Jaunais Petya vīruss maskējas kā personāla virsnieku CV. Petya vīruss: viss, kas jums jāzina par šo vīrusu Petya vīruss, kā infekcija notiek

Šāds secinājums bija divu uzņēmumu – Comae Technologies un Kaspersky Lab – pētījuma rezultāts.

Sākotnējā Petya ļaunprogrammatūra, kas tika atklāta 2016. gadā, bija naudas pelnīšanas iekārta. Šis paraugs noteikti nav paredzēts naudas pelnīšanai. Draudi ir paredzēti, lai ātri izplatītos un radītu bojājumus, un tie maskējas kā izspiedējprogrammatūra.

NotPetya nav diska tīrīšanas rīks. Draudi neizdzēš datus, bet vienkārši padara tos nelietojamus, bloķējot failus un izmetot atšifrēšanas atslēgas.

Kaspersky Lab vecākais pētnieks Huans Andre Guerrero-Saade komentēja situāciju:

Manā grāmatā izspiedējvīrusa infekcija bez iespējama atšifrēšanas mehānisma ir līdzvērtīga diska tīrīšanai. Neņemot vērā dzīvotspējīgu atšifrēšanas mehānismu, uzbrucēji izrādīja pilnīgu nevērību pret ilgtermiņa naudas ieguvumiem.

Sākotnējā Petya ransomware autors tviterī paziņoja, ka viņam nav nekāda sakara ar NotPetya izstrādi. Viņš ir kļuvis par otro kibernoziedznieku, kurš noliedz līdzdalību jauna līdzīga apdraudējuma radīšanā. Iepriekš AES-NI izspiedējvīrusa autors paziņoja, ka viņam nav nekāda sakara ar XData, kas tika izmantota arī mērķtiecīgos uzbrukumos Ukrainai. Turklāt XData, tāpat kā NotPetya, izmantoja identisku izplatīšanas vektoru - atjaunināšanas serverus no Ukrainas ražotāja programmatūra grāmatvedībai.

Daudzas netiešas pazīmes apstiprina teoriju, ka kāds uzlauž zināmu izspiedējvīrusu un izmanto modificētas versijas, lai uzbruktu Ukrainas lietotājiem.

Vai destruktīvi moduļi, kas maskēti kā izspiedējvīrusi, jau ir ierasta prakse?

Līdzīgi gadījumi bijuši jau iepriekš. Ļaunprātīgu moduļu izmantošana, lai neatgriezeniski bojātu failus parastās izpirkuma programmatūras aizsegā, nav jauna taktika. IN mūsdienu pasaule tā jau kļūst par tendenci.

Pagājušajā gadā Shamoon un KillDisk ļaundabīgo programmu saimes iekļāva “izspiedējvīrusa komponentus” un izmantoja līdzīgas metodes datu iznīcināšanai. Mūsdienās pat rūpnieciskā ļaunprogrammatūra iegūst diska tīrīšanas līdzekļus.

NotPetya klasificēšana kā datu iznīcināšanas rīks var viegli pārklasificēt ļaunprātīgu programmatūru kā kiberieroci. Šajā gadījumā apdraudējuma seku analīze būtu jāskata no cita skatu punkta.

Ņemot vērā sākotnējo inficēšanās punktu un upuru skaitu, kļūst acīmredzams, ka hakeru uzbrukuma mērķis bija Ukraina. Ieslēgts Šis brīdis Nav acīmredzamu pierādījumu, kas rādītu ar pirkstu uz uzbrucēju, taču Ukrainas amatpersonas jau ir vainojušas Krieviju, kuru arī vainojušas pagātnē notikušajos kiberincidentos, kas datēti ar 2014. gadu.

NotPetya varētu būt līdzvērtīgs pazīstamajām Stuxnet un BlackEnergy ļaunprogrammatūras ģimenēm, kuras ir izmantotas politiskiem mērķiem un postošai iedarbībai. Pierādījumi skaidri parāda, ka NotPetya ir kiberierocis, nevis tikai ļoti agresīvs izpirkuma programmatūras veids.

Labdien draugi. Pavisam nesen mēs analizējām vīrusu WannaCry ransomware, kas dažu stundu laikā izplatījās daudzās pasaules valstīs un inficēja daudzus datorus. Un tad jūnija beigās parādījās jauns līdzīgs vīruss “Petya”. Vai, kā to visbiežāk sauc par "Petya".

Šie vīrusi tiek klasificēti kā izspiedējvīrusi Trojas zirgi un ir diezgan līdzīgi, lai gan tiem ir arī savas atšķirības, turklāt būtiskas. Saskaņā ar oficiālajiem datiem, “Petya” vispirms inficēja pienācīgu skaitu datoru Ukrainā un pēc tam sāka savu ceļojumu apkārt pasaulei.

Cietuši datori Izraēlā, Serbijā, Rumānijā, Itālijā, Ungārijā, Polijā uc Krievija šajā sarakstā ir 14.vietā. Pēc tam vīruss izplatījās citos kontinentos.

