Petya virüsü, kullanıcının dosyalarını engelleyen başka bir fidye yazılımıdır. Bu fidye yazılımı çok tehlikeli olabilir ve herhangi bir bilgisayara bulaşabilir, ancak asıl hedefi şirket bilgisayarlarıdır.
Bu Bedynet.ru web sitesinde tartışılmaktadır.
Bu kötü niyetli program kurbanın bilgisayarlarına girer ve gizlice faaliyetlerini yürütür ve bilgisayar risk altında olabilir. Petya, dosyaları RSA-4096 ve AES-256 algoritmaları ile şifreler, hatta askeri amaçlar için kullanılır. Böyle bir kodun şifresi, özel bir anahtar olmadan çözülemez. Locky virüsü, CryptoWall virüsü ve CryptoLocker gibi diğer fidye yazılımları gibi, bu özel anahtar, yalnızca virüsün yaratıcısı tarafından bir fidye ödeyerek erişilebilen bazı uzak sunucularda saklanır.
Diğer fidye yazılımlarından farklı olarak, bu virüs bir kez başlatıldığında bilgisayarı hemen yeniden başlatır ve yeniden başlatıldığında ekranda bir mesaj belirir: “PC'NİZİ KAPATMAYIN! BU İŞLEMİ DURDURURSANIZ TÜM VERİLERİNİZİ YOK EDEBİLİRSİNİZ. LÜTFEN BİLGİSAYARINIZIN ŞARJ CİHAZINA BAĞLI OLDUĞUNDAN EMİN OLUN! ".
Bu bir sistem hatası gibi görünse de aslında Petya şu anda gizli modda sessizce şifreleme yapıyor. Kullanıcı sistemi yeniden başlatmaya veya dosyaları şifrelemeyi durdurmaya çalışırsa, ekranda “Herhangi bir tuşa basın” metniyle birlikte yanıp sönen kırmızı bir iskelet belirir.
Son olarak, tuşa bastıktan sonra fidye notu ile yeni bir pencere açılacaktır. Bu notta kurbandan yaklaşık 400 dolar olan 0,9 bitcoin ödemesi isteniyor. Ancak bu sadece bir bilgisayarın fiyatıdır; bu nedenle, çok bilgisayarı olan şirketler için miktar binlerce olabilir. Bu fidye yazılımını diğerlerinden ayıran şey, bu kategorideki diğer virüslerin verdiği normal 12-72 saat yerine, fidyeyi ödemeniz için size tam bir hafta vermesidir.
Üstelik Petya'nın sorunları bununla da bitmiyor. Bu virüs sisteme girdikten sonra, işletim sistemini başlatmak için gerekli olan Windows önyükleme dosyalarının veya sözde önyükleme sihirbazının üzerine yazmaya çalışacaktır. Önyüklenebilir ana kayıt (MBR) ayarlarını geri yüklemezseniz, Petya virüsünü bilgisayarınızdan kaldıramazsınız. Bu ayarları düzeltmeyi ve virüsü sisteminizden kaldırmayı başarsanız bile, ne yazık ki dosyalarınız şifreli kalacaktır, çünkü bir virüsün kaldırılması dosyaların şifresini çözmez, sadece bulaşıcı dosyaları siler. Bilgisayarınızla çalışmaya devam etmek istiyorsanız, elbette, virüs temizleme çok önemlidir. Petya'nın kaldırılmasıyla ilgilenmek için Reimage gibi güvenilir antivirüs araçlarını kullanmanızı öneririz.
Bu virüs nasıl yayılır ve bilgisayara nasıl girebilir?
Petya virüsü genellikle "app folder-gepackt.exe" adlı bir dosya için Dropbox indirme bağlantılarına eklenmiş spam e-postalar yoluyla yayılır. Virüs, belirli bir dosya yüklenip açıldığında etkinleşir. Bu virüsün nasıl yayıldığını zaten bildiğinize göre, bilgisayarınızı bir virüs saldırısından nasıl koruyacağınız konusunda fikir sahibi olmalısınız. Elbette şüpheli kullanıcılar ve bilinmeyen kaynaklar tarafından gönderilen, beklediğiniz gibi olmayan bilgiler sunan elektronik dosyaları açarken dikkatli olmalısınız.
