Viss, kas jums jāzina par Petna, Petya ģimenes izspiedējvīrusu. Petja, NotPetija vai Petna? Viss, kas jums jāzina par jauno epidēmisko Virus petya failu

Vīrusu uzbrukums Ukrainas valsts un privāto uzņēmumu datoriem sākās pulksten 11:30. Tika uzbrukts lielām bankām, mazumtirdzniecības ķēdēm, operatoriem šūnu sakari, valsts uzņēmumi, infrastruktūras objekti un pakalpojumu uzņēmumi.

Vīruss aptvēra visu Ukrainas teritoriju, līdz pulksten 17:00 parādījās informācija, ka uzbrukums fiksēts pašos valsts rietumos, Aizkarpatijā: šeit vīrusa dēļ tika slēgtas OTR bankas un Ukrsotsbank filiāles.

“Ukrainā populārā vietne Korrespondent.net un televīzijas kanāls “24” nedarbojas. Uzbrukumā skarto uzņēmumu skaits pieaug katru stundu. Pašlaik lielākā daļa banku filiāļu nedarbojas Ukrainā. Piemēram, Ukrsotsbank birojos datori vienkārši netiek palaists. Jūs nevarat saņemt vai nosūtīt naudu, apmaksāt kvītis utt. Tajā pašā laikā PrivatBank problēmu nav,” ziņo RT Kijevas korespondents.

Vīruss ietekmē tikai tos datorus, kas darbojas Windows sistēma. Tas šifrē cietā diska galveno failu tabulu un izspiež no lietotājiem naudu atšifrēšanai. Šajā ziņā tas ir līdzīgs WannaCry ransomware vīrusam, kas ir uzbrukis daudziem uzņēmumiem visā pasaulē. Tajā pašā laikā jau parādījušies inficēto datoru skenēšanas rezultāti, kas liecina, ka vīruss iznīcina visu vai lielāko daļu inficētajos diskos esošās informācijas.

Šobrīd vīruss identificēts kā mbr locker 256, bet medijos plaši izplatījies cits nosaukums – Petja.

No Kijevas uz Černobiļu

Vīruss skāris arī Kijevas metro, kur šobrīd ir grūtības ar norēķiniem ar bankas kartēm.

Cietuši daudzi lieli infrastruktūras objekti, piemēram, valsts dzelzceļa operators Ukrzaliznicja un Borispiļas lidosta. Taču, kamēr tās darbojas normāli, aeronavigācijas sistēmas vīruss nav skāris, lai gan Borispiļa jau publicējusi brīdinājumu par iespējamās izmaiņas grafikā, bet pašā lidostā ielidotāju dēlis nedarbojas.

Uzbrukuma dēļ grūtības darbā piedzīvo divi valsts lielākie pasta operatori: valstij piederošais Ukrposhta un privātais. Jauns pasts" Pēdējais paziņoja, ka šodien par paku glabāšanu nebūs jāmaksā, un Ukrposhta ar SBU palīdzību cenšas samazināt uzbrukuma sekas.

Inficēšanās riska dēļ nedarbojas arī to organizāciju mājaslapas, kuras vīruss neskāra. Šī iemesla dēļ, piemēram, tika atspējoti Kijevas pilsētas valsts pārvaldes tīmekļa vietnes serveri, kā arī Ukrainas Iekšlietu ministrijas vietne.

Ukrainas amatpersonas paredzami apgalvo, ka uzbrukumi nāk no Krievijas. To sacīja Ukrainas Nacionālās drošības un aizsardzības padomes sekretārs Oleksandrs Turčinovs. "Pat tagad, veicot sākotnējo vīrusa analīzi, mēs varam runāt par Krievijas pēdām," departamenta oficiālajā tīmekļa vietnē citēts viņa teiktais.

Līdz pulksten 17:30 vīruss bija sasniedzis pat Černobiļas atomelektrostaciju. Par to izdevumam Ukrajinska Pravda ziņoja Černobiļas atomelektrostacijas maiņas vadītājs Vladimirs Iļčuks.

“Ir provizoriska informācija, ka daži datori bija inficēti ar vīrusu. Tāpēc, tiklīdz sākās šis hakeru uzbrukums, personāla atrašanās vietās datoru darbiniekiem tika dota personīga komanda datorus izslēgt,” sacīja Iļčuks.

Uzbrukums saldumiem un eļļai un gāzei

Hakeru uzbrukumam otrdien, 27.jūnijā, tika pakļauti arī daži Krievijas uzņēmumi, tostarp naftas un gāzes giganti Rosņeftj un Bašņeftj, metalurģijas uzņēmums Evraz, Home Credit Bank, kuras filiāles apturēja darbību, kā arī Marsa Krievijas pārstāvniecības, Nivea, Mondelez International, TESA un vairākas citas ārvalstu kompānijas.

• Reuters
• MAKSIMS ŠEMETOVS

Apmēram pulksten 14:30 pēc Maskavas laika Rosņeftj paziņoja par spēcīgu hakeru uzbrukums uz uzņēmuma serveriem. Tajā pašā laikā uzņēmuma mikroblogā Twitter atzīmē, ka uzbrukums varēja izraisīt nopietnas sekas, taču, pateicoties pārejai uz rezerves sistēma ražošanas procesu vadība, netika pārtraukta ne eļļas ražošana, ne eļļas sagatavošana.

Pēc kiberuzbrukuma uzņēmumu Rosņeftj un Bašņeftj mājas lapas kādu laiku kļuva nepieejamas. Rosņeftj arī norādīja, ka nav pieļaujama nepatiesas informācijas izplatīšana par uzbrukumu.

Nepatiesu panikas ziņojumu izplatītāji tiks uzskatīti par uzbrukuma organizatoru līdzdalībniekiem un kopā ar viņiem uzņemsies atbildību.

