Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы. Вымогатель «Петя» блокирует загрузку ОС и требует выкуп за расшифровку данных
Вымогателя появилась в октябре 2017 года. Согласно текущим отчетам, последняя версия вымогателя в основном затрагивает российские и украинские организации.
Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа.
Подобно другим вимогателям, как Locky virus , CryptoWall virus , и CryptoLocker , этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение:
“НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”
Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме.
Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400.
Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы.
Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR).
Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы.
Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как , чтобы позаботиться о удалении Petya.
Вирус под названием NotPetya нарушает деятельность Чернобыльской электростанции
В июне 27 2017 года вирус под названием NotPetya имитируюзщий Petya проникнул в компьютерные системына корпораций и международных правительственных учреждений. В связи с этим системы не могли запускаться нормально. В обмен на доступ требуються 300 долларов. Дальнейший анализ показал, что вирус не настоящий Petya. .
Наблюдая масштабы нападения, Украина в основном пострадала. Из-за неисправности систем Киевскому аэропорту пришлось отменить некоторые полеты. Кроме того, работники Чернобыльской электростанцией должны были срегулировать уровень радиации вручную.
Интересно, что некоторые IT специалисты обнаружили, что вирус распространяться через поврежденные обновления, связанные с производителeм компьютерных программ «MeDoc» в Украине. Однако такие обвинения по-прежнему нуждаются в дополнительных доказательствах.
К счастью, другие специалисты по кибербезопасности нашли временное решение как предотвратить NotPetya/Petya.a атаку.
На приведенном выше изображении отображается Petya примечания о выкупе. 
Метод 1. (Безопасный режим)
Выберите "Safe Mode with Networking" 
Метод 1. (Безопасный режим)
Выберите "Enable Safe Mode with Networking" 
Выберите "Safe Mode with Command Prompt" 
Метод 2. (Системное восстановление)
Выберите "Enable Safe Mode with Command Prompt" 
Метод 2. (Системное восстановление)
Введите "cd restore" без кавычек и нажмите "Enter" 
Метод 2. (Системное восстановление)
Введите "rstrui.exe" без кавычек и нажмите "Enter" 
Метод 2. (Системное восстановление)
В появившемся окне "System Restore" выберите "Next" 
Метод 2. (Системное восстановление)
Выберите Вашу точку восстановления и щелкните "Next" 
Метод 2. (Системное восстановление)
Щелкните "Yes" и начните восстановление системы ⇦ ⇨
Слайд 1 из 10
Как распространяется этот вирус и как он может войти в компьютер?
Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки.
Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете. Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги.
Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.
Как я могу удалить вирус Petya с моего ПК?
Как ми уже упоминали, удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов. Также, восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК. В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.
Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически.
ТАЛЛИН, 28 июн — РИА Новости, Николай Адашкевич. Компьютерный вирус-вымогатель Petya атаковал компьютеры в Эстонии и Польше.
В Эстонии закрыты все 11 строительных магазинов сети Ehituse ABC, принадлежащей французскому концерну Saint-Gobain, сообщил член правления компании Антон Кутсер.
"Сейчас мы занимаемся решением проблемы. У нас локализованные компьютерные системы для защиты данных. Как только проблема будет решена, сообщим об этом клиентам. Сейчас все магазины Ehituse ABC закрыты", — приводит эстонский портал Delfi слова Кутсера.
В Польше проблема коснулась компаний логистической отрасли. Были атакованы небольшие фирмы и сервисно-торговые центры. В сообщении портала niebezpiecznik.pl отмечалось, что "никто не должен поэтому чувствовать себя в безопасности". Информацию об атаках подтвердил директор бюро управления службами безопасности компании Exatel Якуб Сыта. По его словам, масштаб произошедшего пока неясен. Премьер страны Беата Шидло созывает в среду кризисный штаб в связи с кибератаками.
Как отмечает "Лаборатория Касперского", от нового вируса пострадали более двух тысяч пользователей. Случаи заражения наблюдались также в Италии, Великобритании, Германии, Франции, США и некоторых других странах.
В России серьезных сбоев после кибератак не зафиксировано, рассказал пресс-секретарь президента Дмитрий Песков. "Достаточно эффективно работают системы защиты и на государственном уровне, и на корпоративном уровне. Президентский интернет-ресурс работает устойчиво", — заметил он.
Microsoft проводит расследование из-за распространения нового вируса, команды поддержки во всем мире готовы оперативно помогать пострадавшим пользователям, рассказала РИА Новости пресс-секретарь компании в России Кристина Давыдова.
