هر آنچه که باید در مورد Petna، باج افزاری از خانواده Petya بدانید. پتیا، نه پتیا یا پتنا؟ هر آنچه که باید در مورد فایل ویروس همه گیر جدید پتیا بدانید

حمله این ویروس به رایانه های شرکت های دولتی و خصوصی اوکراین از ساعت 11:30 صبح آغاز شد. بانک های بزرگ، زنجیره های خرده فروشی، اپراتورها مورد حمله قرار گرفتند ارتباط سلولی، شرکت های دولتی، تاسیسات زیربنایی و صنایع خدماتی.

ویروس کل خاک اوکراین را در بر گرفت، تا ساعت 17:00 اطلاعاتی وجود داشت که حمله در غرب کشور، در Transcarpathia نیز ثبت شده است: در اینجا، در رابطه با ویروس، شعب OTR Bank و Ukrsotsbank بسته شدند. .

سایت Korrespondent.net، محبوب در اوکراین، و کانال تلویزیونی 24 کار نمی کنند. تعداد شرکت هایی که تحت تأثیر این حمله قرار می گیرند ساعت به ساعت در حال افزایش است. در حال حاضر، بسیاری از شعب بانک در اوکراین کار نمی کنند. به عنوان مثال، در دفاتر Ukrsotsbank، کامپیوترها به سادگی بوت نمی شوند. دریافت یا ارسال پول، پرداخت رسید و غیره غیرممکن است. در عین حال ، هیچ مشکلی در PrivatBank وجود ندارد ، "خبرنگار کیف RT گزارش می دهد.

این ویروس فقط کامپیوترهایی را که روی سیستم عامل کار می کنند آلوده می کند. سیستم ویندوز. جدول فایل اصلی هارد دیسک را رمزگذاری می کند و از کاربران برای رمزگشایی پول اخاذی می کند. در این مورد، شبیه به ویروس باج افزار WannaCry است که توسط بسیاری از شرکت ها در سراسر جهان مورد حمله قرار گرفته است. در همان زمان، نتایج بررسی رایانه های آلوده قبلاً ظاهر شده است و نشان می دهد که ویروس تمام یا بیشتر اطلاعات روی دیسک های آلوده را از بین می برد.

در حال حاضر، این ویروس به عنوان mbr locker 256 شناسایی شده است، اما نام دیگری، Petya، در رسانه ها گسترده شده است.

از کیف تا چرنوبیل

این ویروس همچنین به متروی کیف که در حال حاضر برای پرداخت با کارت‌های بانکی با مشکل مواجه است، برخورد کرده است.

بسیاری از تاسیسات زیرساختی مهم مانند اپراتور راه آهن دولتی Ukrzaliznytsia، فرودگاه Boryspil آسیب دیدند. با این حال، در حالی که آنها به طور عادی کار می کنند، سیستم ناوبری هوایی تحت تأثیر ویروس قرار نگرفته است، اگرچه Boryspil قبلاً هشداری در مورد تغییرات احتمالی در برنامه منتشر کرده است و هیئت ورودی در خود فرودگاه کار نمی کند.

در ارتباط با این حمله، دو تا از بزرگترین اپراتورهای پستی در کشور در کار خود با مشکلاتی روبرو هستند: شرکت دولتی Ukrposhta و خصوصی Novaya Pochta. دومی اعلام کرد که امروز هیچ هزینه ای برای ذخیره بسته ها وجود نخواهد داشت و Ukrposhta در تلاش است تا عواقب حمله را با کمک SBU به حداقل برساند.

به دلیل خطر ابتلا، وب سایت های سازمان هایی که تحت تأثیر ویروس قرار نگرفته اند نیز کار نمی کنند. به همین دلیل، برای مثال، سرورهای وب سایت اداره دولتی شهر کیف و همچنین وب سایت وزارت امور داخلی اوکراین غیرفعال شدند.

مقامات اوکراینی به طور قابل پیش بینی ادعا می کنند که حملات از روسیه انجام می شود. الکساندر تورچینوف، دبیر شورای امنیت ملی و دفاع اوکراین در این باره گفت. به نقل از وب‌سایت رسمی این وزارتخانه، «هم‌اکنون، پس از انجام آنالیز اولیه ویروس، می‌توان در مورد ردپای روسی صحبت کرد».

تا ساعت 5:30 بعد از ظهر، ویروس حتی به نیروگاه هسته ای چرنوبیل نیز رسیده بود. ولودیمیر ایلچوک، رئیس نیروگاه هسته ای چرنوبیل، این موضوع را به نشریه Ukrayinska Pravda اعلام کرد.

اطلاعات اولیه مبنی بر آلوده شدن برخی از رایانه ها به ویروس وجود دارد. بنابراین، به محض شروع این حمله هکری، دستور شخصی به کارکنان رایانه در مکان‌های پرسنل داده شد تا رایانه‌های خود را خاموش کنند.

حمله به شیرینی و نفت و گاز

چندین شرکت روسی نیز در روز سه‌شنبه 27 ژوئن هک شدند، از جمله غول‌های نفت و گاز Rosneft و Bashneft، شرکت متالورژی Evraz، Home Credit Bank که شعبه‌های آن فعالیت خود را به حالت تعلیق درآورده‌اند، و همچنین دفاتر نمایندگی روسیه Mars، Nivea، Mondelez. اینترنشنال، TESA و تعدادی دیگر از شرکت های خارجی.

• رویترز
• ماکسیم شمتوف

حدود ساعت 14:30 به وقت مسکو، روس نفت از حمله هکری قدرتمند به سرورهای این شرکت خبر داد. در همان زمان، میکروبلاگ این شرکت در توییتر اشاره می کند که این حمله می توانست به عواقب جدی منجر شود، اما به لطف انتقال به سیستم پشتیبانکنترل فرآیند، نه تولید و نه تصفیه روغن متوقف نشد.

پس از این حمله سایبری، وب سایت شرکت های روس نفت و باشنفت برای مدتی از دسترس خارج شد. روسنفت همچنین انتشار اطلاعات نادرست در مورد این حمله را غیرقابل قبول اعلام کرد.

