crittografia sia stato avviato da un virus, è possibile utilizzare un software di recupero file come Rstudio. Dopo averli copiati su un supporto rimovibile, è necessario reinstallare il sistema.
Nel caso in cui utilizzi programmi di recupero dati scritti nel settore di avvio, come Acronis True Image, puoi essere certo che "Petya" non ha influito su questo settore. E questo significa che puoi riportare il sistema a uno stato di lavoro, senza reinstallare.
Se trovi un errore, evidenzia un pezzo di testo e fai clic Ctrl+Invio.
Il virus Petya è un altro ransomware che blocca i file dell'utente. Questo ransomware può essere molto pericoloso e infettare qualsiasi PC, ma il suo obiettivo principale sono i computer aziendali.
Questo è affermato sul sito web Bedynet.ru
Questo programma dannoso entra nei computer della vittima e svolge le sue attività in modo nascosto e il computer potrebbe essere a rischio. Petya crittografa i file con algoritmi RSA-4096 e AES-256, viene utilizzato anche per scopi militari. Un tale codice non può essere decifrato senza una chiave privata. Come altri ransomware come Locky virus, CryptoWall virus e CryptoLocker, questa chiave privata è archiviata su un server remoto a cui è possibile accedere solo pagando un riscatto al creatore del virus.
A differenza di altri ransomware, una volta lanciato questo virus, riavvia immediatamente il computer e, al riavvio, sullo schermo viene visualizzato un messaggio: "NON SPEGNERE IL PC! SE FERMI QUESTO PROCESSO, PUOI DISTRUGGERE TUTTI I TUOI DATI! ASSICURARSI CHE IL TUO COMPUTER SIA COLLEGATO ALLA RICARICA!".
Anche se questo può sembrare un errore di sistema, infatti, Petya sta attualmente eseguendo silenziosamente la crittografia in modalità invisibile. Se l'utente tenta di riavviare il sistema o di interrompere la crittografia dei file, sullo schermo viene visualizzato uno scheletro rosso lampeggiante insieme al testo "Premere un tasto".
Infine, dopo aver premuto il tasto, apparirà una nuova finestra con una richiesta di riscatto. In questa nota, alla vittima viene chiesto di pagare 0,9 bitcoin, che equivalgono a circa $ 400. Tuttavia, questo prezzo è per un solo computer; pertanto, per le aziende che hanno molti computer, l'importo può essere di migliaia. Ciò che rende diverso questo ransomware è che ti dà un'intera settimana per pagare il riscatto invece delle solite 12-72 ore date da altri virus di questa categoria.
Inoltre, i problemi con Petya non finiscono qui. Una volta che questo virus entra nel sistema, proverà a sovrascrivere i file di avvio di Windows, o il cosiddetto boot master writer, necessario per avviare il sistema operativo. Non sarai in grado di rimuovere il virus Petya dal tuo computer a meno che non ripristini le impostazioni del masterizzatore di avvio (MBR). Anche se riesci a correggere queste impostazioni e rimuovere il virus dal tuo sistema, sfortunatamente i tuoi file rimarranno crittografati perché la rimozione del virus non prevede la decrittazione dei file, ma semplicemente elimina i file infetti. Naturalmente, la rimozione dei virus è essenziale se si desidera continuare a lavorare con il computer. Ti consigliamo di utilizzare strumenti antivirus affidabili come Reimage per occuparti della rimozione di Petya.
Come si diffonde questo virus e come può entrare in un computer?
Il virus Petya viene solitamente diffuso tramite e-mail di spam a cui sono allegati i collegamenti per il download di Dropbox per un file chiamato "app folder-gepackt.exe". Il virus viene attivato quando viene scaricato e aperto un file specifico. Dal momento che sai già come si diffonde questo virus, dovresti avere idee su come proteggere il tuo computer da un attacco di virus. Ovviamente, devi stare attento all'apertura di file elettronici inviati da utenti sospetti e fonti sconosciute, presentando informazioni non correlate a ciò che ti aspetti.
Dovresti anche evitare le e-mail che rientrano nella categoria "spam", poiché la maggior parte dei fornitori di servizi di posta elettronica filtra automaticamente le e-mail e le inserisce nelle directory appropriate. Tuttavia, non dovresti fidarti di questi filtri perché potenziali minacce possono sfuggirvi. Inoltre, assicurati che il tuo sistema sia dotato di uno strumento antivirus affidabile. Infine, si consiglia sempre di conservare i backup su qualche disco esterno, in caso di situazioni pericolose.
