ویروس جدید پتیا (Petya) خود را به عنوان رزومه ای برای افسران پرسنل پنهان می کند. ویروس پتیا: هر آنچه باید در مورد این ویروس بدانید

این نتیجه گیری نتیجه مطالعه همزمان دو شرکت - Comae Technologies و Kaspersky Lab بود.

بدافزار اصلی Petya که در سال 2016 کشف شد، یک ماشین پولساز بود. این نمونه قطعا برای کسب درآمد نیست. این تهدید به گونه ای طراحی شده است که به سرعت گسترش یابد و باعث آسیب شود و خود را به عنوان یک باج افزار پنهان کند.

NotPetya یک پاک کننده دیسک نیست. این تهدید داده ها را حذف نمی کند، بلکه با قفل کردن فایل ها و دور انداختن کلیدهای رمزگشایی، آنها را غیرقابل استفاده می کند.

Juan Andre Guerrero-Saade، محقق ارشد آزمایشگاه کسپرسکی، در مورد این وضعیت اظهار نظر کرد:

در کتاب من، عفونت باج افزار بدون مکانیزم رمزگشایی احتمالی معادل پاک کردن دیسک است. مهاجمان با نادیده گرفتن یک مکانیسم رمزگشایی قابل اجرا، بی توجهی کامل به سود بلندمدت پولی نشان داده اند.

نویسنده باج افزار اصلی Petya در توییتی اعلام کرد که هیچ ارتباطی با توسعه NotPetya ندارد. او در حال حاضر به دومین مجرم سایبری تبدیل شده است که دست داشتن در ایجاد یک تهدید مشابه جدید را انکار می کند. پیش از این، نویسنده باج افزار AES-NI اعلام کرده بود که هیچ ارتباطی با XData که در حملات هدفمند به اوکراین نیز استفاده می شد، ندارد. علاوه بر این، XData، مانند NotPetya، از یک بردار توزیع یکسان استفاده کرد - سرورهای به روز رسانی از یک سازنده اوکراینی نرم افزاربرای حسابداری

بسیاری از نشانه‌های غیرمرتبه از این نظریه حمایت می‌کنند که شخصی در حال هک کردن باج‌افزار شناخته‌شده و استفاده از نسخه‌های اصلاح‌شده برای حمله به کاربران اوکراینی است.

آیا ماژول‌های مخربی که به عنوان باج‌افزار پنهان می‌شوند، یک عمل رایج هستند؟

موارد مشابه قبلاً نیز رخ داده است. استفاده از ماژول‌های مخرب برای آسیب‌دیدگی دائمی فایل‌ها تحت پوشش باج‌افزارهای معمولی، تاکتیک جدیدی نیست. AT دنیای مدرندر حال حاضر به یک روند تبدیل شده است.

سال گذشته، خانواده‌های بدافزار Shamoon و KillDisk شامل «مولفه‌های باج‌افزار» بودند و از تکنیک‌های مشابهی برای از بین بردن داده‌ها استفاده کردند. اکنون حتی بدافزارهای صنعتی نیز ویژگی های پاکسازی دیسک را دریافت می کنند.

طبقه بندی NotPetya به عنوان یک ابزار تخریب داده می تواند به راحتی بدافزار را به یک سلاح سایبری تبدیل کند. در این مورد، تحلیل پیامدهای تهدید باید از منظری متفاوت مورد توجه قرار گیرد.

با توجه به نقطه شروع آلودگی و تعداد قربانیان، مشخص می شود که اوکراین هدف حمله هکری بوده است. در حال حاضر، هیچ مدرک روشنی وجود ندارد که انگشت اتهام را به سمت مهاجم نشانه رفته باشد، اما مقامات اوکراینی قبلا روسیه را مقصر می‌دانند که از سال 2014 نیز این کشور را مسئول حوادث سایبری گذشته می‌دانند.

NotPetya می‌تواند با خانواده‌های معروف بدافزارهای Stuxnet و BlackEnergy که برای اهداف سیاسی و اثرات مخرب استفاده شده‌اند، برابری کند. شواهد به وضوح نشان می دهد که NotPetya یک سلاح سایبری است و نه فقط یک نوع باج افزار بسیار تهاجمی.

بعد از ظهر خوبی داشته باشید دوستان. اخیراً ما ویروس را تجزیه و تحلیل کردیم باج افزار WannaCry، که در عرض چند ساعت به بسیاری از کشورهای جهان سرایت کرد و بسیاری از رایانه ها را آلوده کرد. و در پایان ژوئن یک مورد جدید وجود داشت ویروس مشابه"پتیا". یا همانطور که اغلب به آن "پتیا" می گویند.

این ویروس‌ها متعلق به تروجان‌های باج‌افزار هستند و کاملاً مشابه هستند، اگرچه تفاوت‌هایی نیز دارند، علاوه بر این، تفاوت‌های قابل توجهی نیز دارند. طبق اطلاعات رسمی، "پتیا" ابتدا تعداد قابل توجهی از رایانه ها را در اوکراین آلوده کرد و سپس سفر خود را در سراسر جهان آغاز کرد.

رایانه های اسرائیل، صربستان، رومانی، ایتالیا، مجارستان، لهستان و غیره تحت تأثیر قرار گرفتند و روسیه در رتبه چهاردهم این فهرست قرار دارد. سپس، ویروس به سایر قاره ها سرایت کرد.

