Comment récupérer des données après une attaque du virus Petya (instructions étape par étape). Comment décrypter les données sur un disque après le virus Petya

27/06/2017, pour ceux qui ne font pas de sauvegardes sur média amovible, est devenu le jour le plus sombre lorsque le virus Petya wiper, en seulement une demi-heure de son travail, a détruit la semaine de quelqu'un et les 10 à 12 années de travail de quelqu'un, une archive de fichiers précieux, de bases de données et d'autres choses. Forcé de commencer sa vie avec table rase. Cependant, il est possible de sauvegarder au moins les archives et photos Outlook. Détails sous la coupe.
Le virus a fonctionné en deux étapes : il a chiffré les fichiers (pas tous ni complètement), puis a lancé un redémarrage et après le redémarrage, il a chiffré le chargeur de démarrage (MBR). disque dur. Finalement Disque dur transformé en une « citrouille » conditionnelle dont rien ne pouvait être retiré.
Si le PC n'a survécu qu'à la première étape, après avoir restauré le MBR, vous pouvez continuer à travailler pleinement sur le PC et observer les conséquences du crypteur de fichiers et rechercher ceux qui ont survécu. Si le PC est passé par deux étapes, alors tout est bien pire et même le simple fait d'extraire des fichiers est beaucoup plus difficile.

Il n'y a pratiquement aucune recherche d'informations sur RuNet sur la façon de sauvegarder des informations à partir d'un tel disque dur, j'ai donc dû sélectionner empiriquement la stratégie optimale pour rechercher et restaurer ce qui pourrait survivre. Une douzaine de programmes de récupération d'informations ont été testés, mais la plupart des informations ont été récupérées à l'aide du programme R-Studio, qui sera discuté plus loin, avec une description de la séquence d'actions de récupération (toutes les actions seront effectuées sous Windows 7, mais je pense que la version de Windows sur laquelle vous utilisez R-studio n'a pas d'importance).

Je dirai tout de suite que vous pouvez extraire presque tous les fichiers, mais ils seront cryptés, à l'exception des fichiers qui n'ont pas été cryptés, généralement des photos et des vidéos. Il sera possible de restaurer certains fichiers si vous disposez des utilitaires fournis par les développeurs du format de fichier correspondant. À l'aide de l'exemple ci-dessous, nous examinerons le processus de récupération d'un fichier d'archive à partir d'Outlook.

Donc la séquence d'actions :

1. Connectez un disque crypté non formaté (il s'agit d'une exigence clé ; si le disque a été formaté ou si le système d'exploitation y a été réinstallé, les chances de récupérer quoi que ce soit tendent à zéro), qui a traversé 2 étapes de cryptage avec perte. système de fichiers, vers un PC sous Contrôle Windows(vous pouvez vous connecter directement à carte mère via les ports sata/ide et via Adaptateurs USB, selon ce qui vous convient le mieux). Et après avoir démarré le PC, nous recevons un message indiquant la nécessité de formater le lecteur nouvellement connecté (dans mon cas, il s'agit du lecteur G).

Capture d'écran


Cliquez sur Annuler. Nous nous assurons que notre disque est réellement endommagé ; dans le gestionnaire de disque, cela sera déterminé avec le système de fichiers RAW :

Capture d'écran



2. Lancement Programme R-Studio(J'ai utilisé la version 8.2) et regardez les disques trouvés. Notre disque dur de test de 320 Go était connecté via une station d'accueil USB 3.0 et identifié comme un JMicron Tech 023 sous la lettre « G ».

Capture d'écran



Ensuite, double-cliquez sur la ligne avec le disque « G », comme dans la figure ci-dessus, et attendez que le disque termine l'analyse.

3. Une fenêtre R-Studio s'ouvrira avec les résultats de l'analyse (voir figure ci-dessous) :

Capture d'écran



En règle générale, il existe très peu de dossiers avec un nom clair ; tous les éléments les plus précieux se trouvent dans la section « Fichiers supplémentaires trouvés ». Passons donc à l’étape suivante.

