Všetko, čo potrebujete vedieť o Petne, ransomvéri z rodiny Petya. Petya, NotPetya alebo Petna? Všetko, čo potrebujete vedieť o novom súbore s epidémiou Petya
Útok vírusu na počítače ukrajinských verejných a súkromných spoločností sa začal o 11:30. Pod ranou boli veľké banky, obchodné reťazce, operátori celulárna komunikácia, štátne spoločnosti, infraštruktúrne zariadenia a odvetvia služieb.
Vírus zasiahol celé územie Ukrajiny, do 17:00 sa objavili informácie, že útok bol zaznamenaný aj na samom západe krajiny, v Zakarpatsku: tu boli v súvislosti s vírusom zatvorené pobočky OTR Bank a Ukrsotsbank. .
„Stránka Korrespondent.net, populárna na Ukrajine, a televízny kanál 24 nefungujú. Počet spoločností, ktoré boli útokom zasiahnuté, sa z hodiny na hodinu zvyšuje. V súčasnosti väčšina pobočiek bánk na Ukrajine nefunguje. Napríklad v kanceláriách Ukrsotsbank sa počítače jednoducho nespustia. Nie je možné prijímať alebo odosielať peniaze, platiť potvrdenia atď. Zároveň v PrivatBank nie sú žiadne problémy, “uvádza kyjevský korešpondent RT.
Vírus infikuje iba počítače, ktoré bežia na operačnom systéme. systém Windows. Šifruje hlavnú tabuľku súborov pevného disku a vymáha od používateľov peniaze za dešifrovanie. V tomto sa podobá na ransomvérový vírus WannaCry, na ktorý zaútočilo mnoho spoločností po celom svete. Zároveň sa už objavili výsledky kontroly infikovaných počítačov, ktoré ukazujú, že vírus ničí všetky alebo väčšinu informácií na infikovaných diskoch.
Momentálne bol vírus identifikovaný ako mbr locker 256, no v médiách sa rozšírilo iné meno – Petya.
Z Kyjeva do Černobyľu
Vírus zasiahol aj kyjevské metro, kde sú momentálne problémy s platením bankovými kartami.
Zasiahnuté boli mnohé veľké infraštruktúrne zariadenia, ako napríklad štátny železničný operátor Ukrzaliznytsia, letisko Boryspil. Kým však fungujú normálne, letecký navigačný systém vírus nezasiahol, hoci Boryspil už zverejnil varovanie o možných zmenách v cestovnom poriadku a na samotnom letisku nefunguje tabuľa príletov.
V súvislosti s útokom majú ťažkosti pri práci dvaja z najväčších poštových operátorov v krajine: štátna Ukrposhta a súkromná Novaja Pochta. Tá oznámila, že dnes sa za skladovanie balíkov nebude účtovať žiadny poplatok a Ukrposhta sa snaží pomocou SBU minimalizovať následky útoku.
Kvôli riziku nákazy nefungujú ani webové stránky tých organizácií, ktoré vírus nezasiahol. Z tohto dôvodu boli napríklad deaktivované servery webovej stránky štátnej správy mesta Kyjev, ako aj webová stránka Ministerstva vnútra Ukrajiny.
Ukrajinskí predstavitelia predvídateľne tvrdia, že útoky prichádzajú z Ruska. Povedal to tajomník Rady národnej bezpečnosti a obrany Ukrajiny Oleksandr Turčynov. „Už teraz, po vykonaní prvotnej analýzy vírusu, môžeme hovoriť o ruskej stope,“ cituje ho oficiálna stránka ministerstva.
Do 17:30 sa vírus dostal dokonca aj do jadrovej elektrárne v Černobyle. Volodymyr Ilčuk, vedúci zmeny jadrovej elektrárne v Černobyle, o tom informoval publikáciu Ukrajinska pravda.
„Existujú predbežné informácie, že niektoré počítače boli infikované vírusom. Preto, hneď ako sa začal tento hackerský útok, dostali počítačoví pracovníci na miestach personálu osobný príkaz, aby vypli svoje počítače,“ povedal Ilčuk.
Útok na sladkosti a ropu a plyn
V utorok 27. júna bolo napadnutých aj niekoľko ruských spoločností, vrátane ropných a plynárenských gigantov Rosneft a Bashneft, metalurgickej spoločnosti Evraz, Home Credit Bank, ktorej pobočky pozastavili činnosť, ako aj ruských zastúpení Mars, Nivea, Mondelez. International , TESA a množstvo ďalších zahraničných spoločností.
- Reuters
- MAXIM ŠEMETOV
Okolo 14:30 moskovského času Rosnefť oznámila silný hackerský útok na servery spoločnosti. Mikroblog spoločnosti na Twitteri zároveň poznamenáva, že útok mohol viesť k vážnym následkom, no vďaka prechodu na zálohovací systém riadenie výrobných procesov, ťažba ani príprava ropy neboli zastavené.
Po kyberútoku sa webové stránky spoločností Rosnefť a Bashnefť na nejaký čas stali nedostupnými. Rosnefť zároveň vyhlásila neprípustnosť šírenia nepravdivých informácií o útoku.
Šíritelia falošných panických správ budú považovaní za spolupáchateľov útoku a budú sa spolu s nimi zodpovedať.
— Rosneft Oil Company PJSC (@RosneftRu) 27. júna 2017
"Disribútori falošných panikových správ budú považovaní za spolupáchateľov útoku a budú sa spolu s nimi zodpovedať," uviedla spoločnosť.
Rosneft zároveň poznamenal, že spoločnosť sa v súvislosti s kybernetickým útokom obrátila na orgány činné v trestnom konaní a vyjadrila nádej, že incident nemá nič spoločné so „súčasnými súdnymi postupmi“. V utorok 27. júna začal arbitrážny súd v Bashkirii posudzovať opodstatnenosť nároku Rosneft, Bashneft a Bashkiria voči AFK Sistema vo výške 170,6 miliardy rubľov.
WannaCry Jr.
Útok hackerov zároveň neovplyvnil prácu počítačové systémy administratívy prezidenta Ruska a oficiálnej webovej stránky Kremľa, ktorá podľa tlačového tajomníka prezidenta Dmitrija Peskova TASS "stabilne funguje".
Hackerský útok nemal vplyv ani na prevádzku ruských jadrových elektrární, poznamenal koncern Rosenergoatom.
Spoločnosť Dr. Web na svojej webovej stránke uviedol, že napriek podobnosti bol súčasný útok vykonaný pomocou vírusu, ktorý sa líšil od už známeho ransomvéru Petya, najmä mechanizmom šírenia hrozby.
"Medzi obeťami kybernetického útoku boli siete Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA a ďalšie," uviedla spoločnosť. Tlačová služba Marsu v Rusku zároveň uviedla, že kybernetický útok spôsobil problémy s IT systémami len značke Royal Canin, výrobcovi krmiva pre domáce zvieratá, a nie celej spoločnosti.
K poslednému veľkému hackerskému útoku na ruské firmy a vládne inštitúcie došlo 12. mája v rámci rozsiahlej operácie neznámych hackerov, ktorí zaútočili na počítače so systémom Windows v 74 krajinách pomocou šifrovacieho vírusu WannaCry.
Šéf Medzinárodného výboru Rady federácie Konstantin Kosačev v utorok na zasadnutí komisie Rady federácie na ochranu štátnej suverenity uviedol, že približne 30 % všetkých kybernetických útokov na Rusko je uskutočnených z USA. štátov.
„Nie viac ako 2 % transakcií sa uskutočňuje z ruského územia do amerických počítačov. celkový počet kybernetické útoky, zatiaľ čo z územia Spojených štátov na ruskú elektronickú infraštruktúru - 28-29 %, “ citovala Kosačeva RIA Novosti.
Podľa vedúceho medzinárodného výskumného tímu Kaspersky Lab Kostin Rayu, Petya vírus rozšírila do mnohých krajín sveta.
Petrwrap/Petya ransomware variant s kontaktom [chránený e-mailom]šíri po celom svete, veľký počet postihnutých krajín.
Začiatkom mája bolo ransomvérom infikovaných približne 230 000 počítačov vo viac ako 150 krajinách. Kým obete stihli odstrániť následky tohto útoku, nasledoval nový – s názvom Peťa. Trpeli ňou najväčšie ukrajinské a ruské firmy, ale aj štátne inštitúcie.
Kybernetická polícia Ukrajiny zistila, že útok vírusu sa začal prostredníctvom mechanizmu aktualizácie účtovného softvéru M.E.Doc, ktorý sa používa na prípravu a odosielanie daňových priznaní. Zistilo sa teda, že siete Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo a elektrizačný systém Dnepra neunikli infekcii. Na Ukrajine vírus prenikol do vládnych počítačov, počítačov kyjevského metra, telekomunikačných operátorov a dokonca aj jadrovej elektrárne v Černobyle. V Rusku trpeli Mondelez International, Mars a Nivea.
Vírus Petya využíva zraniteľnosť EternalBlue v operačnom systéme Windows. Experti Symantec a F-Secure tvrdia, že zatiaľ čo Petya šifruje dáta ako WannaCry, trochu sa líši od iných typov ransomvéru. „Petyin vírus je nový druh ransomvér so zlým úmyslom: nešifruje len súbory na disku, ale blokuje celý disk, čím sa stáva prakticky nepoužiteľným, vysvetľuje F-Secure. "Šifruje najmä hlavnú tabuľku súborov MFT."
Ako sa to deje a dá sa tomuto procesu zabrániť?
Petya virus - ako to funguje?
Vírus Petya je známy aj pod inými názvami: Petya.A, PetrWrap, NotPetya, ExPetr. Keď sa dostane do počítača, stiahne ransomvér z internetu a pokúsi sa zasiahnuť časť pevný disk s údajmi potrebnými na spustenie počítača. Ak uspeje, systém vydá modrú obrazovku smrti (“ modrá obrazovka smrti"). Po reštarte sa zobrazí správa ťažké disk s výzvou, aby ste nevypínali napájanie. Vírus ransomware teda predstiera, že ním je systémový program kontrolou disku a zároveň šifrovaním súborov s určitými príponami. Na konci procesu sa zobrazí hlásenie o uzamknutí počítača a informácie o tom, ako získať digitálny kľúč na dešifrovanie údajov. Vírus Petya požaduje výkupné, zvyčajne v bitcoinech. Ak obeť nemá záložnú kópiu súborov, stojí pred voľbou - zaplatiť sumu 300 dolárov alebo stratiť všetky informácie. Podľa niektorých analytikov sa vírus iba maskuje ako ransomware, pričom jeho skutočným cieľom je spôsobiť obrovské škody.
Ako sa zbaviť Petya?
Odborníci zistili, že vírus Petya hľadá lokálny súbor a ak tento súbor už na disku existuje, ukončí proces šifrovania. To znamená, že používatelia môžu chrániť svoj počítač pred ransomware vytvorením tohto súboru a jeho nastavením len na čítanie.
Napriek tomu, že táto prefíkaná schéma zabraňuje spusteniu procesu vydierania, možno túto metódu považovať skôr za „počítačové očkovanie“. Používateľ si teda bude musieť súbor vytvoriť sám. Môžete to urobiť nasledujúcim spôsobom:
- Najprv sa musíte vysporiadať s príponou súboru. Uistite sa, že v okne "Možnosti priečinka" nie je začiarknuté políčko "Skryť rozšírenia pre známe typy súborov".
- Otvorte priečinok C:\Windows, prejdite nadol, kým neuvidíte program notepad.exe.
- Kliknite ľavým tlačidlom myši na notepad.exe, potom stlačte Ctrl + C na kopírovanie a potom Ctrl + V na prilepenie súboru. Zobrazí sa výzva na povolenie kopírovania súboru.
- Kliknite na tlačidlo "Pokračovať" a súbor sa vytvorí ako poznámkový blok - Copy.exe. Kliknite ľavým tlačidlom myši na tento súbor a stlačte kláves F2, potom odstráňte názov súboru Copy.exe a zadajte perfc.
- Po zmene názvu súboru na perfc stlačte Enter. Potvrďte premenovanie.
- Teraz, keď bol súbor perfc vytvorený, musíme ho nastaviť len na čítanie. Ak to chcete urobiť, kliknite kliknite pravým tlačidlom myši myšou nad súborom a zvoľte "Vlastnosti".
- Otvorí sa ponuka vlastností pre tento súbor. V dolnej časti uvidíte „Iba na čítanie“. Začiarknite políčko.
- Teraz kliknite na tlačidlo "Použiť" a potom na tlačidlo "OK".
Niektorí bezpečnostní experti navrhujú vytvorenie súborov C:\Windows\perfc.dat a C:\Windows\perfc.dll okrem súboru C:\windows\perfc na lepšiu ochranu pred vírusom Petya. Pre tieto súbory môžete zopakovať vyššie uvedené kroky.
Gratulujeme, váš počítač je chránený pred NotPetya / Petya!
Odborníci spoločnosti Symantec dávajú používateľom počítačov niekoľko rád, aby im zabránili vo veciach, ktoré by mohli viesť k zablokovaniu súboru alebo strate peňazí.
- Neplaťte peniaze podvodníkom. Aj keď prevediete peniaze na ransomvér, neexistuje žiadna záruka, že budete môcť znova získať prístup k svojim súborom. A v prípade NotPetya / Petya je to v podstate bezvýznamné, pretože účelom šifrovača je zničiť dáta, nie získať peniaze.
- Uistite sa, že svoje dáta pravidelne zálohujete. V tomto prípade, aj keď sa váš počítač stane cieľom ransomvérového útoku, budete môcť obnoviť všetky odstránené súbory.
- Neotvárajte e-maily s pochybnými adresami.Útočníci sa vás pokúsia oklamať, aby ste si nainštalovali malvér, alebo sa pokúsia získať dôležité údaje o útoku. Nezabudnite upozorniť IT odborníkov, ak vy alebo vaši zamestnanci dostanete podozrivé e-maily alebo odkazy.
- Používajte spoľahlivý softvér. Včasná aktualizácia antivírusových programov hrá dôležitú úlohu pri ochrane počítačov pred infekciami. A samozrejme treba využívať produkty renomovaných firiem v tejto oblasti.
- Použite mechanizmy na skenovanie a blokovanie spamových správ. Prichádzajúce e-maily by sa mali kontrolovať na hrozby. Je dôležité, aby všetky typy správ, ktoré obsahujú odkazy alebo typické Kľúčové slová phishing.
- Uistite sa, že všetky programy sú aktuálne. Pravidelné opravy softvérových zraniteľností sú nevyhnutné na prevenciu infekcií.
Máme očakávať nové útoky?
Vírus Petya sa prvýkrát objavil v marci 2016 a bezpečnostní experti si jeho správanie okamžite všimli. Nový vírus Petya sa koncom júna 2017 dostala do počítačov na Ukrajine a v Rusku. Ale je nepravdepodobné, že sa to skončí. Hackerské útoky využívajúce ransomvérové vírusy podobné Petya a WannaCry sa budú opakovať, povedal Stanislav Kuznecov, podpredseda predstavenstva Sberbank. V rozhovore pre TASS varoval, že k takýmto útokom určite dôjde, no je ťažké vopred predpovedať, v akej forme a formáte by sa mohli objaviť.
Ak ste po všetkých minulých kybernetických útokoch ešte neurobili aspoň minimálne kroky na ochranu vášho počítača pred vírusom ransomware, potom je čas to brať vážne.
Británia, USA a Austrália oficiálne obvinili Rusko z distribúcie NotPetya
15. februára 2018 vydalo britské ministerstvo zahraničných vecí oficiálne vyhlásenie, v ktorom obvinilo Rusko z organizovania kybernetického útoku pomocou šifrovacieho vírusu NotPetya.
Podľa britských úradov tento útok ukázal ďalšie ignorovanie suverenity Ukrajiny a v dôsledku týchto neuvážených činov bola narušená práca mnohých organizácií v celej Európe, čo malo za následok mnohomiliónové straty.
Ministerstvo poznamenalo, že záver o zapojení ruskej vlády a Kremľa do kybernetického útoku bol prijatý na základe záverov Národného centra kybernetickej bezpečnosti Spojeného kráľovstva (UK National Cyber Security Centre), ktoré "Takmer úplne verí, že za útokom NotPetya stojí ruská armáda." Vo vyhlásení sa tiež uvádza, že jej spojenci nebudú tolerovať škodlivé kybernetické aktivity.
Podľa austrálskeho ministra presadzovania práva a kybernetickej bezpečnosti Angusa Taylora austrálska vláda na základe údajov austrálskych spravodajských služieb a konzultácií s USA a Spojeným kráľovstvom dospela k záveru, že za incident sú zodpovední útočníci podporovaní ruskou vládou. "Austrálska vláda odsudzuje správanie Ruska, ktoré predstavuje vážne riziko pre globálnu ekonomiku, vládne operácie a služby, obchodné aktivity a bezpečnosť a blaho jednotlivcov," uvádza sa vo vyhlásení. Kremeľ, ktorý predtým opakovane poprel akúkoľvek účasť ruských úradov na hackerských útokoch, označil vyhlásenie britského ministerstva zahraničných vecí za súčasť „rusofóbnej kampane“.
Pamätník „Tu leží počítačový vírus Petya porazený ľuďmi 27.06.2017“
V blízkosti budovy Technoparku Školkovo bol v decembri 2017 nainštalovaný pamätník počítačového vírusu Petya. Dvojmetrový pomník s nápisom: "Tu leží počítačový vírus Petya porazený ľuďmi 27.06.2017." vyrobený vo forme nahryznutého pevného disku , vznikol s podporou spoločnosti INVITRO okrem iných spoločností postihnutých následkami masívneho kybernetického útoku . Robot menom Nu, ktorý pracuje vo Phystechparku a (MIT), prišiel na ceremoniál predniesť slávnostný prejav.
Útok na vládu Sevastopolu
Špecialisti Hlavného riaditeľstva informatizácie a komunikácií Sevastopolu úspešne odrazili útok sieťového šifrovacieho vírusu Petya na servery regionálnej vlády. Oznámil to 17. júla 2017 na operačnom zasadnutí vlády Sevastopolu vedúci odboru informatizácie Denis Timofeev.
Uviedol, že malvér Petya nemal žiadny vplyv na údaje uložené v počítačoch v štátnych inštitúciách v Sevastopole.
Zameranie na využívanie slobodného softvéru je zakotvené v koncepcii informatizácie Sevastopolu schválenej v roku 2015. Uvádza, že pri nákupe a vývoji základného softvéru, ako aj softvéru pre informačné systémy pre automatizáciu, je vhodné analyzovať možnosť využitia bezplatných produktov, ktoré môžu znížiť rozpočtové náklady a znížiť závislosť od dodávateľov a vývojárov.
Už skôr, koncom júna, bola v rámci rozsiahleho útoku na zdravotnícku spoločnosť Invitro poškodená aj pobočka jej pobočky sídliacej v Sevastopole. Kvôli vírusu počítačová sieť pobočka dočasne pozastavila vydávanie výsledkov testov až do odstránenia príčin.
Spoločnosť Invitro oznámila pozastavenie vykonávania testov z dôvodu kybernetického útoku
Lekárska spoločnosť Invitro pozastavila odber biomateriálu a vydávanie výsledkov testov pacientov kvôli hackerskému útoku z 27. júna. RBC to oznámil riaditeľ korporátnej komunikácie spoločnosti Anton Bulanov.
Ako sa uvádza v správe spoločnosti, v blízkej budúcnosti „Invitro“ prejde na bežnú prevádzku. Výsledky štúdií uskutočnených po tomto čase budú pacientom doručené po odstránení technickej poruchy. V súčasnosti laboratórium Informačný systém je v procese nastavovania. „Ľutujeme súčasnú situáciu vyššej moci a ďakujeme našim zákazníkom za pochopenie,“ uzavrel Invitro.
Podľa týchto údajov útok počítačový vírus absolvovali kliniky v Rusku, Bielorusku a Kazachstane.
Útok na Gazprom a ďalšie ropné a plynárenské spoločnosti
29. júna 2017 sa dozvedelo o globálnom kybernetickom útoku na počítačové systémy Gazpromu. Takže ešte jeden ruská spoločnosť trpel vírusom Petya ransomware.
Podľa informačná agentúra Agentúra Reuters s odvolaním sa na zdroj z ruskej vlády a osobu zapojenú do vyšetrovania incidentu trpela Gazprom šírením malvéru Petya, ktorý napadol počítače celkovo vo viac ako 60 krajinách sveta.
Účastníci rozhovoru neposkytli podrobnosti o tom, koľko a ktoré systémy boli infikované v Gazprome, ako aj o výške škôd spôsobených hackermi. Spoločnosť na žiadosť agentúry Reuters odmietla komentovať.
Medzitým vysokopostavený zdroj RBC z Gazpromu pre publikáciu uviedol, že počítače v centrále spoločnosti fungovali bez prerušenia, keď sa začal rozsiahly útok hackerov (27. júna 2017), a pokračujú o dva dni neskôr. Ďalšie dva zdroje RBC v Gazprome tiež ubezpečili, že „v spoločnosti je všetko pokojné“ a neexistujú žiadne vírusy.
V sektore ropy a zemného plynu trpeli Bashneft a Rosneft vírusom Petya. Ten 28. júna oznámil, že spoločnosť funguje normálne a „určité problémy“ sa promptne riešia.
Banky a priemysel
Do povedomia sa dostala infekcia počítačov v Evraze, ruskej pobočke Royal Canin (vyrába uniformy pre zvieratá) a ruskej pobočke Mondelez (výrobca čokolády Alpen Gold a Milka).
Podľa ukrajinského ministerstva vnútra muž zverejnil video na platformách na zdieľanie súborov a sociálnych sieťach, ktoré podrobne popisuje proces spustenia ransomvéru na počítačoch. V komentároch k videu muž zverejnil odkaz na svoju stránku v sociálna sieť na ktorý bol načítaný malvér. Počas prehliadok v „hackerovom“ byte zaistili policajti počítačové vybavenie, ktorý sa používa na distribúciu NotPetya. Polícia našla aj súbory s malvérom, po analýze ktorých sa potvrdila podobnosť s ransomvérom NotPetya. Ako zistili kyberpolicajti, ransomvérový program, na ktorý zverejnila obyvateľka Nikopolu, si používatelia sociálnej siete stiahli 400-krát.
Medzi tými, ktorí si stiahli NotPetya, príslušníci orgánov činných v trestnom konaní identifikovali spoločnosti, ktoré úmyselne infikovali svoje systémy ransomvérom, aby skryli trestnú činnosť a vyhli sa plateniu pokút štátu. Stojí za zmienku, že polícia nespája aktivity muža s hackerskými útokmi z 27. júna tohto roku, to znamená, že nie je pochýb o jeho zapojení do autorov NotPetya. Činy, ktoré sa mu pripisujú, sa týkajú iba činov spáchaných v júli tohto roku - po vlne rozsiahlych kybernetických útokov.
Voči mužovi bolo začaté trestné stíhanie podľa 1. časti čl. 361 (neoprávnený zásah do prevádzky počítačov) Trestného zákona Ukrajiny. Nikopolchaninovi hrozia až 3 roky väzenia.
Distribúcia vo svete
Šírenie vírusu Petya ransomware bolo zaznamenané v Španielsku, Nemecku, Litve, Číne a Indii. Napríklad kvôli malvéru v Indii bola technológia riadenia dopravy kontajnerového prístavu Jawaharlal Nehru, ktorý prevádzkuje A.P. Moller-Maersk, prestali uznávať príslušnosť tovaru.
O kybernetických útokoch informovala britská reklamná skupina WPP, španielska kancelária jednej z najväčších právnických firiem na svete DLA Piper a potravinárskeho giganta Mondelez. Francúzsky výrobca stavebných materiálov Cie. de Saint-Gobain a farmaceutická spoločnosť Merck & Co.
Merck
Americký farmaceutický gigant Merck, ťažko zasiahnutý júnovým ransomvérovým útokom NotPetya, stále nedokáže obnoviť všetky systémy a vrátiť sa do normálnej prevádzky. Toto bolo uvedené v správe spoločnosti na formulári 8-K, ktorá bola predložená americkej komisii pre cenné papiere a burzy (SEC) koncom júla 2017. Čítaj viac.
Moller-Maersk a Rosneft
3. júla 2017 vyšlo najavo, že dánsky lodný gigant Moller-Maersk a Rosneft obnovil IT systémy infikované vírusom Petya ransomware len takmer týždeň po útoku z 27. júna.
Lodná spoločnosť Maersk, ktorá predstavuje jeden zo siedmich prepravných kontajnerov odoslaných na celom svete, tiež dodala, že všetkých 1 500 aplikácií, ktorých sa kybernetický útok týka, sa vráti do normálnej prevádzky najneskôr 9. júla 2017.
Najviac zasiahnuté boli IT systémy spoločnosti APM Terminals vlastnenej Maerskom, ktorá prevádzkuje desiatky nákladných prístavov a kontajnerových terminálov vo viac ako 40 krajinách. Cez prístavy APM Terminals, ktorých práca bola v dôsledku šírenia vírusu úplne paralyzovaná, prejde denne viac ako 100 tisíc nákladných kontajnerov. Terminál Maasvlakte II v Rotterdame obnovil dodávky 3. júla.
16. augusta 2017 A.P. Moller-Maersk pomenoval približnú výšku škôd spôsobených kybernetickým útokom pomocou vírusu Petya, ktorého infekcia, ako poznamenala európska spoločnosť, prešla cez ukrajinský program. Podľa predbežných výpočtov spoločnosti Maersk dosiahli finančné straty z ransomvéru Petya v druhom štvrťroku 2017 200 až 300 miliónov dolárov.
Medzitým trvalo spoločnosti Rosneft takmer týždeň, kým obnovila počítačové systémy pred útokom hackerov, o ktorom 3. júla informovala tlačová služba spoločnosti, informovala agentúra Interfax:
Niekoľko dní predtým Rosnefť zdôraznila, že sa ešte nezaviazala posúdiť dôsledky kybernetického útoku, ale výroba nebola ovplyvnená.
Ako Petya účinkuje?
V skutočnosti obete vírusov nemôžu odomknúť svoje súbory, keď sú infikované. Faktom je, že jeho tvorcovia s takouto príležitosťou vôbec nerátali. To znamená, že šifrovaný disk a priori nemožno dešifrovať. ID malvéru neobsahuje informácie potrebné na dešifrovanie.
Spočiatku odborníci zaradili vírus, ktorý postihol približne dvetisíc počítačov v Rusku, na Ukrajine, v Poľsku, Taliansku, Nemecku, Francúzsku a ďalších krajinách, do už známej rodiny ransomvéru Petya. Ukázalo sa však, že hovoríme o novej rodine malvéru. Spoločnosť Kaspersky Lab nazvala nový šifrovač ExPetr.
Ako bojovať
Boj proti kybernetickým hrozbám si vyžaduje spoločné úsilie bánk, IT firiem a štátu
Metóda obnovy dát od spoločnosti Positive Technologies
Expert Positive Technologies Dmitrij Sklyarov 7. júla 2017 predstavil metódu na obnovu dát zašifrovaných vírusom NotPetya. Podľa odborníka je metóda použiteľná, ak mal vírus NotPetya oprávnenia správcu a zašifroval celý disk.
Schopnosť obnoviť údaje je spôsobená chybami pri implementácii šifrovacieho algoritmu Salsa20, ktoré urobili samotní útočníci. Účinnosť metódy bola testovaná na testovacom médiu aj na jednom zo šifrovaných pevných diskov veľkej spoločnosti, ktorá bola medzi obeťami epidémie.
Spoločnosti a nezávislí vývojári špecializujúci sa na obnovu dát môžu voľne používať a automatizovať prezentovaný dešifrovací skript.
Výsledky vyšetrovania už potvrdila aj ukrajinská kybernetická polícia. Závery vyšetrovania "Juscutum" budú použité ako kľúčový dôkaz v budúcom procese proti Intellect-Service.
Proces bude mať občiansky charakter. Ukrajinské orgány činné v trestnom konaní vykonávajú nezávislé vyšetrovanie. Ich zástupcovia už skôr avizovali možnosť začať konanie proti zamestnancom Intellect-Service.
Samotná spoločnosť M.E.Doc uviedla, že to, čo sa deje, bol pokus o prevzatie spoločnosti nájazdníkmi. Výrobca jediného populárneho ukrajinského účtovného softvéru sa domnieva, že súčasťou realizácie tohto plánu bolo aj pátranie spoločnosti ukrajinskou kybernetickou políciou.
Počiatočný infekčný vektor s kodérom Petya
17. mája bola vydaná aktualizácia M.E.Doc, ktorá neobsahuje škodlivý backdoor modul. Pravdepodobne to môže vysvetliť relatívne malý počet infekcií XData, spoločnosť verí. Útočníci neočakávali vydanie aktualizácie 17. mája a šifrovač spustili 18. mája, kedy už väčšina používateľov mala nainštalovanú zabezpečenú aktualizáciu.
Zadné vrátka umožňujú načítanie a spustenie ďalšieho malvéru na infikovanom systéme – takto prebiehala prvotná infekcia kódovačmi Petya a XData. Okrem toho program zhromažďuje nastavenia proxy servera a e-mailu, vrátane prihlasovacích údajov a hesiel z aplikácie M.E.Doc, ako aj kódy spoločností podľa EDRPOU (Jednotný štátny register podnikov a organizácií Ukrajiny), čo umožňuje identifikovať obetí.
„Musíme zodpovedať množstvo otázok,“ povedal Anton Čerepanov, senior analytik vírusov v spoločnosti Eset. - Ako dlho sa zadné vrátka používajú? Aké príkazy a malvér okrem Petya a XData boli odoslané cez tento kanál? Aké ďalšie infraštruktúry boli ohrozené, ale ešte neboli použité kybernetickou skupinou stojacou za týmto útokom?
Na základe kombinácie funkcií, vrátane infraštruktúry, škodlivých nástrojov, schém a cieľov útokov, experti Esetu vytvorili prepojenie medzi epidémiou Diskcoder.C (Petya) a kyberskupinou Telebots. Kto stojí za aktivitami tejto skupiny, sa zatiaľ nepodarilo spoľahlivo určiť.
Pred niekoľkými mesiacmi sme spolu s ďalšími odborníkmi na IT bezpečnosť objavili nový malvér – Petya (Win32.Trojan-Ransom.Petya.A). V klasickom zmysle nešlo o ransomvér, vírus jednoducho zablokoval prístup k určitým typom súborov a požadoval výkupné. Vírus upravený zavádzací záznam na pevnom disku, násilne reštartoval PC a zobrazil správu, že „údaje sú zašifrované – zažeňte svoje peniaze na dešifrovanie“. Vo všeobecnosti ide o štandardnú schému ransomvérových vírusov, okrem toho, že súbory NEBOLI v skutočnosti šifrované. Väčšina populárnych antivírusov začala identifikovať a odstraňovať Win32.Trojan-Ransom.Petya.A v priebehu niekoľkých týždňov od svojho uvedenia. Okrem toho existujú pokyny na manuálne odstránenie. Prečo si myslíme, že Petya nie je klasický ransomvér? Tento vírus robí zmeny v hlavnom zavádzacom zázname a zabraňuje spusteniu operačného systému a tiež šifruje hlavnú tabuľku súborov (hlavnú tabuľku súborov). Nešifruje samotné súbory.
Pred pár týždňami sa však objavil sofistikovanejší vírus. mischa, ktorú zrejme napísali tí istí podvodníci. Tento vírus ŠIFRUJE súbory a vyžaduje, aby ste zaplatili 500 – 875 USD za dešifrovanie (v rôzne verzie 1,5 – 1,8 bitcoinov). Pokyny na „dešifrovanie“ a platbu zaň sú uložené v súboroch YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT.
Mischa virus – obsah súboru YOUR_FILES_ARE_ENCRYPTED.HTML
Teraz v skutočnosti hackeri infikujú počítače používateľov dvoma malvérmi: Petya a Mischa. Prvý potrebuje administrátorské práva v systéme. To znamená, že ak používateľ odmietne udeliť Petyovi administrátorské práva alebo tento malvér odstráni manuálne, Mischa sa zapojí. Tento vírus nepotrebuje práva správcu, je to klasický ransomvér a skutočne šifruje súbory pomocou silného algoritmu AES bez toho, aby vykonal akékoľvek zmeny v hlavnom zavádzacom zázname a tabuľke súborov na pevnom disku obete.
Malvér Mischa šifruje nielen štandardné typy súborov (videá, obrázky, prezentácie, dokumenty), ale aj súbory .exe. Vírus neovplyvňuje iba adresáre \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ internet Explorer, \Temp, \Local, \LocalLow a \Chrome.
K infekcii dochádza najmä prostredníctvom e-mailu, kde príde list s priloženým súborom – inštalátor vírusu. Môže byť zašifrovaný ako list z daňového úradu, od vášho účtovníka, ako priložené účtenky a nákupné doklady atď. Dávajte pozor na prípony súborov v takýchto písmenách - ak ide o spustiteľný súbor (.exe), potom s vysokou pravdepodobnosťou môže ísť o kontajner s vírusom Petya\Mischa. A ak je modifikácia škodlivého softvéru čerstvá, váš antivírus nemusí reagovať.
Aktualizácia 30.06.2017: 27. júna upravená verzia vírusu Petya (Petya.A) masívne napádal užívateľov na Ukrajine. Účinok tohto útoku bol obrovský a ekonomické škody ešte neboli vyčíslené. Za jeden deň bola paralyzovaná práca desiatok bánk, obchodné reťazceštátne inštitúcie a podniky rôznych foriem vlastníctva. Vírus sa šíril predovšetkým cez zraniteľnosť v ukrajinskom účtovnom systéme MeDoc s najnovším automatická aktualizácia tento softvér. Okrem toho vírus zasiahol aj krajiny ako Rusko, Španielsko, Veľká Británia, Francúzsko, Litva.
Odstráňte vírus Petya a Mischa pomocou automatického čističa
Výhradne efektívna metóda zaoberajúce sa malvérom vo všeobecnosti a ransomvérom konkrétne. Použitie overeného bezpečnostného komplexu zaručuje dôkladnosť detekcie akýchkoľvek vírusových komponentov, ich úplné odstránenie jedným kliknutím. Upozorňujeme, že sú dve rôzne procesy: odinštalujte infekciu a obnovte súbory v počítači. Hrozbu však určite treba odstrániť, keďže existujú informácie o zavedení ďalších počítačových trójskych koní s jej pomocou.
- . Po spustení softvéru kliknite na tlačidlo Spustite kontrolu počítača(Spustiť skenovanie).
- Nainštalovaný softvér poskytne správu o hrozbách zistených počas kontroly. Ak chcete odstrániť všetky nájdené hrozby, vyberte túto možnosť Opravte hrozby(Odstrániť hrozby). Príslušný malvér bude úplne odstránený.
Obnovte prístup k zašifrovaným súborom
Ako už bolo uvedené, ransomvér Mischa uzamkne súbory pomocou silného šifrovacieho algoritmu, takže šifrované údaje nie je možné obnoviť mávnutím čarovného prútika - pokiaľ neberiete do úvahy platbu neslýchaného výkupného (niekedy až 1 000 $). Niektoré metódy sa však skutočne môžu stať záchrancom, ktorý vám pomôže obnoviť dôležité údaje. Nižšie sa s nimi môžete zoznámiť.
Program na automatické obnovenie súborov (decryptor)
Je známa veľmi nezvyčajná okolnosť. Táto infekcia vymaže pôvodné súbory v nezašifrovanej forme. Vydieračský proces šifrovania sa tak zameriava na ich kópie. To poskytuje príležitosť na to softvérové nástroje ako obnoviť odstránené objekty, aj keď je zaručená spoľahlivosť ich odstránenia. Dôrazne sa odporúča uchýliť sa k postupu obnovy súboru, jeho účinnosť je nepochybná.
Objemové tieňové kópie
Tento prístup je založený na postupe Windows Rezervovať kópiu súborov, čo sa opakuje v každom bode obnovenia. Dôležitá podmienka práca túto metódu: Obnovenie systému musí byť aktivované pred infekciou. Akékoľvek zmeny vykonané v súbore po bode obnovenia sa však neprejavia v obnovenej verzii súboru.
Zálohovanie
Toto je najlepšia zo všetkých metód bez výkupu. Ak je postup zálohovania údajov zapnutý externý server bol použitý predtým, ako ransomvér zaútočil na váš počítač, na obnovenie zašifrovaných súborov stačí zadať príslušné rozhranie, vybrať potrebné súbory a spustite mechanizmus na obnovu dát zo zálohy. Pred vykonaním operácie sa musíte uistiť, že ransomvér je úplne odstránený.
Skontrolujte možné zvyškové komponenty ransomvéru Petya a Mischa
Upratovanie v manuálny mód je plná chýbajúcich kúskov ransomvéru, ktoré sa môžu vyhnúť odstráneniu vo forme ukradnutých predmetov operačný systém alebo záznamy v registri. Ak chcete eliminovať riziko čiastočného zachovania jednotlivých škodlivých prvkov, skontrolujte svoj počítač pomocou spoľahlivého bezpečnostného softvérového balíka, ktorý sa špecializuje na malvér.
Čo je Petya.A?
Ide o „ransomware vírus“, ktorý šifruje dáta v počítači a vyžaduje 300 dolárov za kľúč na ich dešifrovanie. Začalo to infikovať ukrajinské počítače okolo poludnia 27. júna a potom sa rozšírilo do ďalších krajín: Ruska, Veľkej Británie, Francúzska, Španielska, Litvy atď. Webová stránka spoločnosti Microsoft má teraz vírus Má stupeň „vážneho“ ohrozenia.
K infekcii dochádza v dôsledku rovnakej zraniteľnosti v Microsoft Windows, čo je prípad s Vírus WannaCry, ktorý v máji zasiahol tisíce počítačov po celom svete a spôsobil spoločnostiam škody vo výške približne 1 miliardy dolárov.
Vo večerných hodinách kybernetická polícia oznámila, že vírusový útok chcel elektronické hlásenie a tok dokumentov. Podľa strážcov zákona o 10:30 vyšla ďalšia aktualizácia M.E.Doc, pomocou ktorej sa do počítačov stiahol škodlivý softvér.
Petya bola distribuovaná pomocou Email, vydávajúc program za životopis zamestnanca. Ak sa niekto pokúsil otvoriť životopis, vírus požiadal o práva správcu. Ak používateľ súhlasil, počítač sa reštartoval, potom bol pevný disk zašifrovaný a objavilo sa okno požadujúce „výkupné“.
VIDEO
Proces infekcie vírusom Petya. Video: G DATA Software AG / YouTube
Samotný vírus Petya mal zároveň zraniteľnosť: bolo možné získať kľúč na dešifrovanie údajov pomocou špeciálny program. Túto metódu opísal v apríli 2016 redaktor Geektimes Maxim Agadzhanov.
Niektorí používatelia sa však rozhodnú zaplatiť „výkupné“. Podľa jednej zo známych bitcoinových peňaženiek dostali tvorcovia vírusu 3,64 bitcoinov, čo zodpovedá približne 9 100 dolárom.
Koho zasiahol vírus?
Na Ukrajine boli obeťami Petya.A hlavne firemných klientov: vládne agentúry, banky, médiá, energetické spoločnosti a iné organizácie.
Medzi inými spoločnosti Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24 a tiež Boryspil Airport, Kabinet ministrov Ukrajiny, Štátna fiškálna služba a ďalšie.
Útok sa rozšíril aj do regiónov. Napríklad n a v jadrovej elektrárni v Černobyle pre kybernetický útok prestala fungovať elektronická správa dokumentov a stanica prešla na manuálne monitorovanie úrovne radiácie. V Charkove sa ukázalo, že práca veľkého supermarketu Rost bola zablokovaná a na letisku bola registrácia letov prevedená do manuálneho režimu.
Pre vírus Petya.A prestali fungovať pokladne v supermarkete Rost. Foto: X...evy Charkov / "VKontakte"
Podľa publikácie boli v Rusku zasiahnuté Rosneft, Bashneft, Mars, Nivea a ďalšie.
Ako sa chrániť pred Petya.A?
Pokyny, ako sa chrániť pred Petya.A, zverejnila Bezpečnostná služba Ukrajiny a Kybernetická polícia.
Cyberpolica používateľom odporúča inštaláciu aktualizácie systému Windows z oficiálnej webovej stránky spoločnosti Microsoft, aktualizujte alebo nainštalujte antivírus, nesťahujte podozrivé súbory z e-maily a ak spozorujete abnormality, okamžite odpojte počítač od siete.
SBU zdôraznila, že v prípade podozrenia nie je možné počítač reštartovať, pretože súbory sú pri reštarte šifrované. Špeciálna služba odporučila Ukrajincom uložiť cenné súbory na samostatné médium a vytvoriť ich zálohovanie operačný systém.
Expert na kybernetickú bezpečnosť Vlad Styran napísal na Facebooku, že šírenie vírusu v lokálna sieť možno zastaviť zablokovaním portov TCP 1024-1035, 135, 139 a 445 v systéme Windows. Návod, ako to urobiť, je online.
Americká spoločnosť Symantec