Восстановить windows после вируса петя. Как восстановить данные после атаки вируса Petya (пошаговая инструкция)

Сегодня, 27 июня, Украину атаковал . От него уже , а также Кабинет Министров. Однако от вируса можно «излечиться».

Как вылечиться от вируса-шифровальщика?

1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.

2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно - из-за случайной ошибки ваши файлы могут исчезнуть навсегда.

3. Чтобы удалить вирус, вам необходимо скачать со здорового компьютера загрузочный диск с антивирусом, который способен вылечить компьютер от «Пети». Это умеют например ESET NOD32 LiveCD или Kaspersky Rescue Disk.

После скачивания, по инструкции запишите загрузочный диск на флешку и загрузите компьютер с него. Далее антивирус все сделает сам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

Есть и более сложный способ, однако пользоваться им стоит на свой страх и риск.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.

Чтобы снять информацию с поврежденных дисков, можно воспользоваться инструментом Petya Sector Extractor для извлечения необходимой информации с диска.

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области.

Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com /), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).

Затем вернуться к утилите, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Атака вируса «Петя» стала неприятной неожиданностью для жителей многих стран. Тысячи компьютеров подверглись заражению, вследствие которого пользователи потеряли важные данные, хранившиеся на их жестких дисках.

Конечно же, сейчас ажиотаж вокруг данного инцидента спал, но никто не может гарантировать, что подобное не повторится вновь. Именно поэтому очень важно защитить свой компьютер от возможной угрозы и не рисковать понапрасну. О том, как сделать это наиболее эффективно, и пойдет речь ниже.

Последствия атаки

Для начала следует вспомнить, к каким последствиям привела недолгая активность Petya.A. Всего за несколько часов пострадали десятки украинских и российских компаний. На Украине, к слову, была практически полностью парализована работа компьютерных отделов таких учреждений, как «Днепрэнерго», «Новая Почта» и «Киевский метрополитен». Более того, не убереглись от вируса «Петя» некоторые государственные организации, банки и операторы мобильной связи.

В странах Европейского союза шифровальщик также успел наделать немало бед. Французские, датские, английские и международные компании сообщили о временных неполадках в работе, связанных с атакой компьютерного вируса «Петя».

Как видите, угроза действительно серьезная. И даже несмотря на то, что злоумышленники выбрали в качестве своих жертв крупные финансовые организации, обычные пользователи пострадали не меньше.

Как работает «Петя»

Чтобы понять, как защититься от вируса «Петя», нужно сначала разобраться, как он работает. Итак, попав на компьютер, вредоносная программа скачивает из интернета специальный шифровальщик, который поражает Master Boot Record. Это отдельная область на жестком диске, скрытая от глаз пользователя и предназначенная для загрузки операционной системы.

Для пользователя этот процесс выглядит как стандартная работа программы Check Disk после внезапного падения системы. Компьютер резко перезагружается, а на экране возникает сообщение о проверке жесткого диска на наличие ошибок и просьба не выключать питание.

Как только этот процесс подходит к концу, появляется заставка с информацией о блокировке компьютера. Создателя вируса «Петя» требуют от пользователя заплатить выкуп в размере 300$ (больше 17,5 тыс. руб.), обещая взамен выслать ключ, необходимый для возобновления работы ПК.

Профилактика

Логично, что намного проще предупредить заражение компьютерным вирусом «Петя», чем потом бороться с его последствиями. Чтобы обезопасить свой ПК:

• Всегда устанавливайте свежие обновления для операционной системы. Это же, в принципе, касается и всего программного обеспечения, установленного на вашем ПК. Кстати, «Петя» не может навредить компьютерам под управлением MacOS и Linux.
• Используйте актуальные версии антивируса и не забывайте обновлять его базы. Да, совет банальный, но далеко не все ему следуют.
• Не открывайте подозрительные файлы, присланные вам на почту. Кроме того, всегда проверяйте приложения, скачанные из сомнительных источников.
• Регулярно делайте резервные копии важных документов и файлов. Лучше всего хранить их на отдельном носителе или в «облаке» (Google Drive, "Яндекс. Диск" и т. д.). Благодаря этому, даже если с вашим компьютером что-то случится, ценная информация не пострадает.