4. Sélectionnez avec la souris la ligne « Fichiers supplémentaires trouvés » et appuyez sur le bouton « Rechercher/Marquer » sur le panneau de configuration du programme.

5. Dans la fenêtre qui s'ouvre, sélectionnez une recherche par extension de fichier et spécifiez l'extension pst (format de fichier pour les dossiers d'archives Outlook) et cliquez sur le bouton « Oui ».

Capture d'écran



6. La recherche nous trouvera archives de fichiers, il peut y en avoir beaucoup dans différents dossiers. Par conséquent, nous nous concentrons sur le chemin où vos fichiers d’archives ont été stockés. Dans l'exemple ci-dessous, vous pouvez voir que les fichiers que vous recherchiez se trouvaient dans le dossier Fichiers Outlook.

Capture d'écran



Veuillez noter que si vous regardez menu de gauche et remontez la hiérarchie des dossiers, vous pouvez voir que ce dossier se trouve dans le dossier compte utilisateur et il y a des dossiers Bureau, Documents, etc. De cette façon, vous pouvez extraire des photos et d'autres fichiers que l'utilisateur a stockés dans ces dossiers.

Capture d'écran



7. Ensuite, cochez les cases des fichiers que vous recherchez avec l'extension pst et cliquez sur le bouton « Récupérer marqué », indiquez l'emplacement où enregistrer les fichiers enregistrés (dans mon cas, il s'agit du dossier de récupération sur le lecteur C). Nous attendons la fin du processus de copie des fichiers.

Capture d'écran



8. Le fichier d'archive récupéré est généralement endommagé et ne peut pas être détecté Programme Outlook. Heureusement gros fichiers le virus n'a chiffré que le premier mégaoctet, laissant le reste intact. Par conséquent, nous devons essayer de restaurer la structure des archives, il existe plusieurs façons de le faire :

A) Utilisez l'utilitaire SCANPST inclus dans le package MS Office standard. Par exemple, dans MS Office 2010, cet utilitaire se trouve dans le dossier C:\Program Files (x86)\Microsoft Office\Office14\ si vous disposez de Windows 64 bits et dans le chemin C:\Program Files\Microsoft Office\Office14. lorsque vous utilisez une version 32 bits de Windows.

B) Utilisez des utilitaires tiers. Vous pouvez en trouver beaucoup sur Google.

J'ai utilisé la première option et, en principe, elle a fonctionné sur tous les PC qui m'ont été apportés pour restauration.

Je joins également au message un lien vers des instructions étape par étape pour travailler avec l'utilitaire SCANPST.

C'est tout, les autres fichiers sont restaurés à l'aide d'un algorithme similaire, il vous suffit de les remplacer prolongation requise ou faites défiler manuellement tous les dossiers dans la section « Fichiers supplémentaires trouvés » et sélectionnez ce qui doit exactement être restauré.
Si mon message semble « capitaine » à quelqu'un, ne le critiquez pas trop, tout le monde n'a pas d'expérience en matière de récupération de données et d'outils éprouvés. Si vous avez encore des questions, vous pouvez écrire en MP ou ici dans les commentaires.

Il y a quelques jours, un article est apparu sur notre ressource sur la façon de se protéger du virus et de ses variétés. Dans les mêmes instructions, nous examinerons le pire des cas : votre PC est infecté. Naturellement, après la récupération, chaque utilisateur tente de restaurer ses données et informations personnelles. Cet article abordera les méthodes les plus pratiques et les plus efficaces pour la récupération de données. Il convient de noter que cela n’est pas toujours possible et que nous ne donnerons donc aucune garantie.

Nous considérerons trois scénarios principaux dans lesquels les événements peuvent se développer :
1. L'ordinateur est infecté par le virus Petya.A (ou ses variantes) et est crypté, le système est complètement bloqué. Pour restaurer les données, vous devez saisir une clé spéciale pour laquelle vous devez payer. Il faut dire tout de suite que même si vous payez, cela ne supprimera pas le blocage et ne vous donnera pas accès à votre ordinateur personnel.

2. Une option qui offre à l'utilisateur plus d'options pour actions supplémentaires- votre ordinateur est infecté et le virus a commencé à crypter vos données, mais le cryptage a été arrêté (par exemple en coupant l'alimentation).

