Petya ailesinden bir fidye yazılımı virüsü olan Petna hakkında bilmeniz gereken her şey. Petya mı, NotPetya mı yoksa Petna mı? Yeni salgın Virüs petya dosyası hakkında bilmeniz gereken her şey

Ukrayna kamu ve özel şirketlerinin bilgisayarlarına virüs saldırısı saat 11.30'da başladı. Büyük bankalar, perakende zincirleri ve operatörler saldırı altındaydı hücresel iletişim, devlete ait şirketler, altyapı tesisleri ve hizmet işletmeleri.

Virüs tüm Ukrayna bölgesini kapladı, saat 17:00 itibarıyla ülkenin en batısında, Transcarpathia'da bir saldırının kaydedildiğine dair bilgi ortaya çıktı: burada virüs nedeniyle OTR bankası ve Ukrsotsbank şubeleri kapatıldı.

“Ukrayna'da popüler olan Korrespondent.net web sitesi ve “24” TV kanalı çalışmıyor. Saldırıdan etkilenen şirket sayısı her geçen saat artıyor. Şu anda Ukrayna'da çoğu banka şubesi faaliyet göstermemektedir. Örneğin, Ukrsotsbank'ın ofislerinde bilgisayarlar önyükleme yapmıyor. Para alamaz, gönderemez, makbuz ödeyemezsiniz vb. Aynı zamanda PrivatBank'ta da herhangi bir sorun yok” diye bildiriyor RT'nin Kiev muhabiri.

Virüs yalnızca işletim sistemiyle çalışan bilgisayarları etkiler. Windows sistemi. Sabit sürücünün ana dosya tablosunu şifreler ve şifrenin çözülmesi için kullanıcılardan zorla para alır. Bu yönüyle dünya çapında birçok şirkete saldıran WannaCry fidye yazılımı virüsüne benzemektedir. Aynı zamanda, virüs bulaşmış bilgisayarların taranmasının sonuçları da ortaya çıktı; bu da virüsün, virüs bulaşmış disklerdeki bilgilerin tamamını veya çoğunu yok ettiğini gösteriyor.

Şu anda virüs mbr locker 256 olarak tanımlanıyor, ancak medyada başka bir isim yaygınlaştı - Petya.

Kiev'den Çernobil'e

Virüs, şu anda banka kartlarıyla ödemede zorluklar yaşanan Kiev metrosunu da etkiledi.

Devlet demiryolu işletmecisi Ukrzaliznytsia ve Boryspil havaalanı gibi birçok büyük altyapı tesisi vuruldu. Boryspil daha önce bir uyarı yayınlamış olmasına rağmen, hava seyrüsefer sistemleri normal çalışırken virüsten etkilenmedi. olası değişiklikler programa göre, ancak havaalanındaki geliş panosu çalışmıyor.

Saldırı nedeniyle ülkenin en büyük iki posta operatörü işlerinde zorluklar yaşıyor: devlete ait Ukrposhta ve özel " Yeni posta" İkincisi, bugün paketlerin depolanması için herhangi bir ücret alınmayacağını duyurdu ve Ukrposhta, SBU'nun yardımıyla saldırının sonuçlarını en aza indirmeye çalışıyor.

Enfeksiyon riski nedeniyle virüsten etkilenmeyen kuruluşların web siteleri de çalışmıyor. Bu nedenle örneğin Kiev Şehir Devlet İdaresi'nin web sitesinin sunucuları ile Ukrayna İçişleri Bakanlığı'nın web sitesinin sunucuları devre dışı bırakıldı.

Ukraynalı yetkililer tahmin edilebileceği gibi saldırıların Rusya'dan geldiğini iddia ediyor. Ukrayna Ulusal Güvenlik ve Savunma Konseyi Sekreteri Alexander Turchynov bunu söyledi. Bakanlığın resmi internet sitesine göre kendisi, "Şu anda bile virüsün ilk analizini yaptıktan sonra bir Rus izinden bahsedebiliriz" dedi.

Saat 17:30 itibariyle virüs Çernobil nükleer santraline bile ulaşmıştı. Çernobil Nükleer Santrali vardiya amiri Vladimir Ilchuk bunu Ukrayinska Pravda yayınına bildirdi.

“Bazı bilgisayarlara virüs bulaştığına dair ön bilgiler var. Bu nedenle, bu hacker saldırısı başlar başlamaz, personel lokasyonlarındaki bilgisayar çalışanlarına bilgisayarları kapatmaları için kişisel bir komut verildi" dedi Ilchuk.

Tatlılara, petrol ve gaza saldırı

Petrol ve gaz devleri Rosneft ve Bashneft, metalurji şirketi Evraz, şubeleri faaliyetlerini askıya alan Home Credit Bank ve Mars'ın Rusya temsilcilikleri de dahil olmak üzere bazı Rus şirketleri de 27 Haziran Salı günü hacker saldırısına maruz kaldı. Nivea, Mondelez International, TESA ve bir dizi başka yabancı şirket.

• Reuters
• MAXIM ŞEMETOV

Moskova saatiyle 14:30 civarında Rosneft güçlü bir açıklama yaptı. hacker saldırısışirketin sunucularına. Aynı zamanda şirketin Twitter'daki mikroblogu, saldırının ciddi sonuçlara yol açabileceğini ancak geçiş sayesinde yedek sistemüretim süreçlerinin yönetimi, ne yağ üretimi ne de yağ hazırlama durduruldu.

Siber saldırının ardından Rosneft ve Bashneft şirketlerinin internet siteleri bir süre erişime kapalı kaldı. Rosneft ayrıca saldırıyla ilgili yanlış bilgi yaymanın kabul edilemez olduğunu da belirtti.

Sahte panik mesajı yayan kişiler, saldırıyı düzenleyenlerin suç ortağı olarak kabul edilecek ve onlarla birlikte sorumluluk üstlenecek.

— PJSC NK Rosneft (@RosneftRu) 27 Haziran 2017

Şirket, "Sahte panik mesajı dağıtıcıları, saldırıyı düzenleyenlerin suç ortakları olarak kabul edilecek ve sorumluluğu onlarla birlikte taşıyacak" dedi.

Aynı zamanda Rosneft, şirketin siber saldırıyla ilgili olarak kolluk kuvvetleriyle iletişime geçtiğini kaydetti ve olayın hiçbir şekilde "mevcut adli prosedürlerle" bağlantılı olmamasını umduğunu ifade etti. 27 Haziran Salı günü Başkurtya Tahkim Mahkemesi, Rosneft, Bashneft ve Bashkiria'nın AFK Sistema'ya karşı 170,6 milyar ruble tutarındaki iddiasının esasını değerlendirmeye başladı.

WannaCry Jr.

Ancak hacker saldırısı çalışmayı etkilemedi bilgisayar sistemleri Rusya Devlet Başkanı'nın yönetimi ve Kremlin'in resmi web sitesi, başkanlık basın sözcüsü Dmitry Peskov'un TASS'a söylediği gibi "istikrarlı çalışıyor."

Rosenergoatom'un endişesi, hacker saldırısının Rus nükleer santrallerinin işleyişini de hiçbir şekilde etkilemediğini belirtti.

Şirket Dr. Web, web sitesinde, dış benzerliğe rağmen mevcut saldırının, halihazırda bilinen kötü amaçlı yazılımdan farklı bir virüs kullanılarak gerçekleştirildiği belirtildi. Petya fidye yazılımıözellikle tehdidin yayılma mekanizması.

Ajans, şirketin mesajını şöyle aktarıyor: "Siber saldırının kurbanları arasında Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA ve diğer şirketlerin ağları vardı." Aynı zamanda Mars'ın Rusya'daki basın servisi, siber saldırının şirketin tamamı için değil, yalnızca hayvan yemi üreticisi Royal Canin markası için BT sistemlerinde sorunlara neden olduğunu söyledi.

Rus şirketlerine ve devlet kurumlarına yönelik son büyük hacker saldırısı, 12 Mayıs'ta, bilinmeyen hackerların WannaCry fidye yazılımı virüsünü kullanarak 74 ülkedeki Windows bilgisayarlara saldıran büyük ölçekli bir operasyonun parçası olarak gerçekleşti.

Salı günü, Federasyon Konseyi'nin uluslararası komitesi başkanı Konstantin Kosachev, Federasyon Konseyi'nin devlet egemenliğini koruma komisyonu toplantısında yaptığı konuşmada, Rusya'ya yönelik tüm siber saldırıların yaklaşık% 30'unun ABD topraklarından gerçekleştirildiğini söyledi. .

“İşlemlerin yüzde 2'sinden fazlası Rusya topraklarından Amerikan bilgisayarlarına yapılmıyor. toplam sayısı siber saldırılar, ABD topraklarından Rusya'nın elektronik altyapısına yönelik saldırılar ise %28-29," diyor RIA Novosti, Kosachev'in sözlerini aktarıyor.

Kaspersky Lab'ın uluslararası araştırma ekibinin başkanı Costin Raiu'ya göre, Petya virüsü dünyanın birçok ülkesine yayıldı.

Temaslı Petrwrap/Petya fidye yazılımı çeşidi [e-posta korumalı] Yayılıyor, dünya çapında çok sayıda ülke etkileniyor.

Mayıs ayı başında 150'den fazla ülkede yaklaşık 230.000 bilgisayara fidye yazılımı virüsü bulaştı. Kurbanların bu saldırının sonuçlarını ortadan kaldırmaya vakit bulamadan Petya adında yeni bir saldırı gerçekleşti. En büyük Ukrayna ve Rus şirketlerinin yanı sıra devlet kurumları da bundan zarar gördü.

Ukrayna siber polisi, virüs saldırısının bir muhasebe güncelleme mekanizması yoluyla başladığını tespit etti. yazılım M.E.Doc, vergi raporları hazırlamak ve göndermek için kullanılır. Böylece Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo ve Dinyeper Elektrik Enerji Sistemi ağlarının enfeksiyondan kurtulamadığı öğrenildi. Ukrayna'da virüs hükümet bilgisayarlarına, Kiev metrosundaki bilgisayarlara, telekom operatörlerine ve hatta Çernobil nükleer santraline bile sızdı. Rusya'da Mondelez International, Mars ve Nivea etkilendi.

Petya virüsü, Windows işletim sistemindeki EternalBlue güvenlik açığından yararlanıyor. Symantec ve F-Secure uzmanları, Petya'nın WannaCry gibi verileri şifrelemesine rağmen yine de diğer şifreleme virüs türlerinden biraz farklı olduğunu söylüyor. "Petya virüsü yeni tür Kötü niyetli gasp: F-Secure, bunun yalnızca diskteki dosyaları şifrelemekle kalmayıp aynı zamanda tüm diski kilitleyerek onu pratik olarak kullanılamaz hale getirdiğini açıklıyor. "Özellikle MFT ana dosya tablosunu şifreliyor."

Bu nasıl oluyor ve bu süreç önlenebilir mi?

Virüs "Petya" - nasıl çalışır?

Petya virüsü diğer isimlerle de bilinir: Petya.A, PetrWrap, NotPetya, ExPetr. Bilgisayara girdikten sonra internetten fidye yazılımı indirir ve bazılarına bulaşmaya çalışır. sabit disk Bilgisayarı başlatmak için gerekli verilerle. Başarılı olursa sistem Mavi Ölüm Ekranı yayınlar (“ Mavi ekranölüm"). Yeniden başlatmanın ardından, hakkında bir mesaj belirir sıkı kontrol etmek gücü kapatmama isteği içeren disk. Böylece fidye yazılımı öyleymiş gibi davranır sistem programıŞu anda belirli uzantılara sahip dosyaları şifreleyerek diski kontrol etmek için. İşlem sonunda bilgisayarın engellendiğini belirten bir mesaj ve verilerin şifresini çözmek için dijital anahtarın nasıl alınacağına dair bilgi görüntülenir. Petya virüsü genellikle Bitcoin cinsinden fidye talep ediyor. Eğer kurbanın dosyalarının yedek bir kopyası yoksa, 300 dolar ödeme veya tüm bilgileri kaybetme seçeneğiyle karşı karşıya kalır. Bazı analistlere göre virüs yalnızca fidye yazılımı kılığına giriyor, asıl amacı ise büyük hasara yol açmak.

Petya'dan nasıl kurtulurum?

Uzmanlar, Petya virüsünün yerel bir dosya aradığını ve bu dosya diskte zaten mevcutsa şifreleme işleminden çıktığını keşfetti. Bu, kullanıcıların bu dosyayı oluşturup salt okunur olarak ayarlayarak bilgisayarlarını fidye yazılımlarından koruyabilecekleri anlamına gelir.

Bu kurnaz plan her ne kadar gasp sürecinin başlamasını engellese de bu yöntem daha çok “bilgisayar aşısı” gibi düşünülebilir. Bu nedenle kullanıcının dosyayı kendisinin oluşturması gerekecektir. Bunu şu şekilde yapabilirsiniz:

• Öncelikle dosya uzantısını anlamanız gerekir. Klasör Seçenekleri penceresinde Bilinen dosya türleri için uzantıları gizle onay kutusunun işaretli olmadığından emin olun.
• C:\Windows klasörünü açın, notepad.exe programını görene kadar aşağı kaydırın.
• Notepad.exe'ye sol tıklayın, ardından dosyayı kopyalamak için Ctrl + C ve ardından yapıştırmak için Ctrl + V tuşlarına basın. Dosyayı kopyalamak için izin isteyen bir istek alacaksınız.
• Devam düğmesine tıkladığınızda dosya bir not defteri - Copy.exe olarak oluşturulacaktır. Bu dosyaya sol tıklayın ve F2 tuşuna basın, ardından Copy.exe dosya adını silin ve perfc yazın.
• Dosya adını perfc olarak değiştirdikten sonra Enter tuşuna basın. Yeniden adlandırmayı onaylayın.
• Artık perfc dosyası oluşturulduğuna göre onu salt okunur yapmamız gerekiyor. Bunu yapmak için tıklayın sağ tık fareyi dosyanın üzerine getirin ve "Özellikler"i seçin.
• Bu dosyanın özellikler menüsü açılacaktır. Alt kısımda "Salt Okunur" seçeneğini göreceksiniz. Kutuyu kontrol et.
• Şimdi Uygula düğmesine ve ardından Tamam düğmesine tıklayın.

Bazı güvenlik uzmanları, Petya virüsüne karşı daha kapsamlı koruma sağlamak için C:\windows\perfc dosyasına ek olarak C:\Windows\perfc.dat ve C:\Windows\perfc.dll dosyalarının oluşturulmasını önermektedir. Bu dosyalar için yukarıdaki adımları tekrarlayabilirsiniz.

Tebrikler, bilgisayarınız NotPetya/Petya'ya karşı korunuyor!

Symantec uzmanları, PC kullanıcılarına, dosyaların kilitlenmesine veya para kaybına yol açabilecek şeyler yapmalarını önlemek için bazı tavsiyeler sunuyor.

1. Suçlulara para ödemeyin. Fidye yazılımına para aktarsanız bile dosyalarınıza yeniden erişebileceğinizin garantisi yoktur. Ve NotPetya / Petya söz konusu olduğunda bu temelde anlamsızdır çünkü fidye yazılımının amacı verileri yok etmektir, para almak değil.
2. Verilerinizi düzenli olarak yedeklediğinizden emin olun. Bu durumda bilgisayarınız bir fidye yazılımı virüs saldırısının hedefi olsa bile silinen dosyaları kurtarabileceksiniz.
3. Şüpheli adreslerden gelen e-postaları açmayın. Saldırganlar, kötü amaçlı yazılım yüklemeniz için sizi kandırmaya veya saldırılar için önemli verileri elde etmeye çalışacaktır. Siz veya çalışanlarınız şüpheli e-postalar veya bağlantılar alırsa BT uzmanlarına haber verdiğinizden emin olun.
4. Güvenilir yazılım kullanın. Bilgisayarların enfeksiyonlardan korunmasında önemli rol oynar. zamanında güncelleme antivirüs yazılımı. Ve elbette bu alanda saygın firmaların ürünlerini kullanmanız gerekiyor.
5. Spam iletileri taramak ve engellemek için mekanizmalar kullanın. Gelen e-postalar tehditlere karşı taranmalıdır. Bağlantılar veya tipik mesajlar içeren her türlü mesajın anahtar kelimeler e-dolandırıcılık.
6. Tüm programların güncel olduğundan emin olun. Enfeksiyonları önlemek için yazılımdaki güvenlik açıklarının düzenli olarak iyileştirilmesi gerekir.

Yeni saldırılar beklemeli miyiz?

Petya virüsü ilk olarak Mart 2016'da ortaya çıktı ve güvenlik uzmanları bu davranışı hemen fark etti. Yeni virüs Petya, Haziran 2017'nin sonunda Ukrayna ve Rusya'daki bilgisayarlara çarptı. Ancak bunun son olması pek mümkün değil. Sberbank yönetim kurulu başkan yardımcısı Stanislav Kuznetsov, Petya ve WannaCry'ye benzer fidye yazılımı virüslerini kullanan hacker saldırılarının tekrarlanacağını söyledi. TASS ile yaptığı röportajda bu tür saldırıların mutlaka gerçekleşeceği uyarısında bulundu ancak bunların hangi biçim ve formatta ortaya çıkabileceğini önceden tahmin etmenin zor olduğunu söyledi.

Gerçekleşen tüm siber saldırılardan sonra, bilgisayarınızı fidye yazılımı virüsünden korumak için en azından minimum adımları henüz atmadıysanız, bu konuyu ciddiye almanın zamanı gelmiştir.

İngiltere, ABD ve Avustralya resmen Rusya'yı NotPetya'yı yaymakla suçladı

15 Şubat 2018'de İngiltere Dışişleri Bakanlığı, Rusya'yı NotPetya fidye yazılımı virüsünü kullanarak bir siber saldırı düzenlemekle suçlayan resmi bir açıklama yayınladı.

İngiliz yetkililer, saldırının Ukrayna'nın egemenliğine yönelik daha fazla saygısızlığın göstergesi olduğunu ve pervasız eylemlerin Avrupa çapında çok sayıda kuruluşu sekteye uğratarak multimilyon dolarlık kayıplara yol açtığını söylüyor.

Bakanlık, Rus hükümetinin ve Kremlin'in siber saldırıda yer aldığına ilişkin sonucun, Birleşik Krallık Ulusal Siber Güvenlik Merkezi'nin "arkasında Rus ordusunun olduğundan neredeyse tamamen emin olan" vardığı sonuca dayanılarak yapıldığını kaydetti. Açıklamada ayrıca müttefiklerinin zararlı siber faaliyetlere tolerans göstermeyeceği belirtildi.

Avustralya Kanun Uygulama ve Siber Güvenlik Bakanı Angus Taylor'a göre, Avustralya istihbarat teşkilatlarından alınan verilere ve ABD ve Büyük Britanya ile yapılan istişarelere dayanarak Avustralya hükümeti, Rus hükümeti tarafından desteklenen saldırganların sorumlu olduğu sonucuna vardı. olay. Açıklamada, "Avustralya hükümeti, Rusya'nın küresel ekonomiye, hükümet operasyonlarına ve hizmetlerine, ticari faaliyetlere ve bireylerin güvenliği ve refahına ciddi riskler oluşturan davranışlarını kınıyor" ifadesine yer verildi.

Daha önce Rus yetkililerin hacker saldırılarına karıştığını defalarca reddeden Kremlin, İngiltere Dışişleri Bakanlığı'nın açıklamasını "Rus düşmanı kampanyanın" parçası olarak nitelendirdi.

Anıt "Burada 27 Haziran 2017'de insanlar tarafından mağlup edilen bilgisayar virüsü Petya yatıyor"

Petya bilgisayar virüsünün anıtı Aralık 2017'de Skolkovo Teknopark binasının yakınına dikildi. Üzerinde şu yazı bulunan iki metrelik bir anıt: "Burada 27 Haziran 2017'de insanlar tarafından mağlup edilen bilgisayar virüsü Petya yatıyor." Isırılmış bir sabit disk şeklinde yapılan bu cihaz, büyük bir siber saldırının sonuçlarından zarar gören diğer şirketlerin yanı sıra INVITRO şirketinin desteğiyle oluşturuldu. Fizik ve Teknoloji Parkı ve (MIT)'de görev yapan Nu isimli robot, törene özel olarak gelerek ciddi bir konuşma yaptı.

Sivastopol hükümetine saldırı

Sevastopol Bilgi ve İletişim Ana Müdürlüğü uzmanları, Petya ağ şifreleme virüsünün bölgesel hükümetin sunucularına yaptığı saldırıyı başarıyla püskürttü. Bu, 17 Temmuz 2017'de Sevastopol hükümetinin bilişim departmanı başkanı Denis Timofeev tarafından yapılan personel toplantısında duyuruldu.

Petya kötü amaçlı yazılımının, Sevastopol'daki devlet kurumlarındaki bilgisayarlarda depolanan veriler üzerinde hiçbir etkisi olmadığını belirtti.

Özgür yazılımın kullanımına odaklanma, 2015 yılında onaylanan Sevastopol'un bilişim kavramına yerleştirilmiştir. Temel yazılımın yanı sıra otomasyon için bilgi sistemi yazılımı satın alırken ve geliştirirken, bütçe maliyetlerini azaltabilecek ve tedarikçilere ve geliştiricilere bağımlılığı azaltabilecek ücretsiz ürünleri kullanma olasılığının analiz edilmesi tavsiye edilir.

Daha önce, haziran ayının sonunda Invitro medikal şirketine düzenlenen büyük çaplı saldırının bir parçası olarak, Sevastopol'daki şubesi de hasar görmüştü. Virüs nedeniyle bilgisayar ağıŞube, sebepler ortadan kalkana kadar test sonuçlarının yayınlanmasını geçici olarak durdurdu.

Invitro, siber saldırı nedeniyle test kabulünün askıya alındığını duyurdu

Tıp şirketi Invitro, 27 Haziran'daki bir hacker saldırısı nedeniyle biyomateryal toplamayı ve hasta test sonuçlarının yayınlanmasını askıya aldı. Şirketin kurumsal iletişim direktörü Anton Bulanov bunu RBC'ye anlattı.

Şirketin yaptığı açıklamada, Invitro'nun yakında normal işleyişine döneceğini belirtti. Bu süreden sonra yapılan çalışmaların sonuçları, teknik arıza giderildikten sonra hastalara iletilecek. Şu anda laboratuvar Bilgi sistemi restore edildi, kurulum süreci devam ediyor. Invitro sözlerini şöyle tamamladı: "Mevcut mücbir sebep durumundan üzüntü duyuyoruz ve müşterilerimize anlayışları için teşekkür ediyoruz."

Bu verilere göre saldırı bilgisayar virüsü Rusya, Belarus ve Kazakistan'daki klinikler açığa çıktı.

Gazprom ve diğer petrol ve gaz şirketlerine saldırı

29 Haziran 2017'de Gazprom'un bilgisayar sistemlerine küresel bir siber saldırı yapıldığı öğrenildi. Yani bir tane daha Rus şirketi Petya fidye yazılımı virüsünden muzdaripti.

Buna göre bilgi Ajansı Reuters, Rus hükümetinden bir kaynağın ve olayla ilgili soruşturmada yer alan bir kişinin aktardığına göre Gazprom, dünya çapında toplam 60'tan fazla ülkedeki bilgisayarlara saldıran Petya kötü amaçlı yazılımının yayılmasından zarar gördü.

Yayının muhatapları, Gazprom'da kaç tane ve hangi sisteme virüs bulaştığının yanı sıra bilgisayar korsanlarının neden olduğu hasarın boyutu hakkında ayrıntılı bilgi vermedi. Şirket, Reuters ile iletişime geçtiğinde yorum yapmaktan kaçındı.

Bu arada Gazprom'dan üst düzey bir RBC kaynağı, yayına, büyük ölçekli hacker saldırısı başladığında (27 Haziran 2017) şirketin merkez ofisindeki bilgisayarların kesintisiz çalıştığını ve iki gün sonra devam ettiğini söyledi. Gazprom'daki iki RBC kaynağı daha şirkette "her şeyin sakin" olduğunu ve virüs bulunmadığını garanti etti.

Petrol ve gaz sektöründe Bashneft ve Rosneft Petya virüsünden muzdaripti. İkincisi, 28 Haziran'da şirketin normal şekilde çalıştığını ve "bireysel sorunların" derhal çözüldüğünü duyurdu.

Bankalar ve endüstri

Royal Canin'in Rusya şubesi (hayvanlar için üniforma üreten) Evraz ve Mondelez'in (Alpen Gold ve Milka çikolatalarının üreticisi) Rusya bölümü olan Evraz'da bilgisayarlara virüs bulaştığı öğrenildi.

Ukrayna İçişleri Bakanlığı'na göre, bir adam dosya paylaşım siteleri ve sosyal ağlarda bir video yayınladı. Detaylı Açıklama bilgisayarlarda fidye yazılımı çalıştırma süreci. Videoya yapılan yorumlarda adam, kendi sayfasının bağlantısını yayınladı. sosyal ağ, üzerine kötü amaçlı bir program indirdi. 'Hacker'ın evinde yapılan aramada kolluk kuvvetleri tarafından ele geçirildi bilgisayar ekipmanı NotPetya'yı dağıtmak için kullanılır. Polis ayrıca kötü amaçlı yazılım içeren dosyalar da buldu ve bunların analizi sonrasında bunun NotPetya fidye yazılımına benzer olduğu doğrulandı. Siber polis ekiplerinin tespit ettiği bir Nikopol sakininin bağlantısını yayınladığı fidye yazılımı programı, sosyal ağ kullanıcıları tarafından 400 kez indirildi.

NotPetya'yı indirenler arasında kolluk kuvvetleri, suç faaliyetlerini gizlemek ve devlete ceza ödemekten kaçınmak için sistemlerine kasıtlı olarak fidye yazılımı bulaştıran şirketleri tespit etti. Polisin, adamın faaliyetlerini bu yıl 27 Haziran'da gerçekleşen hacker saldırılarıyla ilişkilendirmediğini, yani NotPetya'nın yazarlarıyla herhangi bir ilgisinden söz edilmediğini belirtmekte fayda var. Suçlandığı eylemler yalnızca bu yılın temmuz ayında, büyük ölçekli bir siber saldırı dalgasından sonra işlenen eylemlerle ilgili.

Adam hakkında Sanatın 1. Bölümü uyarınca ceza davası başlatıldı. Ukrayna Ceza Kanunu'nun 361'i (bir bilgisayarın çalışmasına izinsiz müdahale). Nikopol sakini 3 yıla kadar hapisle karşı karşıya.

Dünyadaki dağıtım

Petya fidye yazılımı virüsünün dağılımı İspanya, Almanya, Litvanya, Çin ve Hindistan'da kaydedildi. Örneğin Hindistan'daki kötü amaçlı bir program nedeniyle, A.P. tarafından işletilen Jawaharlal Nehru konteyner limanının kargo akışını yönetme teknolojisi. Moller-Maersk kargonun kimliğini tanımayı bıraktı.

Siber saldırı, dünyanın en büyük hukuk firmalarından biri olan DLA Piper'ın ve gıda devi Mondelez'in İspanyol ofisi olan İngiliz reklam grubu WPP tarafından bildirildi. Fransız inşaat malzemeleri üreticisi Cie de kurbanlar arasında yer alıyor. de Saint-Gobain ve ilaç şirketi Merck & Co.

Merck

Haziran ayında NotPetya fidye yazılımı saldırısı sonucunda büyük zarar gören Amerikan ilaç devi Merck, hâlâ tüm sistemlerini geri yükleyemiyor ve normal işleyişine dönemiyor. Bu, şirketin Temmuz 2017 sonunda ABD Menkul Kıymetler ve Borsa Komisyonu'na (SEC) sunulan Form 8-K hakkındaki raporunda bildirildi. Devamını oku.

Moller-Maersk ve Rosneft

3 Temmuz 2017'de, Danimarkalı nakliye devi Moller-Maersk ve Rosneft'in, 27 Haziran'da meydana gelen saldırıdan yalnızca bir hafta sonra Petya fidye yazılımı virüsü bulaşmış BT sistemlerini geri yüklediği öğrenildi.

Dünya çapında sevk edilen her yedinci kargo konteynerinden sorumlu olan nakliye şirketi Maersk, siber saldırıdan etkilenen 1.500 uygulamanın tamamının en fazla 9 Temmuz 2017'ye kadar normal çalışmaya döneceğini de sözlerine ekledi.

40'tan fazla ülkede düzinelerce kargo limanı ve konteyner terminalini işleten Maersk'e ait APM Terminallerinin BT sistemleri en çok etkilendi. Virüsün yayılması nedeniyle çalışmaları tamamen felç olan APM Terminalleri'nin limanlarından günde 100 binin üzerinde kargo konteyneri geçiyor. Rotterdam'daki Maasvlakte II terminali 3 Temmuz'da tedariklere yeniden başladı.

16 Ağustos 2017 A.P. Moller-Maersk, Avrupalı ​​şirkette belirtildiği gibi Ukrayna programı aracılığıyla bulaşan Petya virüsünü kullanan bir siber saldırıdan kaynaklanan yaklaşık hasar miktarını belirledi. Maersk'in ön hesaplamalarına göre 2017 yılının ikinci çeyreğinde Petya fidye yazılımından kaynaklanan mali kayıplar 200 ile 300 milyon dolar arasında değişiyordu.

Bu arada, Interfax'ın bildirdiğine göre şirketin basın servisinin 3 Temmuz'da bildirdiği üzere, Rosneft'in bilgisayar sistemlerini bir hacker saldırısından kurtarması neredeyse bir hafta sürdü:

Birkaç gün önce Rosneft, siber saldırının sonuçlarını henüz değerlendirmediğini ancak üretimin etkilenmediğini vurgulamıştı.

Petya nasıl çalışır?

Gerçekten de virüsün kurbanları enfeksiyondan sonra dosyalarının kilidini açamıyor. Gerçek şu ki, yaratıcıları böyle bir olasılığı hiç sağlamadılar. Yani, şifrelenmiş bir diskin şifresini çözmek önceden imkansızdır. Kötü amaçlı yazılım kimliği, şifre çözme için gerekli bilgileri içermiyor.

Başlangıçta uzmanlar, Rusya, Ukrayna, Polonya, İtalya, Almanya, Fransa ve diğer ülkelerdeki yaklaşık iki bin bilgisayarı etkileyen virüsü, zaten iyi bilinen Petya fidye yazılımı ailesinin bir parçası olarak sınıflandırdı. Ancak yeni bir kötü amaçlı yazılım ailesinden bahsettiğimiz ortaya çıktı. Kaspersky Lab'ın dublajı yeni fidye yazılımı ExPetr.

Nasıl savaşılır

Siber tehditlere karşı mücadele bankaların, bilişim şirketlerinin ve devletin ortak çabasını gerektiriyor

Positive Technologies'den veri kurtarma yöntemi

7 Temmuz 2017'de Pozitif Teknolojiler uzmanı Dmitry Sklyarov, NotPetya virüsü tarafından şifrelenen verileri kurtarmaya yönelik bir yöntem sundu. Uzmana göre yöntem, NotPetya virüsünün yönetici ayrıcalıklarına sahip olması ve tüm diski şifrelemesi durumunda uygulanabilir.

Veri kurtarma olasılığı, saldırganların kendileri tarafından yapılan Salsa20 şifreleme algoritmasının uygulanmasındaki hatalarla ilişkilidir. Yöntemin performansı hem test ortamında hem de şifrelenmiş ortamlardan birinde test edildi. sabit sürücüler Salgının kurbanları arasında yer alan büyük bir şirket.

Veri kurtarma konusunda uzmanlaşmış şirketler ve bağımsız geliştiriciler, sunulan şifre çözme komut dosyasını kullanmakta ve otomatikleştirmekte özgürdür.

Soruşturmanın sonuçları Ukrayna siber polisi tarafından zaten doğrulandı. Juscutum, soruşturmanın bulgularını Intellect-Service'e karşı gelecekte yapılacak bir davada temel kanıt olarak kullanmayı planlıyor.

Süreç doğası gereği sivil olacaktır. Ukrayna kolluk kuvvetleri tarafından bağımsız bir soruşturma yürütülüyor. Temsilcileri daha önce Intellect-Service çalışanlarına karşı dava açılma olasılığını açıklamıştı.

M.E.Doc şirketinin kendisi de yaşananların şirkete baskın yapma girişimi olduğunu belirtti. Ukrayna'nın tek popüler muhasebe yazılımının üreticisi, Ukrayna siber polisi tarafından şirkette yürütülen aramanın bu planın uygulanmasının bir parçası olduğuna inanıyor.

Petya şifreleyicisinin ilk enfeksiyon vektörü

17 Mayıs'ta kötü amaçlı arka kapı modülünü içermeyen M.E.Doc güncellemesi yayınlandı. Şirket, bunun muhtemelen nispeten az sayıda XData enfeksiyonunu açıklayabileceğine inanıyor. Saldırganlar, güncellemenin 17 Mayıs'ta yayınlanmasını beklemiyordu ve çoğu kullanıcının güvenli güncellemeyi zaten yüklediği 18 Mayıs'ta şifreleyiciyi başlattı.

Arka kapı, diğer kötü amaçlı yazılımların virüslü sisteme indirilmesine ve çalıştırılmasına izin veriyor; Petya ve XData şifreleyicileriyle ilk enfeksiyon bu şekilde gerçekleştirildi. Buna ek olarak, program, M.E.Doc uygulamasındaki oturum açma bilgileri ve şifreler dahil olmak üzere proxy sunucusu ve e-posta ayarlarının yanı sıra, mağdurların tanımlanmasına olanak tanıyan Birleşik Devlet İşletmeler ve Ukrayna Kuruluşları Siciline göre şirket kodlarını da toplar.

Eset'in kıdemli virüs analisti Anton Cherepanov, "Bir dizi soruyu yanıtlamamız gerekiyor" dedi. - Arka kapı ne kadar süredir kullanılıyor? Bu kanal üzerinden Petya ve XData dışında hangi komutlar ve kötü amaçlı yazılımlar gönderildi? Bu saldırının arkasındaki siber grup tarafından tehlikeye atılan ancak henüz istismar edilmeyen başka hangi altyapılar var?"

Eset uzmanları, altyapı, kötü amaçlı araçlar, planlar ve saldırı hedeflerini içeren işaretlerin birleşimine dayanarak Diskcoder.C (Petya) salgını ile Telebots siber grubu arasında bir bağlantı kurdu. Bu grubun faaliyetlerinin arkasında kimin olduğunu güvenilir bir şekilde belirlemek henüz mümkün olmadı.

Birkaç ay önce biz ve diğer BT Güvenliği uzmanları yeni bir kötü amaçlı yazılım keşfettik: Petya (Win32.Trojan-Ransom.Petya.A). Klasik anlamda bir şifreleyici değildi; virüs yalnızca belirli dosya türlerine erişimi engelledi ve fidye talep etti. Virüs değişti önyükleme girişi sabit sürücüde, bilgisayarı zorla yeniden başlattı ve "veriler şifrelendi - şifreyi çözmek için paranızı boşa harcayın" mesajını gösterdi. Genel olarak, virüslerin standart şifreleme şeması, dosyalar dışında aslında şifrelenmemiştir. En popüler antivirüsler, Win32.Trojan-Ransom.Petya.A'nın ortaya çıkmasından birkaç hafta sonra tespit edip kaldırmaya başladı. Ayrıca manuel kaldırma talimatları da ortaya çıktı. Neden Petya'nın klasik bir fidye yazılımı olmadığını düşünüyoruz? Bu virüs Master'da değişiklikler yapıyor Önyükleme Kaydıİşletim sisteminin yüklenmesini engeller ve ayrıca Ana Dosya Tablosunu şifreler. Dosyaların kendisini şifrelemez.

Ancak birkaç hafta önce daha karmaşık bir virüs ortaya çıktı Mischa, görünüşe göre aynı dolandırıcılar tarafından yazılmış. Bu virüs dosyaları ŞİFRELER ve şifrenin çözülmesi için 500 - 875 $ ödemenizi gerektirir ( farklı versiyonlar 1,5 – 1,8 bitcoin). "Şifre çözme" ve ödeme talimatları YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarında saklanır.

Mischa virüsü – YOUR_FILES_ARE_ENCRYPTED.HTML dosyasının içeriği

Artık bilgisayar korsanları kullanıcıların bilgisayarlarına iki kötü amaçlı yazılım bulaştırıyor: Petya ve Mischa. İlki sistemde yönetici haklarına ihtiyaç duyar. Yani bir kullanıcı Petya'ya yönetici hakları vermeyi reddederse veya bu kötü amaçlı yazılımı manuel olarak silerse Mischa devreye girer. Bu virüs yönetici haklarına ihtiyaç duymaz, klasik bir şifreleyicidir ve aslında güçlü AES algoritmasını kullanarak ve kurbanın sabit diskindeki Ana Önyükleme Kaydı ve dosya tablosunda herhangi bir değişiklik yapmadan dosyaları şifreler.

Mischa kötü amaçlı yazılımı yalnızca standart dosya türlerini (videolar, resimler, sunumlar, belgeler) değil aynı zamanda .exe dosyalarını da şifreler. Virüs yalnızca \Windows, \$Recycle.Bin, \Microsoft, \ dizinlerini etkilemez. Mozilla Firefox,\Opera,\ İnternet Explorer, \Temp, \Local, \LocalLow ve \Chrome.

Enfeksiyon esas olarak, virüs yükleyicisi olan bir dosyanın eklendiği bir mektubun alındığı e-posta yoluyla gerçekleşir. Vergi Servisi'nden, muhasebecinizden gelen bir mektup altında, satın alma makbuzları ve makbuzları vb. Ekli olarak şifrelenebilir. Bu tür harflerdeki dosya uzantılarına dikkat edin; eğer yürütülebilir bir dosya (.exe) ise, büyük olasılıkla Petya\Mischa virüsünü içeren bir kap olabilir. Kötü amaçlı yazılımdaki değişiklik yeniyse, virüsten koruma yazılımınız yanıt vermeyebilir.

Güncelleme 06/30/2017: 27 Haziran, Petya virüsünün değiştirilmiş bir versiyonu (Petya.A) Ukrayna'daki kullanıcılara kitlesel saldırılar düzenlendi. Bu saldırının etkisi çok büyüktü ve ekonomik zararı henüz hesaplanmadı. Bir günde onlarca bankanın işi felç oldu, perakende zincirleri, devlet kurumları ve çeşitli mülkiyet biçimlerine sahip işletmeler. Virüs esas olarak Ukrayna muhasebe raporlama sistemi MeDoc'taki en son güncellemeye sahip bir güvenlik açığından yayıldı. otomatik güncelleme bu yazılımın. Ayrıca virüs Rusya, İspanya, İngiltere, Fransa, Litvanya gibi ülkeleri de etkiledi.

Otomatik temizleyici kullanarak Petya ve Mischa virüsünü kaldırın

Münhasıran etkili yöntem genel olarak kötü amaçlı yazılımlarla ve özel olarak fidye yazılımlarıyla çalışmak. Kanıtlanmış bir koruyucu kompleksin kullanılması, herhangi bir viral bileşenin kapsamlı bir şekilde tespit edilmesini garanti eder. tamamen kaldırma tek tıklamayla. Lütfen ikisinden bahsettiğimizi unutmayın. farklı süreçler: Enfeksiyonu kaldırın ve PC'nizdeki dosyaları geri yükleyin. Ancak, diğer bilgisayar Truva atlarının onu kullanarak giriş yaptığına dair bilgiler olduğundan, tehdidin kesinlikle ortadan kaldırılması gerekiyor.

1. . Yazılımı başlattıktan sonra düğmeye tıklayın Bilgisayar Taramasını Başlat(Taramayı başlatın).
2. Yüklenen yazılım, tarama sırasında tespit edilen tehditler hakkında bir rapor sağlayacaktır. Algılanan tüm tehditleri kaldırmak için seçeneği seçin Tehditleri gidermek(Tehditleri ortadan kaldırın). Söz konusu kötü amaçlı yazılım tamamen kaldırılacaktır.

Şifrelenmiş dosyalara erişimi geri yükleyin

Belirtildiği gibi, Mischa fidye yazılımı güçlü bir şifreleme algoritması kullanarak dosyaları kilitler, böylece şifrelenmiş veriler sihirli bir değnek dalgasıyla geri yüklenemez; bu, duyulmamış bir fidye miktarının (bazen 1.000 dolara kadar ulaşır) ödenmesi dışındadır. Ancak bazı yöntemler, önemli verileri kurtarmanıza yardımcı olacak gerçekten cankurtaran olabilir. Aşağıda bunlara aşina olabilirsiniz.

programı otomatik kurtarma dosyalar (şifre çözücü)

Çok alışılmadık bir durum bilinmektedir. Bu enfeksiyon orijinal dosyaları şifrelenmemiş biçimde siler. Gasp amaçlı şifreleme işlemi bu nedenle kopyalarını hedef alır. Bu böyle bir fırsat sağlar yazılım Kaldırılmalarının güvenilirliği garanti edilse bile, silinen nesnelerin nasıl kurtarılacağı. Dosya kurtarma prosedürüne başvurulması önemle tavsiye edilir; etkinliği şüphe götürmez.

Ciltlerin gölge kopyaları

Yaklaşım Windows prosedürüne dayanmaktadır. Kopyayı rezerve et Her kurtarma noktasında tekrarlanan dosyalar. Önemli durum iş Bu method: Enfeksiyondan önce “Sistem Geri Yükleme” işlevi etkinleştirilmelidir. Ancak geri yükleme noktasından sonra dosyada yapılan herhangi bir değişiklik, dosyanın geri yüklenen sürümünde görünmez.

Destek olmak

Bu, fidye dışı yöntemler arasında en iyisidir. Veri yedekleme prosedürü ise harici sunucu Bilgisayarınıza fidye yazılımı saldırısından önce kullanılmışsa, şifrelenmiş dosyaları geri yüklemek için uygun arayüze girmeniz yeterlidir. gerekli dosyalar ve veri kurtarma mekanizmasını yedekten başlatın. İşlemi gerçekleştirmeden önce fidye yazılımının tamamen kaldırıldığından emin olmalısınız.

Petya ve Mischa fidye yazılımının kalan bileşenlerinin olası varlığını kontrol edin

Temizlik manuel mod gizli nesne olarak kaldırılmasını önleyebilecek bireysel fidye yazılımı parçalarının ihmal edilmesiyle doludur işletim sistemi veya kayıt defteri öğeleri. Bireysel kötü amaçlı öğelerin kısmen saklanması riskini ortadan kaldırmak için, kötü amaçlı yazılımlarda uzmanlaşmış güvenilir bir güvenlik yazılımı paketi kullanarak bilgisayarınızı tarayın.

Petya.A nedir?

Bu, bilgisayardaki verileri şifreleyen ve şifreyi çözecek anahtar için 300 dolar talep eden bir “fidye yazılımı virüsüdür”. Virüs, 27 Haziran öğle saatlerinde Ukrayna bilgisayarlarına bulaşmaya başladı ve ardından diğer ülkelere yayıldı: Rusya, İngiltere, Fransa, İspanya, Litvanya vb. Microsoft'un web sitesinde artık bir virüs var Var "ciddi" tehdit seviyesi.

Enfeksiyon, aynı güvenlik açığından dolayı ortaya çıkar. Microsoft Windows olduğu gibi WannaCry virüsü Mayıs ayında dünya çapında binlerce bilgisayarı vuran ve şirketlerin yaklaşık 1 milyar dolar zarara uğramasına neden olan virüs.

Akşam siber polis, amaçlı bir virüs saldırısının olduğunu bildirdi. elektronik raporlama ve belge akışı. Kolluk kuvvetlerine göre, bilgisayarlara kötü amaçlı yazılım indirilen bir sonraki M.E.Doc güncellemesi sabah 10.30'da yayınlandı.

Petya kullanılarak dağıtıldı E-posta, programı bir çalışanın özgeçmişi olarak sunmak. Bir kişi özgeçmişini açmaya çalıştığında virüs ona yönetici hakları vermesini istiyordu. Kullanıcı kabul ederse bilgisayar yeniden başlatıldı ve ardından Sabit diskşifrelendi ve fidye talebinin olduğu bir pencere açıldı.

VİDEO

Petya virüsü enfeksiyon süreci. Video: G DATA Software AG / YouTube

Aynı zamanda Petya virüsünün de bir güvenlik açığı vardı: Verilerin şifresini çözmek için anahtarı elde etmek mümkündü. özel program. Bu yöntem Geektimes editörü Maxim Agadzhanov tarafından Nisan 2016'da açıklanmıştır.

Ancak bazı kullanıcılar fidyeyi ödemeyi tercih ediyor. Tanınmış Bitcoin cüzdanlarından birinin verilerine göre virüsün yaratıcıları, yaklaşık 9.100 dolara karşılık gelen 3.64 Bitcoin aldı.

Virüsten kimler etkileniyor?

Ukrayna'da Petya.A'nın kurbanları çoğunlukla şunlardı: kurumsal müşteriler: Devlet kurumları, bankalar, medya, enerji şirketleri ve diğer kuruluşlar.

Diğerlerinin yanı sıra şu şirketler de etkilendi: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Merkez üssü, Kanal 24 ve ayrıca Boryspil havaalanı, Ukrayna Bakanlar Kurulu, Devlet Mali Hizmet ve diğerleri.

Saldırı bölgelere de yayıldı. Örneğin, n ve Çernobil nükleer santralinde bir siber saldırı nedeniyle elektronik belge yönetimi çalışmayı durdurdu ve istasyon, radyasyon seviyelerinin manuel olarak izlenmesine geçti. Kharkov'da büyük Rost süpermarketinin çalışması engellendi ve havaalanında uçuşlar için check-in işlemleri manuel moda geçirildi.

Petya.A virüsü nedeniyle Rost süpermarketindeki kasalar çalışmayı durdurdu. Fotoğraf: Kh...evy Kharkov / VKontakte

Yayına göre Rusya'da Rosneft, Bashneft, Mars, Nivea ve diğer şirketler saldırıya uğradı.

Kendinizi Petya.A'dan nasıl korursunuz?

Kendinizi Petya.A'dan nasıl koruyacağınıza dair talimatlar Ukrayna Güvenlik Servisi ve siber polis tarafından yayınlandı.

Siber polis kullanıcılara yüklemelerini tavsiye ediyor Windows güncellemeleri resmi Microsoft web sitesinden bir antivirüs güncelleyin veya yükleyin, şüpheli dosyaları şu adresten indirmeyin: e-postalar ve sorun fark edilirse derhal bilgisayarın ağ bağlantısını kesin.

SBU, şüphe durumunda bilgisayarın yeniden başlatılamayacağını, çünkü dosya şifrelemenin tam olarak yeniden başlatma sırasında gerçekleştiğini vurguladı. İstihbarat servisi Ukraynalılara değerli dosyaları ayrı bir ortama kaydetmelerini ve yedek kopya işletim sistemi.

Siber güvenlik uzmanı Vlad Styran yazdı Facebook'ta virüsün yayıldığı bildirildi yerel ağ Windows'ta 1024-1035, 135, 139 ve 445 numaralı TCP bağlantı noktaları engellenerek durdurulabilir. İnternette bunun nasıl yapılacağına ilişkin talimatlar bulunmaktadır.

Amerikan şirketi Symantec'in uzmanları