اساساً قربانیان ویروس شرکت های بزرگ (اغلب شرکت های نفتی)، فرودگاه ها، شرکت ها بودند ارتباط سلولیو غیره، به عنوان مثال، باشنفت، روس نفت، مارس، نستله و دیگران آسیب دیدند. به عبارت دیگر، هدف مهاجمان شرکت های بزرگی هستند که می توانید از آنها پول بگیرید.

"پتیا" چیست؟

Petya یک بدافزار است که یک باج افزار تروجان است. چنین آفاتی برای باج‌گیری از صاحبان رایانه‌های آلوده با رمزگذاری اطلاعات موجود در رایانه شخصی ایجاد شده‌اند. ویروس Petya، برخلاف WannaCry، رمزگذاری نمی‌کند فایل های فردی. این تروجان کل دیسک را به طور کامل رمزگذاری می کند. این خطر بزرگتر از ویروس WannaCry است.

وقتی Petya وارد رایانه می شود، جدول MFT را خیلی سریع رمزگذاری می کند. برای روشن تر شدن موضوع، از یک قیاس استفاده می کنیم. اگر فایل ها را با یک کتابخانه بزرگ شهری مقایسه کنید، کاتالوگ آن را حذف می کند و در این مورد پیدا کردن کتاب مناسب بسیار دشوار است.

حتی، نه فقط یک کاتالوگ، بلکه به نوعی صفحات (فایل ها) از کتاب های مختلف را مخلوط می کند. البته سیستم در این مورد از کار می افتد. درک سیستم در چنین آشغالی بسیار دشوار است. به محض ورود آفت به کامپیوتر، کامپیوتر را مجددا راه اندازی می کند و پس از بارگذاری، یک جمجمه قرمز ظاهر می شود. سپس، وقتی روی هر دکمه ای کلیک می کنید، بنری با پیشنهاد پرداخت 300 دلار به حساب بیت کوین ظاهر می شود.

ویروس پتیا چگونه نگیریم

چه کسی می تواند پتیا را ایجاد کند؟ هنوز پاسخی برای این سوال وجود ندارد. و در کل معلوم نیست نویسنده نصب میشه (به احتمال زیاد نه)؟ اما مشخص است که نشت از ایالات متحده انجام شده است. این ویروس مانند WannaCry به دنبال سوراخی در سیستم عامل است. برای پچ کردن این حفره کافی است آپدیت MS17-010 (که چند ماه پیش در حمله WannaCry منتشر شد) را نصب کنید. می توانید آن را از لینک دانلود کنید. یا از وب سایت رسمی مایکروسافت.

در حال حاضر، این به روز رسانی بهترین راه برای محافظت از رایانه شما است. همچنین، فراموش نکنید آنتی ویروس خوب. علاوه بر این، آزمایشگاه کسپرسکی اعلام کرد که آنها یک به روز رسانی پایگاه داده دارند که این ویروس را مسدود می کند.

اما این بدان معنا نیست که نصب Kaspersky ضروری است. از آنتی ویروس خود استفاده کنید، اما فراموش نکنید که پایگاه داده های آن را به روز کنید. همچنین یک فایروال خوب را فراموش نکنید.

نحوه انتشار ویروس پتیا


بیشتر اوقات ، پتیا از طریق رایانه وارد رایانه می شود پست الکترونیک. بنابراین، در دوران جوجه کشی ویروس پتیا، ارزش باز کردن پیوندهای مختلف با حروف، به خصوص در موارد ناآشنا را ندارد. به طور کلی، باز نکردن لینک از افراد غریبه را یک قانون کنید. بنابراین شما خود را نه تنها در برابر این ویروس، بلکه از بسیاری دیگر نیز محافظت می کنید.

سپس، یک بار روی رایانه، تروجان راه‌اندازی مجدد می‌شود و چکی را تقلید می‌کند. علاوه بر این، همانطور که قبلاً اشاره کردم، یک جمجمه قرمز روی صفحه ظاهر می شود، سپس یک بنری که پیشنهاد می دهد هزینه رمزگشایی فایل ها را با انتقال سیصد دلار به کیف پول بیت کوین پرداخت کنید.

من فوراً می گویم که در هر صورت نیازی به پرداخت نیست! شما هنوز آن را رمزگشایی نمی کنید، فقط پول خرج کنید و به سازندگان تروجان کمک کنید. این ویروس برای رمزگشایی طراحی نشده است.

ویروس پتیا چگونه از خود محافظت کنیم

بیایید نگاهی دقیق تر به محافظت در برابر ویروس پتیا بیندازیم:

  1. قبلاً به به روز رسانی سیستم اشاره کردم. این مهمترین نکته است. حتی اگر سیستم شما غیرقانونی است، باید آپدیت MS17-010 را دانلود و نصب کنید.
  2. AT تنظیمات ویندوز"نمایش پسوند فایل" را فعال کنید. به لطف این، می توانید پسوند فایل را ببینید و موارد مشکوک را حذف کنید. فایل ویروس دارای پسوند exe است.
  3. برگردیم به نامه ها. روی پیوندها یا پیوست‌های افرادی که نمی‌شناسید کلیک نکنید. و به طور کلی، در طول قرنطینه، لینک های موجود در نامه (حتی از افرادی که می شناسید) را دنبال نکنید.
  4. توصیه می شود کنترل حساب کاربری را فعال کنید.
  5. فایل های مهم را در آن کپی کنید رسانه قابل جابجایی. قابل کپی کردن در فضای ابری این شما را از بسیاری از مشکلات خلاص می کند. اگر Petya روی رایانه شخصی شما ظاهر شود، پس از فرمت کردن هارد دیسک، نصب یک سیستم عامل جدید کافی است.
  6. یک آنتی ویروس خوب نصب کنید. مطلوب است که آن نیز یک فایروال باشد. به طور معمول، چنین آنتی ویروس هایی دارای کتیبه Security در انتهای آن هستند. اگر داده های مهمی در رایانه خود دارید، نباید در آنتی ویروس ذخیره کنید.
  7. با نصب یک آنتی ویروس مناسب، فراموش نکنید که پایگاه داده های آن را به روز کنید.

نحوه حذف ویروس Petya

این یک سوال سخت است. اگر Petya روی رایانه شما کار کرده باشد، اساساً چیزی برای حذف وجود نخواهد داشت. در سیستم، تمام فایل ها پراکنده خواهند شد. به احتمال زیاد، دیگر نمی توانید آنها را سازماندهی کنید. شما مجبور نیستید به دزدها پول بدهید. فرمت کردن دیسک و نصب مجدد سیستم باقی مانده است. پس از قالب بندی و نصب مجدد سیستم، ویروس ناپدید می شود.

همچنین، می خواهم اضافه کنم - این آفت تهدیدی برای سیستم ویندوز است. اگر سیستم دیگری دارید، مثلاً سیستم Rosa روسی، نباید از این ویروس باج افزار بترسید. همین امر در مورد دارندگان تلفن نیز صدق می کند. اکثر آنها دارند سیستم اندروید، iOS و غیره بنابراین، صاحبان سلول چیزی برای نگرانی ندارند.

همچنین اگر فردی ساده هستید و صاحب یک شرکت بزرگ نیستید، به احتمال زیاد مهاجمان به شما علاقه ای ندارند. آنها به شرکت های بزرگی نیاز دارند که 300 دلار برای آنها هیچ معنایی ندارد و واقعاً چه کسی می تواند این پول را به آنها بپردازد. اما این بدان معنا نیست که ویروس نمی تواند روی رایانه شما نفوذ کند. بهتر است مطمئن شوید!

با این حال، بیایید امیدوار باشیم که ویروس پتیا شما را دور بزند! مراقب اطلاعات خود در رایانه خود باشید. موفق باشید!

بریتانیا، ایالات متحده آمریکا و استرالیا رسما روسیه را به توزیع NotPetya متهم کردند

در 15 فوریه 2018، وزارت امور خارجه بریتانیا بیانیه ای رسمی صادر کرد و روسیه را به سازماندهی یک حمله سایبری با استفاده از ویروس رمزگذاری NotPetya متهم کرد.


به گفته مقامات انگلیسی، این حمله نشان دهنده بی توجهی بیشتر به حاکمیت اوکراین بود و در نتیجه این اقدامات بی پروا، کار بسیاری از سازمان ها در سراسر اروپا مختل شد که منجر به خسارات چند میلیون دلاری شد.


این وزارتخانه خاطرنشان کرد که نتیجه‌گیری درباره دخالت دولت روسیه و کرملین در حمله سایبری بر اساس نتیجه‌گیری مرکز امنیت سایبری ملی بریتانیا گرفته شده است که «تقریباً کاملاً مطمئن است که ارتش روسیه در پشت حمله NotPetya قرار دارد.» همچنین در این بیانیه آمده است که متحدانش فعالیت های سایبری مخرب را تحمل نخواهند کرد.

به گفته آنگوس تیلور، وزیر اجرای قانون و امنیت سایبری استرالیا، بر اساس داده‌های اطلاعاتی استرالیا و مشاوره با ایالات متحده و بریتانیا، دولت استرالیا به این نتیجه رسید که مهاجمان تحت حمایت دولت روسیه مسئول این حادثه هستند. در این بیانیه آمده است: «دولت استرالیا رفتار روسیه را که خطرات جدی برای اقتصاد جهانی، عملیات و خدمات دولتی، فعالیت های تجاری و ایمنی و رفاه افراد ایجاد می کند، محکوم می کند».

کرملین که پیش از این بارها هرگونه دخالت مقامات روسیه در حملات هکری را رد کرده است، بیانیه وزارت خارجه بریتانیا را بخشی از "کارزار روس هراسی" خواند.

بنای یادبود "اینجا ویروس کامپیوتری Petya نهفته است که توسط مردم در 2017/06/27 شکست خورده است"

بنای یادبود ویروس کامپیوتری Petya در دسامبر 2017 در نزدیکی ساختمان پارک فنی Skolkovo نصب شد. یک بنای تاریخی دو متری، با کتیبه: "اینجا ویروس کامپیوتری Petya نهفته است که در 2017/06/27 توسط مردم شکست خورد." ساخته شده در قالب یک هارد دیسک گاز گرفته شده، با پشتیبانی INVITRO، در میان سایر شرکت هایی که تحت تأثیر عواقب یک حمله سایبری گسترده قرار گرفته اند، ایجاد شده است. روباتی به نام نو که در Phystechpark و (MIT) کار می‌کند، برای ایراد سخنرانی رسمی به این مراسم آمد.

حمله به دولت سواستوپل

متخصصان اداره اصلی اطلاعات و ارتباطات سواستوپل با موفقیت حمله ویروس رمزگذاری شبکه Petya به سرورهای دولت منطقه را دفع کردند. این در 17 ژوئیه 2017 در جلسه عملیاتی دولت سواستوپل توسط رئیس بخش اطلاع رسانی دنیس تیموفیف اعلام شد.

وی اظهار داشت که بدافزار Petya هیچ تأثیری بر داده های ذخیره شده در رایانه های مؤسسات دولتی در سواستوپل ندارد.


تمرکز بر استفاده از نرم‌افزار رایگان در مفهوم اطلاع‌رسانی سواستوپل که در سال 2015 تصویب شد، تعبیه شده است. این بیان می کند که هنگام خرید و توسعه نرم افزار پایه و همچنین نرم افزار سیستم های اطلاعاتی برای اتوماسیون، توصیه می شود امکان استفاده از محصولات رایگان را که می تواند هزینه های بودجه را کاهش داده و وابستگی به تامین کنندگان و توسعه دهندگان را کاهش دهد، تجزیه و تحلیل کنید.

پیش از این، در پایان ماه ژوئن، به عنوان بخشی از حمله گسترده به شرکت پزشکی Invitro، شعبه ای از شعبه آن واقع در سواستوپل نیز آسیب دید. به دلیل ویروس شبکه کامپیوتریشعبه به طور موقت صدور نتایج آزمایش را تا رفع علل به حالت تعلیق درآورد.

Invitro از تعلیق انجام آزمایشات به دلیل حمله سایبری خبر داد

شرکت پزشکی Invitro جمع آوری مواد زیستی و صدور نتایج آزمایش بیمار را به دلیل حمله هکری در 27 ژوئن به حالت تعلیق درآورد. این را مدیر ارتباطات شرکتی آنتون بولانوف به RBC اعلام کرد.

همانطور که در پیام این شرکت آمده است، در آینده نزدیک "Invitro" به عملکرد عادی تغییر خواهد کرد. نتایج مطالعات انجام شده پس از این زمان پس از رفع نقص فنی به بیماران تحویل داده می شود. در حال حاضر آزمایشگاه سیستم اطلاعاتبازیابی شده، در مرحله راه اندازی است. Invitro در پایان گفت: "ما از وضعیت فورس ماژور فعلی متاسفیم و از مشتریان خود برای درک آنها تشکر می کنیم."

بر اساس این داده ها، حمله ویروس کامپیوتریتحت درمانگاه هایی در روسیه، بلاروس و قزاقستان قرار گرفتند.

حمله به گازپروم و دیگر شرکت های نفت و گاز

در 29 ژوئن 2017، در مورد یک حمله سایبری جهانی به سیستم های رایانه ای گازپروم شناخته شد. پس یکی دیگه شرکت روسیاز ویروس باج افزار Petya رنج می برد.

مطابق با آژانس اطلاعاترویترز به نقل از یک منبع دولتی روسیه و یک فرد درگیر در تحقیقات این حادثه، گازپروم از گسترش بدافزار Petya آسیب دید که در مجموع به رایانه‌های بیش از 60 کشور در سراسر جهان حمله کرد.

طرفین این نشریه جزئیاتی در مورد تعداد و سیستم هایی که در گازپروم آلوده شده اند و همچنین میزان خسارت وارده توسط هکرها ارائه نکردند. این شرکت به درخواست رویترز از اظهار نظر خودداری کرد.

در همین حال، یک منبع بلندپایه RBC در گازپروم به این نشریه گفت که رایانه‌های دفتر مرکزی این شرکت بدون وقفه کار می‌کردند که حمله هکری در مقیاس بزرگ آغاز شد (27 ژوئن 2017) و دو روز بعد ادامه یافت. دو منبع دیگر RBC در گازپروم همچنین اطمینان دادند که "همه چیز در شرکت آرام است" و هیچ ویروسی وجود ندارد.

در بخش نفت و گاز، باشنفت و روس نفت از ویروس پتیا رنج بردند. دومی در 28 ژوئن اعلام کرد که شرکت به طور عادی کار می کند و "مشکلات خاصی" به سرعت در حال حل شدن هستند.

بانک ها و صنعت

در مورد آلودگی کامپیوترها در Evraz، شعبه روسی رویال کنین (تولید لباس مخصوص حیوانات) و شعبه روسیه Mondelez (تولید کننده آلپن گلد و شکلات Milka) شناخته شد.

به گفته وزارت امور داخلی اوکراین، مردی ویدیویی با توصیف همراه با جزئیاتفرآیند راه اندازی باج افزار بر روی رایانه ها. در نظرات مربوط به این ویدیو، این مرد پیوندی به صفحه خود در آن منتشر کرد شبکه اجتماعیکه بدافزار روی آن بارگذاری شده است. در جریان بازرسی در آپارتمان "هکرها"، ماموران اجرای قانون کشف و ضبط کردند تجهیزات کامپیوتر، برای توزیع NotPetya استفاده می شود. پلیس همچنین فایل هایی با بدافزار پیدا کرد که پس از تجزیه و تحلیل شباهت آن به باج افزار NotPetya تایید شد. همانطور که ماموران پلیس سایبری مشخص کردند، این باج افزار که لینک آن توسط ساکن نیکوپل منتشر شده بود، 400 بار توسط کاربران این شبکه اجتماعی دانلود شد.

در میان کسانی که NotPetya را دانلود کردند، افسران مجری قانون شرکت‌هایی را شناسایی کردند که عمداً سیستم‌هایشان را با باج‌افزار آلوده کردند تا فعالیت‌های مجرمانه را پنهان کنند و از پرداخت جریمه‌ها به دولت فرار کنند. شایان ذکر است که پلیس فعالیت های این مرد را با حملات هکری در 27 ژوئن سال جاری مرتبط نمی کند، یعنی هیچ بحثی در مورد دخالت وی در نویسندگان NotPetya وجود ندارد. اعمالی که به او نسبت داده می شود فقط مربوط به اقدامات انجام شده در ژوئیه سال جاری - پس از موجی از حملات سایبری در مقیاس بزرگ - است.

یک پرونده جنایی بر اساس بخش 1 هنر علیه این مرد آغاز شد. 361 (مداخله غیرمجاز در عملکرد رایانه ها) قانون کیفری اوکراین. نیکوپولچانین با 3 سال زندان مواجه است.

توزیع در جهان

شیوع ویروس باج افزار Petya در اسپانیا، آلمان، لیتوانی، چین و هند ثبت شده است. به عنوان مثال، به دلیل یک بدافزار در هند، فناوری مدیریت ترافیک بندر کانتینری جواهر لعل نهرو، که توسط A.P. Moller-Maersk، تعلق کالا را به رسمیت نمی شناسد.

این حمله سایبری توسط گروه تبلیغاتی انگلیسی WPP، دفتر اسپانیایی یکی از بزرگترین شرکت های حقوقی جهان DLA Piper و غول مواد غذایی Mondelez گزارش شده است. سازنده فرانسوی مصالح ساختمانی Cie. de Saint-Gobain و شرکت داروسازی Merck & Co.

مرک

غول داروسازی آمریکایی مرک که به شدت تحت تاثیر حمله باج افزار ماه ژوئن NotPetya قرار گرفت، هنوز قادر به بازیابی همه سیستم ها و بازگشت به عملکرد عادی نیست. این در گزارش شرکت در فرم 8-K، ارائه شده به کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) در پایان جولای 2017 گزارش شده است. ادامه مطلب

Moller-Maersk و Rosneft

در 3 ژوئیه 2017، مشخص شد که غول کشتیرانی دانمارکی Moller-Maersk و Rosneft مبتلا شده اند. ویروس باج افزار Petyaسیستم های فناوری اطلاعات تنها یک هفته پس از حمله 27 ژوئن.


شرکت کشتیرانی مرسک که از هر هفت کانتینر حمل و نقل جهانی یک نفر را به خود اختصاص می دهد، همچنین اضافه کرد که تمام 1500 برنامه تحت تأثیر این حمله سایبری حداکثر تا 9 ژوئیه 2017 به حالت عادی باز خواهند گشت.

سیستم‌های فناوری اطلاعات پایانه‌های APM متعلق به مرسک، که ده‌ها بندر بار و پایانه‌های کانتینری را در بیش از 40 کشور اداره می‌کند، بیشتر تحت تأثیر قرار گرفتند. روزانه بیش از 100 هزار کانتینر بار از بنادر پایانه های APM عبور می کنند که کار آنها به دلیل شیوع ویروس کاملا فلج شده بود. ترمینال Maasvlakte II در روتردام در 3 ژوئیه منابع خود را بازسازی کرد.

16 آگوست 2017 A.P. Moller-Maersk میزان تقریبی آسیب ناشی از یک حمله سایبری با استفاده از ویروس Petya را نام برد که عفونت آن، همانطور که توسط شرکت اروپایی ذکر شده است، از طریق برنامه اوکراینی عبور کرده است. بر اساس محاسبات اولیه مرسک، خسارات مالی ناشی از باج افزار Petya در سه ماهه دوم سال 2017 بین 200 تا 300 میلیون دلار بوده است.

در همین حال، تقریبا یک هفته به بهبودی سیستم های کامپیوتریبه اینترفاکس گفته شد که روسنفت همچنین به یک حمله هکری نیاز داشت که در 3 جولای توسط سرویس مطبوعاتی این شرکت گزارش شد:


چند روز قبل، روسنفت تاکید کرد که هنوز متعهد به ارزیابی عواقب یک حمله سایبری نشده است، اما تولید آن تحت تاثیر قرار نگرفته است.

پتیا چگونه کار می کند؟

در واقع، قربانیان ویروس پس از آلوده شدن نمی توانند قفل فایل های خود را باز کنند. واقعیت این است که سازندگان آن اصلا چنین فرصتی را پیش بینی نکرده بودند. یعنی یک دیسک رمزگذاری شده پیشینی قابل رمزگشایی نیست. شناسه بدافزار فاقد اطلاعات مورد نیاز برای رمزگشایی است.

در ابتدا، کارشناسان این ویروس را که حدود دو هزار رایانه را در روسیه، اوکراین، لهستان، ایتالیا، آلمان، فرانسه و سایر کشورها تحت تأثیر قرار داده بود، به عنوان بخشی از خانواده باج افزار معروف Petya رتبه بندی کردند. با این حال، مشخص شد که ما در مورد خانواده جدیدی از بدافزارها صحبت می کنیم. "آزمایشگاه کسپرسکی" تعمید داده شد باج افزار جدید Expetr.

چگونه مبارزه کنیم

مبارزه با تهدیدات سایبری مستلزم تلاش های مشترک بانک ها، مشاغل فناوری اطلاعات و دولت است

روش بازیابی اطلاعات از Positive Technologies

در 7 جولای 2017، دیمیتری اسکلیاروف، متخصص فناوری های مثبت، روشی را برای بازیابی اطلاعات رمزگذاری شده توسط ویروس NotPetya ارائه کرد. به گفته این متخصص، این روش در صورتی قابل اجرا است که ویروس NotPetya دارای امتیازات مدیریتی باشد و کل دیسک را رمزگذاری کند.

توانایی بازیابی اطلاعات به دلیل خطاهایی در اجرای الگوریتم رمزگذاری Salsa20 است که توسط خود مهاجمان ایجاد شده است. کارایی روش هم بر روی یک محیط آزمایشی و هم بر روی یکی از روش های رمزگذاری شده آزمایش شد دیسکهای سختیک شرکت بزرگ که در میان قربانیان این بیماری همه گیر بود.

شرکت‌ها و توسعه‌دهندگان مستقل که در بازیابی اطلاعات تخصص دارند، می‌توانند از اسکریپت رمزگشایی ارائه شده استفاده و خودکارسازی کنند.

نتایج تحقیقات قبلاً توسط پلیس سایبری اوکراین تأیید شده است. نتایج تحقیقات "Juscutum" قرار است به عنوان شواهد کلیدی در روند آینده علیه Intellect-Service استفاده شود.

این روند ماهیت مدنی خواهد داشت. تحقیقات مستقل توسط سازمان های مجری قانون اوکراین در حال انجام است. پیش از این نیز نمایندگان آنها از احتمال شروع پرونده علیه کارکنان اینتلکت سرویس خبر داده بودند.

خود شرکت M.E.Doc اعلام کرد که آنچه در حال رخ دادن است تلاشی برای تصاحب شرکت توسط مهاجمان بوده است. سازنده تنها نرم افزار حسابداری محبوب اوکراینی معتقد است که جستجوی این شرکت توسط پلیس سایبری اوکراین بخشی از اجرای این طرح بوده است.

وکتور عفونت اولیه با رمزگذار Petya

در 17 می، یک به‌روزرسانی برای M.E.Doc منتشر شد که حاوی ماژول درپشتی مخرب نیست. این شرکت معتقد است احتمالاً این می تواند تعداد نسبتاً کمی از عفونت های XData را توضیح دهد. مهاجمان انتظار انتشار به‌روزرسانی را در 17 می نداشتند و رمزگذاری را در 18 می راه‌اندازی کردند، زمانی که اکثر کاربران قبلاً به‌روزرسانی امن را نصب کرده بودند.

درپشتی اجازه بارگذاری و اجرای بدافزارهای دیگر را در سیستم آلوده می دهد - به این ترتیب آلودگی اولیه با رمزگذارهای Petya و XData انجام شد. علاوه بر این، این برنامه تنظیمات پروکسی و ایمیل، از جمله لاگین ها و رمزهای عبور از برنامه M.E.Doc، و همچنین کدهای شرکت را مطابق با EDRPOU (ثبت نام واحد دولتی شرکت ها و سازمان های اوکراین) جمع آوری می کند که شناسایی قربانیان را امکان پذیر می کند. .

آنتون چریپانوف، تحلیلگر ارشد ویروس در Eset، گفت: ما باید به تعدادی سوال پاسخ دهیم. - چه مدت از درب پشتی استفاده می شود؟ چه دستورات و بدافزارهایی غیر از Petya و XData از طریق این کانال ارسال می شد؟ چه زیرساخت های دیگری به خطر افتاده است اما هنوز توسط گروه سایبری در پشت این حمله استفاده نشده است؟»

کارشناسان Eset بر اساس ترکیبی از علائم، از جمله زیرساخت، ابزارهای مخرب، طرح‌ها و اهداف حمله، پیوندی بین اپیدمی Diskcoder.C (Petya) و گروه سایبری Telebots ایجاد کرده‌اند. هنوز مشخص نشده است که چه کسی پشت فعالیت های این گروه است.

تعدادی از شرکت های روسی و اوکراینی مورد حمله ویروس رمزگذاری پتیا قرار گرفتند. نسخه آنلاین این سایت با کارشناسان آزمایشگاه کسپرسکی، آژانس تعاملی AGIMA صحبت کرد و متوجه شد که چگونه از رایانه های شرکتی در برابر ویروس محافظت می کند و چگونه Petya شبیه ویروس رمزگذاری WannaCry است.

ویروس "پتیا"

در روسیه، شرکت های Rosneft، Bashneft، Mars، Nivea و سازنده شکلات Alpen Gold Mondelez International. یک ویروس باج افزار در سیستم نظارت بر تشعشعات نیروگاه هسته ای چرنوبیل. علاوه بر این، این حمله بر رایانه های دولت اوکراین، بانک خصوصی و اپراتورهای مخابراتی تأثیر گذاشت. این ویروس رایانه ها را مسدود می کند و 300 دلار باج بیت کوین می خواهد.

سرویس مطبوعاتی Rosneft در یک میکروبلاگ در توییتر از حمله هکری به سرورهای این شرکت صحبت کرد. در این پیام آمده است: "یک حمله هکری قدرتمند به سرورهای این شرکت انجام شد. امیدواریم این موضوع هیچ ارتباطی با رویه های قضایی فعلی نداشته باشد. این شرکت در ارتباط با این حمله سایبری به سازمان های مجری قانون مراجعه کرد."

به گفته میخائیل لئونتیف، دبیر مطبوعاتی این شرکت، روسنفت و شرکت های تابعه آن طبق روال عادی فعالیت می کنند. پس از حمله، این شرکت به سیستم پشتیبانمدیریت فرآیندهای تولید، به طوری که استخراج و تهیه نفت متوقف نشود. سیستم بانک اعتباری خانگی نیز مورد حمله قرار گرفت.

"پتیا" بدون "میشا" آلوده نمی شود

مطابق با مدیر اجرایی AGIMA Evgeny Lobanovدر واقع، این حمله توسط دو ویروس باج افزار انجام شد: Petya و Misha.

"آنها با هم کار می کنند. "Petya" بدون "Misha" آلوده نمی شود. می تواند آلوده کند، اما حمله دیروز دو ویروس بود: اول Petya، سپس Misha. "Petya" دستگاه بوت (جایی که کامپیوتر از آنجا بوت می شود) را بازنویسی می کند. میشا - فایل ها را طبق الگوریتم خاصی رمزگذاری می کند،" این متخصص توضیح داد، "پتیا بخش بوت دیسک (MBR) را رمزگذاری می کند و آن را با خود جایگزین می کند، میشا قبلاً همه پرونده های روی دیسک را رمزگذاری می کند (نه همیشه).

وی خاطرنشان کرد که ویروس رمزگذاری WannaCry که در ماه می امسال به شرکت های بزرگ جهانی حمله کرد، مشابه Petya نیست، این یک نسخه جدید است.

"Petya.A از خانواده WannaCry (WannaCrypt) است، اما تفاوت اصلی این است که چرا ویروس یکسان نیست، این است که MBR با بخش بوت خودش جایگزین شده است - این یک تازگی برای Ransomware است. ویروس Petya ظاهر شد. مدت ها پیش، در GitHab (یک سرویس آنلاین برای پروژه های فناوری اطلاعات و برنامه نویسی مشترک - سایت) https://github.com/leo-stone/hack-petya" target="_blank"> یک رمزگشا برای این رمزگذار وجود داشت، اما هیچ رمزگشا برای اصلاح جدید مناسب نیست.

یوگنی لوبانوف تاکید کرد که حمله شدیدتر از روسیه به اوکراین ضربه زد.

ما نسبت به سایر کشورهای غربی مستعد حملات هستیم. ما در برابر این نسخه از ویروس در امان خواهیم بود، اما از تغییرات آن محافظت خواهیم کرد. اینترنت ما ناامن است، در اوکراین حتی کمتر. اساساً ما مورد حمله قرار گرفتیم. شرکت های حمل و نقل، بانک ها، اپراتورهای تلفن همراه(Vodafone، Kyivstar) و شرکت های پزشکی، همان پمپ بنزین های Pharmmag، Shell - همه شرکت های بسیار بزرگ بین قاره ای هستند.

مدیر اجرایی AGIMA خاطرنشان کرد: تاکنون هیچ واقعیتی وجود ندارد که نشان دهنده موقعیت جغرافیایی انتشار دهنده این ویروس باشد. به نظر وی، ظاهرا ویروس در روسیه ظاهر شده است. متاسفانه هیچ مدرک مستقیمی برای این موضوع وجود ندارد.

این فرضیه وجود دارد که اینها هکرهای ما هستند، زیرا اولین تغییر در روسیه ظاهر شد، و خود ویروس، که برای هیچ کس مخفی نیست، به نام پترو پوروشنکو نامگذاری شده است. این توسعه هکرهای روسی بود، اما گفتنش سخت است. این کارشناس توضیح داد که حتی در روسیه، به عنوان مثال در ایالات متحده به راحتی می توان رایانه ای با موقعیت جغرافیایی در دست گرفت.

"اگر به طور ناگهانی "عفونت" رایانه رخ داد - نمی توانید رایانه را خاموش کنید. اگر راه اندازی مجدد کنید، دیگر هرگز وارد سیستم نخواهید شد.

"اگر رایانه ای به طور ناگهانی "آلوده" شود، نمی توانید رایانه را خاموش کنید، زیرا ویروس Petya جایگزین MBR می شود - اولین بخش بوت که سیستم عامل از آن بارگیری می شود. اگر راه اندازی مجدد کنید، دیگر هرگز وارد سیستم نخواهید شد. مسیرهای زباله را قطع می کند، حتی اگر "تبلت" ظاهر شود، دیگر امکان بازگشت داده وجود نخواهد داشت. در مرحله بعد، باید فوراً اتصال خود را از اینترنت قطع کنید تا رایانه آنلاین نشود. یک پچ رسمی از مایکروسافت قبلاً ارائه شده است. لوبانوف توصیه کرد که 98 درصد ضمانت امنیتی ارائه می کند. - با این حال، اگر راه اندازی مجدد انجام دادید و شروع فرآیند "بررسی دیسک" را دیدید، در این لحظه باید فوراً رایانه را خاموش کنید و فایل ها رمزگذاری نشده باقی می مانند.

علاوه بر این، این متخصص همچنین توضیح داد که چرا کاربران مایکروسافت اغلب مورد حمله قرار می گیرند و نه MacOSX (سیستم عامل اپل - سایت) و سیستم های یونیکس.

"در اینجا درست تر است که نه تنها در مورد MacOSX، بلکه در مورد تمام سیستم های یونیکس صحبت کنیم (اصل یکسان است). ویروس فقط به رایانه ها سرایت می کند، بدون اینکه دستگاه های تلفن همراه. اتاق عمل تحت حمله سیستم ویندوزو فقط کاربرانی را تهدید می کند که عملکرد را غیرفعال کرده باشند به روز رسانی خودکارسیستم های. به‌روزرسانی‌ها به‌عنوان یک استثنا حتی برای صاحبان قدیمی در دسترس هستند نسخه های ویندوزکه دیگر به روز نمی شوند: XP، Windows 8 و ویندوز سرور 2003، این کارشناس گفت.

"MacOSX و Unix در سطح جهانی در معرض چنین ویروس‌هایی نیستند، زیرا بسیاری از شرکت‌های بزرگ از زیرساخت مایکروسافت استفاده می‌کنند. MacOSX تحت تأثیر قرار نمی‌گیرد، زیرا در سازمان‌های دولتی چندان رایج نیست. ویروس‌های کمتری در زیر آن وجود دارد، ساخت آنها سودی ندارد. این کارشناس در پایان گفت، زیرا بخش حمله کوچکتر از حمله به مایکروسافت خواهد بود.

تعداد کاربران مورد حمله به دو هزار نفر رسیده است.

سرویس مطبوعاتی آزمایشگاه کسپرسکی، که کارشناسان آن به بررسی آخرین موج آلودگی ها ادامه می دهند، گفتند که "این باج افزار متعلق به خانواده باج افزار معروف Petya نیست، اگرچه چندین خط کد را با آن به اشتراک می گذارد."

آزمایشگاه مطمئن است که در این مورد ما در مورد خانواده جدیدی از نرم افزارهای مخرب با عملکردی صحبت می کنیم که تفاوت قابل توجهی با Petya دارد. آزمایشگاه کسپرسکی یک رمزگذار جدید را ExPetr نامگذاری کرد.

بر اساس اطلاعات آزمایشگاه کسپرسکی، تعداد کاربران مورد حمله به دو هزار کاربر رسیده است. بیشتر موارد در روسیه و اوکراین ثبت شده است و موارد ابتلا نیز در لهستان، ایتالیا، بریتانیا، آلمان، فرانسه، ایالات متحده و آمریکا مشاهده شده است. در حال حاضر کارشناسان ما پیشنهاد می کنند که این بدافزار از چندین بردار حمله استفاده می کند. شبکه های شرکتیسرویس مطبوعاتی گفت: یک اکسپلویت اصلاح شده EternalBlue و یک اکسپلویت EternalRomance استفاده شد.

کارشناسان همچنین در حال بررسی امکان ایجاد یک ابزار رمزگشا برای رمزگشایی داده ها هستند. آزمایشگاه همچنین توصیه هایی برای همه سازمان ها برای جلوگیری از حمله ویروس در آینده ارائه کرد.

ما به سازمان‌ها توصیه می‌کنیم که به‌روزرسانی‌ها را برای سیستم عامل ویندوز نصب کنند. برای ویندوز XP و ویندوز 7، به‌روزرسانی امنیتی MS17-010 را نصب کنید و مطمئن شوید که یک سیستم کارآمد دارند. کپی رزرو کنیدداده ها. پشتیبان گیری به موقع و ایمن از داده ها امکان بازیابی را فراهم می کند فایل های اصلیکارشناسان آزمایشگاه کسپرسکی توصیه کردند، حتی اگر توسط بدافزار رمزگذاری شده باشند.

خود به مشتریان شرکتیآزمایشگاه همچنین توصیه می کند که مطمئن شوید که همه مکانیسم های حفاظتی فعال هستند، به ویژه اطمینان حاصل کنید که اتصال به زیرساخت ابری امنیت کسپرسکیشبکه، به عنوان یک اقدام اضافی، توصیه می شود از مولفه "Application Privilege Control" استفاده کنید تا همه گروه های برنامه را از دسترسی (و بر این اساس، اجرای) فایلی به نام "perfc.dat" و غیره منع کنید.

"اگر از محصولات Kaspersky Lab استفاده نمی کنید، توصیه می کنیم اجرای فایلی به نام perfc.dat را غیرفعال کنید و همچنین راه اندازی ابزار PSExec را از بسته Sysinternals با استفاده از عملکرد AppLocker که بخشی از سیستم عامل است مسدود کنید. سیستم عامل- سایت) ویندوز" - در آزمایشگاه توصیه می شود.

در 12 مه 2017، بسیاری از آنها یک رمزگذار داده در هارد دیسک های کامپیوتری هستند. او دستگاه را مسدود می کند و باج می خواهد.
این ویروس سازمان‌ها و بخش‌ها را در ده‌ها کشور در سراسر جهان تحت تأثیر قرار داد، از جمله روسیه، جایی که وزارت بهداشت، وزارت شرایط اضطراری، وزارت امور داخلی و سرورها مورد حمله قرار گرفتند. اپراتورهای تلفن همراهو چندین بانک بزرگ

انتشار ویروس به طور تصادفی و موقت متوقف شد: اگر هکرها فقط چند خط کد را تغییر دهند، بدافزار دوباره شروع به کار می کند. خسارت این برنامه یک میلیارد دلار برآورد شده است. پس از تجزیه و تحلیل پزشکی قانونی زبانی، کارشناسان دریافتند که WannaCry توسط افرادی از چین یا سنگاپور ساخته شده است.