Vakavuus luokka:  
  (99/100)

Petya virus. Kuinka poistaa? (Poisto-ohjeet)

kirjoittanut Lucia Danes - -   PetrWrap | Tyyppi: Lunnasohjelmat
12

Petya lunnasohjelma palaa hyökkäyksillä Ukrainassa, Venäjällä ja Euroopassa

 

Petya on lunnasohjelma tyylinen ohjelma, joka löydettiin vuonna 2016. Vaikuttaa kuitenkin siltä, että sen kehittäjät päättivät elvyttää sen kesäkuussa 2017. Se tunnettaan myös nimillä BadRabbitPetrWrapGoldenEye lunnasohjelmaMamba virus and Mischa lunnasohjelma, Petya aloitti samalla tavalla kuin WannaCry – hyökkäys huomattiin aivan tyhjästä ja se levisi nopeasti. Lunnasohjelma on jo saastuttanut jo useita pankkeja, sähköyhtiötä, yrityksiä, kuten ”Rosneft”, ”Maersk“, ”Saint – Gobain” ja muita yrityksiä.

Viimeisin versio käyttää wowsmith123456@posteo.net sähköpostia lunnaiden keräämiseen. Se vaatii maksamaan $300 Bitcoineina uhrien tiedostojen palauttamisesta. Ukraina, Iso-Britannia, Espanja, Tanska, Hollanti, Intia ja muut maat ovat olleet jo hyökkäyksen kohteena.

Petya lunnasohjelma ei salaa uhrien tiedostoja yksi kerrallaan – tämä on selkeä merkki, että virus on juuri päivitetty. Sen sijaan se käynnistää tietokoneen uudelleen ja salaa MFT:n (master file table) kovalevyltä. MBR (master boot record) toiminnan loppuminen aiheuttaa virheen, kun koetetaan saada haluttuja tietoja tiedostoista, kuten nimi, koko ja sijainti.

Voit yhä saada Petya viruksen, kun olet ladannut tekaistun office dokumentin, ole siis varuillasi tuntemattomien sähköpostien kanssa. Hacker News julkaisu on kuitenkin ilmoittanut, että virus KÄYTTÄÄ samaa Windows SMBv1 haavoittuvuutta, jota myös WannaCry tartunta käyttää. Suojataksesi itseäsi, muista asentaa Reimage.

Toimintaperiaatteet

Kuten me olemme jo maininneet, muista lunnasohjelmista poiketen, Petya käynnistää heti tietokoneen uudelleen. Kun se käynnistyy uudelleen, niin näytölle tulee viesti, joka sanoo:

DO NOT TURN OFF YOUR PC! 
IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! 
PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

Vaikka se voi näyttää järjestelmävirheeltä, tällä hetkellä kuitenkin, Petya virus suorittaa salausta järjestelmän taustalla. Jos käyttäjä koettaa käynnistää järjestelmän tai jos salaus on suoritettu, niin vilkkuva luuranko ilmaantuu näytölle tekstillä “PRESS ANY KEY!”. Kun olet painanut jotain näppäintä, niin uusi ikkuna lunnasviestillä ilmaantuu.

Sen toiminnan alkuvaiheessa, uhria yleensä uhria pyydetään maksamaan 0,9 BitCoinia, joka vastaa noin $400. Nyt se kuitenkin vaatii $300 in Bitcoinia. Siksi eri yrityksiä, joilla on useita tietokoneita, voidaan vaatia eri lunnaita. 

Petya lunnasohjelma salaa tiedostot todella monimutkaisella RSA-4096 ja AES-256 algoritmeilla, jota käytetään armeijan tarkoituksiin. Tällaisen koodin purkaminen on mahdotonta ilman yksityistä avainta. Muille lunnasohjelmille tyypillisesti, kuten Locky virusCryptoWall virus sekä CryptoLocker, tämä yksityinen avain tallennetaan etäpalvelimille, joihin päästään käsiksi vain maksamalla lunnaat sen luojille.

Ylimääräiset aktiviteetit Petya lunnasohjelma hyökkäyksen jälkeen

Kun tämä virus on järjestelmässä, se koettaa ylikirjoittaa Windows boot tiedostot tai niin kutsutut master boot recordin , jota vaaditaan käyttöjärjestelmän lataamiseen. Et voi poistaa Petya virusta tietokoneeltasi, jos et palauta MBR asetuksiasi.

Vaikka onnistuisit korjaamaan nämä asetukset ja poistamaan viruksen järjestelmästä, niin tiedostosi valitettavasti pysyvät lukittuina, koska viruksen poisto ei poista salausta vaan poistaa saastuttavat tiedostot. On sanomattakin selvää, että viruksen poisto on tärkeää, jos haluat jatkaa tietokoneesi käyttöä. Me neuvomme käyttämään tehokasta ja maineikasta antivirusta, kuten Reimage suorittamaan Petya poiston.

Turvallisuusasiantuntijat ovat juuri ilmoittaneet lunnasohjelman salauksen poistoavaimesta, joka voi auttaa sinua poistamaan salauksen erityisellä algoritmilla. Voidaksesi käyttää sitä, sinun pitää vierailla tällä sivulla. Salauksen poiston ei kuitenkaan tulisi olla sinun ainoa huolenaiheesi.

Sinun tulee myös varmistaa, että poistat Petya lunnasohjelman tietokoneeltasi ennen kuin se alkaa uudelleen salaamaan tiedostojasi. Jos sinulla on mitään ongelmia poistojen tekemisessä, tarkista yksityiskohtaiset poisto-ohjeet tämän artikkelin toisella sivulla.

Lunnasohjelmat jotka liittyvät Petya virukseen

Tämä lunnasohjelma on kasvanut siitä asti, kun se ilmaantui Internettiin 2016 – Petyan kehittäjät ovat jo julkaisseet nämä lunnasohjelma versiot:

Mischa lunnasohjelma huomattiin Toukokuussa 2016. Sen tiedetään olevan osa Janus Cybercrime Solutions kampanjaa, joka antaa hakkereiksi haluavien liittyä Petya yhteistyöverkkoon. Tullaksesi yhdeksi sen levittäjistä, sinun pitää maksaa rekisteröintimaksu. 

Lunnasohjelman maksujen määrästä riippuen, käyttäjät voivat tienata jopa 85% tuloista, viruksen levittämisestä Internetissä. Jos sinä haluat tulla osaksi näin ilkeää yritystä, niin mieti että sen luojat eivät pidä mitään pyhänä ja voivat käyttää myös sinua hyväkseen, ole siis todella varovainen.

Petrwrap lunnasohjelma ei kuulu Janus Cybercrime Solutions kampanjaan, jota pidetään lunnasohjelmien yhteistyöverkkona. Se on erillinen virus, joka perustuu muokattuun Petya ECDH algoritmiin, joka antaa sen kehittäjien luoda yksityisen ja yleisen avaimen RaaS järjestelmän ulkopuolella.

Haittaohjelma on käyttänyt haavoittuvaa RDP verkkoa ja PsExec työkalua tunkeutumaan kohde PC järjestelmiin ja laukaisemaan viruksen. Siitä huolimatta, on myös mahdollista saada lunnasohjelma, kun olet ladannut saastuneen sähköpostin liitteen.

GoldenEye lunnasohjelma virus on kohtalaisen samanlainen kuin Petya. Näyttääkseen uhreille heidän tappionsa, se liittää erityisen tiedoston päätteen kohdetiedostoihin. Virus ohittaa myös User Account Controlin (UAC) aloittaakseen matalan tason hyökkäyksen ja pudottaa Petya lunnasohjelman järjestelmään. Jos UAC on asetettu maksimiin, niin uhria pyydetään sallimaan vaarallisen ohjelman tekemään muutoksia tietokoneelle jatkuvasti. Jos painat ”Yes”, niin se käynnistää Petyan.

Mamba lunnasohjelma itsessään on todella vaarallinen ja voi periaatteessa minkä tahansa PC:n, mutta sen tärkein kohde ovat Saksalaiset yritykset. Tämä vaarallinen ohjelma pääsee uhrien tietokoneelle salaa ja suorittaa vaarallisia aktiviteetteja, ilman että tietokoneen omistaja edes epäilee tietokoneen olevan uhan alla.

Tässä versiossa, hakkerit ovat onnistuneet käyttämään Salsa20 salausta eliminoidakseen aikaisemmat Petya haavoittuvuudet. Muussa tapauksessa virus toimii samalla tavalla kuin aikaisemmat versiot, leviten saastuneella PDF tiedostolla.

Kuinka tämä haittaohjelma voi saastuttaa PC:si ja kuinka voit estää sen?

Petya virusta levitetään yleensä roskaposteilla, joissa on Dropbox latauslinkki nimeltä ”application folder-gepackt.exe” liitettynä. Virus aktivoituu, kun mainittu tiedosto ladataan ja avataan. Viruksen viimeisin versio käyttää kuitenkin CVE-2017-0199 Office RTF haavoittuvuutta tietokoneelle tunkeutumiseen.

Koska tiedät jo, miten tämä virus leviää, niin sinulla on luultavasti käsitys miten voisit suojella tietokonettasi tältä virus hyökkäykseltä. Sinun pitää tietenkin olla varovainen sähköpostien avaamisessa, jotka tulevat epäilyttäviltä ja tuntemattomilta lähteiltä, joissa on turhaa tietoa, joilla ei ole mitään tekemistä odotettujen viestien kanssa .

Sinun kannattaa välttää sähköposteja ”roskaposti” kansiossa, koska useimmat sähköpostipalvelut suodattavat sähköpostin ja asettavat epäilyttävän materiaalin tähän kansioon. Sinun ei kuitenkaan kannata luottaa tähän suodattimeen kokonaan, koska mahdollisesti vaarallinen sähköposti voi luikerrella myös tavallisten poistien joukkoon. Muista myös varustaa järjestelmäsi maineikkaalla antivirus ohjelmalla ja pitää se päivitettynä. Lopuksi, on aina suositeltavaa pitää varmuuskopiot ulkoisella laitteella hätätilanteen varalta.

Petya poisto ja järjestelmän palautus hyökkäyksen jälkeen:

Kuten me olemme maininneet, Petya lunnasohjelman poistaminen tietokoneelta on todella tärkeää tulevien tiedostojen turvallisuuden varalta. Myös tietojen palauttaminen ulkoiselta laitteelta voidaan suorittaa vasta, kun virus ja siihen liittyvät komponentit on poistettu PC:ltä kokonaan. Muussa tapauksessa Petya voi tunkeutua ja lukita tiedostot näillä ulkoisilla laitteilla.

Et voi poistaa Petyaa tietokoneeltasi yksinkertaisen poistoprosessin kanssa, koska tällainen vaihtoehto ei toimi tämän ohjelman kanssa. Tämä tarkoittaa, että sinun pitää poistaa virus automaattisesti. Petya viruksen automaattinen poisto tulee suorittaa luotettavalla antivirus ohjelmalla, joka löytää ja poistaa tämän viruksen tietokoneeltasi.

Jos törmäät ongelmiin, kun poistat tätä virusta automaattisesti, jos se estää antivirustasi toimimasta, niin voit aina tarkistaa yksityiskohtaiset viruksen poisto-ohjeet tämän artikkelin alla.

