Petya ailəsindən olan ransomware olan Petna haqqında bilməli olduğunuz hər şey. Petya, NotPetya və ya Petna? Yeni epidemiya Petya virus faylı haqqında bilmək lazım olan hər şey
Ukraynanın dövlət və özəl şirkətlərinin kompüterlərinə virusun hücumu səhər saat 11:30-da başlayıb. Zərbə altında iri banklar, pərakəndə satış şəbəkələri, operatorlar var idi mobil rabitə, dövlət şirkətləri, infrastruktur obyektləri və xidmət sahələri.
Virus Ukraynanın bütün ərazisini əhatə edib, saat 17:00-a qədər ölkənin ən qərbində, Transkarpatiyada da hücum qeydə alındığı barədə məlumat yayılıb: burada virusla əlaqədar OTR Bank və Ukrsotsbankın filialları bağlanıb. .
“Ukraynada məşhur olan Korrespondent.net saytı və 24 telekanalı işləmir. Hücumdan təsirlənən şirkətlərin sayı hər saat artır. Hazırda bank filiallarının əksəriyyəti Ukraynada işləmir. Məsələn, Ukrsotsbankın ofislərində kompüterlər sadəcə yüklənmir. Pul almaq və ya göndərmək, qəbz ödəmək və s. mümkün deyil. Eyni zamanda, PrivatBank-da heç bir problem yoxdur "deyə RT-nin Kiyev müxbiri xəbər verir.
Virus yalnız əməliyyat sistemində işləyən kompüterləri yoluxdurur. Windows sistemi. O, sabit diskin əsas fayl cədvəlini şifrələyir və şifrənin açılması üçün istifadəçilərdən pul tələb edir. Bu, dünyada bir çox şirkət tərəfindən hücuma məruz qalan WannaCry ransomware virusuna bənzəyir. Eyni zamanda, yoluxmuş kompüterlərin yoxlanılmasının nəticələri artıq ortaya çıxıb ki, bu virusun yoluxmuş disklərdə olan məlumatların hamısını və ya əksəriyyətini məhv etdiyini göstərir.
Hazırda virusun mbr locker 256 olduğu müəyyən edilib, lakin mediada başqa bir ad geniş yayılıb - Petya.
Kiyevdən Çernobıla qədər
Virus hazırda bank kartları ilə ödəniş etməkdə çətinlik olan Kiyev metrosuna da düşüb.
Bir çox iri infrastruktur obyektləri, məsələn, Ukrzaliznitsia dövlət dəmir yolu operatoru, Borispol hava limanı vuruldu. Bununla belə, onlar normal işləyərkən, aeronaviqasiya sistemi virusdan təsirlənməyib, baxmayaraq ki, Boryspil cədvəldə mümkün dəyişikliklər barədə xəbərdarlıq dərc edib və gəlişlər şurası hava limanının özündə işləmir.
Hücumla əlaqədar ölkənin iki ən böyük poçt operatoru işlərində çətinliklər yaşayır: dövlətə məxsus “Ukrpoşta” və özəl “Novaya Poçt”. Sonuncu elan etdi ki, bu gün bağlamaların saxlanması üçün heç bir ödəniş olmayacaq və Ukrpoşta SBU-nun köməyi ilə hücumun nəticələrini minimuma endirməyə çalışır.
Yoluxma riski səbəbindən virusa yoluxmayan təşkilatların saytları da işləmir. Bu səbəbdən, məsələn, Kiyev Şəhər Dövlət Administrasiyasının saytının, eləcə də Ukrayna Daxili İşlər Nazirliyinin saytının serverləri sıradan çıxarılıb.
Ukrayna rəsmiləri ehtimalla hücumların Rusiyadan gəldiyini iddia edirlər. Bu barədə Ukrayna Milli Təhlükəsizlik və Müdafiə Şurasının katibi Aleksandr Turçinov bildirib. Departamentin rəsmi saytı ondan sitat gətirir: "Artıq, virusun ilkin analizini apardıqdan sonra biz Rusiya izi haqqında danışmaq olar".
Saat 17:30-da virus hətta Çernobıl AES-ə də çatmışdı. Bu barədə “Ukrayinska Pravda” nəşrinə Çernobıl Atom Elektrik Stansiyasının növbəsinin rəhbəri Vladimir İlçuk məlumat verib.
“Bəzi kompüterlərin virusa yoluxduğu barədə ilkin məlumatlar var. Ona görə də bu haker hücumu başlayan kimi personalın olduğu yerlərdə kompüter işçilərinə kompüterlərini söndürmək üçün şəxsi göstəriş verilib”, - İlçuk bildirib.
Şirniyyat və neft və qaza hücum
İyunun 27-də bir sıra Rusiya şirkətləri, o cümlədən neft-qaz nəhəngləri Rosneft və Başneft, Evraz metallurgiya şirkəti, filialları fəaliyyətini dayandıran Home Credit Bank, həmçinin Mars, Nivea, Mondelez Rusiya nümayəndəlikləri də haker hücumuna məruz qalıb. Beynəlxalq , TESA və bir sıra digər xarici şirkətlər.
- Reuters
- MAKSİM ŞƏMETOV
Moskva vaxtı ilə saat 14:30 radələrində Rosneft güclü elan etdi haker hücumuşirkət serverlərinə. Eyni zamanda, şirkətin Twitter mikrobloqunda qeyd olunur ki, hücum ciddi nəticələrə səbəb ola bilərdi, lakin keçid sayəsində ehtiyat sistemi hasilat proseslərinin idarə olunması, nə neftin çıxarılması, nə də hazırlanması dayandırılmadı.
Kiberhücumdan sonra “Rosneft” və “Başneft” şirkətlərinin saytları bir müddət əlçatmaz olub. “Rosneft” də hücumla bağlı yalan məlumatların yayılmasının yolverilməz olduğunu bəyan edib.
Yalan çaxnaşma mesajları yayanlar hücumun təşkilatçılarının şəriki hesab olunacaq və onlarla birlikdə məsuliyyətə cəlb olunacaqlar.
— Rosneft Oil Company PJSC (@RosneftRu) 27 iyun 2017-ci il
“Yalan çaxnaşma mesajlarının yayıcıları hücumun təşkilatçılarının şəriki hesab ediləcək və onlarla birlikdə məsuliyyətə cəlb olunacaqlar”, - deyə şirkət bildirib.
Eyni zamanda, “Rosneft” şirkətin kiberhücumla bağlı hüquq-mühafizə orqanlarına müraciət etdiyini və insidentin “hazırkı məhkəmə prosedurları” ilə heç bir əlaqəsi olmadığına ümid etdiyini bildirib. Çərşənbə axşamı, iyunun 27-də Başqırdıstanın arbitraj məhkəməsi "Rosneft", "Bashneft" və Başqırdıstan şirkətlərinin "AFK Sistema"ya qarşı 170,6 milyard rubl məbləğində iddiasının mahiyyətinə baxmağa başlayıb.
WannaCry Jr.
Eyni zamanda, haker hücumu işə təsir etməyib kompüter sistemləri Rusiya prezidentinin administrasiyası və Kremlin rəsmi saytı, TASS prezidentinin mətbuat katibi Dmitri Peskovun sözlərinə görə, “sabit işləyir”.
“Rosenergoatom” konserni qeyd edib ki, haker hücumu Rusiya atom elektrik stansiyalarının fəaliyyətinə də təsir göstərməyib.
Şirkət Dr. Web öz saytında qeyd edib ki, oxşarlığa baxmayaraq, hazırkı hücum artıq məlum Petya ransomware proqramından, xüsusən də təhlükənin yayılması mexanizmindən fərqlənən virusdan istifadə etməklə həyata keçirilib.
“Kiberhücum qurbanları arasında “Bashneft”, “Rosneft”, “Mondelez International”, “Mars”, “Nivea”, “TESA” və digər şirkətlərin şəbəkələri olub”, – şirkətdən bildiriblər. Eyni zamanda, Marsın Rusiyadakı mətbuat xidməti bildirib ki, kiberhücum bütün şirkət üçün deyil, yalnız ev heyvanları üçün qida istehsalçısı olan Royal Canin brendinin İT sistemlərində problemlər yaradıb.
Rusiya şirkətlərinə və dövlət qurumlarına sonuncu iri haker hücumu mayın 12-də WannaCry şifrələmə virusundan istifadə edərək 74 ölkədə Windows kompüterlərinə hücum edən naməlum hakerlərin genişmiqyaslı əməliyyatı çərçivəsində baş verib.
Çərşənbə axşamı Federasiya Şurasının Beynəlxalq Komitəsinin rəhbəri Konstantin Kosaçev Federasiya Şurasının Dövlət Suverenliyinin Müdafiəsi Komissiyasının iclasında çıxış edərək bildirib ki, Rusiyaya edilən bütün kiberhücumların təxminən 30%-i Birləşmiş Ştatlar tərəfindən həyata keçirilir. dövlətlər.
“Rusiya ərazisindən Amerika kompüterlərinə edilən əməliyyatların 2%-dən çoxu yoxdur. ümumi sayı kiberhücumlar ABŞ ərazisindən Rusiyanın elektron infrastrukturuna isə 28-29% təşkil edir”, – RİA Novosti Kosaçevdən sitat gətirib.
“Kaspersky Lab”ın beynəlxalq tədqiqat qrupunun rəhbəri Kostin Rayu bildirib. Petya virusu dünyanın bir çox ölkələrinə yayılmışdır.
Petrwrap/Petya ransomware variantı əlaqə ilə [email protected] dünya miqyasında yayılan, çox sayda ölkə təsirləndi.
Mayın əvvəlində 150-dən çox ölkədə 230 000-ə yaxın kompüter ransomware ilə yoluxmuşdu. Qurbanlar bu hücumun nəticələrini aradan qaldırmağa vaxt tapmazdan əvvəl Petya adlı yenisi gəldi. Bundan ən böyük Ukrayna və Rusiya şirkətləri, eləcə də dövlət qurumları zərər çəkib.
Ukraynanın kiber polisi müəyyən edib ki, virusun hücumu vergi bəyannamələrinin hazırlanması və göndərilməsi üçün istifadə olunan M.E.Doc mühasibat proqramının yenilənməsi mexanizmi vasitəsilə başlayıb. Belə ki, “Başneft”, “Rosneft”, “Zaporojyeoblenerqo”, “Dneproenerqo” və “Dnepr” elektrik enerjisi sistemlərinin şəbəkələrinin infeksiyadan xilas olmadığı məlum olub. Ukraynada virus dövlət kompüterlərinə, Kiyev metrosunun fərdi kompüterlərinə, rabitə operatorlarına və hətta Çernobıl AES-ə də keçib. Rusiyada Mondelez International, Mars və Nivea əziyyət çəkdi.
Petya virusu Windows əməliyyat sistemindəki EternalBlue zəifliyindən istifadə edir. Symantec və F-Secure ekspertləri deyirlər ki, Petya WannaCry kimi məlumatları şifrələsə də, digər ransomware növlərindən bir qədər fərqlidir. “Petya virusudur yeni növ zərərli niyyətli ransomware: o, təkcə diskdəki faylları şifrələmir, həm də bütün diski bloklayır və onu praktiki olaraq yararsız hala gətirir, F-Secure-u izah edin. "Xüsusən, MFT əsas fayl cədvəlini şifrələyir."
Bu necə baş verir və bu prosesin qarşısını almaq olar?
Virus "Petya" - necə işləyir?
Petya virusu başqa adlarla da tanınır: Petya.A, PetrWrap, NotPetya, ExPetr. Kompüterə daxil olaraq İnternetdən ransomware yükləyir və hissəni vurmağa çalışır sərt disk kompüteri yükləmək üçün lazım olan məlumatlarla. Əgər uğur qazanarsa, sistem Ölümün Mavi Ekranı verir (“ mavi ekranölüm"). Yenidən başladıqdan sonra bir mesaj görünür çətin enerjini söndürməməyinizi xahiş edən disk. Beləliklə, ransomware virusu özünü göstərir sistem proqramı müəyyən uzantıları olan faylları şifrələyərkən diski yoxlayaraq. Prosesin sonunda kompüterin kilidlənməsi və məlumatların şifrəsini açmaq üçün rəqəmsal açarın necə əldə ediləcəyi haqqında məlumat haqqında bir mesaj görünür. Petya virusu fidyə tələb edir, adətən bitcoin ilə. Qurbanın faylların ehtiyat nüsxəsi yoxdursa, o, seçim qarşısında qalır - 300 dollar məbləğində pul ödəmək və ya bütün məlumatları itirmək. Bəzi analitiklərin fikrincə, virus yalnız fidyə proqramı kimi maskalanır, onun əsl məqsədi isə böyük ziyan vurmaqdır.
Petyadan necə qurtulmaq olar?
Mütəxəssislər müəyyən ediblər ki, Petya virusu yerli fayl axtarır və bu fayl diskdə artıq varsa, şifrələmə prosesindən çıxır. Bu o deməkdir ki, istifadəçilər bu faylı yaradaraq onu yalnız oxumaq üçün təyin etməklə kompüterlərini ransomware-dən qoruya bilərlər.
Bu hiyləgər sxemin qəsb prosesinin başlamasına mane olmasına baxmayaraq, bu üsulu daha çox "kompüter peyvəndi" kimi hesab etmək olar. Beləliklə, istifadəçi faylı özü yaratmalı olacaq. Bunu aşağıdakı şəkildə edə bilərsiniz:
- Əvvəlcə fayl uzantısı ilə məşğul olmalısınız. "Qovluq Seçimləri" pəncərəsində "Məlum fayl növləri üçün uzantıları gizlət" qutusunda işarənin qoyulmadığından əmin olun.
- C:\Windows qovluğunu açın, notepad.exe proqramını görənə qədər aşağı diyirləyin.
- Notepad.exe üzərinə sol klikləyin, sonra kopyalamaq üçün Ctrl + C və faylı yapışdırmaq üçün Ctrl + V düymələrini basın. Sizdən faylı kopyalamaq üçün icazə istəniləcək.
- "Davam et" düyməsini basın və fayl notepad kimi yaradılacaq - Copy.exe. Bu faylın üzərinə sol klikləyin və F2 düyməsini basın, sonra Copy.exe faylının adını silin və perfc yazın.
- Fayl adını perfc olaraq dəyişdirdikdən sonra Enter düyməsini basın. Adının dəyişdirilməsini təsdiqləyin.
- İndi perfc faylı yaradılmışdır, biz onu yalnız oxumaq üçün etməliyik. Bunu etmək üçün vurun sağ basın faylın üzərinə siçan vurun və "Xüsusiyyətlər" seçin.
- Həmin fayl üçün xüsusiyyətlər menyusu açılacaq. Aşağıda "Yalnız oxumaq" yazısını görəcəksiniz. Qutunu yoxlayın.
- İndi "Tətbiq et" düyməsini və sonra "OK" düyməsini basın.
Bəzi təhlükəsizlik mütəxəssisləri Petya virusundan daha yaxşı qorunmaq üçün C:\Windows\perfc.dat və C:\Windows\perfc.dll faylları ilə yanaşı C:\Windows\perfc.dll faylları yaratmağı təklif edirlər. Bu fayllar üçün yuxarıdakı addımları təkrarlaya bilərsiniz.
Təbrik edirik, kompüteriniz NotPetya / Petya-dan qorunur!
Symantec mütəxəssisləri kompüter istifadəçilərinə faylların kilidlənməsinə və ya pul itkisinə səbəb ola biləcək hərəkətlərin qarşısını almaq üçün bəzi məsləhətlər verir.
- Fırıldaqçılara pul ödəməyin. Ransomware-ə pul köçürsəniz belə, fayllarınıza yenidən giriş əldə edə biləcəyinizə zəmanət yoxdur. Və NotPetya / Petya vəziyyətində, bu, əsasən mənasızdır, çünki şifrələyicinin məqsədi pul almaq deyil, məlumatları məhv etməkdir.
- Məlumatlarınızı mütəmadi olaraq yedəklədiyinizə əmin olun. Bu halda, kompüteriniz ransomware hücumunun hədəfinə çevrilsə belə, siz hər hansı silinmiş faylları bərpa edə biləcəksiniz.
- Şübhəli ünvanları olan e-poçtları açmayın. Təcavüzkarlar sizi aldatmağa və zərərli proqram quraşdırmağa çalışacaq və ya vacib hücum məlumatlarını əldə etməyə çalışacaq. Siz və ya işçiləriniz şübhəli e-poçt və ya keçidlər aldıqda İT mütəxəssislərinə məlumat verməyinizə əmin olun.
- Etibarlı proqram təminatından istifadə edin. Kompüterlərin infeksiyalardan qorunmasında mühüm rol oynayır vaxtında yeniləmə antiviral dərmanlar. Və təbii ki, bu sahədə nüfuzlu şirkətlərin məhsullarından istifadə etmək lazımdır.
- Spam mesajlarını skan etmək və bloklamaq üçün mexanizmlərdən istifadə edin. Daxil olan e-poçtlar təhdidlər üçün skan edilməlidir. Bağlantılar və ya tipik olan hər hansı bir mesaj növü vacibdir açar sözlər fişinq.
- Bütün proqramların yeni olduğundan əmin olun.İnfeksiyaların qarşısını almaq üçün proqram təminatı zəifliklərinin müntəzəm yamaqlanması vacibdir.
Yeni hücumlar gözləməliyikmi?
Petya virusu ilk dəfə 2016-cı ilin martında ortaya çıxdı və təhlükəsizlik mütəxəssisləri onun davranışını dərhal fərq etdilər. Yeni virus Petya 2017-ci il iyunun sonunda Ukrayna və Rusiyada kompüterləri vurdu. Amma bu, çətin ki, bitsin. "Petya" və "WannaCry" kimi ransomware viruslarından istifadə edərək haker hücumları təkrarlanacaq, Sberbank İdarə Heyətinin sədr müavini Stanislav Kuznetsov bildirib. TASS-a müsahibəsində o, bu cür hücumların mütləq olacağı barədə xəbərdarlıq edib, lakin onların hansı formada və formatda meydana çıxa biləcəyini əvvəlcədən proqnozlaşdırmaq çətindir.
Keçmiş bütün kiberhücumlardan sonra kompüterinizi şifrələmə virusundan qorumaq üçün hələ də ən azı minimal addımlar atmamısınızsa, deməli, buna keçməyin vaxtıdır.
Britaniya, ABŞ və Avstraliya rəsmi olaraq Rusiyanı NotPetya yaymaqda ittiham ediblər
2018-ci il fevralın 15-də Böyük Britaniya Xarici İşlər Nazirliyi Rusiyanı NotPetya şifrələmə virusundan istifadə edərək kiberhücum təşkil etməkdə ittiham edən rəsmi bəyanat yayıb.
Britaniya hakimiyyətinin fikrincə, bu hücum Ukraynanın suverenliyinə daha bir etinasızlıq nümayiş etdirdi və bu ehtiyatsız hərəkətlər nəticəsində bütün Avropada çoxsaylı təşkilatların işi pozuldu, nəticədə çoxmilyonlarla dollar itki oldu.
Nazirlik qeyd edib ki, Rusiya hökumətinin və Kremlin kiberhücumda iştirakı ilə bağlı nəticə Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzinin rəyi əsasında hazırlanıb və “demək olar ki, Rusiya hərbçilərinin NotPetya hücumunun arxasında dayanır.” Həmçinin bəyanatda müttəfiqlərinin zərərli kiber fəaliyyətə dözməyəcəyi bildirilib.
Avstraliyanın hüquq-mühafizə orqanları və kibertəhlükəsizlik naziri Anqus Taylorun sözlərinə görə, Avstraliya kəşfiyyat məlumatlarına və ABŞ və Böyük Britaniya ilə məsləhətləşmələrə əsaslanaraq, Avstraliya hökuməti hadisəyə görə Rusiya hökumətinin dəstəklədiyi hücumçuların məsuliyyət daşıdığı qənaətinə gəlib. “Avstraliya hökuməti Rusiyanın qlobal iqtisadiyyat, hökumət əməliyyatları və xidmətləri, biznes fəaliyyəti, insanların təhlükəsizliyi və rifahı üçün ciddi risklər yaradan davranışını pisləyir”, - bəyanatda deyilir. Rusiya hakimiyyətinin haker hücumlarında iştirakını dəfələrlə təkzib edən Kreml Britaniya Xarici İşlər Nazirliyinin bəyanatını “rusofobik kampaniyanın” bir hissəsi adlandırıb.
Abidə "Budur, 27.06.2017-ci ildə insanlar tərəfindən məğlub edilən Petya kompüter virusu"
Petya kompüter virusuna abidə 2017-ci ilin dekabrında Skolkovo texnoparkının binası yaxınlığında quraşdırılıb. Yazısı olan iki metrlik abidə: "Burada 27.06.2017-ci ildə insanlar tərəfindən məğlub edilən Petya kompüter virusu yerləşir." dişlənmiş sabit disk şəklində hazırlanmış , kütləvi kiber hücumun nəticələrindən təsirlənən digər şirkətlər arasında INVITRO-nun dəstəyi ilə yaradılmışdır . Phystechpark və (MİT)-də çalışan Nu adlı robot mərasimə təntənəli nitq söyləmək üçün gəlib.
Sevastopol hökumətinə hücum
Sevastopolun İnformasiyalaşdırma və Rabitə Baş İdarəsinin mütəxəssisləri regional hökumətin serverlərinə Petya şəbəkə şifrələmə virusunun hücumunu uğurla dəf ediblər. Bu barədə 2017-ci il iyulun 17-də Sevastopol hökumətinin operativ iclasında informasiyalaşdırma şöbəsinin rəhbəri Denis Timofeyev məlumat verib.
O bildirib ki, “Petya” zərərli proqram təminatı Sevastopoldakı dövlət qurumlarının kompüterlərində saxlanılan məlumatlara heç bir təsir göstərməyib.
Pulsuz proqram təminatının istifadəsinə diqqət 2015-ci ildə təsdiq edilmiş Sevastopolun informasiyalaşdırılması konsepsiyasına daxil edilmişdir. Burada bildirilir ki, əsas proqram təminatı, eləcə də avtomatlaşdırma üçün informasiya sistemləri üçün proqram təminatı alınarkən və işlənib hazırlanarkən büdcə xərclərini azalda bilən, təchizatçılardan və tərtibatçılardan asılılığı azalda bilən pulsuz məhsullardan istifadə imkanlarının təhlili məqsədəuyğundur.
Bundan əvvəl, iyunun sonunda Invitro tibb şirkətinə genişmiqyaslı hücum çərçivəsində onun Sevastopolda yerləşən filialına da ziyan dəyib. Virus səbəbiylə kompüter şəbəkəsi filial səbəblər aradan qaldırılana qədər test nəticələrinin verilməsini müvəqqəti dayandırıb.
Invitro, kiberhücum səbəbiylə testlərin qəbulunun dayandırıldığını açıqladı
“Invitro” tibb şirkəti iyunun 27-də haker hücumu səbəbindən biomaterialın toplanması və xəstə testlərinin nəticələrinin verilməsini dayandırıb. Bu barədə RBC-yə şirkətin korporativ kommunikasiyalar üzrə direktoru Anton Bulanov məlumat verib.
Şirkətin mesajında deyildiyi kimi, yaxın vaxtlarda “Invitro” normal fəaliyyətə keçəcək. Bu müddətdən sonra aparılan araşdırmaların nəticələri texniki nasazlıq aradan qaldırıldıqdan sonra xəstələrə çatdırılacaq. Hazırda laboratoriya Məlumat Sistemi bərpa edilib, onun qurulması prosesi gedir. “Biz hazırkı fors-major vəziyyətə görə təəssüflənirik və müştərilərimizə anlayışlarına görə təşəkkür edirik”, - deyə Invitro yekunlaşdırıb.
Bu məlumatlara görə, hücum kompüter virusu Rusiya, Belarus və Qazaxıstanda klinikalardan keçdi.
Qazprom və digər neft-qaz şirkətlərinə hücum
2017-ci il iyunun 29-da “Qazprom”un kompüter sistemlərinə qlobal kiberhücum barədə məlumat yayılıb. Beləliklə, bir daha rus şirkəti Petya ransomware virusundan əziyyət çəkdi.
görə informasiya agentliyi“Reuters” Rusiya hökumətindəki mənbəyə və hadisənin təhqiqatında iştirak edən şəxsə istinadən “Qazprom” dünyanın 60-dan çox ölkəsində kompüterlərə hücum edən “Petya” zərərli proqram təminatının yayılmasından zərər çəkib.
Nəşrin həmsöhbətləri “Qazprom”da neçə və hansı sistemlərə yoluxduğu, həmçinin hakerlərin vurduğu zərərin miqdarı barədə ətraflı məlumat verməyiblər. Şirkət Reuters-in sorğusu əsasında şərh verməkdən imtina edib.
Bu arada “Qazprom”dakı yüksək rütbəli RBC mənbəsi nəşrə bildirib ki, irimiqyaslı haker hücumu başlayanda (27 iyun 2017-ci il) şirkətin mərkəzi ofisindəki kompüterlər fasiləsiz işləyirdi və iki gün sonra da davam edir. Qazpromdakı RBC-nin daha iki mənbəsi də şirkətdə "hər şeyin sakit olduğunu" və virusların olmadığını əmin etdi.
Neft-qaz sektorunda “Başneft” və “Rosneft” Petya virusundan əziyyət çəkib. Sonuncu iyunun 28-də şirkətin normal fəaliyyət göstərdiyini və “müəyyən problemlərin” operativ şəkildə həll olunduğunu elan etdi.
Banklar və sənaye
“Royal Canin”in (heyvanlar üçün formalar istehsal edir) Rusiya filialının və “Mondelez”in (Alpen Gold və Milka şokoladlarının istehsalçısı) Rusiya filialının Evrazda kompüterlərin yoluxması məlum olub.
Ukrayna Daxili İşlər Nazirliyinin məlumatına görə, bir kişi ilə video yerləşdirib Ətraflı Təsviri kompüterlərdə ransomware proqramının işə salınması prosesi. Videoya şərhlərdə kişi öz səhifəsinə keçid yerləşdirib sosial şəbəkə zərərli proqramın yükləndiyi. “Hakerin” mənzilində axtarışlar zamanı hüquq-mühafizə orqanlarının əməkdaşları ələ keçiriblər kompüter avadanlığı, NotPetya-nı yaymaq üçün istifadə olunur. Polis həmçinin zərərli proqram təminatı olan fayllar tapıb, təhlildən sonra onun NotPetya ransomware proqramı ilə oxşarlığı təsdiqlənib. Kiberpolis əməkdaşlarının müəyyən etdiyi kimi, Nikopol sakininin linki dərc etdiyi ransomware sosial şəbəkə istifadəçiləri tərəfindən 400 dəfə yüklənib.
NotPetya-nı yükləyənlər arasında hüquq-mühafizə orqanlarının əməkdaşları cinayət fəaliyyətini gizlətmək və dövlətə cərimə ödəməkdən yayınmaq üçün sistemlərini qəsdən ransomware proqramı ilə yoluxduran şirkətləri müəyyən ediblər. Qeyd edək ki, polis həmin şəxsin fəaliyyətini bu il iyunun 27-də haker hücumları ilə əlaqələndirmir, yəni onun NotPetya müəlliflərində əli olmasından söhbət gedə bilməz. Ona aid edilən əməllər yalnız bu ilin iyulunda - irimiqyaslı kiberhücumlar dalğasından sonra törədilmiş əməllərə aiddir.
Adama qarşı Sənətin 1-ci hissəsi ilə cinayət işi başlanıb. Ukrayna Cinayət Məcəlləsinin 361 (kompüterlərin işinə icazəsiz müdaxilə). Nikopolçanini 3 ilə qədər həbs cəzası gözləyir.
Dünyada paylanması
“Petya” ransomware virusunun yayılması İspaniya, Almaniya, Litva, Çin və Hindistanda qeydə alınıb. Məsələn, Hindistandakı zərərli proqram səbəbindən A.P. Moller-Maersk, malların mənsubiyyətini tanımağı dayandırdı.
Kiberhücum barədə Britaniyanın WPP reklam qrupu, dünyanın ən böyük hüquq firmalarından biri olan DLA Piper-in İspaniya ofisi və qida nəhəngi Mondelez məlumat verib. Fransız tikinti materialları istehsalçısı Cie. de Saint-Gobain və dərman şirkəti Merck & Co.
Merck
İyun NotPetya ransomware hücumundan ağır zərbə alan Amerika əczaçılıq nəhəngi Merck hələ də bütün sistemləri bərpa edə və normal fəaliyyətinə qayıda bilmir. Bu barədə şirkətin 2017-ci ilin iyul ayının sonunda ABŞ Qiymətli Kağızlar və Birja Komissiyasına (SEC) təqdim etdiyi 8-K forması üzrə hesabatında məlumat verilib. Daha çox oxu.
Moller-Maersk və Rosneft
3 iyul 2017-ci ildə məlum oldu ki, Danimarka gəmiçilik nəhəngi Moller-Maersk və Rosneft Petya ransomware virusu ilə yoluxmuş İT sistemlərini 27 iyun hücumundan cəmi bir həftə sonra bərpa ediblər.
Qlobal miqyasda göndərilən hər yeddi konteynerdən birini təşkil edən gəmiçilik şirkəti Maersk, həmçinin əlavə edib ki, kiberhücumdan təsirlənən 1500 tətbiqin hamısı ən geci 9 iyul 2017-ci il tarixinə qədər normal fəaliyyətə qayıdacaq.
40-dan çox ölkədə onlarla yük limanı və konteyner terminalını idarə edən Maersk-ə məxsus APM Terminals şirkətinin İT sistemləri daha çox təsirə məruz qalıb. Virusun yayılması səbəbindən işi tamamilə iflic olan APM Terminallarının limanlarından gündə 100 mindən çox yük konteyneri keçir. Rotterdamdakı Maasvlakte II terminalı iyulun 3-də təchizatı bərpa etdi.
16 avqust 2017-ci il A.P. Moller-Maersk, yoluxması, Avropa şirkətinin qeyd etdiyi kimi, Ukrayna proqramı vasitəsilə keçən Petya virusundan istifadə edərək kiberhücum nəticəsində dəymiş zərərin təxmini miqdarını adlandırdı. Maersk-in ilkin hesablamalarına görə, 2017-ci ilin ikinci rübündə Petya ransomware proqramından maliyyə itkiləri 200-300 milyon dollar arasında olub.
Bununla yanaşı, iyulun 3-də şirkətin mətbuat xidməti tərəfindən İnterfaks-a bildirilib ki, haker hücumundan kompüter sistemlərini bərpa etmək üçün Rosneft-ə demək olar ki, bir həftə vaxt lazım olub:
Bir neçə gün əvvəl Rosneft kiberhücumun nəticələrini qiymətləndirməyi hələ öz üzərinə götürmədiyini, lakin istehsala təsir etmədiyini vurğuladı.
