Βαθμός σοβαρότητας:  
  (99/100)

Ιός Petya. Τρόποι Αφαίρεσης (Οδηγός Απεγκατάστασης)

από Lucia Danes - -   PetrWrap | Τύπος: Ransomware
12

Ο ιός Petya ransomware επέστρεψε για τα καλά – Έξαρση κυβερνοεπιθέσεων σε Ουκρανία, Ρωσία, και Ευρώπη

The latest Peya ransom note

Ο ιός Petya είναι τύπου ransomware, ο οποίος πρωτο-εμφανίστηκε το 2016. Αν και χάθηκε από το προσκήνιο για κάποιο διάστημα, φαίνεται ότι οι δημιουργοί του αποφάσισαν να τον επαναφέρουν στο προσκήνιο στα τέλη Ιουνίου, 2017. Ο συγκεκριμένος ιός είναι επίσης γνωστός και ως PetrWrapGoldenEye ransomwareMamba virus and Mischa ransomware. Αξίζει να σημειωθεί ότι ο ιός Petya ξεκίνησε με τρόπο παρόμοιο με αυτόν του ιού  WannaCry – εμφανίστηκε από το πουθενά και η έξαρση των επιθέσεων ήταν ταχύτατη και τεράστια σε όγκο. Ακόμα, κάποια λογισμικά ασφαλείας anti-virus αναγνωρίζουν αυτό τον ιό ως NotPetya και Nyetya ransomware.

Ήδη, ο ιός ransomware έχει μολύνει δίκτυα συστημάτων υπολογιστών διαφόρων τραπεζών, εταιρειών ενέργειας, κλπ. παγκοσμίου κύρους, όπως πχ.  «Rosneft», «Maersk“, και «Saint – Gobain». Η Ουκρανική εταιρεία λογισμικού MeDoc κατηγορείται ότι κρύβεται πίσω από τη δημιουργία αυτού του επικίνδυνου ιού. Προς το παρόν, η εταιρεία αρνείται κατηγορηματικά ότι κρύβεται πίσω από τον ιό και τις κυβερνο-επιθέσεις, ωστόσο πολλοί ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων υποστηρίζουν ότι έχουν συλλέξει πολλά αποδεικτικά στοιχεία που δείχνουν ότι η συγκεκριμένη εταιρεία βρίσκεται πίσω απ' αυτό τον επικίνδυνο ιό.

Η τελευταία έκδοση χρησιμοποιεί την email διεύθυνση wowsmith123456@posteo.net για τη συλλογή των λύτρων. Οι hackers απαιτούν από τον κάθε χρήστη-θύμα να τους πληρώσει $300 σε Bitcoin με αντάλλαγμα την ανάκτηση της πρόσβασης στα κρυπτογραφημένα αρχεία. Ήδη, είναι ξεκάθαρο ότι οι κυβερνο-επιθέσεις στοχεύουν συστήματα και δίκτυα υπολογιστών σε όλο τον κόσμο. Το πρώτο κύμα των κυβερνο-επιθέσεων στόχευσε χώρες, όπως πχ. Ουκρανία, Ηνωμένο Βασίλειο, Ισπανία, Δανία, Ολλανδία, και Ινδία.

Αξίζει να σημειωθεί ότι ο Petya ransomware δεν κρυπτογραφεί πλέον τα αρχεία ένα προς ένα – είναι ξεκάθαρο ότι ο ιός έχει πρόσφατα αναβαθμιστεί. Αντιθέτως, πρώτα ωθεί το σύστημα σε επανεκκίνηση και κατόπιν κρυπτογραφεί το MFT (master file table) του σκληρού δίσκου. Το MBR (master boot record) παύει να λειτουργεί και αυτό οδηγεί σε αποτυχία του συστήματος να αποκτήσει πρόσβαση σε σημαντικά στοιχεία των αρχείων που βρίσκονται αποθηκευμένα στον σκληρό δίσκο, όπως πχ. το όνομα, το μέγεθος, τη τοποθεσία. 

Είναι πολύ πιθανό το σύστημα του υπολογιστή σου να μολυνθεί από τον ιό μετά την λήψη ενός ψευδούς/παραπλανητικού και σαφώς μολυσμένου office εγγράφου, επομένως θέλει πολύ μεγάλη προσοχή όταν ανοίγεις άγνωστα emails. Ωστόσο, αναφέρθηκε από το The Hacker News ότι ο ιός ΕΚΜΕΤΑΛΛΕΥΕΤΑΙ το Windows SMBv1 κενό ασφαλείας που είναι το ίδιο που εκμεταλλεύτηκε και ο ιός WannaCry. Για αυτό, στην περίπτωση που ο συγκεκριμένος ιός ransomware μόλυνε το σύστημα του υπολογιστή σου, συνιστούμε την άμεση εγκατάσταση του εξαίρετου και πολυδοκιμασμένου λογισμικού ασφαλείας, Reimage. Αυτό, θα αναλάβει τον εντοπισμό και την ολοκληρωτική αφαίρεση όχι μόνο του ιού Petya, αλλά και όλων των βοηθητικών κακόβουλων αρχείων του.

