Allt du behöver veta om Petna, ett ransomware från Petya-familjen. Petya, NotPetya eller Petna? Allt du behöver veta om den nya epidemiska Petya-virusfilen
Attacken av viruset på datorer hos offentliga och privata ukrainska företag började klockan 11:30. Under slaget låg stora banker, detaljhandelskedjor, operatörer cellulär kommunikation, statligt ägda företag, infrastrukturanläggningar och tjänstebranscher.
Viruset täckte hela Ukrainas territorium, vid 17:00 fanns det information om att en attack också hade registrerats i den västra delen av landet, i Transcarpathia: här, i samband med viruset, stängdes filialer till OTR Bank och Ukrsotsbank .
"Sajten Korrespondent.net, populär i Ukraina, och TV-kanalen 24 fungerar inte. Antalet företag som har drabbats av attacken ökar för varje timme. För närvarande fungerar de flesta bankkontor inte i Ukraina. Till exempel på Ukrsotsbanks kontor startar datorer helt enkelt inte. Det är omöjligt att ta emot eller skicka pengar, betala kvitton osv. Samtidigt finns det inga problem i PrivatBank, "rapporterar Kiev-korrespondenten för RT.
Viruset infekterar endast datorer som körs på operativsystemet. Windows-system. Den krypterar hårddiskens huvudfiltabell och pressar pengar från användare för dekryptering. I detta liknar det WannaCry ransomware-viruset, som har attackerats av många företag runt om i världen. Samtidigt har resultaten av att kontrollera infekterade datorer redan dykt upp, vilket visar att viruset förstör all eller det mesta av informationen på infekterade diskar.
För tillfället har viruset identifierats som mbr locker 256, men ett annat namn har blivit utbrett i media - Petya.
Från Kiev till Tjernobyl
Viruset har även drabbat Kievs tunnelbana, där det för närvarande är svårt att betala med bankkort.
Många stora infrastrukturanläggningar drabbades, såsom den statliga järnvägsoperatören Ukrzaliznytsia, Boryspil flygplats. Men medan de fungerar normalt har flygnavigeringssystemet inte påverkats av viruset, även om Boryspil redan har publicerat en varning om möjliga förändringar i schemat, och ankomsttavlan fungerar inte på själva flygplatsen.
I samband med attacken upplever två av de största postoperatörerna i landet svårigheter i sitt arbete: det statligt ägda Ukrposhta och det privata Novaya Pochta. Den senare meddelade att det idag inte skulle tas någon avgift för lagring av paket, och Ukrposhta försöker minimera konsekvenserna av attacken med hjälp av SBU.
På grund av infektionsrisken fungerar inte heller webbplatserna för de organisationer som inte har drabbats av viruset. Av den här anledningen inaktiverades till exempel servrarna på webbplatsen för Kiev City State Administration, liksom webbplatsen för Ukrainas inrikesministerium.
Ukrainska tjänstemän hävdar förutsägbart att attackerna kommer från Ryssland. Oleksandr Turchynov, sekreterare för Ukrainas nationella säkerhets- och försvarsråd, sa detta. "Redan nu, efter att ha genomfört en första analys av viruset, kan vi prata om det ryska spåret", citerar avdelningens officiella webbplats honom.
Vid 17:30-tiden hade viruset till och med nått kärnkraftverket i Tjernobyl. Volodymyr Ilchuk, chef för kärnkraftsskiftet i Tjernobyl, rapporterade detta till Ukrayinska Pravda-publikationen.
"Det finns preliminära uppgifter om att vissa datorer har infekterats med ett virus. Därför, så snart denna hackerattack började, gavs ett personligt kommando till datorarbetare på personalens platser att stänga av sina datorer, säger Ilchuk.
Attackera godis och olja och gas
Flera ryska företag hackades också tisdagen den 27 juni, inklusive olje- och gasjättarna Rosneft och Bashneft, metallurgiföretaget Evraz, Home Credit Bank, vars filialer har avbrutit verksamheten, samt de ryska representationskontoren för Mars, Nivea, Mondelez International, TESA och ett antal andra utländska företag.
- Reuters
- MAXIM SHEMETOV
Runt 14:30 Moskva-tid meddelade Rosneft en kraftfull hackerattack mot företagets servrar. Samtidigt konstaterar företagets mikroblogg på Twitter att attacken kunde ha lett till allvarliga konsekvenser, men tack vare övergången till backup-system ledning av produktionsprocesser stoppades varken utvinningen eller beredningen av olja.
Efter cyberattacken blev Rosneft- och Bashneft-företagens webbplatser otillgängliga under en tid. Rosneft förklarade också att det var otillåtet att sprida falsk information om attacken.
Spridare av falska panikmeddelanden kommer att betraktas som medbrottslingar till arrangörerna av attacken och kommer att hållas ansvariga tillsammans med dem.
— Rosneft Oil Company PJSC (@RosneftRu) 27 juni 2017
"Distributörer av falska panikmeddelanden kommer att betraktas som medbrottslingar till arrangörerna av attacken och kommer att hållas ansvariga tillsammans med dem", sade företaget.
Samtidigt noterade Rosneft att företaget ansökte till brottsbekämpande myndigheter i samband med cyberattacken och uttryckte hopp om att incidenten inte hade något att göra med "nuvarande rättsliga förfaranden." Tisdagen den 27 juni började skiljedomstolen i Bashkiria att överväga fördelarna med Rosnefts, Bashnefts och Bashkirias fordran mot AFK Sistema på ett belopp av 170,6 miljarder rubel.
WannaCry Jr.
Samtidigt påverkade inte hackerattacken arbetet datorsystem Rysslands presidents administration och Kremls officiella webbplats, som enligt TASSs pressekreterare för president Dmitrij Peskov "fungerar stabilt".
Hackerattacken hade inte heller någon effekt på driften av ryska kärnkraftverk, noterade Rosenergoatom-gruppen.
Företaget Dr. Web uppgav på sin hemsida att den nuvarande attacken, trots likheten, utfördes med ett virus som skilde sig från den redan kända Petya ransomware, i synnerhet hotspridningsmekanismen.
"Bland offren för cyberattacken var nätverken av Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA och andra", sa företaget. Samtidigt sa presstjänsten för Mars i Ryssland att cyberattacken orsakade problem med IT-system endast för varumärket Royal Canin, en tillverkare av djurfoder, och inte för hela företaget.
Den senaste stora hackerattacken mot ryska företag och statliga institutioner inträffade den 12 maj som en del av en storskalig operation av okända hackare som attackerade Windows-datorer i 74 länder med hjälp av krypteringsviruset WannaCry.
På tisdagen sade chefen för federationsrådets internationella kommitté, Konstantin Kosachev, vid ett möte med federationsrådets kommission för skydd av statens suveränitet, att cirka 30 % av alla cyberattacker mot Ryssland utförs från Förenta staterna. Stater.
"Inte mer än 2% av transaktionerna görs från ryskt territorium till amerikanska datorer. Totala numret cyberattacker, medan från USA:s territorium till den ryska elektroniska infrastrukturen - 28-29%, ”citerade RIA Novosti Kosachev som sagt.
Enligt chefen för det internationella forskarteamet vid Kaspersky Lab Kostin Rayu, Petya-virus spred sig till många länder i världen.
Petrwrap/Petya ransomware variant med kontakt [e-postskyddad] sprider sig över hela världen, ett stort antal drabbade länder.
I början av maj infekterades cirka 230 000 datorer i mer än 150 länder med ransomware. Innan offren hann eliminera konsekvenserna av denna attack följde en ny – kallad Petya. De största ukrainska och ryska företagen, såväl som statliga institutioner, led av det.
Ukrainas cyberpolis fann att attacken av viruset började genom mekanismen för att uppdatera bokföringsprogramvaran M.E.Doc, som används för att förbereda och skicka skattedeklarationer. Så det blev känt att nätverken Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo och Dneprs elkraftsystem inte undgick infektion. I Ukraina har viruset trängt in i regeringsdatorer, PC:erna i Kievs tunnelbana, telekomoperatörer och till och med kärnkraftverket i Tjernobyl. I Ryssland drabbades Mondelez International, Mars och Nivea.
Petya-viruset utnyttjar sårbarheten EternalBlue i Windows-operativsystemet. Experter från Symantec och F-Secure säger att medan Petya krypterar data som WannaCry, så skiljer det sig något från andra typer av ransomware. "Petyas virus är den nya sorten ransomware med skadlig avsikt: den krypterar inte bara filer på disken, utan blockerar hela disken, vilket gör den praktiskt taget oanvändbar, förklarar F-Secure. "Särskilt krypterar den MFT-masterfiltabellen."
Hur sker detta och kan denna process förhindras?
Petya-virus - hur fungerar det?
Petya-viruset är också känt under andra namn: Petya.A, PetrWrap, NotPetya, ExPetr. När den kommer in i datorn, laddar den ner ransomware från Internet och försöker träffa en del hårddisk med de data som behövs för att starta upp datorn. Om han lyckas skickar systemet en Blue Screen of Death (“ blåskärm av död"). Efter en omstart visas ett meddelande hård skivan som ber dig att inte stänga av strömmen. Således låtsas ransomware-viruset vara det systemprogram genom att kontrollera disken, samtidigt som du krypterar filer med vissa tillägg. I slutet av processen visas ett meddelande om att datorn är låst och information om hur man skaffar en digital nyckel för att dekryptera data. Petya-viruset kräver en lösensumma, vanligtvis i bitcoin. Om offret inte har en säkerhetskopia av filerna står han inför ett val - att betala beloppet på $ 300 eller förlora all information. Enligt vissa analytiker maskerar viruset sig bara som ransomware, medan dess sanna mål är att orsaka massiv skada.
Hur blir man av med Petya?
Experterna fann att Petya-viruset letar efter en lokal fil och, om denna fil redan finns på disken, avslutar krypteringsprocessen. Det betyder att användare kan skydda sin dator från ransomware genom att skapa den här filen och ställa in den på skrivskyddad.
Trots det faktum att detta listiga schema förhindrar utpressningsprocessen från att starta, kan denna metod betraktas mer som "datorvaccination". Därför måste användaren skapa filen själv. Du kan göra detta på följande sätt:
- Först måste du ta itu med filtillägget. Se till att i fönstret "Mappalternativ" i kryssrutan "Dölj tillägg för kända filtyper" är avmarkerat.
- Öppna mappen C:\Windows, scrolla ner tills du ser programmet notepad.exe.
- Vänsterklicka på notepad.exe, tryck sedan på Ctrl + C för att kopiera och sedan på Ctrl + V för att klistra in filen. Du kommer att bli tillfrågad om tillåtelse att kopiera filen.
- Klicka på knappen "Fortsätt" så skapas filen som ett anteckningsblock - Copy.exe. Vänsterklicka på den här filen och tryck på F2-tangenten, radera sedan Copy.exe-filnamnet och skriv perfc.
- Efter att ha ändrat filnamnet till perfc, tryck på Enter. Bekräfta byta namn.
- Nu när perfc-filen har skapats måste vi göra den skrivskyddad. För att göra detta, klicka Högerklicka för musen över filen och välj "Egenskaper".
- Egenskapsmenyn för den filen öppnas. Längst ner ser du "Read Only". Markera rutan.
- Klicka nu på knappen "Apply" och sedan på "OK".
Vissa säkerhetsexperter föreslår att du skapar filerna C:\Windows\perfc.dat och C:\Windows\perfc.dll utöver filen C:\windows\perfc för att bättre skydda mot Petya-viruset. Du kan upprepa stegen ovan för dessa filer.
Grattis, din dator är skyddad från NotPetya / Petya!
Symantecs experter ger några råd till PC-användare för att förhindra dem från att göra saker som kan leda till fillåsning eller förlust av pengar.
- Betala inte pengar till bedragare.Även om du överför pengar till ransomware finns det ingen garanti för att du kommer att kunna återfå åtkomst till dina filer. Och i fallet med NotPetya / Petya är detta i princip meningslöst, eftersom syftet med kryptören är att förstöra data, inte att få pengar.
- Se till att du säkerhetskopierar dina data regelbundet. I det här fallet, även om din dator blir målet för en ransomware-attack, kommer du att kunna återställa alla raderade filer.
- Öppna inte e-postmeddelanden med tvivelaktiga adresser. Angripare kommer att försöka lura dig att installera skadlig programvara eller försöka få fram viktig attackdata. Var noga med att meddela IT-proffs om du eller dina anställda får misstänkta e-postmeddelanden eller länkar.
- Använd pålitlig programvara. Snabb uppdatering av antivirusprogram spelar en viktig roll för att skydda datorer från infektioner. Och naturligtvis måste du använda produkterna från välrenommerade företag inom detta område.
- Använd mekanismer för att skanna och blockera skräppostmeddelanden. Inkommande e-postmeddelanden ska skannas efter hot. Det är viktigt att alla typer av meddelanden som innehåller länkar eller typiska nyckelord nätfiske.
- Se till att alla program är uppdaterade. Regelbunden patchning av sårbarheter i programvara är avgörande för att förhindra infektioner.
Ska vi förvänta oss nya attacker?
Petya-viruset dök upp första gången i mars 2016 och säkerhetsexperter märkte omedelbart dess beteende. Nytt virus Petya slog till på datorer i Ukraina och Ryssland i slutet av juni 2017. Men det här tar knappast slut. Hackerattacker med ransomware-virus som liknar Petya och WannaCry kommer att upprepas, säger Stanislav Kuznetsov, vice ordförande i Sberbanks styrelse. I en intervju med TASS varnade han för att det definitivt skulle bli sådana attacker, men det är svårt att på förhand förutse i vilken form och format de kan komma att dyka upp.
Om du, efter alla tidigare cyberattacker, ännu inte har vidtagit åtminstone minimala åtgärder för att skydda din dator från ett krypteringsvirus, då är det dags att ta tag i det.
Storbritannien, USA och Australien anklagade officiellt Ryssland för att distribuera NotPetya
Den 15 februari 2018 utfärdade det brittiska utrikesdepartementet ett officiellt uttalande där Ryssland anklagades för att organisera en cyberattack med krypteringsviruset NotPetya.
Enligt de brittiska myndigheterna visade denna attack en ytterligare ignorering av Ukrainas suveränitet, och som ett resultat av dessa hänsynslösa handlingar stördes arbetet i många organisationer över hela Europa, vilket resulterade i förluster på flera miljoner dollar.
Ministeriet noterade att slutsatsen om den ryska regeringens och Kremls inblandning i cyberattacken gjordes på grundval av slutsatsen från UK National CyberSecurity Centre (UK National CyberSecurity Centre), som "tror nästan helt att den ryska militären ligger bakom NotPetya-attacken." Även i uttalandet sa att dess allierade inte kommer att tolerera skadlig cyberaktivitet.
Enligt den australiensiska brottsbekämpnings- och cybersäkerhetsministern Angus Taylor, baserat på australiensisk underrättelseinformation och samråd med USA och Storbritannien, drog den australiensiska regeringen slutsatsen att ryska regeringsstödda angripare var ansvariga för incidenten. "Australiens regering fördömer ryskt beteende som utgör allvarliga risker för den globala ekonomin, statlig verksamhet och tjänster, affärsverksamhet och individers säkerhet och välbefinnande", står det i uttalandet. Kreml, som tidigare upprepade gånger har förnekat all inblandning av de ryska myndigheterna i hackerattacker, kallade uttalandet från det brittiska utrikeskontoret för en del av den "ryssofobiska kampanjen".
Monument "Här ligger datorviruset Petya som besegrades av människor den 27/06/2017"
Ett monument över datorviruset Petya installerades i december 2017 nära byggnaden av Skolkovo Technopark. Ett två meter långt monument, med inskriptionen: "Här ligger datorviruset Petya som besegrades av människor den 27/06/2017." gjord i form av en biten hårddisk, skapades med stöd av INVITRO, bland andra företag som drabbats av konsekvenserna av en massiv cyberattack. En robot vid namn Nu, som arbetar på Phystechpark och (MIT), kom till ceremonin för att hålla ett högtidligt tal.
Attack mot regeringen i Sevastopol
Specialister från huvuddirektoratet för information och kommunikation i Sevastopol avvärjde framgångsrikt attacken av Petya-nätverkskrypteringsviruset på den regionala regeringens servrar. Detta tillkännagavs den 17 juli 2017 vid ett operativt möte för regeringen i Sevastopol av chefen för informationsavdelningen Denis Timofeev.
Han uppgav att Petya malware inte hade någon effekt på data som lagrats på datorer i statliga institutioner i Sevastopol.
Fokus på användningen av fri mjukvara är inbäddad i konceptet för informatisering av Sevastopol, som godkändes 2015. Där står det att vid inköp och utveckling av basprogramvara, samt mjukvara för informationssystem för automation, är det lämpligt att analysera möjligheten att använda gratisprodukter som kan minska budgetkostnaderna och minska beroendet av leverantörer och utvecklare.
Tidigare, i slutet av juni, som en del av en storskalig attack mot medicinföretaget Invitro, skadades också en filial till dess filial i Sevastopol. På grund av viruset datornätverk filialen avbröt tillfälligt utfärdandet av testresultat tills orsakerna är eliminerade.
Invitro tillkännagav avbrytande av att ta tester på grund av en cyberattack
Medicinska företaget Invitro stoppade insamlingen av biomaterial och utfärdandet av patienttestresultat på grund av en hackerattack den 27 juni. Detta tillkännagavs för RBC av direktören för företagskommunikation för företaget Anton Bulanov.
Som anges i företagets meddelande kommer "Invitro" inom en snar framtid att gå över till normal drift. Resultaten av studier som utförs efter denna tid kommer att levereras till patienterna efter att det tekniska felet har eliminerats. För närvarande laboratoriet Informationssystemåterställd, håller den på att ställa in den. "Vi beklagar den nuvarande force majeure-situationen och tackar våra kunder för deras förståelse", avslutade Invitro.
Enligt dessa uppgifter, attacken datorvirus genomgått kliniker i Ryssland, Vitryssland och Kazakstan.
Attack mot Gazprom och andra olje- och gasbolag
Den 29 juni 2017 blev det känt om en global cyberattack mot Gazproms datorsystem. Så en till ryskt företag lidit av Petya ransomware-virus.
Enligt informationsbyrå Reuters, med hänvisning till en rysk regeringskälla och en person inblandad i utredningen av händelsen, drabbades Gazprom av spridningen av Petya malware, som attackerade datorer i totalt mer än 60 länder runt om i världen.
Publikationens samtalspartner lämnade inga detaljer om hur många och vilka system som var infekterade i Gazprom, liksom mängden skada som orsakats av hackare. Företaget avböjde att kommentera på begäran av Reuters.
Samtidigt berättade en högt uppsatt RBC-källa vid Gazprom för publikationen att datorerna på företagets centralkontor fungerade utan avbrott när en storskalig hackerattack började (27 juni 2017), och fortsätter två dagar senare. Ytterligare två källor till RBC i Gazprom försäkrade också att "allt är lugnt" i företaget och att det inte finns några virus.
Inom olje- och gassektorn led Bashneft och Rosneft av Petya-viruset. Den senare meddelade den 28 juni att företaget fungerar normalt och att "vissa problem" löses snabbt.
Banker och industri
Det blev känt om infektionen av datorer i Evraz, den ryska grenen av Royal Canin (tillverkar uniformer för djur) och den ryska grenen av Mondelez (tillverkare av Alpen Gold och Milka choklad).
Enligt Ukrainas inrikesministerium lade mannen upp en video på fildelningsplattformar och sociala nätverk som beskriver processen med att lansera ransomware på datorer. I kommentarerna till videon lade mannen upp en länk till sin sida i socialt nätverk som skadlig programvara laddades på. Under sökningar i "hackerns" lägenhet beslagtogs poliser datorutrustning, används för att distribuera NotPetya. Polisen hittade också filer med skadlig programvara, efter analys av vilka dess likhet med NotPetya ransomware bekräftades. Som cyberpoliserna konstaterade laddades ransomwaren, vars länk publicerades av Nikopol-invånaren, ned av användare av det sociala nätverket 400 gånger.
Bland dem som laddade ner NotPetya identifierade brottsbekämpande tjänstemän företag som medvetet infekterade sina system med ransomware för att dölja kriminell aktivitet och undvika betalning av straff till staten. Det är värt att notera att polisen inte kopplar mannens aktiviteter till hackerattackerna den 27 juni i år, det vill säga att det inte är fråga om hans inblandning i författarna till NotPetya. De gärningar som tillskrivits honom hänför sig endast till de handlingar som begicks i juli i år - efter en våg av storskaliga cyberattacker.
Ett brottmål inleddes mot mannen enligt del 1 av art. 361 (otillåtet ingripande i driften av datorer) i Ukrainas strafflag. Nikopolchanin riskerar upp till 3 års fängelse.
Distribution i världen
Spridningen av Petya ransomware-viruset har registrerats i Spanien, Tyskland, Litauen, Kina och Indien. Till exempel, på grund av skadlig programvara i Indien, kan trafikledningstekniken i Jawaharlal Nehru containerhamn, som drivs av A.P. Möller-Maersk, har upphört att känna igen varornas tillhörighet.
Cyberattacken rapporterades av den brittiska annonsgruppen WPP, det spanska kontoret för en av världens största advokatbyråer DLA Piper och livsmedelsjätten Mondelez. Franska byggmaterialtillverkaren Cie. de Saint-Gobain och läkemedelsföretaget Merck & Co.
Merck
Den amerikanska läkemedelsjätten Merck, som drabbades hårt av NotPetya ransomware-attacken i juni, kan fortfarande inte återställa alla system och återgå till normal drift. Detta rapporterades i bolagets rapport på blankett 8-K, inlämnad till US Securities and Exchange Commission (SEC) i slutet av juli 2017. Läs mer.
Möller-Maersk och Rosneft
Den 3 juli 2017 blev det känt att den danska fraktjätten Moller-Maersk och Rosneft återställde IT-system infekterade med Petya ransomware-viruset bara nästan en vecka efter attacken den 27 juni.
Rederiet Maersk, som står för en av sju fraktcontainrar som skickas globalt, tillade också att alla 1 500 appar som drabbats av cyberattacken kommer att återgå till normal drift senast den 9 juli 2017.
IT-systemen hos Maersk-ägda APM Terminals, som driver dussintals frakthamnar och containerterminaler i mer än 40 länder, påverkades mest. Över 100 tusen lastcontainrar per dag passerar genom hamnarna i APM Terminals, vars arbete var helt förlamat på grund av spridningen av viruset. Maasvlakte II-terminalen i Rotterdam återställde försörjningen den 3 juli.
16 augusti 2017 A.P. Möller-Maersk namngav den ungefärliga mängden skada från en cyberattack med Petya-viruset, vars infektion, som noterats av det europeiska företaget, passerade genom det ukrainska programmet. Enligt preliminära beräkningar av Maersk uppgick de ekonomiska förlusterna från Petya ransomware under andra kvartalet 2017 till mellan 200 miljoner och 300 miljoner dollar.
Samtidigt tog det också Rosneft nästan en vecka att återställa datorsystem från en hackerattack, som rapporterades den 3 juli av företagets presstjänst, fick Interfax veta:
Några dagar tidigare betonade Rosneft att man ännu inte åtog sig att bedöma konsekvenserna av en cyberattack, men produktionen påverkades inte.
Hur fungerar Petya?
Visserligen kan virusoffer inte låsa upp sina filer när de väl är infekterade. Faktum är att dess skapare inte förutsåg en sådan möjlighet alls. Det vill säga att en krypterad disk a priori inte kan dekrypteras. Skadlig programvara saknar den information som krävs för dekryptering.
Inledningsvis klassificerade experter viruset, som drabbade cirka två tusen datorer i Ryssland, Ukraina, Polen, Italien, Tyskland, Frankrike och andra länder, till den redan välkända Petya ransomware-familjen. Det visade sig dock att vi pratar om en ny familj av skadlig programvara. Kaspersky Lab har döpt den nya kryptören till ExPetr.
Hur man slåss
Kampen mot cyberhot kräver samlade insatser från banker, IT-företag och staten
Dataåterställningsmetod från Positive Technologies
Den 7 juli 2017 presenterade Positive Technologies-experten Dmitry Sklyarov en metod för att återställa data krypterad av NotPetya-viruset. Enligt experten är metoden tillämpbar om NotPetya-viruset hade administrativa privilegier och krypterade hela disken.
Möjligheten att återställa data beror på fel i implementeringen av Salsa20-krypteringsalgoritmen, gjorda av angriparna själva. Metodens effektivitet testades både på ett testmedium och på en av de krypterade hårddiskarna hos ett stort företag som var bland offren för epidemin.
Företag och oberoende utvecklare som specialiserat sig på dataåterställning är gratis att använda och automatisera det presenterade dekrypteringsskriptet.
Resultaten av utredningen har redan bekräftats av den ukrainska cyberpolisen. Slutsatserna av utredningen "Juscutum" kommer att användas som nyckelbevis i den framtida processen mot Intellect-Service.
Processen kommer att vara civil till sin natur. En oberoende utredning genomförs av brottsbekämpande myndigheter i Ukraina. Deras företrädare har tidigare meddelat möjligheten att inleda förfaranden mot anställda på Intellect-Service.
M.E.Doc-företaget uppgav själv att det som hände var ett försök att ta över företaget av anfallare. Tillverkaren av den enda populära ukrainska bokföringsprogramvaran tror att företagets sökning av den ukrainska cyberpolisen var en del av genomförandet av denna plan.
Initial infektionsvektor med Petya-kodare
Den 17 maj släpptes en uppdatering till M.E.Doc som inte innehåller en skadlig bakdörrsmodul. Förmodligen kan detta förklara det relativt lilla antalet XData-infektioner, tror företaget. Angriparna förväntade sig inte att uppdateringen skulle släppas den 17 maj och lanserade krypteringen den 18 maj, när de flesta användare redan hade installerat den säkra uppdateringen.
Bakdörren tillåter att annan skadlig kod kan laddas och exekveras på det infekterade systemet - så här genomfördes den första infektionen med Petya- och XData-kodarna. Dessutom samlar programmet in proxyserver och e-postinställningar, inklusive inloggningar och lösenord från M.E.Doc-applikationen, samt företagskoder enligt EDRPOU (Unified State Register of Enterprises and Organisations of Ukraine), vilket gör det möjligt att identifiera offer.
"Vi har ett antal frågor att besvara", säger Anton Cherepanov, senior virusanalytiker på Eset. - Hur länge har bakdörren använts? Vilka kommandon och skadlig programvara förutom Petya och XData skickades via den här kanalen? Vilka andra infrastrukturer har äventyrats men ännu inte använts av cybergruppen bakom denna attack?”
Baserat på en kombination av funktioner, inklusive infrastruktur, skadliga verktyg, system och attackmål, har Eset-experter etablerat en koppling mellan Diskcoder.C (Petya)-epidemin och Telebots cybergrupp. Det har ännu inte varit möjligt att tillförlitligt fastställa vem som ligger bakom denna grupps verksamhet.
För några månader sedan upptäckte vi och andra IT-säkerhetsspecialister en ny skadlig programvara - Petya (Win32.Trojan-Ransom.Petya.A). I klassisk mening var det inte ett ransomware, viruset blockerade helt enkelt åtkomst till vissa typer av filer och krävde en lösensumma. Virus modifierat startrekord på hårddisken, tvångsstartade datorn och visade ett meddelande om att "datan är krypterad - kör dina pengar för dekryptering". I allmänhet standardschemat för ransomware-virus, förutom att filerna faktiskt INTE var krypterade. De mest populära antivirusprogrammen började identifiera och ta bort Win32.Trojan-Ransom.Petya.A inom några veckor efter lanseringen. Dessutom finns instruktioner för manuell borttagning. Varför tror vi att Petya inte är ett klassiskt ransomware? Detta virus gör ändringar i Master Boot Record och förhindrar operativsystemet från att starta, och krypterar även Master File Table (huvudfiltabell). Den krypterar inte själva filerna.
Ett mer sofistikerat virus dök dock upp för några veckor sedan. mischa, tydligen skriven av samma bedragare. Detta virus KRYPTAR filer och kräver att du betalar $500 - $875 för dekryptering (i olika versioner 1,5 - 1,8 bitcoins). Instruktioner för "dekryptering" och betalning för det lagras i filerna YOUR_FILES_ARE_ENCRYPTED.HTML och YOUR_FILES_ARE_ENCRYPTED.TXT.
Mischa virus - innehållet i filen YOUR_FILES_ARE_ENCRYPTED.HTML
Nu infekterar hackare faktiskt användarnas datorer med två skadliga program: Petya och Mischa. Den första behöver administratörsrättigheter i systemet. Det vill säga, om en användare vägrar att ge Petya administratörsrättigheter eller tar bort denna skadliga programvara manuellt, blir Mischa inblandad. Detta virus behöver inga administratörsrättigheter, det är ett klassiskt ransomware och krypterar verkligen filer med den starka AES-algoritmen utan att göra några ändringar i Master Boot Record och filtabellen på offrets hårddisk.
Mischa malware krypterar inte bara standardfiltyper (videor, bilder, presentationer, dokument), utan även .exe-filer. Viruset påverkar inte bara katalogerna \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ Internet Explorer, \Temp, \Local, \LocalLow och \Chrome.
Smitta sker främst via e-post, där ett brev kommer in med en bifogad fil – ett virusinstallatör. Det kan krypteras som ett brev från Skatteverket, från din revisor, som bifogade kvitton och inköpskvitton m.m. Var uppmärksam på filtilläggen i sådana bokstäver - om det är en körbar fil (.exe), så kan det med stor sannolikhet vara en behållare med Petya\Mischa-viruset. Och om modifieringen av skadlig programvara är ny, kanske ditt antivirus inte reagerar.
Uppdatering 2017-06-30: 27 juni, en modifierad version av Petya-viruset (Petya.A) massivt attackerade användare i Ukraina. Effekten av denna attack var enorm och den ekonomiska skadan har ännu inte beräknats. På en dag förlamades arbetet i dussintals banker, detaljhandelskedjor, statliga institutioner och företag av olika former av ägande. Viruset spreds främst genom en sårbarhet i det ukrainska redovisningssystemet MeDoc med det senaste automatisk uppdatering denna programvara. Dessutom har viruset även drabbat länder som Ryssland, Spanien, Storbritannien, Frankrike, Litauen.
Ta bort Petya och Mischa virus med automatisk rengöring
Uteslutande effektiv metod hantera skadlig programvara i allmänhet och ransomware i synnerhet. Användningen av ett beprövat säkerhetskomplex garanterar noggrannheten i upptäckten av eventuella virala komponenter, deras fullständigt avlägsnande med ett klick. Observera att det finns två olika processer: avinstallera infektionen och återställ filer på din dator. Men hotet måste verkligen tas bort, eftersom det finns information om introduktionen av andra datortrojaner med dess hjälp.
- . När du har startat programvaran klickar du på knappen Starta datorskanning(Starta skanning).
- Den installerade programvaran kommer att ge en rapport om hot som upptäckts under genomsökningen. För att ta bort alla hittade hot, välj alternativet Åtgärda hot(Ta bort hot). Skadlig programvara i fråga kommer att tas bort helt.
Återställ åtkomst till krypterade filer
Som nämnts låser Mischa ransomware filer med en stark krypteringsalgoritm så att den krypterade datan inte kan återställas med en våg av en trollstav - om du inte tar hänsyn till betalningen av en ohörd lösensumma (ibland upp till $ 1 000 ). Men vissa metoder kan verkligen bli en livräddare som hjälper dig att återställa viktig data. Nedan kan du bekanta dig med dem.
Program för automatisk filåterställning (dekryptering)
En mycket ovanlig omständighet är känd. Denna infektion raderar originalfilerna i okrypterad form. Den utpressade krypteringsprocessen riktar sig alltså mot kopior av dem. Detta ger möjlighet till sådant mjukvaruverktyg hur man återställer borttagna objekt, även om tillförlitligheten av deras borttagning är garanterad. Det rekommenderas starkt att tillgripa filåterställningsproceduren, dess effektivitet är utom tvivel.
Volume Shadow Copies
Tillvägagångssättet är baserat på Windows-proceduren Reserv exemplar filer, som upprepas vid varje återställningspunkt. Viktigt tillstånd arbete den här metoden: Systemåterställning måste aktiveras innan infektion. Ändringar som görs i filen efter återställningspunkten kommer dock inte att återspeglas i den återställda versionen av filen.
Säkerhetskopiering
Detta är det bästa bland alla icke-buyout-metoder. Om proceduren för säkerhetskopiering av data på extern server användes innan ransomware attackerade din dator, för att återställa krypterade filer behöver du helt enkelt ange lämpligt gränssnitt, välj nödvändiga filer och starta mekanismen för att återställa data från säkerhetskopian. Innan du utför operationen måste du se till att ransomwaren är helt borttagen.
Kontrollera om det finns kvarvarande Petya och Mischa ransomware-komponenter
Städa in manuellt lägeär fylld av saknade delar av ransomware som kan undvika borttagning i form av smygande föremål operativ system eller registerposter. För att eliminera risken för partiell bevarande av enskilda skadliga element, skanna din dator med ett pålitligt säkerhetsprogram som är specialiserat på skadlig programvara.
Vad är Petya.A?
Detta är ett "ransomware-virus" som krypterar data på en dator och kräver $300 för en nyckel för att dekryptera den. Det började infektera ukrainska datorer vid middagstid den 27 juni och spred sig sedan till andra länder: Ryssland, Storbritannien, Frankrike, Spanien, Litauen, etc. Microsofts webbplats har ett virus nu Det har "allvarlig" hotnivå.
Infektion uppstår på grund av samma sårbarhet i Microsoft Windows, vilket är fallet med WannaCry virus, som slog tusentals datorer runt om i världen i maj och orsakade företag cirka 1 miljard dollar i skada.
På kvällen rapporterade cyberpolisen att en virusattack innebar att elektronisk rapportering och dokumentflöde. Enligt poliser släpptes en annan M.E.Doc-uppdatering klockan 10:30, med hjälp av vilken skadlig programvara laddades ner till datorer.
Petya distribuerades med hjälp av E-post, lämnar programmet som en anställds CV. Om en person försökte öppna ett CV bad viruset om administratörsrättigheter. Om användaren gick med på det startade datorn om, sedan krypterades hårddisken och ett fönster dök upp som krävde en "lösensumma".
VIDEO
Processen för infektion med Petya-viruset. Video: G DATA Software AG / YouTube
Samtidigt hade själva Petya-viruset en sårbarhet: det var möjligt att få en nyckel för att dekryptera data med specialprogram. Denna metod beskrevs i april 2016 av Geektimes redaktör Maxim Agadzhanov.
Vissa användare väljer dock att betala en "lösensumma". Enligt en av de välkända Bitcoin-plånböckerna fick virusets skapare 3,64 bitcoins, vilket motsvarar cirka 9 100 dollar.
Vem har drabbats av viruset?
I Ukraina var offren för Petya.A främst företagskunder: statliga myndigheter, banker, media, energibolag och andra organisationer.
Bland annat företagen Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, och även Boryspil Airport, Ukrainas ministerråd, State Fiscal Service och andra.
Attacken spred sig även till regionerna. Till exempel n och vid kärnkraftverket i Tjernobyl, på grund av en cyberattack, slutade elektronisk dokumenthantering att fungera och stationen gick över till manuell övervakning av strålningsnivåer. I Charkiv visade sig arbetet i en stor Rost-supermarknad vara blockerad, och på flygplatsen överfördes registreringen för flyg till manuellt läge.
På grund av Petya.A-viruset slutade kassadiskarna i snabbköpet Rost att fungera. Foto: X...evy Kharkov / "VKontakte"
Enligt publikationen drabbades Rosneft, Bashneft, Mars, Nivea och andra i Ryssland.
Hur skyddar du dig från Petya.A?
Instruktioner om hur du skyddar dig mot Petya.A publicerades av Ukrainas säkerhetstjänst och cyberpolisen.
Cyberpolisen råder användare att installera windows uppdateringar från den officiella Microsoft-webbplatsen, uppdatera eller installera ett antivirusprogram, ladda inte ner misstänkta filer från e-postmeddelanden och koppla omedelbart bort datorn från nätverket om avvikelser upptäcks.
SBU betonade att vid misstanke kan datorn inte startas om, eftersom filer krypteras under omstarten. Specialtjänsten rekommenderade att ukrainare sparar värdefulla filer på ett separat medium och gör säkerhetskopiering operativ system.
Cybersäkerhetsexperten Vlad Styran skrev på Facebook som spridningen av viruset i lokalt nätverk kan stoppas genom att blockera TCP-portarna 1024-1035, 135, 139 och 445 i Windows. Det finns instruktioner online om hur du gör detta.
Amerikanska företaget Symantec