Come posso rimuovere Petya virus dal mio PC?
Non puoi rimuovere Petya dal tuo computer usando la semplice procedura di rimozione perché non funzionerà con questo malware. Ciò significa che dovresti rimuovere questo virus automaticamente. La rimozione automatica del virus Petya deve essere eseguita utilizzando uno strumento antivirus affidabile che rileverà e rimuoverà questo virus dal tuo computer. Tuttavia, se stai riscontrando alcuni problemi di disinstallazione, ad esempio questo virus potrebbe bloccare il tuo programma antivirus, puoi sempre controllare le istruzioni di disinstallazione.
Passaggio 1: riavvia il computer per la modalità provvisoria con rete
Windows 7 / Vista / XP Fare clic su Start → Spegnimento → Riavvia → OK.
Selezionare Modalità provvisoria con rete dall'elenco
Windows 10 / Windows 8Nella finestra di accesso di Windows, premere il pulsante di accensione. Quindi tieni premuto il tasto Maiusc e fai clic su Riavvia..
Ora seleziona Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio e fai clic su Riavvia.
Quando il computer diventa attivo, nella finestra Impostazioni di avvio, seleziona Abilita modalità provvisoria con rete.
Passaggio 2: rimuovere Petya
Accedi utilizzando il tuo account infetto e avvia il browser. Scarica Reimage o un altro programma anti-spyware affidabile. Aggiornalo prima di scansionare e rimuovere i file dannosi relativi al ransomware e completare la rimozione di Petya.
Se il ransomware sta bloccando la modalità provvisoria con rete, prova il metodo successivo.
Passaggio 1: riavvia il computer in modalità provvisoria con il prompt dei comandi
Windows 7/Vista/XP
Fare clic su Start → Spegnimento → Riavvia → OK.
Quando il tuo computer diventa attivo, premi F8 più volte finché non viene visualizzata la finestra Opzioni di avvio avanzate.
Seleziona Prompt dei comandi dall'elenco
Ora digita rstrui.exe e premi di nuovo Invio.
Quando viene visualizzata una nuova finestra, fare clic su Avanti e selezionare il punto di ripristino prima dell'infezione da Petya. Successivamente, fai clic su Avanti. Nella finestra "Ripristino configurazione di sistema" che appare, seleziona "Avanti"
Seleziona il punto di ripristino e fai clic su "Avanti"
Ora fai clic su Sì per avviare il ripristino del sistema. Fare clic su "Sì" e avviare il ripristino del sistema Dopo aver ripristinato il sistema a una data precedente, avviare ed eseguire la scansione del computer per assicurarsi che la rimozione sia avvenuta correttamente.
"Non puoi pagare soldi." In InAU hanno detto.
I programmi antivirus sono installati sul computer di quasi tutti gli utenti, ma a volte appare un trojan o un virus che può aggirare la migliore protezione e infettare il tuo dispositivo e, peggio ancora, crittografare i tuoi dati. Questa volta, il codificatore trojan "Petya" o, come viene anche chiamato, "Petya" è diventato un tale virus. Il tasso di diffusione di questa minaccia è davvero impressionante: in un paio di giorni ha potuto “visitare” Russia, Ucraina, Israele, Australia, USA, tutti i principali paesi europei e non solo. Ha colpito soprattutto gli utenti aziendali (aeroporti, centrali elettriche, industria del turismo), ma ha sofferto anche la gente comune. In termini di portata e modalità di influenza, è estremamente simile a quello clamoroso di recente.
Devi assolutamente proteggere il tuo computer in modo da non cadere vittima del nuovo ransomware Petya. In questo articolo, ti dirò cos'è il virus Petya, come si diffonde e come proteggerti da questa minaccia. Inoltre, tratteremo le questioni relative alla rimozione del Trojan e alla decrittografia delle informazioni.
Cos'è il virus Petya?
Per cominciare, dovremmo capire cos'è Petya. Petya virus è un software dannoso che è un trojan di tipo ransomware (ransomware). Questi virus sono progettati per ricattare i proprietari di dispositivi infetti al fine di ottenere da loro un riscatto per i dati crittografati. A differenza di Wanna Cry, Petya non si preoccupa di crittografare i singoli file: ti "porta via" quasi istantaneamente l'intero disco rigido.
Il nome corretto per il nuovo virus è Petya.A. Inoltre, Kaspersky lo chiama NotPetya/ExPetr.
Descrizione del virus Petya
Una volta sul tuo computer Windows, Petya crittografa il file MFT(Tabella file master - la tabella principale dei file). A cosa serve questo tavolo?