ΕΝΗΜΕΡΩΣΗ: Σύμφωνα με τον ειδικό σε θέματα διαδικτυακής ασφάλειας συστημάτων, Lawrence Abrams, υπάρχει ένα πολύ καλό κόλπο ώστε να προστατευτεί το σύστημα του υπολογιστή από ενδεχόμενη επίθεση του ιού Petya – αρκεί ο χρήστης να δημιουργήσει ένα text αρχείο με το όνομα perfc και να το αποθηκεύσει στη τοποθεσία C:Windows folder. Έχει διαπιστωθεί ότι ο συγκεκριμένος ιός ransomware αυτο-αφαιρείται από το σύστημα μόλις εντοπίσει αποθηκευμένο αυτό το αρχείο. 

 

Οι επιθέσεις του ιού Petya 

Όνομα Petya
Κατηγορία Ιός Ransomware
   
Στόχοι  
M.E.Doc servers Οι κυβερνο-επιθέσεις πρωτο-ξεκίνησαν στην Ουκρανία στις 18 Ιουνίου (ή νωρίτερα) και άρχισαν να εξαπλώνονται διαδικτυακά ως δήθεν ενημέρωση ενός δημοφιλούς λογισμικού πακέτου λογιστικής, M.E.Doc.
Εθνική Τράπεζα Ουκρανίας  Μετά από λίγο, η Εθνική Τράπεζα Ουκρανίας δημοσιεύει σχετικά με την εξάπλωση της συγκεκριμένης «εξωτερικής κυβερνο-επίθεσης.» Μάλιστα, προειδοποιεί όλα τα χρηματοπιστωτικά ιδρύματα να δείξουν ιδιαίτερη προσοχή σχετικά με αυτές τις πολύ επικίνδυνες malware κυβερνο-επιθέσεις.
Τράπεζα Oshchadbank  Μετά από μια ώρα, η Τράπεζα Oshchadbank ενημερώνει τους πελάτες της για την περιορισμένη λειτουργικότητα των υπηρεσιών της λόγω ιού ransomware.
Υπουργικό Συμβούλιο Ουκρανίας Τα μέλη του Υπουργικού Συμβουλίου της Ουκρανίας ξεκινούν να τουιτάρουν ενημερώνοντας τους πολίτες ότι οι υπολογιστές τους έχουν μπλοκαριστεί λόγω του ιού Petya ransomware.
Maersk Επόμενος στόχος του ιού, η τεράστια εταιρεία μεταφοράς containers, Maersk. Τα δίκτυα υπολογιστών της εταιρείας σε Ολλανδία και Δανία μολύνονται από τον ιό. Η εταιρεία αναγκάζεται να διακόψει όλες τις υπηρεσίες της που σχετίζονται με τη μεταφορά containers.
Rosneft Ο Ρωσικός πετρελαϊκός κολοσσός, Rosneft, επιβεβαιώνει ότι και το δικό του δίκτυο στοχοποιήθηκε την ίδια μέρα από τον ιό.
DLA Piper DLA Piper, μιας παγκοσμίου φήμης εταιρεία νομικών υπηρεσιών, αναφέρει ότι και το δικό της δίκτυο στοχοποιήθηκε από τον ιό. Η εταιρεία αναγκάζεται να κλείσει τους servers της.
Mondelez Η Mondelez γνωστοποιεί ότι και τα δικά της γραφεία, δλδ. το εταιρικό δίκτυο υπολογιστών, στοχοποιήθηκε από τον ιό ransomware στις 27 Ιουνίου. Οι κυβερνο-επιθέσεις οδήγησαν σε απενεργοποίηση των servers της εταιρείας.
WPP Η πολύ δημοφιλής βρετανική εταιρεία marketing, WPP, αναφέρει ότι το δίκτυό της δέχτηκε κυβερνο-επιθέσεις από τον ιό Petya ransomware.

Δυστυχώς, ο αριθμός των χρηστών και εταιρειών-θυμάτων συνεχώς αυξάνεται. Το πιθανότερο είναι ότι το μεγαλύτερο ποσοστό όσων δέχτηκαν κυβερνο-επιθέσεις από τον ιό Petya δε το έχουν αναφέρει καν. Υπολογίζεται ότι έως τώρα, ο αριθμός των εταιρειών που έχουν στοχοποιηθεί από το συγκεκριμένο επικίνδυνο ιό ransomware ξεπερνάει τις αρκετές εκατοντάδες χιλιάδες.

Η αρχή της λειτουργικότητας

Όπως αναφέραμε, σε αντίθεση με τους άλλους ιούς ransomware, το συγκεκριμένο malware με το που διεισδύσει στο σύστημα-στόχο προβαίνει άμεσα σε επανεκκίνηση συστήματος. Μόλις ξανανοίξει ο υπολογιστής, εμφανίζεται το εξής μήνυμα:

DO NOT TURN OFF YOUR PC! 
IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! 
PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

Παρόλο που εκ πρώτης όψεως μοιάζει με ειδοποίηση σφάλματος συστήματος, ωστόσο αυτό που πραγματικά συμβαίνει είναι η παρασκηνιακή κρυπτογράφηση των αποθηκευμένων στο σύστημα αρχείων από τον ιό Petya virus. Εάν ο χρήστης-θύμα προσπαθήσει να επανεκκινήσει τον υπολογιστή ή όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης εμφανίζεται ένας κόκκινος σκελετός στην οθόνη μαζί με ένα μήνυμα που γράφει “PRESS ANY KEY!” (ΠΑΤΗΣΕ ΕΝΑ ΟΠΟΙΟΔΗΠΟΤΕ ΚΟΥΜΠΙ). Μόλις γίνει αυτό, εμφανίζεται νέο παράθυρο με σημείωμα λύτρων.

Όταν είχε πρωτο-εμφανιστεί ο ιός, οι hackers ζητούσαν από τον εκάστοτε χρήστη-θύμα λύτρα ύψους 0,9 BitCoin, δλδ. περίπου $400, ενώ τώρα ζητούν $300 (και αυτά πληρωτέα σε Bitcoin). Αυτή η τιμή είναι συνήθως ανά υπολογιστή. Έτσι, στην περίπτωση εταιρικών δικτύων που αποτελούνται από δεκάδες ή εκατοντάδες υπολογιστές, το ύψος των λύτρων ανεβαίνει ανάλογα.

Σε αυτό το σημείο θα πρέπει να τονίσουμε ότι ο ιός Petya ransomware κρυπτογραφεί τα αρχεία χρησιμοποιώντας τους ιδιαιτέρως περίπλοκους και προηγμένους στρατιωτικού-τύπου αλγόριθμους κρυπτογράφησης, RSA-4096 και AES-256 . Όπως μπορεί εύκολα να καταλάβει κανείς, η αποκρυπτογράφηση των κρυπτογραφημένων αρχείων αγγίζει τα όρια του αδυνάτου χωρίς το μοναδικό κλειδί αποκρυπτογράφησης. Όμως, όπως συμβαίνει και στις περιπτώσεις άλλων επικίνδυνων ιών ransomware, όπως πχ. Locky virusCryptoWall virus, και CryptoLocker, αυτό το μοναδικό (διαφορετικό για κάθε περίπτωση) κλειδί αποκρυπτογράφησης βρίσκεται αποθηκευμένο στην ασφάλεια κάποιου απομακρυσμένου server. Ο χρήστης-θύμα μπορεί να αποκτήσει πρόσβαση σε αυτό μόνο αφού πληρώσει τα λύτρα, τουλάχιστον έτσι λένε οι hackers.

Επιπρόσθετη δραστηριότητα μετά την κυβερνο-επίθεση του ιού Petya ransomware

Μόλις αυτός ο πολύ επικίνδυνος ιός καταφέρει να διεισδύσει στο σύστημα-στόχο, θα προσπαθήσει να καταστρέψει τα αρχικά Windows boot αρχεία ή το master boot record , τα οποία είναι ζωτικής σημασίας για την ορθή φόρτωση του λειτουργικού συστήματος. Η ολοκληρωτική αφαίρεση του ιού Petya virus είναι αδύνατη έως ότου δεν γίνει επαναφορά των  MBR ρυθμίσεων.

Ακόμα και όταν καταφέρεις να εντοπίσεις και να αφαιρέσεις ολοκληρωτικά τον ιό, αλλά και να επαναφέρεις τις ρυθμίσεις στην αρχική τους κατάσταση (πριν την επίθεση του ιού), δυστυχώς, αυτό δε σημαίνει ότι θα καταφέρεις να ανακτήσεις την πρόσβαση στα κρυπτογραφημένα αρχεία. Αυτό συμβαίνει γιατί πολύ απλά η ολοκληρωτική αφαίρεση του ιού δεν οδηγεί σε ανάκτηση των μολυσμένων αρχείων. Παρόλα αυτά, η ολοκληρωτική αφαίρεση του ιού θα πρέπει να γίνεται και είναι καίριας σημασίας εάν επιθυμείς να επαναφέρεις την ορθή και ασφαλή λειτουργία του συστήματος.

Στην περίπτωση που βρεθείς στην πολύ δυσάρεστη θέση να διαπιστώσεις ότι ο υπολογιστής σου έχει μολυνθεί από τον ιό Petya ransomware, προτείνουμε τη χρήση ενός πλήρως ενημερωμένου και αξιόπιστου λογισμικού ασφαλείας antivirus, όπως πχ. το εξαίρετο και πολυδοκιμασμένοReimage. Αυτό θα αναλάβει τον αυτόματο εντοπισμό και την ολοκληρωτική αφαίρεση του ιού Petya.

Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων ανακοίνωσαν ότι έχει κυκλοφορήσει το κλειδί αποκρυπτογράφησης (decryption key) του συγκεκριμένου ιού ransomware. Θα πρέπει να επισκεφτείς αυτόν τον ιστότοπο. Ωστόσο, η αποκρυπτογράφηση των αρχείων δεν είναι ο μοναδικός 'πονοκέφαλος' σε αυτή την περίπτωση.

Είναι καίριας σημασίας η άμεση ολοκληρωτική αφαίρεση του ιού Petya ransomware, πριν προλάβει ο ιός να αρχίσει το δεύτερο κύμα κρυπτογραφήσεων των αρχείων. Εάν αντιμετωπίσεις πρόβλημα στην αφαίρεση του ιού, τότε σε συμβουλεύουμε να διαβάσεις πολύ προσεκτικά τις αναλυτικές οδηγίες που θα βρεις στη δεύτερη σελίδα του άρθρου.

Petya virus screenshot

Ιοί Ransomware που σχετίζονται με τον Petya

Ο συγκεκριμένος ιός ransomware είναι ξεκάθαρο ότι σημειώνει μεγάλη ανάπτυξη από το 2016, όποτε και πρωτο-εμφανίστηκε – οι δημιουργοί του ιού Petya έχουν ήδη κυκλοφορήσει τις εξής αναβαθμισμένες ransomware εκδόσεις:

Ο ιός Mischa ransomware πρωτο-εμφανίστηκε το Μάιο του 2016. Απ' όσα γνωρίζουμε, αποτελεί κομμάτι της Janus Cybercrime Solutions καμπάνιας μέσω της οποίας οι απανταχού hackers μπορούν να γίνουν ενεργά μέλη του δικτύου συνεργατών (affiliate network) του Petya. Ωστόσο, για να γίνει κάποιος μέλος θα πρέπει πρώτα να πληρώσει ένα συγκεκριμένο ποσόν ως 'τέλη συνδρομής'. 

Αναλόγως του ύψους των λύτρων, τα μέλη του δικτύου συνεργατών μπορούν να κρατήσουν έως και το 85% από το ύψος των λύτρων. Σε όποιον αυτό φαίνεται ως μια πολλά υποσχόμενη επιχειρηματική ιδέα, οφείλουμε να προειδοποιήσουμε ότι πρόκειται για μια ποινικά διωκώμενη πρακτική, τιμωρείται με ποινή φυλάκισης, και δεν είναι απίθανο, μιας και μιλάμε για πονηρούς κυβερνο-εγκληματίες, να πέσουν και οι ίδιοι θύματα πλεκτάνης. Επομένως, μακριά απ' αυτού του είδους τις συναλλαγές και 'κερδοφόρες προοπτικές'.

Ο ιός Petrwrap ransomware δεν ανήκει στην Janus Cybercrime Solutions καμπάνια που ουσιαστικά αποτελεί ένα μεγάλο κακόβουλο δίκτυο συνεργατών (affiliate network) του ιού Petya. Πρόκειται για ανεξάρτητο ιό, ο οποίος βασίζεται στον τροποποιημένο αλγόριθμο του Petya, ECDH, ο οποίος δίνει τη δυνατότητα στους δημιουργούς του να παράγουν πριβέ και δημόσια κλειδιά αποκρυπτογράφησης εκτός του συστήματος RaaS.

Το malware χρησιμοποιεί το δίκτυο RDP και το PsExec εργαλείο για να διεισδύει σε συστήματα υπολογιστών. Παρόλα αυτά, είναι επίσης πιθανόν ο ιός να διεισδύσει σε συστήματα υπολογιστών κατόπιν λήψης μολυσμένης email επισύναψης.

Ο ιός GoldenEye ransomware virus έχει πολλά παρόμοια χαρακτηριστικά με τον ιό Petya. Για να ενημερώσει και να πείσει τον χρήστη-θύμα ότι τα αρχεία του έχουν κρυπτογραφηθεί, του εμφανίζει ορισμένες επεκτάσεις αρχείου προς τα αρχεία αυτά. Αξίζει να σημειωθεί ότι ο ιός καταφέρνει να 'ξεγλυστράει' από το UAC (User Account Control) και εγκαθιστά τον ιό Petya ransomware στο σύστημα-στόχο. Εάν το UAC βρίσκεται στο μέγιστο επίπεδο, ζητείται επανελλειμένως από τον χρήστη-θύμα να αφήσει το πρόγραμμα να προβεί σε συστημικές τροποποιήσεις ρυθμίσεων. Αρκεί μια φορά ο χρήστης-θύμα να κάνει το λάθος και να πατήσει το «Yes» (Ναι) ώστε το malware να κάνει τη ζημιά.

Ο ιός Mamba ransomware είναι εξαιρετικά επικίνδυνος και μπορεί πρακτικά να στοχεύσει οποιοδήποτε υπολογιστή. Ωστόσο, έως τώρα φαίνεται ότι ο ιός έχει ιδιαίτερη προτίμηση σε Γερμανικά εταιρικά δίκτυα. Ο ιός διεισδύει κρυφά στα συστήματα υπολογιστών και προβαίνει σε εκτέλεση των κακόβουλων διεργασιών του χωρίς την επίγνωση του χρήστη-θύματος.

