###
  • インターネット
  • プログラム
  • ゲーム
  • 問題点
  • ウィンドウズ
  • ソーシャルメディア
  • アンドロイド
  • iOS

    • petya ウイルス感染後のファイルの回復。 ボリュームのシャドウ コピー

    03.05.2019 その他

    ロスネフチ社は強力な攻撃を受けた ハッカー攻撃と彼女のTwitterで報告されている。

    「強力なハッカー攻撃が会社のサーバーに対して実行されました。 これが進行中の法的手続きと無関係であることを願っています」と声明で述べた。 このメモの公開時点では、ロスネフチの Web サイトは利用できませんでした。

    石油会社は連絡を取ったと報告した。 法執行機関事件に関連して。 のため 運用上のアクションセキュリティサービス、ロスネフチの業務は中断されておらず、通常通り継続している。

    「ハッカー攻撃は重大な結果につながる可能性がありましたが、会社が次のようなシステムに切り替えたおかげで、 バックアップシステム生産プロセスを管理しており、生産も石油の準備も停止していません」と同社の代表者はGazeta.Ru特派員に語った。

    彼らは、虚偽の情報を広める者は「攻撃主催者の共犯とみなされ、彼らとともに責任を問われることになる」と警告した。

    さらに、バシネフチ社のコンピュータも感染したと報告した。 「ヴェドモスティ」。 このランサムウェア ウイルスは、悪名高い WannaCry と同様、すべてのコンピューター データをブロックし、犯罪者に 300 ドル相当のビットコインでの身代金の送金を要求します。

    残念ながら、大規模なハッカー攻撃、Cyber​​security および Co. Telegram チャネルの被害者はこれらだけではありません。 Mondelez International(Alpen GoldおよびMilkaブランド)、Oschadbank、Mars、 ノヴァ・ポシュタ、ニベア、TESAなどの会社。

    このチャンネルの作成者であるアレクサンダー・リトレエフ氏は、このウイルスは Petya.A と呼ばれ、今年 5 月に世界中で 30 万台以上のコンピューターに感染した WannaCry によく似ていると述べました。 Petya.A は素晴らしいです HDDマスター ファイル テーブル (MFT) を暗号化します。 リトリーフ氏によると、このウイルスは感染した添付ファイルを含むフィッシングメールで配布されたという。

    ブログ Kaspersky Lab は、感染がどのように発生するかに関する情報を記載した出版物を発行しました。 著者によれば、手紙は特定の役職の候補者からのメッセージに偽装されているため、このウイルスは主に人事マネージャーを通じて拡散するという。

    「人事担当者は、Dropbox へのリンクが記載された偽のメールを受信しました。これにより、ユーザーは Dropbox にアクセスして「履歴書」をダウンロードできるようになります。 ただし、リンク先にあるファイルは無害ではありません テキストドキュメントただし、拡張子が .EXE の自己解凍アーカイブです」と専門家は言います。

    ファイルを開くと、ユーザーには「 ブルースクリーン death」と表示され、その後 Petya.A がシステムをブロックします。

    グループIBの専門家らは最近、Gazeta.Ruに次のように語った。 Petya ランサムウェア Cobalt グループが金融機関に対する標的型攻撃の痕跡を隠蔽するために使用しました。

    ロシアのハッカー再び

    最も強く ペティアウイルス.ウクライナが苦しんだ。 犠牲者の中には、ザポリージャブレネルゴ、ドネプロエネルゴ、キエフ地下鉄、ウクライナ人も含まれる 携帯電話会社 Kyivstar、LifeCell、UkrTeleCom、Auchan ストア、PrivatBank、ボルィースピリ空港、その他の組織や構造物。

    ロシアとウクライナの合計80社以上の企業が攻撃された。

    ウクライナ人民戦線メンバーで内務省理事のアントン・ゲラシチェンコ氏は、サイバー攻撃の責任はロシアの特殊部隊にあると述べた。

    「事前情報によると、これは 組織化されたシステムロシア諜報機関から。 このサイバー攻撃のターゲットは、銀行、メディア、ウクルザリズヌィツャ、ウクルテレコムです。 このウイルスは、さまざまな種類の電子メール メッセージの形で数日、場合によっては数週間にわたってコンピュータに到達し、これらのメッセージを開いたユーザーによってウイルスがすべてのコンピュータに拡散することになりました。 これは我が国に対するハイブリッド戦争でサイバー攻撃が使用されたもう一つの例だ」とゲラシチェンコ氏は語った。

    WannaCry ランサムウェア攻撃は 2017 年 5 月中旬に発生し、世界中のいくつかの国際企業の業務を麻痺させました。 大規模な WannaCry ウイルスによって世界社会に生じた被害は、10 億ドルと推定されています。

    マルウェアは手術室の脆弱性を悪用した Windowsシステム、コンピューターをブロックし、身代金を要求しました。 ウイルスの蔓延は英国人のプログラマーによって偶然阻止された - 彼は登録した ドメイン名、プログラムがアクセスしたもの。

    WannaCry サイバー攻撃は地球規模の規模であったにもかかわらず、身代金の支払いが記録されたのは合計 302 件のみで、その結果、ハッカーは 11 万 6,000 ドルを稼ぐことができました。

    Petya ウイルスの説明。 Petya ウイルスについて知っておくべきことすべて

    Petya ウイルスもユーザー ファイルをブロックするランサムウェアです。 このランサムウェアは非常に危険で、あらゆる PC に感染する可能性がありますが、主なターゲットはドイツ企業のコンピュータです。 このマルウェアは被害者のコンピュータに侵入して秘密裏に活動を実行し、コンピュータが危険にさらされる可能性があります。 Petya は RSA-4096 および AES-256 アルゴリズムでファイルを暗号化し、軍事目的でも使用されます。 このようなコードは、秘密キーがなければ解読できません。 Locky ウイルス、CryptoWall ウイルス、CryptoLocker などの他のランサムウェアと同様に、この秘密キーはどこかに保存されます。 リモートサーバー、ウイルスの作成者に身代金を支払うことによってのみアクセスが可能になります。

    他のランサムウェアとは異なり、このウイルスは実行されるとすぐにコンピュータを再起動し、再起動すると画面に次のメッセージが表示されます。「PC の電源を切らないでください。 このプロセスを停止すると、すべてのデータが破壊される可能性があります。 コンピュータが充電器に接続されていることを確認してください。」 のように見えるかも知れませんが、 システムエラー、実際には この瞬間 Petya はサイレントに暗号化を実行します 隠しモード。 ユーザーがシステムを再起動しようとしたり、ファイル暗号化を停止しようとすると、「PRESS ANY KEY!」というテキストとともに点滅する赤いスケルトンが画面に表示されます。 最後に、キーを押すと、新しいウィンドウが表示され、身代金メモが表示されます。 このメモでは、被害者は 0.9 ビットコイン、つまり約 400 ドルを支払うよう求められています。 ただし、この価格はコンピュータ 1 台のみの価格です。 したがって、多数のコンピュータを所有する企業の場合、その量は数千台になる可能性があります。 また、このランサムウェアが他と異なる点は、このカテゴリの他のウイルスでは通常 12 ~ 72 時間かかるのではなく、身代金の支払いに丸 1 週間かかることです。

    さらに、Petya の問題はこれで終わりではありません。 このウイルスがシステムに侵入すると、上書きしようとします。 ブートファイル Windows、または起動に必要ないわゆるブート記録ウィザード オペレーティング·システム。 マスター ブート レコーダー (MBR) 設定を復元しない限り、コンピューターから Petya ウイルスを削除することはできません。 これらの設定を修正してシステムからウイルスを削除できたとしても、残念ながら、ウイルスの削除ではファイルが復号化されるのではなく、感染ファイルが削除されるだけであるため、ファイルは暗号化されたままになります。 もちろん、ウイルス除去には、 重要コンピュータを引き続き使用したい場合。 Petya の削除には、Reimage などの信頼できるウイルス対策ツールを使用することをお勧めします。

    Petya ウイルスの蔓延。

    このウイルスはどのように拡散し、どのようにしてコンピュータに侵入するのでしょうか?

    Petya ウイルスは通常、「folder-gepackt.exe application」と呼ばれるファイルの Dropbox ダウンロード リンクが添付されたスパムメールを通じて拡散します。 ダウンロードして開くとウイルスが活性化する 特定のファイル。 このウイルスがどのように拡散するかをすでに知っているので、コンピューターをウイルスから保護する方法についていくつかのアイデアを持っている必要があります。 ウイルス攻撃。 もちろん開けるときは注意が必要です 電子ファイル、不審なユーザーによって送信され、 未知のソース、期待とは異なる情報を表します。 また、ほとんどの電子メール サービス プロバイダーは電子メールを自動的にフィルタリングして適切なディレクトリに配置するため、「スパム」カテゴリに分類される電子メールも避ける必要があります。 ただし、次の理由から、これらのフィルターを信頼すべきではありません。 潜在的な脅威それらをすり抜けることができます。 また、システムに信頼できるウイルス対策ツールが提供されていることを確認してください。 最後に、常に維持することをお勧めします。 バックアップいくつかの 外付けドライブ、危険な状況の場合。

    Petya ウイルスの除去。

    PC から Petya ウイルスを削除するにはどうすればよいですか?

    すでに述べたように、Petya ウイルスを削除することは、今後のファイルの安全性を確保するために不可欠です。 また、からのデータ復旧も 外付けドライブ、ウイルスとそのすべてのコンポーネントが PC から完全に削除された場合にのみ実行できます。 そうしないと、Petya が外部ドライブ上のファイルに侵入し、感染する可能性があります。
    Petya はこれでは動作しないため、単純なアンインストール手順を使用してコンピュータから削除することはできません。 マルウェア。 これは、このウイルスを自動的に削除する必要があることを意味します。 自動削除 Petya ウイルスは信頼できるウイルスを使用して実行する必要があります。 ウイルス対策剤、このウイルスを検出し、コンピュータから削除します。 ただし、アンインストール時に何らかの問題が発生した場合、たとえば、このウイルスがシステムをブロックしている可能性があります。 ウイルス対策プログラム、記事の最後にある削除手順をいつでも確認できます。

    Petya ウイルスを手動で削除するためのガイド:

    • 方法 1: 次を使用して Petya をアンインストールします セーフモードネットワーキングあり
    • 方法 2: システムの復元を使用して Petya をアンインストールする
    • Petya ウイルス感染後のデータの復元

    セーフ モードとネットワークを使用して Petya をアンインストールする


    ランサムウェアがセーフ モードとネットワークをブロックしている場合は、次の方法を試してください。

    システムの復元を使用して Petya をアンインストールする

    • ステップ1: コマンド プロンプトを使用したセーフ モードでコンピュータを再起動します。


      Windows 7/Vista/XP

      Windows 10/Windows 8

    • ステップ2: を復元します システムファイルと設定


      システムを以前の日付に復元したら、コンピュータを起動してスキャンし、削除が成功したことを確認します。

    最後に、暗号ランサムウェアに対する保護を常に考慮する必要があります。 Petya などからコンピュータを保護するには 同様のアプリケーション、Reimage、Plumbytes Anti-Malware、または マルウェアバイトアンチマルウェア

    研究者やサイバーセキュリティ専門家らの報告によると、このウイルスは最初に標的となったウクライナでの攻撃で最も大きな被害を受けたが、被害者のマシンを完全に無効にするという意図的な目的で作成されており、情報を復号するシステムは組み込まれていない。 Petya.C ウイルスがコンピュータに感染した場合、特定の段階ではユーザーは引き続きシステムを再起動できますが、情報を復号化することはできなくなります。

    Cyber​​security and Co.とPositive Technologiesの代表者、およびウクライナSBUの公式代表者は、感染の最初の兆候が現れた場合、情報の暗号化を防ぐ唯一の方法はコンピューターの電源を切ることだと述べた。

