ウイルスはどこから来たのですか? Petyaの出身地:M.Edocはハッカー攻撃で告発されています。 Petyaは誰ですか
6月27日火曜日、世界中の企業が電子メールマルウェアによる大規模なサイバー攻撃に見舞われました。 このウイルスは、ハードドライブ上のユーザーデータを暗号化し、ビットコインでお金を引き出します。 多くの人々は、2016年の春に説明されたPetyaウイルスであるとすぐに判断しましたが、ウイルス対策ベンダーは、攻撃が他の新しい悪意のあるプログラムによるものであると信じています。
6月27日の午後、強力なハッカー攻撃が最初にウクライナで発生し、次にいくつかのロシアおよび外国の大手企業が攻撃されました。 多くの人が昨年のPetyaと間違えたこのウイルスは、管理者権限を求めるウィンドウを開くリンクが記載されたスパムメールを介してWindowsを実行しているコンピューターに拡散します。 ユーザーがプログラムに自分のコンピューターへのアクセスを許可すると、ウイルスはユーザーにお金を要求し始めます-ビットコインで300ドル、しばらくすると金額は2倍になります。
2016年初頭に発見されたPetyaウイルスもまったく同じように拡散したため、多くのユーザーがこれを想定していました。 しかし、ウイルス対策ソフトウェア会社の専門家は、他のまったく新しいウイルスが攻撃の原因であるとすでに述べています。 カスペルスキーの専門家はすでに 与えた未知のウイルス名-NotPetya。
予備データによると、これは前述のようにPetyaウイルスではなく、未知の新しいマルウェアです。 したがって、私たちはそれをNotPetyaと名付けました。
Base64でエンコードされた512バイトの検証データとBase64でエンコードされた8バイトのナンスというタイトルの2つのテキストフィールドがあります。 キーを取得するには、プログラムによって抽出されたデータをこれら2つのフィールドに入力する必要があります。
プログラムはパスワードを発行します。 ディスクを挿入し、ウイルスウィンドウを確認して入力する必要があります。
サイバー攻撃の犠牲者
ウクライナの企業は、未知のウイルスに最も苦しんでいました。 ボルィースピリ空港、ウクライナ政府、商店、銀行、メディア、通信会社のコンピューターが感染しました。 その後、ウイルスはロシアに到達しました。 攻撃の犠牲者は、ロスネフチ、バシネフチ、モンデレスインターナショナル、火星、ニベアでした。
ウイルスによるITシステムの問題を報告した外国の組織もあります。英国の広告会社WPP、米国の製薬会社Merck&Co、デンマークの大手貨物運送業者Maerskなどです。 KasperskyLabの国際研究チームの責任者であるKostinRaiuは、これについてTwitterで書いています。
Petrwrap / Petyaランサムウェアの亜種と連絡先 [メール保護]世界中に広がり、多くの国が影響を受けました。
Positive Technologiesによると、ロシアとウクライナの80を超える組織がPetyaの行動の影響を受けました。 WannaCryと比較すると、このウイルスは、Windows Management Instrumentation、PsExec、およびEternalBlueエクスプロイトを使用するいくつかの方法で拡散するため、より破壊的であると認識されています。 さらに、無料のユーティリティMimikatzがランサムウェアに統合されています。
「この一連のツールにより、WannaCryのレッスンが考慮され、対応するセキュリティ更新プログラムがインストールされたインフラストラクチャでもPetyaを運用し続けることができます。そのため、暗号化ランサムウェアは非常に効果的です」とPositiveTechnologiesは述べています。
同社の情報セキュリティ脅威対応部門の責任者であるElmarNabigayevは、Gazeta.Ruに次のように語った。
現在の状況の理由を話すと、問題は再び情報セキュリティの問題に対して不注意な態度になります。
アバストウイルス研究所の責任者であるJakubKroustekは、Gazeta.Ruに、このサイバー攻撃の背後にいる人物を正確に特定することは不可能であると語ったが、RaaSビジネスモデルによれば、Petyaウイルスがダークネット上に広がることはすでに知られている。 (サービスとしてのマルウェア)。
「したがって、プログラムの配布者のシェアは身代金の85%に達し、15%はランサムウェアウイルスの作成者に行きます」とKroustek氏は述べています。 彼は、Petyaの作成者がすべてのインフラストラクチャ、C&Cサーバー、および送金システムを提供していることを指摘しました。これは、プログラミングの経験がなくても、人々をウイルスの拡散に引き付けるのに役立ちます。
