Як убезпечити себе від вірусу Petya

Далі, потрібно натиснути на посилання «Додаткові параметри» в стовпці, що знаходиться на сторінці зліва. Після завантаження вікна центру контролю облікових записів потрібно буде підтвердити свої наміри та ввести пароль адміністратора.

Потім потрібно буде натиснути на рядок «Правила для вхідних підключень» у новому вікні зліва. Після цих дій з'являється список необхідних правил та додатків до них. Натисніть на напис «Створити правило», він розташований у правій верхній частині вікна. Далі, завантажиться діалог майстра для створення правил роботи з мережевим екраном.

Потім потрібно буде поставити позначку в рядку «Для порту» та натиснути «Далі». Потім позначте пункт «Протокол TCP» на наступній сторінці зверху, а в нижній її частині вводьте номер порту, доступність якого ви хочете обмежити. Потім натисніть кнопку «Далі».

Потрібно поставити позначку навпроти пункту «Блокувати підключення» та натиснути напис «Далі». У наступному вікні треба буде відзначити галочками три пункти: публічний, приватний, доменний, щоб створене вами правило спрацьовувало на всі види підключень. Щоб перейти до наступної сторінки налаштування, натисніть кнопку «Далі».

Тепер потрібно задати ім'я для правила, яке ви створили, наприклад «Port 88», щоб з його допомогою можна було легко його знайти, якщо це потрібно. Можете за необхідності додати опис. Натисніть кнопку «Готово». Процес створення правила для вхідного підключення тепер успішно завершено.

  • Найкращі зверху
  • Перші зверху
  • Актуальні зверху

Для тих, кому ліньки купу кнопок тикати.

Створіть будь-який текстовий файл і пропишіть в ньому такі рядки:

netsh advfirewall firewallдодати правило dir=in action=block protocol=tcp localport=1024 name="Block_TCP-1024"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1025 name="Block_TCP-1025"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1026 name="Block_TCP-1026"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1027 name="Block_TCP-1027"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1028 name="Block_TCP-1028"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1029 name="Block_TCP-1029"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1030 name="Block_TCP-1030"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1031 name="Block_TCP-1031"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1032 name="Block_TCP-1032"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1033 name="Block_TCP-1033"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1034 name="Block_TCP-1034"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=1035 name="Block_TCP-1035"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=135 name="Block_TCP-135"

netsh advfirewall брандмауер додати правило dir=in action=блокувати протокол=tcp localport=445 name="Block_TCP-445"

Зберігайте з розширенням будь-яке_название_файлика.bat або будь-яке_названіе_файлика.cmd

і запустіть його від імені адміністратора (права клавіша мишки на файліке і запустіть від імені адміністратора)

Искренне благодарен.Скиньте таке же, щоб потім назад вернути, якщо вдруг що. Пожалуйста.

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1024 name="Block_TCP-1024"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1025 name="Block_TCP-1025"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1026 name="Block_TCP-1026"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1027 name="Block_TCP-1027"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1028 name="Block_TCP-1028"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1029 name="Block_TCP-1029"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1030 name="Block_TCP-1030"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1031 name="Block_TCP-1031"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1032 name="Block_TCP-1032"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1033 name="Block_TCP-1033"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1034 name="Block_TCP-1034"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=1035 name="Block_TCP-1035"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"

netsh advfirewall firewall delete rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"

Дай боженька Вам здоров'я, довгих років життя, багато внуків і довгої пизьки.Дякую.

Дякую, це все, що мені потрібно (ну можливо, крім довжини, кажуть діаметр вирішує).

Косякнув сонним оком. Видаляється за назвою правила. Виправляюсь.

netsh advfirewall firewall delete rule name="Block_TCP-1024"

netsh advfirewall firewall delete rule name="Block_TCP-1025"

netsh advfirewall firewall delete rule name="Block_TCP-1026"

netsh advfirewall firewall delete rule name="Block_TCP-1027"

netsh advfirewall firewall delete rule name="Block_TCP-1028"

netsh advfirewall firewall delete rule name="Block_TCP-1029"

netsh advfirewall firewall delete rule name="Block_TCP-1030"

netsh advfirewall firewall delete rule name="Block_TCP-1031"

netsh advfirewall firewall delete rule name="Block_TCP-1032"

netsh advfirewall firewall delete rule name="Block_TCP-1033"

netsh advfirewall firewall delete rule name="Block_TCP-1034"

netsh advfirewall firewall delete rule name="Block_TCP-1035"

netsh advfirewall firewall delete rule name="Block_TCP-135"

netsh advfirewall firewall delete rule name="Block_TCP-445"

Така штука видається:

h:\ & gt;

А якщо забираю "action=block", то по 4 правила видаляє за раз. Чому так? Назад якось інакше відкочується.

h:\>netsh advfirewall firewall delete rule dir=in protocol=tcp localport=1025 na me="Block_TCP-1025" Видалені правила: 4. ОК.

Ой, сорян. Мій одвірок, засинав уже одним оком, та й не адмін щоб відразу помітити. Видаляється на ім'я звичайно. Виправляюсь.

П.С. Те, що видаляєтьсякілька правил, нічого страшного, скорей всього це дублі створені раніше.

netsh advfirewall брандмауер видалити правило name="Block_TCP-1024"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1025"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1026"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1027"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1028"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1029"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1030"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1031"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1032"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1033"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1034"

netsh advfirewall брандмауер видалити правило name="Block_TCP-1035"

netsh advfirewall брандмауер видалити правило name="Block_TCP-135"

netsh advfirewall брандмауер видалити правило name="Block_TCP-445"

Повністю підтримую. @Dimson4ik , напишіть окремий пост

Проблема з інтернетом ні яких не виникає?