    いつ 悪質なコード被害者のデバイスに侵入すると、ウイルスはデバイスを再起動するための遅延タスクを作成します。 それまでは、bootrec /fixMbr コマンドを実行してパーティションを修復できます。 このため、システムは動作し続けますが、ファイルは暗号化されたままになります。 これは片道切符です。 Petya.C は、感染すると特別な復号キーを生成し、ほぼ即座に削除されるように動作します。

    コンピュータの情報が正常に暗号化されると、情報を復号化するためのキーを受け取るためにビットコインで 300 ドルを支払うように求めるメッセージが画面に表示されます。 ハッカーの口座はすでに数千ドルを受け取っているが、被害者は誰も受け取っていない 必要なコード。 実際のところ、ドイツの電子メール プロバイダーは攻撃者のメールボックスをブロックしており、それがハッカーに連絡する唯一の方法でした。 さらに、Kaspersky Lab の代表者は、Petya.C の作成者自身には、被害者のコンピュータを復号化する物理的能力がないと報告しました。これは、このウイルスが被害者のコンピュータの識別子を作成する機能を備えていないためです。ハッカーがキーを送信します。

    Petya.C は、デバイスを暗号化するために、今年初めに NSA によって漏洩された EternalBlue の脆弱性を使用します。 5 月には、WannaCry ランサムウェアの作成者によって同じエクスプロイトが使用されました。 Microsoftは今年3月に必要なパッチをリリースし、さらなる感染を防ぐためにWindows XPもアップデートした。 同社は、同様の攻撃が繰り返される可能性が高いため、ユーザーはできるだけ早くコンピュータをアップデートする必要があると警告している。 将来的には、WannaCry や Petya.C の「成功」を繰り返そうとする別の Vasia や Lyosha が現れるかもしれないという事実を誰も否定しません。

    Microsoft がシステムの多くの変更を発表したことを思い出してください。 Windowsのセキュリティ 10 は、今後繰り返される攻撃を防ぐために作成されます。 同社はすでに(で使用されていました) WannaCry の攻撃 Petya.C) も追加され、このエクスプロイトを使用して被害者のコンピュータに感染することがより困難になります。

    数か月前、私たちと他の IT セキュリティ専門家は、新しいマルウェアを発見しました。 Petya (Win32.Trojan-Ransom.Petya.A)。 古典的な意味では、ウイルスは単にアクセスをブロックする暗号化プログラムではありませんでした。 特定のタイプファイルを削除し、身代金を要求しました。 このウイルスはハード ドライブ上のブート レコードを変更し、PC を強制的に再起動し、「データは暗号化されています。復号化にお金を無駄にします。」というメッセージを表示します。 一般に、ファイルが実際には暗号化されていないことを除いて、ウイルスの標準的な暗号化スキームです。 過半数 人気のウイルス対策ソフトは、出現から数週間後に Win32.Trojan-Ransom.Petya.A の特定と削除を開始しました。 さらに、次のような指示があります。 手動で削除する。 Petya が古典的なランサムウェアではないのはなぜでしょうか? このウイルスはマスターに変更を加えます ブートレコード OS のロードを防止し、マスター ファイル テーブルも暗号化します。 ファイル自体は暗号化されません。

    しかし、より洗練されたウイルスが数週間前に出現しました ミーシャ、どうやら同じ詐欺師によって書かれたようです。 このウイルスはファイルを暗号化し、復号化に 500 ドルから 875 ドルを支払う必要があります ( 異なるバージョン 1.5 - 1.8 ビットコイン)。 「復号化」の手順とその代金の支払いは、ファイル YOUR_FILES_ARE_ENCRYPTED.HTML および YOUR_FILES_ARE_ENCRYPTED.TXT に保存されています。

    Mischa ウイルス - YOUR_FILES_ARE_ENCRYPTED.HTML ファイルの内容

    現在、実際、ハッカーはユーザーのコンピュータを Petya と Mischa という 2 つのマルウェアに感染させています。 最初の方法では、システムの管理者権限が必要です。 つまり、ユーザーが Petya に管理者権限を付与することを拒否した場合、またはこのマルウェアを手動で削除した場合、Mischa が関与します。 このウイルスは管理者権限を必要とせず、古典的な暗号化プログラムであり、実際には強力な AES アルゴリズムを使用して、マスター ブート レコードや被害者のハード ドライブ上のファイル テーブルを変更することなくファイルを暗号化します。