Immagina che il tuo disco rigido sia la più grande libreria dell'intero universo. Contiene miliardi di libri. Allora come trovare il libro giusto? Solo con l'aiuto del catalogo della biblioteca. È questa directory che Petya distrugge. Pertanto, perdi ogni possibilità di trovare qualsiasi "file" sul tuo PC. Per essere ancora più precisi, dopo il "lavoro" di Petya, il disco rigido del tuo computer assomiglierà a una biblioteca dopo un tornado, con frammenti di libri che volano in giro.
Pertanto, a differenza di Wanna Cry, di cui ho parlato all'inizio dell'articolo, Petya.A non crittografa i singoli file, spendendo una quantità impressionante di tempo su questo - ti toglie semplicemente ogni opportunità di trovarli.
Dopo tutte le sue manipolazioni, chiede un riscatto agli utenti: 300 dollari USA, che devono essere trasferiti su un account bitcoin.
Chi ha creato il virus Petya?
Durante la creazione del virus Petya, è stato utilizzato un exploit ("buco") nel sistema operativo Windows chiamato "EternalBlue". Microsoft ha rilasciato una patch che "chiude" questo buco qualche mese fa, tuttavia non tutti usano una copia con licenza di Windows e installano tutti gli aggiornamenti di sistema, giusto?)
Il creatore di "Petya" è stato in grado di utilizzare saggiamente la disattenzione degli utenti aziendali e privati e di farci soldi. La sua identità è ancora sconosciuta (ed è improbabile che sia nota)
Come si diffonde il virus Petya?
Il virus Petya il più delle volte si diffonde sotto forma di allegati di posta elettronica e in archivi con software infetto piratato. Un allegato può contenere assolutamente qualsiasi file, inclusa una foto o un mp3 (a prima vista sembra così). Dopo aver eseguito il file, il computer si riavvierà e il virus simulerà un controllo del disco per gli errori CHKDSK e in quel momento modificherà il record di avvio del computer (MBR). Successivamente, vedrai un teschio rosso sullo schermo del tuo computer. Cliccando su un qualsiasi pulsante, potrai accedere al testo in cui ti verrà chiesto di pagare per la decrittazione dei tuoi file e trasferire l'importo richiesto su un portafoglio bitcoin.
Come proteggersi dal virus Petya?
- La cosa più importante e fondamentale: imposta come regola l'installazione di aggiornamenti per il tuo sistema operativo! Questo è incredibilmente importante. Fallo subito, non tardare.
- Presta particolare attenzione a tutti gli allegati allegati alle lettere, anche se le lettere provengono da persone che conosci. Durante l'epidemia, è meglio utilizzare fonti alternative di trasmissione dei dati.
- Attiva l'opzione "Mostra estensioni file" nelle impostazioni del sistema operativo: in questo modo puoi sempre vedere la vera estensione del file.
- Abilita "Controllo account utente" nelle impostazioni di Windows.
- Uno dei deve essere installato per evitare l'infezione. Inizia installando un aggiornamento per il sistema operativo, quindi installa un antivirus e sarai già molto più sicuro di prima.
- Assicurati di eseguire "backup": salva tutti i dati importanti su un disco rigido esterno o nel cloud. Quindi, se il virus Petya penetra nel tuo PC e crittografa tutti i dati, sarà abbastanza facile formattare il tuo disco rigido e installare nuovamente il sistema operativo.
- Controlla sempre che i tuoi database antivirus siano aggiornati. Tutti i buoni antivirus monitorano le minacce e rispondono tempestivamente aggiornando le firme delle minacce.
- Installa l'utilità gratuita Kaspersky Anti-Ransomware. Ti proteggerà dai virus di crittografia. L'installazione di questo software non ti esonera dalla necessità di installare un antivirus.
Come rimuovere il virus Petya?
Come rimuovere il virus Petya.A dal disco rigido? Questa è una domanda estremamente interessante. Il fatto è che se il virus ha già bloccato i tuoi dati, in realtà non ci sarà nulla da eliminare. Se non hai intenzione di pagare gli estorsionisti (cosa che non dovresti fare) e non proverai a recuperare i dati sul disco in futuro, devi solo formattare il disco e reinstallare il sistema operativo. Dopodiché, non ci sarà più traccia del virus.
Se si sospetta che sul disco sia presente un file infetto, eseguire la scansione del disco con uno di essi o installare Kaspersky Anti-Virus ed eseguire una scansione completa del sistema. Lo sviluppatore ha assicurato che il suo database delle firme contiene già informazioni su questo virus.