پخش کنندگان پیام های وحشت نادرست به عنوان همدستان سازمان دهندگان حمله تلقی شده و به همراه آنها پاسخگو خواهند بود.

— Rosneft Oil Company PJSC (@RosneftRu) 27 ژوئن 2017

این شرکت گفت: "توزیع کنندگان پیام های وحشت نادرست به عنوان همدستان سازمان دهندگان حمله تلقی می شوند و به همراه آنها پاسخگو خواهند بود."

در عین حال، روس نفت خاطرنشان کرد که این شرکت در رابطه با حمله سایبری به سازمان های مجری قانون مراجعه کرده و ابراز امیدواری کرد که این حادثه هیچ ارتباطی با «روال های قضایی فعلی» نداشته باشد. روز سه‌شنبه، 27 ژوئن، دادگاه داوری باشکریا رسیدگی به اصل ادعای Rosneft، Bashneft و Bashkiria علیه AFK Sistema به مبلغ 170.6 میلیارد روبل را آغاز کرد.

WannaCry Jr.

در عین حال، حمله هکرها تأثیری روی کار نداشت سیستم های کامپیوتریدولت رئیس جمهور روسیه و وب سایت رسمی کرملین، که به گفته دمیتری پسکوف، دبیر مطبوعاتی رئیس جمهور تاس، "با ثبات کار می کند."

کنسرن Rosenergoatom خاطرنشان کرد که حمله هکرها بر عملکرد نیروگاه های هسته ای روسیه نیز تأثیری نداشته است.

شرکت دکتر وب در وب سایت خود اعلام کرد که، علیرغم شباهت، حمله فعلی با استفاده از ویروسی انجام شده است که با باج افزار شناخته شده Petya، به ویژه مکانیسم انتشار تهدید متفاوت است.

این شرکت اعلام کرد: در میان قربانیان این حمله سایبری شبکه های باشنفت، روس نفت، موندلز اینترنشنال، مارس، نیوآ، TESA و غیره بودند. در همان زمان، سرویس مطبوعاتی مریخ در روسیه اعلام کرد که حمله سایبری تنها برای برند رویال کانین، تولید کننده غذای حیوانات خانگی، و نه برای کل شرکت، سیستم‌های فناوری اطلاعات را با مشکل مواجه کرده است.

آخرین حمله هکری بزرگ به شرکت ها و مؤسسات دولتی روسی در 12 می به عنوان بخشی از عملیات گسترده توسط هکرهای ناشناس رخ داد که با استفاده از ویروس رمزگذاری WannaCry به رایانه های ویندوز در 74 کشور جهان حمله کردند.

روز سه شنبه، کنستانتین کوساچف، رئیس کمیته بین المللی شورای فدراسیون، در نشست کمیسیون شورای فدراسیون در مورد حفاظت از حاکمیت دولت، گفت که حدود 30 درصد از حملات سایبری به روسیه از سوی ایالات متحده انجام می شود. ایالت ها.

بیش از 2 درصد از تراکنش ها از خاک روسیه به رایانه های آمریکایی انجام نمی شود. تعداد کلحملات سایبری، در حالی که از قلمرو ایالات متحده به زیرساخت های الکترونیکی روسیه - 28-29٪، "ریا نووستی به نقل از کوساچف گفت.

به گفته رئیس تیم تحقیقاتی بین‌المللی آزمایشگاه کسپرسکی، کوستین رایو، ویروس پتیادر بسیاری از کشورهای جهان گسترش یافت.

نوع باج افزار Petrwrap/Petya با تماس [ایمیل محافظت شده]با گسترش در سراسر جهان، تعداد زیادی از کشورهای آسیب دیده.

در اوایل ماه مه، حدود 230000 رایانه در بیش از 150 کشور به باج افزار آلوده شدند. قبل از اینکه قربانیان زمان برای از بین بردن عواقب این حمله داشته باشند، حمله جدیدی دنبال شد - به نام پتیا. بزرگترین شرکت های اوکراینی و روسی و همچنین نهادهای دولتی از آن آسیب دیدند.

پلیس سایبری اوکراین متوجه شد که حمله ویروس از طریق مکانیسم به روز رسانی نرم افزار حسابداری M.E.Doc که برای تهیه و ارسال اظهارنامه مالیاتی استفاده می شود، آغاز شده است. بنابراین، مشخص شد که شبکه های باشنفت، روس نفت، Zaporozhyeoblenergo، Dneproenergo و سیستم برق Dnieper از عفونت فرار نکردند. در اوکراین، ویروس به رایانه های دولتی، رایانه های شخصی متروی کیف، اپراتورهای مخابراتی و حتی نیروگاه هسته ای چرنوبیل نفوذ کرده است. در روسیه، Mondelez International، Mars و Nivea آسیب دیدند.

ویروس Petya از آسیب پذیری EternalBlue در سیستم عامل ویندوز سوء استفاده می کند. Symantec و F-Secure استدلال می کنند که اگرچه Petya داده هایی مانند WannaCry را رمزگذاری می کند، اما تا حدودی با سایر انواع باج افزار متفاوت است. "ویروس پتیا است نوع جدیدباج افزار با هدف مخرب: F-Secure را توضیح دهید: این باج افزار فقط فایل های روی دیسک را رمزگذاری نمی کند، بلکه کل دیسک را قفل می کند و عملاً آن را غیرقابل استفاده می کند. "به ویژه، جدول فایل اصلی MFT را رمزگذاری می کند."

