Usuń wirusa Petya (Ostatnia aktualizacja, cze 2018) - Poradnik usuwania

Czym jest Wirus Petya?

Wirus ransomware Petya wraca, atakując Ukrainę, Rosję i Europę

Petya to wirus typu ransomware odkryty w 2016 roku. Wygląda jednak na to, że jego twórcy zdecydowali się na ulepszenie go pod koniec czerwca 2017 roku. Znany także jako BadRabbit, PetrWrap, GoldenEye, Mamba bądź Mischa, Petya rozpoczął w podobnie, jak WannaCry – epidemia pojawiła się z nikąd i rozszerzała się nezwykle szybko. Wirus zaraził już wiele banków, elektrowni, spółki „Rosneft”, „Maersk“, „Saint – Gobain” i wiele innych firm.

Najnowsza wersja używa adresu wowsmith123456@posteo.net do zbierania okupu. Wymaga ona zapłaty 300$ w Bitcoinach w zamian za odzyskanie zaszyfrowanych danych. Ukraina, Wielka Brytania, Hiszpania, Dania, Holandia, Indie i inne kraje już potwierdziły najnowszy atak.

Petya nie szyfruje plików ofiary pojedynczo – jest to jasna informacja o usprawnieniu działania wirusa. Zamiast tego, wirus uruchamia komputer ponownie, po czym szyfruje główną tablicę plików (MFT) na dysku twardym. Próba uruchomienia systemu przez MBR (master boot record) kończy się fiaskiem z powodu braku dostępu do potrzebnych informacji o plikach, takich jak ich nazwy, rozmiary i lokalizacja.

Wciąż możesz zainfekować komputer Petyą poprzez pobranie fałszywych dokumentów. Zachowaj więc ostrożność pobierając pliki od nieznanych Tobie odbiorców. The Hacker News informuje, że wirus ten TAKŻE wykorzystuje luki użyte wcześniej przez WannaCry. Żeby się zabezpieczyć, zainstaluj FortectIntego.

Zasady funkcjonalności Petyi

Jak już wspomnieliśmy, Petya zachowuje się inaczej niż inne wirusy typu ransomware. W momencie dostania się do systemu, uruchamia komputer ponownie. Następnie, podczas uruchamiania, pojawia się informacja w języku angielskim nastepującej treści:

NIE WYŁĄCZAJ KOMPUTERA!
JEŚLI ANULUJESZ PROCES, MOŻESZ ZNISZCZYĆ WSZYSTKIE SWOJE DANE!
UPEWNIJ SIĘ, ŻE KABEL ZASILANIA JEST DOBRZE PODPIĘTY!

Może to wyglądać jak błąd systemu. W tym jednak czasie, Petya po cichu zajmuje się szyfrowaniem w tle. Jeśli użytkownik spróbuje zrestartować system lub zakończy się proces szyfrowania, na ekranie pojawia się migający, czerwony szkielet wraz z tekstem „NACIŚNIJ DOWOLNY KLAWISZ!”. Po wciśnięciu klawisza, pojawia się żądanie okupu.

Na początku działania, ofiara była proszona o zapłacenie 0,9 Bitcoina, co odpowiadało około 400 dolarów. Tym razem cena została zmieniona do 300 dolarów, płatnych w Bitcoinach. Jednakże firmy, posiadające wiele komputerów, mogą potrzebować dużo większej kwoty okupu.

Petya szyfruje pliki bardzo zaawansowanymi algorytmami RSA-4096 i AES-256 , używanymi nawet do celów militarnych. Taki kod jest praktycznie niemożliwy do złamania bez klucza. Ten jest zaś przechowwywany w podobny sposób, jak przy wirusach Locky, CryptoWall, i CryptoLocker – na zdalnym serwerze, którego adres może zostać udostępniony tylko w wypadku zapłaty okupu.

Dodatkowe czynności wykonywane przy ataku wirusa Petya

Jak tylko wirus znajdzie się w systemie, będzie próbował nadpisać pliki uruchamiania systemu bądź tzw. master boot record niezbędny do uruchomienia systemu przy starcie komputera. Dopóki nie przywrocisz ustawień MBR, nie będziesz mógł usunąć wirusa Petya z komputera

Niestety, nawet jeśli uda się Tobie naprawić te ustawienia i usunąć wirusa z systemu, twoje pliki pozotaną zablokowane. Wsunięcie wirusa nie rozszyfruje plików, pozwoli tylko usunąć pliki szkodliwe. Oczywiście, jeśli chcesz dalej korzystać z komputera, usunięcie wirusa jest bardziej, niż konieczne. Zalecamy do tego celu programy antywirusowe takie, jak FortectIntego

Eksperci do spraw bezpieczeństwa ogłosili informację o kluczu deszyfrującym wirusa, który może być w stanie pomóc rozszyfrować twoje pliki z pomocą specjalnego algorytmu. By z niego skorzystać, musisz wejść tutaj. Rozszyfrowanie plików nie powinno być jednak twoim jedynym problemem.

Powinieneś dodatkowo pozbyć się wirusa Petya z komputera zanim rozpocznie on drugie szyfrowanie plików. Jeśli masz z tym jakieś problemy, skorzystaj z poradników na kolejnej stronie tego artykułu.

Powyżej zdjęcie przedstawiające żądanie okupu wirusa Petya wyświetlane na zarażonych komputerach oraz screenshot jego strony do opłat.