さらに、アバストはどのオペレーティングシステムがウイルスの影響を最も受けているかを伝えました。
Windows 7が1位にランクインしました-感染したすべてのコンピューターの78%。 次は、Windows XP(18%)、Windows 10(6%)、Windows 8.1(2%)です。
Kaspersky Labは、このウイルスはPetyaファミリーに似ていますが、それでも別のカテゴリに属していると考え、別の名前を付けました。ExPetr、つまり「元Peter」です。
Aydekoの開発担当副局長であるDmitryKhomutovは、Gazeta.Ru特派員に、WannaCryおよびPetyaウイルスによるサイバー攻撃が、彼が長い間警告していたこと、つまり、使用される情報システムの世界的な脆弱性につながったと説明しました。どこにでも。
「米国企業がインテリジェンスサービスのために残した抜け穴は、ハッカーが利用できるようになり、ランサムウェア、ボットネットクライアント、ネットワークワームなどの従来のサイバー犯罪者の武器とすぐに交差しました」とKhomutov氏は述べています。
したがって、WannaCryは世界のコミュニティに事実上何も教えませんでした。コンピューターは保護されておらず、システムは更新されておらず、古いシステムでもパッチをリリースする努力は無駄になっています。
専門家は、ハッカーが通信のために残したメールアドレスがローカルプロバイダーによってブロックされたため、ビットコインで必要な身代金を支払わないように促します。 したがって、サイバー犯罪者の「正直で善意」の場合でも、ユーザーはお金を失うだけでなく、データのロックを解除するための指示を受け取ることもありません。
ペティアはウクライナに最も害を及ぼしました。 犠牲者の中には、Zaporozhyeoblenergo、Dneproenergo、Kiev Metro、ウクライナの携帯電話会社Kyivstar、LifeCell、Ukrtelecom、Auchanストア、Privatbank、Boryspil空港などがありました。
ウクライナ当局はすぐにロシアをサイバー攻撃のせいにした。
「サイバースペースでの戦争は、何百万人ものパソコンユーザーに恐怖と恐怖をもたらし、企業や政府機関の不安定化による直接的な物的損害を引き起こしている。これは、ロシア帝国のウクライナに対するハイブリッド戦争の全体的な戦略の一部である」と述べた。ポピュラーフロントの議員」。
ウクライナは、会計ソフトウェアであるM.E.docの自動更新を通じて、Petyaが最初に急増したことで最も大きな打撃を受けた可能性があります。 これが、ウクライナの部門、インフラ施設、および商業企業が感染した方法です。これらはすべてこのサービスを使用しています。
ESET Russiaのプレスサービスは、Gazeta.Ruに、セキュリティアップデートのない脆弱なコンピューター1台で、企業ネットワークをPetyaウイルスに感染させるのに十分であると説明しました。 その助けを借りて、悪意のあるプログラムはネットワークに入り、管理者権限を取得し、他のデバイスに拡散します。
ただし、M.E.docは、このバージョンに対する公式の反論を発表しました。
「サイバー攻撃の起源と広がりに関する議論は、ソーシャルネットワーク、フォーラム、その他の情報リソースのユーザーによって活発に行われています。その理由の1つは、M.E.Docプログラムのアップデートのインストールを示しています。 M.E.Doc開発チームはこの情報を否定し、そのような結論は間違いなく誤りであると宣言します。これは、ソフトウェア製品の責任あるサプライヤとして、M.E.Doc開発者が自分のコードの安全性と純度を監視しているためです。
多くのロシアとウクライナの企業がPetyaランサムウェアウイルスに攻撃されました。 このサイトのネットワーク版は、AGIMAインタラクティブエージェンシーであるKaspersky Labの専門家と話し合い、企業のコンピューターをウイルスから保護する方法と、Petyaが同様によく知られているWannaCryランサムウェアウイルスにどのように類似しているかを調べました。
ペティアウイルス
ロシアでは、ロスネフチ、バシネフチ、火星、ニベア、チョコレートメーカーのアルペンゴールドモンデリーズインターナショナルがあります。 チェルノブイリ原子力発電所のランサムウェアウイルス放射線モニタリングシステム。 さらに、この攻撃は、ウクライナ政府、Privatbank、および通信事業者のコンピューターに影響を及ぼしました。 このウイルスはコンピューターをブロックし、ビットコインで300ドルの身代金を要求します。
