За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур. Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів. Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних. Рекомендації: Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення. 6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 7. Зробити резервні копії усіх критично важливих даних.
Учора принесли комп'ютер, на екрані "NTLDR is missing". Раніше таке лікував без особливих проблем, а тут все набагато складніше. Загрузився з лайва і побачив, що більшість файлів мають розширення .blcrypt. Спробував файлу image.jpg.blcrypt повернути рідне розширення, але картинка не відкривається, пише про невірний формат зображення. Файли, мабуть, не просто перейменовані, вони ще й шифровані. Випадково звернув увагу, що в папках із шифрованими файлами лежить файл paxynok.html . Підозрюю, що саме цей файл був отриманий по електронці і потім відкритий головбухом організації. Що робити? Чи можна врятувати інформацію? P.S. Відкрив html-файл. Там повідомлення про шифрування файлів, пропонують за 5000 грн відновити файли, навіть є можливість безкоштовної дешифрації одного файла для демонстрації того, що вони не шахраї. В кінці листа підпис: "З повагою Віктор Федорович".
Учора принесли комп'ютер, на екрані "NTLDR is missing". Раніше таке лікував без особливих проблем, а тут все набагато складніше. Загрузився з лайва і побачив, що більшість файлів мають розширення .blcrypt. Спробував файлу image.jpg.blcrypt повернути рідне розширення, але картинка не відкривається, пише про невірний формат зображення. Файли, мабуть, не просто перейменовані, вони ще й шифровані. Випадково звернув увагу, що в папках із шифрованими файлами лежить файл paxynok.html . Підозрюю, що саме цей файл був отриманий по електронці і потім відкритий головбухом організації. Що робити? Чи можна врятувати інформацію?
Цікаво, чому назвали не Vitya.A , адже там підпис "З повагою Віктор Федорович"? В головбуха буде шок, адже там стільки всього "нажитого непосильным трудом".
Цікаво, чому назвали не Vitya.A , адже там підпис "З повагою Віктор Федорович"? В головбуха буде шок, адже там стільки всього "нажитого непосильным трудом".
Вичитав ще й таке...https://ukranews.com/ua....rukciya
Не вірте - до перезавантаження системи вірус не шифрує файли, але пише себе в головний завантажувальний запис жорсткого диску. Після перезавантаження отримаєте веселе повідомлення та зашифровані файли. До речі, файли зашифровані Petya.A неможливо розшифрувати навіть заплативши зловмисникам.
Вичитав ще й таке...https://ukranews.com/ua....rukciya
Те, що там пишуть, не допоможе розшифрувати файли.
Цитатаvolodschool2 ()
на екрані "NTLDR is missing"
Система (XP) не грузилась, підкинув на диск С: свої ntldr та ntdetect.com, вінда запустилась. Скачав і запустив AdwCleaner, познаходило і повидаляло сліди аміго та mail.ru . Встановив антивірус (не було!), просканував, був знайдений шкідливий файл 99.exe в папці для тимчасових файлів. Перевстановив офіс і створив вордівський документ.
Цитатаgromko ()
Після перезавантаження отримаєте веселе повідомлення та зашифровані файли
Після перезавантаження системи всі новостворені файли не шифруються. Вірус зник? А от щодо втрачених (зашифрованих) файлів, то це проблема. Все відформатувати і перевстановити систему можна, тільки інформацію як відновити? Там же були всілякі ключі від веб-банкінгів і від того ж медка.
Не вірте - до перезавантаження системи вірус не шифрує файли, але пише себе в головний завантажувальний запис жорсткого диску. Після перезавантаження отримаєте веселе повідомлення та зашифровані файли.
Я і не вірю. Тільки виникає питання коли ж він встигає їх зашифрувати? За оті секунди поки появиться веселе повідомлення? Коли комп виключений? Можливо він їх шифрує і тут же розшифровує до перезавантаження?(мета так ускладнювати?)
Як ствержують шифрування при перезавантаженні. Якщо я просто вийму вилку з розетки, то шифрування не буде?
Если успеете сообразить что вы только что скачали и запустили, потому он установился/запустился, начал шифровать и пошел в перезагрузку, и только единицы людей поняли что произошло, остальные 97% думаю что просто обнова прилетела и вообще ничего страшного, комп ведь иногда перезагружается
На даний момент - ніяк. Із рекомендацій - зробити резервні копії зашифрованих даних на випадок знаходження алгоритму розшифрування та все перевстановлювати з нуля. На окремих спеціалізованих форумах дуже скептично відносяться до можливості розшифрування таких файлів. І не забудьте поставити патч-оновлення від цього вірусу. Після першої атаки - цього патча для WinXP та Vista не було, а потім Microsoft усвідомила серйозність цієї дірки та випустила оновлення навіть для ХР.