Wirus Petya. Jak się go pozbyć? (Poradnik usuwania)

stworzone przez Lucia Danes - -   PetrWrap | Rodzaj: Oprogramowanie ransomware
12

Wirus ransomware Petya wraca, atakując Ukrainę, Rosję i Europę

The latest Peya ransom note

Petya to wirus typu ransomware odkryty w 2016 roku. Wygląda jednak na to, że jego twórcy zdecydowali się na ulepszenie go pod koniec czerwca 2017 roku. Znany także jako PetrWrapGoldenEyeMamba bądź Mischa, Petya rozpoczął w podobnie, jak WannaCry – epidemia pojawiła się z nikąd i rozszerzała się nezwykle szybko. Wirus zaraził już wiele banków, elektrowni, spółki „Rosneft”, „Maersk“, „Saint – Gobain” i wiele innych firm.

Najnowsza wersja używa adresu wowsmith123456@posteo.net do zbierania okupu. Wymaga ona zapłaty 300$ w Bitcoinach w zamian za odzyskanie zaszyfrowanych danych. Ukraina, Wielka Brytania, Hiszpania, Dania, Holandia, Indie i inne kraje już potwierdziły najnowszy atak.

Petya nie szyfruje plików ofiary pojedynczo – jest to jasna informacja o usprawnieniu działania wirusa. Zamiast tego, wirus uruchamia komputer ponownie, po czym szyfruje główną tablicę plików (MFT) na dysku twardym. Próba uruchomienia systemu przez MBR (master boot record) kończy się fiaskiem z powodu braku dostępu do potrzebnych informacji o plikach, takich jak ich nazwy, rozmiary i lokalizacja.

Wciąż możesz zainfekować komputer Petyą poprzez pobranie fałszywych dokumentów. Zachowaj więc ostrożność pobierając pliki od nieznanych Tobie odbiorców. The Hacker News informuje, że wirus ten TAKŻE wykorzystuje luki użyte wcześniej przez WannaCry. Żeby się zabezpieczyć, zainstaluj Reimage.

Zasady funkcjonalności Petyi

Jak już wspomnieliśmy, Petya zachowuje się inaczej niż inne wirusy typu ransomware. W momencie dostania się do systemu, uruchamia komputer ponownie. Następnie, podczas uruchamiania, pojawia się informacja w języku angielskim nastepującej treści:

NIE WYŁĄCZAJ KOMPUTERA! 
JEŚLI ANULUJESZ PROCES, MOŻESZ ZNISZCZYĆ WSZYSTKIE SWOJE DANE!
UPEWNIJ SIĘ, ŻE KABEL ZASILANIA JEST DOBRZE PODPIĘTY!

Może to wyglądać jak błąd systemu. W tym jednak czasie, Petya po cichu zajmuje się szyfrowaniem w tle. Jeśli użytkownik spróbuje zrestartować system lub zakończy się proces szyfrowania, na ekranie pojawia się migający, czerwony szkielet wraz z tekstem „NACIŚNIJ DOWOLNY KLAWISZ!”. Po wciśnięciu klawisza, pojawia się żądanie okupu.

Na początku działania, ofiara była proszona o zapłacenie 0,9 Bitcoina, co odpowiadało około 400 dolarów. Tym razem cena została zmieniona do 300 dolarów, płatnych w Bitcoinach. Jednakże firmy, posiadające wiele komputerów, mogą potrzebować dużo większej kwoty okupu.

Petya szyfruje pliki bardzo zaawansowanymi algorytmami RSA-4096 i AES-256 , używanymi nawet do celów militarnych. Taki kod jest praktycznie niemożliwy do złamania bez klucza. Ten jest zaś przechowwywany w podobny sposób, jak przy wirusach LockyCryptoWall, i CryptoLocker – na zdalnym serwerze, którego adres może zostać udostępniony tylko w wypadku zapłaty okupu.

Dodatkowe czynności wykonywane przy ataku wirusa Petya

Jak tylko wirus znajdzie się w systemie, będzie próbował nadpisać pliki uruchamiania systemu bądź tzw. master boot record niezbędny do uruchomienia systemu przy starcie komputera. Dopóki nie przywrocisz ustawień MBR, nie będziesz mógł usunąć wirusa Petya z komputera

Niestety, nawet jeśli uda się Tobie naprawić te ustawienia i usunąć wirusa z systemu, twoje pliki pozotaną zablokowane. Wsunięcie wirusa nie rozszyfruje plików, pozwoli tylko usunąć pliki szkodliwe. Oczywiście, jeśli chcesz dalej korzystać z komputera, usunięcie wirusa jest bardziej, niż konieczne. Zalecamy do tego celu programy antywirusowe takie, jak Reimage 

Eksperci do spraw bezpieczeństwa ogłosili informację o kluczu deszyfrującym wirusa, który może być w stanie pomóc rozszyfrować twoje pliki z pomocą specjalnego algorytmu. By z niego skorzystać, musisz wejść tutaj. Rozszyfrowanie plików nie powinno być jednak twoim jedynym problemem.

Powinieneś dodatkowo pozbyć się wirusa Petya z komputera zanim rozpocznie on drugie szyfrowanie plików. Jeśli masz z tym jakieś problemy, skorzystaj z poradników na kolejnej stronie tego artykułu.

Wirusy typu ransomware powiązane z Petyą

Wirus ten od momentu odkrycia w 2016 roku wciąż się rozwija – twórcy Petyi wydali kilka podobnych wersji wirusów ransomware.

Mischa został zauwazony w maju 2016 roku. Wiadomo o nim, że jest częścią kampanii Janus Cybercrime Solutions, która pozwala domorosłym hakerom na dołączenie do sieci-oddziału Petyi. By jednak stać się jednym z twórców złośliwego kodu, należało uiścić opłatę rejestracyjną. 

W zależności od wypłacalności okupu, użytkownicy sieci mogli zarobić nawet 85% przychodu wirusa w zamian za rozpowszechnianie tegoż w sieci. Jeśli kiedykolwiek myślałeś o dołączeniu do takiej szemranej spółki, pamiętak, że dla takich twórców nic nie jest święte i w prosty sposób mogą wykorzystać także i Ciebie.

Petrwrap nie należy do kampanii Janus Cybercrime Solutions, będącej swoistą siedzibą twórców wirusa. Jest to oddzielny wirus bazujący na zmodyfikowanych algorytmach ECDH wirusa Petya, co pozwala producentom na tworzenie kluczy (zarówno prywatnych, jak i publicznych)poza systemem RaaS.

Ten złośliwy kod korzystał z podatnej na ataki sieci RDP oraz narzędzia PsExec w celu dostania się do systemu koputera i uruchomienia procedur. Jest też możliwe zainfekowanie się tym wirusem po ściągnięciu zarażonego załącznika z wiadomości.

GoldenEye jest bardzo podobny do Petyi. By pokazać straty ofierze, dodaje określone rozszerzenie do każdego zaszyfrowanego pliku. Poza tym omija on Kontrolę Konta Użytkownika (UAC), by przypuścić atak niskiego poziomu i umieścić Petyę w systemie. Jeśli poziom kontroli konta jest ustawiony na maksimum, złośliwa aplikacja będzie wymuszać na użytkowniku zgodę na zmianę informacji w komputrze w powtarzających się okienkach. Kliknięcie „Tak” uruchamia wirusa.

Mamba sam w sobie jest groźny i potrafi zarazić praktycznie każdy komputer. Jego głównym celem są jednak firmy znajdujące się na terenie Niemiec. Złośliwy program po cichu dostaje się do komputera i wykonuje swoje zadania, podczas gdy użytkownik nie ma nawet nie podejrzewa, że jego sprzęt jest własnie atakowany.

 

W tej wersji, hakerom udało się zastosować algorytm szyfrowania Salsa20, który zredukował wady wirusa Petya. Poza tym, wirus rozpowszechnia się podobnie do poprzednich wersji, w formie zainfekowanego pliku PDF. Twórcy tego wirusa znani są też z używania spamu oraz fałszywych uaktualnień oprogramowania w celu dystrybucji zagrożenia.

W jaki sposob rozpowszechnia sie ten wirus i w jaki sposob moze przeniknac do mojego komputera?

Petya wirus jest dosc czesto rozpowszechniany poprzez wiadomosc i email, a takze moze byc pobrany z twojego zasobnika Dropbox jako plik ''application folder-gepackt.exe''. Wirus aktywuje sie w momencie pobrania i otwarcia go na komputerze ofiary. Jak juz pewnie wiesz wirus rozpowszechnia sie dosc szybko, ale mamy nadzieje ze teraz juz wiesz w jaki sposob chronic go przed tego typu atakami. Oczywiscie powinienes byc uwazny podczas otwierania maili, ktore otrzymujesz z podejrzanych i nieznanych zrodel, a takze wiadomosci ktorych niespodziewales sie otrzymac. Oprocz tego nie powinienes ufac filtrom swojego uslugodawcy mailowego, poniewaz podejrzane pliki sa czasami w stanie przeniknac nawet do zwyklej skrzynki na wiadomosci email. Dodatkowo upewnij sie ze jestes wyposazony w sprawny system antywirusowy i pamietasz o aktualizacji swojego komputera. Polecamy ci dokonanie kopii zapasowej swoich plikow i przetrzymywanie jej na dysku zewnetrznym, bez podlaczenia do komputera.

W jaki sposób mogę usunąć wirusa Petya z mojego komputera?

Jak juz wspomnielismy, odinstalowanie wirusa Petya z twojego komputera jest calkiem proste i bezpieczne i co wazne NIEZBEDNE dla bezpieczenstwa twoich plikow. Przywracanie danych z dysku zewnetrznego moze zostac przeprowadzone tylko jezeli wirus zostal juz usuniety z twojego komputera, w przeciwnym razie petya moze zainfekowac pliki zgromadzone takze na platformie zewnetrznej.

Niestety nie jestes w stanie usunac wirusa Petya ze swojego komputera standardowa droga ze wzgledu na to ze jest to wyjatkowo niebezpieczny program. Oznacza to ze bedziesz musial usunac tego wirusa automatycznie. Automatyczne usuwanie wirusa Petya moze zostac przeprowadzone korzystajac ze sprawdzonego antywirusa, ktory bedzie w stanie wykryc jak i usunac pliki.

Jednakze jezeli masz jakiekolwiek problemy z jego usunieciem lub tez blokuje on twojego antywirusa to mozesz zawsze sprawdzic instrukcje usuwania tego wirusa pokazana na konjcu tego artykulu.

Możemy mieć związek z dowolnym produktem, który polecamy na naszej stronie. Więcej informacji można znaleźć w Warunkach Użytkowania Pobierając jakiekolwiek oprogramowanie Anty-spyware w celu usunięcia Wirus Petya zgadzasz się z naszą Polityką Prywatności oraz Warunkami Użytkowania.
zrób to teraz!
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Download
Reimage (usuwanie) Gwarantujemy
zadowolenie
Program jest kompatybilny z Microsoft Windows Program jest kompatybilny z OS X
Co zrobić w przypadku porażki?
Jeżeli nie odniosłeś zamierzonego skutku podczas usuwania infekcji za pomocą Reimage, wyślij swoje pytanie naszej ekipie wsparcia technicznego i przekaż jak najwięcej szczegółów jesteś w stanie.
Polecamy usunąć oprogramowanie Reimage z pomocą oprogramowania Wirus Petya. Darmowy skaner oprogramowania pozwoli ci uzyskac informacje odnosnie tego czy twoj komputer zostal zainfekowany czy tez nie. Jezeli chcialbys usunac oprogramowanie malware lepiej bedzie jezeli zakupisz pelna licencje oprogramowania Reimage ktory jest sprawdznym oprogramowaniem do usuwania plikow malware.

Wiecej informacji na temat tego oprogramowania mozesz znalezc w Reimage.

Wiecej informacji na temat tego oprogramowania mozesz znalezc w Reimage.
Gazety piszą o Reimage
Gazety piszą o Reimage
Wirus Petya snapshot
Wirus Petya snapshot

Instrukcja ręcznego usuwania wirusa Petya:

Usuń Petya korzystająć z Safe Mode with Networking

Reimage jest narzędziem do wykrywania oprogramowania malware.
Będziesz musiał zakupić pełną wersję oprogramowania celem usunięcia infekcji.
Więcej informacji na temat Reimage znajdziesz ponizej.

Przy usuwaniu Petyi z komputera z pomocą Trybu Awaryjnego miej na uwadze, że jest to rozbudowana cyber-infekcja. Nie spodziewaj się, że szybko odzyskasz pełnię władzy nad sprzętem. By móc łatwiej uruchomić swojego antywirusa, zastosuj się do poniższych instrukcji

  • Krok 1: Zresetuj swój komputer Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Networking w oknie Startup Settings Wybierz 'Enable Safe Mode with Networking'
  • Krok 2: Usuń Petya

    Zaloguj się na zainfekowane konto a następnie uruchom przeglądarkę internetową. Pobierz Reimage lub też inny sprawdzony program antyszpiegujący. Zaaktualizuj go przed wykonaniem pełnego skanu systemu a następnie usuń podejrzane pliki powiązane z wirusem ransomware, zakończ usuwanie Petya.

Jeżeli program ransomware blokuje skorzystanie z Safe Mode with Networking, skorzystaj z innej metody

Usuń Petya korzystająć z System Restore

Reimage jest narzędziem do wykrywania oprogramowania malware.
Będziesz musiał zakupić pełną wersję oprogramowania celem usunięcia infekcji.
Więcej informacji na temat Reimage znajdziesz ponizej.

Jeśli chcesz pozbyć się malware z pomocą Przywracania Systemu, skorzystaj z tego poradnika. Pamiętaj, że jedną z cech obecnych ransomware'ów są próby zapobiegania swojej eliminacji z zainfekowanego sprzętu.

  • Krok 1: Zresetuj swój komputer Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Kliknij Start Shutdown Restart OK .
    2. Kiedy już włączysz swój komputer, zacznij wciskać przycisk F8 tak długo aż zobaczysz okno Advanced Boot Options
    3. Wybierz $1$s z listy Wybierz 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Wciśnij przycisk Power w oknie logowania oznaczonym Windows. Następnie wciśnij i przytrzmaj Shift, który znajduje się na twojej klawiaturze i wciśnij dodatkowo Restart.
    2. Teraz wybierz Troubleshoot Advanced options Startup Settings a na końcu dodatkowo wybierz Restart
    3. Jak tylko włączysz swój komputer wybierz -Enable Safe Mode with Command Prompt w oknie Startup Settings Wybierz 'Enable Safe Mode with Command Prompt'
  • Krok 2: Przywróć ustawienia fabryczne i pliki systemowe
    1. Jak tylko zobaczysz okno Command Prompt, wpisz cd restore i wybierz Enter Wpisz 'cd restore' bez cudzysłowia a nastepnie wybierz 'Enter'
    2. Teraz wybierz rstrui.exe a nastepnie kliknij Enter jeszcze raz. Wpisz 'rstrui.exe' bez cudzysłowia a nastepnie wybierz 'Enter'
    3. Kiedy pokaże ci się nowe okno wybierz Next a nastepnie wybierz punkt przywracania systemu, który wypada przed zainstalowaniem Petya. Zaraz po tym wybierz $3$s. Kiedy pojawi się okno 'System Restore' wybierz 'Next'. Wybierz punkt przywracania systemu i wybierz 'Next'
    4. Teraz wybierz Yes aby rozpocząć przywracanie systemu Kliknij 'Yes' i rozpocznij przywracanie systemu.
    Jak tylko przywrócisz system do poprzednich ustawien, pobierz na swoj komputer program Reimage i z jego pomoca dokonaj skanowania swojego systemu, upewnij się że udało ci sie usunąć oprogramowanie Petya