Çoğu e-posta hizmeti sağlayıcısı e-postaları otomatik olarak filtreleyip uygun dizinlere yerleştirdiğinden, "spam" kategorisine giren e-postalardan da kaçınmalısınız. Ancak, bu filtrelere güvenmemelisiniz çünkü potansiyel tehditler içlerinden geçebilir. Ayrıca, sisteminize güvenilir bir anti-virüs aracı sağlandığından emin olun. Son olarak, tehlikeli durumlarda yedeklerinizi bir tür harici sürücüde tutmak her zaman iyi bir fikirdir.
Petya virüsünü bilgisayarımdan nasıl kaldırabilirim?
Bu kötü amaçlı yazılımla çalışmadığı için Petya'yı basit bir kaldırma prosedürü ile bilgisayarınızdan kaldıramazsınız. Bu, bu virüsü otomatik olarak kaldırmanız gerektiği anlamına gelir. Petya virüsünün otomatik olarak kaldırılması, bu virüsü tespit edip bilgisayarınızdan kaldıracak güvenilir bir antivirüs aracı ile yapılmalıdır. Ancak bazı kaldırma sorunlarıyla karşılaşırsanız, örneğin bu virüs virüsten koruma programınızı engelleyebilir, her zaman kaldırma talimatlarını kontrol edebilirsiniz.
Adım 1: Bilgisayarınızı Ağ ile Güvenli Mod için yeniden başlatın
Windows 7 / Vista / XP Başlat → Kapat → Yeniden Başlat → Tamam'ı tıklayın.
Listeden Ağ ile Güvenli Mod'u seçin
Windows 10 / Windows 8 Windows oturum açma penceresinde Güç düğmesine basın. Ardından Shift tuşunu basılı tutun ve Yeniden Başlat'ı tıklayın.
Şimdi Sorun Gider → Gelişmiş seçenekler → Başlangıç Ayarları'nı seçin ve Yeniden Başlat'a tıklayın.
Bilgisayarınız etkinken, Başlangıç Ayarları penceresinde Ağ ile Güvenli Modu Etkinleştir'i seçin.
2. Adım: Petya'yı çıkarın
Virüs bulaşmış hesabınızı kullanarak giriş yapın ve tarayıcınızı başlatın. Reimage veya başka bir güvenilir casus yazılım önleme programını indirin. Lütfen tam bir sistem taramasından önce güncelleyin ve fidye yazılımınıza ait kötü amaçlı dosyaları kaldırın ve Petya kaldırma işlemini tamamlayın.
Fidye yazılımı Ağ ile Güvenli Mod'u engelliyorsa, sonraki yöntemi deneyin.
Adım 1: Bilgisayarınızı Komut İstemi ile Güvenli Mod için yeniden başlatın
Windows 7 / Vista / XP
Başlat → Kapat → Yeniden Başlat → Tamam'a tıklayın.
Bilgisayarınız etkinken, Gelişmiş Önyükleme Seçenekleri penceresi görünene kadar F8'e birkaç kez basın.
Listeden Komut İstemi'ni seçin
Şimdi rstrui.exe yazın ve tekrar Enter'a basın.
Yeni bir pencere göründükten sonra İleri'ye tıklayın ve Petya enfeksiyonundan önceki geri yükleme noktanızı seçin. Ardından İleri'ye tıklayın. Görünen "Sistem Geri Yükleme" penceresinde "İleri" yi seçin
Geri yükleme noktanızı seçin ve "İleri" ye tıklayın
Şimdi sistem kurtarmayı başlatmak için Evet'i tıklayın. "Evet"e tıklayın ve sistem geri yüklemeyi başlatın.Sistemi bir önceki tarihe geri yükledikten sonra, silme işleminin başarılı olduğundan emin olmak için bilgisayarınızı önyükleyin ve tarayın.
"Para ödemek zorunda değilsin." InAU dedi.