Twitterのマイクロブログで、ロスネフチのプレスサービスは、同社のサーバーに対するハッカーの攻撃について話しました。 「同社のサーバーに対して強力なハッカー攻撃が行われた。これが現在の司法手続きとは関係がないことを願っている。実際、同社はサイバー攻撃に関連して法執行機関に頼った」とメッセージは述べている。
同社の報道官ミハイル・レオンチェフによれば、ロスネフチとその子会社は正常に運営されている。 攻撃後、同社は生産プロセスのバックアップ制御システムに切り替え、石油の生産と処理が停止しないようにしました。 ホームクレジット銀行システムも攻撃されました。
「ペティア」は「ミシャ」なしでは感染しません
によると AGIMA EvgenyLobanovaのエグゼクティブディレクター実際、攻撃は2つのランサムウェアウイルスであるPetyaとMishaによって実行されました。
「それらは連携して動作します。PetyaはMishaなしでは感染しません。彼は感染できますが、昨日の攻撃は2つのウイルスでした。最初はPetya、次にMishaです。Petyaはブートデバイス(コンピューターの起動元)を書き換え、Mishaはファイルを次のように暗号化します。特定のアルゴリズム-専門家による説明-Petyaはディスクのブートセクター(MBR)を暗号化し、それを独自のアルゴリズムに置き換えます。Mishaはすでにディスク上のすべてのファイルを暗号化しています(常にではありません)。
彼は、今年5月に主要なグローバル企業を攻撃したWannaCryランサムウェアウイルスは、Petyaのようには見えず、新しいバージョンであると述べました。
「Petya.AはWannaCryファミリー(またはWannaCrypt)の製品ですが、主な違いは、同じウイルスではない理由です。MBRが独自のブートセクターに置き換えられているためです。これはランサムウェアにとって目新しいものです。Petyaウイルスはずっと前にGitHab(ITプロジェクトと共同プログラミングのオンラインサービス-サイト)に出現しましたhttps://github.com/leo-stone/hack-petya "target =" _ blank ">このための復号化機能がありました暗号化機能がありますが、新しい変更に適した復号化機能はありません。
イェフゲニー・ロバノフは、攻撃がロシアよりもウクライナに大きな打撃を与えたと強調した。
「私たちは他の西側諸国よりも攻撃を受けやすいです。このバージョンのウイルスからは保護されますが、その変更からは保護されません。私たちのインターネットは安全ではなく、ウクライナではさらに少なくなります。基本的に、運送会社は銀行、携帯電話会社(Vodafone、Kyivstar)、医療会社、同じFarmmag、Shellガソリンスタンド-すべての非常に大規模な大陸横断企業」と彼はサイトとのインタビューで述べた。
AGIMAの常務取締役は、これまでのところ、ウイルスの配布者の地理的位置を示す事実はないと述べました。 彼の意見では、ウイルスはおそらくロシアで発生したと思われます。 残念ながら、これを直接示す証拠はありません。
「最初の変更がロシアで発生したため、これらは私たちのハッカーであると想定されており、誰にも秘密ではないウイルス自体は、ペトロポロシェンコにちなんで名付けられました。これはロシアのハッカーの開発でしたが、誰がそれをさらに変更しました-言うのは難しいです。たとえば、ロシアでも、米国でジオロケーションを備えたコンピューターを手に入れるのは簡単です」と専門家は説明しました。
「コンピュータが突然感染した場合、コンピュータの電源を切ることはできません。再起動すると、システムに再び入ることはありません。」
「コンピュータが突然感染した場合、PetyaウイルスがMBR(オペレーティングシステムがロードされる最初のブートセクタ)に置き換わるため、コンピュータの電源を切ることはできません。再起動すると、システムに再び入ることはありません。これにより、電源が切れます。エスケープルートが表示されても。 "タブレット"データを返すことはできません。次に、コンピュータがオンラインにならないように、すぐにインターネットから切断する必要があります。Microsoftからの公式パッチがすでにリリースされています。残念ながら、まだ100%ではありません。ウイルスの特定の変更(3つの部分)は、これまでのところバイパスしています。「ロバノフが推奨しました。 -ただし、それでも再起動して「ディスクチェック」プロセスの開始を確認した場合は、この時点ですぐにコンピュータの電源を切る必要があり、ファイルは暗号化されないままになります。
