În urmă cu câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu era un criptator; virusul pur și simplu a blocat accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virusul a modificat înregistrarea de pornire de pe hard disk, a repornit forțat computerul și a afișat un mesaj că „datele sunt criptate - irosește-ți banii pentru decriptare”. În general, schema standard a virușilor de criptare, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A la câteva săptămâni după apariția sa. În plus, au apărut instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică încărcarea sistemului de operare și, de asemenea, criptează tabelul de fișiere master. Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni Mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă cere să plătiți 500 - 875 $ pentru decriptare (în diferite versiuni 1.5 - 1.8 bitcoins). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa – conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator pe sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau șterge manual acest malware, Mischa se implică. Acest virus nu necesită drepturi de administrator, este un criptator clasic și de fapt criptează fișierele folosind algoritmul puternic AES și fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Malware-ul Mischa criptează nu numai tipurile de fișiere standard (videoclipuri, imagini, prezentări, documente), ci și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde se primește o scrisoare cu un fișier atașat – programul de instalare a virusului. Acesta poate fi criptat sub o scrisoare de la Serviciul Fiscal, de la contabilul dumneavoastră, ca chitanțe atașate și chitanțe pentru cumpărături etc. Acordați atenție extensiilor de fișiere din astfel de litere - dacă este un fișier executabil (.exe), atunci cu o mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este recentă, este posibil ca antivirusul dvs. să nu răspundă.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm, iar prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, agenții guvernamentale și întreprinderi cu diferite forme de proprietate a fost paralizată. Virusul s-a răspândit în principal printr-o vulnerabilitate în sistemul ucrainean de raportare contabilă MeDoc cu cea mai recentă actualizare automată a acestui software. În plus, virusul a afectat țări precum Rusia, Spania, Marea Britanie, Franța și Lituania.

Eliminați virusul Petya și Mischa folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea completă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea unei infecții și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută (uneori ajungând până la 1.000 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor; eficacitatea acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procesul de copiere a fișierelor Windows, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale ransomware-ului Petya și Mischa

Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.