3. La dernière option est la plus favorable. Votre ordinateur est infecté, mais le cryptage du système de fichiers n'a pas encore commencé.

Si vous avez la situation numéro 1, c'est-à-dire que toutes vos données sont cryptées, alors à ce stade il n'existe aucun moyen efficace de récupérer informations de l'utilisateur. Il est probable que dans quelques jours ou semaines cette méthode apparaîtra, mais pour l'instant les experts de tout le monde dans le domaine de l'information et sécurité informatique se grattent la tête à ce sujet.

Si le processus de cryptage n'a pas démarré ou n'est pas complètement terminé, l'utilisateur doit l'interrompre immédiatement (le cryptage est affiché comme un processus système de vérification du disque). Si vous avez réussi à charger le système d'exploitation, vous devez immédiatement installer tout antivirus moderne(ils sont tous allumés ce moment reconnaître Petya et faire vérification complète tous les disques. Si Windows ne démarre pas, le propriétaire de la machine infectée devra utiliser disques système ou un lecteur flash pour restaurer le secteur de démarrage MBR.

Restauration du chargeur de démarrage sous Windows XP

Après le téléchargement disque système avec le système d'exploitation Windows XP, vous aurez des options d'action. Dans la fenêtre " Installation de Windows XP Professionnel" et sélectionnez "Pour restaurer Windows XP à l'aide de la console de récupération, appuyez sur R". Ce qui est logique, il vous faudra appuyer sur le clavier R. Une console de restauration de la partition et un message devraient apparaître devant vous :

""1:C:\WINDOWS À quelle copie de Windows dois-je me connecter ?""


Si vous en avez un installé Version Windows XP, puis saisissez « 1 » sur le clavier et appuyez sur Entrée. Si vous disposez de plusieurs systèmes, vous devez sélectionner celui dont vous avez besoin. Vous verrez un message demandant le mot de passe administrateur. S'il n'y a pas de mot de passe, appuyez simplement sur Entrée, en laissant le champ vide. Après cela, une ligne apparaîtra à l'écran, entrez le mot " fixmbr"

Le message suivant devrait apparaître : « AVERTISSEMENT ! Confirmez-vous la saisie du nouveau MBR ? », appuyez sur la touche « Y » du clavier.
La réponse apparaîtra : « Une nouvelle primaire est en cours de création. » Secteur de démarrage sur disque physique....»
"Nouveau principal partition de démarrage créé avec succès."

Restauration du chargeur de démarrage sous Windows Vista

Insérez un disque ou un lecteur flash avec le système d'exploitation Windows Vista. Ensuite, vous devez sélectionner la ligne « Restaurer votre ordinateur ». Sélectionnez le système d'exploitation Windows Vista (si vous en avez plusieurs) à restaurer. Lorsque la fenêtre des options de récupération apparaît, cliquez sur Invite de commandes. À l'invite de commande, entrez la commande " bootrec/FixMbr".

Restauration du chargeur de démarrage sous Windows 7

Insérez un disque ou une clé USB avec le système d'exploitation Windows 7. Sélectionnez le système d'exploitation Windows 7 (si vous en avez plusieurs) que vous souhaitez restaurer. Sélectionnez "Utiliser des outils de récupération qui peuvent aider à résoudre les problèmes" Démarrage de Windows". Ensuite, sélectionnez « Ligne de commande ». Après avoir chargé la ligne de commande, saisissez " bootrec/fixmbr

Restauration du chargeur de démarrage sous Windows 8

Insérez un disque ou une clé USB avec le système d'exploitation Windows 8. Sur l'écran principal, sélectionnez « Réparer votre ordinateur » dans le coin inférieur gauche. Sélectionnez Dépannage. Sélectionnez la ligne de commande, lors du chargement, saisissez : "bootrec/FixMbr" Si tout se passe bien, vous verrez un message correspondant et il ne reste plus qu'à redémarrer l'ordinateur.

