Создать файл от вируса петя. Найдена защита от вируса Petya. Как защитить компьютер от Petya

Масштабное заражение вирусом Petya A настигло Украину и Россию. Больше всего пострадали крупные компании стран.
Для защиты от вируса необходимо закрыть TCP-порты на ПК с Windows: 1024-1035, 137, 138, 139, 445 и 135.
Для этого необходимо выполнить несложную инструкцию по защите от вируса Petya A:

  • 1. Зайти в Пуск/Парамерты/Сеть и Интернет.
  • 2. Справа в панели выбрать Брендмауэр Windows.
  • 3. Нажать ссылку "Дополнительные параметры".
  • 4. В панели слева выбрать "Правила для входящих подключений", далее "Создать новое правило".
  • 5. Правило создаем для порта, нажимаем "Далее".
  • 6. Отмечаем радиокнопкой "Протокол TCP" и "Определенные локальные порты" , в поле портов вносим запись: "1024-1035,135,137,138,139,445". Нажимаем "Далее"
  • 7. На этом этапе выбираем "Блокировать подключение", Нажимаем "Далее".
  • 8. Для каких профилей применить правило? - здесь ничего не меняем, нажимаем еще раз "Далее".
  • 9. Тут впишите имя правила и намите "Готово".
Обновлено. Важно!

Если вы пользуетесь бухгалтерской программой M.E.doc ни в коем случае не открывайте и не обновляйте ее, а незамедлительно деинсталируйте. В настоящий момент доподлинно известно, что самое массовое заражение произошло именно через данную программу, во время ее следующего обновления.

Еще одним важным шагом является отключение на вашем компьютере протокола SMBv1. Самую подробную инструкцию как это сделать можно прочитать на официальном сайте Microsoft как отключить протокол SMBv1

Также настоятельно рекомендуем установить на вашем компьютере программу для защиты от несанкционированных записей в MBR (главная загрузочная запись). Для этих целей подойдет программа MBR filter

Необходимо проверить наличие файла по адресу C:Windows/perfc.dat Если файла нет, откройте блокнот, создайте пустой файл с именем perfc и расширением.dat по этому адресу (Файл->Сохранить как->введите имя файла без кавычек "perfc.dat" в папку C:Windows).

Откройте папку C:Windows, найдите созданый файл и измените права на "Только дл чтения" (клик правкой кнопкой мыши на файле->Свойства->установить атрибут "Только для тения"->нажать "ОК").

Если файл C:Windows/perfc.dat существовал без вашего создания - ни в коем случае не перезагружайте свой компьютер, а читайте инструкцию ниже.

Обновлено. Важно!

Если вы только подозреваете заражение, но компьютер еще работает - НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕЗАГРУЖАЙТЕ ЕГО . Petya A сработает при перегрузке и зашифрует все файлы на вашем ПК.
Если вы только подозреваете заражение вирусом Petya A, то лучше действовать по такому сценарию:

  • сохраните самые важные файлы на независимый носитель, а лучше сделайте полную копию всех файлов вместе с ОС;
  • завершите все локальные задачи на ПК;
  • установите патч с сайта Microsoft в зависимости от версии Windows;
  • обновите базу вашего антивируса до актуального состояния и проведите полное сканирование системы;
  • соощите вашему системному администратору о существующей проблеме и проделанной работе.

Инструкция по защите от вируса Petya A в картинках (закрытие портов на Windows).

Инструкция по защите от вируса Petya для Windows 7:

1. Зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

2. В открывшемся окне выберите пункт «Дополнительные параметры»;

3. В левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;

5. В следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;

7. В следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

8. Примените правило для всех профилей и закончите процедуру;

9. Аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

После выполнения всех этих шагов ваш компьютер будет надежно защищен от вируса под названием "Petya A".

Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали трояна-шифратора Petya.C. Вирусная лаборатория ESET продолжает изучение новой угрозы и дополняет данное сообщение по мере поступления новой информации.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET с начала атаки детектируют ее как Win32/Diskcoder.C Trojan, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR - Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация бухгалтерского программного обеспечения M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации.

Шифратор распространяется при помощи SMB-эксплойта , который ранее обусловил массовый характер заражения WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает высокую скорость развития эпидемии.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Профилактика

1. Выключите все компьютеры в сети.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Live CD и создайте три пустых файла со следующими названиями и расширениями:

  • c:\windows\perfc
  • c:\windows\perfc.dat
  • c:\windows\perfc.dll
4. Если это возможно, отключите протокол SMBv1:
  • при помощи групповых политик
  • локально на каждом компьютере
5. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.

6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный.

7. Если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.

8. Не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.

9. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке . Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление , выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

10. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке .

11. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения:
  • корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление .
  • для домашних пользователей также доступно обновление .
12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

Если на экране появилось требование выкупа

1. Выключите компьютер.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. Проверьте, зашифрован ли диск. Если диск не зашифрован, выберите один из двух вариантов:

3.1. загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows;
восстановите MBR, запустив команду fixmbr

3.2. загрузите компьютер с Linux Live CD/USB;
используйте TestDisk, чтобы исправить MBR

4. Если диск уже зашифрован, возможны два варианта:

4.1. У вас нет важных данных на дисках:
  • см. раздел «Профилактика»
4.2. На зашифрованных дисках были важные данные:
  • используйте ESET Sysrecue Live для создания полной копии диска
  • переустановите операционную систему или восстановите ее из бэкапа
  • см. раздел «Профилактика»
  • ожидайте дальнейших инструкций ESET
5. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
  • почтовый адрес операторов Petya.C был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
  • выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров;
  • получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
  • выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.

Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya

Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом

При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это

ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:

Как Уберечь Себя От Вируса Petya

Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip



ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\

Что Делать Если Компьютер Уже Поражён Вирусом Petya

Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk

Кто Распространил Вирус Петя По Всей Украине

Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя

Вы можете ознакомиться также с другими статьями на тему "Windows 8.1, 7, XP"

Новая волна цифровой пандемии охватила преимущественно компьютеры пользователей и организаций Европы и США. Согласно статистическим данным, основной удар вирусной атаки Petya пришелся на Украину, где отслеживается более 70% от всех заражённых устройств. Стоит отметить, в первую волну атаки были заражены компьютеры крупных компаний и организаций в более чем 60 странах.

Принцип работы вируса

Вирус-шифровальщик Petya проникает в систему через интернет-соединение, скачивая и декомпилируя файл-исполнитель. Заражение компьютера происходит быстро, так как:

  • файлы, размером до 1 Мб шифруются полностью;
  • в файлах большего объёма шифруется только 1 Мб кода;
  • для каждого системного диска создаётся отдельный поток, ускоряющий работу вируса;
  • используется уникальная шифровка данных, не имеющая аналогов;
  • Petya использует системные библиотеки.

Полная шифровка всех системных данных происходит после перезагрузки компьютера. На экране появляется сообщение, где разработчик вируса просит перечислить $300 в криптовалюте Bitcoin на специальный кошелёк и прислать на электронную почту письмо с номером перевода. В отличие от первых версий вируса 2016 года, новая модификация необратимо поражает систему. Решения по самостоятельному восстановлению данных не существует.

Пользователи, которые перевели деньги злоумышленнику, код для восстановления системы так и не получили. Вирус был разработан не с целью вымогания средств, а для нанесения ущерба пользовательским данным и нарушения работы крупных компаний и организаций. Этому свидетельствует наличие только одного электронного адреса для подтверждения платежа, который был заблокирован. Злоумышленники не получат вашего письма с кодом выполненного перевода Bitcoin. Точную информацию о разработчиках вирусной программы выяснить не удалось.

Как защитить компьютер от Petya

Предварительно защитить компьютер от шифрования файлов не сложно. Для этого в папке с Windows, путь к которой стандартно находится по адресу C:\Windows необходимо создать файл с названием perfc.

Дополнительно требуется установить атрибут «только для чтения». Это можно сделать, нажав ПКМ на требуемый файл и открыть параметр «Свойства». Установите галочку возле параметра «только чтение».

Такое решение защитит от заражения файлов, но не от распространения вируса на другие компьютеры. Если вы заметили следы Petya на ПК - не рекомендуется выключать и перезагружать его. Переводите ваше устройство в спящий режим и отключите интернет-соединение.

Вирус-шифровальщик Petya достаточно опасен и может уничтожить все файлы на вашем устройстве. Предварительно позаботьтесь о безопасности!

Стоит отметить, что встроенные средства защиты Windows и популярные антивирусные программы (в т.ч. NOD32) после обновления способны обнаружить и обезвредить вирус.

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже — зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор «Петя» или, как его еще называют, «Petya». Темпы распространения данный угрозы очень впечатляют: за пару дней он смог «побывать» в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя «Петя». В этой статье я расскажу вам о том, что это за вирус «Petya», как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус «Petya»?

Для начала нам стоит понять, чем же является Petya. Вирус Петя — это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название нового вируса — Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса «Petya»

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск — это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп — 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который «закрывает» эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель «Пети» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

  • Самое главное и основное — возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
  • Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
  • Активируйте опцию «Показывать расширения файлов» в настройках ОС — так вы всегда сможете увидеть истинное расширение файлов.
  • Включите «Контроль учетных записей пользователя» в настройках Windows.
  • Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус — и вы уже будете в гораздо большей безопасности, чем раньше.
  • Обязательно делайте «бэкапы» — сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные — вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
  • Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
  • Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя — прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

  • Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
  • Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
  • Форматирование диска и установка операционной системы. Минус — все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как «Башнефть» и «Роснефть». Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.