    Mischa マルウェアは暗号化するだけではありません 標準タイプファイル (ビデオ、写真、プレゼンテーション、ドキュメント) だけでなく、.exe ファイルも含まれます。 このウイルスは、ディレクトリ \Windows、\$Recycle.Bin、\Microsoft、\ だけに影響を与えるわけではありません。 モジラ Firefox、\オペラ、\ インターネットエクスプローラ、\Temp、\Local、\LocalLow、\Chrome。

    感染は主に次のような経路で起こります。 Eメール、ウイルスインストーラーというファイルが添付された手紙が届きます。 税務署や会計士からの手紙、添付の領収書や購入時の領収書などとして暗号化できます。 このような文字のファイル拡張子に注意してください。それが実行可能ファイル (.exe) の場合は、Petya\Mischa ウイルスのコンテナである可能性が高くなります。 また、マルウェアの変更が最近のものである場合、ウイルス対策ソフトが反応しない可能性があります。

    2017 年 6 月 30 日更新: 6 月 27 日、Petya ウイルスの修正版 (ペティア.A)ウクライナのユーザーを大規模に攻撃。 この攻撃の影響は甚大であり、経済的被害はまだ計算されていない。 一日で数十の銀行の業務が麻痺し、 小売チェーン、政府機関およびさまざまな所有形態の企業。 このウイルスは主に、最新のウクライナ会計報告システム MeDoc の脆弱性を介して拡散しました。 自動アップデートこのソフトウェアの。 さらに、このウイルスはロシア、スペイン、イギリス、フランス、リトアニアなどの国にも影響を及ぼしています。

    自動クリーナーを使用して Petya および Mischa ウイルスを除去する

    独占的に 効果的な方法マルウェア全般、特にランサムウェアに対処します。 実証済みの保護複合体の使用により、あらゆるウイルス成分の完全な検出が保証されます。 完全な除去ワンクリックで。 注記、 私たちが話しているのは 2つくらい さまざまなプロセス: 感染をアンインストールし、PC 上のファイルを復元します。 ただし、この脅威を使用する他のコンピュータ トロイの木馬の導入に関する情報があるため、この脅威は確実に削除する必要があります。

    1. 。 ソフトウェアを起動したら、 ボタンをクリックします コンピュータースキャンの開始(スキャンを開始します)。
    2. インストールされたソフトウェアは、スキャン中に検出された脅威に関するレポートを提供します。 検出されたすべての脅威を削除するには、オプションを選択します 脅威を修正する(脅威を排除します)。 問題のマルウェアは完全に削除されます。

    暗号化されたファイルへのアクセスを復元する

    前述したように、Mischa ランサムウェアは強力な暗号化アルゴリズムを使用してファイルをロックするため、暗号化されたデータをスワイプで復元することはできません。 魔法の杖– 前代未聞の身代金(場合によっては1000ドルに達する)の支払いを考慮しない場合。 しかし、いくつかの方法は、重要なデータを回復するのに役立つ本当に救世主となる可能性があります。 以下でそれらについてよく理解してください。

    プログラム 自動回復ファイル (復号化)

    非常に珍しい状況が知られています。 この感染は消去します ソースファイル暗号化されていない形式で。 したがって、恐喝を目的とした暗号化プロセスは、そのコピーをターゲットにします。 これはそのような機会を提供します ソフトウェア削除の信頼性が保証されている場合でも、消去されたオブジェクトを回復する方法。 ファイル回復手順に頼ることを強くお勧めします。その有効性には疑いの余地がありません。

    ボリュームのシャドウ コピー

    このアプローチは以下に基づいています Windowsの手順 予約コピーこれは各回復ポイントで繰り返されます。 重要な労働条件 この方法: 感染が発生する前に、システムの復元をアクティブ化する必要があります。 ただし、復元ポイント以降にファイルに加えられた変更は、ファイルの復元されたバージョンには表示されません。