Σε αυτή την έκδοση, οι hackers κατάφεραν να εξαλείψουν τα τρωτά σημεία του ιού Petya χρησιμοποιώντας τον ιδιαιτέρως προηγμένο αλγόριθμο κρυπτογράφησης Salsa20 (encryption algorithm). Εκτος αυτού, ο ιός λειτουργεί με τρόπο πανομοιότυπο με αυτόν που λειτουργεί ο ιός Petya. Εξαπλώνεται διαδικτυακά με την μορφή μολυσμένου PDF αρχείου. Ως επί το πλείστον, οι hackers εξαπλώνουν τον ιό μέσω spam emails και ψευδών/παραπλανητικών ενημερώσεων προγραμμάτων.

Πώς μπορεί αυτό το malware να διεισδύσει στο σύστημα του υπολογιστή μου και πώς μπορώ να προστατέψω το σύστημα του υπολογιστή μου απ' αυτές τις κυβερνο-επιθέσεις?

Ο ιός Petya virus εξαπλώνεται διαδικτυακά συνήθως μέσω spam emails, τα οποία εμπεριέχουν Dropbox σύνδεσμο λήψης του επισυναπτόμενου αρχείου «application folder-gepackt.exe». Ο ιός ενεργοποιείται όταν αυτό το αρχείο κατέβει στον υπολογιστή και ανοιχθεί. Ωστόσο, η τελευταία έκδοση του ιού εκμεταλλεύεται τα τρωτά σημεία του CVE-2017-0199 Office RTF ώστε να διεισδύει εύκολα σε συστήματα υπολογιστών.

Τώρα, όσον αφορά τα μέτρα προφύλαξης απ' αυτού του είδους τις επικίνδυνες κυβερνο-επιθέσεις, οι χρήστες οφείλουν να είναι ιδιαιτέρως προσεκτικοί και επιφυλακτικοί όταν ανοίγουν emails, κυρίως όταν αυτά προέρχονται από ύποπτους / άγνωστους αποστολείς, όταν το περιεχόμενό τους παραείναι δελεαστικό για να είναι πραγματικό ή όταν είναι άσχετης θεματολογίας με τις συνήθεις δραστηριότητες.

Είναι καίριας σημασίας η λήψη του MS17-010 και όλων των πρόσφατων Microsoft ενημερώσεων ώστε να καλυφθούν τα τρωτά σημεία του SMB. Τέλος, είναι άκρως αναγκαία η λήψη, εγκατάσταση, και συνεχής ενεργοποίηση ενός πλήρως ενημερωμένου κι αξιόπιστου λογισμικού ασφαλείας antivirus.

Όσον αφορά την προστασία των δεδομένων, είναι καίριας σημασία το τακτικό backup όλων των αρχείων, έστω των σημαντικότερων, σε ασφαλείς εξωτερικές μονάδες αποθήκευσης (εξωτερικοί σκληροί δίσκοι, USB, cloud, κτλ). Έτσι, σε περίπτωση κυβερνο-επιθέσεων από ιούς ransomware, αρκεί η ολοκληρωτική αφαίρεση του ιού, και κατόπιν η μεταφορά των backup αρχείων και πάλι στο σύστημα. Με αυτό το τρόπο, ο χρήστης δε θα πέσει θύμα εκβιασμού από τους hackers.

Ολοκληρωτική αφαίρεση του ιού Petya και ανάκτηση συστήματος μετά από κυβερνο-επίθεση:

Όπως αναφέραμε νωρίτερα, η απεγκατάσταση του ιού Petya ransomware από τον υπολογιστή είναι αναγκαία για τη μελλοντική ασφάλεια των αρχείων. Επίσης, η επαναφορά δεδομένων από εξωτερικούς δίσκους μπορεί να γίνει μόνο όταν ο ιός, κι όλα τα σχετικά στοιχεία του, έχουν αφαιρεθεί ολοκληρωτικά από τον υπολογιστή. Διαφορετικά, ο ιός Petya μπορεί να διεισδύσει και να μολύνει κι αυτές τις εξωτερικές μονάδες αποθήκευσης.

Λόγω της προηγμένης φύσης και της περιπλοκότητάς του, δεν είναι δυνατή η αφαίρεση του ιού Petya μέσω της απλής διαδικασίας απεγκατάστασης. Έτσι, η αυτόματη αφαίρεσή του είναι ο μόνος τρόπος για οριστική απαλλαγή από την πολύ επικίνδυνη παρουσία του. Φυσικά, στην αυτόματη αφαίρεση είναι πολύ σημαντικό να χρησιμοποιηθεί ένα πλήρως ενημερωμένο κι αξιόπιστο antivirus το οποίο θα εντοπίσει τον ιό και όλα τα σχετικά στοιχεία του, και κατόπιν θα προβεί σε ολοκληρωτική αφαίρεσή του ιού Petya.

