Niedawno pojawił się nowy wirus Petya - https://www.dobreprogramy.pl/Petya-to-nie-ransomware.-Odszyfrowanie-danych-niemozliwe,News,81901.html
Żeby się zabezpieczyć przed tym wirusem Petya niema jeszcze wydanych łatek na windows XP.
[quote=" ze Źródła: <a href=http://www.instalki.pl/aktualnosci/bezpieczenstwo/26918-petya-jak-sie-ochronic.html">www.instalki.pl/aktualnosci/bezpieczenstwo/26918-petya-jak-sie-ochronic.html"]
Ransomware Petya masowo infekuje komputery. Zobacz, jak się przed nim bronić
(…)
Nie pobieraj podejrzanych załączników
Specjaliści od zabezpieczeń informują, że Petya rozprzestrzenia się dzięki fałszywej aktualizacji popularnego na Ukrainie oprogramowania M.E Doc. Badacze wyjaśniają jednak, że wirus może się także ukrywać pod postacią złośliwych plików. “Petya próbuje odzyskać hasła z pamięci systemu Windows, a następnie usiłuje odnaleźć i zainfekować wszystkie urządzenia w sieci lokalnej (z użyciem portów tcp/445 i tcp/139, a także mechanizmów WMI oraz PSexec). Oznacza to tyle, że pierwotny wektor ataku jest klasyczny – w praktyce ktoś w coś musi kliknąć” - czytamy w analizie F-Secure. Z tego też względu zalecamy, by nie pobierać podejrzanych załączników z wiadomości e-mail, szczególnie jeżeli nie znamy adresata. Możemy bowiem wpuścić szkodnika do naszego systemu. To samo tyczy się wchodzenia na podejrzane strony internetowe i pobierania z nich jakichkolwiek plików.
Zainstaluj anti-ransomware
Elementem obrony może też być oprogramowanie anti-ransomware. Firma Malwarebytes wyjaśnia, że ich narzędzie skutecznie blokuje działanie wirusa Petya. Program można pobrać za darmo z naszego działu download.
Petya wykryty przez Malwarebytes Anti-Ransomware
Zaktualizuj system Windows
Celem ataków jest system Windows. Warto zatem upewnić się, że posiadamy najnowszą dostępną wersję, przechodząc bezpośrednio do Windows Update. Może to nas uchronić przed utratą plików.
Zablokuj port SMBv1
Nawet zaktualizowany system może zostać zainfekowany, jeżeli komputer przebywa w sieci z innymi zainfekowanymi urządzeniami. Aby się przed tym zabezpieczyć, należy wyłączyć komunikację za pomocą portu SMBv1. W tym celu w wyszukiwarce Menu Start wpisujemy „Funkcje systemu Windows” i uruchamiamy narzędzie.
Następnie odszukujemy i odznaczamy „Obsługę udostępniania plików SMB 1.0/CIFS", po czym restartujemy system.
Plik perfc na ratunek
Niektórzy badacze wskazują, że swoistym wyłącznikiem wirusa Petya jest specjalny plik, utworzony w folderze C:\Windows. Skuteczność tej metody nie została potwierdzona, ale jej przeprowadzenie raczej nie zaszkodzi. Przechodzimy pod wspomnianą ścieżkę. W opcjach plików i folderów upewniamy się, że system nie ukrywa rozszerzeń znanych typów plików (funkcja ta musi być odznaczona).
Następnie kopiujemy jakikolwiek plik obecny w tym folderze (np. explorer.exe), po czym zmieniamy jego nazwę na perfc. Ważne, aby nie dopisać żadnego rozszerzenia! Na pytanie o zmianę rozszerzenia odpowiadamy twierdząco, po czym akceptujemy uprawnienia administratora.
Gotowy plik będzie wyglądać w ten sposób:
Wykonaj kopie zapasowe danych
Działanie Petya polega na szyfrowaniu zawartości całego dysku twardego. Jeżeli zatem zawczasu wykonamy kopię zapasową najważniejszych plików i umieścimy je na zewnętrznym nośniku lub np. na dysku sieciowym, to w przypadku infekcji nie utracimy do nich dostępu. Będziemy musieli je po prostu przywrócić po ponownym zainstalowaniu systemu. - Istotny jest fakt, że przy Petyi nie mówimy o jakimś rewolucyjnym pomyśle. Biznes oparty na złośliwym szyfrowaniu rozwija się od lat, a tym razem cyberprzestępcy, kolokwialnie mówiąc, wzięli po prostu większą spluwę - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX. - Jeśli zawczasu pomyślimy o kamizelce kuloodpornej w postaci regularnego backupu to ochronimy swoje systemy nie tylko przed szantażystami, ale też każdym innym zagrożeniem. W przypadku utraty dostępu do danych wystarczy przywrócić system do ostatniej bezpiecznej wersji i w kilka minut podjąć przerwaną pracę – wyjaśnia.
Co zrobić, gdy wirus zainfekuje komputer?
Jeżeli wirus przedostał się już na nasz komputer, to należy reagować bardzo szybko. Po infekcji wyświetli się następujący komunikat, po czym system zostanie zrestartowany.
Komunikat wyświetlany przez Petya w Windowsie Następnie szkodnik upozoruje działanie narzędzia do naprawy plików, wyświetlając taką ramkę:
W tym momencie rozpoczyna się szyfrowanie plików. Należy niezwłocznie wyłączyć komputer, by uchronić swoje dane.
[/quote]
Źródło: Malwarebytes, Anzena, F-Secure, własne
A jak to znaleźć w Windows XP?
Gdzieś już pisali jak wyłączyć SMB na XP (podobny wątek do tego), MBAM anti-ransomware (MBAR) raczej niekompatybilne z XP, metoda z plikiem raczej nie zaszkodzi, z kopią wiadomo (ludzie się dzielą na tych co jej nie robią, zaczną robić, robią, myślą że robią).
SMB na XP - To chodzi o wyłączenie usługi server w usługach. Wiadomo, że trzeba mieć wyłączone udostępnianie plików i drukarek w sieci. A to akurat wyłącza się we właściwościach karty internetowej. Tu odznaczone:
Jest może bezpośredni link do MBAM - anti ransomaware (MBAR) bo nie chcę pobierać z portalu?
Teraz trochę odejdę od tematu, proszę o bezpośrednie linki i pobieram programy ze strony producenta dlatego że nie pobieram już nic z tego portalu i z innych takich od czasu kiedy wszedł Asystent Pobierania (z wirusami). Wcześniej gdy go nie było to spokojnie ściągałem różne programy, pliki z Dobrychprogramów i pobierało się normalnie. Nie wiem po co teraz jest ten Asystent Pobierania, kiedyś bez niego jakoś też się ściągało pliki i nie było przez to żadnych problemów. Kto to w ogóle wymyślił?
Ten podany po twojej prośbie nie przekierowuje do serwisów firm trzecich.
plik jest czysty: https://www.virustotal.com/pl/file/403bd24be9a677726bc7ab2dd7425ab564f4e8a889a53b5f5805e18cf0f3e406/analysis/1498823496/
przy okazji możesz porównać to co pobrałeś po rozmiarze (bez większego sensu, nie wykluczysz tak uszkodzonego pliku) i po sumie SHA256
www.novirusthanks.org/products/md5-checksum-tool/ - aplikacja na windows do liczenia sum plików
Jeszcze nie ma wersji stabilnej tego programu tylko na razie jest wersja testowa beta?
Niestety ono nie ma wersji stabilnej (być może zostanie wchłonięte do wersji płatnej MBAM).