さらに、専門家は、MacOSX(Appleのオペレーティングシステム-サイト)やUnixシステムではなく、Microsoftユーザーが最も頻繁に攻撃される理由についても話しました。
「ここでは、MacOSXだけでなく、すべてのUNIXシステムについて話す方が正しいです(原則は同じです)。ウイルスは、モバイルデバイスなしで、コンピューターにのみ広がります。攻撃はWindowsオペレーティングシステムに影響を及ぼし、それらのユーザーのみを脅かします。自動システムアップデート機能を無効にしている人。例外として、アップデートされていない古いバージョンのWindows(XP、Windows 8、Windows Server 2003)の所有者でも利用できます」と専門家は述べています。
「MacOSXとUnixは、多くの大企業がMicrosoftインフラストラクチャを使用しているため、このようなウイルスに世界的にさらされていません。MacOSXは、政府機関にあまり普及していないため、影響を受けません。Microsoftを攻撃してください」と専門家は結論付けました。
「攻撃されたユーザーの数は2000人に達しました」
カスペルスキーのプレスサービスにての専門家は最新の感染の波を調査し続けており、「このランサムウェアは、共通のコードが数行ありますが、すでによく知られているPetyaランサムウェアファミリーには属していません」と述べています。
研究所は、この場合、Petyaとは大幅に異なる機能を備えた悪意のあるソフトウェアの新しいファミリーについて話していると確信しています。 Kaspersky Labは、新しいランサムウェアをExPetrと名付けました。
「KasperskyLabによると、攻撃されたユーザーの数は2,000人に達しました。インシデントのほとんどはロシアとウクライナで記録され、感染の事例はポーランド、イタリア、英国、ドイツ、フランス、米国で観察されました。現在、私たちの専門家は、マルウェアがいくつかの攻撃ベクトルを使用していることを示唆しています。修正されたEternalBlueエクスプロイトとEternalRomanceエクスプロイトが企業ネットワーク全体に広がるために使用されていることがわかりました」とプレスサービスは述べています。
専門家はまた、データの復号化に使用できるデコーダーツールを作成する可能性を模索しています。 ラボはまた、将来のウイルス攻撃を回避するためにすべての組織に推奨事項を作成しました。
「組織はWindowsUpdateをインストールすることをお勧めします。WindowsXPおよびWindows7は、セキュリティ更新プログラムMS17-010をインストールし、効果的なバックアップシステムを確保する必要があります。タイムリーで安全なデータバックアップにより、マルウェアによって暗号化されている場合でも、元のファイルを復元できます。 、「KasperskyLabの専門家がアドバイスしました。
研究所はまた、企業のクライアントがすべての保護メカニズムがアクティブになっていることを確認することをお勧めします。特に、Kaspersky Security Networkのクラウドインフラストラクチャに接続されていることを確認してください。追加の手段として、アプリケーション特権制御コンポーネントを使用することをお勧めします。すべてのアプリケーショングループの実行へのアクセスを拒否するには)「perfc.dat」という名前のファイルなど。
「KasperskyLab製品を使用しない場合は、perfc.datという名前のファイルの実行をブロックするとともに、OS(オペレーティングシステム-Webサイト)に含まれるAppLocker関数を使用してSysinternalsパッケージからのPSExecユーティリティの起動をブロックすることをお勧めします。 )Windows」、実験室で推奨されています。
2017年5月12日、多くの-コンピューターのハードドライブ上のデータの暗号化。 彼はデバイスをロックし、身代金の支払いを要求します。
このウイルスは、保健省、緊急事態省、内務省、携帯電話会社のサーバー、およびいくつかの大手銀行が攻撃されたロシアを含む、世界中の数十か国の組織や部門に影響を及ぼしました。ウイルスの拡散は偶然かつ一時的に停止されました。ハッカーが数行のコードを変更すると、マルウェアは再び機能し始めます。 プログラムによる被害は10億ドルと推定されています。 言語学的な法医学分析の結果、専門家はWannaCryが中国またはシンガポールからの移民によって作成されたことを発見しました。
WannaCryと同じ「穴」を這うものの、全世界が新しいウイルスに対する保護を考え出している