چگونه این اتفاق می افتد و آیا می توان از این روند جلوگیری کرد؟

ویروس پتیا - چگونه کار می کند؟

ویروس پتیا با نام های دیگری نیز شناخته می شود: Petya.A، PetrWrap، NotPetya، ExPetr. با وارد شدن به رایانه، باج‌افزاری را از اینترنت دانلود می‌کند و سعی می‌کند بخشی را وارد کند هارد دیسکبا داده های مورد نیاز برای بوت کردن کامپیوتر اگر او موفق شد، سیستم یک صفحه آبی مرگ (" صفحه آبیمرگ"). پس از راه اندازی مجدد، یک پیام ظاهر می شود سختدیسکی که از شما می خواهد برق را خاموش نکنید. بنابراین، ویروس باج افزار وانمود می کند که چنین است برنامه سیستمبا بررسی دیسک، در حالی که فایل‌های با پسوندهای خاص را رمزگذاری می‌کنید. در پایان فرآیند، پیامی در مورد قفل بودن رایانه و اطلاعاتی در مورد نحوه دریافت کلید دیجیتال برای رمزگشایی داده ها ظاهر می شود. ویروس پتیا معمولاً به بیت کوین باج می خواهد. اگر قربانی یک نسخه پشتیبان از پرونده ها نداشته باشد، با یک انتخاب روبرو می شود - مبلغ 300 دلار را بپردازد یا تمام اطلاعات را از دست بدهد. به گفته برخی از تحلیلگران، این ویروس تنها به عنوان باج افزار ظاهر می شود، در حالی که هدف واقعی آن ایجاد آسیب های عظیم است.

چگونه از شر پتیا خلاص شویم؟

کارشناسان دریافتند که ویروس Petya به دنبال یک فایل محلی می گردد و اگر این فایل از قبل روی دیسک وجود داشته باشد، از فرآیند رمزگذاری خارج می شود. این بدان معناست که کاربران می توانند با ایجاد این فایل و تنظیم آن بر روی حالت فقط خواندنی، از رایانه خود در برابر باج افزار محافظت کنند.

علیرغم اینکه این طرح حیله گر از شروع فرآیند اخاذی جلوگیری می کند، این روش را می توان بیشتر شبیه "واکسیناسیون کامپیوتری" دانست. بنابراین، کاربر باید خودش فایل را ایجاد کند. شما می توانید این کار را به روش زیر انجام دهید:

• ابتدا باید به پسوند فایل بپردازید. اطمینان حاصل کنید که در پنجره "Folder Options" در کادر انتخاب "Hide extensions for known file types" علامت آن را بردارید.
• پوشه C:\Windows را باز کنید، به پایین بروید تا برنامه notepad.exe را ببینید.
• روی notepad.exe کلیک چپ کنید، سپس Ctrl + C را برای کپی و سپس Ctrl + V را فشار دهید تا فایل را Paste کنید. برای کپی کردن فایل از شما خواسته می شود.
• روی دکمه "ادامه" کلیک کنید و فایل به عنوان یک دفترچه یادداشت ایجاد می شود - Copy.exe. روی این فایل کلیک چپ کرده و کلید F2 را فشار دهید سپس نام فایل Copy.exe را حذف کرده و perfc را تایپ کنید.
• پس از تغییر نام فایل به perfc، Enter را فشار دهید. تغییر نام را تأیید کنید.
• اکنون که فایل perfc ایجاد شده است، باید آن را فقط خواندنی کنیم. برای انجام این کار، کلیک کنید کلیک راستماوس را روی فایل قرار دهید و "Properties" را انتخاب کنید.
• منوی خواص آن فایل باز می شود. در پایین "فقط خواندن" را مشاهده خواهید کرد. کادر را علامت بزنید.
• اکنون روی دکمه "اعمال" و سپس دکمه "OK" کلیک کنید.

برخی از کارشناسان امنیتی پیشنهاد می‌کنند برای محافظت بهتر در برابر ویروس Petya، علاوه بر فایل C:\windows\perfc، فایل‌های C:\Windows\perfc.dat و C:\Windows\perfc.dll را نیز ایجاد کنید. می توانید مراحل بالا را برای این فایل ها تکرار کنید.

تبریک می گوییم، رایانه شما از NotPetya / Petya محافظت می شود!

کارشناسان سیمانتک توصیه هایی به کاربران رایانه شخصی می کنند تا از انجام کارهایی که می تواند منجر به قفل شدن پرونده یا از دست دادن پول شود جلوگیری کنند.

1. به کلاهبرداران پول ندهید.حتی اگر پول را به باج افزار انتقال دهید، هیچ تضمینی وجود ندارد که بتوانید دوباره به فایل های خود دسترسی پیدا کنید. و در مورد NotPetya / Petya، این اساساً بی معنی است، زیرا هدف رمزگذار از بین بردن داده ها است، نه به دست آوردن پول.
2. مطمئن شوید که به طور منظم از اطلاعات خود نسخه پشتیبان تهیه می کنید.در این صورت، حتی اگر رایانه شخصی شما هدف حمله باج افزار قرار گیرد، می توانید فایل های پاک شده را بازیابی کنید.
3. ایمیل هایی با آدرس های مشکوک باز نکنید.مهاجمان سعی می کنند شما را فریب دهند تا بدافزار نصب کنید، یا سعی می کنند داده های مهم حمله را دریافت کنند. اگر شما یا کارمندانتان ایمیل ها یا لینک های مشکوکی دریافت کردند، حتما به متخصصان فناوری اطلاعات اطلاع دهید.
4. از نرم افزارهای قابل اعتماد استفاده کنید.به روز رسانی به موقع برنامه های آنتی ویروس نقش مهمی در محافظت از رایانه ها در برابر عفونت ایفا می کند. و البته باید از محصولات شرکت های معتبر در این زمینه استفاده کرد.
5. از مکانیسم هایی برای اسکن و مسدود کردن پیام های هرزنامه استفاده کنید.ایمیل های دریافتی باید از نظر تهدید اسکن شوند. مهم است که هر نوع پیامی که حاوی پیوند یا معمولی باشد کلید واژه هافیشینگ
6. مطمئن شوید که همه برنامه ها به روز هستند.اصلاح منظم آسیب پذیری های نرم افزار برای جلوگیری از عفونت ضروری است.

آیا باید منتظر حملات جدید باشیم؟

ویروس Petya اولین بار در مارس 2016 ظاهر شد و کارشناسان امنیتی بلافاصله متوجه رفتار آن شدند. ویروس جدید Petya در اواخر ژوئن 2017 به رایانه های اوکراین و روسیه وارد شد. اما بعید است که این پایان یابد. استانیسلاو کوزنتسوف، نایب رئیس هیئت مدیره Sberbank گفت: حملات هکرها با استفاده از ویروس‌های باج‌افزار مشابه Petya و WannaCry تکرار خواهند شد. او در مصاحبه با TASS هشدار داد که قطعاً چنین حملاتی وجود خواهد داشت، اما پیش بینی اینکه در چه شکل و قالبی ممکن است ظاهر شوند دشوار است.

