Prieš kelis mėnesius mes ir kiti IT saugos specialistai aptikome naują kenkėjišką programą – Petya (Win32.Trojan-Ransom.Petya.A). Klasikine prasme tai nebuvo šifruotojas; virusas tiesiog užblokavo prieigą prie tam tikrų tipų failų ir pareikalavo išpirkos. Virusas modifikavo įkrovos įrašą kietajame diske, priverstinai perkrovė kompiuterį ir parodė pranešimą, kad „duomenys užšifruoti – švaistykite pinigus iššifravimui“. Apskritai, standartinė šifravimo virusų schema, išskyrus tai, kad failai iš tikrųjų nebuvo užšifruoti. Populiariausios antivirusinės programos pradėjo identifikuoti ir pašalinti Win32.Trojan-Ransom.Petya.A praėjus kelioms savaitėms po jo pasirodymo. Be to, pasirodė rankinio pašalinimo instrukcijos. Kodėl manome, kad Petya nėra klasikinė išpirkos programa? Šis virusas atlieka pagrindinio įkrovos įrašo pakeitimus ir neleidžia įkelti OS, taip pat užšifruoja pagrindinio failo lentelę. Jis neužšifruoja pačių failų.

Tačiau prieš kelias savaites pasirodė sudėtingesnis virusas Mischa, matyt, rašė tie patys sukčiai. Šis virusas ENCRYPTS failus ir reikalauja sumokėti 500 - 875 $ už iššifravimą (skirtingose ​​versijose 1,5 - 1,8 bitkoino). „Iššifravimo“ ir mokėjimo už jį instrukcijos saugomos failuose YOUR_FILES_ARE_ENCRYPTED.HTML ir YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virusas – failo YOUR_FILES_ARE_ENCRYPTED.HTML turinys

Dabar iš tikrųjų įsilaužėliai užkrečia vartotojų kompiuterius dviem kenkėjiškomis programomis: Petya ir Mischa. Pirmajam reikalingos sistemos administratoriaus teisės. Tai yra, jei vartotojas atsisako suteikti Petya administratoriaus teises arba rankiniu būdu ištrina šią kenkėjišką programą, Mischa įsitraukia. Šis virusas nereikalauja administratoriaus teisių, jis yra klasikinis šifruoklis ir iš tikrųjų užšifruoja failus naudodamas stiprų AES algoritmą ir nekeičiant pagrindinio įkrovos įrašo bei failų lentelės aukos kietajame diske.

„Mischa“ kenkėjiška programa užšifruoja ne tik standartinius failų tipus (vaizdo įrašus, paveikslėlius, pristatymus, dokumentus), bet ir .exe failus. Virusas paveikia ne tik \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow ir \Chrome katalogus.

Užsikrečiama pirmiausia elektroniniu paštu, kai gaunamas laiškas su prisegtu failu – virusų diegimo programa. Jis gali būti užšifruotas pagal Mokesčių tarnybos, jūsų buhalterio laišką, kaip pridedami kvitai ir pirkimo kvitai ir kt. Atkreipkite dėmesį į failų plėtinius tokiose raidėse - jei tai yra vykdomasis failas (.exe), tada labai tikėtina, kad tai yra konteineris su Petya\Mischa virusu. Ir jei kenkėjiškos programos modifikavimas atliktas neseniai, jūsų antivirusinė programa gali nereaguoti.

Atnaujinimas 2017-06-30: birželio 27 d., modifikuota Petya viruso versija (Petya.A) masiškai atakavo vartotojus Ukrainoje. Šios atakos poveikis buvo didžiulis, o ekonominė žala dar nepaskaičiuota. Per vieną dieną buvo paralyžiuotas dešimčių bankų, prekybos tinklų, valstybinių įstaigų ir įvairių nuosavybės formų įmonių darbas. Virusas išplito daugiausia dėl Ukrainos apskaitos ataskaitų sistemos MeDoc pažeidžiamumo su naujausiu automatiniu šios programinės įrangos atnaujinimu. Be to, virusas paveikė tokias šalis kaip Rusija, Ispanija, Didžioji Britanija, Prancūzija, Lietuva.