Создание стоп-файла

Разработчики ведущих антивирусных программ выяснили, как удалить вирус «Петя». Точнее, благодаря проведенным исследованиям, им удалось понять, что шифровальщик на начальных этапах заражения пытается найти на компьютере локальный файл. Если ему это удается, вирус прекращает свою работу и не наносит вред ПК.

Проще говоря, вы можете вручную создать своего рода стоп-файл и таким образом защитить компьютер. Для этого:

• Откройте настройки параметров папок и снимите галочку с пункта «Скрывать расширения для зарегистрированных типов файлов».
• Создайте при помощи блокнота новый файл и поместите его в директорию C:/Windows.
• Переименуйте созданный документ, назвав его «perfc». Затем зайдите в и включите опцию «Только для чтения».

Теперь вирус «Петя», попав на ваш компьютер, не сможет нанести ему вред. Но имейте в виду, что злоумышленники могут в будущем модифицировать вредоносную программу и способ с созданием стоп-файла станет неэффективным.

Если заражение уже произошло

Когда компьютер самостоятельно уходит на перезагрузку и запускается работа Check Disk, вирус только начинает шифровать файлы. В этом случае вы еще можете успеть спасти свои данные, выполнив следующие действия:

• Сразу же отключите питание ПК. Только так вы можете предотвратить распространение вируса.
• Далее следует подключить свой жесткий диск к другому ПК (только не в качестве загрузочного!) и скопировать с него важную информацию.
• После этого необходимо полностью отформатировать зараженный винчестер. Естественно, что потом вам придется заново устанавливать на него операционную систему и прочее программное обеспечение.

Кроме того, вы можете попытаться использовать специальный загрузочный диск, чтобы вылечить вирус «Петя». Антивирус Касперского, например, предоставляет для этих целей программу Kaspersky Rescue Disk, которая работает в обход операционной системы.

Стоит ли платить вымогателям

Как уже было сказано ранее, создатели «Пети» требуют от пользователей, чьи компьютеры были заражены, выкуп в размере 300$. По словам вымогателей, пострадавшим после оплаты указанной суммы будет выслан ключ, устраняющий блокировку информации.

Проблема в том, что пользователю, желающему вернуть свой компьютер в нормальное состояние, необходимо написать злоумышленникам на электронную почту. Однако все E-Mail вымогателей оперативно блокируются уполномоченными службами, поэтому связаться с ними попросту невозможно.

Более того, многие ведущие разработчики антивирусного программного обеспечения уверены, что разблокировать каким-либо кодом компьютер, подвергшийся заражению «Петей», и вовсе невозможно.

Как вы наверняка поняли, платить вымогателям не стоит. Иначе вы не только останетесь с нерабочим ПК, но еще и потеряете крупную сумму денег.

Будут ли новые атаки

Впервые вирус Petya был обнаружен еще в марте 2016 года. Тогда специалисты по безопасности быстро заметили угрозу и не допустили ее массового распространения. Но уже в конце июня 2017 года атака повторилась вновь, что привело к весьма серьезным последствиям.

Вряд ли все закончится на этом. Атаки с использованием вирусов-вымогателей - явление нередкое, поэтому очень важно постоянно поддерживать свой компьютер в защищенном состоянии. Проблема заключается в том, что никто не может предугадать, в каком формате произойдет следующее заражение. Как бы там ни было, всегда стоит следовать нехитрым рекомендациям, приведенным в данной статье, чтобы сократить таким образом риски до минимума.

(Petya.A), и дала ряд советов.

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

“Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов“, - заявила СБУ.

Вирус атакует компьютеры под управлением ОС Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных.

“Зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных“, - заявили в СБУ.

Что делать, чтобы уберечься от вируса

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все самые ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале - сделайте резервную копию вместе с ОС.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:/Windows/perfc.dat

4. В зависимости от версии ОС Windows установить патч .

5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирус.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные от неизвестных людей. В случае получения письма от известного адреса, который вызывает подозрение, - связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или Интернет.

Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.

Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).

b). Запустите и убедитесь в том, что были установлены все галочки в окне “Артефакты для сбора“.

c). Во вкладке “Режим сбора журналов Eset“ установите Исходный двоичный код диска.

d). Нажмите на кнопку Собрать.

e). Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению

п. 3 для сбора информации, которая поможет написать декодер,

п. 4 для лечения системы.