اگر پس از تمام حملات سایبری گذشته، هنوز حداقل اقدامات لازم را برای محافظت از رایانه خود در برابر ویروس رمزگذاری انجام نداده اید، وقت آن رسیده است که به آن دست پیدا کنید.

بریتانیا، ایالات متحده آمریکا و استرالیا رسما روسیه را به توزیع NotPetya متهم کردند

در 15 فوریه 2018، وزارت خارجه بریتانیا بیانیه ای رسمی صادر کرد و روسیه را به سازماندهی یک حمله سایبری با استفاده از ویروس رمزگذاری NotPetya متهم کرد.

به گفته مقامات انگلیسی، این حمله نشان از بی‌توجهی بیشتر به حاکمیت اوکراین داشت و در نتیجه این اقدامات بی‌ملاحظه، کار بسیاری از سازمان‌ها در سراسر اروپا مختل شد و خسارات چند میلیون دلاری در پی داشت.

این وزارتخانه خاطرنشان کرد که نتیجه گیری در مورد دخالت دولت روسیه و کرملین در حمله سایبری بر اساس نتیجه مرکز ملی امنیت سایبری بریتانیا (مرکز امنیت سایبری ملی انگلستان) گرفته شده است. «تقریباً کاملاً معتقد است که ارتش روسیه در پشت حمله NotPetya قرار دارد.» همچنین در بیانیه آمده است که متحدانش فعالیت های سایبری مخرب را تحمل نخواهند کرد.

به گفته آنگوس تیلور، وزیر اجرای قانون و امنیت سایبری استرالیا، بر اساس داده‌های اطلاعاتی استرالیا و مشاوره با ایالات متحده و بریتانیا، دولت استرالیا به این نتیجه رسید که مهاجمان تحت حمایت دولت روسیه مسئول این حادثه هستند. در این بیانیه آمده است: «دولت استرالیا رفتار روسیه را که خطرات جدی برای اقتصاد جهانی، عملیات و خدمات دولتی، فعالیت های تجاری و ایمنی و رفاه افراد به همراه دارد، محکوم می کند».

کرملین که پیش از این بارها هرگونه دخالت مقامات روسیه در حملات هکری را رد کرده است، بیانیه وزارت خارجه انگلیس را بخشی از "کارزار روس هراسی" نامید.

بنای یادبود "اینجا ویروس کامپیوتری Petya نهفته است که توسط مردم در 2017/06/27 شکست خورده است"

بنای یادبود ویروس کامپیوتری Petya در دسامبر 2017 در نزدیکی ساختمان پارک فنی Skolkovo نصب شد. یک بنای تاریخی دو متری، با کتیبه: "اینجا ویروس کامپیوتری Petya نهفته است که توسط مردم در 2017/06/27 شکست خورده است." ساخته شده در قالب یک هارد دیسک گاز گرفته شده، با پشتیبانی INVITRO، در میان سایر شرکت هایی که تحت تأثیر عواقب یک حمله سایبری گسترده قرار گرفته اند، ایجاد شده است. روباتی به نام نو که در Phystechpark و (MIT) کار می کند، برای ایراد سخنرانی رسمی به مراسم آمد.

حمله به دولت سواستوپل

متخصصان اداره اصلی اطلاعات و ارتباطات سواستوپل با موفقیت حمله ویروس رمزگذاری شبکه Petya به سرورهای دولت منطقه را دفع کردند. این در 17 ژوئیه 2017 در جلسه عملیاتی دولت سواستوپل توسط رئیس بخش اطلاع رسانی دنیس تیموفیف اعلام شد.

وی اظهار داشت که بدافزار Petya هیچ تأثیری بر داده های ذخیره شده در رایانه های مؤسسات دولتی در سواستوپل ندارد.

تمرکز بر استفاده از نرم‌افزار رایگان در مفهوم اطلاع‌رسانی سواستوپل که در سال 2015 تصویب شد، تعبیه شده است. این بیان می‌کند که هنگام خرید و توسعه نرم‌افزار پایه و همچنین نرم‌افزار سیستم‌های اطلاعاتی برای اتوماسیون، توصیه می‌شود امکان استفاده از محصولات رایگان را که می‌تواند هزینه‌های بودجه را کاهش داده و وابستگی به تامین‌کنندگان و توسعه‌دهندگان را کاهش دهد، تجزیه و تحلیل شود.

پیش از این، در پایان ماه ژوئن، به عنوان بخشی از حمله گسترده به شرکت پزشکی Invitro، شعبه ای از شعبه آن واقع در سواستوپل نیز آسیب دید. به دلیل ویروس شبکه کامپیوتریشعبه به طور موقت صدور نتایج آزمایش را تا رفع علل به حالت تعلیق درآورد.

Invitro از تعلیق انجام آزمایشات به دلیل حمله سایبری خبر داد

شرکت پزشکی Invitro جمع آوری مواد زیستی و صدور نتایج آزمایش بیمار را به دلیل حمله هکری در 27 ژوئن به حالت تعلیق درآورد. این را مدیر ارتباطات شرکتی آنتون بولانوف به RBC اعلام کرد.

همانطور که در پیام این شرکت آمده است، در آینده نزدیک "Invitro" به عملکرد عادی تغییر خواهد کرد. نتایج مطالعات انجام شده پس از این زمان پس از رفع نقص فنی به بیماران تحویل داده می شود. در حال حاضر آزمایشگاه سیستم اطلاعاتبازیابی شده، در مرحله راه اندازی است. Invitro در پایان گفت: "ما از وضعیت فورس ماژور فعلی متاسفیم و از مشتریان خود برای درک آنها تشکر می کنیم."

بر اساس این داده ها، حمله ویروس کامپیوتریتحت درمانگاه هایی در روسیه، بلاروس و قزاقستان قرار گرفتند.

حمله به گازپروم و دیگر شرکت های نفت و گاز

در 29 ژوئن 2017، در مورد یک حمله سایبری جهانی به سیستم های رایانه ای گازپروم شناخته شد. پس یکی دیگه شرکت روسیاز ویروس باج افزار Petya رنج می برد.

مطابق با آژانس اطلاعاترویترز، به نقل از یک منبع دولتی روسیه و یک فرد درگیر در تحقیقات این حادثه، گازپروم از گسترش بدافزار Petya آسیب دید که در مجموع به رایانه‌های بیش از 60 کشور در سراسر جهان حمله کرد.

طرفین این نشریه جزئیاتی در مورد تعداد و سیستم هایی که در گازپروم آلوده شده اند و همچنین میزان خسارت وارده توسط هکرها ارائه نکردند. این شرکت به درخواست رویترز از اظهار نظر خودداری کرد.

در همین حال، یک منبع بلندپایه RBC در گازپروم به این نشریه گفت که کامپیوترهای دفتر مرکزی این شرکت بدون وقفه در هنگام شروع یک حمله هکری در مقیاس بزرگ (27 ژوئن 2017) کار می کردند و دو روز بعد نیز ادامه یافت. دو منبع دیگر RBC در گازپروم همچنین اطمینان دادند که "همه چیز در شرکت آرام است" و هیچ ویروسی وجود ندارد.

در بخش نفت و گاز، باشنفت و روسنفت از ویروس پتیا رنج بردند. دومی در 28 ژوئن اعلام کرد که شرکت به طور عادی کار می کند و "مشکلات خاصی" به سرعت در حال حل شدن هستند.

بانک ها و صنعت

در مورد آلودگی کامپیوترها در Evraz، شعبه روسی رویال کانین (تولید لباس های فرم برای حیوانات) و شعبه روسیه Mondelez (تولید کننده آلپن گلد و شکلات Milka) شناخته شد.

به گفته وزارت امور داخلی اوکراین، این مرد ویدئویی را در پلتفرم‌های اشتراک‌گذاری فایل و شبکه‌های اجتماعی منتشر کرد که در آن جزئیات فرآیند راه‌اندازی باج‌افزار روی رایانه‌ها را توضیح می‌داد. در نظرات مربوط به این ویدیو، این مرد پیوندی به صفحه خود در آن منتشر کرد شبکه اجتماعیکه بدافزار روی آن بارگذاری شده است. در جریان بازرسی در آپارتمان "هکرها"، مأموران اجرای قانون کشف و ضبط کردند تجهیزات کامپیوتر، برای توزیع NotPetya استفاده می شود. پلیس همچنین فایل هایی با بدافزار پیدا کرد که پس از تجزیه و تحلیل شباهت آن با باج افزار NotPetya تایید شد. همانطور که افسران پلیس سایبری مشخص کردند، این برنامه باج افزار که لینک آن توسط ساکن نیکوپل منتشر شده بود، توسط کاربران شبکه اجتماعی 400 بار دانلود شد.

در میان کسانی که NotPetya را دانلود کردند، افسران مجری قانون شرکت هایی را شناسایی کردند که عمداً سیستم های خود را با باج افزار آلوده کردند تا فعالیت مجرمانه را پنهان کنند و از پرداخت جریمه به دولت فرار کنند. شایان ذکر است که پلیس فعالیت های این مرد را با حملات هکری در 27 ژوئن سال جاری مرتبط نمی کند، یعنی هیچ بحثی در مورد دخالت وی در نویسندگان NotPetya وجود ندارد. اعمالی که به او نسبت داده می شود فقط مربوط به اقدامات انجام شده در ژوئیه سال جاری - پس از موجی از حملات سایبری در مقیاس بزرگ - است.

یک پرونده جنایی بر اساس بخش 1 هنر علیه این مرد آغاز شد. 361 (مداخله غیرمجاز در عملکرد رایانه ها) قانون کیفری اوکراین. نیکوپولچانین با 3 سال زندان مواجه است.

توزیع در جهان

شیوع ویروس باج افزار Petya در اسپانیا، آلمان، لیتوانی، چین و هند ثبت شده است. به عنوان مثال، به دلیل یک بدافزار در هند، فناوری مدیریت ترافیک بندر کانتینری جواهر لعل نهرو که توسط A.P. Moller-Maersk، تعلق کالا را به رسمیت نمی شناسد.

این حمله سایبری توسط گروه تبلیغاتی انگلیسی WPP، دفتر اسپانیایی یکی از بزرگترین شرکت های حقوقی جهان DLA Piper و غول مواد غذایی Mondelez گزارش شده است. سازنده فرانسوی مصالح ساختمانی Cie. de Saint-Gobain و شرکت داروسازی Merck & Co.

مرک

غول داروسازی آمریکایی مرک که به شدت تحت تاثیر حمله باج افزار ماه ژوئن NotPetya قرار گرفت، هنوز قادر به بازیابی همه سیستم ها و بازگشت به عملکرد عادی نیست. این در گزارش شرکت در فرم 8-K، ارائه شده به کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) در پایان ژوئیه 2017 گزارش شده است. ادامه مطلب

Moller-Maersk و Rosneft

در 3 ژوئیه 2017، مشخص شد که غول کشتیرانی دانمارکی Moller-Maersk و Rosneft تنها یک هفته پس از حمله 27 ژوئن، سیستم های IT آلوده به ویروس باج افزار Petya را بازسازی کردند.

شرکت حمل و نقل مرسک که از هر هفت کانتینر حمل و نقل جهانی یک نفر را تشکیل می دهد، همچنین اضافه کرد که تمام 1500 برنامه تحت تأثیر این حمله سایبری حداکثر تا 9 ژوئیه 2017 به فعالیت عادی باز خواهند گشت.

سیستم‌های فناوری اطلاعات پایانه‌های APM متعلق به مرسک، که ده‌ها بندر بار و پایانه‌های کانتینری را در بیش از 40 کشور اداره می‌کند، بیشتر تحت تأثیر قرار گرفتند. روزانه بیش از 100 هزار کانتینر بار از بنادر پایانه های APM عبور می کنند که کار آنها به دلیل شیوع ویروس کاملا فلج شده بود. ترمینال Maasvlakte II در روتردام در 3 ژوئیه منابع خود را بازسازی کرد.

16 آگوست 2017 A.P. Moller-Maersk میزان تقریبی خسارت ناشی از یک حمله سایبری با استفاده از ویروس Petya را نام برد که عفونت آن همانطور که توسط شرکت اروپایی ذکر شده است از طریق برنامه اوکراینی عبور کرده است. بر اساس محاسبات اولیه مرسک، خسارات مالی ناشی از باج افزار Petya در سه ماهه دوم سال 2017 بین 200 تا 300 میلیون دلار بوده است.

در همین حال، روسنفت نیز تقریباً یک هفته طول کشید تا سیستم‌های رایانه‌ای را از حمله هکری که در 3 ژوئیه توسط سرویس مطبوعاتی این شرکت گزارش شده بود، بازیابی کند.

چند روز قبل، روسنفت تاکید کرد که هنوز متعهد به ارزیابی عواقب یک حمله سایبری نشده است، اما تولید آن تحت تاثیر قرار نگرفته است.

پتیا چگونه کار می کند؟

در واقع، قربانیان ویروس پس از آلوده شدن نمی توانند قفل فایل های خود را باز کنند. واقعیت این است که سازندگان آن اصلا چنین فرصتی را پیش بینی نکرده بودند. یعنی یک دیسک رمزگذاری شده پیشینی قابل رمزگشایی نیست. شناسه بدافزار فاقد اطلاعات مورد نیاز برای رمزگشایی است.

در ابتدا، کارشناسان این ویروس را که حدود دو هزار رایانه را در روسیه، اوکراین، لهستان، ایتالیا، آلمان، فرانسه و سایر کشورها تحت تأثیر قرار داده بود، در خانواده باج افزار معروف Petya طبقه بندی کردند. با این حال، مشخص شد که ما در مورد خانواده جدیدی از بدافزارها صحبت می کنیم. آزمایشگاه کسپرسکی رمزگذار جدید را ExPetr نامیده است.

چگونه مبارزه کنیم

مبارزه با تهدیدات سایبری مستلزم تلاش های مشترک بانک ها، مشاغل فناوری اطلاعات و دولت است

روش بازیابی اطلاعات از Positive Technologies

در 7 جولای 2017، دیمیتری اسکلیاروف، متخصص فناوری های مثبت، روشی را برای بازیابی اطلاعات رمزگذاری شده توسط ویروس NotPetya ارائه کرد. به گفته این متخصص، این روش در صورتی قابل اجرا است که ویروس NotPetya دارای امتیازات مدیریتی باشد و کل دیسک را رمزگذاری کند.

توانایی بازیابی اطلاعات به دلیل خطاهایی در اجرای الگوریتم رمزگذاری Salsa20 است که توسط خود مهاجمان ایجاد شده است. کارایی روش هم بر روی یک محیط آزمایشی و هم روی یکی از هارد دیسک های رمزگذاری شده یک شرکت بزرگ که در میان قربانیان این بیماری همه گیر بود، آزمایش شد.

شرکت ها و توسعه دهندگان مستقل متخصص در بازیابی اطلاعات می توانند از اسکریپت رمزگشایی ارائه شده استفاده و خودکارسازی کنند.

نتایج تحقیقات قبلاً توسط پلیس سایبری اوکراین تأیید شده است. نتایج تحقیقات "Juscutum" قرار است به عنوان شواهد کلیدی در روند آینده علیه Intellect-Service استفاده شود.

این روند ماهیت مدنی خواهد داشت. یک تحقیق مستقل توسط سازمان های مجری قانون اوکراین در حال انجام است. پیش از این نیز نمایندگان آنها از احتمال شروع پرونده علیه کارکنان اینتلکت سرویس خبر داده بودند.

خود شرکت M.E.Doc اعلام کرد که آنچه در حال رخ دادن است تلاشی برای تصاحب شرکت توسط مهاجمان بوده است. سازنده تنها نرم افزار حسابداری محبوب اوکراینی معتقد است جست و جوی این شرکت توسط پلیس سایبری اوکراین بخشی از اجرای این طرح بوده است.

وکتور عفونت اولیه با رمزگذار Petya

در 17 می، یک به‌روزرسانی برای M.E.Doc منتشر شد که حاوی ماژول درپشتی مخرب نیست. این شرکت معتقد است احتمالاً این می تواند تعداد نسبتاً کمی از عفونت های XData را توضیح دهد. مهاجمان انتظار انتشار آپدیت را در 17 می نداشتند و رمزگذار را در 18 می راه اندازی کردند، زمانی که اکثر کاربران قبلاً به روز رسانی امن را نصب کرده بودند.

درپشتی اجازه بارگذاری و اجرای بدافزارهای دیگر را در سیستم آلوده می دهد - به این ترتیب آلودگی اولیه با رمزگذارهای Petya و XData انجام شد. علاوه بر این، این برنامه تنظیمات پروکسی و ایمیل، از جمله لاگین ها و رمزهای عبور از برنامه M.E.Doc، و همچنین کدهای شرکت را مطابق با EDRPOU (ثبت نام واحد دولتی شرکت ها و سازمان های اوکراین) جمع آوری می کند که شناسایی قربانیان را امکان پذیر می کند. .

آنتون چریپانوف، تحلیلگر ارشد ویروس در Eset، گفت: ما باید به تعدادی سوال پاسخ دهیم. - چه مدت از درب پشتی استفاده می شود؟ چه دستورات و بدافزارهایی غیر از Petya و XData از طریق این کانال ارسال می شد؟ چه زیرساخت های دیگری به خطر افتاده است اما هنوز توسط گروه سایبری در پشت این حمله استفاده نشده است؟»

بر اساس ترکیبی از ویژگی‌ها، از جمله زیرساخت، ابزارهای مخرب، طرح‌ها و اهداف حمله، کارشناسان Eset پیوندی بین اپیدمی Diskcoder.C (Petya) و گروه سایبری Telebots ایجاد کرده‌اند. هنوز مشخص نشده است که چه کسی پشت فعالیت های این گروه است.

چند ماه پیش، ما و سایر متخصصان امنیت فناوری اطلاعات بدافزار جدیدی را کشف کردیم - Petya (Win32.Trojan-Ransom.Petya.A). در مفهوم کلاسیک، این یک باج افزار نبود، ویروس به سادگی دسترسی به انواع خاصی از فایل ها را مسدود کرده و باج می خواهد. ویروس اصلاح شد رکورد بوتروی هارد دیسک، کامپیوتر را به زور راه اندازی مجدد کرد و پیامی را نشان داد که "داده ها رمزگذاری شده اند - پول خود را برای رمزگشایی هدایت کنید". به طور کلی، طرح استاندارد ویروس های باج افزار، با این تفاوت که فایل ها در واقع رمزگذاری نشده بودند. اکثر آنتی ویروس‌های معروف شروع به شناسایی و حذف Win32.Trojan-Ransom.Petya.A در عرض چند هفته پس از معرفی کردند. علاوه بر این، دستورالعمل هایی برای حذف دستی وجود دارد. چرا فکر می کنیم پتیا یک باج افزار کلاسیک نیست؟ این ویروس در Master Boot Record تغییراتی ایجاد می کند و از بوت شدن سیستم عامل جلوگیری می کند و همچنین Master File Table (جدول فایل اصلی) را رمزگذاری می کند. خود فایل ها را رمزگذاری نمی کند.

با این حال، چند هفته پیش یک ویروس پیچیده تر ظاهر شد. میشا، ظاهراً توسط همان کلاهبرداران نوشته شده است. این ویروس ENCRYPTS فایل می کند و شما را ملزم به پرداخت 500 تا 875 دلار برای رمزگشایی (در نسخه های مختلف 1.5 - 1.8 بیت کوین). دستورالعمل‌های «رمزگشایی» و پرداخت برای آن در فایل‌های YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT ذخیره می‌شوند.

ویروس Mischa - محتویات فایل YOUR_FILES_ARE_ENCRYPTED.HTML

اکنون، در واقع، هکرها کامپیوترهای کاربران را با دو بدافزار آلوده می کنند: Petya و Mischa. اولین مورد نیاز به حقوق مدیر در سیستم دارد. یعنی اگر کاربر از دادن حقوق مدیریت پتیا امتناع کند یا این بدافزار را به صورت دستی حذف کند، Mischa درگیر می شود. این ویروس نیازی به حقوق مدیر ندارد، یک باج افزار کلاسیک است و واقعاً فایل ها را با استفاده از الگوریتم قوی AES بدون ایجاد هیچ تغییری در Master Boot Record و جدول فایل روی هارد دیسک قربانی رمزگذاری می کند.

بدافزار Mischa نه تنها انواع فایل های استاندارد (فیلم ها، تصاویر، ارائه ها، اسناد) را رمزگذاری می کند، بلکه فایل های exe. را نیز رمزگذاری می کند. این ویروس فقط دایرکتوری های \Windows, \$Recycle.Bin, \Microsoft,\ را تحت تأثیر قرار نمی دهد. موزیلا فایرفاکس, \اپرا, \ اینترنت اکسپلورر، \Temp، \Local، \LocalLow و \Chrome.

عفونت عمدتاً از طریق ایمیل اتفاق می‌افتد، جایی که نامه‌ای به همراه یک فایل پیوست می‌رسد - نصب‌کننده ویروس. می توان آن را به عنوان نامه ای از اداره مالیات، از حسابدار شما، به عنوان رسید ضمیمه شده و رسید خرید و غیره رمزگذاری کرد. به پسوند فایل در چنین حروفی توجه کنید - اگر یک فایل اجرایی (.exe) باشد، به احتمال زیاد می تواند یک محفظه با ویروس Petya\Mischa باشد. و اگر اصلاح بدافزار تازه باشد، آنتی ویروس شما ممکن است واکنشی نشان ندهد.

به روز رسانی 2017/06/30: 27 ژوئن، نسخه اصلاح شده ویروس پتیا (Petya.A)به طور گسترده به کاربران در اوکراین حمله کردند. تاثیر این حمله بسیار زیاد بود و خسارت اقتصادی آن هنوز محاسبه نشده است. در یک روز، کار ده ها بانک فلج شد، زنجیره های خرده فروشی، موسسات دولتی و شرکتهای دارای اشکال مختلف مالکیت. ویروس عمدتاً از طریق یک آسیب پذیری در سیستم حسابداری اوکراینی MeDoc با جدیدترین نسخه منتشر شد به روز رسانی خودکاراین نرم افزار علاوه بر این، این ویروس کشورهایی مانند روسیه، اسپانیا، بریتانیا، فرانسه، لیتوانی را نیز تحت تاثیر قرار داده است.

ویروس Petya و Mischa را با پاک کننده خودکار پاک کنید

به طور انحصاری روش موثربرخورد با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه امنیتی اثبات شده، ضامن دقیق تشخیص هر گونه اجزای ویروسی، آنهاست حذف کاملبا یک کلیک توجه داشته باشید که دو مورد وجود دارد فرآیندهای مختلف: عفونت را حذف کنید و فایل ها را روی رایانه شخصی خود بازیابی کنید. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای به کمک آن وجود دارد.

1. . پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع اسکن).
2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف همه تهدیدات یافت شده، گزینه را انتخاب کنید رفع تهدیدها(حذف تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار Mischa فایل‌ها را با یک الگوریتم رمزگذاری قوی قفل می‌کند به طوری که داده‌های رمزگذاری شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد - اگر پرداخت یک باج ناشناخته (گاهی تا 1000 دلار) را در نظر نگیرید. ). اما برخی از روش‌ها واقعاً می‌توانند به نجاتی تبدیل شوند که به شما در بازیابی اطلاعات مهم کمک می‌کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکار فایل (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین فرآیند رمزگذاری اخاذی، کپی هایی از آنها را هدف قرار می دهد. این فرصتی را برای چنین چیزی فراهم می کند ابزارهای نرم افزارینحوه بازیابی اشیاء حذف شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. اکیداً توصیه می شود به روش بازیابی پرونده متوسل شوید ، اثربخشی آن بدون شک است.

حجم کپی سایه

این رویکرد مبتنی بر رویه ویندوز است کپی رزرو کنیدفایل هایی که در هر نقطه بازیابی تکرار می شود. شرط مهمکار کردن این روش: بازیابی سیستم باید قبل از عفونت فعال شود. با این حال، هر تغییری که پس از نقطه بازیابی در فایل ایجاد شود، در نسخه بازیابی شده فایل منعکس نخواهد شد.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون خرید است. اگر رویه پشتیبان گیری از داده ها در سرور خارجیقبل از حمله باج افزار به رایانه شما استفاده شده است، برای بازیابی فایل های رمزگذاری شده، کافی است رابط مناسب را وارد کنید، انتخاب کنید فایل های لازمو مکانیسم بازیابی اطلاعات از پشتیبان را شروع کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

اجزای احتمالی باج افزار Petya و Mischa را بررسی کنید

تمیز کردن در حالت دستیمملو از قطعات گمشده باج افزار است که می تواند از حذف در قالب اشیاء مخفی جلوگیری کند. سیستم عاملیا ورودی های رجیستری برای از بین بردن خطر حفظ جزئی عناصر مخرب منفرد، رایانه خود را با استفاده از یک بسته نرم افزار امنیتی قابل اعتماد که متخصص در بدافزار است اسکن کنید.

Petya.A چیست؟

این یک "ویروس باج افزار" است که داده ها را روی رایانه رمزگذاری می کند و برای رمزگشایی آن به 300 دلار برای یک کلید نیاز دارد. از حوالی ظهر روز 27 ژوئن شروع به آلوده کردن رایانه های اوکراینی کرد و سپس به کشورهای دیگر گسترش یافت: روسیه، بریتانیا، فرانسه، اسپانیا، لیتوانی و غیره. وب سایت مایکروسافت در حال حاضر یک ویروس دارداین دارد سطح تهدید "جدی".

عفونت به دلیل همان آسیب پذیری در ویندوز مایکروسافت، که در مورد ویروس WannaCry، که در ماه می به هزاران رایانه در سراسر جهان ضربه زد و خسارتی حدود یک میلیارد دلار به شرکت ها وارد کرد.

در شب، پلیس سایبری گزارش داد که یک حمله ویروسی به معنای گزارش الکترونیکیو جریان سند به گفته ماموران نیروی انتظامی، ساعت 10:30 صبح یک آپدیت دیگر M.E.Doc منتشر شد که با کمک آن نرم افزارهای مخرب روی رایانه ها دانلود شد.

پتیا با استفاده از آن توزیع شد پست الکترونیک، ارائه برنامه به عنوان رزومه کارمند. اگر شخصی سعی می کرد رزومه ای را باز کند، ویروس حقوق مدیر را درخواست می کرد. اگر کاربر موافقت کرد، کامپیوتر دوباره راه اندازی شد، سپس هارد دیسک رمزگذاری شد و پنجره ای ظاهر شد که درخواست "باج" می کرد.

ویدئو

روند عفونت با ویروس پتیا. ویدئو: G DATA Software AG / YouTube

در همان زمان، خود ویروس Petya یک آسیب‌پذیری داشت: می‌توان کلیدی برای رمزگشایی داده‌ها با استفاده از آن به دست آورد. برنامه ویژه. این روش در آوریل 2016 توسط ویرایشگر Geektimes Maxim Agadzhanov توضیح داده شد.

با این حال، برخی از کاربران تصمیم به پرداخت "باج" می گیرند. بر اساس یکی از کیف پول های معروف بیت کوین، سازندگان این ویروس 3.64 بیت کوین دریافت کردند که معادل تقریباً 9100 دلار است.

چه کسانی به این ویروس مبتلا شده اند؟

در اوکراین، قربانیان Petya.A عمدتا بودند مشتریان شرکتی: سازمان های دولتی، بانک ها، رسانه ها، شرکت های انرژی و سایر سازمان ها.

از جمله شرکت های Nova Poshta، Ukrenergo، OTP Bank، Oschadbank، DTEK، Rozetka، Boris، Ukrzaliznytsia، TNK، Antonov، Epicenter، Channel 24، و همچنین فرودگاه Boryspil، کابینه وزیران اوکراین، خدمات مالی دولتی و غیره.

این حمله به مناطق نیز سرایت کرد. به عنوان مثال، nو در نیروگاه هسته ای چرنوبیل، به دلیل یک حمله سایبری، مدیریت اسناد الکترونیکی از کار افتاد و ایستگاه به نظارت دستی سطوح تشعشعات روی آورد. در خارکف، کار یک سوپرمارکت بزرگ روست مسدود شد و در فرودگاه، ثبت نام برای پروازها به حالت دستی منتقل شد.

به دلیل ویروس Petya.A، میزهای نقدی در سوپرمارکت Rost از کار افتادند. عکس: X...evy Kharkov / "VKontakte"

به گفته این نشریه، روسنفت، باشنفت، مارس، نیوآ و دیگران در روسیه مورد اصابت قرار گرفتند.

چگونه از خود در برابر Petya.A محافظت کنیم؟

دستورالعمل هایی در مورد نحوه محافظت از خود در برابر Petya.A توسط سرویس امنیتی اوکراین و پلیس سایبری منتشر شد.

پلیس سایبر به کاربران توصیه می کند نصب کنند به روز رسانی ویندوزاز وب سایت رسمی مایکروسافت، آنتی ویروس را به روز کنید یا نصب کنید، فایل های مشکوک را از آن دانلود نکنید ایمیل هاو در صورت مشاهده ناهنجاری بلافاصله کامپیوتر را از شبکه جدا کنید.

SBU تأکید کرد که در صورت مشکوک بودن، رایانه را نمی توان دوباره راه اندازی کرد، زیرا فایل ها در هنگام راه اندازی مجدد رمزگذاری می شوند. سرویس ویژه توصیه کرد که اوکراینی ها فایل های ارزشمند را در یک رسانه جداگانه ذخیره کرده و بسازند پشتیبان گیریسیستم عامل.

ولاد استیران، کارشناس امنیت سایبری نوشتدر فیس بوک که شیوع ویروس در شبکه محلیمی توان با مسدود کردن پورت های TCP 1024-1035، 135، 139 و 445 در ویندوز متوقف شد. دستورالعمل های آنلاین در مورد نحوه انجام این کار وجود دارد.

شرکت آمریکایی سیمانتک