Bonus: przywróć swoje dane

Poradnik zaprezentowany powyżej powinien pomóc ci w usunieciu oprogramwania Petya z twojego komputera. Celem przywrócenia zaszyfrowanych danych prosze skorzystaj z dokladnego poradnika przygotowanego przez naszych ekspertow do spraw bezpieczenstwa usunwirusa.pl

Jezeli twoje pliki zostaly zaszyfrowane przez Petya mozesz skorzystac z podanych metod aby je przywrocic

Jak użyć Data Recovery Pro?

Data Recover Pro to obecnie najszybsze rozwiązanie, jeśli chodzi o dekrypcję danych. Nie wymaga ono ani dodatkowego przygotowania, ani umiejętności i sprawdza się w wielu przypadkech, jeśli chodzi o odzyskiwanie danych. Oto jego instrukcja użycia:

  • Pobierz Data Recovery Pro (https://usunwirusa.pl/download/data-recovery-pro-setup.exe);
  • Zapoznaj się z nastepującymi krokami Data Recovery a nastepnie zainstaluj program na swoim komputerze.
  • Uruchom go a nastepnie przeskanuj swoj zaszyfrowany komputer w poszukiwaniu Petya.
  • Przywróć je

Odzyskanie danych z pomocę poprzednich wersji systemu Windows

Poprzednie wersje systemu Windows to opcja wbudowana w systemie, pozwalająca na odzyskanie utraconych danych. Miej na uwadze, że ta metoda zadziała tylko w wypadku aktywnego Przywracania Systemu na komputerze. Nie wahaj się spróbować:

  • Znajdź zaszyfrowany plik, który chcesz przywrócić i kliknij na nim prawym przyciskiem myszy
  • Wybierz “Properties” a nastepnie przejdz do zakladki “Previous versions”
  • Tutaj sprawdz dostepne kopie pliku w “Folder versions”. Powinienes wybrac wersje ktora cie interesuje i kliknac przycisk przywracania “Restore”

ShadowExplorer jako pomoc w rozszyfrowaniu plików zablokowanych przez Petya

Niestety, ransomware Petya usuwa ukryte kopie zaszyfrowanych plików. Wykorzystanie ShadowExplorera jest niemożliwe.

  • Pobierz Shadow Explorer (http://shadowexplorer.com/);
  • W odniesieniu do manadzera instalacji Shadow Explorer po prostu postepuj z pozostalymi krokami instalacji.
  • Uruchom program, przejdz przez menu a nastepnie w górnym lewym roku kliknij dysk z zaszyfronwanymi danymi. Sprawdz jakie wystepuja tam foldery
  • Kliknij prawym przyciskiem na folder ktory chcesz przywrocic i wybierz “Export”. Nastepnie wybierz gdzie chcesz go skladowac.

Na końcu powinienes dodatkowo pomyśleć o ochronie swojego komputera przed oprogramowaniem ransomware. Aby chronić swój komputer przed Petya i innym szkodliwym oprogramowaniem polecamy skorzystanie ze sprawdzonego oprogramowania antyszpiegującego takiego jak Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus lub Malwarebytes Anti Malware

O autorze

Lucia Danes
Lucia Danes - Ekspert od wyszukiwania wirusów.

Jeżeli ten darmowy poradnik usuwania plików pomógł ci i jesteś zadowolony z działania naszego serwisu, prosimy o rozważenie dotacji, aby serwis mógł pozostać aktywny. Nawet najmniejsze sumy są mile widziane.

Więcej informacji o autorze

Źródło: http://www.2-spyware.com/remove-petya-virus.html

Poradniki w innych językach