Wirusy typu ransomware powiązane z Petyą

Wirus ten od momentu odkrycia w 2016 roku wciąż się rozwija – twórcy Petyi wydali kilka podobnych wersji wirusów ransomware.

Mischa został zauwazony w maju 2016 roku. Wiadomo o nim, że jest częścią kampanii Janus Cybercrime Solutions, która pozwala domorosłym hakerom na dołączenie do sieci-oddziału Petyi. By jednak stać się jednym z twórców złośliwego kodu, należało uiścić opłatę rejestracyjną.

W zależności od wypłacalności okupu, użytkownicy sieci mogli zarobić nawet 85% przychodu wirusa w zamian za rozpowszechnianie tegoż w sieci. Jeśli kiedykolwiek myślałeś o dołączeniu do takiej szemranej spółki, pamiętak, że dla takich twórców nic nie jest święte i w prosty sposób mogą wykorzystać także i Ciebie.

Petrwrap nie należy do kampanii Janus Cybercrime Solutions, będącej swoistą siedzibą twórców wirusa. Jest to oddzielny wirus bazujący na zmodyfikowanych algorytmach ECDH wirusa Petya, co pozwala producentom na tworzenie kluczy (zarówno prywatnych, jak i publicznych)poza systemem RaaS.

Ten złośliwy kod korzystał z podatnej na ataki sieci RDP oraz narzędzia PsExec w celu dostania się do systemu koputera i uruchomienia procedur. Jest też możliwe zainfekowanie się tym wirusem po ściągnięciu zarażonego załącznika z wiadomości.

GoldenEye jest bardzo podobny do Petyi. By pokazać straty ofierze, dodaje określone rozszerzenie do każdego zaszyfrowanego pliku. Poza tym omija on Kontrolę Konta Użytkownika (UAC), by przypuścić atak niskiego poziomu i umieścić Petyę w systemie. Jeśli poziom kontroli konta jest ustawiony na maksimum, złośliwa aplikacja będzie wymuszać na użytkowniku zgodę na zmianę informacji w komputrze w powtarzających się okienkach. Kliknięcie „Tak” uruchamia wirusa.

Mamba sam w sobie jest groźny i potrafi zarazić praktycznie każdy komputer. Jego głównym celem są jednak firmy znajdujące się na terenie Niemiec. Złośliwy program po cichu dostaje się do komputera i wykonuje swoje zadania, podczas gdy użytkownik nie ma nawet nie podejrzewa, że jego sprzęt jest własnie atakowany.

W tej wersji, hakerom udało się zastosować algorytm szyfrowania Salsa20, który zredukował wady wirusa Petya. Poza tym, wirus rozpowszechnia się podobnie do poprzednich wersji, w formie zainfekowanego pliku PDF. Twórcy tego wirusa znani są też z używania spamu oraz fałszywych uaktualnień oprogramowania w celu dystrybucji zagrożenia.

W jaki sposob rozpowszechnia sie ten wirus i w jaki sposob moze przeniknac do mojego komputera?

Petya wirus jest dosc czesto rozpowszechniany poprzez wiadomosc i email, a takze moze byc pobrany z twojego zasobnika Dropbox jako plik ''application folder-gepackt.exe''. Wirus aktywuje sie w momencie pobrania i otwarcia go na komputerze ofiary. Jak juz pewnie wiesz wirus rozpowszechnia sie dosc szybko, ale mamy nadzieje ze teraz juz wiesz w jaki sposob chronic go przed tego typu atakami.

Oczywiscie powinienes byc uwazny podczas otwierania maili, ktore otrzymujesz z podejrzanych i nieznanych zrodel, a takze wiadomosci ktorych niespodziewales sie otrzymac. Oprocz tego nie powinienes ufac filtrom swojego uslugodawcy mailowego, poniewaz podejrzane pliki sa czasami w stanie przeniknac nawet do zwyklej skrzynki na wiadomosci email. Dodatkowo upewnij sie ze jestes wyposazony w sprawny system antywirusowy i pamietasz o aktualizacji swojego komputera. Polecamy ci dokonanie kopii zapasowej swoich plikow i przetrzymywanie jej na dysku zewnetrznym, bez podlaczenia do komputera.

W jaki sposób mogę usunąć wirusa Petya z mojego komputera?

Jak juz wspomnielismy, odinstalowanie wirusa Petya z twojego komputera jest calkiem proste i bezpieczne i co wazne NIEZBEDNE dla bezpieczenstwa twoich plikow. Przywracanie danych z dysku zewnetrznego moze zostac przeprowadzone tylko jezeli wirus zostal juz usuniety z twojego komputera, w przeciwnym razie petya moze zainfekowac pliki zgromadzone takze na platformie zewnetrznej.

Niestety nie jestes w stanie usunac wirusa Petya ze swojego komputera standardowa droga ze wzgledu na to ze jest to wyjatkowo niebezpieczny program. Oznacza to ze bedziesz musial usunac tego wirusa automatycznie. Automatyczne usuwanie wirusa Petya moze zostac przeprowadzone korzystajac ze sprawdzonego antywirusa, ktory bedzie w stanie wykryc jak i usunac pliki.

Jednakze jezeli masz jakiekolwiek problemy z jego usunieciem lub tez blokuje on twojego antywirusa to mozesz zawsze sprawdzic instrukcje usuwania tego wirusa pokazana na konjcu tego artykulu.