Вирус Petya — как предотвратить заражение и что делать если данные уже зашифрованы?

Сегодня довелось поднимать пару компьютеров после вируса Petya, поэтому могу дать несколько советов, следовать или нет решайте сами, тем более что вирус могут модернизировать и он начнет вести себя по-другому и советы могут стать не актуальны.

Что делать если Petya уже на компьютере? Как и в случае других шифровальщиков, следует как можно скорее выключить компьютер, это дает возможность спасти хотя бы часть данных которые вирус Petya не успеет зашифровать.

Работает Petya в два этапа, и выглядит это следующим образом:

  1. Заражение компьютера и попытка получить права администратора, если попытка успешна — шифруется MBR с MFT и компьютер перегружается далее второй этап, если права получить не удалось — просто шифруются файлы пользователя.
  2. После перезагрузки, начинается шифрование данных, пользователь в это время видит экран с якобы восстановлением информации, для неопытного пользователя он похож экран при работе утилиты chkdsk, если Вы видите этот экран, сразу же выключайте компьютер, чем быстрее вы это сделаете тем выше шансы спасти данные:
    Вирус шифровальщик Petya как избежать  заражения и спасти данные
    после выключения, вам понадобится загрузочная флешка с Windows PE, и практически любой утилитой для восстановления файлов, например R-studio или аналогичной, с ее помощью можно будет просканировать жесткий диск и восстановить по крайней мере часть файлов, которые Petya не успел зашифровать. Так же понадобится еще одна флешка или жесткий диск на которые будут восстанавливаться файлы, если Вы не понимаете о чем идет речь, лучше позовите специалиста.
  3. Если процесс шифрования прервать и затем подключить жесткий диск к другому компьютеру, то можно увидеть что все разделы на месте, но доступа к ним нет, в свойствах нет ни файловой системы, ни размера, ни каких либо других данных, если шифрование было прервано вовремя, то часть или даже все данные можно спасти с помощью утилит для восстановления файлов:

Вирус Petya последствия

Если после восстановления данных файлы не открываются, значит Petya успел их зашифровать, в этом случае учитывая резонансность события можно надеяться на появления дешифровщика, можно сохранить зашифрованные файлы и ждать.

Если Petya еще не добрался до Вас и Вы бы хотели отложить этот момент, а то и вовсе избежать этой неприятной встречи, то для профилактики можно проделать ряд действий, ни одно из них не гарантирует 100%-й защиты, но все вместе значительно снизят шансы на заражение компьютера и потерю данных.

Что можно и нужно сделать чтоб минимизировать возможность заражения компьютера вирусом Petya:

  1. Самое важное — создайте резервную копию важных данных и сохраните в недоступном для Petya месте, и делайте это регулярно.
  2. Установите все обновления безопасности в частности MS17-010, и выполните рекомендации из статьи про WannaCry, сделать это следовало более месяца назад, но и сейчас не поздно;
  3. Закройте уязвимость CVE-2017-0199 переходите по ссылке, соглашайтесь с EULA и затем переходите еще раз (у меня с первого раза не сработало), далее в списке находите свою версию Windows, скачиваете файл, устанавливаете и перегружаетесь;
  4. Если у Вас не работает центр обновлений или не устанавливаются обновления то Вам сюда — восстановление работы центра обновлений Windows
  5. В центре управления сетями и общим доступом установите тип сети «Общественная»;
  6. Закройте порты 135, 139, 445, 1024-1035 (совет так себе, если для работы нужно таскать файлы по сети)
  7.  Пишут что работу вируса останавливает созданные в папке Windows файл — C:\Windows\perfc именно так без расширения, но я бы на это не рассчитывал, весьма вероятно появление модификации Petya, которая будет это игнорировать, в любом случае не помешает;
  8. Ну и всякая банальщина — не работайте под учетной записью Администратора, поставьте и обновите антивирус, не запускайте подозрительные файлы (особенно полученные по электропочте) и не переходите по подозрительным ссылкам (особенно по полученным в электронных письмах).

Уязвимость в SMB или как обезопасить свою сеть от шифратора вымогателя WCry (WannaCry или WannaCryptor) и его разновидностей

В начале весны была обнаружена уязвимость в протоколе SMB v1, она позволяет выполнять злоумышленнику на уязвимой машине произвольный код. Практически сразу же появился патч от Майкрософта и вирус-вымогатель, который шифрует файлы пользователя и требует деньги за дешифрование.  Обезопасить свой компьютер и сеть можно установив соответствующий патч или запретив в найстройках системы использование SMB v1, а лучше сделать и то и другое.  Эти меры защитят Ваш компьютер от заражения по сети, но если Вы сами скачаете и запустите вирус то они не помогут.