Petya necə işləyir?
Həqiqətən, virus qurbanları yoluxduqdan sonra fayllarını aça bilmirlər. Fakt budur ki, onu yaradanlar belə bir fürsəti heç də qabaqcadan görmürdülər. Yəni apriori şifrələnmiş diskin şifrəsi açıla bilməz. Zərərli proqram identifikatorunda şifrənin açılması üçün tələb olunan məlumat yoxdur.
Mütəxəssislər ilkin olaraq Rusiya, Ukrayna, Polşa, İtaliya, Almaniya, Fransa və digər ölkələrdə iki minə yaxın kompüterə təsir edən virusu artıq tanınmış Petya ransomware ailəsinin bir hissəsi kimi qiymətləndiriblər. Lakin məlum oldu ki, söhbət yeni zərərli proqramlar ailəsindən gedir. "Kaspersky Laboratoriyası" vaftiz edildi yeni ransomware Expetr.
Necə mübarizə aparmaq
Kibertəhlükələrə qarşı mübarizə bankların, İT biznesinin və dövlətin birgə səylərini tələb edir
Positive Technologies-dən məlumatların bərpası üsulu
7 iyul 2017-ci ildə Positive Technologies eksperti Dmitri Sklyarov NotPetya virusu tərəfindən şifrələnmiş məlumatların bərpası metodunu təqdim etdi. Ekspertin fikrincə, NotPetya virusunun inzibati imtiyazlara malik olduğu və bütün diski şifrələdiyi halda metod tətbiq oluna bilər.
Məlumatları bərpa etmək imkanı təcavüzkarların özləri tərəfindən hazırlanmış Salsa20 şifrələmə alqoritminin tətbiqindəki səhvlərlə bağlıdır. Metodun effektivliyi həm test mühitində, həm də şifrələnmiş vasitələrdən birində sınaqdan keçirilmişdir sabit disklər epidemiyanın qurbanları arasında olan böyük bir şirkət.
Məlumatların bərpasında ixtisaslaşan şirkətlər və müstəqil tərtibatçılar təqdim olunan şifrənin açılması skriptindən istifadə etməkdə və avtomatlaşdırmaqda sərbəstdirlər.
Araşdırmanın nəticələri artıq Ukrayna kiber polisi tərəfindən təsdiqlənib. “Juscutum” istintaqının nəticələri gələcək prosesdə İntellekt-Servis-ə qarşı əsas sübut kimi istifadə etmək niyyətindədir.
Proses sivil xarakter daşıyacaq. Ukrayna hüquq-mühafizə orqanları tərəfindən müstəqil araşdırma aparılır. Onların nümayəndələri əvvəllər İntellekt-Servis əməkdaşlarına qarşı işin başlanmasının mümkünlüyünü bəyan ediblər.
M.E.Doc şirkəti özü bildirdi ki, baş verənlər reyderlər tərəfindən şirkəti ələ keçirmək cəhdidir. Yeganə məşhur Ukrayna mühasibat proqramının istehsalçısı hesab edir ki, şirkətin Ukrayna kiber polisi tərəfindən axtarışı bu planın həyata keçirilməsinin bir hissəsi olub.
Petya kodlayıcısı ilə ilkin infeksiya vektoru
Mayın 17-də M.E.Doc-a zərərli backdoor modulu olmayan yeniləmə buraxıldı. Yəqin ki, bu, XData infeksiyalarının nisbətən az olmasını izah edə bilər, şirkət hesab edir. Təcavüzkarlar yeniləmənin mayın 17-də buraxılacağını gözləmirdilər və şifrləyicini mayın 18-də işə saldılar, o zaman ki, əksər istifadəçilər artıq təhlükəsiz yeniləməni quraşdırmışdılar.
Backdoor yoluxmuş sistemə digər zərərli proqramların yüklənməsinə və icrasına imkan verir - Petya və XData kodlayıcıları ilə ilkin yoluxma belə həyata keçirilib. Bundan əlavə, proqram proksi və e-poçt parametrlərini, o cümlədən M.E.Doc tətbiqindən giriş və parolları, həmçinin EDRPOU (Ukrayna Müəssisələrinin və Təşkilatlarının Vahid Dövlət Reyestri) uyğun olaraq şirkət kodlarını toplayır, bu da qurbanları müəyyən etməyə imkan verir. .
"Cavab verəcəyimiz bir sıra suallarımız var" dedi Eset-in baş virus analitiki Anton Cherepanov. - Arxa qapı nə vaxtdan istifadə olunur? Bu kanal vasitəsilə Petya və XDatadan başqa hansı əmrlər və zərərli proqramlar göndərilib? Bu hücumun arxasında olan kiber qrup tərəfindən hələ də istifadə edilməmiş başqa hansı infrastrukturlar pozulub?”
İnfrastruktur, zərərli alətlər, sxemlər və hücum hədəfləri daxil olmaqla işarələrin birləşməsinə əsaslanaraq, Eset mütəxəssisləri Diskcoder.C (Petya) epidemiyası ilə Telebots kiberqrupu arasında əlaqə yaradıblar. Bu qruplaşmanın fəaliyyətinin arxasında kimin dayandığını hələ etibarlı şəkildə müəyyən etmək mümkün olmayıb.
Bir neçə ay əvvəl biz və digər İT Təhlükəsizlik mütəxəssisləri yeni zərərli proqram aşkarladıq - Petya (Win32.Trojan-Ransom.Petya.A). Klassik mənada bu, ransomware deyildi, virus sadəcə olaraq müəyyən növ fayllara girişi blokladı və fidyə tələb etdi. Virus dəyişdirildi yükləmə rekordu sabit diskdə, PC-ni zorla yenidən başladın və "məlumat şifrələnib - pulunuzu şifrənin açılması üçün idarə edin" mesajını göstərdi. Ümumiyyətlə, ransomware viruslarının standart sxemi, faylların əslində şifrələnməməsi istisna olmaqla. Ən populyar antiviruslar buraxıldıqdan bir neçə həftə sonra Win32.Trojan-Ransom.Petya.A-nı müəyyən etməyə və silməyə başladılar. Bundan əlavə, əl ilə çıxarılması üçün təlimatlar var. Nə üçün Petyanın klassik ransomware olmadığını düşünürük? Bu virus Master Boot Record-da dəyişikliklər edir və OS-nin yüklənməsinin qarşısını alır, həmçinin Master Fayl Cədvəlini (master fayl cədvəli) şifrələyir. O, faylların özlərini şifrələmir.
Ancaq bir neçə həftə əvvəl daha mürəkkəb bir virus ortaya çıxdı. mischa, görünür, eyni fırıldaqçılar tərəfindən yazılmışdır. Bu virus faylları ŞİFRELƏR və şifrənin açılması üçün sizdən 500 - 875 ABŞ dolları ödəmənizi tələb edir. müxtəlif versiyalar 1,5 - 1,8 bitkoinlər). "Şifrənin açılması" və bunun üçün ödəniş üçün təlimatlar YOUR_FILES_ARE_ENCRYPTED.HTML və YOUR_FILES_ARE_ENCRYPTED.TXT fayllarında saxlanılır.
Mischa virusu - YOUR_FILES_ARE_ENCRYPTED.HTML faylının məzmunu
İndi faktiki olaraq hakerlər istifadəçilərin kompüterlərini iki zərərli proqramla yoluxdururlar: Petya və Mischa. Birincisi sistemdə administrator hüquqlarına ehtiyac duyur. Yəni istifadəçi Petya admin hüquqlarını verməkdən imtina edərsə və ya bu zərərli proqramı əl ilə aradan qaldırarsa, Mischa işə qarışır. Bu virusun administrator hüquqlarına ehtiyacı yoxdur, o, klassik ransomware proqramıdır və Master Boot Record-a və qurbanın sabit diskindəki fayl cədvəlinə heç bir dəyişiklik etmədən güclü AES alqoritmindən istifadə edərək həqiqətən faylları şifrələyir.
Mischa zərərli proqram yalnız standart fayl növlərini (videolar, şəkillər, təqdimatlar, sənədlər) deyil, həm də .exe fayllarını şifrələyir. Virus təkcə \Windows, \$Recycle.Bin, \Microsoft, \ qovluqlarına təsir etmir. Mozilla Firefox, \Opera, \ internet Explorer, \Temp, \Local, \LocalLow və \Chrome.
İnfeksiya əsasən elektron poçt vasitəsilə baş verir, burada məktub əlavə edilmiş fayl - virus quraşdırıcısı ilə gəlir. Vergi idarəsindən, mühasibinizdən məktub, əlavə qəbzlər və alış qəbzləri və s. kimi şifrələnə bilər. Belə hərflərlə fayl uzantılarına diqqət yetirin - əgər bu icra edilə bilən fayldırsa (.exe), o zaman böyük ehtimalla Petya\Mischa virusu olan konteyner ola bilər. Zərərli proqramın modifikasiyası təzədirsə, antivirusunuz reaksiya verməyə bilər.
Yeniləmə 06/30/2017: 27 iyun Petya virusunun dəyişdirilmiş versiyası (Petya.A) Ukraynada istifadəçilərə kütləvi hücum olub. Bu hücumun təsiri çox böyük idi və iqtisadi zərər hələ hesablanmayıb. Bir gündə onlarla bankın işi iflic oldu, pərakəndə satış zəncirləri, müxtəlif mülkiyyət formalı dövlət qurumları və müəssisələri. Virus ilk növbədə Ukraynanın MeDoc mühasibat sistemindəki boşluq vasitəsilə yayılıb avtomatik yeniləmə bu proqram. Bundan əlavə, virus Rusiya, İspaniya, Böyük Britaniya, Fransa, Litva kimi ölkələri də əhatə edib.
Petya və Mischa viruslarını avtomatik təmizləyici ilə təmizləyin
Eksklüziv olaraq təsirli üsulümumiyyətlə zərərli proqram təminatı və xüsusən də ransomware ilə məşğul olmaq. Sübut edilmiş təhlükəsizlik kompleksinin istifadəsi hər hansı bir virus komponentinin, onların tam çıxarılması bir kliklə. Qeyd edək ki, ikisi var müxtəlif proseslər: infeksiyanı silin və kompüterinizdə faylları bərpa edin. Bununla belə, təhlükəni mütləq aradan qaldırmaq lazımdır, çünki onun köməyi ilə digər kompüter troyanlarının tətbiqi haqqında məlumatlar var.
- . Proqramı işə saldıqdan sonra düyməni basın Kompüter Skanını başladın(Skan etməyə başlayın).
- Quraşdırılmış proqram skan zamanı aşkar edilmiş təhdidlər haqqında hesabat təqdim edəcək. Tapılan bütün təhlükələri aradan qaldırmaq üçün seçimi seçin Təhdidləri düzəldin(Təhlükələri aradan qaldırın). Sözügedən zərərli proqram tamamilə silinəcək.
Şifrələnmiş fayllara girişi bərpa edin
Qeyd edildiyi kimi, Mischa ransomware proqramı güclü şifrələmə alqoritmi ilə faylları kilidləyir ki, şifrələnmiş məlumatları sehrli çubuq dalğası ilə bərpa etmək mümkün olmasın - əgər eşidilməmiş bir fidyə ödəməsini (bəzən 1000 dollara qədər) nəzərə almasanız. Ancaq bəzi üsullar həqiqətən vacib məlumatları bərpa etməyə kömək edəcək xilasedici ola bilər. Aşağıda onlarla tanış ola bilərsiniz.
Avtomatik fayl bərpa proqramı (şifrə açıcı)
Çox qeyri-adi bir vəziyyət məlumdur. Bu infeksiya orijinal faylları şifrələnməmiş formada silir. Beləliklə, qəsb şifrələmə prosesi onların surətlərini hədəf alır. Bu, belə bir fürsət yaradır proqram vasitələri silinmiş obyektləri necə bərpa etmək olar, hətta onların çıxarılmasının etibarlılığına zəmanət verilir. Faylın bərpası proseduruna müraciət etmək şiddətlə tövsiyə olunur, onun effektivliyi şübhə doğurmur.