    バックアップ

    これは、身代金を要求しないすべての方法の中で最も優れています。 コンピューターがランサムウェア攻撃を受ける前に、外部サーバーにデータをバックアップする手順が使用されていた場合、暗号化されたファイルを復元するには、適切なインターフェイスに入り、 必要なファイルそして、バックアップからデータ回復メカニズムを開始します。 操作を実行する前に、ランサムウェアが完全に削除されていることを確認する必要があります。

    Petya および Mischa ランサムウェアの残留コンポーネントが存在する可能性を確認します。

    清掃中 マニュアルモードランサムウェアの個々のフラグメントが省略されているため、隠されたオペレーティング システム オブジェクトやレジストリ要素の形での削除を回避できます。 個々の悪意のある要素が部分的に保持されるリスクを排除するには、信頼できるセキュリティ ソフトウェアを使用してコンピュータをスキャンします。 ソフトウェアパッケージ、マルウェアに特化しています。

    ペティアがウクライナに上陸してからすでに1週間が経過しました。 一般に、世界中の 50 以上の国がこのランサムウェア ウイルスの影響を受けましたが、大規模なサイバー攻撃の 75% がウクライナを襲いました。 全国の政府機関と金融機関が影響を受け、ウクレネルゴとキイヴェネルゴはシステムがハッキングされたと最初に報告した。 Petya.A ウイルスは、侵入してブロックするために、会計プログラム M.E.Doc を使用しました。 このソフトウェアはウクライナのさまざまな機関で非常に人気があり、致命的となりました。 その結果、一部の企業では、Petya ウイルスの発生後、システムの復旧に長い時間がかかりました。 一部の企業は、ランサムウェア ウイルスの発生から 6 日後の昨日になってようやく仕事を再開できました。

    Petya ウイルスの目的

    ほとんどのランサムウェア ウイルスの目的は恐喝です。 彼らは被害者の PC 上の情報を暗号化し、暗号化されたデータへのアクセスを復元するキーを入手するために彼女に金銭を要求します。 しかし、詐欺師は常に約束を守るわけではありません。 ランサムウェアの中には、単に復号化されるように設計されていないものもありますが、Petya ウイルスもその 1 つです。

    これ 悲しいニュース Kaspersky Labの専門家らが報告した。 ランサムウェア ウイルスの後にデータを回復するには、次のものが必要です。 一意の識別子ウイルスをインストールすること。 しかし、新しいウイルスの状況では、識別子はまったく生成されません。つまり、マルウェアの作成者は、Petya ウイルスの後に PC を復元するというオプションさえ考慮していませんでした。

    しかし同時に、被害者らはシステムを復元するためにビットコインで300ドルを送金するアドレスを指定したメッセージを受け取った。 このような場合、専門家はハッカーを支援することを推奨していませんが、それでも、Petya の作成者は大規模なサイバー攻撃の後、2 日間で 10,000 ドル以上を稼ぐことに成功しました。 しかし、ウイルスの他のメカニズムとは異なり、このメカニズムは十分に考えられていなかったため、専門家らは恐喝が主な目的ではなかったと確信している。 このことから、Petya ウイルスの目的はグローバル企業の業務を不安定にすることであったと推測できます。 また、ハッカーが単に急いでいて、資金調達の部分をよく考えていなかった可能性も十分にあります。

    Petya ウイルス感染後の PC の復元

    残念ながら、Petya が完全に感染すると、コンピュータ上のデータを復元することはできません。 しかし、それでもなお、Petya ウイルスの感染後にランサムウェアがデータを完全に暗号化する時間がなかった場合でも、コンピューターのロックを解除する方法はあります。 7月2日にサイバー警察の公式サイトで公開された。

    Petya ウイルスの感染には 3 つの選択肢があります

    — PC 上のすべての情報は完全に暗号化され、金銭を強要するウィンドウが画面に表示されます。
    — PC データは部分的に暗号化されます。 暗号化プロセスが中断されました 外部要因(食品を含む);
    — PC は感染していますが、MFT テーブルの暗号化プロセスが開始されていません。