— PJSC NK Rosneft (@RosneftRu) 2017. gada 27. jūnijs

"Nepatiesu panikas ziņojumu izplatītāji tiks uzskatīti par uzbrukuma organizatoru līdzdalībniekiem un kopā ar viņiem uzņemsies atbildību," paziņoja uzņēmums.

Vienlaikus "Rosņeftj" norādīja, ka uzņēmums sazinājās ar tiesībsargājošajām iestādēm saistībā ar kiberuzbrukumu, un izteica cerību, ka incidents nekādā veidā nav saistīts "ar pašreizējām tiesu procedūrām". Otrdien, 27. jūnijā, Baškīrijas šķīrējtiesa sāka izskatīt pēc būtības Rosņeftj, Bašņeftj un Baškīrijas prasību pret AFK Sistema 170,6 miljardu rubļu apmērā.

WannaCry Jr.

Tomēr hakeru uzbrukums darbu neietekmēja datorsistēmas Krievijas prezidenta administrācija un Kremļa oficiālā vietne, kas, kā aģentūrai TASS sacīja prezidenta preses sekretārs Dmitrijs Peskovs, "strādā stabili".

Hakeru uzbrukums arī nekādā veidā neietekmēja Krievijas atomelektrostaciju darbību, atzīmēja koncerns Rosenergoatom.

Uzņēmums Dr. Web savā vietnē norādīja, ka, neskatoties uz ārējo līdzību, pašreizējais uzbrukums tika veikts, izmantojot vīrusu, kas atšķiras no jau zināmās ļaunprogrammatūras - Petya ransomware, jo īpaši draudu izplatīšanās mehānisms.

"Kiberuzbrukuma upuru vidū bija Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA un citi tīkli," aģentūra citē uzņēmuma ziņojumu. Tajā pašā laikā Marsa preses dienests Krievijā paziņoja, ka kiberuzbrukums radījis IT sistēmu problēmas tikai dzīvnieku barības ražotājam Royal Canin zīmolam, nevis visam uzņēmumam.

Pēdējais lielais hakeru uzbrukums Krievijas uzņēmumiem un valdības aģentūrām notika 12. maijā kā daļa no vērienīgas operācijas, ko veica nezināmi hakeri, kuri uzbruka Windows datoriem 74 valstīs, izmantojot WannaCry izspiedējvīrusu.

Federācijas padomes starptautiskās komitejas vadītājs Konstantīns Kosačovs otrdien, uzstājoties Federācijas padomes valsts suverenitātes aizsardzības komisijas sēdē, sacīja, ka aptuveni 30% no visiem kiberuzbrukumiem Krievijai tiek veikti no ASV teritorijas. .

“No Krievijas teritorijas uz Amerikas datoriem tiek veikti ne vairāk kā 2% darījumu. kopējais skaits kiberuzbrukumiem, savukārt no ASV teritorijas uz Krievijas elektronisko infrastruktūru - 28-29%,” Kosačeva teikto citē RIA Novosti.

Saskaņā ar Kaspersky Lab starptautiskās pētniecības grupas vadītāju Kostinu Raiu, Petijas vīruss ir izplatījies daudzās pasaules valstīs.

Petrwrap/Petya ransomware variants ar kontaktu [aizsargāts ar e-pastu] izplatās, visā pasaulē skarts liels skaits valstu.

Maija sākumā aptuveni 230 000 datoru vairāk nekā 150 valstīs bija inficēti ar izspiedējvīrusu. Pirms upuriem bija laiks novērst šī uzbrukuma sekas, sekoja jauns, ar nosaukumu Petja. No tā cieta lielākie Ukrainas un Krievijas uzņēmumi, kā arī valsts iestādes.

Ukrainas kiberpolicija konstatēja, ka vīrusa uzbrukums sākās, izmantojot grāmatvedības atjaunināšanas mehānismu. programmatūra M.E.Doc, ko izmanto nodokļu atskaišu sagatavošanai un nosūtīšanai. Tādējādi kļuva zināms, ka Bašņeftj, Rosņeftj, Zaporožjeoblenergo, Dņeproenergo un Dņepras elektroenerģijas sistēmas tīkli neizvairījās no inficēšanās. Ukrainā vīruss iekļuva valdības datoros, Kijevas metro personālajos datoros, telekomunikāciju operatoros un pat Černobiļas atomelektrostacijā. Krievijā tika skartas Mondelez International, Marss un Nivea.

Petya vīruss izmanto EternalBlue ievainojamību operētājsistēmā Windows. Symantec un F-Secure eksperti saka, ka, lai gan Petya šifrē datus, piemēram, WannaCry, tas joprojām nedaudz atšķiras no cita veida šifrēšanas vīrusiem. "Petijas vīruss ir jauns izskats izspiešana ar ļaunprātīgu nolūku: tā ne tikai šifrē diskā esošos failus, bet bloķē visu disku, padarot to praktiski nelietojamu, skaidro F-Secure. "Konkrēti, tas šifrē MFT galvenā faila tabulu."

Kā tas notiek un vai šo procesu var novērst?

Vīruss "Petya" - kā tas darbojas?

Petya vīruss ir zināms arī ar citiem nosaukumiem: Petya.A, PetrWrap, NotPetya, ExPetr. Atrodoties datorā, tas no interneta lejupielādē izspiedējvīrusu programmatūru un mēģina inficēt kādu cietais disks ar datiem, kas nepieciešami datora palaišanai. Ja viņam izdodas, sistēma izdod Blue Screen of Death (“ zils ekrāns nāve"). Pēc pārstartēšanas parādās ziņojums par rūpīgi pārbauda disks ar lūgumu neizslēgt strāvu. Tādējādi izpirkuma programmatūra izliekas par tādu sistēmas programma lai pārbaudītu disku, pašlaik šifrējot failus ar noteiktiem paplašinājumiem. Procesa beigās tiek parādīts ziņojums, kas norāda, ka dators ir bloķēts, un informācija par to, kā iegūt digitālo atslēgu datu atšifrēšanai. Petya vīruss pieprasa izpirkuma maksu, parasti Bitcoin. Ja cietušajam nav savu failu rezerves kopiju, viņš ir izvēles priekšā maksāt 300 USD vai pazaudēt visu informāciju. Pēc dažu analītiķu domām, vīruss tikai maskējas kā izspiedējvīruss, bet tā patiesais mērķis ir radīt milzīgus bojājumus.

