В минулому році приносили комп, там була подібна ситуація. Сама система не постраждала, тільки всі документи користувача пошифрувало, файли отримали розширення .vault . До цього часу не зустрічав вирішення проблеми. Інша учителька зізналась, що відправила гроші (500 грн), але дешифратора так і не отримала.
Если первоначальный Petya был действительно вирусом-вымогателем, то новая инкарнация Petya.A ориентирована на нанесение максимального ущерба. А требование выкупа является лишь вводящим в заблуждение прикрытием.Дело в том, что вирус Petya образца 2016 года шифровал данные, а после получения выкупа позволял восстановить зашифрованные файлы. Новый вирус Petya.A не только шифрует данные и MFT (Master File Table), но и перезаписывает MBR (Master Boot Record). Он уничтожает первые 25 секторов загрузочной записи накопителя. Сектора просто перезаписываются. Изначально хранящиеся в них данные не считываются и никуда не сохраняются в процессе заражения. Хотя оригинальная версия Petya корректно считывала сектора и затем декодировала их.Таким образом, версия Petya 2016 года изменяла данные на накопителе таким образом, чтобы потом можно было фактически вернуть исходное состояние. В то же время модификация Petya.A 2017 года необратимо повреждает накопитель. В итоге, при заражении вирусом Petya.A даже после уплаты восстановление данных остаётся невозможным. Следовательно, Petya.A является не вымогателем, а уничтожителем данных.Источник: https://blog.comae.io/petya-2....8961d3b
А требование выкупа является лишь вводящим в заблуждение прикрытием
В моєму випадку воно аж ніяк не змогло б дешифрувати, гляньте на скрін сторінки-вимагалки: Ідентифікатор, який я мав би відправити разом з оплатою містить лише нулі! Та й писало якесь не грамотне, а може це так треба? Зверніть увагу на "...ЗАШІВРОВАННИ", та й далі по тексту видно, що писав хтось явно не україномовний.
Если успеете сообразить что вы только что скачали и запустили, потому он установился/запустился, начал шифровать и пошел в перезагрузку, и только единицы людей поняли что произошло, остальные 97% думаю что просто обнова прилетела и вообще ничего страшного, комп ведь иногда перезагружается
Отже шифрує під час роботи ОС, а не
Цитата gromkoНе вірте - до перезавантаження системи вірус не шифрує файли, але пише себе в головний завантажувальний запис жорсткого диску. Питання, перегружаэ сам ОС?
З різних джерел схема виглядає так: "программа-установщик переписывает загрузочную область жесткого диска и показывает «синий экран смерти»: сообщение о сбое, предлагающее перезагрузить компьютер. На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован, и данные можно спасти — например, если выключить компьютер и подключить жесткий диск к другому, но не загружаться с него. В этой ситуации все данные можно будет скопировать. После перезагрузки PetyaА запускает программу, маскирующуюся под утилиту CHKDSK. На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его. После завершения шифрования компьютер показывает экран с сообщением «Вы стали жертвой вируса-вымогателя Petya»"
"программа-установщик переписывает загрузочную область жесткого диска и показывает «синий экран смерти»: сообщение о сбое, предлагающее перезагрузить компьютер.
Shadow DefenderVersion 1.4.0.591 - October 9, 2015 Fixed: Optimize MBR protection. Fixed: Some minor bugs.
ІТ-шники знайшли простий і дієвий спосіб запобігти вірусу Petya
Американська ІТ-компанія Symantec знайша спосіб, який може врятувати комп’ютер від вірусу-здирника Petya. Секрет простий – зробити вигляд, що пристрій вже заражено. За словами фахівців, під час атаки на комп’ютер Petya шукає файл C:\Windows\perfc. Якщо він вже існує, то вірус завершує роботу без зараження. Що потрібно зробити, щоб не заразитись?Фахівці компанії радять створити порожній файл з назвою “perfc” в течці C:\Windows і надати йому параметр “тільки для читання”, щоб вірус не міг вносити у нього зміни. Файл можна створити у простому “Блокноті”. Це ж рішення оприлюднив фахівець з інформаційної безпеки ізраїльської компанії Cybereason Аміт Серпер, повідомляє Mashable. “Враховуючи те, що оригінальне ім’я dll це perfc.dll , створення файлу у течці c:\windows з назвою perfc має запобігти роботі вірусу”, – написав Серпер у Twitter.Такий метод дозволяє вберегти від вірусу індивідуальні комп’ютери, однак вони залишаються його носіями і можуть заражати інші машини у своїй мережі.
За останні дні двічі через чат на Фейсбуці отримував від різних людей "цікаві" файли: zip-архів з назвою на кшталт video_5519.zip, в якому лежить файл з подвійним розширенням, наприклад, Video.61148171.mp4.exe. Ситуація більш-менш типова, але користувачам Віндовс, у яких вимкнено показ розширень у зареєстрованих файлах зареєстрованих типів, якраз варто увімкнути і бути уважними. https://www.virustotal.com/#....tection
15 грудня серед українських користувачів Facebook почав поширюватися новий вірус: в чат приходить повідомлення з вкладеним файлом під назвою video _ *. Zip.Про це повідомляє Цензор.НЕТ. У різних повідомленнях цифри в назві файлу можуть змінюватися, але принцип роботи однаковий - вірус поширюється через особисті повідомлення друзям. Якщо відкрити цей файл, починається завантаження програми. Далі з'являється значок, схожий на YouTube, і зловмисники отримують доступ до даних користувача. Потім хакери починають розсилати заражені файли від його імені. У разі, якщо ви все-таки заразилися новим вірусом у Facebook, видаліть шкідливу програму з комп'ютера через "Панель управління" - "Програми" - "Видалення програм" і очистіть пристрій за допомогою антивірусу. Далі змініть пароль на Facebook і встановіть двохфакторну аутентифікацію (меню "Налаштування", розділ "Безпека і авторизація"). Завдяки двофакторній аутентифікації хакери не зможуть потрапити на вашу сторінку без підтвердження за допомогою SMS.