Σε αυτό το σημείο, οφείλουμε να ενημερώσουμε ότι υπάρχει ενδεχόμενο να παρουσιαστεί πρόβλημα κατά την αυτόματη αφαίρεση του ιού. Έχει παρατηρηθεί ότι ο ιός έχει τη δυνατότητα να μπλοκάρει την λειτουργία του εγκαταστημένου antivirus. Σε αυτή την περίπτωση, μπορείς να διαβάσεις προσεκτικά τις αναλυτικές οδηγίες αφαίρεσης που ετοίμασε η ομάδα των ειδικών μας. Θα τις βρεις στο τέλος του άρθρου.

Πώς μπορώ να αφαιρέσω τον ιό Petya από τον υπολογιστή μου?

Όπως αναφέραμε νωρίτερα, η απεγκατάσταση του ιού Petya ransomware από τον υπολογιστή σας είναι αναγκαία για τη μελλοντική ασφάλεια των αρχείων σας. Επίσης, η επαναφορά δεδομένων από εξωτερικούς δίσκους μπορεί να γίνει μόνο όταν ο ιός, κι όλα τα σχετικά στοιχεία του, έχουν αφαιρεθεί ολοκληρωτικά από τον υπολογιστή σας. Διαφορετικά, ο ιός Petya μπορεί να διεισδύσει και να μολύνει κι αυτές τις εξωτερικές πλατφόρμες αποθήκευσης.

Λόγω της προηγμένης φύσης και της περιπλοκότητάς του, δεν είναι δυνατή η αφαίρεση του ιού Petya μέσω της απλής διαδικασίας απεγκατάστασης. Έτσι, η αυτόματη αφαίρεσή του είναι ο μόνος τρόπος για να απαλλαγείτε οριστικά από την πολύ επικίνδυνη παρουσία του. Φυσικά, στην αυτόματη αφαίρεση είναι πολύ σημαντικό να χρησιμοποιήσετε κάποιο πλήρως ενημερωμένο κι αξιόπιστο antivirus το οποίο θα εντοπίσει τον ιό και όλα τα σχετικά στοιχεία του, και κατόπιν θα προβεί σε ολοκληρωτική αφαίρεσή του ιού Petya.

Σε αυτό το σημείο, οφείλουμε να σας ενημερώσουμε ότι υπάρχει ενδεχόμενο να αντιμετωπίσετε πρόβλημα κατά την αυτόματη αφαίρεση του ιού. Έχει παρατηρηθεί ότι ο ιός έχει τη δυνατότητα να μπλοκάρει την λειτουργία του εγκαταστημένου antivirus. Σε αυτή την περίπτωση, μπορείτε να τσεκάρετε τις λεπτομερείς οδηγίες αφαίρεσης του συγκεκριμένου ιού από την εξειδικευμένη ομάδα των ειδικών μας. Μπορείτε να βρείτε αυτές τις αναλυτικές οδηγίες αφαίρεσης στο τέλος του άρθρου.

Μπορεί να συνεργαζόμαστε με κάθε προϊόν το οποίο προτείνουμε στην ιστοσελίδα. Πλήρης γνωστοποίηση στους Όρους Χρήσης μας. Κάνοντας λήψη του προτεινόμενου Anti-spyware λογισμικού για την αφαίρεση του Ιός Petya, συμφωνείτε στη πολιτική απορρήτου μας και στους συμφωνία χρήσης.
Κάντε το τώρα
Λήψη
Reimage (λογισμικό αφαίρεσης) Εγγύηση
Ικανοποίησης
Λήψη
Reimage (λογισμικό αφαίρεσης) Εγγύηση
Ικανοποίησης
Συμβατό με Microsoft Windows Συμβατό με OS X
Τι γίνεται σε περίπτωση αποτυχίας?
Στην περίπτωση που η προσπάθεια αφαίρεσης της μόλυνσης είναι ανεπιτυχής με τη χρήση Reimage, υποβολή ερώτησης, μπορείς να επικοινωνήσεις με το Τμήμα Υποστήριξης δίνοντας όσες περισσότερες πληροφορίες μπορείς.
Προτείνεται το Reimage για απεγκατάσταση του Ιός Petya. Η δωρεάν σάρωση σας παρέχει τη δυνατότητα να ελέγξετε για το εάν ο υπολογιστής σας έχει μολυνθεί ή όχι. Εάν χρειασθεί να αφαιρέσετε κακόβουλο λογισμικό (βλ. malware), τότε θα πρέπει πρώτα να αγοράσετε την πλήρη έκδοση του προγράμματος ασφάλειας Reimage.

Περισσότερες πληροφορίες μπορείτε να βρείτε σε αυτό το άρθρο αξιολόγησης του Reimage.

Περισσότερες πληροφορίες μπορείτε να βρείτε σε αυτό το άρθρο αξιολόγησης του Reimage.
Πατήστε αναφορές Reimage
Πατήστε αναφορές Reimage
Στιγμιότυπο του Ιός Petya
Έτσι μοιάζει το πιο πρόσφατο σημείωμα λύτρων του ιού Petya

Οδηγός Χειροκίνητης Αφαίρεσης του ιού Petya:

Αφαίρεση Petya χρησιμοποιώντας Safe Mode with Networking

Το Reimage είναι εργαλείο εντοπισμού malware.
Χρειάζεται να αγοράσετε την Πλήρη Έκδοση του προγράμματος για να αφαιρέσετε τις εντοπισμένες μολύνσεις.
Περισσότερες πληροφορίες για Reimage.

Για αφαίρεση του ιού Petya από συστήματα υπολογιστών με λειτουργικό Windows χρησιμοποιώντας την Ασφαλή Λειτουργία (Safe Mode), θα πρέπει να τονίσουμε ότι πρόκειται για μια ιδιαιτέρως περίπλοκη κυβερνο-μόλυνση. Η ολοκληρωτική αφαίρεση είναι δύσκολη. Για ευκολότερη εγκατάσταση λογισμικού ασφαλείας anti-virus, θα πρέπει να ακολουθήσεις προσεκτικά τις παρακάτω οδηγίες:

  • Βήμα 1: Reboot υπολογιστή σε Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click Start Shutdown Restart OK.
    2. Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
    3. Επιλέξτε Safe Mode with Networking από την λίστα Επιλέξτε 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
    2. Τώρα, επιλέξτε Troubleshoot Advanced options Startup Settings και τέλος πατήστε Restart.
    3. Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Networking στο παράθυρο Startup Settings. Επιλέξτε 'Enable Safe Mode with Networking'
  • Βήμα 2: Απομάκρυνση Petya

    Συνδεθείτε στον μολυσμένο λογαριασμό κι εκκινήστε τον browser. Κατεβάστε το Reimage ή οποιοδήποτε άλλο πλήρως ενημερωμένο κι αξιόπιστο anti-spyware (λογισμικό προστασίας από προγράμματα κατασκοπίας). Κατόπιν, προβείτε σε γενική σάρωση συστήματος κι αφαιρέστε κακόβουλα αρχεία που ανήκουν στο ransomware και ολοκληρώστε την αφαίρεση του Petya.

Εάν το ransomware μπλοκάρει το Safe Mode with Networking, τότε δοκιμάστε κάποια άλλη μέθοδο.

Αφαίρεση Petya χρησιμοποιώντας System Restore

Το Reimage είναι εργαλείο εντοπισμού malware.
Χρειάζεται να αγοράσετε την Πλήρη Έκδοση του προγράμματος για να αφαιρέσετε τις εντοπισμένες μολύνσεις.
Περισσότερες πληροφορίες για Reimage.

Για να απαλλαγείς απ' αυτό το επικίνδυνο malware με τη χρήση Επαναφοράς Συστήματος (System Restore) θα πρέπει να ακολουθήσεις προσεκτικά τις παρακάτω οδηγίες. Ο ιός ransomware είναι σίγουρο ότι θα προσπαθήσει να αποφύγει τον εντοπισμό και την ολοκληρωτική αφαίρεσή του.

  • Βήμα 1: Reboot υπολογιστή σε Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click Start Shutdown Restart OK.
    2. Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
    3. Επιλέξτε Command Prompt από την λίστα Επιλέξτε 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
    2. Τώρα, επιλέξτε Troubleshoot Advanced options Startup Settings και τέλος πατήστε Restart.
    3. Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Command Prompt στο παράθυρο Startup Settings. Επιλέξτε 'Enable Safe Mode with Command Prompt'
  • Βήμα 2: Επαναφέρετε τα αρχεία και ρυθμίσεις του συστήματος
    1. Μόλις εμφανιστεί το παράθυρο Command Prompt, εισάγετε cd restore και click Enter. Εισάγετε 'cd restore' χωρίς εισαγωγικά και πατήστε 'Enter'
    2. Πληκτρολογήστε rstrui.exe και πατήστε ξανά Enter . Εισάγετε 'rstrui.exe' χωρίς εισαγωγικά και πατήστε 'Enter'
    3. Όταν εμφανιστεί νέο παράθυρο, click Next κι επιλέξτε το σημείο επαναφοράς πριν τη διείσδυση του Petya. Κατόπιν, click Next. Όταν εμφανιστεί το παράθυρο 'System Restore', επιλέξτε   'Next' Επιλέξτε το σημείο επαναφοράς και click 'Next'
    4. Μετά, click Yes για να ξεκινήσει η επαναφορά του συστήματος. Click 'Yes' και ξεκινήστε την επαναφορά συστήματος
    Μόλις επαναφέρεις το σύστημα σε παλαιότερη ημερομηνία, θα πρέπει να κατεβάσεις και να σκανάρεις το σύστημα του υπολογιστή με Reimage έτσι ώστε να βεβαιωθείς ότι η αφαίρεση Petya έχει ολοκληρωθεί με επιτυχία.

Μπόνους: Ανάκτηση δεδομένων

Ο συγκεκριμένος οδηγός έχει δημιουργηθεί για να σε βοηθήσει να αφαιρέσεις ολοκληρωτικά Petya από τον υπολογιστή σου. Για να ανακτήσεις τα κρυπτογραφημένα αρχεία σου, συνιστούμε να ακολουθήσεις προσεκτικά τις οδηγίες που ετοίμασαν οι ioys.gr ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων.

Εάν τα αρχεία σου έχουν κρυπτογραφηθεί από Petya, τότε μπορεί να χρησιμοποιήσεις αρκετές μεθόδους για την επαναφορά τους:

Χρήση του Data Recovery Pro

Το Data Recovery Pro είναι μια συνολικά καλή και γρήγορη εναλλακτική σε θέματα ανάκτησης κρυπτογραφημένων αρχείων. Δεν απαιτεί καμία εξτρά προετοιμασία ή ιδιαίτερες δεξιότητες και είναι σχετικά αποτελεσματικό. Ακολούθησε προσεκτικά τις παρακάτω οδηγίες χρήσης:

  • Λήψη Data Recovery Pro (http://ioys.gr/download/data-recovery-pro-setup.exe)
  • Ακολούθησε τα βήματα του Data Recovery Setup και εγκατάστησε το πρόγραμμα στον υπολογιστή σου
  • Κατόπιν, άνοιξέ το και προχώρα σε σάρωση συστήματος για τον εντοπισμό κρυπτογραφημένων αρχείων από τον ιό Petya ransomware
  • Προχώρα σε επαναφορά τους.

Χρήση της λειτουργίας Windows Previous Versions για ανάκτηση κρυπτογραφημένων αρχείων

Η λειτουργία Windows Previous Versions είναι μια αρκετά αποτελεσματική εναλλακτική όσον αφορά την ανάκτηση κρυπτογραφημένων αρχείων σε λειτουργικό σύστημα Windows. Ωστόσο, προσοχή! Αυτή η επιλογή ανάκτησης κρυπτογραφημένων αρχείων είναι αποτελεσματική μόνο στην περίπτωση που η λειτουργία Επαναφορά Συστήματος (System Restore) ήταν ενεργοποιημένη πριν την επίθεση του ιού. Αν ναι, μη διστάσεις να τη δοκιμάσεις:

  • Επέλεξε ένα κρυπτογραφημένο αρχείο που θες να επαναφέρεις και κάνε δεξί click πάνω του
  • Επέλεξε “Properties” και πήγαινε στην καρτέλα “Previous versions”
  • Εδώ, τσέκαρε όλες τις διαθέσιμες copies του αρχείου σε “Folder versions”. Θα πρέπει να επιλέξεις την έκδοση που επιθυμείς να ανακτήσεις και click “Restore”.

Χρήση ShadowExplorer για ανάκτηση κρυπτογραφημένων αρχείων από ιό Petya

Δυστυχώς, έχει διαπιστωθεί ότι ο ιός Petya ransomware διαγράφει τα Volume Shadow Copies των αρχείων που κρυπτογραφεί. Επομένως, είναι αδύνατη η χρήση του ShadowExplorer για την ανάκτησή τους.

  • Λήψη Shadow Explorer (http://shadowexplorer.com/)
  • Ακολούθησε προσεκτικά το Setup Wizard του Shadow Explorer και εγκατάστησε την εφαρμογή στον υπολογιστή σου
  • Τρέξε το πρόγραμμα, άνοιξε το μενού του στην πάνω αριστερή γωνία, και επέλεξε το δίσκο με τα κρυπτογραφημένα αρχεία. Έλεγξε τους φακέλους που βρίσκονται εκεί
  • Κάνε δεξί click στον φάκελο που επιθυμείς να επαναφέρεις κι επέλεξε “Export”. Μπορείς επίσης να επιλέξεις που επιθυμείς να τον αποθηκεύσεις.

Δεν υπάρχει ακόμα επίσημος και επιβεβαιωμένα αξιόπιστος αποκρυπτογράφος του ιού Petya

Τέλος, καλό είναι να φροντίζετε για την προστασία του υπολογιστή σας από κυβερνο-εισβολές κακόβουλων λογισμικών, όπως τα crypto-ransomwares. Για να 'θωρακίσετε' λοιπόν τον υπολογιστή σας από Petya κι άλλα ransomwares, τότε σας συνιστούμε να χρησιμοποιήσετε ένα πλήρως ενημερωμένο κι αξιόπιστο anti-spyware, όπως πχ. Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ή Malwarebytes Anti Malware

Σχετικά με συντάκτη

Lucia Danes
Lucia Danes - Ερευνήτρια Ιών

Εάν ο δωρεάν οδηγός αφαίρεσης σας φάνηκε χρήσιμος και μείνατε ευχαριστημένοι από τις υπηρεσίες μας, τότε θα εκτιμούσαμε αν μας βοηθούσατε οικονομικά μέσω δωρεάς σας για να συνεχίσουμε το έργο μας. Ακόμα και το μικρότερο ποσόν θα εκτιμηθεί!

Πηγή: https://www.2-spyware.com/remove-petya-virus.html

Οδηγίες αφαίρεσης σε άλλες γλώσσες