Глобальная атака вируса-вымогателя во вторник поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов.
Вирус блокирует компьютеры и требует 300 долларов в биткоинах, сообщили РИА Новости в компании Group-IB. Атака началась около 11:00. Способ распространения в локальной сети аналогичен вирусу WannaCry. По данным СМИ, на 18:00 биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов, с учетом комиссии за переводы пострадавшие отправили хакерам порядка 2,7 тысячи долларов.
По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу по странам, пострадавшим от вируса, на втором месте после Украины — Италия, а на третьем — Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.
Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.
Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya
Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом
При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это
ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ
ВИРУСОМ PETYA
Вирус Petya выглядит вот так:
Как Уберечь Себя От Вируса Petya
Компания Symantec
предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc
файл perfc
или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc
файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc
в папку C:\Windows\
и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip
ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\
Что Делать Если Компьютер Уже Поражён Вирусом Petya
Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk
Кто Распространил Вирус Петя По Всей Украине
Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя
МОСКВА, 27 июн — РИА Новости. Вирус-вымогатель стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом РИА Новости сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз.
"Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около 14:00. Судя по фотографиям, это криптолокер Petya", — пояснили в пресс-службе компании, отметив, что способ распространения Petya в локальной сети аналогичен вирусу WannaCry.
Позже разработчик антивируса Dr.Web уточнил, что вредоносная программа отличается от Petya, но подтвердил, что троянец распространяется самостоятельно, как и нашумевший WannaCry.
В "Лаборатории Касперского", в свою очередь, рассказали, что вирус не принадлежит ни к одному из ранее известных семейств подобных программ.
По предварительным данным, от вируса пострадали многие компании, в том числе "Башнефть" и "Роснефть", а также украинские "Запорожьеоблэнерго", "Днепроэнерго" и Днепровская электроэнергетическая система.
"Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк. Аэропорт Борисполь, предположительно, тоже подвергся хакерской атаке", — добавил представитель Group-IB.
Вирус стал причиной сбоя в работе киевского метро: пассажиры не могут оплатить проезд с помощью банковских карт. В свою очередь, вице-премьер Украины Павел Розенко заявил, что хакерской атаке подверглись все компьютеры в кабмине.
Киевский аэропорт Борисполь предупредил о возможных задержках рейсов.
"Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация — спам-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию", — написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook .
На Чернобыльской атомной электростанции из-за хакерской атаки не работает электронный документооборот, сообщило издание "Украинская правда " со ссылкой на начальника смены АЭС.
По словам собеседника издания, некоторые компьютеры на станции были заражены вирусом. Поэтому, как только хакерская атака началась, была дана команда компьютерщиков отключить компьютеры персонала.
"О радиационной обстановке на станции замечаний нет. Превышения контрольных уровней нет. То есть у нас на промплощадке, на сооружениях ухудшения радиационной обстановки не произошло", — цитирует издание слова сотрудника АЭС.
Вирус также был обнаружен в Литве. Об этом агентству BNS сообщил представитель Службы регулирования связи страны. Он не уточнил, какие предприятия могли пострадать от вредоносной программы.
Ранее об атаке на свои серверы сообщила "Роснефть". В компании отметили, что сразу перешли на резервную систему управления производством, что позволило избежать остановки добычи нефти.
Вирус WannaCry атаковал сотни тысяч компьютеров по всему миру 12 мая. Тогда хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности США: инструмент разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с программой-вымогателем WannaCry.
Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.
Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги - 300 долларов биткоинами, причём сумма удваивается через какое-то время.
Вирус Petya, обнаруженный в начале 2016 года, распространялся по точно такой же схеме, поэтому многие пользователи решили, что это он и есть. Но специалисты из компаний-разработчиков антивирусного ПО уже заявили, что в произошедшей атаке виноват какой-то другой, совершенно новый вирус, который они ещё будут изучать. Эксперты из «Лаборатории Касперского» уже дали неизвестному вирусу название - NotPetya.
По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.
Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.
Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.
Жертвы кибератаки
Больше всех от неизвестного вируса пострадали украинские компании. Заражены оказались компьютеры аэропорта «Борисполь», правительства Украины, магазинов, банков, СМИ и телекоммуникационных компаний. После этого вирус добрался и до России. Жертвами атаки стали «Роснефть», «Башнефть», Mondelеz International, Mars, Nivea.
О проблемах с IT-системами из-за вируса заявили даже некоторые зарубежные организации: британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие. Об этом в своём твиттере написал Костин Райю, глава международной исследовательской команды «Лаборатория Касперского».
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.
