Є думка, що якщо вірус Петя А заразив комп'ютер, то йому вже нічого не допоможе. Точніше, файлам на жорсткому диску, які неможливо відновити. Але насправді і кібератаки можна уникнути, і реанімувати комп'ютер складно, але можна.
Для початку поговоримо про заходи, які дозволять уникнути зараження вірусом Петя А . Як ми вже писали, #Petya цю подобу WCry - вірус-вимагач, який шифрує дані і просить $ 300 викупу за їх відновлення. Відразу відзначимо - платити НЕ МАЄ жодного сенсу!
Як уникнути вірусу Петя А
- блокування на рівні кінцевих точок запуску файлів * .exe, * .js *, * .vbs з% AppData%;
- на рівні поштового шлюзу - блокування повідомлень з активним вмістом (* .vbs, * .js, * .jse, * .exe);
- на рівні proxy - блокування завантаження архівів, що містять активний вміст (* .vbs, * .js, * .jse);
- блокування SMB і WMI-портів. В першу чергу 135, 445;
- після зараження - НЕ перезавантаження комп'ютера! - це дійсно важливо.
- не відчиняйте підозрілі листи і особливо вкладення в них;
- примусово поновіть базу антивіруса і операційні системи.
Як відновити файли після вірусу-шифрувальника
Следут відзначити, що ще в 2016 році користувачеві, який зареєстрований в Twitter під ніком Leostone, вдалося зламати шифрування шкідливого вірусу, про що писав ресурс Bleepingcomputer.com .
Зокрема, він зумів створити генетичний алгоритм, який може генерувати пароль, необхідний для дешифрування зашифрованого вірусом комп'ютера Petya.
Генетичний алгоритм - це алгоритм пошуку, який використовується для вирішення завдань оптимізації та моделювання шляхом випадкового підбору, комбінування і варіації шуканих параметрів з використанням механізмів, аналогічних природному відбору в природі.
Свої результати Leostone виклав на сайті , На яких знаходиться вся необхідна інформація для генерації кодів дешифрування. Таким чином, жертва атаки може скористатися зазначеним сайтом для генерації ключа дешифрування.
Так, щоб використовувати інструмент дешифрування Leostone, доведеться зняти вінчестер з комп'ютера і підключити його до іншого ПК, що працює під управлінням ОС Windows. Дані, які треба зробити, складають 512 байт, починаючи з сектора 55 (0x37h). Потім ці дані необхідно перетворити в кодування Base64 і використовувати на сайті https://petya-pay-no-ransom.herokuapp.com/ для генерації ключа.
Для багатьох користувачів зняти певну інформацію з постраждалих жорстких дисків становить проблему. На щастя, на допомогу прийшов експерт компанії Emsisoft Фабіан Восар , Який створив інструмент Petya Sector Extractor для вилучення необхідної інформації з диска.
Petya Sector Extractor
Після того як користувач підключить зашифрований диск з зараженого комп'ютера до іншого ПК, потрібно запустити інструмент Фабіана Восара Fabric Wosar's Petya Sector Extractor, який виявить уражені шифрувальником області. Як тільки Petya Sector Extractor завершить свою роботу, користувачеві потрібно натиснути першу кнопку Copy Sector ( «Скопіювати сектор») і перейти на сайти Лео Стоуна ( https://petya-pay-no-ransom.herokuapp.com/ або https://petya-pay-no-ransom-mirror1.herokuapp.com /), Вставивши скопійовані дані через Ctrl + V в поле введення тексту (Base64 encoded 512 bytes verification data). Потім повернутися до утиліти Фабіана Восара, натиснути другу кнопку Copy Sector і знову скопіювати дані на сайт Стоуна, вставивши їх в інше поле введення (Base64 encoded 8 bytes nonce).
Фото: bleepingcomputer.com
Після заповнення обох полів користувач може натискати Submit і запускати роботу алгоритму.
Сайт повинен надати пароль для розшифровки даних, після чого потрібно повернути жорсткий диск в постраждалий комп'ютер, запустити систему і ввести отриманий код у вікні вимагача. В результаті інформація буде розшифрована.
Фото: bleepingcomputer.com
Після того, як жорсткий диск буде дешифрований, програма ransomware запропонує вам перезавантажити комп'ютер, і тепер він повинен нормально завантажуватися.
Для тих, кому може бути складно видалити жорсткий диск з одного комп'ютера і підключити його до іншого, можна придбати док-станцію для жорсткого диска USB.
За інформацією bykvu.com і «БАКОТЕК»
Дякуємо: topgeek.com.ua