Сьогодні довелося піднімати пару комп'ютерів після вірусу Petya, тому можу дати кілька порад, слідувати чи ні вирішуйте самі, тим більше що вірус можуть модернізувати і він почне вести себе по-іншому і поради можуть стати не актуальні.

Що робити якщо Petya вже на комп'ютері? Як і в разі інших шифрувальників, слід якомога швидше вимкнути комп'ютер, це дає можливість врятувати хоча б частину даних які вірус Petya не встигне зашифрувати.

Працює Petya в два етапи, і виглядає це наступним чином:

1. Зараження комп'ютера і спроба отримати права адміністратора, якщо спроба успішна - шифрується MBR з MFT і комп'ютер перевантажується далі другий етап, якщо права отримати не вдалося - просто шифруються файли користувача.
2. Після перезавантаження, починається шифрування даних, користувач в цей час бачить екран з нібито відновленням інформації, для недосвідченого користувача він схожий екран при роботі утиліти chkdsk, якщо Ви маєте доступ до цього екран, відразу ж виключайте комп'ютер, чим швидше ви це зробите тим вище шанси врятувати дані :
   
   після виключення, вам знадобиться завантажувальна флешка з Windows PE , І практично будь-який утилітою для відновлення файлів, наприклад R-studio або аналогічної, з її допомогою можна буде просканувати жорсткий диск і відновити принаймні частина файлів, які Petya не встиг зашифрувати. Так само знадобиться ще одна флешка або жорсткий диск на які будуть відновлюватися файли, якщо Ви не розумієте про що йде мова, краще покличте фахівця.
3. Якщо процес шифрування перервати і потім підключити жорсткий диск до іншого комп'ютера, то можна побачити що всі розділи на місці, але доступу до них немає, у властивостях немає ні файлової системи, ні розміру, ні будь-яких інших даних, якщо шифрування було перервано вчасно, то частина або навіть всі дані можна врятувати за допомогою утиліт для відновлення файлів:

Якщо після відновлення даних файли не відкриваються, значить Petya встиг їх зашифрувати, в цьому випадку з огляду на резонансність події можна сподіватися на появу дешіфровщіка, можна зберегти зашифровані файли і чекати.

Якщо Petya ще не добрався до Вас і Ви б хотіли відкласти цей момент, а то й зовсім уникнути цієї неприємної зустрічі, то для профілактики можна виконати ряд дій, жодне з них не гарантує 100% -й захисту, але все разом значно знизять шанси на зараження комп'ютера і втрату даних.

Що можна і потрібно зробити аби максимально зменшити можливість зараження комп'ютера вірусом Petya:

1. Найважливіше - створіть резервну копію важливих даних і збережіть в недоступному для Petya місці, і робіть це регулярно.
2. Встановіть всі оновлення безпеки зокрема MS17-010, і виконайте рекомендації зі статті про WannaCry , Зробити це слід було більше місяця тому, але і зараз не пізно;
3. закрийте вразливість CVE-2017-0199 переходите за посиланням, погоджуйтеся з EULA і потім переходите ще раз (у мене з першого разу не спрацювало), далі в списку знаходите свою версію Windows, завантажуєте файл, встановлюєте і перевантажувати;
4. Якщо у Вас не працює центр оновлень або не встановлюються оновлення то Вам сюди - відновлення роботи центру оновлень Windows
5. У центрі управління мережами і загальним доступом встановіть тип мережі «Громадська»;
6. Закрийте порти 135, 139, 445, 1024-1035 (рада так собі, якщо для роботи потрібно тягати файли по мережі)
7. Пишуть що роботу вірусу зупиняє створені в папці Windows файл - C: \ Windows \ perfc саме так без розширення, але я б на це не розраховував, вельми вірогідна поява модифікації Petya, яка буде це ігнорувати, в будь-якому випадку не завадить;
8. Ну і всяка банальщина - заняття не будете робити під обліковим записом адміністратора поставте і обновіть антивірус, не запускайте підозрілі файли (особливо отримані по електропошту) і не переходите за підозрілими посиланнями (особливо за отриманими в електронних листах).