В этой статье мы уже не говорим таких простых советов, как «не открывать подозрительные файлы, пришедшие по почте или через мессенджеры». Здесь пойдет речь о более профессиональных и тонких аспектах, связанных с функционированием вируса Petya.А (и возможно, подобных ему будущих вирусов) и заражением им компьютеров
Если отошлете деньги – ключ шифра все равно не пришлют
Вирус Petya.А (Trojan.Encoder.12544) по компетентному заключению специалистов калифорнийского Университета Беркли выпущен в рамках атаки 27 июня 2017 года не с целью заработка его создателей, а исключительно с целью повреждения IT-систем.
Отсылка денег, якобы запрошенных шифровальщиками, не привела к появлению у кого-либо ключей расшифровки – а потому отсылать деньги совершенно бессмысленно.
Зашифрованные файлы – скорее всего, уничтожены безвозратно
Модификация Petya.А радикально отличается от прошлогодней версии Petya, для которой тогда же программисты оперативно создали алгоритм расшифровки файлов и разблокировки операционной системы. В новой версии использован криптографически стойкий шифр с созданием особого ключа для каждого диска и его последующим удалением. Это сделало невозможным создание алгоритмов раскодирования.
Поэтому файлы, уже поврежденные Petya.А (Trojan.Encoder.12544), на данный момент вернуть в исходный вид категорически невозможно. Тем не менее, восстановимы файлы, поврежденные его модификацией NotPetya – такая версия кодирует только MFT (управляющую файлами таблицу), а не сами файлы.
Запустите поиск по файлам – нет ли у вас «perfc.dat»
Если поиском по файлам вы обнаружили у себя файлы «C:\Windows\perfc.dat» или «C:\Windows\dllhost.dat» – это и есть свидетельство заражения вирусом. Что делать в этом случае – читайте далее.
Если есть подозрение заражения – не выключайте компьютер
Для блокировки компьютеров вирус Petya.А перезаписывает главную загрузочную запись – master boot record (MBR). Для запуска своей версии MBR ему необходима перезагрузка компьютера.
Потому при обнаружении поиском файла «C:\Windows\perfc.dat» необходимо ни в коем случае не перезагружать и не выключать компьютер. А следует, отключив интернет, заняться немедленным копированием всей важной информации на другие носители.
При «проверке диска» после загрузки – наоборот, выключайте компьютер
Если даже вы не нажмете перезагрузку вручную, вирус Petya.А спустя несколько часов может включить перезагрузку компьютера самостоятельно – после чего выводит на экран сообщение о работе утилиты CHKDSK. На самом деле в этот момент происходит шифрование файлов.
Если вы увидели перезагрузку компьютера и начало «проверки диска», в этот момент нужно сразу же выключить компьютер – и файлы останутся незашифрованными.
После этого загрузка с загрузочного USB-накопителя или CD даст доступ к файлам.
Попробуйте создать ложную копию файла вируса
Шифровальщик файлов после перезагрузки не срабатывает, если в пару к файлу «C:\Windows\perfc.dat» создать файл «C:\Windows\perfc» (без расширения).
Если Windows лицензионная – следуйте указаниям Microsoft
Устранение уязвимости Windows, которой пользуется вирус при автоматическом обновлении ряда программ, возможно при помощи установки патча MS17-010 от 14 марта 2017 года.
Также на сайте Microsoft уже выложен подробный разбор всех нюансов, связанных с вирусом Petya.А.
MBR – в отличие от файлов – восстановим
Для программистов: восстановление измененной вирусом MBR возможно до перезагрузки системы или после перезагрузки, но до шифрования – при помощи команды «bootrec / «fixmbr» (в случае Windows XP используйте команду «fixmbr»). Необходимо извлечение копии первоначального MBR из 34 сектора (смещение на диске 0x4400, размер 0x200), его расшифровка (xor 0x07) и перезапись «на место»: в начальный сектор диска.
Читайте также: Главный виновник распространения вируса Petya.A — программа M.E.Doc