Restauration du chargeur de démarrage sous Windows 10

Insérez un disque ou une clé USB avec le système d'exploitation Windows 10. Sur l'écran principal, sélectionnez « Réparer votre ordinateur » dans le coin inférieur gauche. Sélectionnez Dépannage. Sélectionnez la ligne de commande, lors du chargement, saisissez : "bootrec/FixMbr" Si tout se passe bien, vous verrez un message correspondant et il ne reste plus qu'à redémarrer l'ordinateur.

Le virus Petya est un virus à croissance rapide qui a touché presque toutes les grandes entreprises d'Ukraine le 27 juin 2017. Le virus Petya crypte vos fichiers et propose ensuite une rançon pour ceux-ci.

Le nouveau virus infecte le disque dur de l'ordinateur et fonctionne comme un virus de chiffrement de fichiers. À travers certaine heure, le virus Petya « mange » les fichiers sur votre ordinateur et ils sont cryptés (comme si les fichiers étaient archivés et qu'un mot de passe lourd était défini)
Fichiers affectés par un virus Rançongiciel Petya, alors vous ne pouvez pas les restaurer (il y a un pourcentage que vous pouvez restaurer, mais il est très faible)
Un algorithme qui récupère les fichiers affectés par Virus Petya- NON
Avec l'aide de cet article court et MAXIMUM utile, vous pouvez vous protéger du #virusPetya

Comment IDENTIFIER le virus Petya ou WannaCry et NE PAS être infecté par le virus

Lorsque vous téléchargez un fichier via Internet, vérifiez-le avec un antivirus en ligne. Antivirus en ligne peut détecter à l'avance un virus dans un fichier et prévenir l'infection par le virus Petya. Tout ce que vous avez à faire est de vérifier le fichier téléchargé à l'aide de VirusTotal, puis de l'exécuter. Même si vous avez TÉLÉCHARGÉ le PETYA VIRUS, mais que vous ne l'avez PAS exécuté fichier de virus, le virus n’est PAS actif et ne cause aucun dommage. Ce n'est qu'après avoir exécuté un fichier nuisible que vous lancez un virus, rappelez-vous ceci

UTILISER CETTE MÉTHODE VOUS DONNE SEULEMENT TOUTES LES CHANCES DE NE PAS ÊTRE INFECTÉ PAR LE VIRUS PETYA
Le virus Petya ressemble à ceci :

Comment vous protéger du virus Petya

Entreprise Symantec a proposé une solution qui vous permet de vous protéger du virus Petya en prétendant que vous l'avez déjà installé.
Le virus Petya, lorsqu'il pénètre dans un ordinateur, crée dans le dossier C:\Windows\perfc déposer parfait ou perfc.dll
Pour faire croire au virus qu'il est déjà installé et ne pas continuer son activité, créez dans le dossier C:\Windows\perfc fichier avec un contenu vide et enregistrez-le en réglant le mode d'édition sur « Lecture seule »
Ou téléchargez virus-petya-perfc.zip et décompressez le dossier parfait vers un dossier C:\Windows\ et réglez le mode de modification sur « Lecture seule »
Télécharger virus-petya-perfc.zip



MISE À JOUR 29/06/2017
Je recommande également de télécharger simplement les deux fichiers dans Dossier Windows. De nombreuses sources écrivent que le fichier parfait ou perfc.dll doit être dans le dossier C:\Windows\

Que faire si votre ordinateur est déjà infecté par le virus Petya

N'allumez pas un ordinateur qui vous a déjà infecté par le virus Petya. Le virus Petya fonctionne de telle manière que lorsque l'ordinateur infecté est allumé, il crypte les fichiers. Autrement dit, tant que votre ordinateur infecté par le virus Petya reste allumé, de plus en plus de fichiers peuvent être infectés et cryptés.
Winchester de cet ordinateurça vaut le détour. Vous pouvez le vérifier avec en utilisant LIVECD ou LIVEUSB avec antivirus
Clé USB amorçable avec Kaspersky Rescue Disk 10
Clé USB bootable Dr.Web LiveDisk