    最初のケースでは、すべてが悪いです - システムは復元できません。 少なくとも今のところは。
    2つで 最新バージョン、状況は修正可能です。
    部分的に暗号化されたデータを回復するには、Windows インストール ディスクをダウンロードすることをお勧めします。

    ハード ドライブがランサムウェア ウイルスによって損傷されていない場合、ブート OS はファイルを認識し、MBR の回復を開始します。

    それぞれについて Windowsのバージョンこのプロセスには独自のニュアンスがあります。

    Windows XP

    インストールディスクをロードすると、「 Windowsの設定 XP Professional」を選択した場合は、「回復コンソールを使用して Windows XP を復元するには、R を押してください」を選択する必要があります。 R を押すと、回復コンソールの読み込みが開始されます。

    デバイスに 1 つのオペレーティング システムがインストールされており、それがドライブ C にある場合は、通知が表示されます。
    「1: C:\WINDOWS Windowsのコピーログインに使用する必要がありますか? したがって、「1」と「Enter」キーを押す必要があります。
    「管理者パスワードを入力してください。」というメッセージが表示されます。 パスワードを入力して「Enter」を押します(パスワードがない場合は「Enter」を押します)。
    システム プロンプトが表示されます: C:\WINDOWS>、「fixmbr」と入力します。

    すると「警告」が表示されます。
    確認するために 新しいエントリー MBR の場合は、「y」を押す必要があります。
    すると、「新しいメイン」という通知が表示されます。 ブートレコードの上 物理ディスク\デバイス\ハードディスク0\パーティション0。」
    そして、「新しいマスター ブート レコードが正常に作成されました。」

    Windows Vista:

    ここでは状況はより単純です。 OSをロードし、言語とキーボードレイアウトを選択します。 次に、「コンピュータを通常の状態に復元します」というメニューが表示され、「次へ」を選択する必要があります。 復元されたシステムのパラメータを示すウィンドウが表示されます。そこでクリックする必要があります。 コマンドラインここで、bootrec /FixMbr と入力する必要があります。
    この後、プロセスが完了するまで待つ必要があります。すべてが正常に完了すると、確認メッセージが表示されます。「Enter」を押すと、コンピュータが再起動し始めます。 全て。

    Windows 7:

    回復プロセスは Vista と同様です。 言語とキーボードレイアウトを選択したら、OSを選択し、「次へ」をクリックします。 新しいウィンドウで、「Windows の起動時の問題の解決に役立つ回復ツールを使用する」を選択します。
    他のすべてのアクションは Vista と同様です。

    Windows 8 および 10:

    OS を起動し、表示されるウィンドウで [コンピューターの復元] > [トラブルシューティング] を選択し、コマンド ラインをクリックして「bootrec /FixMbr」と入力します。 プロセスが完了したら、「Enter」を押してデバイスを再起動します。

    MBR 回復プロセスが正常に完了したら (Windows のバージョンに関係なく)、ウイルス対策ソフトを使用してディスクをスキャンする必要があります。
    暗号化プロセスがウイルスによって開始された場合は、Rstudio などのファイル回復ソフトウェアを使用できます。 次に、それらをコピーします リムーバブルメディア、システムを再インストールする必要があります。
    に記録されたデータ復旧プログラムを使用する場合 ブートセクター、たとえばアクロニス 真のイメージであれば、「Petya」がこの分野に影響を与えていないことがわかります。 これは、システムを元の状態に戻すことができることを意味します。 労働条件、再インストールせずに。

    エラーを見つけた場合は、テキストの一部をハイライトしてクリックしてください。 Ctrl+Enter.

