Какво представлява вирусът Миша и Петя. Подобно на Петя, приятелката на Миша: какво се знае за новия вирус рансъмуер. Проверете за възможни остатъчни компоненти на рансъмуер Petya и Mischa

В началото на май около 230 000 компютъра в повече от 150 страни бяха заразени с ransomware. Преди пострадалите да успеят да отстранят последствията от тази атака, последва нова - наречена Петя. Най-големият украински и руски компаниикакто и държавни агенции.

Киберполицията на Украйна установи, че атаката на вируса е започнала чрез механизма за актуализиране на счетоводния софтуер M.E.Doc, който се използва за изготвяне и изпращане на данъчни декларации. Така стана известно, че мрежите на Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo и Днепърската електроенергийна система не са избегнали инфекцията. В Украйна вирусът е проникнал в правителствените компютри, компютрите на киевското метро, ​​телекомуникационните оператори и дори в атомната електроцентрала в Чернобил. В Русия пострадаха Mondelez International, Mars и Nivea.

Вирусът Petya използва уязвимостта на EternalBlue в операционната зала Windows система. Експертите на Symantec и F-Secure казват, че въпреки че Petya криптира данни като WannaCry, той е малко по-различен от другите видове ransomware. „Вирусът на Петя е новият вид ransomware със злонамерени намерения: той не просто криптира файлове на диска, но блокира целия диск, правейки го практически неизползваем, обясняват от F-Secure. „По-специално, той криптира основната файлова таблица на MFT.“

Как става това и може ли да се предотврати този процес?

Вирусът Petya - как работи?

Вирусът Petya е известен и под други имена: Petya.A, PetrWrap, NotPetya, ExPetr. Влизайки в компютъра, той изтегля рансъмуера от интернет и се опитва да удари част харддискс данните, необходими за зареждане на компютъра. Ако успее, тогава системата издава син екран на смъртта (“ син екранна смъртта"). След рестартиране се появява съобщение твърддиск с молба да не изключвате захранването. Така вирусът рансъмуер се представя за такъв системна програмачрез проверка на диска, докато криптирате файлове с определени разширения. В края на процеса се появява съобщение за заключен компютър и информация как да получите цифров ключ за дешифриране на данните. Вирусът Petya изисква откуп, обикновено в биткойни. Ако жертвата няма резервно копие на файловете, тя е изправена пред избор - да плати сумата от $300 или да загуби цялата информация. Според някои анализатори вирусът само се маскира като ransomware, докато истинската му цел е да причини огромни щети.

Как да се отървем от Петя?

Експертите установиха, че вирусът Petya търси локален файл и ако този файл вече съществува на диска, излиза от процеса на криптиране. Това означава, че потребителите могат да защитят компютъра си от ransomware, като създадат този файл и го настроят само за четене.

Въпреки факта, че тази хитра схема предотвратява стартирането на процеса на изнудване, този метод може да се счита по-скоро за „компютърна ваксинация“. По този начин потребителят ще трябва сам да създаде файла. Можете да направите това по следния начин:

  • Първо трябва да се справите с разширението на файла. Уверете се, че в прозореца „Опции на папката“ в квадратчето „Скриване на разширения за известни типове файлове“ няма отметка.
  • Отворете папката C:\Windows, превъртете надолу, докато видите програмата notepad.exe.
  • Щракнете с левия бутон върху notepad.exe, след това натиснете Ctrl + C, за да копирате и след това Ctrl + V, за да поставите файла. Ще бъдете подканени за разрешение за копиране на файла.
  • Щракнете върху бутона "Продължи" и файлът ще бъде създаден като бележник - Copy.exe. Щракнете с левия бутон върху този файл и натиснете клавиша F2, след това изтрийте името на файла Copy.exe и въведете perfc.
  • След като промените името на файла на perfc, натиснете Enter. Потвърдете преименуването.
  • Сега, когато perfc файлът е създаден, трябва да го направим само за четене. За да направите това, щракнете Кликнете с десния бутонзадръжте мишката върху файла и изберете „Свойства“.
  • Ще се отвори менюто със свойства за този файл. В долната част ще видите „Само за четене“. Поставете отметка в квадратчето.
  • Сега щракнете върху бутона „Приложи“ и след това върху бутона „OK“.

Някои експерти по сигурността предлагат в допълнение към файла C:\windows\perfc да създадете файловете C:\Windows\perfc.dat и C:\Windows\perfc.dll за по-добра защита срещу Вирус Петя. Можете да повторите стъпките по-горе за тези файлове.

Поздравления, вашият компютър е защитен от NotPetya / Petya!

Експертите на Symantec дават някои съвети на потребителите на компютри, за да ги предотвратят да правят неща, които могат да доведат до блокиране на файлове или загуба на пари.

  1. Не плащайте пари на измамници.Дори и да прехвърлите пари към ransomware, няма гаранция, че ще можете да си възвърнете достъпа до вашите файлове. А в случая с NotPetya / Petya това по същество е безсмислено, тъй като целта на шифратора е да унищожава данни, а не да получава пари.
  2. Уверете се, че създавате редовно резервни копияданни.В този случай, дори компютърът ви да стане обект на ransomware атака, ще можете да възстановите всички изтрити файлове.
  3. Не отваряй имейлисъс съмнителни адреси.Нападателите ще се опитат да ви подмамят да инсталирате зловреден софтуер или да се опитат да получат важни данни за атака. Не забравяйте да уведомите ИТ специалистите, ако вие или вашите служители получите подозрителни имейли или връзки.
  4. Използвайте надеждни софтуер. Навременното обновяване на антивирусните програми играе важна роля в защитата на компютрите от инфекции. И, разбира се, трябва да използвате продуктите на реномирани компании в тази област.
  5. Използвайте механизми за сканиране и блокиране на спам съобщения.Входящите имейли трябва да се сканират за заплахи. Важно е всички видове съобщения, които съдържат връзки или типични ключови думифишинг.
  6. Уверете се, че всички програми са актуални.Редовното коригиране на уязвимости в софтуера е от съществено значение за предотвратяване на инфекции.

Да очакваме ли нови атаки?

Вирусът Petya се появи за първи път през март 2016 г. и експертите по сигурността веднага забелязаха поведението му. Новият вирус Petya удари компютрите в Украйна и Русия в края на юни 2017 г. Но това едва ли ще свърши. Хакерските атаки с помощта на рансъмуер вируси, подобни на Petya и WannaCry, ще се повторят, каза Станислав Кузнецов, заместник-председател на борда на Сбербанк. В интервю за ТАСС той предупреди, че такива атаки със сигурност ще има, но е трудно да се предвиди предварително под каква форма и формат могат да се проявят.

Ако след всички минали кибератаки все още не сте предприели поне минималните стъпки, за да защитите компютъра си от вируса ransomware, тогава е време да го вземете сериозно.

Преди няколко месеца ние и други специалисти по ИТ сигурност открихме нов злонамерен софтуер - Петя (Win32.Trojan-Ransom.Petya.A). В класическия смисъл това не беше ransomware, вирусът просто блокира достъпа до определени типове файлове и поиска откуп. Вирус модифициран зареждащ записна твърдия диск, принудително рестартира компютъра и показа съобщение, в което се посочва, че „данните са криптирани - давайте парите си за декриптиране“. Като цяло, стандартната схема на ransomware вируси, с изключение на това, че файловете всъщност НЕ бяха криптирани. Повечето популярни антивируси започнаха да идентифицират и премахват Win32.Trojan-Ransom.Petya.A в рамките на няколко седмици след въвеждането си. Освен това има инструкции за ръчно премахване. Защо смятаме, че Petya не е класически ransomware? Този вирус прави промени в главния запис за стартиране и предотвратява зареждането на операционната система, а също така криптира основната файлова таблица (главна файлова таблица). Той не криптира самите файлове.

Преди няколко седмици обаче се появи по-сложен вирус. миша, явно написани от същите измамници. Този вирус ШИФРОВА файлове и изисква да платите $500 - $875 за декриптиране (в различни версии 1,5 - 1,8 биткойни). Инструкциите за "декриптиране" и заплащането за това се съхраняват във файловете YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa - съдържание на файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сега всъщност хакерите заразяват компютрите на потребителите с два зловреден софтуер: Petya и Mischa. Първият се нуждае от администраторски права в системата. Тоест, ако потребител откаже да даде на Petya администраторски права или премахне този зловреден софтуер ръчно, Mischa се намесва. Този вирус не се нуждае от администраторски права, той е класически ransomware и наистина криптира файлове с помощта на силния AES алгоритъм, без да прави никакви промени в главния запис за зареждане и файловата таблица на твърдия диск на жертвата.

Злонамереният софтуер на Mischa криптира не само стандартните типове файлове (видео, снимки, презентации, документи), но и .exe файлове. Вирусът не засяга само директориите \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заразяването става предимно чрез електронна поща, където пристига писмо с прикачен файл - инсталатор на вируси. Може да бъде криптиран като писмо от данъчната служба, от вашия счетоводител, като приложени касови бележки и разписки за покупка и др. Обърнете внимание на файловите разширения в такива букви - ако това е изпълним файл (.exe), тогава с голяма вероятност това може да е контейнер с вируса Petya\Mischa. И ако модификацията на зловреден софтуер е прясна, вашата антивирусна програма може да не реагира.

Актуализация 30.06.2017 г.: 27 юни, модифицирана версия на вируса Petya (Петя.А)масово атакува потребители в Украйна. Ефектът от тази атака е огромен и икономическите щети все още не са изчислени. За един ден беше парализирана работата на десетки банки, търговски вериги, държавни институции и предприятия от различни форми на собственост. Вирусът се разпространява предимно чрез уязвимост в украинската счетоводна система MeDoc с най-новото автоматична актуализациятози софтуер. Освен това вирусът е засегнал и страни като Русия, Испания, Великобритания, Франция, Литва.

Премахнете вируса Petya и Mischa с автоматична програма за почистване

Единствено и само ефективен методработа със злонамерен софтуер като цяло и в частност с ransomware. Използването на доказан комплекс за сигурност гарантира пълното откриване на всякакви вирусни компоненти, техните пълно премахванес едно кликване. Моля, имайте предвид, че има две различни процеси: деинсталирайте инфекцията и възстановете файловете на вашия компютър. Заплахата обаче със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с нейна помощ.

  1. . След като стартирате софтуера, щракнете върху бутона Стартирайте компютърното сканиране(Започни сканиране).
  2. Инсталираният софтуер ще предостави отчет за заплахи, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Коригиране на заплахи(Премахни заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.

Възстановете достъпа до криптирани файлове

Както беше отбелязано, рансъмуерът Mischa заключва файлове със силен алгоритъм за криптиране, така че криптираните данни да не могат да бъдат възстановени с махване на магическа пръчка - ако не вземете предвид плащането на нечуван откуп (понякога до $ 1000 ). Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.

Програма за автоматично възстановяване на файлове (дешифратор)

Известно е едно много необичайно обстоятелство. Тази инфекция изтрива оригиналните файлове в некриптирана форма. По този начин изнудващият процес на криптиране е насочен към техни копия. Това дава възможност за софтуерни инструменти като възстановяване на изтрити обекти, дори ако надеждността на премахването им е гарантирана. Силно се препоръчва да се прибегне до процедурата за възстановяване на файлове, нейната ефективност е извън съмнение.

Обемни сенчести копия

Подходът се основава на процедурата на Windows Резервно копиефайлове, което се повтаря във всяка точка за възстановяване. Важно условиеработа този метод: Възстановяването на системата трябва да се активира преди заразяването. Въпреки това, всички промени, направени във файла след точката за възстановяване, няма да бъдат отразени във възстановената версия на файла.

Архивиране

Това е най-добрият сред всички методи без изкупуване. Ако процедурата за архивиране на данни на външен сървъре бил използван преди ransomware да атакува вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, изберете необходими файловеи стартирайте механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че рансъмуерът е напълно премахнат.

Проверете за възможни остатъчни компоненти на рансъмуер Petya и Mischa

Почистване в ръчно управлениее изпълнен с пропускане на отделни фрагменти от ransomware, които могат да избегнат премахването под формата на скрити обекти на операционната система или записи в системния регистър. За да елиминирате риска от частично запазване на отделни злонамерени елементи, сканирайте компютъра си с помощта на надежден софтуерен пакет за сигурност, който е специализиран в злонамерен софтуер.

Във вторник, 27 юни, украински и руски компании съобщиха за масивна вирусна атака: компютрите в предприятията показват съобщение с искане за откуп. Разбрах кой отново пострада от хакери и как да се предпази от кражба на важни данни.

Питър, стига

Енергийният сектор беше първи атакуван: украинските компании Ukrenergo и Kyivenergo се оплакаха от вируса. Натрапниците ги парализираха компютърни системи, но това не се отрази на стабилността на електроцентралите.

Украинците започнаха да публикуват последствията от инфекцията в мрежата: съдейки по многобройните снимки, компютрите са били атакувани от вирус ransomware. На екрана на засегнатите устройства се появи съобщение, че всички данни са криптирани и собствениците на устройства трябва да платят откуп от $300 в биткойни. В същото време хакерите не казаха какво ще се случи с информацията в случай на бездействие и дори не зададоха таймер за обратно отброяване, докато данните не бъдат унищожени, какъвто беше случаят с вирусната атака WannaCry.

Националната банка на Украйна (НБУ) съобщи, че поради вируса работата на няколко банки е била частично парализирана. Според украинските медии атаката е засегнала офисите на Oschadbank, Ukrsotsbank, Ukrgasbank и PrivatBank.

бяха заразени компютърни мрежиУкртелеком, летище Бориспол, Укрпоща, Нова поща, Киевводоканал и киевското метро. Освен това вирусът удари украинските мобилни оператори - Kyivstar, Vodafone и Lifecell.

По-късно украинските медии уточниха, че става дума за зловреден софтуер Petya.A. Разпространява се по обичайната за хакерите схема: фишинг имейли се изпращат на жертвите от манекени с молба да отворят вградена връзка. След това вирусът влиза в компютъра, криптира файловете и иска откуп за дешифрирането им.

Хакерите посочиха номера на биткойн портфейла си, към който трябва да бъдат преведени парите. Съдейки по информацията за транзакциите, жертвите вече са прехвърлили 1,2 биткойна (повече от 168 хиляди рубли).

Според експерти в информационна сигурностот Group-IB, повече от 80 компании бяха засегнати от атаката. Ръководителят на тяхната криминална лаборатория отбеляза, че вирусът не е свързан с WannaCry. За да реши проблема, той посъветва затваряне на TCP портове 1024–1035, 135 и 445.

Кой е виновен

Тя побърза да предположи, че атаката е организирана от територията на Русия или Донбас, но не предостави никакви доказателства. министър на инфраструктурата на Украйна трионнамек в думата "вирус" и написа във Фейсбук, че "неслучайно завършва на RUS", предоставяйки предположението си с намигаща емотиконка.

Междувременно той твърди, че атаката няма нищо общо със съществуващия "зловреден софтуер", известен като Petya и Mischa. Служителите по сигурността твърдят, че новата вълна е ударила не само украински и руски компании, но и предприятия в други страни.

Въпреки това сегашният „злонамерен софтуер“ по отношение на интерфейса прилича на добре познатия вирус Petya, който преди няколко години се разпространяваше чрез фишинг връзки. В края на декември неизвестният хакер, отговорен за създаването на рансъмуера Petya and Mischa, започна да изпраща заразени имейли с вграден вирус, наречен GoldenEye, който беше идентичен на предишни версиикриптографи.

Приложението към обикновено писмо, често получавано от отдела по персонала, съдържаше информация за фиктивен кандидат. В един от файловете наистина можеше да се намери резюме, а в следващия - програма за инсталиране на вируси. Тогава основна цел на нападателя са били фирми в Германия. През деня в капана са попаднали над 160 служители на германската компания.

Не беше възможно да се изчисли хакерът, но е очевидно, че той е фен на Бонд. Програмите Петя и Миша са имената на руските спътници "Петя" и "Миша" от филма "Златното око", които според сюжета са били електромагнитни оръжия.

Оригиналната версия на Petya започна активно да се разпространява през април 2016 г. Тя умело се маскира на компютрите и се представя за легитимни програми, изисквайки разширени администраторски права. След активирането програмата се държеше изключително агресивно: тя постави твърд срок за плащане на откупа, изисквайки 1,3 биткойна, а след крайния срок удвои паричната компенсация.

Вярно, тогава един от Потребители на Twitterбързо откри слабите места на рансъмуера и създаде проста програма, който за седем секунди генерира ключ, който ви позволява да отключите компютъра и да дешифрирате всички данни без никакви последствия.

Не за първи път

В средата на май компютри по света бяха атакувани от подобен рансъмуер вирус WannaCrypt0r 2.0, известен още като WannaCry. Само за няколко часа той парализира работата на стотици хиляди работници Windows устройствав над 70 държави. Сред жертвите бяха руски правоохранителни органи, банки и мобилни оператори. Веднъж попаднал на компютъра на жертвата, вирусът се криптира HDDи поиска да изпрати на нападателите 300 долара в биткойни. Бяха дадени три дни за размисъл, след което сумата беше удвоена, а седмица по-късно файловете бяха криптирани завинаги.

Жертвите обаче не бързаха да преведат откупа, а създателите на "зловреден софтуер"

Вирусите са неразделна част от екосистемата операционна система. В повечето случаи говорим за Windows и Android, а ако нямате късмет - за OS X и Linux. Освен това, ако по-ранните масови вируси бяха насочени само към кражба на лични данни и в повечето случаи просто към повреждане на файлове, сега крипторите „управляват топката“.


И това не е изненадващо - изчислителната мощност както на компютрите, така и на смартфоните нарасна лавинообразно, което означава, че хардуерът за подобни "лудории" става все по-мощен.

Преди време експерти откриха вируса Петя. G DATA SecurityLabs установи, че вирусът се нуждае от административен достъп до системата, но не криптира файлове, а само блокира достъпа до тях. Към днешна дата инструментите от Petya (Win32.Trojan-Ransom.Petya.A‘) вече съществуват. Самият вирус променя записа за зареждане на системното устройство и причинява срив на компютъра, показвайки съобщение за повреда на данните на диска. Всъщност това е просто криптиране.

Разработчиците на зловреден софтуер поискаха плащане за възстановяване на достъпа.


Към днешна дата обаче освен вируса Петя се появи още по-изтънчен - Миша. Не се нуждае от администраторски права и криптира данни като класически ransomware, създавайки файлове YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT на диск или в папка с криптирани данни. Те съдържат инструкции за получаване на ключа, чиято цена е приблизително $875.

Важно е да се отбележи, че заразяването става чрез електронна поща, която получава exe файл с вируси, маскиран като pdf документ. И тук остава да напомним отново - внимателно проверявайте писма с прикачени файлове, а също така се опитайте да не изтегляте документи от интернет, тъй като сега вирус или злонамерен макрос могат да бъдат вградени в doc файл или уеб страница.

Също така отбелязваме, че досега няма помощни програми за дешифриране на „работата“ на вируса Misha.

Авторско право на изображението PAНадпис на изображението Борбата с новия ransomware е по-трудна от WannaCry, казват експерти

На 27 юни ransomware блокира компютри и криптирани файлове в десетки компании по целия свят.

Съобщава се, че украинските компании са пострадали най-много - вирусът е заразил компютрите на големи компании, държавни агенции и инфраструктурни съоръжения.

За дешифриране на файлове вирусът изисква жертвите да платят $300 в биткойни.

Руската служба на BBC отговаря на основните въпроси за новата заплаха.

Кой пострада?

Разпространението на вируса започна в Украйна. Засегнати са летище Бориспол, някои регионални поделения на Ukrenergo, вериги магазини, банки, медии и телекомуникационни компании. Компютрите в правителството на Украйна също бяха изключени.

След това дойде ред на компании в Русия: Роснефт, Башнефт, Mondelez International, Mars, Nivea и други също станаха жертва на вируса.

Как действа вирусът?

Експертите все още не са стигнали до консенсус относно произхода на новия вирус. Group-IB и Positive Technologies го разглеждат като вариант на вируса Petya от 2016 г.

„Този ​​ransomware използва както хакерски техники, така и помощни програми и стандартни помощни програми системна администрация, - коментира Елмар Набигаев, ръководител на отдела за реакция на заплахи за информационната сигурност в Positive Technologies. - Всичко това гарантира висока скоростразпространението в рамките на мрежата и масовия характер на епидемията като цяло (когато поне един персонален компютър). Резултатът е пълна неработоспособност на компютъра и криптиране на данните."

Румънската компания Bitdefender вижда повече общо с вируса GoldenEye, който сдвоява Petya с друг зловреден софтуер, наречен Misha. Предимството на последния е, че за да криптира файлове, не изисква администраторски права от бъдещата жертва, а ги извлича сам.

Браян Кембълот Fujitsu и редица други експерти смятат, че новият вирус използва модифицирана програма EternalBlue, открадната от Агенцията за национална сигурност на САЩ.

След публикуването на тази програма от хакерите The Shadow Brokers през април 2017 г., създаденият на нейна база ransomware вирус WannaCry се разпространи по целия свят.

Използвайки уязвимостите на Windows, тази програма позволява на вируса да се разпространи в компютрите навсякъде корпоративна мрежа. Оригиналът на Петя беше изпратен чрез електронна пощапод прикритието на автобиография и може да зарази само компютъра, където е отворена тази автобиография.

От Kaspersky Lab казаха на Интерфакс, че вирусът рансъмуер не принадлежи към познатите досега фамилии зловреден софтуер.

„Софтуерните продукти на Kaspersky Lab откриват този зловреден софтуер като UDS:DangeroundObject.Multi.Generic.“, каза Вячеслав Закоржевски, ръководител на отдела за антивирусни изследвания в Kaspersky Lab.

Като цяло, ако наричате новия вирус с руско име, трябва да имате предвид, че външно той прилича повече на чудовището на Франкенщайн, тъй като е сглобен от няколко злонамерени програми. Със сигурност се знае, че вирусът се е родил на 18 юни 2017 г.

Надпис на изображението За дешифриране на файлове и отключване на компютъра вирусът изисква 300 долара

По-добре от WannaCry?

На WannaCry бяха нужни само няколко дни през май 2017 г., за да достигне статута на най-масовата кибератака от този вид в историята. Ще изпревари ли новият ransomware скорошния си предшественик?

За по-малко от ден нападателите са получили 2,1 биткойна от жертвите си – около 5000 долара. WannaCry събра 7 биткойна за същия период.

В същото време, според Елмар Набигаев от Positive Technologies, е по-трудно да се борим с новия изнудвач.

„В допълнение към експлойта [уязвимостта в Windows], тази заплаха се разпространява и чрез акаунти на операционната система, откраднати с помощта на специални хакерски инструменти“, отбеляза експертът.

Как да се справим с вируса?

Като превантивна мярка експертите съветват да инсталирате навреме актуализации за операционни системи и да проверявате файловете, получени по имейл.

На напредналите администратори се препоръчва временно да деактивират мрежовия комуникационен протокол за сървърни съобщения (SMB).

Ако компютрите са заразени, в никакъв случай не плащайте на нападателите. Няма гаранция, че когато им се плати, те ще дешифрират файловете и няма да изискват повече.

Остава само да изчакате програмата за дешифриране: в случай на WannaCry, специалист ще трябва да я създаде Френска компания Quarkslab на Adrien Guinier го няма за една седмица.

Първият ransomware срещу СПИН (PC Cyborg) е написан от биолога Джоузеф Поп през 1989 г. Тя скри директории и криптирани файлове, като поиска $189" подновяване на лиценз" към сметка в Панама. Поп разпространява своето въображение с помощта на флопи дискове по обикновена поща, което прави общо около 20 хилядиклетказаминавания. Поп е задържан, докато се опитва да осребри чек, но избягва съдебен процес - през 1991 г. е обявен за луд.