Тут на английском подробно про уязвимость: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, ссылки на патчи в конце статьи, если Ваш компьютер не заражен, листайте ниже и устанавливайте патчи (если включено автоматическое обновление, то вероятно патч уже установлен, но лучше перестраховаться и проверить).

Если Ваш компьютер заражен, то на данный момент удалить WannaCryptor можно разными способами:

  1. Первым делом установите патч закрывающий уязвимость (ссылки ниже), если этого не сделать возможно повторное заражение
  2. В Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 использование уязвимого протокола SMB v1 можно запретить командой:
    Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
    Для этого запустите PowerShell от имени администратора, скопируйте выделенное жирным и кликните правой кнопкой на окне PowerShell, затем нажмите Enter, после необходимо перезагрузить компьютер для применения изменений.Команда для Windows 8 and Windows Server 2012 выглядит иначе:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false

  3. Используйте утилиту MalwareBytes (по отзывам помогает)
  4. Используйте AdwCleaner (так же есть подтвержденные случаи успешного лечения)
  5. Лечение просто удаляет вирус, но зашифрованные файлы так и остаются зашифрованными.
  6. Так же не лишним будет проверить компьютер бесплатной антивирусной утилитой Cureit 
  7. Учитывая масштабы атаки весьма вероятно появления утилиты для дешифровки в обозримом будущем, пока не ясно, можно ли расшифровать файлы если заплатить вымогателям.

Ссылки на патчи:

Несмотря на прекращение поддержки Windows XP для нее и WIndows Server 2003 так же выпустили обновление закрывающее уязвимости в протоколе SMB v1:

Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8.1
Windows 8.1 for 32-bit Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows 8.1 for x64-based Systems
Windows Server 2012 and Windows Server 2012 R2
Windows Server 2012
Windows Server 2012
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016
Windows Server 2016 for x64-based Systems
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016 for x64-based Systems [3](Server Core installation)

UPD На начало июня расшифровщика нет, но весьма вероятно он будет, так что зашифрованные файлы можно не спешить удалять. Для тех кто только заразился и еще не перезагружал компьютер есть возможность расшифровать файлы WannaCry.

Как удалить delta-homes.com из браузеров Opera, Chrome и других

В этой статье я расскажу как полностью удалить сайт delta-homes.com из всех браузеров на вашем компьютере. Не знаю во всех ли случаях, в моем вместе с окном delta-homes.com в браузерах стала отображаться реклама на всех страницах, причем показ рекламы начинался не сразу после запуска браузера а немного позже.
Как удалить delta-homes.com из браузеров Opera, Chrome и других

  1. Используйте AdwCleaner, он удалит большую часть ненужных файлов и настроек, но кое-что придется удалить вручную, после сканирования жмем «Cleaning» или Очистить и перегружаем компьютер
    Как удалить delta-homes.com из браузеров Opera, Chrome и других
  2. Вполне возможно что новая версия AdwCleaner полностью удалит delta-homes.com, и тогда пункты ниже Вам не пригодятся. Я использовал Chrome чтоб  в нем окончательно удалить страницу и рекламу просто переустановите браузер. Этого достаточно для очистки, но что бы удалить delta-homes.com полностью нужно выполнить еще пару пунктов
  3. Откройте редактор реестра от имени Администратора (Пуск-regedit в строку поиска для Windows 7 и старше), далее откройте поиск по реестру (F3) в строку поиска впишите delta-homes и удалите все найденные значения.
  4. На всякий случай просканируйте компьютер антивирусной утилитой cureit или аналогичной.

 

Решено: Удалить yamdex.net из Chrome, Opera и других браузеров

Yamdex.net, прописывается вместо домашней страницы, в поиск по умолчанию во всех браузерах в вашем компьютере или ноутбуке, причем в отличии от других подобных «сайтов-вредителей» которые чаще всего просто меняют ярлыки к браузерам,  Yamdex.net распространяется с помощью троянов и вирусов, и меняет не только настройки браузеров, а и системы, поэтому удалить его немного сложнее. Еще одна опасность сайта Yamdex.net — его страница заполнена рекламой довольно низкого качества, вперемешку с порно-баннерами и тому подобным контентом:
yamdex net как удалить yamdex net как убрать

Что бы полностью удалить yamdex.net из Chrome, Opera и других браузеров проделайте несколько шагов:

  1. Используйте AdwCleaner, эта утилита почистить ярлыки, расширения в браузере и т.п. файлы, но этого недостаточно.
  2.  Используйте какой-нибудь из антивирусных сканеров, cureit или combofix, они найдут и обезвредят остальные части трояна или вируса который устанавливает yamdex.net в качестве стартовой страницы.
  3. В Центре управления сетями и общим доступом просмотрите свойства сетевых подключений, и проверьте настройки DNS, используйте сервера провайдера или публичные, например 8.8.8.8 и 8.8.4.4.
  4. В некоторых браузерах, чаще всего Chrome, Yamdex.net добавлен как поисковая система по умолчанию и его невозможно удалить или изменить,  написано: «этот параметр включен Администратором«. В таком случае надо открыть командную строку от имени администратора, и выполнить команды:
    RD /S /Q «%WinDir%\System32\GroupPolicyUsers»
    RD /S /Q «%WinDir%\System32\GroupPolicy»
    gpupdate /force

    Если у вас Windows 64 bit, то нужно выполнить еще пару команд:

    RD /S /Q «%WinDir%\SysWOW64\GroupPolicy»
    gpupdate /force

    Эти команды исправят настройки безопасности, и вы сможете изменять поисковую систему в Chrome и других браузерах.

  5. На всякий случай, или если где-то еще остались упоминания про Yamdex.net, откройте редактор реестра (Пуск — ввести regedit в строку поиска, правой кнопкой по найденному файлу «запустить от имени администратора»), введите в поиск «yamdex.net», и удалите все найденные записи, предварительно сделав резервные копии соответствующих веток реестра.
  6. Установите последние обновления для Windows и обновите программы, список софта который надо обновить можно получить запустив утилиту SecurityCheck, после быстрой проверки откроется текстовый файл с отчетом, просмотрите его и обновите указанные там программы и исправьте найденные проблемы, это уменьшит вероятность заражения вашей системы в дальнейшем.

Если вы выполнили все пункты, а yamdex.net удалить полностью не удалось, пожалуйста напишите в комментарии, вероятно это будет означать что используется новый вариант заражения, я помогу вам разобраться с проблемой, и обновлю статью.

Как убрать рекламу в браузере яндекс, хром, мозила, опера

Сегодня установил несколько небольших утилит, хотел протестировать видеокарту на ноутбуке, а через время заметил что в браузерах (я пользуюсь двумя) стала появляться реклама. Баннеры с рекламой появлялись слева и снизу, и не на каждой странице, при клике по странице — открывались еще вкладки с рекламой, и эти страницы пытались загрузить какие-то файлы.

Выглядит реклама примерно вот так:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Заметьте в рекламе предлагают обновить Flash Player, делать этого ни в коем случае не стоит.

Вот такая вкладка с рекламой открывается если на любой странице попытаться что-то сделать:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Тут опять предлагают установить бесплатный player, не соглашайтесь, в лучшем случае программа будет бесполезна, в худшем — вирус:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

 

Мне повезло, в моем случае я знал дату когда стала появляться реклама в браузере, поэтому первым делом я проверил список установленных программ в панели управления:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

В прямоугольнике отмечены 3 претендента, виновник найдет, рекламу в браузер встраивает утилита Positive Finds, причем я ее точно не устанавливал, она установилась с одной из утилит Ati Tools. Жмем на Positive Finds и выбираем в меню вверху удалить, после завершения удаления на всякий случай можно еще запустить проверку утилитой Adwcleaner, для наглядности я ее запустил до удаления Positive Finds из панели управления что б узнать найдет или нет эту заразу, нашла:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

После удаления Positive Finds из панели управления, необходимо проверить браузеры, туда добавляются расширения, в частности в Firefox, надо пройти по стрелочкам и напротив Positive Finds нажать удалить:
Как удалить рекламу в браузере мазила

В опере расширения не было добавлено, но подобные Adware очень быстро меняются, проверить стоит:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

У Positive Finds есть расширение для Chrome, но мне повезло и в моем случае оно установлено не было, вы у себя в хроме на всякий случай проверьте:
убрать рекламу в браузере яндекс, хром, мозила, опера, амиго

Вместо приложения Positive Finds которое загаживает рекламой все установленные на компьютере браузеры, может быть другое приложение с другим названием, если у Вас не получилось удалить рекламу в браузере с помощью этой инструкции пишите в комменты и я Вам помогу, сразу можете прикладывать скрин программ из панели управления.