Petya atakuje również Polskę – porady jak uniknąć ransomware (który okazał się wiperem) – WAŻNE!

W ostatnich dniach prawdopodobnie widzieliśmy nagłówki w różnych serwisach internetowych – np. Petya atakuje albo informacje o ransomware o nazwie Petya. Poniżej publikuję wszystkie sposoby na zabezpieczenie się przed tym złośliwym oprogramowaniem (w tym przed innymi, podobnymi szkodnikami). WAŻNE!

Spora część ludzi, w tym osobiście również ja – zignorowała skalę problemu. Wszak o różnych zagrożeniach słyszy się dosłownie co chwila. Włączamy nasze ukochane antywirusy (w innym wpisie opisałem dlaczego nie stosuję antywirusów – i dalej podtrzymuję te stanowisko) i śpimy spokojnie. Ale zagrożenie ze strony ransomware, który okazał się – uwaga – wiperem (wyjaśnienie poniżej).

Gwoli wyjaśnienia:

Ransomware – złośliwe oprogramowanie, którego nazwa pochodzi od słowa ransom – czyli okup. Pamiętacie może słynne ransomware, które blokowało nasz komputer, straszyło Policją, wyświetlało zdjęcie byłego Prezydenta RP i miało różne „na pałę” wklejone numery artykułów Kodeksu karnego? To właśnie było ransomware. Wyświetlał się również numer rachunku bankowego / BitCoin z sumą do zapłaty. Zapłata sumy zwykle odblokowywała komputer (chociaż wystarczyło przywrócić system z trybu awaryjnego).

Wiper – bardzo złośliwe oprogramowanie, polega na bezpośrednim usuwaniu plików albo uczynieniu z nich bezużytecznego zlepku bajtów, często polega również na bardzo niebezpiecznym usunięciu tabeli partycji i rozruchu systemowego (MBR – Master Boot Record / MFT) – jest to bardzo niewielka (kilkuset bajtowa!) powierzchnia zajmująca pierwsze sektory na dysku, której zniszczenie powoduje niemożność odzyskania naszych plików. Naprawa MBR / MFT to zwykle nadpisanie jej „standardowymi” wartościami. Wystarczy jednak, że mamy kilka partycji / inne ułożenie plików, a MBR / MFT jest już zupełnie inne.

Petya atakuje również zaktualizowane systemy Windows 10 z antywirusami!

Dla wyjaśnienia, istnieją dwie wersje złośliwego oprogramowania Petya:

Petya.2016 – jest jedynie ransomware, szyfruje, lecz nie uszkadza w szczególny sposób pliku,

Petya.2017 – ten aktualny – jest w istocie wiperem – uszkadza nasze tabele MBR / MFT uniemożliwiając prawidłowy rozruch systemu!

Wiele serwisów poświęconych IT / oprogramowaniu publikuje proste metody na zabezpieczenie się przed złośliwym oprogramowaniem, jednakże są to jedynie środki dotyczące tego konkretnego wiper’a. Co jeżeli Petya zostanie zaktualizowana? Poniżej publikuję wszystkie metody zabezpieczenia:

  1. Prosta metoda uderzająca w mechanizmy oprogramowania.

Pierwsza metoda jest najprostsza i jej zastosowanie to dosłownie kilka sekund. Otwieramy notatnik i nic w nim nie wpisując tworzymy pusty plik o nazwie „perfc„. Pamiętamy, żeby plik nie miał żadnego rozszerzenia – nie może to być .txt, ma to być po prostu perfc. Nasz plik będzie miał wtedy ikonę „pustej kartki”, tak jak nieznane rozszerzenia w systemie Windows. Następnie kopiujemy ten plik do folderu, gdzie mamy zainstalowanego Windowsa – zwykle to C:/Windows. Jak system nas zapyta o uprawnienia Administratora, to wciskamy OK. Jeżeli plik znajdzie się w folderze – jesteśmy chronieni przed Petyą w obecnej formie. Jeżeli jednak ktoś to zaktualizuje – to nas niestety już nie ochroni.

Dlaczego utworzenie tego pliku nas chroni przed Petyą? Otóż okazało się, że oprogramowanie tworzy takowy plik podczas ataku i za jego pomocą się rozprzestrzenia. Na całe szczęście, gdy już utworzymy taki pusty plik – oprogramowanie nie zadziała. Nie umie bowiem zmodyfikować samoistnie już stworzonego, pustego pliku.