Qui a propagé le virus Petya dans toute l'Ukraine

Microsoft a exprimé son point de vue concernant l'infection du réseau mondial dans les grandes entreprises ukrainiennes. La raison était la mise à jour du programme M.E.Doc. M.E.Doc- populaire programme de comptabilité, c'est pourquoi l'entreprise a commis une si grosse erreur lorsque le virus est entré dans la mise à jour et a installé le virus Petya sur des milliers de PC sur lesquels le programme M.E.Doc était installé. Et comme le virus affecte les ordinateurs du même réseau, il se propage à une vitesse fulgurante.
# : Le virus Petya affecte Android, le virus Petya, comment détecter et supprimer le virus Petya, comment traiter le virus Petya, M.E.Doc, Microsoft, créer un dossier Virus Petya

L'attaque du virus Petya.A a touché des dizaines de pays en quelques jours et a pris des proportions épidémiques en Ukraine, où le programme de reporting et de gestion de documents M.E.Doc a été impliqué dans la propagation du malware. Plus tard, des experts ont déclaré que l’objectif des attaquants était de détruire complètement les données, mais, selon la cyber-police ukrainienne, si le système est partiellement infecté, il est possible de restaurer les fichiers.

Comment fonctionne Petya

Si un virus obtient des droits d'administrateur, les chercheurs identifient trois scénarios principaux concernant son impact :

  • L'ordinateur est infecté et crypté, le système est complètement compromis. Pour récupérer des données, une clé privée est requise et un message s'affiche à l'écran exigeant le paiement d'une rançon (bien que ce soit le cas).
  • L'ordinateur est infecté et partiellement crypté - le système a commencé à crypter les fichiers, mais l'utilisateur a arrêté ce processus en coupant l'alimentation ou par d'autres moyens.
  • L'ordinateur est infecté, mais le processus de chiffrement de la table MFT n'a pas encore commencé.

Dans le premier cas façon efficace Il n'y a pas encore de décryptage des données. Aujourd'hui, des spécialistes de la cyber-police et des sociétés informatiques le recherchent, ainsi que créateur du virus Petya original(permettant de restaurer le système à l'aide d'une clé). Si la table principale des fichiers MFT est partiellement ou pas du tout affectée, il est toujours possible d'accéder aux fichiers.

La cyberpolice a cité deux étapes principales du virus Petya modifié :

Premièrement : obtenir les droits d'administrateur privilégiés (lors de l'utilisation Active Directory ils sont handicapés). Premièrement, le virus enregistre le secteur de démarrage d'origine pour système opérateur Bitmap crypté MBR Opérations XOR(xor 0x7), après quoi il écrit son propre chargeur de démarrage à sa place. Le reste du code du cheval de Troie est écrit dans les premiers secteurs du disque. A ce stade, il est créé fichier texte sur le cryptage, mais les données ne sont pas encore cryptées.

La deuxième phase de cryptage des données commence après le redémarrage du système. Petya accède désormais à son propre secteur de configuration, qui contient une marque sur les données non cryptées. Après cela, le processus de cryptage commence et s'affiche à l'écran comme étant fonctionnel. Vérifier les programmes Disque. S'il est déjà en cours d'exécution, vous devez couper l'alimentation et essayer d'utiliser la méthode de récupération de données proposée.

Que proposent-ils ?

Vous devez d'abord démarrer à partir de disque d'installation Les fenêtres. Si une table avec sections de dur disque (ou SSD), vous pouvez commencer la procédure de restauration du secteur de démarrage MBR. Ensuite, vous devriez vérifier le disque pour les fichiers infectés. Aujourd'hui, Petya est reconnu par tous les antivirus populaires.

Si le processus de cryptage a été lancé, mais que l'utilisateur a réussi à l'interrompre, après avoir chargé le système d'exploitation, vous devez utiliser un logiciel pour récupérer les fichiers cryptés (R-Studio et autres). Les données devront être enregistrées dans médias externes et réinstallez le système.

Comment restaurer le chargeur de démarrage

Pour le système d'exploitation Windows XP :

Après avoir téléchargé l'installation Disque Windows XP dans RAM PC, la boîte de dialogue « Installer Windows XP Professionnel » apparaîtra avec un menu de sélection, dans lequel vous devez sélectionner l'option « pour restaurer Windows XP à l'aide de la console de récupération, appuyez sur R ». Appuyez sur la touche "R".

La console de récupération se chargera.

Si le PC a un système d'exploitation installé et qu'il est (par défaut) installé sur le lecteur C, le message suivant apparaîtra :

"1:C:\WINDOWS À quelle copie de Windows dois-je me connecter ?"

Entrez le chiffre « 1 », appuyez sur la touche « Entrée ».

Un message apparaîtra : « Entrez votre mot de passe administrateur. » Entrez votre mot de passe, appuyez sur "Entrée" (s'il n'y a pas de mot de passe, appuyez simplement sur "Entrée").

Vous devriez être invité : C:\WINDOWS>, entrez fixmbr

Le message « AVERTISSEMENT » apparaîtra alors.

« Confirmez-vous la saisie du nouveau MBR ? », appuyez sur la touche « Y ».

Un message apparaîtra : « Un nouveau secteur de démarrage principal est en cours de création sur le disque physique \Device\Harddisk0\Partition0. »

"La nouvelle partition de démarrage principale a été créée avec succès."

Pour Windows Vista :

Téléchargez Windows Vista. Sélectionnez votre langue et la disposition du clavier. Sur l'écran de bienvenue, cliquez sur "Restaurer votre ordinateur". Windows Vista modifiera le menu de l'ordinateur.

Sélectionnez votre système d'exploitation et cliquez sur Suivant. Lorsque la fenêtre Options de récupération système apparaît, cliquez sur Invite de commandes. Quand apparaîtra-t-il ligne de commande, entrez cette commande :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout s'est bien passé, un message de confirmation apparaîtra à l'écran.

Pour Windows 7 :

Démarrez Windows 7. Sélectionnez votre langue, la disposition du clavier et cliquez sur Suivant.

Sélectionnez votre système d'exploitation et cliquez sur Suivant. Lorsque vous choisissez un système d'exploitation, vous devez cocher « Utiliser des outils de récupération qui peuvent aider à résoudre les problèmes de démarrage de Windows ».

Sur l'écran Options de récupération système, cliquez sur le bouton Invite de commandes. Lorsque l'invite de commande démarre correctement, entrez la commande :

bootrec/fixmbr

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Pour Windows 8 :

Démarrez Windows 8. Sur l’écran de bienvenue, cliquez sur le bouton Réparer votre PC.

Sélectionnez Dépannage. Sélectionnez la ligne de commande, lors du chargement, saisissez :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout s'est bien passé, un message de confirmation apparaîtra à l'écran.

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Pour Windows 10 :

Démarrez Windows 10. Sur l’écran de bienvenue, cliquez sur le bouton « Réparer votre PC », sélectionnez « Dépannage ».

Sélectionnez Invite de commandes. Lorsque l'invite de commande se charge, entrez la commande :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout s'est bien passé, un message de confirmation apparaîtra à l'écran.

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Presque tous les utilisateurs disposent de programmes antivirus sur leur ordinateur, mais parfois un cheval de Troie ou un virus apparaît qui peut contourner le plus meilleure protection et infecter votre appareil, et pire encore, chiffrer vos données. Cette fois, le cheval de Troie de chiffrement « Petya » ou, comme on l'appelle aussi, « Petya », est devenu un tel virus. Taux de propagation compte tenu des menaces très impressionnant : en quelques jours, il a pu « visiter » la Russie, l’Ukraine, Israël, l’Australie, les États-Unis, tous les grands pays européens et bien plus encore. En gros, il a frappé utilisateurs d'entreprise(aéroports, centrales électriques, industrie du tourisme), mais a également souffert des gens ordinaires. En termes d'ampleur et de méthodes d'influence, il est extrêmement similaire à celui qui a récemment fait sensation.

Vous devez absolument protéger votre ordinateur pour éviter de devenir victime du nouveau cheval de Troie ransomware Petya. Dans cet article, je vais vous expliquer de quel type de virus Petya il s'agit, comment il se propage et comment vous protéger contre cette menace. De plus, nous aborderons les problèmes de suppression des chevaux de Troie et de décryptage des informations.

Qu'est-ce que le virus Petya ?

Tout d’abord, nous devons comprendre ce qu’est Petya. Le virus Petya est malveillant logiciel, qui est un cheval de Troie de type ransomware. Ces virus sont conçus pour faire chanter les propriétaires d’appareils infectés afin d’obtenir une rançon pour les données cryptées. Contrairement à Vouloir pleurer, Petya ne prend pas la peine de crypter des fichiers individuels - il « enlève » presque instantanément votre tout est dur disque entier.

Le nom correct du nouveau virus est Petya.A. De plus, Kaspersky l'appelle NotPetya/ExPetr.

Description du virus Petya

Après avoir frappé votre ordinateur en cours d'exécution Systèmes Windows, Petya crypte presque instantanément MFT(Tableau des fichiers maîtres - table principale des fichiers). De quoi est responsable cette table ?

Imaginez que votre disque dur soit la plus grande bibliothèque de tout l'univers. Il contient des milliards de livres. Alors, comment trouver le bon livre ? Uniquement via le catalogue de la bibliothèque. C'est ce catalogue que Petya détruit. Ainsi, vous perdez toute possibilité de retrouver n’importe quel « fichier » sur votre PC. Pour être encore plus précis, après le « travail » de Petit, le disque dur de votre ordinateur ressemblera à une bibliothèque après une tornade, avec des bouts de livres volant partout.

Ainsi, contrairement à Wanna Cry, dont j'évoquais au début de l'article, Petya.A ne crypte pas fichiers séparés, y consacrant un temps impressionnant - il vous enlève simplement toute opportunité de les trouver.

Après toutes ses manipulations, il demande aux utilisateurs une rançon de 300 $, qui doit être transférée sur un compte Bitcoin.

Qui a créé le virus Petya ?

Lors de la création du virus Petya, un exploit (« trou ») dans le système d'exploitation Windows appelé « EternalBlue » a été utilisé. Microsoft a publié un correctif qui « comble » ce trou il y a plusieurs mois. Cependant, tout le monde n'utilise pas le logiciel sous licence. une copie de Windows et installe toutes les mises à jour du système, n'est-ce pas ?)

Le créateur de « Petit » a su utiliser judicieusement la négligence des utilisateurs professionnels et privés et en tirer profit. Son identité est encore inconnue (et il est peu probable qu'elle soit connue)

Comment le virus Petya se propage-t-il ?

Le virus Petya se propage le plus souvent sous couvert d'attachements à e-mails et dans les archives avec des logiciels infectés piratés. La pièce jointe peut contenir absolument n'importe quel fichier, y compris une photo ou un mp3 (comme cela semble à première vue). Après avoir exécuté le fichier, votre ordinateur redémarrera et le virus simulera une vérification du disque pour Erreurs CHKDSK, et à ce moment il va modifier entrée de démarrage votre ordinateur (MBR). Après cela, vous verrez un crâne rouge sur l’écran de votre ordinateur. En cliquant sur n'importe quel bouton, vous pouvez accéder à un texte dans lequel il vous sera demandé de payer pour le décryptage de vos fichiers et de transférer le montant requis vers un portefeuille Bitcoin.

Comment se protéger du virus Petya ?

  • Le plus important et le plus fondamental est de se donner pour règle d’installer les mises à jour de votre système d’exploitation ! C’est extrêmement important. Faites-le maintenant, ne tardez pas.
  • Portez une attention particulière à toutes les pièces jointes aux lettres, même si les lettres proviennent de personnes que vous connaissez. Pendant l’épidémie, il est préférable d’utiliser des sources alternatives de transmission de données.
  • Activez l'option « Afficher les extensions de fichier » dans les paramètres du système d'exploitation - de cette façon, vous pouvez toujours voir la véritable extension du fichier.
  • Activez « Contrôle de compte d'utilisateur » dans les paramètres Windows.
  • Vous devez en installer un pour éviter toute infection. Commencez par installer une mise à jour du système d'exploitation, puis installez un antivirus - et vous serez beaucoup plus en sécurité qu'avant.
  • Assurez-vous de faire des « sauvegardes » - sauvegardez toutes les données importantes sur externe dur disque ou vers le cloud. Ensuite, si le virus Petya pénètre dans votre PC et crypte toutes les données, il vous sera assez simple de formater votre disque dur et de réinstaller le système d'exploitation.
  • Vérifiez toujours la pertinence bases de données antivirus votre antivirus. Tous bons antivirus surveillez les menaces et y répondez en temps opportun en mettant à jour les signatures des menaces.
  • Installer utilitaire gratuit Kaspersky Anti-Ransomware. Il vous protégera du cryptage des virus. L'installation de ce logiciel ne vous dispense pas d'installer un antivirus.