WannaCryランサムウェアが広まった後、世界中のコンピューターが再びサイバー攻撃にさらされました。 Petyaウイルスは、ヨーロッパや米国のさまざまな国のデバイスに影響を与えています。 しかし、被害の大部分はロシアとウクライナのコンピューターで発生し、約80社が影響を受けました。 ランサムウェアウイルスは、影響を受けたPCの所有者に金銭または暗号通貨を要求しましたが、サイバースペシャリストは詐欺師に騙されない方法を見つけました。 ペティアが誰であるか、そして彼に会うのを避ける方法について-RealnoeVremyaの資料で。
プチの犠牲者:ロスネフチからチェルノブイリ原子力発電所まで
Petyaウイルスの大量拡散は6月27日に始まりました。 ウクライナが最初に被害を受けました。Ukrenergo、DTEK、Kyivenergoなどの大規模なエネルギー会社のコンピューターが攻撃されたと地元メディアが報じました。 ある会社の従業員は、6月27日の朝、仕事用のコンピューターが再起動した後、システムがハードドライブのチェックを開始したと記者団に語った。 それから彼は同じことがオフィスのすべてのコンピューターで起こるのを見ました。 彼はコンピューターの電源を切りましたが、デバイスの電源を入れた後、身代金のメッセージが画面に表示されました。 このウイルスは、一部のウクライナの銀行、ウクライナ財務省、閣僚会議、ウクルテレコム社、およびボルィースピリ空港のPCにも影響を及ぼしました。
Petyaはまた、チェルノブイリ原子力発電所のバックグラウンド放射線を監視するためのコンピューターシステムを攻撃しました。 同時に、ステーションのすべてのシステムは正常に機能し、放射線バックグラウンドは制御システムを超えることはありません、とMeduzaは報告しています。 6月27日の夕方、ウクライナ内務省の公式Facebookページで 訴えるウイルスと戦う方法が開発されるまでコンピュータの電源を切ることを勧めて、国の住民に。
ロシアでは、ロスネフチのサーバーがPetyaランサムウェアウイルスに攻撃されました。 RosneftのスポークスマンMikhailLeontyevは、Petyaウイルスのハッカー攻撃とAFKシステマに対する同社の主張との関連性を見ました。 ビジネスFMの放送で、彼はバシネフチの管理に関するデータを合理的に破壊するためにウイルスを使用する試みを呼びました。 ロシアの銀行システムの情報インフラストラクチャオブジェクトの感染の孤立したケースが記録されました。 ホームクレジット銀行はサイバー攻撃により業務を停止し、信用機関のウェブサイトの業務も中断されました。 支店はコンサルティングモードでのみ機能しましたが、ATMは通常モードで機能したとInterfaxは報告しています。
6月28日、メディアは、英国、オランダ、デンマーク、スペイン、インド、リトアニア、フランス、米国のコンピューターに対する攻撃も報道しました。
ミハイル・レオンチェフは、ペティアウイルスのハッカー攻撃とAFKシステマに対する訴訟との関係を見ました。 写真polit.ru
WannaCryに対する保護は「プチ」に対して無力です
Petyaの動作は、ディスクのブートセクターのマスターブートレコード(MBR)の暗号化に基づいています。 このレコードは、ハードディスクの最初のセクターです。このレコードには、パーティションテーブルと、システムが起動するハードディスク上のパーティションに関する情報をこのテーブルから読み取るローダープログラムが含まれています。 元のMBRはディスクのセクター0x22に格納され、0x07でバイトXOR演算を使用して暗号化されます。 その結果、Positive Technologiesの専門家によると、コンピューターディスク上の情報はウイルスデータに置き換えられます。
悪意のあるファイルが起動された後、コンピュータを再起動するタスクが作成され、1〜2時間遅延します。 再起動後にディスクが正常に暗号化された場合、ファイルロック解除キーを取得するために300ドルの身代金を支払う(または暗号通貨でそれを与える)ことを要求するメッセージが画面に表示されます。 ちなみに、ランサムウェアが使用している住所はすでにブロックされているため、送金は不要です。
Petyaは、コードネームEternalBlueのWindowsエクスプロイトを悪用します。 悪名高いWannaCryは、同じ脆弱性を使用してコンピューターに侵入しました。 このエクスプロイトのおかげで、PetyaはWindows Management Instrumentation(Windowsプラットフォームで実行されているコンピューターインフラストラクチャのさまざまな部分を集中管理および監視するためのツール)とPsExec(リモートシステムでプロセスを実行できるようにする)を通じて広がり、脆弱なシステム。 これにより、WannaCry対策の更新プログラムがコンピューターにインストールされていても、ウイルスは機能し続けることができました。
Bootrec / fixMbrコマンドとメモ帳への書き込み
有名なフランスのハッカーでソフトウェア開発者のMathieuSuchetがTwitterで
おそらく、WannaCryと同様の大規模な攻撃を受けたロシアとウクライナの国々で、2017年6月27日に記録されたハッカーの脅威をすでにご存知でしょう。 このウイルスはコンピューターをブロックし、ファイルを復号化するためにビットコインの身代金を要求します。 ロシアのロスネフチとバシネフチを含め、両国で合計80社以上が影響を受けました。
悪名高いWannaCryのようなランサムウェアウイルスは、すべてのコンピューターデータをブロックし、300ドルに相当するビットコインの身代金を犯罪者に転送することを要求しています。 しかし、Wanna Cryとは異なり、Petyaは個々のファイルを暗号化する必要はありません。ハードドライブ全体をほぼ瞬時に「奪う」のです。
このウイルスの正しい名前はPetya.Aです。 ESETレポートは、Diskcoder.Cの機能の一部を明らかにします(別名ExPetr、PetrWrap、Petya、またはNotPetya)
すべての被害者の統計によると、ウイルスは感染した添付ファイルを含むフィッシングメールに拡散していました。 通常、手紙にはテキストドキュメントを開くようにというリクエストが含まれていますが、2番目のファイル拡張子がわかっているように txt。EXEは非表示になり、最後のファイル拡張子が優先されます。 デフォルトでは、Windowsオペレーティングシステムはファイル拡張子を表示せず、次のようになります。
8.1のエクスプローラウィンドウ([表示]、[フォルダオプション]、[登録済みファイルタイプの拡張子を非表示にする]チェックボックスをオフにします)
エクスプローラウィンドウの7(Alt \ Tools \ Folder options \ Hide Extensions for Registered File Typesチェックボックスのチェックを外す)
そして最悪のことは、ユーザーが未知のユーザーからの手紙を恥ずかしがらず、理解できないファイルを開くように要求することです。
ファイルを開いた後、ユーザーには「死のブルースクリーン」が表示されます。
再起動後、「スキャンディスク」が起動しているように見えます。実際、ウイルスはファイルを暗号化します。
他のランサムウェアとは異なり、このウイルスが起動するとすぐにコンピュータが再起動し、再度起動すると、画面に「PCの電源を切らないでください。 このプロセスを停止すると、すべてのデータが破壊される可能性があります。 コンピュータが充電器に接続されていることを確認してください!」 これはシステムエラーのように見えるかもしれませんが、実際、Petyaは現在ステルスモードで暗号化をサイレントに実行しています。 ユーザーがシステムを再起動するか、ファイルの暗号化を停止しようとすると、「PRESS ANY KEY!」というテキストとともに、点滅する赤いスケルトンが画面に表示されます。 最後に、キーを押すと、身代金メモを含む新しいウィンドウが表示されます。 このメモでは、被害者は0.9ビットコインを支払うように求められます。これは約400ドルです。 ただし、これは1台のコンピューターの価格です。 したがって、多くのコンピューターを所有している企業の場合、その数は数千になる可能性があります。 また、このランサムウェアの特徴は、このカテゴリの他のウイルスが提供する通常の12〜72時間ではなく、身代金を支払うのに1週間かかることです。
さらに、Petyaの問題はそれだけではありません。 このウイルスがシステムに侵入すると、Windowsブートファイル、またはオペレーティングシステムのブートに必要ないわゆるブートウィザードを上書きしようとします。 ブートマスターレコード(MBR)の設定を復元しないと、コンピューターからPetyaウイルスを削除できません。 これらの設定を修正してシステムからウイルスを削除したとしても、ウイルスを削除してもファイルは復号化されず、感染性ファイルが削除されるだけなので、残念ながらファイルは暗号化されたままになります。 もちろん、コンピュータでの作業を継続したい場合は、ウイルスの除去が不可欠です
それがWindowsコンピュータに入ると、PetyaはMFT(マスターファイルテーブル)をほぼ瞬時に暗号化します。 このテーブルは何を担当していますか?