 

2. Zabezpieczenie MBR / MFT poprzez zrobienie jego kopii zapasowej.

UWAGA: Proszę o dokładne podążanie za wskazówkami – jeżeli jest coś niejasne – proszę o maila, z pewnością pomogę! Program zawiera różne opcje – w tym źle zastosowane mogą zniszczyć nam dane – ale jeżeli będziemy podążać za wskazówkami, to będzie OK.

I tu dochodzimy do drugiej metody, rzadko wymienianej w różnej maści serwisach (a szkoda). Jeżeli jeszcze nas nic nie zaatakowało, to możemy w prosty sposób ochronić się zarówno przed Petyą, jak i innymi programami tego typu – wystarczy bowiem zrobić prosty backup MBR / MFT i wrzucić go – gdziekolwiek – na pendrive, przesłać mailem, wrzucić na Dysk Google – bylebyśmy go mieli.

a. Pobieramy mały programik z adresu:  https://sites.google.com/site/gbrtools/home/software/bootice-portable/bootice-downloads – najlepiej najnowszą wersję.

b. Rozpakowujemy programik – jest spakowany w pliku ZIP i się go nie instaluje.

c. Uruchamiamy plik BOOTICEx64.exe (zazwyczaj – jeżeli mamy 64-bitowy procesor – co dotyczy większości komputerów – a jeżeli program nam nie działa, to wtedy BOOTICEx86.exe).

d. Po uruchomieniu klikamy na guzior z napisem „Process MBR”.

e.

Otworzy nam się taki oto obrazek. Poczynając od zaznaczonego Windows NT 5.x/6.x MBR, klikamy na „Backup MBR” i w okienku wskazujemy lokalizację i nazwę pliku – np. backup.bin. Kopia zapasowa ma rozszerzenie bin. Po wskazaniu pliku klikamy na Backup. Z racji tego, że plik jest bardzo mały, po dosłownie sekundzie otrzymamy komunikat, iż tworzenie backupu się powiodło.

 

f.

TO SAMO ROBIMY Z „PROCESS PBR” – to też jest bardzo ważne! Obsługa wygląda podobnie – lecz są inne opcje. Zalecam zrobienie backupu dosłownie wszystkiego – pamiętajmy tylko, by inaczej nazywać pliki kopii zapasowych, żebyśmy ich przez przypadek nie nadpisali.

 

g.

Wkładamy pendrive / logujemy się na Google Drive i wrzucamy wszystkie pliki w bezpieczne miejsce.

 

Z racji skomplikowanej natury odtwarzania MBR / PBR, w tym poradniku niestety nie zamieszczę sposobu przywracania MBR / PBR w razie ataku, jednakże mając ze sobą na dowolnym nośniku ww. kopie zapasowe, gdy udacie się do praktycznie dowolnego serwisu komputerowego – oni już będą wiedzieli, co zrobić. Pamiętajcie, że każda operacja w strukturze dysku, tj. doinstalowanie nowego systemu (dual albo triple boot) powoduje konieczność tworzenia nowej kopii zapasowej. Zostaliście ostrzeżeni!

I w ten sposób będziemy chronieni przed wszelkimi programami nadpisującymi MBR / PBR / MFT.

PS. Jeżeli ktoś wykona kopię zapasową i zaatakuje go Petya – oferuję całkowicie darmowe porady, jak ewentualnie przywrócić MBR – lecz ostrzegam, że jest to dosyć skomplikowana operacja, przy użyciu m.in. Linuxa – ale zupełnie do wykonania – również dla laika.

PS2. Jeżeli zaatakuje was Petya – NIE naprawiajcie partycji metodą fixmbr – tj. za pomocą płyty Windowsa – dysk ruszy, owszem – ale pójdą „w cholerę” Wasze partycje – a za nimi pliki! Lepiej przywrócić MBR taki jaki był wcześniej.

 

3. Całkowity klon dysku sprzed ataku.

Oczywiście działa również sporządzenie całkowitego klonu dysku, jednakże jeżeli ktoś by się pytał – to doskonale wie jak to zrobić, więc nie będę tu tej metody publikował.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *