Всичко, което трябва да знаете за Petna, ransomware от семейство Petya. Петя, NotPetya или Petna? Всичко, което трябва да знаете за новия епидемичен вирусен файл Petya
Атаката на вируса срещу компютрите на украински държавни и частни компании започна в 11:30 сутринта. Под удара бяха големи банки, търговски вериги, оператори клетъчна комуникация, държавни компании, инфраструктурни съоръжения и услуги.
Вирусът обхвана цялата територия на Украйна, до 17:00 часа имаше информация, че атаката е регистрирана и в най-западната част на страната, в Закарпатието: тук във връзка с вируса бяха затворени клонове на OTR Bank и Ukrsotsbank .
„Популярният в Украйна сайт Korrespondent.net и телевизионният канал 24 не работят. Броят на компаниите, засегнати от атаката, се увеличава с всеки час. В момента повечето банкови клонове не работят в Украйна. Например в офисите на Ukrsotsbank компютрите просто не се зареждат. Невъзможно е да получавате или изпращате пари, да плащате разписки и т.н. В същото време няма проблеми в PrivatBank “, съобщава киевският кореспондент на RT.
Вирусът заразява само компютри, които работят на операционна система. Windows система. Той криптира главната файлова таблица на твърдия диск и изнудва пари от потребителите за дешифриране. По това той е подобен на рансъмуер вируса WannaCry, който е бил атакуван от много компании по света. В същото време вече се появиха резултатите от проверката на заразените компютри, които показват, че вирусът унищожава цялата или по-голямата част от информацията на заразените дискове.
За момента вирусът е идентифициран като mbr locker 256, но в медиите нашумя друго име - Петя.
От Киев до Чернобил
Вирусът удари и киевското метро, където в момента има затруднения с плащането с банкови карти.
Поразени са много големи инфраструктурни обекти, като държавния железопътен оператор Ukrzaliznytsia, летище Бориспол. Въпреки това, докато работят нормално, аеронавигационната система не е засегната от вируса, въпреки че Бориспол вече публикува предупреждение за възможни промени в графика, а таблото за пристигащи не работи на самото летище.
Във връзка с атаката два от най-големите пощенски оператори в страната изпитват затруднения в работата си: държавната Ukrposhta и частната Novaya Pochta. Последният обяви, че днес няма да има такса за съхранение на колети, а Ukrposhta се опитва да минимизира последствията от атаката с помощта на SBU.
Поради риск от заразяване не работят и сайтовете на онези организации, които не са засегнати от вируса. Поради тази причина, например, сървърите на уебсайта на Киевската градска държавна администрация, както и уебсайтът на Министерството на вътрешните работи на Украйна бяха деактивирани.
Украинските власти очаквано твърдят, че атаките идват от Русия. Това каза секретарят на Съвета за национална сигурност и отбрана на Украйна Александър Турчинов. „Още сега, след извършване на първоначален анализ на вируса, можем да говорим за руска следа“, цитира го официалният сайт на ведомството.
До 17:30 ч. вирусът достигна дори атомната електроцентрала в Чернобил. Това съобщи за изданието "Украинская правда" началникът на смяната на атомната електроцентрала в Чернобил Владимир Илчук.
„Има предварителна информация, че някои компютри са заразени с вирус. Ето защо, веднага щом започна тази хакерска атака, беше дадена лична команда на компютърните работници на местата на персонала да изключат компютрите си“, каза Илчук.
Атака срещу сладкиши и петрол и газ
Няколко руски компании също бяха хакнати във вторник, 27 юни, включително петролните и газови гиганти Роснефт и Башнефт, металургичната компания Evraz, Home Credit Bank, чиито клонове спряха дейността си, както и руските представителства на Mars, Nivea, Mondelez International , TESA и редица други чуждестранни компании.
- Ройтерс
- МАКСИМ ШЕМЕТОВ
Около 14:30 часа московско време Роснефт съобщи за мощна хакерска атака срещу сървърите на компанията. В същото време микроблогът на компанията в Twitter отбелязва, че атаката е можела да доведе до сериозни последици, но благодарение на прехода към резервна системауправление на производствените процеси, нито добивът, нито подготовката на маслото са спрени.
След кибератаката сайтовете на компаниите Роснефт и Башнефт станаха недостъпни за известно време. Роснефт също обяви недопустимостта на разпространение на невярна информация за атаката.
Разпространителите на фалшиви паник съобщения ще се считат за съучастници на организаторите на атаката и ще отговарят заедно с тях.
— Роснефт Oil Company PJSC (@RosneftRu) 27 юни 2017 г
„Разпространителите на фалшиви паник съобщения ще се считат за съучастници на организаторите на атаката и ще бъдат подведени под отговорност заедно с тях“, казаха от компанията.
В същото време Роснефт отбеляза, че компанията е подала молба до правоприлагащите органи във връзка с кибератаката и изрази надежда, че инцидентът няма нищо общо с „настоящите съдебни процедури“. Във вторник, 27 юни, арбитражният съд на Башкирия започна да разглежда основателността на иска на Роснефт, Башнефт и Башкирия срещу АФК Система в размер на 170,6 милиарда рубли.
WannaCry Jr.
В същото време хакерската атака не е повлияла на работата компютърни системиадминистрацията на президента на Русия и официалния сайт на Кремъл, който според ТАСС прессекретаря на президента Дмитрий Песков "работи стабилно".
Хакерската атака също не е повлияла на работата на руските АЕЦ, отбелязва концернът "Росенергоатом".
Фирма Dr. Web заяви на своя уебсайт, че въпреки приликата, текущата атака е извършена с помощта на вирус, който се различава от вече познатия рансъмуер Petya, по-специално механизма за разпространение на заплахите.
„Сред жертвите на кибератаката бяха мрежите на Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA и други“, казаха от компанията. В същото време пресслужбата на Mars в Русия заяви, че кибератаката е причинила проблеми с ИТ системите само на марката Royal Canin, производител на храни за домашни любимци, а не на цялата компания.
Последната голяма хакерска атака срещу руски компании и държавни институции се случи на 12 май като част от мащабна операция на неизвестни хакери, които атакуваха компютри с Windows в 74 страни, използвайки вируса за криптиране WannaCry.
Във вторник ръководителят на Международния комитет на Съвета на федерацията Константин Косачев, говорейки на заседание на Комисията на Съвета на федерацията за защита на държавния суверенитет, каза, че около 30% от всички кибератаки срещу Русия се извършват от Съединените щати. държави.
„Не повече от 2% от транзакциите се извършват от руска територия към американски компютри. общ бройкибератаки, докато от територията на Съединените щати към руската електронна инфраструктура - 28-29% ”, каза Косачев, цитиран от РИА Новости.
Според ръководителя на международния изследователски екип на Kaspersky Lab Костин Раю, Вирус Петясе разпространява в много страни по света.
Petrwrap/Petya рансъмуер вариант с контакт [имейл защитен]разпространение по целия свят, голям брой засегнати страни.
В началото на май около 230 000 компютъра в повече от 150 страни бяха заразени с ransomware. Преди пострадалите да успеят да отстранят последствията от тази атака, последва нова - наречена Петя. От него пострадаха най-големите украински и руски компании, както и държавни институции.
Киберполицията на Украйна установи, че атаката на вируса е започнала чрез механизма за актуализиране на счетоводния софтуер M.E.Doc, който се използва за изготвяне и изпращане на данъчни декларации. Така стана известно, че мрежите на Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo и Днепърската електроенергийна система не са избегнали инфекцията. В Украйна вирусът е проникнал в правителствените компютри, компютрите на киевското метро, телекомуникационните оператори и дори в атомната електроцентрала в Чернобил. В Русия пострадаха Mondelez International, Mars и Nivea.
Вирусът Petya използва уязвимостта EternalBlue в операционната система Windows. Експертите на Symantec и F-Secure казват, че въпреки че Petya криптира данни като WannaCry, той е малко по-различен от другите видове ransomware. „Вирусът на Петя е новият вид ransomware със злонамерени намерения: той не просто криптира файлове на диска, но блокира целия диск, правейки го практически неизползваем, обясняват от F-Secure. „По-специално, той криптира основната файлова таблица на MFT.“
Как става това и може ли да се предотврати този процес?
Вирусът Petya - как работи?
Вирусът Petya е известен и под други имена: Petya.A, PetrWrap, NotPetya, ExPetr. Влизайки в компютъра, той изтегля рансъмуера от интернет и се опитва да удари част харддискс данните, необходими за зареждане на компютъра. Ако успее, тогава системата издава син екран на смъртта (“ син екранна смъртта"). След рестартиране се появява съобщение твърддиск с молба да не изключвате захранването. Така вирусът рансъмуер се представя за такъв системна програмачрез проверка на диска, докато криптирате файлове с определени разширения. В края на процеса се появява съобщение за заключен компютър и информация как да получите цифров ключ за дешифриране на данните. Вирусът Petya изисква откуп, обикновено в биткойни. Ако жертвата няма резервно копие на файловете, тя е изправена пред избор - да плати сумата от $300 или да загуби цялата информация. Според някои анализатори вирусът само се маскира като ransomware, докато истинската му цел е да причини огромни щети.
Как да се отървем от Петя?
Експертите установиха, че вирусът Petya търси локален файл и ако този файл вече съществува на диска, излиза от процеса на криптиране. Това означава, че потребителите могат да защитят компютъра си от ransomware, като създадат този файл и го настроят само за четене.
Въпреки факта, че тази хитра схема предотвратява стартирането на процеса на изнудване, този метод може да се счита по-скоро за „компютърна ваксинация“. По този начин потребителят ще трябва сам да създаде файла. Можете да направите това по следния начин:
- Първо трябва да се справите с разширението на файла. Уверете се, че в прозореца „Опции на папката“ в квадратчето „Скриване на разширения за известни типове файлове“ няма отметка.
- Отворете папката C:\Windows, превъртете надолу, докато видите програмата notepad.exe.
- Щракнете с левия бутон върху notepad.exe, след това натиснете Ctrl + C, за да копирате и след това Ctrl + V, за да поставите файла. Ще бъдете подканени за разрешение за копиране на файла.
- Щракнете върху бутона "Продължи" и файлът ще бъде създаден като бележник - Copy.exe. Щракнете с левия бутон върху този файл и натиснете клавиша F2, след това изтрийте името на файла Copy.exe и въведете perfc.
- След като промените името на файла на perfc, натиснете Enter. Потвърдете преименуването.
- Сега, когато perfc файлът е създаден, трябва да го направим само за четене. За да направите това, щракнете Кликнете с десния бутонзадръжте мишката върху файла и изберете „Свойства“.
- Ще се отвори менюто със свойства за този файл. В долната част ще видите „Само за четене“. Поставете отметка в квадратчето.
- Сега щракнете върху бутона „Приложи“ и след това върху бутона „OK“.
Някои експерти по сигурността предлагат създаване на файлове C:\Windows\perfc.dat и C:\Windows\perfc.dll в допълнение към файла C:\windows\perfc за по-добра защита срещу вируса Petya. Можете да повторите стъпките по-горе за тези файлове.
Поздравления, вашият компютър е защитен от NotPetya / Petya!
Експертите на Symantec дават някои съвети на потребителите на компютри, за да ги предотвратят да правят неща, които могат да доведат до блокиране на файлове или загуба на пари.
- Не плащайте пари на измамници.Дори и да прехвърлите пари към ransomware, няма гаранция, че ще можете да възстановите достъпа до вашите файлове. А в случая с NotPetya / Petya това по същество е безсмислено, тъй като целта на шифратора е да унищожава данни, а не да получава пари.
- Уверете се, че редовно архивирате данните си.В този случай, дори компютърът ви да стане обект на ransomware атака, ще можете да възстановите всички изтрити файлове.
- Не отваряйте имейли със съмнителни адреси.Нападателите ще се опитат да ви подмамят да инсталирате зловреден софтуер или да се опитат да получат важни данни за атака. Не забравяйте да уведомите ИТ специалистите, ако вие или вашите служители получите подозрителни имейли или връзки.
- Използвайте надежден софтуер.Навременното обновяване на антивирусните програми играе важна роля в защитата на компютрите от инфекции. И, разбира се, трябва да използвате продуктите на реномирани компании в тази област.
- Използвайте механизми за сканиране и блокиране на спам съобщения.Входящите имейли трябва да се сканират за заплахи. Важно е всички видове съобщения, които съдържат връзки или типични ключови думифишинг.
- Уверете се, че всички програми са актуални.Редовното коригиране на уязвимости в софтуера е от съществено значение за предотвратяване на инфекции.
Да очакваме ли нови атаки?
Вирусът Petya се появи за първи път през март 2016 г. и експертите по сигурността веднага забелязаха поведението му. Нов вирус Petya се появи на компютри в Украйна и Русия в края на юни 2017 г. Но това едва ли ще свърши. Хакерските атаки с помощта на рансъмуер вируси, подобни на Petya и WannaCry, ще се повторят, каза Станислав Кузнецов, заместник-председател на борда на Сбербанк. В интервю за ТАСС той предупреди, че такива атаки със сигурност ще има, но е трудно да се предвиди предварително под каква форма и формат могат да се проявят.
Ако след всички минали кибератаки все още не сте предприели поне минималните стъпки, за да защитите компютъра си от вируса ransomware, тогава е време да го вземете сериозно.
Великобритания, САЩ и Австралия официално обвиниха Русия в разпространението на NotPetya
На 15 февруари 2018 г. Министерството на външните работи на Обединеното кралство излезе с официално изявление, в което обвинява Русия в организирането на кибератака с помощта на вируса за криптиране NotPetya.
Според британските власти тази атака е показала допълнително незачитане на суверенитета на Украйна и в резултат на тези безразсъдни действия е била нарушена работата на множество организации в цяла Европа, което е довело до загуби за милиони долари.
Министерството отбеляза, че заключението за участието на руското правителство и Кремъл в кибератаката е направено въз основа на заключението на Националния център за киберсигурност на Обединеното кралство (UK National Cyber Security Centre), което „почти напълно вярва, че руската армия стои зад атаката на NotPetya.“ Също така в изявлението се казва, че нейните съюзници няма да толерират злонамерена кибернетична дейност.
Според австралийския министър на правоприлагането и киберсигурността Ангъс Тейлър, въз основа на данни от австралийското разузнаване и консултации със САЩ и Обединеното кралство, австралийското правителство заключи, че подкрепяните от руското правителство нападатели са отговорни за инцидента. „Австралийското правителство осъжда поведението на Русия, което създава сериозни рискове за глобалната икономика, правителствените операции и услуги, бизнес дейността и безопасността и благосъстоянието на хората“, се казва в изявлението. Кремъл, който досега многократно отричаше участието на руските власти в хакерски атаки, нарече изявлението на британското външно министерство част от "русофобска кампания".
Паметник „Тук лежи компютърният вирус Петя, победен от хора на 27.06.2017 г.“
Паметник на компютърния вирус Петя беше инсталиран през декември 2017 г. близо до сградата на технопарка Сколково. Двуметров паметник, с надпис: „Тук лежи компютърният вирус Петя, победен от хората на 27.06.2017 г.“. направен под формата на ухапан твърд диск, е създаден с подкрепата на INVITRO, наред с други компании, засегнати от последствията от масивна кибератака. Робот на име Nu, който работи във Phystechpark и (MIT), дойде на церемонията, за да произнесе тържествена реч.
Атака срещу правителството на Севастопол
Специалисти от Главната дирекция за информатизация и комуникации на Севастопол успешно отблъснаха атаката на мрежовия криптиращ вирус Petya срещу сървърите на регионалното правителство. Това съобщи на 17 юли 2017 г. на оперативно заседание на правителството на Севастопол ръководителят на управлението по информатизация Денис Тимофеев.
Той заяви, че зловреден софтуер Petya не е имал ефект върху данните, съхранявани на компютрите в държавните институции в Севастопол.
Фокусът върху използването на безплатен софтуер е заложен в концепцията за информатизация на Севастопол, одобрена през 2015 г. В него се посочва, че при закупуване и разработване на основен софтуер, както и софтуер за информационни системи за автоматизация, е препоръчително да се анализира възможността за използване на безплатни продукти, които могат да намалят бюджетните разходи и да намалят зависимостта от доставчици и разработчици.
По-рано, в края на юни, като част от мащабна атака срещу медицинската компания Invitro, клон на нейния филиал, разположен в Севастопол, също беше повреден. Поради вируса компютърна мрежафилиалът временно преустанови издаването на резултатите от изследванията до отстраняване на причините.
Invitro обяви спирането на вземането на тестове поради кибератака
Медицинската компания Invitro спря вземането на биоматериал и издаването на резултати от тестове на пациенти поради хакерска атака на 27 юни. Това съобщи пред RBC директорът по корпоративни комуникации на компанията Антон Буланов.
Както се казва в съобщението на компанията, в близко бъдеще "Invitro" ще премине към нормална работа. Резултатите от изследванията, проведени след това време, ще бъдат доставени на пациентите след отстраняване на техническата повреда. В момента лабораторията Информационна системавъзстановена, в процес на настройка е. „Съжаляваме за настоящата форсмажорна ситуация и благодарим на нашите клиенти за тяхното разбиране“, заключава Invitro.
Според тези данни нападението компютърен вируспремина клиники в Русия, Беларус и Казахстан.
Атака срещу Газпром и други нефтени и газови компании
На 29 юни 2017 г. стана известно за глобална кибератака срещу компютърните системи на Газпром. Така че още един Руска компаниястрада от вируса Petya ransomware.
Според информационна агенцияРойтерс, позовавайки се на руски правителствен източник и лице, участвало в разследването на инцидента, Газпром е пострадал от разпространението на зловреден софтуер Petya, който атакува компютри в общо над 60 страни по света.
Събеседниците на изданието не съобщават подробности за това колко и кои системи са били заразени в Газпром, както и размера на щетите, нанесени от хакери. Компанията отказа коментар по искане на Ройтерс.
Междувременно високопоставен източник на РБК в "Газпром" каза на изданието, че компютрите в централния офис на компанията са работили без прекъсване, когато е започнала мащабна хакерска атака (27 юни 2017 г.) и е продължила два дни по-късно. Още два източника на РБК в Газпром също увериха, че в компанията „всичко е спокойно“ и няма вируси.
В нефтения и газовия сектор Башнефт и Роснефт пострадаха от вируса Petya. Последният обяви на 28 юни, че компанията работи нормално и "определени проблеми" се решават своевременно.
Банки и индустрия
Стана известно за заразяването на компютри в Evraz, руския клон на Royal Canin (произвежда униформи за животни) и руския клон на Mondelez (производител на Alpen Gold и шоколад Milka).
Според Министерството на вътрешните работи на Украйна мъжът е публикувал видео в платформи за споделяне на файлове и социални мрежи, в което подробно се описва процесът на стартиране на рансъмуер на компютри. В коментарите към видеото мъжът публикува линк към страницата си в социална мрежана който е зареден зловреден софтуер. При обиски в апартамента на „хакера“ служителите на реда иззеха компютърно оборудване, използвани за разпространение на NotPetya. Полицията откри и файлове със зловреден софтуер, след анализ на който се потвърди сходството му с рансъмуера NotPetya. Както установиха киберполицаите, рансъмуерът, линк към който беше публикуван от жителя на Никопол, е бил изтеглен от потребителите на социалната мрежа 400 пъти.
Сред тези, които са изтеглили NotPetya, служителите на реда идентифицираха компании, които умишлено са заразили системите си с ransomware, за да скрият престъпна дейност и да избегнат плащането на глоби към държавата. Струва си да се отбележи, че полицията не свързва дейността на мъжа с хакерските атаки на 27 юни тази година, тоест няма въпрос за участието му в авторите на NotPetya. Вменените му деяния се отнасят само за действията, извършени през юли тази година - след вълна от мащабни кибератаки.
Срещу мъжа е образувано наказателно дело по ч. 1 на чл. 361 (неразрешена намеса в работата на компютри) от Наказателния кодекс на Украйна. Никополчанина го грозят до 3 години затвор.
Разпространение в света
Разпространението на вируса Petya ransomware е регистрирано в Испания, Германия, Литва, Китай и Индия. Например, поради зловреден софтуер в Индия, технологията за управление на трафика на контейнерното пристанище Jawaharlal Nehru, управлявано от A.P. Moller-Maersk, са престанали да признават принадлежността на стоките.
За кибератаката съобщиха британската рекламна група WPP, испанският офис на една от най-големите юридически фирми в света DLA Piper и хранителният гигант Mondelez. Френският производител на строителни материали Cie. de Saint-Gobain и фармацевтичната компания Merck & Co.
Мерк
Американският фармацевтичен гигант Merck, засегнат тежко от атаката с рансъмуер NotPetya през юни, все още не може да възстанови всички системи и да се върне към нормална работа. Това се съобщава в доклада на компанията във формуляр 8-K, представен на Комисията за ценни книжа и борси на САЩ (SEC) в края на юли 2017 г. Прочетете още.
Moller-Maersk и Роснефт
На 3 юли 2017 г. стана известно, че датският корабен гигант Moller-Maersk и Rosneft възстановиха ИТ системите, заразени с вируса Petya ransomware, едва почти седмица след атаката от 27 юни.
Транспортната компания Maersk, която представлява един на всеки седем транспортни контейнера, изпратени в световен мащаб, също добави, че всички 1500 приложения, засегнати от кибератаката, ще се върнат към нормална работа най-късно до 9 юли 2017 г.
ИТ системите на собствеността на Maersk APM Terminals, която управлява десетки товарни пристанища и контейнерни терминали в повече от 40 държави, бяха най-вече засегнати. Над 100 хиляди товарни контейнера на ден преминават през пристанищата на APM Terminals, чиято работа беше напълно парализирана поради разпространението на вируса. Терминалът Maasvlakte II в Ротердам възстанови доставките на 3 юли.
16 август 2017 г. A.P. Moller-Maersk назова приблизителния размер на щетите от кибератака с помощта на вируса Petya, чиято инфекция, както отбелязва европейската компания, е преминала през украинската програма. Според предварителните изчисления на Maersk, финансовите загуби от рансъмуера Petya през второто тримесечие на 2017 г. възлизат на между 200 и 300 милиона долара.
Междувременно на Роснефт също отне почти седмица, за да възстанови компютърните си системи от хакерска атака, за което съобщиха на 3 юли от пресслужбата на компанията, казаха на Интерфакс:
Няколко дни по-рано Роснефт подчерта, че все още не се заема с оценка на последствията от кибератака, но производството не е засегнато.
Как работи Петя?
Наистина, жертвите на вируси не могат да отключат файловете си, след като бъдат заразени. Факт е, че създателите му изобщо не са предвидили такава възможност. Тоест криптиран диск априори не може да бъде дешифриран. Идентификационният номер на зловреден софтуер не съдържа необходимата информация за декриптиране.
Първоначално експертите класифицираха вируса, който засегна около две хиляди компютъра в Русия, Украйна, Полша, Италия, Германия, Франция и други страни, към вече добре познатото семейство Petya ransomware. Оказа се обаче, че говорим за ново семейство зловреден софтуер. Kaspersky Lab нарече новия шифратор ExPetr.
Как да се бием
Борбата с киберзаплахите изисква обединени усилия на банките, IT бизнеса и държавата
Метод за възстановяване на данни от Positive Technologies
На 7 юли 2017 г. експертът на Positive Technologies Дмитрий Скляров представи метод за възстановяване на данни, криптирани от вируса NotPetya. Според експерта методът е приложим, ако вирусът NotPetya е имал административни привилегии и е шифровал целия диск.
Възможността за възстановяване на данни се дължи на грешки в изпълнението на алгоритъма за криптиране Salsa20, направени от самите нападатели. Ефективността на метода е тествана както на тестов носител, така и на един от криптираните твърди дискове на голяма компания, която беше сред жертвите на епидемията.
Компаниите и независимите разработчици, специализирани във възстановяването на данни, могат свободно да използват и автоматизират представения скрипт за дешифриране.
Резултатите от разследването вече са потвърдени от украинската киберполиция. Изводите от разследването "Юскутум" ще използва като основно доказателство в бъдещия процес срещу Интелект-Сервиз.
Процесът ще има граждански характер. Правоохранителните органи на Украйна провеждат независимо разследване. Техни представители по-рано обявиха възможността да бъдат образувани дела срещу служители на "Интелект-Сервиз".
От самата фирма M.E.Doc заявиха, че случващото се е опит за овладяване на фирмата от нападатели. Производителят на единствения популярен украински счетоводен софтуер смята, че обискът на компанията от украинската киберполиция е част от изпълнението на този план.
Първоначален вектор на инфекция с енкодер Petya
На 17 май беше пусната актуализация на M.E.Doc, която не съдържа злонамерен модул за заден ход. Вероятно това може да обясни сравнително малкия брой инфекции на XData, смята компанията. Нападателите не очакваха пускането на актуализацията на 17 май и стартираха шифратора на 18 май, когато повечето потребители вече бяха инсталирали защитената актуализация.
Бекдорът позволява друг зловреден софтуер да бъде изтеглен и изпълнен в заразената система - така е извършено първоначалното заразяване с енкодерите Petya и XData. Освен това програмата събира настройки за прокси сървър и електронна поща, включително потребителски имена и пароли от приложението M.E.Doc, както и фирмени кодове според EDRPOU (Единен държавен регистър на предприятията и организациите на Украйна), което позволява идентифицирането жертви.
„Имаме редица въпроси, на които трябва да отговорим“, каза Антон Черепанов, старши вирусен анализатор в Eset. - Колко време се използва задната врата? Какви команди и зловреден софтуер освен Petya и XData са изпратени през този канал? Кои други инфраструктури са били компрометирани, но все още не са използвани от кибергрупата зад тази атака?“
Въз основа на набор от признаци, включително инфраструктура, злонамерени инструменти, схеми и цели за атака, експертите на Eset установиха връзка между епидемията Diskcoder.C (Petya) и кибергрупата Telebots. Все още не е възможно надеждно да се установи кой стои зад дейността на тази група.
Преди няколко месеца ние и други специалисти по ИТ сигурност открихме нов злонамерен софтуер - Петя (Win32.Trojan-Ransom.Petya.A). В класическия смисъл това не беше ransomware, вирусът просто блокира достъпа до определени типове файлове и поиска откуп. Вирус модифициран зареждащ записна твърдия диск, принудително рестартира компютъра и показа съобщение, в което се посочва, че „данните са криптирани - насочете парите си за декриптиране“. Като цяло, стандартната схема на ransomware вируси, с изключение на това, че файловете всъщност НЕ бяха криптирани. Повечето популярни антивируси започнаха да идентифицират и премахват Win32.Trojan-Ransom.Petya.A в рамките на няколко седмици след пускането му. Освен това има инструкции за ръчно премахване. Защо смятаме, че Petya не е класически ransomware? Този вирус прави промени в главния запис за стартиране и предотвратява зареждането на операционната система, а също така криптира основната файлова таблица (главна файлова таблица). Той не криптира самите файлове.
Преди няколко седмици обаче се появи по-сложен вирус. миша, явно написани от същите измамници. Този вирус ШИФРОВА файлове и изисква да платите $500 - $875 за декриптиране (в различни версии 1,5 - 1,8 биткойни). Инструкциите за "декриптиране" и заплащането за това се съхраняват във файловете YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.
Вирус Mischa - съдържание на файла YOUR_FILES_ARE_ENCRYPTED.HTML
Сега всъщност хакерите заразяват компютрите на потребителите с два зловреден софтуер: Petya и Mischa. Първият се нуждае от администраторски права в системата. Тоест, ако потребител откаже да даде на Petya администраторски права или премахне този зловреден софтуер ръчно, Mischa се намесва. Този вирус не се нуждае от администраторски права, той е класически ransomware и наистина криптира файлове, използвайки силния AES алгоритъм, без да прави никакви промени в главния запис за зареждане и файловата таблица на твърдия диск на жертвата.
Злонамереният софтуер на Mischa криптира не само стандартните типове файлове (видео, снимки, презентации, документи), но и .exe файлове. Вирусът не засяга само директориите \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.
Заразяването става предимно чрез електронна поща, където пристига писмо с прикачен файл - инсталатор на вируси. Може да бъде криптиран като писмо от данъчната служба, от вашия счетоводител, като приложени касови бележки и разписки за покупка и др. Обърнете внимание на файловите разширения в такива писма - ако това е изпълним файл (.exe), тогава с голяма вероятност може да е контейнер с вируса Petya\Mischa. И ако модификацията на зловреден софтуер е прясна, вашата антивирусна програма може да не реагира.
Актуализация 30.06.2017 г.: 27 юни, модифицирана версия на вируса Petya (Петя.А)масово атакува потребители в Украйна. Ефектът от тази атака е огромен и икономическите щети все още не са изчислени. За един ден беше парализирана работата на десетки банки, търговски вериги, държавни институции и предприятия от различни форми на собственост. Вирусът се разпространява предимно чрез уязвимост в украинската счетоводна система MeDoc с най-новото автоматична актуализациятози софтуер. Освен това вирусът е засегнал и страни като Русия, Испания, Великобритания, Франция, Литва.
Премахнете вируса Petya и Mischa с автоматична програма за почистване
Единствено и само ефективен методработа със злонамерен софтуер като цяло и в частност с ransomware. Използването на доказан комплекс за сигурност гарантира пълното откриване на всякакви вирусни компоненти, техните пълно премахванес едно кликване. Моля, имайте предвид, че има две различни процеси: деинсталирайте инфекцията и възстановете файловете на вашия компютър. Заплахата обаче със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с нейна помощ.
- . След като стартирате софтуера, щракнете върху бутона Стартирайте компютърното сканиране(Започни сканиране).
- Инсталираният софтуер ще предостави отчет за заплахи, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Коригиране на заплахи(Премахни заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.
Възстановете достъпа до криптирани файлове
Както беше отбелязано, рансъмуерът Mischa заключва файлове със силен алгоритъм за криптиране, така че криптираните данни да не могат да бъдат възстановени с махване на магическа пръчка - освен ако не вземете предвид плащането на нечуван откуп (понякога до 1000 долара). Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.
Програма за автоматично възстановяване на файлове (дешифратор)
Известно е едно много необичайно обстоятелство. Тази инфекция изтрива оригиналните файлове в некриптирана форма. По този начин изнудващият процес на криптиране е насочен към техни копия. Това дава възможност за такива софтуерни инструментикак да възстановите изтрити обекти, дори ако надеждността на премахването им е гарантирана. Силно се препоръчва да се прибегне до процедурата за възстановяване на файлове, нейната ефективност е извън съмнение.
Обемни сенчести копия
Подходът се основава на процедурата на Windows Резервно копиефайлове, което се повтаря във всяка точка за възстановяване. Важно условиеработа този метод: Възстановяването на системата трябва да се активира преди заразяването. Въпреки това, всички промени, направени във файла след точката за възстановяване, няма да бъдат отразени във възстановената версия на файла.
Архивиране
Това е най-добрият сред всички методи без изкупуване. Ако процедурата за архивиране на данни на външен сървъре бил използван преди ransomware да атакува вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, изберете необходими файловеи стартирайте механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че рансъмуерът е напълно премахнат.
Проверете за възможни остатъчни компоненти на рансъмуер Petya и Mischa
Почистване в ръчно управлениее изпълнен с липсващи части от ransomware, които могат да избегнат премахването под формата на скрити обекти операционна системаили записи в регистъра. За да елиминирате риска от частично запазване на отделни злонамерени елементи, сканирайте компютъра си с надежден защитен софтуерен пакет, който е специализиран в злонамерен софтуер.
Какво е Petya.A?
Това е "рансъмуер вирус", който криптира данни на компютър и изисква $300 за ключ, за да го дешифрира. Той започна да заразява украински компютри около обяд на 27 юни, след което се разпространи в други страни: Русия, Великобритания, Франция, Испания, Литва и др. Уебсайтът на Microsoft вече има вирусТо има ниво на "сериозна" заплаха.
Инфекцията възниква поради същата уязвимост в Microsoft Windows, какъвто е случаят с WannaCry вирус, който удари хиляди компютри по света през май и причини щети на компаниите за около 1 милиард долара.
Вечерта киберполицията съобщи, че вирусна атака означава електронно отчитанеи документооборот. Според служителите на реда в 10:30 ч. е пусната поредната актуализация на M.E.Doc, с помощта на която на компютрите е изтеглен зловреден софтуер.
Петя се разпространява с помощта на електронна поща, представяйки програмата като автобиография на служител. Ако човек се опита да отвори автобиография, вирусът поиска администраторски права. Ако потребителят се съгласи, компютърът се рестартира, след това твърдият диск се криптира и се появява прозорец с искане за „откуп“.
ВИДЕО
Процесът на заразяване с вируса Petya. Видео: G DATA Software AG / YouTube
В същото време самият вирус Petya имаше уязвимост: беше възможно да се получи ключ за декриптиране на данни, използвайки специална програма. Този метод беше описан през април 2016 г. от редактора на Geektimes Максим Агаджанов.
Някои потребители обаче избират да платят „откуп“. Според един от добре познатите биткойн портфейли, създателите на вируса са получили 3,64 биткойна, което съответства на приблизително 9100 долара.
Кой е засегнат от вируса?
В Украйна жертвите на Петя.А бяха предимно корпоративни клиенти: държавни агенции, банки, медии, енергийни компании и други организации.
Между другото, компаниите Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Канал 24, както и летище Бориспол, Кабинет на министрите на Украйна, Държавна фискална служба и други.
Атаката се разпространи и в регионите. Например, nа в атомната електроцентрала в Чернобил поради кибератака електронното управление на документи спря да работи и станцията премина на ръчен мониторинг на нивата на радиация. В Харков работата на голям супермаркет Rost се оказа блокирана, а на летището регистрацията за полети беше прехвърлена на ръчен режим.
Заради вируса Petya.A спряха работа касите в супермаркет Рост. Снимка: X...evy Kharkov / "ВКонтакте"
Според изданието в Русия са ударени Роснефт, Башнефт, Марс, Нивеа и др.
Как да се предпазите от Petya.A?
Инструкции как да се предпазите от Petya.A бяха публикувани от Службата за сигурност на Украйна и Киберполицията.
Киберполицията съветва потребителите да инсталират актуализации на Windowsот официалния уебсайт на Microsoft, актуализирайте или инсталирайте антивирусна програма, не изтегляйте подозрителни файлове от имейлии незабавно изключете компютъра от мрежата, ако се забележат аномалии.
SBU подчерта, че в случай на подозрение компютърът не може да бъде рестартиран, тъй като файловете са криптирани по време на рестартирането. Специалната служба препоръча на украинците да запазят ценни файлове на отделен носител и да направят архивиранеоперационна система.
Експерт по киберсигурност Влад Стиран написавъв Facebook, че разпространението на вируса в локална мрежаможе да бъде спрян чрез блокиране на TCP портове 1024-1035, 135, 139 и 445 в Windows.Има онлайн инструкции как да направите това.
Американската компания Symantec