چند ماه پیش، ما و سایر متخصصان امنیت فناوری اطلاعات بدافزار جدیدی را کشف کردیم - Petya (Win32.Trojan-Ransom.Petya.A). در مفهوم کلاسیک، این یک رمزگذار نبود؛ ویروس به سادگی دسترسی به انواع خاصی از فایل ها را مسدود کرده و باج می خواهد. ویروس رکورد بوت روی هارد دیسک را تغییر داد، کامپیوتر را به زور راه اندازی مجدد کرد و پیامی را نشان داد که "داده ها رمزگذاری شده اند - پول خود را برای رمزگشایی هدر دهید." به طور کلی، طرح استاندارد ویروس های رمزگذاری، با این تفاوت که فایل ها در واقع رمزگذاری نشده بودند. اکثر آنتی ویروس های محبوب چند هفته پس از ظهور شروع به شناسایی و حذف Win32.Trojan-Ransom.Petya.A کردند. علاوه بر این، دستورالعمل هایی برای حذف دستی ظاهر شد. چرا فکر می کنیم پتیا یک باج افزار کلاسیک نیست؟ این ویروس در Master Boot Record تغییراتی ایجاد می کند و از بارگذاری سیستم عامل جلوگیری می کند و همچنین Master File Table را رمزگذاری می کند. خود فایل ها را رمزگذاری نمی کند.

با این حال، چند هفته پیش یک ویروس پیچیده تر ظاهر شد میشا، ظاهراً توسط همان کلاهبرداران نوشته شده است. این ویروس ENCRYPTS می کند و شما را ملزم به پرداخت 500 تا 875 دلار برای رمزگشایی می کند (در نسخه های مختلف 1.5 - 1.8 بیت کوین). دستورالعمل‌های «رمزگشایی» و پرداخت برای آن در فایل‌های YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT ذخیره می‌شوند.

ویروس Mischa – محتویات فایل YOUR_FILES_ARE_ENCRYPTED.HTML

اکنون، در واقع، هکرها رایانه های کاربران را با دو بدافزار آلوده می کنند: Petya و Mischa. اولین مورد نیاز به حقوق مدیر در سیستم دارد. یعنی اگر کاربری از دادن حقوق مدیریت به پتیا امتناع کند یا به صورت دستی این بدافزار را حذف کند، Mischa درگیر می شود. این ویروس نیازی به حقوق مدیر ندارد، یک رمزگذار کلاسیک است و در واقع فایل ها را با استفاده از الگوریتم قوی AES و بدون ایجاد هیچ تغییری در Master Boot Record و جدول فایل هارد دیسک قربانی رمزگذاری می کند.

بدافزار Mischa نه تنها انواع فایل های استاندارد (فیلم ها، تصاویر، ارائه ها، اسناد) را رمزگذاری می کند، بلکه فایل های exe. را نیز رمزگذاری می کند. این ویروس فقط دایرکتوری‌های \Windows، \$Recycle.Bin، \Microsoft، \Mozilla Firefox، \Opera، \Internet Explorer، \Temp، \Local، \LocalLow و \Chrome را تحت تأثیر قرار نمی‌دهد.

عفونت عمدتاً از طریق ایمیل اتفاق می افتد، جایی که نامه ای با یک فایل پیوست دریافت می شود - نصب کننده ویروس. می توان آن را تحت نامه ای از خدمات مالیاتی، از حسابدار شما، به عنوان رسیدهای پیوست و رسیدهای خرید و غیره رمزگذاری کرد. به پسوندهای فایل در چنین حروفی توجه کنید - اگر یک فایل اجرایی (.exe) باشد، به احتمال زیاد ممکن است یک ظرف حاوی ویروس Petya\Mischa باشد. و اگر تغییر بدافزار اخیرا انجام شده باشد، آنتی ویروس شما ممکن است پاسخ ندهد.

به روز رسانی 2017/06/30: 27 ژوئن، نسخه اصلاح شده ویروس پتیا (Petya.A)به طور گسترده به کاربران در اوکراین حمله کردند. تاثیر این حمله بسیار زیاد بود و خسارت اقتصادی آن هنوز محاسبه نشده است. در یک روز، کار ده‌ها بانک، زنجیره‌های خرده‌فروشی، سازمان‌های دولتی و شرکت‌های دارای اشکال مختلف مالکیت فلج شد. ویروس عمدتاً از طریق یک آسیب‌پذیری در سیستم گزارش‌دهی حسابداری اوکراینی MeDoc با آخرین به‌روزرسانی خودکار این نرم‌افزار پخش شد. علاوه بر این، این ویروس کشورهایی مانند روسیه، اسپانیا، بریتانیا، فرانسه و لیتوانی را تحت تاثیر قرار داده است.

ویروس Petya و Mischa را با استفاده از پاک کننده خودکار حذف کنید

یک روش بسیار موثر برای کار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی و حذف کامل آنها را با یک کلیک تضمین می کند. لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.

1. . پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع به اسکن کنید).
2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف تمام تهدیدات شناسایی شده، گزینه را انتخاب کنید رفع تهدیدها(از بین بردن تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار Mischa فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند، به طوری که داده‌های رمزگذاری‌شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد - بدون پرداخت مبلغ ناشناخته باج (گاهی اوقات تا 1000 دلار). اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکار فایل (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این امکان را برای نرم افزارهایی مانند بازیابی اشیاء پاک شده فراهم می کند، حتی اگر قابلیت اطمینان حذف آنها تضمین شود. به شدت توصیه می شود به روش بازیابی فایل متوسل شوید؛ اثربخشی آن بدون شک است.

کپی سایه از مجلدات

این رویکرد مبتنی بر فرآیند پشتیبان‌گیری از فایل ویندوز است که در هر نقطه بازیابی تکرار می‌شود. یک شرط مهم برای کارکرد این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

وجود احتمالی اجزای باقیمانده باج افزار Petya و Mischa را بررسی کنید

تمیز کردن دستی باعث از دست رفتن تکه‌های باج‌افزاری می‌شود که می‌توانند به‌عنوان اشیاء مخفی سیستم‌عامل یا آیتم‌های رجیستری حذف شوند. برای از بین بردن خطر حفظ جزئی عناصر مخرب فردی، رایانه خود را با استفاده از یک بسته نرم افزار امنیتی قابل اعتماد که در نرم افزارهای مخرب تخصص دارد اسکن کنید.