Как обезопасить себя от вируса Petya.A
Есть вот такая предварительная информация . Чтобы прекратить распространение Petya.A, нужно закрыть TCP-порты 1024–1035, 135 и 445 . Для этого Выбирайте вкладку «Панель управления» и запускайте параметр «Брэндмауэр». Если, у вас был загружен вид по различным категориям действий, нажмите на ссылку «Система и безопасность». После открытия страницы настроек, щелкните по надписи «Брэндмауэр», чтобы загрузить окно программы. Этот алгоритм действий применяют, в случае, если используется операционная система Windows 7.
Далее, надо щелкнуть по ссылке «Дополнительные параметры» в столбце, что находится на странице слева. После того, как загрузится окно центра контроля учетных записей, нужно будет подтвердить свои намерения и ввести пароль администратора.
Затем, нужно будет нажать на строчку «Правила для входящих подключений» в новом окне слева. После этих действий, появляется список необходимых правил и приложений к ним. Нажмите на надпись «Создать правило», она располагается в правой верхней части окна. Далее, загрузится диалог мастера для создания правил по работе с сетевым экраном.
Затем, нужно будет поставить отметку в строке «Для порта» и нажать «Далее». Потом отметьте пункт «Протокол TCP» на следующей загрузившейся странице сверху, а в нижней ее части вводите номер порта, доступность которого вы хотите ограничить. Потом щелкните по кнопке «Далее».
Нужно поставить отметку напротив пункта «Блокировать подключение» и щелкнуть надпись «Далее». В следующем окне надо будет отметить галочками три пункта: публичный, частный, доменный,— чтобы созданное вами правило срабатывало на все виды подключений. Чтобы перейти к следующей странице настройки, необходимо щелкнуть по кнопке «Далее».
Теперь, нужно задать имя для правила, которое вы создали, например «Port 88», чтобы с его помощью можно было легко его найти, если это потребуется. Можете при необходимости, добавить описание. Щелкните по кнопке «Готово». Процесс создания правила для входящего подключения, теперь успешно завершен.
Для тех, кому лень кучу кнопок тыкать.
Создайте любой текстовый файлик и пропишите в нем такие строки:
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1024 name="Block_TCP-1024"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1025 name="Block_TCP-1025"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1026 name="Block_TCP-1026"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1027 name="Block_TCP-1027"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1028 name="Block_TCP-1028"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1029 name="Block_TCP-1029"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1030 name="Block_TCP-1030"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1031 name="Block_TCP-1031"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1032 name="Block_TCP-1032"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1033 name="Block_TCP-1033"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1034 name="Block_TCP-1034"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1035 name="Block_TCP-1035"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
Сохраните с расширением любое_название_файлика.bat или любое_название_файлика.cmd
и запустите его от имени администратора (правая клавиша мышки на файлике и запустить от имени администратора)
Нет Интернета - нет проблем. Одобрено Госдумой.
По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
Какой Petya.A?
1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.
2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.
3. Чтобы удалить вирус, вам необходимо скачать со здорового компьютера загрузочный диск с антивирусом, который способен вылечить компьютер от «Пети». Это умеют например ESET NOD32 LiveCD или Kaspersky Rescue Disk.
После скачивания, по инструкции запишите загрузочный диск на флешку и загрузите компьютер с него. Далее антивирус все сделает сам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.
Есть и более сложный способ, однако пользоваться им стоит на свой страх и риск.
Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.
Чтобы снять информацию с поврежденных дисков, можно воспользоваться инструментом Petya Sector Extractor для извлечения необходимой информации с диска.

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области.
Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).
Затем вернуться к утилите, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.
Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.