Decoder Petya.A
Petya.A crittografa i tuoi dati con un algoritmo molto potente. Al momento non esiste una soluzione per decrittografare le informazioni bloccate. Inoltre, non dovresti provare ad accedere ai dati a casa.
Indubbiamente, tutti sogneremmo di ottenere un miracoloso decryptor (decryptor) Petya.A, ma semplicemente non esiste una soluzione del genere. Un virus ha colpito il mondo alcuni mesi fa, ma non è stata trovata alcuna cura per decrittografare i dati crittografati.
Pertanto, se non sei ancora diventato una vittima del virus Petya, ascolta i consigli che ho dato all'inizio dell'articolo. Se hai ancora perso il controllo sui tuoi dati, hai diversi modi.
- Pagare. Fare questo è inutile! Gli esperti hanno già scoperto che il creatore del virus non ripristina i dati e non può ripristinarli, dato il metodo di crittografia.
- Estrarre il disco rigido dal dispositivo, posizionarlo con cura nell'armadio e premere il decryptor per farlo apparire. A proposito, Kaspersky Lab lavora costantemente in questa direzione. I decoder disponibili sono sul sito Web No Ransom.
- Formatta il disco e installa il sistema operativo. Meno: tutti i dati andranno persi.
Petya.Un virus in Russia
In Russia e Ucraina, oltre 80 aziende sono state attaccate e infettate nel momento in cui scriviamo, comprese quelle grandi come Bashneft e Rosneft. L'infezione delle infrastrutture di aziende così grandi parla della gravità del virus Petya.A. Non c'è dubbio che il trojan ransomware continuerà a diffondersi in tutta la Russia, quindi dovresti prenderti cura della sicurezza dei tuoi dati e seguire i consigli forniti nell'articolo.
Petya.A e Android, iOS, Mac, Linux
Molti utenti sono preoccupati per il fatto che il virus Petya possa infettare i loro dispositivi con Android e iOS. Mi affretto a rassicurarli - no, non può. È progettato solo per utenti Windows. Lo stesso vale per i fan di Linux e Mac: puoi dormire sonni tranquilli, niente ti minaccia.
Conclusione
Quindi, oggi abbiamo discusso in dettaglio del nuovo virus Petya.A. Abbiamo capito cos'è questo Trojan e come funziona, abbiamo imparato come proteggersi dalle infezioni e rimuovere il virus, dove trovare il decryptor Petya. Spero che l'articolo e i miei consigli ti siano stati utili.
Ha infettato il computer, quindi nulla lo aiuterà. Più precisamente, file sul disco rigido che non possono essere recuperati. Ma in realtà, gli attacchi informatici possono essere evitati e rianimare un computer è difficile, ma possibile.
Per cominciare, parliamo di misure che eviteranno l'infezione con il virus Petya A. Come abbiamo già scritto, #Petya è una specie di WCry, un virus ransomware che crittografa i dati e chiede un riscatto di $ 300 per ripristinarli. Notiamo subito: NON HA alcun senso pagare!
Come evitare il virus Petya A
Blocco a livello di endpoint dei file di avvio *.exe, *.js*, *.vbs da% AppData%;
A livello di gateway di posta – blocco dei messaggi con contenuto attivo (*.vbs, *.js, *.jse, *.exe);
A livello di proxy – blocco del download di archivi contenenti contenuto attivo (*.vbs, *.js, *.jse);
Blocco delle porte SMB e WMI. Principalmente 135, 445;
Dopo l'infezione - NON RIAVVIARE IL COMPUTER! - è davvero importante.
Non aprire e-mail sospette e soprattutto i loro allegati;
Forza l'aggiornamento del database antivirus e dei sistemi operativi.
Come recuperare i file dopo un virus ransomware
Va notato che già nel 2016 un utente registrato su Twitter con il nickname Leostone è riuscito a decifrare la crittografia di un virus dannoso, come riportato dalla risorsa Bleepingcomputer.com.
In particolare, è riuscito a creare un algoritmo genetico in grado di generare la password necessaria per decifrare il computer Petya crittografato dal virus.
Un algoritmo genetico è un algoritmo di ricerca utilizzato per risolvere problemi di ottimizzazione e modellizzazione mediante selezione casuale, combinazione e variazione dei parametri desiderati utilizzando meccanismi simili alla selezione naturale in natura.