あなたのハードドライブが宇宙全体で最大のライブラリであると想像してみてください。 何十億冊もの本が含まれています。 では、どのようにして欲しい本を見つけますか? ライブラリカタログのみを使用します。 Petyaが破棄するのはこのディレクトリです。 したがって、PC上で「ファイル」を見つける機会が失われます。 より正確に言えば、Petyaが「機能」した後、コンピュータのハードドライブは竜巻の後の図書館のようになり、本の切れ端がいたるところに飛んでいきます。
したがって、Wanna Cryとは異なり、Petya.Aは個々のファイルを暗号化せず、膨大な時間を浪費します。ファイルを見つける必要があるすべてのチャンスを奪うだけです。
Petyaウイルスを作成したのは誰ですか?
ウイルスを作成するとき、Petyaは「EternalBlue」と呼ばれるWindows OSのエクスプロイト(「穴」)を使用しました。 Microsoftがパッチをリリースしました kb4012598(以前にリリースされたWannaCryチュートリアルから、この穴を「閉じる」このアップデートについてはすでに説明しました。
「Petya」の作者は、企業や個人のユーザーの不注意を上手に利用してお金を稼ぐことができました。 彼の身元はまだ不明です(そして、知られている可能性は低いです)
Petyaウイルスを削除する方法は?
Petya.Aウイルスをハードドライブから削除する方法は? これは非常に興味深い質問です。 事実、ウイルスがすでにデータをブロックしている場合、実際には、削除するものは何もありません。 ランサムウェアの支払いを計画しておらず(これはすべきではありません)、将来ディスク上のデータを回復しようとしない場合は、ディスクをフォーマットしてOSを再インストールするだけです。 その後、ウイルスの痕跡はありません。
感染したファイルがディスクに存在する疑いがある場合は、ESET Nod 32アンチウイルスを使用してディスクをスキャンし、システム全体のスキャンを実行します。 NOD 32は、そのシグネチャデータベースにこのウイルスに関する情報がすでに含まれていることを保証しています。
デコーダーPetya.A
Petya.Aは、非常に強力な暗号化アルゴリズムを使用してデータを暗号化します。 現時点では、ロックされた情報を復号化するソリューションはありません。
間違いなく、私たちは皆、奇跡的な復号化ツールPetya.Aを手に入れることを夢見ていますが、そのような解決策はありません。 WannaCryウイルスは数か月前に世界を襲ったが、暗号化したデータを解読するための治療法は見つかっていない。
唯一のオプションは、以前にファイルのシャドウコピーを持っていた場合です。
したがって、まだPetya.Aウイルスの被害者になっていない場合は、OSシステムを更新し、ESET NOD 32からアンチウイルスをインストールしてください。それでもデータの制御が失われる場合は、いくつかの方法があります。
お金を払う。 これを行うのは意味がありません!専門家は、暗号化方式を考えると、ウイルスの作成者がデータを復元したり、回復したりできないことをすでに知っています。
コンピュータからウイルスを削除し、シャドウコピーを使用してファイルを復元してみてください(ウイルスはファイルに感染しません)
デバイスからハードドライブを取り外し、慎重にキャビネットに入れて、デコーダーが表示されるのを待ちます。
ディスクのフォーマットとオペレーティングシステムのインストール。 マイナス-すべてのデータが失われます。
Petya.AおよびAndroid、iOS、Mac、Linux
多くのユーザーが心配しています。「しかし、PetyaウイルスがAndroidとiOSを実行しているデバイスに感染する可能性があるかどうか。 私は彼らを落ち着かせます-いいえ、それはできません。 これは、Windowsユーザーのみを対象としています。 LinuxとMacのファンにも同じことが言えます。ぐっすり眠ることができ、何も脅かすことはありません。