Petya Ransomware

Petya Ransomware - ako odstrániť?



Čo je Peťo?

Petya je ransomvér distribuovaný prostredníctvom škodlivých e-mailov, ktoré obsahujú odkazy na stiahnutie aplikácie Dropbox, ktoré po spustení nainštalujú program Petya na počítače obetí. Výskum ukazuje, že tieto e-maily sú zamerané hlavne na oddelenia ľudských zdrojov rôznych nemeckých spoločností. Po infiltrácii systému Petya zašifruje časti pevných diskov a požaduje výkupné.

Stiahnite si Malware Scanner

Odporúča sa spustiť bezplatnú kontrolu pomocou Malwarebytes - nástroja na zisťovanie vírusov a škodlivého softvéru v počítači. Na odstránenie infekcií si budete musieť kúpiť plnú verziu. K dispozícii je bezplatná skúšobná verzia.





Šifrovaním častí pevného disku Petya bráni používateľom v zavedení operačných systémov. Ransomvér nahradzuje hlavný bootovací záznam (informácie umiestnené na začiatku pevného disku, podľa ktorého sa počítač načíta), za nebezpečný zavádzač. Peťa potom automaticky reštartuje počítač. Po reštarte počítača sa nový (škodlivý) zavádzač spustí a začne šifrovať súbory. Počas tohto procesu sa zobrazí obrazovka falošnej kontroly disku (CHKDSK). Ransomvér poškodzuje hlavnú tabuľku súborov (MFT). Preto počítač nedokáže odkazovať na umiestnenie súborov v systéme (ak existujú). Súbory sa stávajú neprístupnými, a preto sa systém Windows už nemôže načítať. Potom sa zobrazí obraz lebky, ktorý sa zmení na uzamknutú obrazovku obsahujúcu správu, ktorá tvrdí, že súbory boli zašifrované a obeť musí za ich obnovenie zaplatiť výkupné. Obrazovka vyzýva používateľov, aby si stiahli prehliadač Tor a navštívili adresy URLza predpokladu, že sobsahuje ďalšie platobné pokyny. Výskum ukazuje, že neexistuje spôsob, ako obnoviť súbory bez platby. Svoj MBR môžete opraviť, a hoci tým odstránite uzamknutú obrazovku, nebude dešifrovať súbory - poskytne iba príležitosť naformátovať pevný disk a nainštalovať novú kópiu systému Windows . V čase výskumu opäť neexistovali žiadne nástroje schopné dešifrovať hlavný bootovací záznam, aby boli súbory prístupné.



Screenshot z webovej stránky Petya ransomware:

Peťo dešifrujte pokyny

Aj keď je šifrovanie častí pevných diskov týmto spôsobom celkom jedinečné, vírusy typu ransomware majú podobné správanie. Locky , TeslaCrypt , Converton a Rokku , Maktub sú len niektoré príklady z dlhého zoznamu podobných ransomwarových infekcií. Všetky šifrujú súbory a kladú požiadavky na výkupné. Väčšina používa asymetrické šifrovanie. Priemerná veľkosť výkupného je 1 ~ bitcoin (v čase výskumu to zodpovedá 413,75 USD). Mnohé z týchto vírusov sa ďalej množia pomocou falošných aktualizácií softvéru, trójskych koní, sietí typu peer to peer (P2P) a / alebo škodlivých e-mailových príloh. Pri sťahovaní aplikácií / súborov zo zdrojov tretích strán buďte preto opatrní. Zaistite, aby sa e-mailové prílohy, ktoré otvárate, posielali z dôveryhodných adries. Prvoradá je tiež aktualizácia nainštalovaného softvéru a používanie legitímneho balíka anti-spyware / antivírusový program.

Aktualizácia 25. júla 2017 - Bezpečnostní výskumníci z Malwarebytes použili pre tento ransomvér uvoľnený hlavný kľúč a boli schopní vyvinúť dešifrovanie. Môžete si o tom prečítať viac TU .

gimp pridať vrstvu pozadia

Text uvedený na webových stránkach ransomvéru Petya:

Váš počítač bol šifrovaný.

Pevné disky vášho počítača boli šifrované pomocou šifrovacieho algoritmu vojenskej triedy. Obnovenie údajov bez špeciálneho kľúča je nemožné. Táto stránka vám pomôže s nákupom tohto kľúča a úplným dešifrovaním vášho počítača.