Birkaç ay önce biz ve diğer BT Güvenliği uzmanları yeni bir kötü amaçlı yazılım keşfettik - Petya (Win32.Trojan-Ransom.Petya.A)... Klasik anlamda, o bir fidye yazılımı değildi, virüs sadece belirli dosya türlerine erişimi engelledi ve fidye istedi. Virüs, sabit diskteki önyükleme kaydını değiştirdi, bilgisayarı zorla yeniden başlattı ve "veriler şifrelendi - şifreyi çözmek için paranızı kullanın" mesajını gösterdi. Genel olarak bu, dosyaların gerçekten şifrelenmemiş olması dışında standart bir şifreleme virüsü şemasıdır. Popüler antivirüslerin çoğu, piyasaya sürüldükten birkaç hafta sonra Win32.Trojan-Ransom.Petya.A'yı tanımlamaya ve kaldırmaya başladı. Ek olarak, manuel kaldırma için talimatlar vardı. Petya'nın neden klasik bir fidye yazılımı olmadığını düşünüyoruz? Bu virüs, Ana Önyükleme Kaydı'nı değiştirir ve işletim sisteminin önyüklenmesini engeller ve ayrıca Ana Dosya Tablosunu şifreler. Dosyaları kendileri şifrelemez.
Ancak, birkaç hafta önce daha karmaşık bir virüs ortaya çıktı. Mischa, görünüşe göre aynı dolandırıcılar tarafından yazılmış. Bu virüs dosyaları şifreler ve şifre çözme için 500 - 875 $ (farklı sürümlerde 1.5 - 1.8 bitcoin) ödemenizi gerektirir. "Şifre çözme" ve bunun için ödeme talimatları YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarında saklanır.
Mischa Virüsü - YOUR_FILES_ARE_ENCRYPTED.HTML Dosyasının İçeriği
Şimdi, aslında, bilgisayar korsanları kullanıcıların bilgisayarlarına iki kötü amaçlı yazılım bulaştırıyor: Petya ve Mischa. İlki sistemde yönetici haklarına ihtiyaç duyar. Yani, kullanıcı Petya'ya yönetici hakları vermeyi reddederse veya bu kötü amaçlı yazılımı manuel olarak silmişse, duruma Mischa dahildir. Bu virüs yönetici haklarına ihtiyaç duymaz, klasik bir fidye yazılımıdır ve güçlü AES algoritmasını kullanarak dosyaları gerçekten şifreler ve Ana Önyükleme Kaydı ve kurbanın sabit diskindeki dosya tablosunda herhangi bir değişiklik yapmaz.
Mischa kötü amaçlı yazılımı yalnızca standart dosya türlerini (videolar, resimler, sunumlar, belgeler) değil, aynı zamanda .exe dosyalarını da şifreler. Virüs yalnızca \ Windows, \ $ Recycle.Bin, \ Microsoft, \ Mozilla Firefox, \ Opera, \ Internet Explorer, \ Temp, \ Local, \ LocalLow ve \ Chrome dizinlerini etkilemez.
Bulaşma esas olarak e-posta yoluyla gerçekleşir, burada bir mektup ekli bir dosyayla birlikte gelir - bir virüs yükleyici. Vergi Dairesi'nden, muhasebecinizden gelen bir mektup altında, ekli makbuz ve satın alma makbuzları vb. olarak şifrelenebilir. Bu tür harflerdeki dosya uzantılarına dikkat edin - yürütülebilir bir dosyaysa (.exe), yüksek olasılıkla Petya \ Mischa virüsü içeren bir kapsayıcı olabilir. Ve kötü amaçlı yazılımın değiştirilmesi yeniyse, virüsten koruma yazılımınız tepki vermeyebilir.
30.06.2017 Güncellemesi: 27 Haziran Petya virüsünün değiştirilmiş versiyonu (Petya.A) Ukrayna'da kitlesel olarak kullanıcılara saldırdı. Bu saldırının etkisi muazzamdı ve ekonomik zararı henüz hesaplanmadı. Bir günde düzinelerce bankanın, perakende zincirinin, devlet kurumlarının ve çeşitli mülkiyet biçimlerindeki işletmelerin çalışmaları felç oldu. Virüs, öncelikle bu yazılımın en son otomatik güncellemesiyle Ukrayna muhasebe raporlama sistemi MeDoc'taki bir güvenlik açığı yoluyla yayıldı. Ayrıca virüs Rusya, İspanya, İngiltere, Fransa, Litvanya gibi ülkeleri de etkiledi.
