Как локально остановить вирус-вымогатель Petya

0
3639

Найден способ локально остановить исполнение программы вируса-вымогателя Petya, поразившего многие компьютеры в России и на Украине.

Для этого в папке с Windows надо создать файл без расширения с именем «perfc» — его отсутствие вирус проверяет перед началом разрушительных действий. Впрочем, эксперты «Лаборатории Касперского» утверждают, что сети атаковал и другой вирус.

Инструкцию по блокировке вируса опубликовал в своем Telegram-канале специалист по кибербезопасности Александр Литреев (https://t.me/alexlitreev_channel/429).

Подробно механизм работы вируса описали эксперты компании Positive Technologies

ТАСС передает, что активизировавшийся накануне вирус Petya воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска. Вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код.

Если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. В этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.

Локально отключить шифровальщик можно, создав файл "C:\Windows\perfc", отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

Однако если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке «C:\Windows\». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Как создать файл без расширения(выбирайте любой вариант):

1. сохранять в блокноте, имя файла написать в кавычках «_», тип — «Все файлы *.*».

2. взять текстовый файл и переименовать его так, чтобы он был без расширения). в свойствах папки предварительно включить показ расширений для зарегистрированных типов файлов.

3. в cmd.exe сделать type «1» > hosts и дальше редактировать файл как надо и переносить его куда надо

Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях.

Если заражение уже произошло — платить злоумышленникам не стоит. «Почтовый адрес нарушителей был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен», — отметили в Positive Technologies.

27 июня вирус-вымогатель, блокирующий доступ к данным и требующий деньги за разблокировку, атаковал десятки компаний и организаций в России и на Украине, а затем распространился по всему миру. Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, орудием масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп.

По предварительным оценкам Group-IB, вирус атаковал около 80 компаний, большинство из которых — украинские. В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Банк России также сообщил о кибератаках на российские кредитные организации, которые не привели к нарушениям в работе банков.

http://www.newsru.com/world/28jun2017/petyastopped.html?utm_source=tema-comment — link

Petya вирус. Как удалить? (Руководство по удалению)

http://bedynet.ru/petya-%D0%B2%D0%B8%D1%80%D1%83%D1%81/ — link

Удалите Petya, используя Safe Mode with Networking

 Reimage — это средство для обнаружения вредоносных программ. Вам нужно приобрести полную версию для удаления киберинфекций. 
  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP

    1. Щелкните Start  Shutdown  Restart  OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking 

Выберите 'Safe Mode with Networking'

  • Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart...
    2. Теперь выберите Troubleshoot  Advanced options  Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking

Выберите 'Enable Safe Mode with Networking'

  • Шаг 2: Удалить Petya
    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Petya.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

 Удалите Petya, используя System Restore
 
 
 
Reimage — это средство для обнаружения вредоносных программ. Вам нужно приобрести полную версию для удаления киберинфекций. 
 
Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
  • Windows 7 / Vista / XP
    1. Щелкните Start  Shutdown  Restart  OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt 

Выберите 'Safe Mode with Command Prompt'

  • Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart...
    2. Теперь выберите Troubleshoot  Advanced options  Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt

Выберите 'Enable Safe Mode with Command Prompt'

  • Шаг 2: Восстановите Ваши системные файлы и настройки
  1. После появления окна Command Prompt, введите cd restore и щелкните Enter 

Введите 'cd restore' без кавычек и нажмите 'Enter'

2. Теперь введите rstrui.exe и снова нажмите Enter... 

Введите 'rstrui.exe' без кавычек и нажмите 'Enter'

3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Petya. После этого нажмите Next.

В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'

4. Теперь щелкните Yes для начала восстановления системы. 

Щелкните 'Yes' и начните восстановление системыПосле того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с � убедитесь, что удаление прошло успешно. 

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Petya и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here