Не повинно бути ніяких проблем (якщо під проблемами з Інтернетом ви розумієте серфінг, торренти і відосики, то все буде нормально). Можно ознакомиться со списком портов на вики - https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE.

Якщо що-то вам покажеться потрібним, можна виключити зі списку (не рекомендую встановлювати оновлення з ісправленнями уязвимости вінди).

убезпечити

себе

Пол інтернета об цьому вже гудить )

а, понял, спасибі.

Так у нас шутять :)

Нет Интернета - нет проблем. Одобрено Госдумой.

1. Уявні ВСЕ ОС Windows, включаючи 10-ку з останнімионовленнями

2. Поширюється блискавично через мережу, явно експлуатуючи SMB вразливість.

3. Антивірусні компанії рішень поки що не надали (NOD, Symantec, Fortinet), є підтверджені (особисто) зараження ПК з рішеннями від цих компаній. Деякі публічні ресурси цих компаній взагалі лежать, наприклад fortiguard.com.

4. Дійсно шифрує MBR, GPT начебто не чіпає. Залишає на локальних дисках файл readme з текстом, аналогічним виведеному під час завантаження. Несистемні диски (в т.ч. мережеві) - НЕ шифрує.

5. При перезавантаженні виводить імітацію checkdisk.

Не зовсім так. З того, що відомо: спочатку надходить у фішинговому листі. При запуску намагається пролізти на інші машини двома (це те, що поки що точно відомо) способами: через SMB (використовується та ж вразливість, яку використовував WannaCry) і через якусь систему документообігу (яка намагається оновлюватись по голому http, чим користується Петя, підсовуючи себе під виглядом оновлення).

Тому, говорити про те, що вразливі всі вінди, передчасно вразливі ті, де не стоїть патч на SMB (а Windows 10 1703, наприклад, спочатку цієї вразливості не містить) і ті, де стоїть та сама система документообігу. Решта – це неперевірені чутки.

Як вилікуватися від вірусу-шифрувальника?

1. Коли користувач бачить синій екран смерті, його дані ще не зашифровані, тобто Петя ще не дістався до головної таблиці файлів. Якщо ви бачите, що комп'ютер показує синій екран, перезавантажується та запускає Check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп'ютера (тільки не як завантажувальний том!) і скопіювати свої файли.

2. «Петя» шифрує лише таблицю, не чіпаючисамі файли. Фахівці відновлення даних можуть їх повернути. Це тривала та дорога процедура, але цілком реальна. Однак не намагайтеся здійснити її самостійно – через випадкову помилку ваші файли можуть зникнути назавжди.

3. Щоб видалити вірус, вам необхідно завантажити зі здорового комп'ютера завантажувальний диск з антивірусом, який може вилікувати комп'ютер від «Петі». Це вміють, наприклад, ESET NOD32 LiveCD або Kaspersky Rescue Disk.

Після скачування за інструкцією запишіть завантажувальний диск на флешку і завантажте комп'ютер з нього. Далі антивірус все зробить сам.

Для відновлення файлів можна використовувати декриптори, а також утиліту Shadow Explorer (поверне тіньові копії файлів та вихідний стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для мешканців країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від українськомовних розробників.

Ці методи не гарантують повного відновлення файлів.

Є й складніший спосіб, проте користуватися ним варто на свій страх та ризик.

Так, щоб використовувати інструмент дешифрування Leostone, доведеться зняти вінчестер з комп'ютера та підключити його до іншого ПК, що працює під керуванням Windows. Дані, які потрібно отримати, становлять 512 байт, починаючи з сектора 55 (0x37h). Потім ці дані необхідно перетворити на кодування Base64 і використовувати на сайті https://petya-pay-no-ransom.herokuapp.com/ для генерації ключа.

Щоб зняти інформацію з пошкоджених дисків, можна скористатися інструментом Petya Sector Extractor для отримання необхідної інформації з диска.

Після того, як користувач підключить зашифрований диск із зараженого комп'ютера до іншого ПК, потрібно запуститиінструмент Fabric Wosar's Petya Sector Extractor, який виявить уражені шифрувальником області.

Як тільки Petya Sector Extractor завершить свою роботу, користувачеві потрібно натиснути першу кнопку Copy Sector («Скопіювати сектор») та перейти на сайти Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ або https:// petya-pay-no-ransom-mirror1.herokuapp.com/ ), вставивши скопійовані дані через Ctrl+V у поле введення тексту (Base64 encoded 512 bytes verification data).

Потім повернутись до утиліти, натиснути другу кнопку Copy Sector і знову скопіювати дані на сайт Стоуна, вставивши їх в інше поле введення (Base64 encoded 8 bytes nonce).

Після заповнення обох полів користувач може натискати Submit та запускати роботу алгоритму.

Сайт повинен надати пароль для розшифрування даних, після чого потрібно повернути жорсткий диск у постраждалий комп'ютер, запустити систему та ввести отриманий код у вікні здирника. В результаті інформація буде розшифрована.

Після того, як жорсткий диск буде дешифрований, ransomware програма запропонує вам перезавантажити комп'ютер, і тепер він повинен нормально завантажуватися.