Petya ve Mischa virüslerini otomatik bir temizleyici ile temizleyin
Genel olarak kötü amaçlı yazılımlarla ve özellikle fidye yazılımlarıyla başa çıkmak için son derece etkili bir yöntem. Kanıtlanmış bir güvenlik kompleksinin kullanılması, herhangi bir virüs bileşeninin kapsamlı bir şekilde tespit edilmesini ve tek bir fare tıklamasıyla bunların tamamen kaldırılmasını garanti eder. Lütfen iki farklı süreçten bahsettiğimizi unutmayın: bulaşmayı kaldırmak ve PC'nizdeki dosyaları geri yüklemek. Bununla birlikte, yardımı ile diğer bilgisayar Truva atlarının tanıtımı hakkında bilgi olduğundan, tehdit kesinlikle kaldırılmalıdır.
- ... Yazılımı başlattıktan sonra düğmesine tıklayın. Bilgisayar Taramasını Başlat(Taramayı Başlat).
- Yüklenen yazılım, tarama sırasında tespit edilen tehditler hakkında bir rapor sağlayacaktır. Bulunan tüm tehditleri kaldırmak için seçeneği belirleyin. Tehditleri gidermek(Tehditleri ortadan kaldırın). Söz konusu kötü amaçlı yazılım tamamen kaldırılacaktır.
Şifrelenmiş dosyalara erişimi geri yükleyin
Belirtildiği gibi, Mischa fidye yazılımı dosyaları güçlü bir şifreleme algoritmasıyla kilitler, bu nedenle şifreli veriler sihirli bir değnek dalgasıyla devam ettirilemez - duyulmamış fidye ödemesini hesaba katmazsanız (bazen 1000 dolara kadar çıkar). Ancak bazı yöntemler, önemli verileri kurtarmanıza yardımcı olacak gerçekten bir cankurtaran olabilir. Aşağıda onları tanıyabilirsiniz.
Otomatik dosya kurtarma programı (şifre çözücü)
Çok olağanüstü bir durum bilinmektedir. Bu enfeksiyon, orijinal dosyaları şifrelenmemiş olarak siler. Fidye yazılımı şifreleme işlemi bu nedenle bunların kopyalarını hedefler. Bu, ortadan kaldırılmalarının güvenilirliği garanti edilse bile, silinen nesneleri kurtarma gibi yazılım araçlarının mümkün olmasını sağlar. Dosya kurtarma prosedürüne başvurmanız şiddetle tavsiye edilir, etkinliği şüphesizdir. 
Birim gölge kopyaları
Yaklaşım, her kurtarma noktasında tekrarlanan Windows dosya yedekleme prosedürüne dayanmaktadır. Bu yöntemin çalışması için önemli bir koşul: Enfeksiyondan önce "Sistem Geri Yükleme" işlevi etkinleştirilmelidir. Ancak, geri yükleme noktasından sonra dosyada yapılan herhangi bir değişiklik, dosyanın geri yüklenen sürümünde görüntülenmeyecektir.
Destek olmak
Bu, tüm geri ödemesiz yöntemlerin en iyisidir. Verileri harici bir sunucuya yedekleme prosedürü, bilgisayarınıza fidye yazılımı saldırısından önce kullanıldıysa, şifrelenmiş dosyaları geri yüklemek için uygun arayüze girmeniz, gerekli dosyaları seçmeniz ve yedeklemeden veri kurtarma mekanizmasını başlatmanız yeterlidir. İşlemi gerçekleştirmeden önce fidye yazılımının tamamen kaldırıldığından emin olmanız gerekir.
Petya ve Mischa fidye yazılımının olası artık bileşenlerini kontrol edin
El ile temizleme, gizli işletim sistemi nesneleri veya kayıt defteri girdileri biçiminde silinmeyi önleyebilen belirli fidye yazılımı parçalarının ihmal edilmesiyle doludur. Belirli kötü amaçlı öğelerin kısmen tutulması riskini ortadan kaldırmak için, kötü amaçlı yazılımlarda uzmanlaşmış güvenilir bir güvenlik yazılımı paketi kullanarak bilgisayarınızı tarayın.
Petya virüsü, 27 Haziran 2017'de neredeyse tüm büyük işletmeleri Ukrayna'ya sokan hızla büyüyen bir virüstür. Petya virüsü dosyalarınızı şifreler ve ardından onlar için bir fidye sunar.
Yeni virüs bilgisayarın sabit diskine bulaşır ve dosya şifreleme virüsü olarak çalışır. Belirli bir süre sonra Petya virüsü bilgisayarınızdaki dosyaları "yer" ve bunlar şifrelenir (sanki dosyalar arşivlenmiş ve ağır bir şifre koymuş gibi)
Petya fidye yazılımı virüsünden zarar görmüş dosyalar daha sonra kurtarılamaz (onları kurtaracağınız bir yüzde vardır, ancak çok küçüktür)
Petya virüsünden etkilenen dosyaları kurtaran HİÇBİR algoritma YOKTUR
Bu kısa ve EN faydalı makalenin yardımıyla #Petya virüsünden kendinizi koruyabilirsiniz.
Petya veya WannaCry Virüsü Nasıl BELİRLENİR ve Enfekte Olmayın
İnternet üzerinden bir dosya yüklerken, çevrimiçi bir antivirüs ile kontrol edin. Çevrimiçi antivirüsler, dosyadaki virüsü önceden tespit edebilir ve Petya virüs bulaşmasını önleyebilir. Tek yapmanız gereken indirilen dosyayı VirusTotal ile kontrol etmek ve ardından çalıştırmak. PETYA VİRÜSÜNÜ İNDİRDİNİZ, ancak virüs dosyasını ÇALIŞTIRMAMIŞ olsanız bile, virüs aktif DEĞİLDİR ve zarar vermez. Yalnızca zararlı bir dosyayı başlattıktan sonra bir virüs başlatırsınız, bunu unutmayın
SADECE BU YÖNTEMİ KULLANMAK SİZE PETYA VİRÜSÜNE KARŞILAŞMAMAK İÇİN TÜM ŞANSI VERİR.
Petya virüsü şöyle görünür:
Petya Virüsünden Kendinizi Nasıl Korursunuz?
Şirket Symantec zaten kuruluymuş gibi davranarak kendinizi Petya virüsünden korumanıza izin veren bir çözüm sundu.
Petya virüsü bilgisayara girdiğinde klasörde oluşturur. C:\Windows\perfc dosya mükemmel veya perfc.dll
Virüsün zaten kurulu olduğunu düşünmesini ve faaliyetine devam etmemesini sağlamak için klasörde oluşturun C:\Windows\perfc boş içeriğe sahip dosya ve değişiklik modunu "Salt Okunur" olarak ayarlayarak kaydedin
Veya virus-petya-perfc.zip dosyasını indirin ve klasörü açın mükemmel klasöre C: \ Windows \ ve değişiklik modunu "Salt Okunur" olarak ayarlayın
virus-petya-perfc.zip dosyasını indirin
GÜNCELLEME 06/29/2017
Ayrıca her iki dosyayı da yalnızca Windows klasörüne yüklemenizi öneririm. Birçok kaynak dosyanın mükemmel veya perfc.dll klasörde olmalı C: \ Windows \
Bilgisayarınıza Zaten Petya Virüsü Bulaşmışsa Ne Yapmalısınız?
Size zaten Petya virüsü bulaşmış bir bilgisayarı açmayın. Petya virüsü, virüslü bilgisayar açıkken dosyaları şifreleyecek şekilde çalışır. Yani Petya virüsünden etkilenen bilgisayarı açık tuttuğunuz sürece yeni ve yeni dosyalar bulaşabilir ve şifrelenebilir.
Bu bilgisayarın Winchester'ı kontrol etmeye değer. Antivirüs ile LIVECD veya LIVEUSB kullanarak kontrol edebilirsiniz.
Kaspersky Rescue Disk 10 ile önyüklenebilir USB flash sürücü
Dr.Web LiveDisk önyüklenebilir USB flash sürücü
Petya Virüsünü Ukrayna'nın Her Yerine Kim Yaydı?
Microsoft, büyük Ukraynalı şirketlerde küresel ağ enfeksiyonu hakkındaki bakış açısını dile getirdi. Nedeni M.E.Doc programının güncellenmesiydi. M.E.Doc popüler bir muhasebe programıdır, bu yüzden bir güncellemede virüs almak ve Petya virüsünü M.E.Doc programını çalıştıran binlerce PC'ye yüklemek gibi şirketin bu kadar büyük bir delinmesinin nedeni budur. Ve virüs aynı ağdaki bilgisayarlara bulaştığı için yıldırım hızıyla yayılıyor.
#: Petya virüsü Android'e bulaşıyor, Petya virüsü, Petya virüsü nasıl tespit edilir ve kaldırılır, Petya virüsü nasıl tedavi edilir, M.E.Doc, Microsoft, Petya virüsü klasörü oluştur
Bir bilgisayara bulaştı, o zaman hiçbir şey ona yardım etmeyecek. Daha doğrusu, bir sabit sürücüdeki kurtarılamayan dosyalar. Ancak aslında siber saldırılardan kaçınılabilir ve bir bilgisayarı yeniden canlandırmak zordur, ancak mümkündür.
Öncelikle Petya A virüsü ile enfeksiyondan korunmanızı sağlayacak önlemlerden bahsedelim. Daha önce yazdığımız gibi, #Petya WCry gibidir - verileri şifreleyen ve kurtarmak için 300 $ fidye isteyen bir fidye yazılımı virüsü. Hemen not ediyoruz - ödeme yapmanın bir anlamı YOK!
Petya A virüsü nasıl önlenir
* .exe, * .js *, * .vbs dosyalarının % AppData%'dan başlatılmasının uç nokta engellemesi;
Posta ağ geçidi düzeyinde - etkin içerikli iletileri engelleme (* .vbs, * .js, * .jse, * .exe);
Proxy düzeyinde - aktif içerik (* .vbs, * .js, * .jse) içeren arşivlerin indirilmesinin engellenmesi;
SMB ve WMI bağlantı noktalarını engelleme. Öncelikle 135, 445;
Enfeksiyondan sonra - BİLGİSAYARINIZI YENİDEN BAŞLATMAYIN! - bu gerçekten önemli.
Şüpheli mektupları ve özellikle eklerini açmayın;
Anti-virüs veritabanını ve işletim sistemlerini zorla güncelleyin.
Bir fidye yazılımı virüsünden sonra dosyalar nasıl kurtarılır
Bleepingcomputer.com kaynağı tarafından bildirildiği üzere, 2016 yılında Leostone takma adıyla Twitter'da kayıtlı bir kullanıcının kötü niyetli bir virüsün şifrelemesini kırmayı başardığını belirtmek gerekir.
Özellikle, virüs tarafından şifrelenen Petya bilgisayarının şifresini çözmek için gereken şifreyi üretebilen bir genetik algoritma oluşturmayı başardı.
Genetik algoritma, doğadaki doğal seleksiyona benzer mekanizmalar kullanarak istenilen parametrelerin rastgele seçilmesi, birleştirilmesi ve çeşitlendirilmesi yoluyla optimizasyon ve modelleme problemlerini çözmek için kullanılan bir arama algoritmasıdır.
Leostone, şifre çözme kodlarını oluşturmak için gerekli tüm bilgileri içeren web sitesinde sonuçlarını yayınladı. Böylece saldırının kurbanı, şifre çözme anahtarını oluşturmak için belirtilen siteyi kullanabilir.
Bu nedenle, Leostone şifre çözme aracını kullanmak için sabit sürücüyü bilgisayarınızdan çıkarmanız ve Windows çalıştıran başka bir bilgisayara bağlamanız gerekir. Alınacak veriler sektör 55'ten (0x37h) başlayarak 512 bayttır. Daha sonra bu veriler Base64 kodlamasına dönüştürülmeli ve bir anahtar oluşturmak için https://petya-pay-no-ransom.herokuapp.com/ adresinde kullanılmalıdır.
