Вирус Petya — как предотвратить заражение и что делать если данные уже зашифрованы?

Сегодня довелось поднимать пару компьютеров после вируса Petya, поэтому могу дать несколько советов, следовать или нет решайте сами, тем более что вирус могут модернизировать и он начнет вести себя по-другому и советы могут стать не актуальны.

Что делать если Petya уже на компьютере? Как и в случае других шифровальщиков, следует как можно скорее выключить компьютер, это дает возможность спасти хотя бы часть данных которые вирус Petya не успеет зашифровать.

Работает Petya в два этапа, и выглядит это следующим образом:

  1. Заражение компьютера и попытка получить права администратора, если попытка успешна — шифруется MBR с MFT и компьютер перегружается далее второй этап, если права получить не удалось — просто шифруются файлы пользователя.
  2. После перезагрузки, начинается шифрование данных, пользователь в это время видит экран с якобы восстановлением информации, для неопытного пользователя он похож экран при работе утилиты chkdsk, если Вы видите этот экран, сразу же выключайте компьютер, чем быстрее вы это сделаете тем выше шансы спасти данные:
    Вирус шифровальщик Petya как избежать  заражения и спасти данные
    после выключения, вам понадобится загрузочная флешка с Windows PE, и практически любой утилитой для восстановления файлов, например R-studio или аналогичной, с ее помощью можно будет просканировать жесткий диск и восстановить по крайней мере часть файлов, которые Petya не успел зашифровать. Так же понадобится еще одна флешка или жесткий диск на которые будут восстанавливаться файлы, если Вы не понимаете о чем идет речь, лучше позовите специалиста.
  3. Если процесс шифрования прервать и затем подключить жесткий диск к другому компьютеру, то можно увидеть что все разделы на месте, но доступа к ним нет, в свойствах нет ни файловой системы, ни размера, ни каких либо других данных, если шифрование было прервано вовремя, то часть или даже все данные можно спасти с помощью утилит для восстановления файлов:

Вирус Petya последствия

Если после восстановления данных файлы не открываются, значит Petya успел их зашифровать, в этом случае учитывая резонансность события можно надеяться на появления дешифровщика, можно сохранить зашифрованные файлы и ждать.

Если Petya еще не добрался до Вас и Вы бы хотели отложить этот момент, а то и вовсе избежать этой неприятной встречи, то для профилактики можно проделать ряд действий, ни одно из них не гарантирует 100%-й защиты, но все вместе значительно снизят шансы на заражение компьютера и потерю данных.

Что можно и нужно сделать чтоб минимизировать возможность заражения компьютера вирусом Petya:

  1. Самое важное — создайте резервную копию важных данных и сохраните в недоступном для Petya месте, и делайте это регулярно.
  2. Установите все обновления безопасности в частности MS17-010, и выполните рекомендации из статьи про WannaCry, сделать это следовало более месяца назад, но и сейчас не поздно;
  3. Закройте уязвимость CVE-2017-0199 переходите по ссылке, соглашайтесь с EULA и затем переходите еще раз (у меня с первого раза не сработало), далее в списке находите свою версию Windows, скачиваете файл, устанавливаете и перегружаетесь;
  4. Если у Вас не работает центр обновлений или не устанавливаются обновления то Вам сюда — восстановление работы центра обновлений Windows
  5. В центре управления сетями и общим доступом установите тип сети «Общественная»;
  6. Закройте порты 135, 139, 445, 1024-1035 (совет так себе, если для работы нужно таскать файлы по сети)
  7.  Пишут что работу вируса останавливает созданные в папке Windows файл — C:\Windows\perfc именно так без расширения, но я бы на это не рассчитывал, весьма вероятно появление модификации Petya, которая будет это игнорировать, в любом случае не помешает;
  8. Ну и всякая банальщина — не работайте под учетной записью Администратора, поставьте и обновите антивирус, не запускайте подозрительные файлы (особенно полученные по электропочте) и не переходите по подозрительным ссылкам (особенно по полученным в электронных письмах).

Расшифровка файлов после XData Ransomware

После успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware которая почему-то затронула в основном территорию Украины и совсем немного соседей, страны СНГ и Европу.

Карта заражения XData Ransomware:Расшифровка файлов после XData Ransomware

Вирус создан по такому же принципу и использовать ту же самую уязвимость в протоколе SMB v1.  XData Ransomware шифровал пользовательские файлы и вымогал за их расшифровку деньги, но в отличии от WannaCry в котором судя по всему не предусмотрен механизм расшифровки, создатели XData такой механизм предусмотрели. Атака XData Ransomware продлилась около недели, видимо из боязни быть пойманными создатели этого вируса выложили приватный ключ, с помощью которого любой пострадавший пользователь сможет расшифровать свои файлы, а специалисты из Лаборатории Касперского выпустили новую версию дешифровщика файлов.

Расшифровка файлов после XData Ransomware
Папка с зашифрованными файлами выглядит вот так:Расшифровка файлов после XData Ransomware

В конец имени всех зашифрованных файлов дописано ~xdata~

Перед запуском расшифровщика, необходимо убедиться что нет запущенных процессов Xdata, откройте диспетчер задач и просмотрите список запущенных процессов, необходимо завершить процессы msdns.exe, mssql.exe, или mscom.exe:
Расшифровка файлов после XData Ransomware
Загрузите, распакуйте и запустите RakhniDecryptor:
Расшифровка файлов после XData Ransomware
Убедитесь что используете версию 1.20.1.0 или более новую, кликните на About в левой нижней части окна и проверьте номер версии:
Расшифровка файлов после XData Ransomware
Жмите Start Scan и выберите один из зашифрованных файлов, не перепутайте его с текстовым файлом в котором вирус размещает инструкции по расшифровке:
Расшифровка файлов после XData Ransomware
Начнется процесс сканирования и расшифровки всех зашифрованных файлов, в зависимости от производительности компьютера и количества файлов он может занять довольно много времени:
Расшифровка файлов после XData Ransomware

После завершения сканирования отчет будет доступен по ссылке details:
Расшифровка файлов после XData Ransomware

Список расшифрованных файлов:
Расшифровка файлов после XData Ransomware
После завершения работы, папка с файлами должна выглядеть так:Расшифровка файлов после XData Ransomware
Слева расшифрованный файл, справа зашифрованный. После расшифровки все зашифрованные файлы можно удалить, проще всего это сделать запустив поиск по расширению файла, а затем убедившись что найдено именно то что нужно — переместить все в корзину.