Webové stránky Petya ransomware Často kladené otázky (FAQ):

Časté otázky o webových stránkach Petya

Obrazovka Petya falošná kontrola disku (CHKDISK):

Obrazovka Fake Check Disk od spoločnosti Petya ransomware

vysoké ctrl ubuntu

Text uvedený na tejto obrazovke:

Oprava súborového systému na C:


Typ súborového systému je NTFS.
Jeden z vašich diskov obsahuje chyby a je potrebné ho opraviť. Dokončenie tohto procesu môže trvať niekoľko hodín. Dôrazne sa odporúča nechať to dokončiť.


UPOZORNENIE: NEVYPÍNAJTE PC! AK PRERUŠÍTE TENTO PROCES, MÔŽETE ZNIČIŤ VŠETKY VÁS ÚDAJE! UISTITE SA, ŽE JE VÁŠ SIEŤOVÝ KÁBEL ZAPOJENÝ!


CHKDSK opravuje sektor --- z ---- (-%)

Screenshot z obrázku lebky zobrazený programom Petya ransomware:

program sa nedá spustiť, pretože vo vašom počítači chýba msvcp120.dll

Obrazovka uzamknutia lebky Petya

Screenshot obrazovky uzamknutia ransomvéru Petya:

Obrazovka uzamknutia Petya

Text uvedený na uzamknutej obrazovke:

Stali ste sa obeťou PETYA RANSOMWARE!

Pevné disky vášho počítača boli šifrované pomocou šifrovacieho algoritmu vojenskej triedy. Neexistuje žiadny spôsob, ako obnoviť vaše dáta bez špeciálneho kľúča. Tento kľúč si môžete kúpiť na stránke darknet zobrazenej v kroku 2.
Ak si chcete kúpiť kľúč a obnoviť svoje dáta, postupujte podľa týchto troch jednoduchých krokov:
1. Stiahnite si prehliadač Tor na „https://www.torproject.org/“.
2. Navštívte jednu z nasledujúcich stránok pomocou prehliadača Tor:
http://petya37h5tbhyvki.onion/LqPmoG
3. Zadajte svoj osobný dešifrovací kód:
Ak ste si už kľúč kúpili, zadajte ho nižšie.
Kľúč:

Aktualizácia 11. apríla 2016 - Vedci v oblasti bezpečnosti dokázali vyvinúť nástroj, pomocou ktorého je možné bezplatne dešifrovať súbory napadnuté ransomvérom Petya. Ak chcete použiť tento nástroj (vytvoril leoston ) mali by ste odpojiť pevný disk obsahujúci súbory šifrované ransomvérom Petya a pripojiť ho k inému počítaču. Potom by ste mohli použiť nástroj vyvinutý spoločnosťou Fabian wosar aby ste získali dáta na disku potrebné na vygenerovanie hesla na dešifrovanie súborov. Po pripojení HDD k čistému počítaču by ste mali spustiť PetyaExtractor.exe program. Potom prejdite na https://petya-pay-no-ransom.herokuapp.com (ak nie je k dispozícii, skúste - https://petya-pay-no-ransom-mirror1.herokuapp.com/ ) webová stránka. V Program Petya Sector Extractor kliknite na „ Sektor kopírovania ”Potom prejdite na webovú stránku petya-pay-no-ransom a vložte ju do Base64 kódované 512 bajtov overovacie údaje ' lúka. Potom sa vráťte späť do programu Petya Sector Extractor a kliknite na „ Kopírovať Nonce ”, Prejdite na webovú stránku petya-pay-no-ransom a vložte ju do Base64 kódovaný 8 bajtov nonce ' lúka. Teraz by ste mali kliknúť na „ Predložiť ”Na webovej stránke a chvíľu počkajte, kým dostanete svoje heslo. Mali by ste si to zapísať, pripojiť HDD k pôvodnému počítaču, keď uvidíte obrazovku uzamknutia výkupného Petya, mali by ste zadať heslo, ktoré ste si predtým zapísali. Ak bolo všetko vykonané správne, mali by sa vaše dáta dešifrovať.

Aktualizácia 12. mája 2016 - Kybernetickí zločinci aktualizovali ransomvér Petya. Teraz používa zelenú / čiernu farebnú schému namiesto bielej / červenej. Medzi ďalšie aktualizácie patrí použitie sekundárneho ransomvéru s názvom „Mischa“. Tento ransomvér je nainštalovaný na počítači obete, ak používateľ pri poskytovaní infikovanej prílohy e-mailu neudelí práva správcu.

Screenshoty aktualizovaného ransomvéru Petya:

petya ransomware aktualizovaný variant obrazovky 1 aktualizovaný variant obrazovky petya ransomware 2 petya ransomware aktualizovaný variant snímky obrazovky 3