Birçok kullanıcı için, hasarlı sabit sürücülerden belirli bilgileri kaldırmak bir sorundur. Neyse ki, Emsisoft'tan bir uzman kurtarmaya geldi. Fabian Vosar gerekli bilgileri diskten çıkarmak için Petya Sector Extractor aracını kim yarattı.
Petya Sektör Ekstraktör
Kullanıcı, virüslü bilgisayardan şifrelenmiş diski başka bir bilgisayara bağladıktan sonra, fidye yazılımının bulaştığı alanları tespit edecek olan Fabian Vosar'ın Fabric Wosar'ın Petya Sector Extractor aracını çalıştırın. Petya Sector Extractor işini bitirir bitirmez, kullanıcının ilk Copy Sector butonuna tıklaması ve Leo Stone'un sitelerine gitmesi gerekmektedir (https://petya-pay-no-ransom.herokuapp.com/ veya https://petya- pay-no-ransom-mirror1.herokuapp.com /) kopyalanan verileri Ctrl + V aracılığıyla metin giriş alanına yapıştırarak (Base64 kodlu 512 bayt doğrulama verileri). Ardından Fabian Vosar'ın yardımcı programına dönün, ikinci Sektörü Kopyala düğmesine basın ve verileri başka bir giriş alanına yapıştırarak tekrar Stone'un sitesine kopyalayın (Base64 kodlu 8 bayt nonce).
Fotoğraf: bleepingcomputer.com
Her iki alanı da doldurduktan sonra kullanıcı Gönder'e tıklayıp algoritmayı çalıştırabilir.
Site, verilerin şifresini çözmek için bir parola sağlamalıdır, bundan sonra sabit sürücüyü etkilenen bilgisayara iade etmek, sistemi başlatmak ve alınan kodu fidye yazılımı penceresine girmek gerekir. Sonuç olarak, bilgilerin şifresi çözülecektir.
Fotoğraf: bleepingcomputer.com
Sabit sürücünün şifresi çözüldükten sonra, fidye yazılımı bilgisayarınızı yeniden başlatmanızı ister ve şimdi normal şekilde önyüklenmesi gerekir.
Sabit sürücüyü bir bilgisayardan çıkarıp diğerine bağlamayı zor bulanlar için bir USB sabit sürücü yerleştirme istasyonu satın alabilirsiniz.
bykvu.com ve "BAKOTEK"e göre
Bir bilgisayara bulaştı, o zaman hiçbir şey ona yardım etmeyecek. Daha doğrusu, bir sabit sürücüdeki kurtarılamayan dosyalar. Ancak aslında siber saldırılardan kaçınılabilir ve bir bilgisayarı yeniden canlandırmak zordur, ancak mümkündür.
İlk olarak, kaçınılması gereken önlemlerden bahsedelim. Daha önce yazdığımız gibi, #Petya WCry gibidir - verileri şifreleyen ve kurtarmak için 300 $ fidye isteyen bir fidye yazılımı virüsü. Hemen not ediyoruz - ödeme yapmanın bir anlamı YOK!
Petya A virüsü nasıl önlenir
- % AppData%'dan * .exe, * .js *, * .vbs dosyalarını başlatmanın uç nokta düzeyinde engelleme;
- posta ağ geçidi düzeyinde - aktif içerikli mesajları engelleme (* .vbs, * .js, * .jse, * .exe);
- proxy düzeyinde - aktif içerik (* .vbs, * .js, * .jse) içeren arşivlerin indirilmesinin engellenmesi;
- SMB ve WMI bağlantı noktalarını engelleme. Öncelikle 135, 445;
- enfeksiyondan sonra - BİLGİSAYARINIZI YENİDEN BAŞLATMAYIN! - bu gerçekten önemli.
- şüpheli mektupları ve özellikle eklerini açmayın;
- anti-virüs veritabanını ve işletim sistemlerini zorla güncelleyin.
Bir fidye yazılımı virüsünden sonra dosyalar nasıl kurtarılır
Bleepingcomputer.com kaynağı tarafından bildirildiği üzere, 2016 yılında Leostone takma adıyla Twitter'da kayıtlı bir kullanıcının kötü niyetli bir virüsün şifrelemesini kırmayı başardığını belirtmek gerekir.
Özellikle, virüs tarafından şifrelenen Petya bilgisayarının şifresini çözmek için gereken şifreyi üretebilen bir genetik algoritma oluşturmayı başardı.
Genetik algoritma, doğadaki doğal seleksiyona benzer mekanizmalar kullanarak istenilen parametrelerin rastgele seçilmesi, birleştirilmesi ve çeşitlendirilmesi yoluyla optimizasyon ve modelleme problemlerini çözmek için kullanılan bir arama algoritmasıdır.
Leostone, şifre çözme kodlarını oluşturmak için gerekli tüm bilgileri içeren web sitesinde sonuçlarını yayınladı. Böylece saldırının kurbanı, şifre çözme anahtarını oluşturmak için belirtilen siteyi kullanabilir.
Bu nedenle, Leostone şifre çözme aracını kullanmak için sabit sürücüyü bilgisayarınızdan çıkarmanız ve Windows çalıştıran başka bir bilgisayara bağlamanız gerekir. Alınacak veriler sektör 55'ten (0x37h) başlayarak 512 bayttır. Daha sonra bu veriler Base64 kodlamasına dönüştürülmeli ve bir anahtar oluşturmak için https://petya-pay-no-ransom.herokuapp.com/ adresinde kullanılmalıdır.
Birçok kullanıcı için, hasarlı sabit sürücülerden belirli bilgileri kaldırmak bir sorundur. Neyse ki, Emsisoft'tan bir uzman kurtarmaya geldi. Fabian Vosar gerekli bilgileri diskten çıkarmak için Petya Sector Extractor aracını kim yarattı.
Petya Sektör Ekstraktör
Kullanıcı, virüslü bilgisayardan şifrelenmiş diski başka bir bilgisayara bağladıktan sonra, fidye yazılımının bulaştığı alanları tespit edecek olan Fabian Vosar'ın Fabric Wosar'ın Petya Sector Extractor aracını çalıştırın. Petya Sector Extractor işini bitirir bitirmez, kullanıcının ilk Copy Sector butonuna tıklaması ve Leo Stone'un sitelerine gitmesi gerekmektedir (https://petya-pay-no-ransom.herokuapp.com/ veya https://petya- pay-no-ransom-mirror1.herokuapp.com /) kopyalanan verileri Ctrl + V aracılığıyla metin giriş alanına yapıştırarak (Base64 kodlu 512 bayt doğrulama verileri). Ardından Fabian Vosar'ın yardımcı programına dönün, ikinci Sektörü Kopyala düğmesine basın ve verileri başka bir giriş alanına yapıştırarak tekrar Stone'un sitesine kopyalayın (Base64 kodlu 8 bayt nonce).
Fotoğraf: bleepingcomputer.com
Her iki alanı da doldurduktan sonra kullanıcı Gönder'e tıklayıp algoritmayı çalıştırabilir.
Site, verilerin şifresini çözmek için bir parola sağlamalıdır, bundan sonra sabit sürücüyü etkilenen bilgisayara iade etmek, sistemi başlatmak ve alınan kodu fidye yazılımı penceresine girmek gerekir. Sonuç olarak, bilgilerin şifresi çözülecektir.
Fotoğraf: bleepingcomputer.com
Sabit sürücünün şifresi çözüldükten sonra, fidye yazılımı bilgisayarınızı yeniden başlatmanızı ister ve şimdi normal şekilde önyüklenmesi gerekir.
Sabit sürücüyü bir bilgisayardan çıkarıp diğerine bağlamayı zor bulanlar için bir USB sabit sürücü yerleştirme istasyonu satın alabilirsiniz.
Taramalı Atomik Kuvvet Mikroskobu Laboratuvar raporu şunları içermelidir:
Havai iletişim ağı için destek seçimi
AC katener tasarımı ve hesaplanması
Mikroişlemci sistemlerinin geliştirilmesi Mikroişlemci sistemlerinin tasarım aşamaları
mcs51 ailesinin mikrodenetleyicileri