Kā atbrīvoties no Petijas?

Eksperti ir atklājuši, ka Petya vīruss meklē lokālu failu un, ja šis fails jau eksistē diskā, iziet no šifrēšanas procesa. Tas nozīmē, ka lietotāji var aizsargāt savu datoru no izspiedējvīrusa, izveidojot šo failu un iestatot to kā tikai lasāmu.

Lai gan šī viltīgā shēma neļauj sākt izspiešanas procesu, šo metodi vairāk var uzskatīt par "vakcināciju ar datoru". Tādējādi lietotājam fails būs jāizveido pašam. To var izdarīt šādi:

• Vispirms jums ir jāsaprot faila paplašinājums. Logā Mapes opcijas pārbaudiet, vai nav atzīmēta izvēles rūtiņa Paslēpt zināmo failu tipu paplašinājumus.
• Atveriet mapi C:\Windows, ritiniet uz leju, līdz tiek parādīta programma notepad.exe.
• Ar peles kreiso taustiņu noklikšķiniet uz notepad.exe, pēc tam nospiediet Ctrl + C, lai kopētu, un pēc tam Ctrl + V, lai ielīmētu failu. Jūs saņemsit pieprasījumu, kurā tiek lūgta atļauja kopēt failu.
• Noklikšķiniet uz pogas Turpināt, un fails tiks izveidots kā piezīmju grāmatiņa - Copy.exe. Ar peles kreiso taustiņu noklikšķiniet uz šī faila un nospiediet F2, pēc tam izdzēsiet faila nosaukumu Copy.exe un ievadiet perfc.
• Pēc faila nosaukuma maiņas uz perfc nospiediet taustiņu Enter. Apstipriniet pārdēvēšanu.
• Tagad, kad perfc fails ir izveidots, mums tas jāpadara tikai lasāms. Lai to izdarītu, noklikšķiniet uz ar peles labo pogu noklikšķiniet virziet peles kursoru virs faila un atlasiet "Properties".
• Tiks atvērta šī faila rekvizītu izvēlne. Apakšā jūs redzēsit "Tikai lasāms". Atzīmējiet izvēles rūtiņu.
• Tagad noklikšķiniet uz pogas Lietot un pēc tam uz pogas Labi.

Daži drošības eksperti iesaka izveidot C:\Windows\perfc.dat un C:\Windows\perfc.dll failus papildus failam C:\windows\perfc, lai rūpīgāk aizsargātu pret Petya vīrusu. Šiem failiem varat atkārtot iepriekš minētās darbības.

Apsveicam, jūsu dators ir aizsargāts no NotPetya/Petya!

Symantec eksperti sniedz dažus padomus datoru lietotājiem, lai viņi neveiktu darbības, kas var izraisīt failu bloķēšanu vai naudas zaudēšanu.

1. Nemaksājiet naudu noziedzniekiem. Pat ja jūs pārskaitāt naudu uz izspiedējvīrusu, nav garantijas, ka varēsit atgūt piekļuvi saviem failiem. Un NotPetya / Petya gadījumā tas būtībā ir bezjēdzīgi, jo izpirkuma programmatūras mērķis ir iznīcināt datus, nevis iegūt naudu.
2. Regulāri dublējiet savus datus.Šādā gadījumā, pat ja jūsu dators kļūs par izspiedējvīrusa uzbrukuma mērķi, jūs varēsiet atgūt visus izdzēstos failus.
3. Neatveriet e-pastus ar apšaubāmām adresēm. Uzbrucēji mēģinās jūs pievilināt instalēt ļaunprātīgu programmatūru vai mēģināt iegūt svarīgus datus uzbrukumiem. Noteikti informējiet IT speciālistus, ja jūs vai jūsu darbinieki saņem aizdomīgus e-pastus vai saites.
4. Izmantojiet uzticamu programmatūru. Spēlē svarīgu lomu datoru aizsardzībā no infekcijām. savlaicīga atjaunināšana pretvīrusu programmatūra. Un, protams, šajā jomā ir jāizmanto produkti no cienījamiem uzņēmumiem.
5. Izmantojiet mehānismus, lai skenētu un bloķētu surogātpasta ziņojumus. Ienākošie e-pasta ziņojumi ir jāpārbauda, ​​​​vai nav draudu. Ir svarīgi, lai jebkāda veida ziņojumi, kas satur saites vai tipiski atslēgvārdi pikšķerēšana.
6. Pārliecinieties, vai visas programmas ir atjauninātas. Lai novērstu infekcijas, ir nepieciešama regulāra programmatūras ievainojamību novēršana.

Vai mums vajadzētu sagaidīt jaunus uzbrukumus?

Petya vīruss pirmo reizi parādījās 2016. gada martā, un drošības speciālisti nekavējoties pamanīja tā uzvedību. Jauns vīruss Petja 2017. gada jūnija beigās nokļuva datoros Ukrainā un Krievijā. Bet diez vai šīs būs beigas. Hakeru uzbrukumi, izmantojot Petya un WannaCry līdzīgus izspiedējvīrusus, tiks atkārtoti, sacīja Sberbank valdes priekšsēdētāja vietnieks Staņislavs Kuzņecovs. Intervijā TASS viņš brīdināja, ka šādi uzbrukumi noteikti notiks, taču ir grūti iepriekš paredzēt, kādā formā un formātā tie var parādīties.

Ja pēc visiem notikušajiem kiberuzbrukumiem jūs vēl neesat veicis vismaz minimālās darbības, lai aizsargātu datoru no izspiedējvīrusa, tad ir pienācis laiks nopietni pievērsties tam.

Lielbritānija, ASV un Austrālija ir oficiāli apsūdzējušas Krieviju NotPetya izplatīšanā

2018. gada 15. februārī Lielbritānijas Ārlietu ministrija izplatīja oficiālu paziņojumu, apsūdzot Krieviju kiberuzbrukuma organizēšanā, izmantojot NotPetya ransomware vīrusu.

Lielbritānijas varasiestādes norāda, ka uzbrukums demonstrēja turpmāku Ukrainas suverenitātes neievērošanu un neapdomīgā rīcība izjauca daudzas organizācijas visā Eiropā, radot vairāku miljonu dolāru zaudējumus.

Ministrija norādīja, ka secinājums par Krievijas valdības un Kremļa iesaistīšanos kiberuzbrukumā izdarīts, pamatojoties uz Apvienotās Karalistes Nacionālā kiberdrošības centra slēdzienu, kas ir “gandrīz pilnīgi pārliecināts, ka Krievijas militārpersonas ir aiz muguras. NotPetya uzbrukums.” Arī paziņojumā teikts, ka tās sabiedrotie necietīs kaitīgas kiberdarbības.

Saskaņā ar Austrālijas tiesībaizsardzības un kiberdrošības ministra Angusa Teilora teikto, pamatojoties uz Austrālijas izlūkdienestu datiem, kā arī konsultācijām ar ASV un Lielbritāniju, Austrālijas valdība secināja, ka Krievijas valdības atbalstītie uzbrucēji ir atbildīgi par incidents. "Austrālijas valdība nosoda Krievijas rīcību, kas nopietni apdraud globālo ekonomiku, valdības darbību un pakalpojumus, uzņēmējdarbību, kā arī personu drošību un labklājību," teikts paziņojumā.

Kremlis, kas iepriekš vairākkārt noliedzis jebkādu Krievijas varas iestāžu saistību ar hakeru uzbrukumiem, Lielbritānijas Ārlietu ministrijas paziņojumu nosauca par "rusofobiskas kampaņas" daļu.

Piemineklis "Šeit guļ datorvīruss Petja, kuru cilvēki uzvarēja 2017. gada 27. jūnijā"

Piemineklis datorvīrusam Petja tika uzstādīts 2017. gada decembrī pie Skolkovas tehnoparka ēkas. Divmetrīgs piemineklis ar uzrakstu: "Šeit atrodas datorvīruss Petja, kuru cilvēki uzvarēja 2017. gada 27. jūnijā." izgatavots sakosts cietais disks, tika izveidots ar INVITRO uzņēmuma atbalstu, starp citiem uzņēmumiem, kas cieta no masveida kiberuzbrukuma sekām. Robots vārdā Nu, kurš strādā Fizikas un tehnoloģiju parkā un (MIT) speciāli uz ceremoniju ieradās, lai teiktu svinīgo runu.

Uzbrukums Sevastopoles valdībai

Sevastopoles Galvenās informācijas un komunikāciju direktorāta speciālisti veiksmīgi atvairīja tīkla šifrēšanas vīrusa Petya uzbrukumu reģionālās valdības serveriem. Informatizācijas nodaļas vadītājs Deniss Timofejevs par to paziņoja 2017. gada 17. jūlijā Sevastopoles valdības darbinieku sanāksmē.

Viņš norādīja, ka Petya ļaunprogrammatūra neietekmēja Sevastopoles valdības aģentūru datoros saglabātos datus.

Uzmanība uz bezmaksas programmatūras izmantošanu ir iestrādāta Sevastopoles informatizācijas koncepcijā, kas apstiprināta 2015. gadā. Tajā teikts, ka, iegādājoties un izstrādājot pamata programmatūru, kā arī informācijas sistēmu programmatūru automatizācijai, ir ieteicams analizēt iespēju izmantot bezmaksas produktus, kas var samazināt budžeta izmaksas un samazināt atkarību no piegādātājiem un izstrādātājiem.

Iepriekš, jūnija beigās, vērienīgā uzbrukuma medicīnas uzņēmumam Invitro ietvaros cieta arī tās filiāle, kas atrodas Sevastopolē. Vīrusa dēļ datortīkls Filiāle uz laiku apturējusi testu rezultātu izsniegšanu, līdz tiks novērsti iemesli.

Invitro paziņoja par testu pieņemšanas apturēšanu kiberuzbrukuma dēļ

Medicīnas uzņēmums Invitro apturēja biomateriāla savākšanu un pacientu izmeklējumu rezultātu izsniegšanu hakeru uzbrukuma dēļ 27.jūnijā. Par to RBC pastāstīja uzņēmuma korporatīvo komunikāciju direktors Antons Bulanovs.

Kā teikts uzņēmuma paziņojumā, Invitro drīzumā atgriezīsies normālā darbībā. Pēc šī laika veikto pētījumu rezultāti tiks nodoti pacientiem pēc tehniskās kļūmes novēršanas. Šobrīd laboratorija informācijas sistēma atjaunots, notiek tā iestatīšanas process. "Mēs izsakām nožēlu par pašreizējo nepārvaramas varas situāciju un pateicamies mūsu klientiem par sapratni," secināja Invitro.

Pēc šiem datiem uzbrukums datorvīruss tika atklātas klīnikas Krievijā, Baltkrievijā un Kazahstānā.

Uzbrukums Gazprom un citām naftas un gāzes kompānijām

2017. gada 29. jūnijā kļuva zināms par globālu kiberuzbrukumu Gazprom datorsistēmām. Tātad vēl viens Krievijas uzņēmums cieta no Petya ransomware vīrusa.

Saskaņā ar ziņu aģentūra Reuters, atsaucoties uz avotu Krievijas valdībā un incidenta izmeklēšanā iesaistītu personu, Gazprom cieta no ļaunprogrammatūras Petya izplatības, kas uzbruka datoriem kopumā vairāk nekā 60 pasaules valstīs.

Publikācijas sarunu biedri nesniedza sīkāku informāciju par to, cik un kuras sistēmas ir inficētas Gazprom, kā arī par hakeru nodarītā kaitējuma apmēru. Uzņēmums atteicās komentēt, kad ar Reuters sazinājās.

Tikmēr augsta ranga RBC avots Gazprom izdevumam stāstīja, ka datori uzņēmuma centrālajā birojā darbojās bez pārtraukuma, kad sākās liela mēroga hakeru uzbrukums (2017. gada 27. jūnijā) un turpinājās divas dienas vēlāk. Vēl divi RBC avoti Gazprom arī apliecināja, ka uzņēmumā "viss ir mierīgi" un vīrusu nav.

Naftas un gāzes sektorā Bašņeftj un Rosņeftj cieta no Petja vīrusa. Pēdējais 28. jūnijā paziņoja, ka uzņēmums strādā kā ierasts un “individuālās problēmas” tiek operatīvi risinātas.

Bankas un rūpniecība

Kļuva zināms, ka datori tika inficēti Royal Canin Krievijas filiālē Evraz (ražo formas tērpus dzīvniekiem) un Mondelez Krievijas nodaļā (Alpen Gold un Milka šokolādes ražotājs).

Kā informē Ukrainas Iekšlietu ministrija, kāds vīrietis failu apmaiņas vietnēs un sociālajos tīklos publicējis video ar detalizēts apraksts ransomware palaišanas process datoros. Video komentāros vīrietis ievietojis saiti uz savu lapu vietnē sociālais tīkls, kurā viņš lejupielādēja ļaunprātīgu programmu. Veicot kratīšanu “hakera” dzīvoklī, likumsargi konfiscēja datortehnika, ko izmanto, lai izplatītu NotPetya. Policija atrada arī failus ar ļaunprātīgu programmatūru, pēc kuras analīzes tika apstiprināts, ka tā ir līdzīga NotPetya izpirkuma programmatūrai. Kā konstatēja kiberpolicijas darbinieki, izspiedējvīrusu programmu, uz kuras saiti publicēja kāds Nikopoles iedzīvotājs, sociālo tīklu lietotāji lejupielādēja 400 reizes.

Starp tiem, kas lejupielādēja NotPetya, likumsargi identificēja uzņēmumus, kas apzināti inficēja savas sistēmas ar izspiedējprogrammatūru, lai slēptu noziedzīgas darbības un izvairītos no sodu maksāšanas valstij. Jāatzīmē, ka policija nesaista vīrieša darbības ar hakeru uzbrukumiem šī gada 27.jūnijā, proti, nav runas par saistību ar NotPetya autoriem. Viņam inkriminētās darbības attiecas tikai uz darbībām, kas veiktas šā gada jūlijā - pēc plaša mēroga kiberuzbrukumu viļņa.

Pret vīrieti ir ierosināta krimināllieta pēc 1.daļas 1.daļas. 361 (neatļauta iejaukšanās datora darbībā) Ukrainas Kriminālkodeksā. Nikopoles iedzīvotājam draud līdz pat 3 gadiem cietumā.

Izplatība pasaulē

Petya ransomware vīrusa izplatība fiksēta Spānijā, Vācijā, Lietuvā, Ķīnā un Indijā. Piemēram, Indijas ļaunprātīgas programmas dēļ Jawaharlal Nehru konteineru ostas kravu plūsmas pārvaldības tehnoloģija, ko pārvalda A.P. Moller-Maersk pārtrauca atpazīt kravas identitāti.

Par kiberuzbrukumu ziņoja Lielbritānijas reklāmas grupa WPP, viena no pasaulē lielākajām juridiskajām firmām DLA Piper Spānijas birojs un pārtikas giganta Mondelez. Cietušo vidū ir arī franču būvmateriālu ražotājs Cie. de Saint-Gobain un farmācijas uzņēmums Merck & Co.

Merck

Amerikāņu farmācijas gigants Merck, kas ļoti cieta no NotPetya izpirkuma programmatūras uzbrukuma jūnijā, joprojām nevar atjaunot visas sistēmas un atgriezties normālā darbībā. Tas tika ziņots uzņēmuma ziņojumā par veidlapu 8-K, kas tika iesniegts ASV Vērtspapīru un biržu komisijai (SEC) 2017. gada jūlija beigās. Lasīt vairāk.

Moller-Maersk un Rosņeftj

2017. gada 3. jūlijā kļuva zināms, ka Dānijas kuģniecības gigants Moller-Maersk un Rosneft tikai gandrīz nedēļu pēc uzbrukuma, kas notika 27. jūnijā, atjaunoja ar Petya izspiedējvīrusu inficētās IT sistēmas.

Kuģniecības kompānija Maersk, kas veido katru septīto pasaulē nosūtīto kravas konteineru, arī piebilda, ka visas 1500 lietojumprogrammas, kuras skārusi kiberuzbrukums, normālā darbībā atgriezīsies maksimāli līdz 2017.gada 9.jūlijam.

Pārsvarā tika skartas Maersk piederošā APM Terminals IT sistēmas, kas pārvalda desmitiem kravu ostu un konteineru termināļu vairāk nekā 40 valstīs. Vairāk nekā 100 tūkstoši kravas konteineru dienā iziet cauri APM Terminals ostām, kuru darbība vīrusa izplatības dēļ tika pilnībā paralizēta. Maasvlakte II terminālis Roterdamā piegādes atsāka 3. jūlijā.

2017. gada 16. augusts A.P. Moller-Maersk nosauca aptuveno zaudējumu apmēru, ko radījis kiberuzbrukums, izmantojot Petya vīrusu, kas, kā atzīmēja Eiropas uzņēmums, tika inficēts ar Ukrainas programmas starpniecību. Saskaņā ar Maersk provizoriskiem aprēķiniem, Petya ransomware radītie finansiālie zaudējumi 2017. gada otrajā ceturksnī bija no 200 līdz 300 miljoniem dolāru.

Tikmēr uzņēmumam Rosņeftj bija nepieciešama gandrīz nedēļa, lai atjaunotu savas datorsistēmas no hakeru uzbrukuma, kā ziņoja uzņēmuma preses dienests 3. jūlijā, ziņoja Interfax:

Dažas dienas iepriekš Rosņeftj uzsvēra, ka vēl nevērtē kiberuzbrukuma sekas, taču ražošana nav ietekmēta.

Kā darbojas Petja

Patiešām, vīrusa upuri nevar atbloķēt savus failus pēc inficēšanās. Fakts ir tāds, ka tā veidotāji vispār neparedzēja šādu iespēju. Tas nozīmē, ka šifrētu disku nevar atšifrēt a priori. Ļaunprātīgas programmatūras ID nesatur informāciju, kas nepieciešama atšifrēšanai.

Sākotnēji eksperti vīrusu, kas skāra aptuveni divus tūkstošus datoru Krievijā, Ukrainā, Polijā, Itālijā, Vācijā, Francijā un citās valstīs, klasificēja kā daļu no jau labi zināmās Petya ģimenes izspiedējvīrusu programmatūras. Taču izrādījās, ka runa ir par jaunu ļaunprogrammatūras saimi. Dublēts Kaspersky Lab jauna izpirkuma programmatūra ExPetr.

Kā cīnīties

Cīņa pret kiberdraudiem prasa banku, IT uzņēmumu un valsts kopīgus centienus

Datu atkopšanas metode no Positive Technologies

2017. gada 7. jūlijā Positive Technologies eksperts Dmitrijs Skļarovs prezentēja metodi NotPetya vīrusa šifrēto datu atgūšanai. Pēc eksperta domām, metode ir piemērojama, ja NotPetya vīrusam bija administratīvās tiesības un tas šifrēja visu disku.

Datu atkopšanas iespēja ir saistīta ar pašu uzbrucēju pieļautajām kļūdām Salsa20 šifrēšanas algoritma ieviešanā. Metodes veiktspēja tika pārbaudīta gan testa datu nesējā, gan vienā no šifrētajiem cietie diski liels uzņēmums, kas bija epidēmijas upuru vidū.

Uzņēmumi un neatkarīgi izstrādātāji, kas specializējas datu atkopšanā, var brīvi izmantot un automatizēt piedāvāto atšifrēšanas skriptu.

Izmeklēšanas rezultātus jau apstiprinājusi Ukrainas kiberpolicija. Juscutum plāno izmantot izmeklēšanas rezultātus kā galvenos pierādījumus turpmākajā tiesas procesā pret Intellect-Service.

Procesam būs civils raksturs. Ukrainas tiesībsargājošās iestādes veic neatkarīgu izmeklēšanu. To pārstāvji jau iepriekš paziņoja par iespēju ierosināt lietu pret Intellect-Service darbiniekiem.

Pati kompānija M.E.Doc norādīja, ka notiekošais ir mēģinājums veikt reidu uzņēmumā. Vienīgās populārās Ukrainas grāmatvedības programmatūras ražotājs uzskata, ka Ukrainas kiberpolicijas veiktā kratīšana uzņēmumā bijusi daļa no šī plāna īstenošanas.

Sākotnējais Petya šifrētāja infekcijas vektors

17. maijā tika izlaists M.E.Doc atjauninājums, kas nesatur ļaunprātīgu aizmugures durvju moduli. Tas, iespējams, izskaidro salīdzinoši nelielo XData infekciju skaitu, uzskata uzņēmums. Uzbrucēji negaidīja, ka atjauninājums tiks izlaists 17. maijā, un šifrētāju palaida 18. maijā, kad lielākā daļa lietotāju jau bija instalējuši drošo atjauninājumu.

Aizmugures durvis ļauj lejupielādēt un izpildīt citas ļaunprogrammatūras inficētajā sistēmā - šādi tika veikta sākotnējā inficēšanās ar Petya un XData šifrētājiem. Turklāt programma apkopo starpniekservera un e-pasta iestatījumus, tostarp pieteikumvārdus un paroles no lietojumprogrammas M.E.Doc, kā arī uzņēmumu kodus saskaņā ar Ukrainas vienoto valsts uzņēmumu un organizāciju reģistru, kas ļauj identificēt cietušos.

"Mums ir jāatbild uz vairākiem jautājumiem," sacīja Antons Čerepanovs, Eset vecākais vīrusu analītiķis. - Cik ilgi tiek izmantotas aizmugures durvis? Kādas komandas un ļaunprātīgas programmatūras, izņemot Petya un XData, tika nosūtītas caur šo kanālu? Kādas citas infrastruktūras ir apdraudējušas, bet vēl nav izmantojušas šo uzbrukumu veicošā kibergrupa?

Pamatojoties uz pazīmju kombināciju, tostarp infrastruktūru, ļaunprātīgiem rīkiem, modeļiem un uzbrukuma mērķiem, Eset eksperti izveidoja saikni starp Diskcoder.C (Petya) epidēmiju un Telebots kibergrupu. Pagaidām nav bijis iespējams droši noteikt, kas ir aiz šīs grupas aktivitātēm.

Pirms dažiem mēnešiem mēs un citi IT drošības speciālisti atklājām jaunu ļaunprātīgu programmatūru - Petja (Win32.Trojan-Ransom.Petya.A). Klasiskā izpratnē tas nebija šifrētājs, vīruss vienkārši bloķēja piekļuvi noteikta veida failiem un pieprasīja izpirkuma maksu. Vīruss ir modificēts sāknēšanas ievade cietajā diskā piespiedu kārtā pārstartēja datoru un parādīja ziņojumu, ka "dati ir šifrēti - tērējiet naudu atšifrēšanai." Kopumā šifrēšanas vīrusu standarta shēma, izņemot to, ka faili faktiski NAV šifrēti. Populārākie antivīrusi sāka identificēt un noņemt Win32.Trojan-Ransom.Petya.A dažas nedēļas pēc tā parādīšanās. Turklāt parādījās instrukcijas manuālai noņemšanai. Kāpēc mēs domājam, ka Petja nav klasiska izpirkuma programmatūra? Šis vīruss veic izmaiņas programmā Master Sāknēšanas ieraksts un neļauj OS ielādēt, kā arī šifrē galveno failu tabulu. Tas nešifrē pašus failus.

Tomēr pirms dažām nedēļām parādījās sarežģītāks vīruss Mischa, acīmredzot rakstījuši tie paši krāpnieki. Šis vīruss KRIPTĒ failus, un par atšifrēšanu ir jāmaksā USD 500–875 dažādas versijas 1,5–1,8 bitkoīni). Norādījumi “atšifrēšanai” un samaksai par to tiek glabāti failos YOUR_FILES_ARE_ENCRYPTED.HTML un YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus — faila YOUR_FILES_ARE_ENCRYPTED.HTML saturs

Tagad patiesībā hakeri inficē lietotāju datorus ar divām ļaunprātīgām programmām: Petya un Mischa. Pirmajam ir nepieciešamas sistēmas administratora tiesības. Tas ir, ja lietotājs atsakās piešķirt Petya administratora tiesības vai manuāli izdzēš šo ļaunprogrammatūru, Mischa iesaistās. Šim vīrusam nav nepieciešamas administratora tiesības, tas ir klasisks šifrētājs un faktiski šifrē failus, izmantojot spēcīgu AES algoritmu un neveicot nekādas izmaiņas galvenajā sāknēšanas ierakstā un failu tabulā cietušā cietajā diskā.

Mischa ļaunprogrammatūra šifrē ne tikai standarta failu tipus (video, attēlus, prezentācijas, dokumentus), bet arī .exe failus. Vīruss neietekmē tikai direktorijus \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ Internet Explorer, \Temp, \Local, \LocalLow un \Chrome.

Inficēšanās notiek galvenokārt caur e-pastu, kur tiek saņemta vēstule ar pievienotu failu – vīrusu instalētāju. To var šifrēt zem Nodokļu dienesta, jūsu grāmatveža vēstules, kā pievienotas čekus un pirkumu čekus utt. Pievērsiet uzmanību failu paplašinājumiem šādos burtos - ja tas ir izpildāms fails (.exe), tad ar lielu varbūtību tas var būt konteiners ar Petya\Mischa vīrusu. Un, ja ļaunprogrammatūras modifikācija ir nesen veikta, jūsu antivīruss var nereaģēt.

Atjauninājums 30.06.2017. 27. jūnijs, modificēta Petya vīrusa versija (Petya.A) masveidā uzbruka lietotājiem Ukrainā. Šī uzbrukuma ietekme bija milzīga, un ekonomiskie zaudējumi vēl nav aprēķināti. Vienas dienas laikā tika paralizēts desmitiem banku darbs, mazumtirdzniecības ķēdes, valsts aģentūras un dažādu īpašumtiesību formu uzņēmumi. Vīruss izplatījās galvenokārt Ukrainas grāmatvedības atskaišu sistēmas MeDoc ievainojamības dēļ ar jaunāko automātiska atjaunināšana no šīs programmatūras. Turklāt vīruss ir skāris tādas valstis kā Krievija, Spānija, Lielbritānija, Francija un Lietuva.

Noņemiet Petya un Mischa vīrusu, izmantojot automātisko tīrīšanas līdzekli

Ekskluzīvi efektīva metode darbs ar ļaunprātīgu programmatūru kopumā un jo īpaši ar izspiedējprogrammatūru. Pārbaudīta aizsargkompleksa izmantošana garantē rūpīgu jebkādu vīrusu komponentu noteikšanu, to pilnīga noņemšana ar vienu klikšķi. Lūdzu, ņemiet vērā, ka mēs runājam par diviem dažādi procesi: atinstalējiet infekciju un atjaunojiet failus datorā. Tomēr draudi noteikti ir jānovērš, jo ir informācija par citu datoru Trojas zirgu ieviešanu, kas to izmanto.

1. . Pēc programmatūras palaišanas noklikšķiniet uz pogas Sāciet datora skenēšanu(Sāciet skenēšanu).
2. Instalētā programmatūra sniegs ziņojumu par skenēšanas laikā atklātajiem draudiem. Lai noņemtu visus atklātos draudus, atlasiet opciju Novērst draudus(Novērst draudus). Attiecīgā ļaunprogrammatūra tiks pilnībā noņemta.

Atjaunojiet piekļuvi šifrētiem failiem

Kā minēts, Mischa ransomware bloķē failus, izmantojot spēcīgu šifrēšanas algoritmu, lai šifrētos datus nevarētu atjaunot ar burvju nūjiņas vilni, kas pietrūks, lai samaksātu nedzirdētu izpirkuma maksu (dažreiz sasniedzot pat 1000 USD). Taču dažas metodes patiešām var būt glābiņš, kas palīdzēs atgūt svarīgus datus. Zemāk varat ar tiem iepazīties.

Programma automātiska atkopšana faili (atšifrētājs)

Ir zināms ļoti neparasts apstāklis. Šī infekcija izdzēš sākotnējos failus nešifrētā veidā. Tādējādi šifrēšanas process izspiešanas nolūkos ir vērsts uz to kopijām. Tas dod iespēju tādiem programmatūra kā atgūt izdzēstos objektus, pat ja tiek garantēta to noņemšanas uzticamība. Ir ļoti ieteicams izmantot failu atkopšanas procedūru, tās efektivitāte nav apšaubāma.

Sējumu ēnu kopijas

Šī pieeja ir balstīta uz Windows procedūru dublējums failus, kas tiek atkārtots katrā atkopšanas punktā. Svarīgs nosacījums strādāt šī metode: Pirms inficēšanās ir jāaktivizē funkcija “Sistēmas atjaunošana”. Tomēr pēc atjaunošanas punkta veiktās izmaiņas failā netiks parādītas atjaunotajā faila versijā.

Dublējums

Šī ir labākā no visām bezizpirkuma metodēm. Ja datu dublēšanas procedūra ir ārējais serveris tika izmantots pirms izspiedējvīrusa uzbrukuma jūsu datoram, lai atjaunotu šifrētos failus, jums vienkārši jāievada atbilstošs interfeiss, atlasiet nepieciešamie faili un sāciet datu atkopšanas mehānismu no dublējuma. Pirms operācijas veikšanas ir jāpārliecinās, ka izpirkuma programmatūra ir pilnībā noņemta.

Pārbaudiet, vai nav iespējama Petya un Mischa izpirkuma programmatūras atlikušo komponentu klātbūtne

Tīrīšana iekšā manuālais režīms ir pilns ar atsevišķu izspiedējprogrammatūras daļu izlaišanu, kas var izvairīties no noņemšanas kā slēptie objekti operētājsistēma vai reģistra vienumus. Lai novērstu atsevišķu ļaunprātīgu elementu daļējas saglabāšanas risku, skenējiet datoru, izmantojot uzticamu drošības programmatūras pakotni, kas specializējas ļaunprātīgā programmatūra.

Kas ir Petya.A?

Šis ir “izspiedējvīruss”, kas šifrē datus datorā un pieprasa 300 USD par atslēgu, lai to atšifrētu. Tas sāka inficēt Ukrainas datorus ap 27. jūnija pusdienlaiku un pēc tam izplatījās citās valstīs: Krievijā, Lielbritānijā, Francijā, Spānijā, Lietuvā u.c. Microsoft vietnē tagad ir vīruss ir "nopietns" draudu līmenis.

Infekcija notiek tās pašas ievainojamības dēļ Microsoft Windows, kā tas ir gadījumā ar WannaCry vīruss, kas maijā skāra tūkstošiem datoru visā pasaulē un radīja uzņēmumiem zaudējumus aptuveni 1 miljarda dolāru apmērā.

Vakarā kiberpolicija ziņoja, ka vīrusu uzbrukums paredzēts elektroniskā ziņošana un dokumentu plūsma. Kā informē likumsargi, plkst.10.30 tika izlaists kārtējais M.E.Doc atjauninājums, ar kura palīdzību datoros tika lejupielādēta ļaunprātīga programmatūra.

Petja tika izplatīta, izmantojot e-pasts, nododot programmu kā darbinieka CV. Ja cilvēks mēģināja atvērt CV, vīruss lūdza viņam piešķirt administratora tiesības. Ja lietotājs piekrita, dators tika restartēts cietais disks tika šifrēts un parādījās logs ar izpirkuma maksu.

VIDEO

Petya vīrusa infekcijas process. Video: G DATA Software AG / YouTube

Tajā pašā laikā pašam Petya vīrusam bija ievainojamība: bija iespējams iegūt atslēgu datu atšifrēšanai, izmantojot īpaša programma. Šo metodi 2016. gada aprīlī aprakstīja Geektimes redaktors Maksims Agadžanovs.

Tomēr daži lietotāji dod priekšroku maksāt izpirkuma maksu. Kā liecina dati no viena no labi zināmajiem Bitcoin maciņiem, vīrusa radītāji saņēmuši 3,64 bitkoīnus, kas atbilst aptuveni 9100 USD.

Kurus ietekmē vīruss?

Ukrainā Petya.A upuri galvenokārt bija korporatīvajiem klientiem: valsts aģentūras, bankas, mediji, enerģētikas uzņēmumi un citas organizācijas.

Cita starpā cieta šādi uzņēmumi: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznicja, TNK, Antonov, Epicenter, Channel 24, kā arī Borispiļas lidosta, Ukrainas Ministru kabinets, Valsts Fiskālais dienests un citi.

Uzbrukums izplatījās arī reģionos. Piemēram, n un Černobiļas atomelektrostacijā kiberuzbrukuma dēļ pārstāja darboties elektroniskā dokumentu pārvaldība un stacija pārgāja uz manuālu radiācijas līmeņa monitoringu. Harkovā tika bloķēta lielā lielveikala Rost darbība, un lidostā reģistrēšanās lidojumiem tika pārslēgta manuālajā režīmā.

Petya.A vīrusa dēļ lielveikalā Rost pārstāja darboties kases. Foto: Kh...evy Kharkov / VKontakte

Kā vēsta izdevums, Krievijā uzbrukumi nonāca uzņēmumiem Rosņeftj, Bašņeftj, Marsam, Nivea un citiem.

Kā pasargāt sevi no Petya.A?

Norādījumus, kā pasargāt sevi no Petya.A, publicēja Ukrainas Drošības dienests un kiberpolicija.

Kiberpolicija iesaka lietotājiem instalēt Windows atjauninājumi no oficiālās Microsoft vietnes, atjauniniet vai instalējiet pretvīrusu, nelejupielādējiet aizdomīgus failus no e-pastiem un nekavējoties atvienojiet datoru no tīkla, ja tiek pamanītas problēmas.

SBU uzsvēra, ka aizdomu gadījumā datoru nevar pārstartēt, jo failu šifrēšana notiek tieši pārstartēšanas laikā. Izlūkdienests ieteica ukraiņiem saglabāt vērtīgus failus atsevišķā datu nesējā un izgatavot rezerves kopija operētājsistēma.

Kiberdrošības eksperts Vlads Stirans rakstīja Facebook, ka vīrusa izplatība in lokālais tīkls var apturēt, bloķējot TCP portus 1024-1035, 135, 139 un 445 sistēmā Windows. Internetā ir instrukcijas, kā to izdarīt.

Speciālisti no amerikāņu kompānijas Symantec