Comment supprimer le virus Petya ?

Comment supprimer le virus Petya.A de votre disque dur ? C'est extrêmement intérêt Demander. Le fait est que si le virus a déjà bloqué vos données, il n'y aura en réalité rien à supprimer. Si vous ne prévoyez pas de payer un ransomware (ce que vous ne devriez pas faire) et n'essayez pas de récupérer des données sur le disque à l'avenir, vous pouvez simplement formater le disque et réinstaller le système d'exploitation. Après cela, il ne restera plus aucune trace du virus.

Si vous pensez qu'il y a un fichier infecté sur votre disque, analysez votre disque avec l'un d'entre eux, ou installez l'antivirus Kaspersky et effectuez une analyse complète du système. Le développeur a assuré que sa base de données de signatures contient déjà des informations sur ce virus.

Petya.Un décrypteur

Petya.A crypte vos données avec un algorithme très puissant. Il n’existe actuellement aucune solution pour décrypter les informations bloquées. De plus, vous ne devriez pas essayer d’accéder aux données à la maison.

Sans aucun doute, nous rêverions tous d’obtenir le décrypteur miraculeux Petya.A, mais une telle solution n’existe tout simplement pas. Le virus a frappé le monde il y a plusieurs mois, mais aucun remède pour décrypter les données qu’il crypte n’a jamais été trouvé.

Par conséquent, si vous n'êtes pas encore victime du virus Petya, écoutez les conseils que j'ai donnés au début de l'article. Si vous avez toujours perdu le contrôle de vos données, vous disposez de plusieurs options.

  • Verser de l'argent. Cela ne sert à rien de faire ça ! Les experts ont déjà découvert que le créateur du virus ne restaure pas les données et ne peut pas les restaurer, compte tenu de la technique de cryptage.
  • Retirez le disque dur de votre appareil, placez-le soigneusement dans le meuble et appuyez sur le décrypteur pour apparaître. D'ailleurs, Kaspersky Lab travaille constamment dans cette direction. Les décrypteurs disponibles sont disponibles sur le site Web No Ransom.
  • Formatage du disque et installation du système d'exploitation. L'inconvénient est que toutes les données seront perdues.

Le virus Petya.A en Russie

En Russie et en Ukraine, plus de 80 entreprises ont été attaquées et infectées au moment de la rédaction de cet article, notamment de grandes entreprises comme Bashneft et Rosneft. Infection de l'infrastructure d'un tel grandes entreprises parle de la gravité du virus Petya.A. Il ne fait aucun doute que le cheval de Troie ransomware continuera à se propager dans toute la Russie, vous devez donc veiller à la sécurité de vos données et suivre les conseils donnés dans l'article.

Petya.A et Android, iOS, Mac, Linux

De nombreux utilisateurs se demandent si le virus Petya peut infecter leurs appareils sous Contrôle Android et iOS. Je vais m’empresser de les rassurer : non, ce n’est pas possible. Il est destiné uniquement aux utilisateurs du système d'exploitation Windows. Il en va de même pour les fans de Linux et Mac : vous pouvez dormir paisiblement, rien ne vous menace.

Conclusion

Alors aujourd'hui, nous avons discuté en détail nouveau virus Petya.A. Nous avons compris ce qu'est ce cheval de Troie et comment il fonctionne, nous avons appris comment nous protéger contre l'infection et supprimer le virus, et où trouver le décrypteur Petya. J'espère que l'article et mes conseils vous ont été utiles.

ARTICLES LIÉS