Pašalinkite Petya ir Mischa virusus naudodami automatinį valiklį

Itin efektyvus būdas dirbti su kenkėjiškomis programomis apskritai ir ypač išpirkos reikalaujančiomis programomis. Pasiteisinusio apsauginio komplekso naudojimas garantuoja nuodugnų bet kokių virusinių komponentų aptikimą ir visišką jų pašalinimą vienu paspaudimu. Atminkite, kad kalbame apie du skirtingus procesus: infekcijos pašalinimą ir failų atkūrimą kompiuteryje. Tačiau grėsmę tikrai reikia pašalinti, nes yra informacijos apie kitų ją naudojančių kompiuterių Trojos arklių įvedimą.

1. . Paleidę programinę įrangą, spustelėkite mygtuką Paleiskite kompiuterio nuskaitymą(Pradėti nuskaitymą).
2. Įdiegta programinė įranga pateiks ataskaitą apie nuskaitymo metu aptiktas grėsmes. Norėdami pašalinti visas aptiktas grėsmes, pasirinkite parinktį Ištaisyti grėsmes(Pašalinkite grėsmes). Aptariama kenkėjiška programa bus visiškai pašalinta.

Atkurti prieigą prie užšifruotų failų

Kaip minėta, „Mischa“ išpirkos reikalaujanti programa užrakina failus naudodama stiprų šifravimo algoritmą, kad užšifruotų duomenų nebūtų galima atkurti stebuklingos lazdelės banga – užtenka sumokėti negirdėtą išpirkos sumą (kartais siekiančią iki 1000 USD). Tačiau kai kurie metodai tikrai gali būti išgelbėjimas, kuris padės atkurti svarbius duomenis. Žemiau galite su jais susipažinti.

Automatinė failų atkūrimo programa (dešifratorius)

Žinoma labai neįprasta aplinkybė. Ši infekcija ištrina originalius nešifruotus failus. Taigi šifravimo procesas turto prievartavimo tikslais yra skirtas jų kopijoms. Tai leidžia tokiai programinei įrangai kaip ištrintų objektų atkūrimas, net jei garantuojamas jų pašalinimo patikimumas. Labai rekomenduojama pasinaudoti failų atkūrimo procedūra, jos veiksmingumas nekelia abejonių.

Šešėlinės tomų kopijos

Šis metodas pagrįstas „Windows“ failo atsarginės kopijos kūrimo procesu, kuris kartojamas kiekviename atkūrimo taške. Svarbi sąlyga, kad šis metodas veiktų: prieš užsikrėtimą turi būti įjungta „Sistemos atkūrimo“ funkcija. Tačiau visi failo pakeitimai, atlikti po atkūrimo taško, nebus rodomi atkurtoje failo versijoje.

Atsarginė kopija

Tai geriausias iš visų ne išpirkos būdų. Jei duomenų atsarginių kopijų kūrimo į išorinį serverį procedūra buvo naudojama prieš išpirkos programinės įrangos ataką jūsų kompiuteryje, norint atkurti užšifruotus failus tereikia įvesti atitinkamą sąsają, pasirinkti reikiamus failus ir paleisti duomenų atkūrimo mechanizmą iš atsarginės kopijos. Prieš atlikdami operaciją, turite įsitikinti, kad išpirkos reikalaujanti programa yra visiškai pašalinta.

Patikrinkite, ar nėra Petya ir Mischa išpirkos programų likutinių komponentų

Valant rankiniu būdu kyla pavojus, kad trūks atskirų išpirkos reikalaujančių programų, kurios gali būti pašalintos kaip paslėpti operacinės sistemos objektai arba registro elementai. Norėdami pašalinti atskirų kenkėjiškų elementų dalinio išsaugojimo riziką, nuskaitykite kompiuterį naudodami patikimą saugos programinės įrangos paketą, kurio specializacija yra kenkėjiška programinė įranga.