Həcmi kölgə nüsxələri
Bu yanaşma Windows proseduruna əsaslanır Ehtiyat surəti hər bərpa nöqtəsində təkrarlanan fayllar. Əhəmiyyətli şərt iş bu üsul: Sistem Bərpası infeksiyadan əvvəl aktivləşdirilməlidir. Bununla belə, bərpa nöqtəsindən sonra fayla edilən hər hansı dəyişiklik faylın bərpa edilmiş versiyasında əks olunmayacaq.
Yedəkləmə
Bu, satın alınmayan bütün üsullar arasında ən yaxşısıdır. Məlumatların ehtiyat nüsxəsinin çıxarılması proseduru varsa xarici server ransomware kompüterinizə hücum etməzdən əvvəl istifadə edilmişdir, şifrələnmiş faylları bərpa etmək üçün sadəcə müvafiq interfeysi daxil etməlisiniz, seçin zəruri fayllar və ehtiyat nüsxədən məlumatların bərpası mexanizmini işə salın. Əməliyyatı yerinə yetirməzdən əvvəl ransomware proqramının tamamilə silindiyinə əmin olmalısınız.
Mümkün qalıq Petya və Mischa ransomware komponentlərini yoxlayın
İçəridə təmizlik əl rejimi gizli obyektlər şəklində silinmənin qarşısını ala bilən ransomware-nin itkin hissələri ilə doludur əməliyyat sistemi və ya reyestr qeydləri. Fərdi zərərli elementlərin qismən qorunma riskini aradan qaldırmaq üçün zərərli proqramlar üzrə ixtisaslaşmış etibarlı təhlükəsizlik proqram paketindən istifadə edərək kompüterinizi skan edin.
Petya.A nədir?
Bu, kompüterdəki məlumatları şifrələyən və şifrəni açmaq üçün açar üçün 300 dollar tələb edən "fidyə proqramı virusudur". İyunun 27-də günorta radələrində Ukrayna kompüterlərini yoluxdurmağa başladı, sonra isə digər ölkələrə yayıldı: Rusiya, Böyük Britaniya, Fransa, İspaniya, Litva və s. Microsoft veb saytında indi virus var Bu var "ciddi" təhlükə səviyyəsi.
İnfeksiya eyni zəiflik səbəbindən baş verir Microsoft Windows, bu vəziyyətdir WannaCry virusu, may ayında dünyada minlərlə kompüteri vuran və şirkətlərə təxminən 1 milyard dollar ziyan vurdu.
Axşam saatlarında kiber polis bir virus hücumunun nəzərdə tutulduğunu bildirdi elektron hesabat və sənəd axını. Hüquq-mühafizə orqanlarının əməkdaşlarının sözlərinə görə, saat 10:30-da M.E.Doc-un növbəti yeniləməsi buraxılıb, onun köməyi ilə zərərli proqram təminatı kompüterlərə yüklənib.
Petya istifadə edərək paylandı E-poçt, proqramdan bir işçinin CV kimi keçməsi. Bir şəxs CV açmağa çalışsa, virus administrator hüquqlarını istədi. İstifadəçi razılaşarsa, kompüter yenidən başladı, sonra HDDşifrələndi və "fidyə" tələb edən bir pəncərə göründü.
VİDEO
Petya virusu ilə yoluxma prosesi. Video: G DATA Software AG / YouTube
Eyni zamanda, Petya virusunun özündə bir zəiflik var idi: istifadə edərək məlumatların şifrəsini açmaq üçün açar əldə etmək mümkün idi. xüsusi proqram. Bu üsul 2016-cı ilin aprelində Geektimes-ın redaktoru Maksim Ağadjanov tərəfindən təsvir edilmişdir.
Bununla belə, bəzi istifadəçilər “fidyə” ödəməyi seçirlər. Tanınmış Bitcoin pul kisələrindən birinə görə, virusun yaradıcıları təxminən 9100 dollara uyğun gələn 3,64 bitkoin alıblar.
Kimlər virusa yoluxub?
Ukraynada Petya.A-nın qurbanları əsasən olub korporativ müştərilər: dövlət qurumları, banklar, media, enerji şirkətləri və digər təşkilatlar.
Digərləri arasında Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsya, TNK, Antonov, Episentr, Kanal 24, həmçinin Boryspil Hava Limanı, Ukrayna Nazirlər Kabineti, Dövlət Fiskal Xidməti və s.
Hücum bölgələrə də yayılıb. Məsələn, n və Çernobıl AES-də kiberhücum səbəbindən elektron sənəd dövriyyəsi fəaliyyətini dayandırdı və stansiya radiasiya səviyyəsinin əllə monitorinqinə keçdi. Xarkovda böyük bir "Rost" supermarketinin işi dayandırıldı və hava limanında uçuşlar üçün qeydiyyat əl rejiminə keçirildi.
“Petya.A” virusuna görə “Rost” supermarketində kassalar fəaliyyətini dayandırıb. Foto: X...evy Xarkov / "VKontakte"
Nəşrin məlumatına görə, Rusiyada “Rosneft”, “Bashneft”, “Mars”, “Nivea” və s.
Petya.A-dan özünüzü necə qorumalısınız?
Petya.A-dan özünüzü necə qorumaq barədə təlimatlar Ukrayna Təhlükəsizlik Xidməti və Kiber Polis tərəfindən dərc edilmişdir.
Cyberpolice istifadəçilərə quraşdırmağı tövsiyə edir windows yeniləmələri rəsmi Microsoft veb saytından, antivirusu yeniləyin və ya quraşdırın, şübhəli faylları buradan yükləməyin e-poçtlar və anormallıqlar aşkar edildikdə dərhal kompüteri şəbəkədən ayırın.
SBU vurğuladı ki, şübhə yaranarsa, kompüteri yenidən işə salmaq olmaz, çünki yenidən yükləmə zamanı fayllar şifrələnir. Xüsusi xidmət ukraynalılara qiymətli faylları ayrıca daşıyıcıda saxlamağı və düzəltməyi tövsiyə edib ehtiyat nüsxəsiəməliyyat sistemi.
Kibertəhlükəsizlik üzrə ekspert Vlad Styran yazdı Facebook-da virusun yayıldığını bildirib yerli şəbəkə Windows-da 1024-1035, 135, 139 və 445 TCP portlarını bloklamaqla dayandırıla bilər.Bunun necə ediləcəyi ilə bağlı onlayn təlimatlar var.
Amerika şirkəti Symantec