Leostone ha pubblicato i suoi risultati sul sito, che contiene tutte le informazioni necessarie per generare codici di decrittazione. Pertanto, la vittima dell'attacco può utilizzare il sito specificato per generare la chiave di decrittazione.
Quindi, per utilizzare lo strumento di decrittazione Leostone, dovrai rimuovere il disco rigido dal computer e collegarlo a un altro PC con Windows. I dati da estrarre sono 512 byte, a partire dal settore 55 (0x37h). Quindi questi dati devono essere convertiti nella codifica Base64 e utilizzati sul sito https://petya-pay-no-ransom.herokuapp.com/ per generare una chiave.
Per molti utenti, la rimozione di determinate informazioni dai dischi rigidi interessati è un problema. Fortunatamente, un esperto Emsisoft è venuto in soccorso. Fabiano Vosar, che ha creato lo strumento Petya Sector Extractor per estrarre le informazioni necessarie dal disco.
Estrattore del settore Petya
Dopo che l'utente ha collegato il disco crittografato dal computer infetto a un altro PC, dovrebbe essere avviato lo strumento Petya Sector Extractor di Fabric Wosar di Fabian Vosar, che rileverà le aree interessate dal ransomware. Una volta che Petya Sector Extractor ha completato il suo lavoro, l'utente deve fare clic sul primo pulsante Copy Sector e accedere ai siti Web di Leo Stone (https://petya-pay-no-ransom.herokuapp.com/ o https://petya- pay-no-ransom-mirror1.herokuapp.com /) incollando i dati copiati tramite Ctrl+V nel campo di immissione del testo (dati di verifica di 512 byte con codifica Base64). Quindi torna all'utility Fabian Vosar, premi il secondo pulsante Copy Sector e copia nuovamente i dati sul sito di Stone, incollandoli in un altro campo di input (Base64 codificato 8 byte nonce).
Foto: bleepingcomputer.com
Dopo aver compilato entrambi i campi, l'utente può fare clic su Invia ed eseguire l'algoritmo.
Il sito deve fornire una password per decrittare i dati, dopodiché è necessario restituire il disco rigido al computer interessato, avviare il sistema e inserire il codice ricevuto nella finestra del ransomware. Di conseguenza, le informazioni verranno decrittografate.
Foto: bleepingcomputer.com
Una volta che il disco rigido è stato decrittografato, il ransomware ti chiederà di riavviare il computer e ora dovrebbe avviarsi normalmente.
Per coloro che potrebbero avere difficoltà a rimuovere un disco rigido da un computer e collegarlo a un altro, è possibile acquistare una docking station per disco rigido USB.
Secondo bykvu.com e BAKOTECH
Programma di reporting e gestione documentale M.E.Doc. Successivamente, gli esperti hanno scoperto che l'obiettivo degli aggressori era la completa distruzione dei dati, ma, come con un'infezione parziale del sistema, esiste la possibilità di ripristinare i file.
Come funziona Petia?
Se il virus ottiene i diritti di amministratore, i ricercatori identificano tre scenari principali per il suo impatto:
Il computer è infetto e crittografato, il sistema è completamente compromesso. La chiave privata è necessaria per ripristinare i dati e sullo schermo viene visualizzato un messaggio di riscatto (anche se questo non aiuta).
- Il computer è infetto e parzialmente crittografato: il sistema ha iniziato a crittografare i file, ma l'utente ha interrotto questo processo spegnendo l'alimentazione o in altri modi.
- Il computer è infetto, ma il processo di crittografia della tabella MFT non è ancora stato avviato.
Nel primo caso, non esiste ancora un modo efficace per decrittografare i dati. Ora la sua ricerca viene effettuata da specialisti della polizia informatica e delle società informatiche, oltre a creatore del virus Petya originale(consentendo di ripristinare il sistema utilizzando la chiave). Se la tabella dei file MFT principale è parzialmente o per nulla influenzata, c'è ancora la possibilità di accedere ai file.
La polizia informatica ha nominato due fasi principali del lavoro del virus Petya modificato:
Primo: ottenere diritti di amministratore privilegiato (quando si utilizza Active Directory, sono disabilitati). Innanzitutto, il virus salva il settore di avvio originale per il sistema operativo MBR nella forma crittografata dell'operazione XOR bit (xor 0x7), dopodiché scrive il proprio bootloader al suo posto. Il resto del codice del Trojan viene scritto nei primi settori del disco. In questa fase viene creato un file di testo sulla crittografia, ma i dati non sono ancora crittografati.
La seconda fase della crittografia dei dati inizia dopo il riavvio del sistema. Petya fa riferimento al proprio settore di configurazione, che ha un marchio di dati non crittografati. Successivamente, inizia il processo di crittografia, sullo schermo viene visualizzato come l'operazione del programma Check Disk. Se è già in esecuzione, è necessario spegnere l'alimentazione e provare a utilizzare il metodo di ripristino dei dati proposto.
Cosa offrono?
Per prima cosa devi eseguire l'avvio dal disco di installazione di Windows. Se contemporaneamente è visibile una tabella con partizioni del disco rigido (o SSD), è possibile procedere con la procedura di ripristino del settore di avvio dell'MBR. Quindi dovresti controllare il disco per i file infetti. Oggi Petya è riconosciuto da tutti i popolari antivirus.
Se il processo di crittografia è stato avviato, ma l'utente è riuscito ad interromperlo, dopo aver caricato il sistema operativo, è necessario utilizzare il software per recuperare i file crittografati (R-Studio e altri). I dati dovranno essere salvati su un supporto esterno e il sistema reinstallato.
Come ripristinare il bootloader?
Per il sistema operativo Windows XP:
Dopo aver caricato il disco di installazione di Windows XP nella RAM del PC, apparirà la finestra di dialogo "Installa Windows XP Professional" con un menu di selezione in cui è necessario selezionare la voce "per ripristinare Windows XP utilizzando la Console di ripristino, premere R". Premere il tasto "R".
La console di ripristino verrà caricata.
Se il PC ha un sistema operativo installato ed è (per impostazione predefinita) installato sull'unità C, verrà visualizzato il seguente messaggio:
"1: C:\WINDOWS A quale copia di Windows devo accedere?"
Immettere il numero "1", premere il tasto "Invio".
Apparirà un messaggio: "Inserisci password amministratore". Immettere la password, premere il tasto "Invio" (se non c'è password, basta premere "Invio").
Dovrebbe essere richiesto: C:\WINDOWS>, digitare fixmbr
Quindi apparirà un messaggio: "AVVISO".
"Sei sicuro di voler scrivere un nuovo MBR?" Premi il tasto "Y".
Verrà visualizzato un messaggio: "È in corso la creazione di un nuovo settore di avvio principale sul disco fisico \Device\Harddisk0\Partition0".
"La nuova partizione di avvio principale è stata creata correttamente."
Per Windows Vista:
Scarica Windows Vista. Scegli la lingua e il layout della tastiera. Nella schermata di benvenuto, fai clic su Ripara il tuo computer. Windows Vista modificherà il menu del computer.
Seleziona il tuo sistema operativo e fai clic su Avanti. Quando viene visualizzata la finestra Opzioni di ripristino del sistema, fare clic su Prompt dei comandi. Quando viene visualizzato il prompt dei comandi, immettere questo comando:
bootrec/FixMbr
Attendere il completamento dell'operazione. Se tutto è andato bene, sullo schermo apparirà un messaggio di conferma.
Per Windows 7:
Scarica Windows 7. Seleziona la lingua, il layout della tastiera e fai clic su Avanti.
Seleziona il tuo sistema operativo e fai clic su Avanti. Quando scegli un sistema operativo, dovresti selezionare "Utilizza strumenti di ripristino che possono aiutare a risolvere i problemi di avvio di Windows".
Nella schermata Opzioni di ripristino del sistema, fare clic sul pulsante Prompt dei comandi. Quando il prompt dei comandi viene caricato correttamente, immettere il comando:
bootrec/fixmbr
Premi il tasto "Invio" e riavvia il computer.
Per Windows 8:
Avvia Windows 8. Nella schermata di benvenuto, fai clic sul pulsante Ripara il tuo computer.
Seleziona Risoluzione dei problemi. Seleziona Prompt dei comandi, quando viene caricato, digita:
bootrec/FixMbr
Attendere il completamento dell'operazione. Se tutto è andato bene, sullo schermo apparirà un messaggio di conferma.
Premi il tasto "Invio" e riavvia il computer.
Per Windows 10:
Avvia Windows 10. Nella schermata di benvenuto, fai clic sul pulsante Ripara il tuo computer, seleziona Risoluzione dei problemi.
Seleziona Prompt dei comandi. Quando viene caricato il prompt dei comandi, immettere il comando:
bootrec/FixMbr
Attendere il completamento dell'operazione. Se tutto è andato bene, sullo schermo apparirà un messaggio di conferma.
Premi il tasto "Invio" e riavvia il computer.