Me voimme olla yhteistyössä minkä tahansa sivustolla suosittelemamme tuotteen kanssa. Täydellinen selitys Käyttöehdoissamme Lataamalla minkä tahansa tarjotuista Anti-Spyware ohjelmista poistamaan Petya virus suostut meidän yksityistyys käytäntöihimme ja käyttösopimukseemme.
tee se nyt!
Lataa
Reimage (poistaja) tyytyväisyys
Taattu
Lataa
Reimage (poistaja) tyytyväisyys
Taattu
Yhteensopiva Microsoft Windows käyttöjärjestelmän kanssa Yhteensopiva OS X käyttöjärjestelmän kanssa
Mitä tehdä jos epäonnistun
Jos et onnistunut poistossa ohjelmalla Reimage, lähetä kysymys tukitiimille ja anna niin paljon tietoja kuin mahdollista.
Reimage on suositeltu ohjelma Petya virus poistamiseen. Ilmainen skanneri tarkistaa PC:si tartuntojen varalta. Jos sinun pitää poistaa haittaohjelmia niin sinun pitää ostaa Reimage haittaohjelman poistajan lisensoitu versio.

Lisätietoja tästä ohjelmasta voita löytää Reimage arvostelusta.

Lisätietoja tästä ohjelmasta voita löytää Reimage arvostelusta.
Lehti mainintoja tuotteesta Reimage
Lehti mainintoja tuotteesta Reimage

Manuaalinen Petya viruksen Poisto-ohje:

Poista Petya käyttäen Safe Mode with Networking

Reimage on haittaohjelmien löytämiseen.
Sinun pitää ostaa sen Täysi versio jotta voit poistaa tartuntoja.
Lisätietoja Reimage sovelluksesta.

Poistaaksesi Petya viruksen Windows järjestelmästä Vikasietotilassa, niin pidä mielessäsi, että tämä on monimutkainen verkkouhka. Älä odota sen antautuvan helpolla. Auttaaksesi antiviruksesi toimintaa, käytä seuraavia ohjeita:

  • Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikkaa Start Shutdown Restart OK.
    2. Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
    3. Valitse Safe Mode with Networking listalta Valitse 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
    2. Valitse sitten Troubleshoot Advanced options Startup Settings ja paina lopuksi Restart
    3. Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Networking, Startup Settings ikkunassa. Valitse 'Enable Safe Mode with Networking'
  • Askel 2: Poisto Petya

    Kirjaudu saastuneelle tilillesi ja käynistä selain. Lataa Reimage tai jokin muu haittaohjelman poistaja. Päivitä se ja suorita järjestelmän täysi tarkistus ja poista lunnasohjelmalle kuuluvat tiedostot ja suorita Petya poisto loppuun.

Jos lunnasohjelmasi estää Safe Mode with Networking toiminnan niin koeta seuraavaa tapaa.

Poista Petya käyttäen System Restore

Reimage on haittaohjelmien löytämiseen.
Sinun pitää ostaa sen Täysi versio jotta voit poistaa tartuntoja.
Lisätietoja Reimage sovelluksesta.

Päästäksesi eroon haittaohjelmasta Järjestelmän Palautuksen avulla, seuraa alla olevia askeleita. Pidä mielessäsi, että yksi ilkeimmistä lunnasohjelman ominaisuuksista on estää sen poisto saastuneelta laitteelta.

  • Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikkaa Start Shutdown Restart OK.
    2. Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
    3. Valitse Command Prompt listalta Valitse 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
    2. Valitse sitten Troubleshoot Advanced options Startup Settings ja paina lopuksi Restart
    3. Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Command Prompt, Startup Settings ikkunassa. Valitse 'Enable Safe Mode with Command Prompt'
  • Askel 2: Palauta järjestelmän tiedostot ja asetukset
    1. Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter. Kirjoita 'cd restore' ilman lainausmerkkejä ja paina 'Enter'
    2. Kirjoita sitten rstrui.exe ja paina Enter uudelleen.. Kirjoita 'rstrui.exe' ilman lainausmerkkejä ja paina 'Enter'
    3. Kun uusi ikkuna avautuu, klikkaa Next ja valitse haluamasi palautuspiste joka on ennen Petya pääsyä koneelle. Klikkaa sen jälkeen Next. Kun 'System Restore' ikkuna ilmaantuu, valitse 'Next' Valitse palautuspiste ja klikkaa 'Next'
    4. Klikkaa nyt Yes aloittaaksesi järjestelmän palautuksen Klikkaa 'Yes' ja aloita järjestelmän palautus
    Kun olet palauttanut järjestelmäsi aikaisempaan päivämäärään, lataa ja tarkista tietokoneesi Reimage ohjelmalla ja varmista, että Petya on poistettu onnistuneesti

Bonus: Palauta tiedostosi

Ohjeiden jotka ovat yllä, pitäisi auttaa sinua poistamaan Petya tietokoneeltasi. Salattujen tiedostojen palauttamiseksi, me suosittelemme käyttämään yksityiskohtaisia ohjeita jotka virukset.fi turvallisuusasiantuntijat ovat luoneet

Jos tiedostosi ovat joutuneet Petya salaamaksi niin voit käyttää useita tapoja niiden palauttamiseksi

Mitä hyötyä on Data Recovery Pro ohjelmasta?

Data Recover Pro on luultavasti nopein ratkaisu salauksen poistoon. Se ei vaadi ylimääräisiä valmisteluita tai taitoja, ja se on kohtalaisen tehokas mitä tulee tiedostojen palauttamiseen. Tässä ohjeet sen käyttöön:

Pelasta tärkeät tiedostosi Windows Previous Versions ominaisuudella

Windows Aikaisemmat Versiot on yksi tiedostojen palautuksen vaihtoehdoista, jonka Windows-järjestelmä tarjoaa sisäänrakennettuna. Pidä aina mielessäsi, että tämä tekniikka toimii vain, jos Järjestelmän Palautus on toiminnassa. Älä epäröi vaan kokeile sitä:

  • Etsi salattu tiedosto joka sinun pitää palauttaa ja klikkaa sitä hiiren oikealla painikkeella
  • Valitse “Properties” ja mene “Previous versions” välilehteen;
  • Tarkista täällä kaikki tiedostosta saatavilla olevat kopiot kansiossa “Folder versions”. Sinun pitää valita versio jonka haluat palauttaa ja klikata “Restore”.

ShadowExplorer auttaa poistamaan Petyan salaamien tiedostojen salauksen

On todella valitettavaa, että Petya poistaa Varjokopiot sen salaamista tiedostoista, joten ShadowExplorer ei auta niiden palauttamisessa.

  • Lataa Shadow Explorer (http://shadowexplorer.com/);
  • Seuraa Shadow Explorer Asennusvelhoa ja asenna sovellus tietokoneellesi;
  • Käynnistä ohjelma ja mene pudotusvalikkoon vasemmassa yläkulmassa jotta voit valita salattujen tietojen kovalevyn. Tarkista mitä kansioita siellä on;
  • Klikkaa niitä kansiota hiiren oikealla jotka haluat palauttaa ja valitse “Export”. Voit myös valita minne ne haluat palautettavan.

Lopuksi, sinun kannattaa aina ajatella suojautumista krypto-lunnasohjelmia vastaan. Voidaksesi suojella tietokonettasi Petya ja muita lunnasohjelmia vastaan, käytä maineikasta haittaohjelman poistajaa, kuten Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus tai Malwarebytes Anti Malware.

Kirjoittajasta

Lucia Danes
Lucia Danes - Virus tutkija

Jos tämä ilmainen poisto-ohje auttoi sinua ja olet tyytyväinen palveluumme, ole hyvä ja harkitse lahjoituksen tekemistä jotta voimme pitää tämän palvelun elossa. Jopa kaikkein pienin summa otetaan kiitollisuudella vastaan

Lähde: https://www.2-spyware.com/remove-petya-virus.html

Poisto-ohjeet muilla kielillä