Pamatā vīrusa upuri bija lieli uzņēmumi (diezgan bieži naftas kompānijas), lidostas, šūnu komunikācija utt., piemēram, cieta uzņēmumi Bashneft, Rosneft, Mars, Nestlé un citi. Citiem vārdiem sakot, uzbrucēji ir vērsti uz lieliem uzņēmumiem, no kuriem viņi var ņemt naudu.

Kas ir "Petija"?

Petya ir ļaunprātīga programmatūra, kas ir Trojas zirgu izpirkuma programmatūra. Šādi kaitēkļi tiek radīti ar mērķi šantažēt inficēto datoru īpašniekus, šifrējot datorā esošo informāciju. Petya vīruss, atšķirībā no WannaCry, nešifrē atsevišķi faili. Šis Trojas zirgs šifrē visu disku. Tāpēc tas ir bīstamāks par WannaCry vīrusu.

Kad Petja sit pie datora, tas ļoti ātri šifrē MFT tabulu. Lai padarītu to skaidrāku, sniegsim analoģiju. Ja salīdzina failus ar lielu pilsētas bibliotēku, viņš noņem tās katalogu, un šajā gadījumā ir ļoti grūti atrast pareizo grāmatu.

Pat ne tikai direktorijs, bet arī dažādu grāmatu lapu (failu) maisījums. Protams, šajā gadījumā sistēma neizdodas. Sistēmai ir ļoti grūti sakārtot šādus atkritumus. Kad kaitēklis nokļūst datorā, tas atsāknē datoru un pēc palaišanas parādās sarkans galvaskauss. Pēc tam, noklikšķinot uz jebkuras pogas, tiek parādīts reklāmkarogs ar lūgumu samaksāt 300 USD savā Bitcoin kontā.

Virus Petya kā to nenoķert

Kurš varētu izveidot Petiju? Uz šo jautājumu vēl nav atbildes. Un vispār nav skaidrs, vai autors tiks identificēts (visticamāk, nē)? Taču zināms, ka noplūde radusies no ASV. Vīruss, tāpat kā WannaCry, meklē robu operētājsistēmā. Lai aizlāpītu šo caurumu, vienkārši instalējiet atjauninājumu MS17-010 (izlaists pirms dažiem mēnešiem WannaCry uzbrukuma laikā). Jūs varat to lejupielādēt no saites. Vai arī no oficiālās Microsoft vietnes.

Šobrīd šis atjauninājums ir visoptimālākais veids, kā aizsargāt datoru. Tāpat neaizmirstiet par labs antivīruss. Turklāt Kaspersky Lab paziņoja, ka viņiem ir datu bāzes atjauninājums, kas bloķē šo vīrusu.

Bet tas nenozīmē, ka jums ir jāinstalē Kaspersky. Izmantojiet savu pretvīrusu, tikai neaizmirstiet atjaunināt tā datu bāzi. Tāpat neaizmirstiet par labu ugunsmūri.

Kā izplatās Petya vīruss?


Visbiežāk Petja jūsu datorā nokļūst caur e-pasts. Tāpēc nevajadzētu atvērt dažādas saites vēstulēs, īpaši nepazīstamos, kamēr Petya vīruss inkubē. Kopumā izveidojiet noteikumu neatvērt saites no svešiniekiem. Tā tu pasargāsi sevi ne tikai no šī vīrusa, bet arī no daudziem citiem.

Pēc tam, nonākot datorā, Trojas zirgs tiek restartēts un simulē . Tālāk, kā jau minēju, ekrānā parādās sarkans galvaskauss, pēc tam baneris, kas piedāvā samaksāt par faila atšifrēšanu, pārskaitot trīs simtus dolāru uz Bitcoin maku.

Es uzreiz teikšu, ka jums nav jāmaksā nekādā gadījumā! Viņi vienalga to neatšifrēs jūsu vietā, vienkārši iztērējiet savu naudu un sniedziet ieguldījumu Trojas zirga radītājiem. Šis vīruss nav paredzēts atšifrēšanai.

Petya vīruss, kā pasargāt sevi

Sīkāk apskatīsim aizsardzību pret Petya vīrusu:

  1. Es jau minēju sistēmas atjauninājumus. Tas ir vissvarīgākais punkts. Pat ja jums ir pirātiska sistēma, jums ir jālejupielādē un jāinstalē atjauninājums MS17-010.
  2. IN Windows iestatījumi iespējot "Rādīt failu paplašinājumus". Pateicoties tam, jūs varat redzēt faila paplašinājumu un izdzēst aizdomīgos. Vīrusa failam ir paplašinājums - exe.
  3. Atgriezīsimies pie burtiem. Neklikšķiniet uz saitēm vai pielikumiem no svešiniekiem. Un vispār karantīnas laikā nesekojiet saitēm pastā (pat no jums pazīstamiem cilvēkiem).
  4. Ieteicams iespējot lietotāja konta kontroli.
  5. Kopējiet svarīgus failus uz noņemams datu nesējs. Var iekopēt mākonī. Tas palīdzēs izvairīties no daudzām problēmām. Ja datorā parādās Petya, pēc cietā diska formatēšanas pietiks ar jaunas operētājsistēmas instalēšanu.
  6. Instalējiet labu antivīrusu. Vēlams, lai tas būtu arī ugunsmūris. Parasti šādu antivīrusu beigās ir vārdi “Drošība”. Ja jūsu datorā ir svarīgi dati, jums nevajadzētu taupīt uz pretvīrusu.
  7. Kad esat instalējis pienācīgu antivīrusu, neaizmirstiet atjaunināt tā datu bāzi.

Petya vīruss, kā noņemt

Tas ir grūts jautājums. Ja Petja ir paveicis darbu jūsu datorā, būtībā nebūs ko dzēst. Visi faili tiks izkaisīti visā sistēmā. Visticamāk, jūs vairs nevarēsiet tos organizēt. Nav jēgas maksāt uzbrucējiem. Atliek tikai formatēt disku un pārinstalēt sistēmu. Pēc sistēmas formatēšanas un pārinstalēšanas vīruss pazudīs.

Tāpat es vēlos piebilst, ka šis kaitēklis rada draudus tieši Windows sistēmai. Ja jums ir kāda cita sistēma, piemēram, Krievijas Rosa sistēma, baidieties šis vīruss Jums nav nepieciešama izpirkuma programmatūra. Tas pats attiecas uz tālruņu īpašniekiem. Lielākajai daļai no viņiem ir Android sistēma, iOS utt. Tāpēc mobilo tālruņu īpašniekiem nav par ko uztraukties.

Tāpat, ja esat vienkāršs cilvēks, nevis liela uzņēmuma īpašnieks, visticamāk, uzbrucēji jūs neinteresē. Viņiem ir vajadzīgi lieli uzņēmumi, kuriem 300 USD neko nenozīmē un kuri faktiski var viņiem samaksāt šo naudu. Bet tas nenozīmē, ka vīruss nevar nokļūt jūsu datorā. Labāk ir būt drošam!

Tomēr cerēsim, ka Petya vīruss jūs apies! Rūpējieties par savu informāciju datorā. Veiksmi!

Lielbritānija, ASV un Austrālija ir oficiāli apsūdzējušas Krieviju NotPetya izplatīšanā

2018. gada 15. februārī Lielbritānijas Ārlietu ministrija izplatīja oficiālu paziņojumu, apsūdzot Krieviju kiberuzbrukuma organizēšanā, izmantojot NotPetya ransomware vīrusu.


Lielbritānijas varasiestādes norāda, ka uzbrukums demonstrēja turpmāku Ukrainas suverenitātes neievērošanu un neapdomīgā rīcība izjauca daudzas organizācijas visā Eiropā, radot vairāku miljonu dolāru zaudējumus.


Ministrija norādīja, ka secinājums par Krievijas valdības un Kremļa iesaistīšanos kiberuzbrukumā izdarīts, pamatojoties uz Apvienotās Karalistes Nacionālā kiberdrošības centra slēdzienu, kas ir “gandrīz pilnīgi pārliecināts, ka Krievijas militārpersonas ir aiz muguras. NotPetya uzbrukums.” Arī paziņojumā teikts, ka tās sabiedrotie necietīs kaitīgas kiberdarbības.

Saskaņā ar Austrālijas tiesībaizsardzības un kiberdrošības ministra Angusa Teilora teikto, pamatojoties uz Austrālijas izlūkdienestu datiem, kā arī konsultācijām ar ASV un Lielbritāniju, Austrālijas valdība secināja, ka par incidentu atbildīgi uzbrucēji, kurus atbalsta Krievijas valdība. "Austrālijas valdība nosoda Krievijas rīcību, kas nopietni apdraud globālo ekonomiku, valdības darbību un pakalpojumus, uzņēmējdarbību, kā arī personu drošību un labklājību," teikts paziņojumā.

Kremlis, kas iepriekš vairākkārt noliedzis jebkādu Krievijas varas iestāžu saistību ar hakeru uzbrukumiem, Lielbritānijas Ārlietu ministrijas paziņojumu nosauca par "rusofobiskas kampaņas" daļu.

Piemineklis "Šeit guļ datorvīruss Petja, kuru cilvēki uzvarēja 2017. gada 27. jūnijā"

Piemineklis datorvīrusam Petja tika uzstādīts 2017. gada decembrī pie Skolkovas tehnoparka ēkas. Divmetrīgs piemineklis ar uzrakstu: "Šeit atrodas datorvīruss Petja, kuru cilvēki uzvarēja 2017. gada 27. jūnijā." izgatavots sakosts cietais disks, tika izveidots ar INVITRO uzņēmuma atbalstu, starp citiem uzņēmumiem, kas cieta no masveida kiberuzbrukuma sekām. Robots vārdā Nu, kurš strādā Fizikas un tehnoloģiju parkā un (MIT) speciāli uz ceremoniju ieradās, lai teiktu svinīgo runu.

Uzbrukums Sevastopoles valdībai

Sevastopoles Galvenās informācijas un komunikāciju direktorāta speciālisti veiksmīgi atvairīja tīkla šifrēšanas vīrusa Petya uzbrukumu reģionālās valdības serveriem. Par to 2017. gada 17. jūlijā Sevastopoles valdības darbinieku sanāksmē paziņoja Informatizācijas nodaļas vadītājs Deniss Timofejevs.

Viņš norādīja, ka Petya ļaunprogrammatūra neietekmēja Sevastopoles valdības aģentūru datoros saglabātos datus.


Uzmanība uz bezmaksas programmatūras izmantošanu ir iestrādāta Sevastopoles informatizācijas koncepcijā, kas apstiprināta 2015. gadā. Tajā teikts, ka, iegādājoties un izstrādājot pamata programmatūru, kā arī programmatūru automatizācijas informācijas sistēmām, ieteicams analizēt iespēju izmantot bezmaksas produktus, lai samazinātu budžeta izmaksas un samazinātu atkarību no piegādātājiem un izstrādātājiem.

Iepriekš, jūnija beigās, vērienīgā uzbrukuma medicīnas uzņēmumam Invitro ietvaros cieta arī tās filiāle, kas atrodas Sevastopolē. Vīrusa dēļ datortīkls Filiāle uz laiku apturējusi testu rezultātu izsniegšanu, līdz tiks novērsti iemesli.

Invitro paziņoja par testu pieņemšanas apturēšanu kiberuzbrukuma dēļ

Medicīnas uzņēmums Invitro apturēja biomateriāla savākšanu un pacientu izmeklējumu rezultātu izsniegšanu hakeru uzbrukuma dēļ 27.jūnijā. Par to RBC pastāstīja uzņēmuma korporatīvo komunikāciju direktors Antons Bulanovs.

Kā teikts uzņēmuma paziņojumā, Invitro drīzumā atgriezīsies normālā darbībā. Pēc šī laika veikto pētījumu rezultāti tiks nodoti pacientiem pēc tehniskās kļūmes novēršanas. Šobrīd laboratorija Informācijas sistēma atjaunots, notiek tā iestatīšanas process. "Mēs izsakām nožēlu par pašreizējo nepārvaramas varas situāciju un pateicamies mūsu klientiem par sapratni," secināja Invitro.

Pēc šiem datiem uzbrukums datorvīruss tika atklātas klīnikas Krievijā, Baltkrievijā un Kazahstānā.

Uzbrukums Gazprom un citām naftas un gāzes kompānijām

2017. gada 29. jūnijā kļuva zināms par globālu kiberuzbrukumu Gazprom datorsistēmām. Tātad vēl viens Krievijas uzņēmums cieta no Petya ransomware vīrusa.

Saskaņā ar informācijas aģentūra Reuters, atsaucoties uz avotu Krievijas valdībā un incidenta izmeklēšanā iesaistītu personu, Gazprom cieta no ļaunprogrammatūras Petya izplatības, kas uzbruka datoriem kopumā vairāk nekā 60 pasaules valstīs.

Publikācijas sarunu biedri nesniedza sīkāku informāciju par to, cik un kuras sistēmas ir inficētas Gazprom, kā arī par hakeru nodarītā kaitējuma apmēru. Uzņēmums atteicās komentēt, kad ar Reuters sazinājās.

Tikmēr kāds augsta ranga RBC avots Gazprom izdevumam pastāstīja, ka kompānijas centrālajā birojā datori darbojās bez pārtraukuma, kad liela mēroga hakeru uzbrukums(2017. gada 27. jūnijs), un turpiniet divas dienas vēlāk. Vēl divi RBC avoti Gazprom arī apliecināja, ka uzņēmumā "viss ir mierīgi" un vīrusu nav.

Naftas un gāzes sektorā Bašņeftj un Rosņeftj cieta no Petja vīrusa. Pēdējais 28. jūnijā paziņoja, ka uzņēmums strādā kā ierasts un “individuālās problēmas” tiek operatīvi risinātas.

Bankas un rūpniecība

Kļuva zināms, ka datori tika inficēti Royal Canin Krievijas filiālē Evraz (ražo formas tērpus dzīvniekiem) un Mondelez Krievijas nodaļā (Alpen Gold un Milka šokolādes ražotājs).

Kā informē Ukrainas Iekšlietu ministrija, kāds vīrietis failu apmaiņas vietnēs un sociālajos tīklos publicējis video ar Detalizēts apraksts ransomware palaišanas process datoros. Video komentāros vīrietis ievietojis saiti uz savu lapu vietnē sociālais tīkls, kurā viņš lejupielādēja ļaunprātīgu programmu. Veicot kratīšanas “hakera” dzīvoklī, likumsargi konfiscēja datortehnika, ko izmanto, lai izplatītu NotPetya. Policija atrada arī failus ar ļaunprātīgu programmatūru, pēc kuras analīzes tika apstiprināts, ka tā ir līdzīga NotPetya izpirkuma programmatūrai. Kā konstatēja kiberpolicijas darbinieki, izspiedējvīrusu programmu, uz kuras saiti publicēja kāds Nikopoles iedzīvotājs, sociālo tīklu lietotāji lejupielādēja 400 reizes.

Starp tiem, kas lejupielādēja NotPetya, likumsargi identificēja uzņēmumus, kas apzināti inficēja savas sistēmas ar izspiedējprogrammatūru, lai slēptu noziedzīgas darbības un izvairītos no sodu maksāšanas valstij. Jāatzīmē, ka policija nesaista vīrieša darbības ar hakeru uzbrukumiem šī gada 27.jūnijā, proti, nav runas par saistību ar NotPetya autoriem. Viņam inkriminētās darbības attiecas tikai uz darbībām, kas veiktas šā gada jūlijā - pēc plaša mēroga kiberuzbrukumu viļņa.

Pret vīrieti ir ierosināta krimināllieta pēc 1.daļas 1.daļas. 361 (neatļauta iejaukšanās datora darbībā) Ukrainas Kriminālkodeksā. Nikopoles iedzīvotājam draud līdz pat 3 gadiem cietumā.

Izplatība pasaulē

Petya ransomware vīrusa izplatība fiksēta Spānijā, Vācijā, Lietuvā, Ķīnā un Indijā. Piemēram, Indijas ļaunprātīgas programmas dēļ Jawaharlal Nehru konteineru ostas kravu plūsmas pārvaldības tehnoloģija, ko pārvalda A.P. Moller-Maersk pārtrauca atpazīt kravas identitāti.

Par kiberuzbrukumu ziņoja britu reklāmas grupa WPP, viena no pasaulē lielākajām juridiskajām firmām DLA Piper Spānijas birojs un pārtikas giganta Mondelez. Cietušo vidū ir arī franču būvmateriālu ražotājs Cie. de Saint-Gobain un farmācijas uzņēmums Merck & Co.

Merck

Amerikāņu farmācijas gigants Merck, kas ļoti cieta jūnija izspiedējvīrusa NotPetya uzbrukuma rezultātā, joprojām nevar atjaunot visas sistēmas un atgriezties normālā darbībā. Tas tika ziņots uzņēmuma ziņojumā par veidlapu 8-K, kas tika iesniegts ASV Vērtspapīru un biržu komisijai (SEC) 2017. gada jūlija beigās. Lasīt vairāk.

Moller-Maersk un Rosņeftj

2017. gada 3. jūlijā kļuva zināms, ka Dānijas kuģniecības gigants Moller-Maersk un Rosneft tikai gandrīz nedēļu pēc uzbrukuma, kas notika 27. jūnijā, atjaunoja ar Petya ransomware vīrusu inficētās IT sistēmas.


Kuģniecības kompānija Maersk, kas veido katru septīto pasaulē nosūtīto kravas konteineru, arī piebilda, ka visas 1500 lietojumprogrammas, kuras skārusi kiberuzbrukums, normālā darbībā atgriezīsies maksimāli līdz 2017.gada 9.jūlijam.

Pārsvarā tika skartas Maersk piederošā APM Terminals IT sistēmas, kas pārvalda desmitiem kravu ostu un konteineru termināļu vairāk nekā 40 valstīs. Vairāk nekā 100 tūkstoši kravas konteineru dienā iziet cauri APM Terminals ostām, kuru darbs vīrusa izplatības dēļ bija pilnībā paralizēts. Maasvlakte II terminālis Roterdamā piegādes atsāka 3. jūlijā.

2017. gada 16. augusts A.P. Moller-Maersk nosauca aptuveno zaudējumu apmēru, ko radījis kiberuzbrukums, izmantojot Petya vīrusu, kas, kā atzīmēja Eiropas uzņēmums, tika inficēts ar Ukrainas programmas starpniecību. Saskaņā ar Maersk provizoriskiem aprēķiniem, Petya ransomware radītie finansiālie zaudējumi 2017. gada otrajā ceturksnī bija no 200 līdz 300 miljoniem dolāru.

Tikmēr gandrīz nedēļa, lai atgūtu datorsistēmas Rosņeftj arī cieta no hakeru uzbrukuma, kā 3. jūlijā ziņoja uzņēmuma preses dienests, ziņoja Interfax:


Dažas dienas iepriekš Rosņeftj uzsvēra, ka vēl nevērtē kiberuzbrukuma sekas, taču ražošana nav ietekmēta.

Kā darbojas Petja

Patiešām, vīrusa upuri nevar atbloķēt savus failus pēc inficēšanās. Fakts ir tāds, ka tā veidotāji vispār neparedzēja šādu iespēju. Tas nozīmē, ka šifrētu disku a priori nav iespējams atšifrēt. Ļaunprātīgas programmatūras ID nesatur informāciju, kas nepieciešama atšifrēšanai.

Sākotnēji eksperti vīrusu, kas skāra aptuveni divus tūkstošus datoru Krievijā, Ukrainā, Polijā, Itālijā, Vācijā, Francijā un citās valstīs, klasificēja kā daļu no jau labi zināmās Petya ģimenes izspiedējvīrusu programmatūras. Taču izrādījās, ka runa ir par jaunu ļaunprogrammatūras saimi. Dublēts Kaspersky Lab jauna izpirkuma programmatūra ExPetr.

Kā cīnīties

Cīņa pret kiberdraudiem prasa banku, IT uzņēmumu un valsts kopīgus centienus

Datu atkopšanas metode no Positive Technologies

2017. gada 7. jūlijā Positive Technologies eksperts Dmitrijs Skļarovs prezentēja metodi NotPetya vīrusa šifrēto datu atgūšanai. Pēc eksperta domām, metode ir piemērojama, ja NotPetya vīrusam bija administratīvās tiesības un tas šifrēja visu disku.

Datu atkopšanas iespēja ir saistīta ar pašu uzbrucēju pieļautajām kļūdām Salsa20 šifrēšanas algoritma ieviešanā. Metodes veiktspēja tika pārbaudīta gan testa datu nesējā, gan vienā no šifrētajiem cietie diski liels uzņēmums, kas bija epidēmijas upuru vidū.

Uzņēmumi un neatkarīgi izstrādātāji, kas specializējas datu atkopšanā, var brīvi izmantot un automatizēt piedāvāto atšifrēšanas skriptu.

Izmeklēšanas rezultātus jau apstiprinājusi Ukrainas kiberpolicija. Juscutum plāno izmantot izmeklēšanas rezultātus kā galvenos pierādījumus turpmākajā tiesas procesā pret Intellect-Service.

Procesam būs civils raksturs. Ukrainas tiesībsargājošās iestādes veic neatkarīgu izmeklēšanu. To pārstāvji jau iepriekš paziņoja par iespēju ierosināt lietu pret Intellect-Service darbiniekiem.

Pati kompānija M.E.Doc norādīja, ka notiekošais ir mēģinājums veikt reidu uzņēmumā. Vienīgās populārās Ukrainas grāmatvedības programmatūras ražotājs uzskata, ka Ukrainas kiberpolicijas veiktā kratīšana uzņēmumā bijusi daļa no šī plāna īstenošanas.

Sākotnējais Petya šifrētāja infekcijas vektors

17. maijā tika izlaists M.E.Doc atjauninājums, kas nesatur ļaunprātīgu aizmugures durvju moduli. Tas, iespējams, izskaidro salīdzinoši nelielo XData infekciju skaitu, uzskata uzņēmums. Uzbrucēji negaidīja, ka atjauninājums tiks izlaists 17. maijā, un šifrētāju palaida 18. maijā, kad lielākā daļa lietotāju jau bija instalējuši drošo atjauninājumu.

Aizmugures durvis ļauj lejupielādēt un izpildīt citas ļaunprogrammatūras inficētajā sistēmā - šādi tika veikta sākotnējā inficēšanās ar Petya un XData šifrētājiem. Turklāt programma apkopo starpniekservera un e-pasta iestatījumus, tostarp pieteikumvārdus un paroles no lietojumprogrammas M.E.Doc, kā arī uzņēmumu kodus saskaņā ar Ukrainas vienoto valsts uzņēmumu un organizāciju reģistru, kas ļauj identificēt cietušos.

"Mums ir jāatbild uz vairākiem jautājumiem," sacīja Antons Čerepanovs, Eset vecākais vīrusu analītiķis. - Cik ilgi tiek izmantotas aizmugures durvis? Kādas komandas un ļaunprātīgas programmatūras, izņemot Petya un XData, tika nosūtītas caur šo kanālu? Kādas citas infrastruktūras ir apdraudējušas, bet vēl nav izmantojušas šo uzbrukumu veicošā kibergrupa?

Pamatojoties uz pazīmju kombināciju, tostarp infrastruktūru, ļaunprātīgiem rīkiem, shēmām un uzbrukuma mērķiem, Eset eksperti izveidoja saikni starp Diskcoder.C (Petya) epidēmiju un Telebots kibergrupu. Pagaidām nav bijis iespējams droši noteikt, kas ir aiz šīs grupas aktivitātēm.

Vairākiem Krievijas un Ukrainas uzņēmumiem uzbruka Petya izspiedējvīruss. Tiešsaistes publikāciju vietne sarunājās ar Kaspersky Lab un interaktīvās aģentūras AGIMA ekspertiem un noskaidroja, kā aizsargāt korporatīvos datorus no vīrusiem un kā Petja ir līdzīga tikpat labi zināmajam. WannaCry ransomware vīruss.

Vīruss "Petya"

Krievijā ir Rosneft, Bashneft, Mars, Nivea un Alpen Gold šokolādes ražotāji Mondelez International. Černobiļas atomelektrostacijas radiācijas uzraudzības sistēmas izspiedējvīruss. Turklāt uzbrukums skāra Ukrainas valdības, Privatbank un telekomunikāciju operatoru datorus. Vīruss bloķē datorus un pieprasa izpirkuma maksu 300 USD apmērā bitkoinos.

Mikroblogā Twitter Rosņeftj preses dienests runāja par hakeru uzbrukumu uzņēmuma serveriem. "Uzņēmuma serveriem tika veikts spēcīgs hakeru uzbrukums. Ceram, ka tam nav nekāda sakara ar pašreizējo tiesvedību. Uzņēmums sazinājās ar tiesībsargājošajām iestādēm saistībā ar kiberuzbrukumu," teikts ziņojumā.

Pēc uzņēmuma preses sekretāra Mihaila Ļeontjeva teiktā, Rosņeftj un tās meitasuzņēmumi strādā kā parasti. Pēc uzbrukuma uzņēmums pārgāja uz rezerves sistēma ražošanas procesu kontrole, lai eļļas ražošana un apstrāde netiktu pārtraukta. Uzbrukums tika veikts arī Home Credit bankas sistēmai.

"Petya" neinficē bez "Mišas"

Saskaņā ar AGIMA izpilddirektors Jevgeņijs Lobanovs, patiesībā uzbrukumu veica divi šifrēšanas vīrusi: Petja un Miša.

"Viņi strādā kopā. "Petya" neinficē bez "Mišas". Viņš var inficēt, bet vakardienas uzbrukums bija divi vīrusi: vispirms Petja, tad Miša. "Petya" pārraksta sāknēšanas ierīci (no kurienes dators sāk sāknēties), un Miša – “šifrē failus, izmantojot noteiktu algoritmu,” paskaidroja speciālists. “Petja šifrē sāknēšanas sektors disku (MBR) un aizstāj to ar savu, Miša jau šifrē visus diskā esošos failus (ne vienmēr).

Viņš norādīja, ka WannaCry šifrēšanas vīruss, kas šā gada maijā uzbruka lielajiem globālajiem uzņēmumiem, nav līdzīgs Petijai, tā ir jauna versija.

"Petya.A ir no WannaCry (vai drīzāk WannaCrypt) ģimenes, taču galvenā atšķirība, kāpēc tas nav viens un tas pats vīruss, ir tā, ka tas aizstāj MBR ar savu sāknēšanas sektoru - tā ir jauna lieta Ransomware. Petijas vīruss parādījās jau sen, vietnē GitHab (tiešsaistes pakalpojums IT projektiem un sadarbības programmēšanai — vietne) https://github.com/leo-stone/hack-petya" target="_blank">bija šīs izspiedējprogrammas atšifrētājs. , bet uz jauno Nr atšifrētājs ir piemērots pārveidošanai.

Jevgeņijs Lobanovs uzsvēra, ka uzbrukums Ukrainu skāra spēcīgāk nekā Krieviju.

"Mēs esam uzņēmīgāki pret uzbrukumiem nekā citas rietumvalstis. Mēs būsim pasargāti no šīs vīrusa versijas, bet ne no tās modifikācijām. Mūsu internets ir nedrošs, Ukrainā vēl mazāk. Lielākoties mēs bijām pakļauti uzbrukumiem transporta uzņēmumi, bankas, mobilo sakaru operatori(Vodafone, Kyivstar) un medicīnas uzņēmumi, tās pašas Pharmamag, Shell degvielas uzpildes stacijas - visas ļoti lielas transkontinentālas kompānijas,” viņš teica intervijā vietnei.

AGIMA izpilddirektors norādīja, ka pagaidām nav faktu, kas liecinātu par vīrusa izplatītāja ģeogrāfisko atrašanās vietu. Pēc viņa domām, vīruss esot parādījies Krievijā. Diemžēl tiešu pierādījumu tam nav.

"Pastāv pieņēmums, ka tie ir mūsu hakeri, jo pirmās modifikācijas parādījās Krievijā, un pats vīruss, kas nevienam nav noslēpums, tika nosaukts Petro Porošenko vārdā. Tā bija Krievijas hakeru attīstība, bet grūti pateikt kurš to mainīja tālāk.Skaidrs.ka pat atrodoties Krievijā, ir viegli iegūt datoru ar ģeogrāfisko atrašanās vietu, piemēram, ASV,” skaidroja eksperts.

"Ja jūsu dators pēkšņi ir "inficēts", jūs nedrīkstat izslēgt datoru. Ja atsāknējat, jūs nekad vairs nepieteiksieties."

"Ja jūsu dators pēkšņi ir "inficēts", jūs nevarat izslēgt datoru, jo Petya vīruss aizstāj MBR - pirmo sāknēšanas sektoru, no kura tiek ielādēta operētājsistēma. Ja jūs atsāknējat, jūs nekad vairs nepieteiksieties sistēmā. Tādējādi tiks nogriezti evakuācijas ceļi, pat ja parādās " planšetdators" vairs nevarēs atgriezt datus. Tālāk nekavējoties jāatvienojas no interneta, lai dators netiktu pieslēgts. Oficiāls ielāps no Microsoft jau ir izlaists, tas sniedz 98 procentu drošības garantiju. Diemžēl vēl ne 100 procentu. Noteiktu vīrusa modifikāciju (to trīs gabalus) viņš pagaidām apiet," ieteica Lobanovs. – Tomēr, ja jūs atsāknējat un redzat diska pārbaudes procesa sākumu, šajā brīdī jums nekavējoties jāizslēdz dators, un faili paliks nešifrēti.

Turklāt eksperts arī skaidroja, kāpēc visbiežāk uzbrūk Microsoft lietotājiem, nevis MacOSX (Apple operētājsistēma – vietne) un Unix sistēmām.

"Šeit pareizāk ir runāt ne tikai par MacOSX, bet arī par visām Unix sistēmām (princips tāds pats). Vīruss izplatās tikai datoros, bez mobilās ierīces. Operāciju zāle ir pakļauta uzbrukumam Windows sistēma un apdraud tikai tos lietotājus, kuri ir atspējojuši funkciju automātiska atjaunināšana sistēmas. Atjauninājumi ir pieejami kā izņēmums pat veco ierīču īpašniekiem Windows versijas, kas vairs netiek atjaunināti: XP, Windows 8 un Windows Server 2003. gadā,” sacīja eksperts.

"MacOSX un Unix globāli nav uzņēmīgi pret šādiem vīrusiem, jo ​​daudzas lielas korporācijas izmanto Microsoft infrastruktūru. MacOSX nav uzņēmīgs, jo tas nav tik izplatīts valsts aģentūrās. Tam ir mazāk vīrusu, nav izdevīgi tos izgatavot, un tas ir ļoti svarīgi, lai tas varētu notikt," sacīja "MacOSX un Unix". jo uzbrukuma segments būs mazāks nekā tad, ja uzbruktu Microsoft,” secināja speciālists.

"Uzbrukušo lietotāju skaits sasniedzis divus tūkstošus"

Kaspersky Lab preses dienestā, kura eksperti turpina izmeklēt jaunāko infekciju vilni, sacīja, ka "šī izspiedējvīrusu programmatūra nepieder jau zināmajai Petya izspiedējvīrusu saimei, lai gan tai ir vairākas kopīgas koda rindas."

Laboratorija ir pārliecināta, ka šajā gadījumā mēs runājam par jaunu ļaunprātīgas programmatūras saimi, kuras funkcionalitāte būtiski atšķiras no Petya. Kaspersky Lab savu jauno izspiedējvīrusu ir nosaucis par ExPetr.

"Pēc Kaspersky Lab datiem, uzbrukušo lietotāju skaits sasniedza divus tūkstošus. Visvairāk incidentu reģistrēts Krievijā un Ukrainā, inficēšanās gadījumi novēroti arī Polijā, Itālijā, Lielbritānijā, Vācijā, Francijā, ASV un virknē citu valstu Pašlaik mūsu eksperti norāda, ka šī ļaunprogrammatūra izmantoja vairākus uzbrukuma vektorus un tika konstatēta, ka tā izplatās visā pasaulē korporatīvie tīkli tika izmantots modificēts EternalBlue un EternalRomance izgudrojums,” paziņoja preses dienests.

Eksperti arī pēta iespēju izveidot atšifrēšanas rīku, ko varētu izmantot datu atšifrēšanai. Laboratorija arī sniedza ieteikumus visām organizācijām, lai turpmāk izvairītos no vīrusu uzbrukumiem.

"Mēs iesakām organizācijām instalēt Windows atjauninājumus. Operētājsistēmām Windows XP un Windows 7 ir jāinstalē drošības atjauninājums MS17-010 un jānodrošina efektīva sistēma Rezerves kopija datus. Savlaicīga un droša datu dublēšana ļauj atjaunot oriģinālos failus, pat ja tie bija šifrēti ar ļaunprātīgu programmatūru,” konsultēja Kaspersky Lab eksperti.

uz viņa korporatīvajiem klientiem Laboratorija arī iesaka pārliecināties, vai ir aktivizēti visi aizsardzības mehānismi, jo īpaši pārliecināties, ka savienojums ar mākoņa infrastruktūru Kaspersky drošība Tīkls kā papildu pasākums ir ieteicams izmantot lietojumprogrammas privilēģiju kontroles komponentu, lai liegtu visām lietojumprogrammu grupām piekļuvi (un attiecīgi izpildi) failam ar nosaukumu “perfc.dat” utt.

"Ja neizmantojat Kaspersky Lab produktus, mēs iesakām atspējot faila perfc.dat izpildi, kā arī bloķēt PSExec utilīta palaišanu no Sysinternals pakotnes, izmantojot OS iekļauto AppLocker funkciju ( operētājsistēma– vietne) Windows,” ieteica laboratorija.

2017. gada 12. maijs daudziem – datu šifrētājs datoru cietajos diskos. Viņš bloķē ierīci un pieprasa samaksāt izpirkuma maksu.
Vīruss skāris organizācijas un departamentus desmitiem pasaules valstu, tostarp Krievijā, kur tika uzbrukts Veselības ministrijai, Ārkārtas situāciju ministrijai, Iekšlietu ministrijai un serveriem. mobilo sakaru operatori un vairākas lielas bankas.

Vīrusa izplatība tika apturēta nejauši un uz laiku: ja hakeri nomainītu tikai dažas koda rindiņas, ļaunprogrammatūra atsāktu darboties. Programmas radītie zaudējumi tiek lēsti miljardā dolāru. Pēc tiesu lingvistiskās analīzes eksperti konstatēja, ka WannaCry radījuši cilvēki no Ķīnas vai Singapūras.