    (Petya.A) と、いくつかのヒントを提供しました。

    SBUによると、オペレーティングシステムの感染は主に開封によって発生した 悪意のあるアプリケーション (Word文書、PDF ファイル)に送信されました。 メールアドレス多くの商業および政府機関。

    「この攻撃の主な目的は、Petya.A ファイル暗号化プログラムの配布であり、MS17-010 ネットワークの脆弱性を利用しました。その結果、感染したマシンに一連のスクリプトがインストールされ、攻撃者はそれを使用して、ファイル暗号化について言及した」と SBU は述べた。

    このウイルスは OS を実行しているコンピュータを攻撃します Windows byユーザーのファイルを暗号化した後、ファイル変換に関するメッセージと、データのロックを解除するために 300 ドル相当の復号キーをビットコインで支払うよう提案するメッセージが表示されます。

    「残念ながら、暗号化されたデータを復号化することはできません。 暗号化されたデータを復号化する可能性については引き続き作業が行われます」とSBUは述べた。

    ウイルスから身を守るために何をすべきか

    1. コンピュータの電源が入っていて正常に動作しているが、感染している可能性がある場合は、いかなる状況でも再起動しないでください (PC がすでに損傷している場合も再起動しないでください) - 再起動時にウイルスがトリガーされます。そして、コンピュータに含まれるすべてのファイルを暗号化します。

    2. 最大限の節約をする 貴重なファイルコンピュータに接続されていない別のメディアに保存し、理想的には OS とともにバックアップ コピーを作成します。

    3. ファイル暗号化プログラムを特定するには、すべてのローカル タスクを完了し、次のことを確認する必要があります。 次のファイル: C:/Windows/perfc.dat

    4. Windows OS のバージョンに応じて、パッチをインストールします。

    5. 全員が コンピュータシステムウイルス対策ソフトがインストールされている ソフトウェア、正しく機能し、最新のウイルス署名データベースを使用します。 必要に応じて、ウイルス対策ソフトウェアをインストールして更新します。

    6. 感染のリスクを軽減するには、すべての電子通信を慎重に扱い、見知らぬ人から送られた手紙の添付ファイルをダウンロードしたり開いたりしないでください。 既知のアドレスから不審な手紙を受け取った場合は、差出人に連絡して手紙が送信されたことを確認してください。

    7. すべての重要なデータのバックアップ コピーを作成します。

    構造部門の従業員には指定された情報を伝え、ローカルネットワークやインターネットに接続されているかどうかにかかわらず、指定されたパッチがインストールされていないコンピュータを従業員に使用させないでください。

    特定のウイルスによってブロックされた Windows コンピューターへのアクセスの復元を試みることができます。

    指定されたマルウェアは MBR レコードを変更するため、オペレーティング システムをロードする代わりに、ファイル暗号化に関するテキストを含むウィンドウがユーザーに表示されます。 この問題は復元することで解決できます MBRレコード。 このためには、 特別なユーティリティ。 SBU はこれに Boot-Repair ユーティリティを使用しました (手順はリンクにあります)。

    b)。 これを実行し、「収集するアーティファクト」ウィンドウのすべてのボックスがチェックされていることを確認します。

    c)。 「Eset ログ収集モード」タブで、初期値を設定します。 バイナリコードディスク。

    d)。 「収集」ボタンをクリックします。

    e)。 ログのアーカイブを送信します。

    影響を受ける PC の電源がオンになっており、まだオフになっていない場合は、次の手順に進みます。

    ステップ 3 デコーダの作成に役立つ情報を収集します。

    システムの扱いについてのポイント 4。

    すでに影響を受けている PC (起動しません) からは、さらに分析するために MBR を収集する必要があります。

    次の手順に従って組み立てることができます。

    a)。 ESET SysRescue Live CD または USB をダウンロードします (作成については手順 3 で説明します)。

    b)。 使用ライセンスに同意する

    c)。 CTRL + ALT + T を押します (ターミナルが開きます)。

    d)。 コマンド「parted -l」を引用符なしで記述し、パラメータは小文字「L」にして、キーを押します。

    e)。 ドライブのリストを参照し、影響を受ける PC を特定します (/dev/sda の 1 つである必要があります)。

    f)。 コマンド「dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256」を引用符なしで記述します。「/dev/sda」の代わりに、前の手順で定義したディスクを使用します。クリック(ファイル/home/eset/petya.imgが作成されます)

    g)。 USB フラッシュ ドライブを接続し、ファイル /home/eset/petya.img をコピーします。

    h)。 コンピュータの電源をオフにすることができます。

    サイバー攻撃からの保護については、Omelyan も参照してください。

    オメリヤン、サイバー攻撃からの保護について語る