С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:

a). Загрузите ESET SysRescue Live CD или USB (создание в описано в п.3)

b). Согласитесь с лицензией на пользование

c). Нажмите CTRL + ALT + T (откроется терминал)

d). Напишите команду “parted -l“ без кавычек, параметр этого маленькая буква “L“ и нажмите

e). Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)

f). Напишите команду “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ без кавычек, вместо “/dev/sda“ используйте диск, который определили в предыдущем шаге и нажмите (Файл/home/eset/petya.img будет создан)

g). Подключите флешку и скопируйте файл /home/eset/petya.img

h). Компьютер можно выключить.

Смотри также - Омелян про зашиту от кибератак

Омелян про зашиту от кибератак

Боитесь заразить компьютер вирусом WannaCry, Petya или им подобным? Мы расскажем как не заразиться данными зловредами и что делать чтобы избежать, минимизировать или спасти все файлы!

Несколько месяцев подряд многие страны содрагают компьютерные вирусы — сотни тысяч зараженных компьютеров Windows, потеря рабочей документации и огромные убытки.

Можно ли избежать такой участи? Да!

Как обезопасить компьютер от вирусов WannaCry и им подобным?

1. Используйте лицензионный софт
   • если вы используете на работе или дома пиратские версии программ, тогда вы явно подверженные вирусам, так как вы не знаете заложены ли в них скрытые вирусы или нет + подобное ПО не обновляется.
2. Своевременно обновлять Windows
   • если на вашем компьютере Windows до этого момента почему-то было отключено «автоматическое обновление», то пора его включить. Мало того, что вы будете получать с каждым обновлением новую функциональность и улучшенную стабильность, но вы также установите свежие патчи безопасности, закрывая при этом уязвимости, тем самым усложняю жизнь хакерам!
   • Установите патчи Windows зарывающие уязвимость перед WannaCry и Petya.A:
3. Устанавливайте антивирусное ПО
   • наличие любого антивирусника, даже бесплатного в разы увеличивают безопасность компьютера Windows, установите антивирусную программу и еженедельно проверяйте ПК на наличие вирусов
   • Помимо еженедельного сканирования компьютера на вирусы, проверяйте USB флешки (свои и чужие), при каждом подключение к ПК
4. Закройте порты
5. Не переходите по сомнительным ссылкам, не скачивайте вложения от неизвестных адресатов
   

Что делать если компьютер заражен вирусом? Как лечить или спасти файлы?

У вас есть подозрения что ваш компьютер уже заражен или вы точно знаете что на нем вирус WannaCry, Petya.A или подобный тогда воспользуйтесь следующими рекомендациями, чтобы от избавиться от зловреда:

1. Не надо никому ничего платить, перечисляя очередную сумму денег вы тем самым оплачиваете труд хакера и стимулируете его дальнейшую работу. Также это не дает никаких гарантий о дешифровке файлов и де активации вируса.
2. Отключить компьютер от интернета
3. Выключите компьютер и больше не включайте
4. Создайте загрузочную флешку с антивирусником (Kaspersky Rescue Disk или Dr.Web LiveDisk) и от сканируйте компьютер
5. Чтобы расшифровать закриптованные файлы на жестком диске можно воспользоваться следующими антивирусными утилитами и сервисами:
   • No More Ransom — международный альянс в который входят компании Kaspersky, Intel и госучреждение по безопасности EuroPol.
   • Kaspersky Anti-Ransomware — программа для борьбы с любыми видами вымогательства
   • Воспользоваться программами для восстановления зашифрованных файлов ShadowExplorer и PhotoRec

Стоит также понимать, что несмотря на высококлассных специалистов в антивирусных компаниях создатели вирусов на шаг впереди и чтобы создать лечение для компьютера необходимо время.

Кто менее подвержен вирусам?

Если вы используете компьютеры на операционных системах — Linux, MacOS, FreeBSD, Android, iOS то пока вы в безопасности и вирусы вам не страшны, но все же, это не значит что стоит посещать сомнительные сайты и скачивать непонятные файлы.

Остались еще вопросы? Пишите их в комментариях, рассказывайте, что у вас получилось или наоборот!

Вот и все! Больше статей и инструкций читайте в разделе . Оставайтесь вместе с сайтом , дальше будет еще интересней!

Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.

Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya

Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом

При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это

ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:

Как Уберечь Себя От Вируса Petya

Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip




ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\

Что Делать Если Компьютер Уже Поражён Вирусом Petya

Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk

Кто Распространил Вирус Петя По Всей Украине

Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя