Според Positive Technologies над 80 организации в Русия и Украйна са били засегнати от действията на Петя. В сравнение с WannaCry, този вирус се счита за по-разрушителен, тъй като се разпространява чрез няколко метода: използвайки WindowsИнструменти за управление, експлойт PsExec и EternalBlue. В допълнение, рансъмуерът е вграден безплатна помощна програмаМимикац.
„Този набор от инструменти позволява на Petya да остане работещ дори в тези инфраструктури, където е взет предвид урокът на WannaCry и са инсталирани подходящите актуализации за сигурност, поради което криптаторът е толкова ефективен“, казаха от Positive Technologies.
Както каза за Gazeta.Ru ръководителят на отдела за реагиране на заплахи информационна сигурностФирма Елмар Набигаев,
Ако говорим за причините за настоящата ситуация, тогава проблемът отново е небрежно отношение към проблемите на информационната сигурност.
Ръководителят на вирусната лаборатория Avast Якуб Крустек в интервю за Gazeta.Ru каза, че е невъзможно да се установи със сигурност кой точно стои зад тази кибератака, но вече е известно, че вирусът Petya се разпространява на darknet, използвайки бизнес модела RaaS (зловреден софтуер като услуга).
„Така че делът на разпространителите на програми достига 85% от откупа, 15% отиват при авторите на вируса рансъмуер“, каза Крустек. Той отбеляза, че авторите на Petya предоставят цялата инфраструктура, C&C сървъри и системи за парични преводи, което помага за привличането на хора да разпространяват вируса, дори и да нямат опит в програмирането.
Освен това Avast каза кои операционни системи са най-засегнати от вируса.
На първо място е Windows 7 - 78% от всички заразени компютри. Следват Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).
Kaspersky Lab смята, че въпреки че вирусът е подобен на семейство Petya, той все още принадлежи към различна категория и му дава различно име - ExPetr, тоест „бившият Петър“.
Заместник-директорът по развитието на компанията Aydeko Дмитрий Хомутов обясни на кореспондент на Gazeta.Ru, че кибератаките с вирусите WannaCry и Petya са довели до „това, за което предупреждавах от дълго време“, тоест до глобалната уязвимост на информацията системи, използвани навсякъде.
„Вратичките, оставени от американските корпорации за разузнавателните агенции, станаха достъпни за хакерите и бързо бяха комбинирани с традиционния арсенал от киберпрестъпници – рансъмуер, ботнет клиенти и мрежови червеи“, каза Хомутов.
По този начин WannaCry не научи глобалната общност на почти нищо - компютрите останаха незащитени, системите не бяха актуализирани, а усилията за пускане на пачове дори за остарели системи просто отидоха на вятъра.
Експертите призовават да не плащате необходимия откуп в биткойни, тъй като пощенски адрес, който хакерите оставиха за комуникация, беше блокиран от местния доставчик. Така, дори и в случай на „честни и добри намерения“ на киберпрестъпниците, потребителят не само ще загуби пари, но и няма да получи инструкции за отключване на данните си.
Петя навреди най-много на Украйна. Сред жертвите са Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, украинските мобилни оператори Kyivstar, LifeCell и Ukrtelecom, магазин Auchan, Privatbank, летище Бориспол и други.
Украинските власти веднага обвиниха Русия за кибератаката.
„Война в киберпространството, всяваща страх и терор сред милиони потребители персонални компютрии нанасяне на преки материални щети поради дестабилизирането на бизнеса и държавните агенции, е част от цялостната стратегия на хибридната война на Руската империя срещу Украйна“, каза депутатът от Радата от Народния фронт.
Украйна може да е била засегната по-силно от други поради първоначалното разпространение на Petya автоматична актуализация M.E.doc - програми за финансови отчети. По този начин бяха заразени украински отдели, инфраструктурни съоръжения и търговски компании - всички те използват тази услуга.
Пресслужбата на ESET Русия обясни на Gazeta.Ru, че за заразяване на корпоративна мрежа с вируса Petya е достатъчен един уязвим компютър, който няма инсталирани актуализации за сигурност. С негова помощ зловреден софтуерще влезе в мрежата, ще получи администраторски права и ще се разпространи на други устройства.
M.E.doc обаче излезе с официално опровержение на тази версия.
„Обсъждането на източниците на възникване и разпространение на кибератаки се провежда активно от потребители в социални мрежи, форуми и др. информационни ресурси, в текста на който едно от основанията е инсталирането на актуализации на програмата M.E.Doc. Екипът за разработка на M.E.Doc опровергава тази информацияи заявява, че подобни заключения са очевидно погрешни, тъй като разработчикът M.E.Doc, като отговорен доставчик софтуерен продукт, следи безопасността и чистотата на собствения си код“, казва the
Вирус "Петя":как да не го хванете, как да дешифрирате откъде идва - последните новини за вируса Petya ransomware, който до третия ден от своята „активност“ е заразил около 300 хиляди компютъра в различни страни по света и досега не един го е спрял.
Вирус Petya - как да декриптирате, последни новини.След атака на компютър, създателите на рансъмуера Petya искат откуп от $300 (в биткойни), но няма начин да дешифрират вируса Petya, дори ако потребителят плати пари. Специалистите от Kaspersky Lab, които видяха разликите в новия вирус от Petit и го нарекоха ExPetr, твърдят, че дешифрирането изисква уникален идентификатор за конкретна инсталация на троянски кон.
В известните по-рано версии на подобни криптори Petya/Mischa/GoldenEye инсталационният идентификатор съдържаше необходимата информация за това. В случая с ExPetr този идентификатор не съществува, пише РИА Новости.
Вирусът “Петя” – откъде идва, последните новини.Германски експерти по сигурността представиха първата версия за това откъде идва този рансъмуер. Според тях вирусът Petya започва да се разпространява през компютрите, когато се отварят файлове M.E.Doc. Това е счетоводна програма, използвана в Украйна след забраната на 1C.
Междувременно Kaspersky Lab казва, че е твърде рано да се правят заключения за произхода и източника на разпространение на вируса ExPetr. Възможно е нападателите да са разполагали с обширни данни. Например имейл адреси от предишния бюлетин или някои други ефективни начинипроникване в компютрите.
С тяхна помощ вирусът „Петя” удари с пълна сила Украйна и Русия, както и други страни. Но реалният мащаб на тази хакерска атака ще стане ясен след няколко дни, съобщават.
Вирусът “Petya”: как да не го хванете, как да го дешифрирате, откъде идва - последните новиниза рансъмуер вируса Petya, който вече получи ново име от Kaspersky Lab - ExPetr.
Може би вече знаете за хакерската заплаха, регистрирана на 27 юни 2017 г. в страните Русия и Украйна, които бяха подложени на мащабна атака, подобна на WannaCry. Вирусът заключва компютрите и изисква откуп в биткойни за дешифриране на файлове. Общо над 80 компании в двете страни бяха засегнати, включително руските Роснефт и Башнефт.
Вирусът рансъмуер, подобно на скандалния WannaCry, е блокирал всички компютърни данни и изисква откуп в биткойни, еквивалентен на $300, който да бъде преведен на престъпниците. Но за разлика от Wanna Cry, Петя не се занимава с криптирането на отделни файлове - почти моментално „отнема“ целия HDDизцяло.
Правилното име на този вирус е Petya.A. Докладът на ESET разкрива някои от възможностите на Diskcoder.C (известен още като ExPetr, PetrWrap, Petya или NotPetya)
Според статистиката от всички жертви, вирусът е бил разпространен във фишинг имейли със заразени прикачени файлове. Обикновено идва писмо с молба за отваряне Текстов документ, и как да разберем второто файлово разширение текст.екзе скрит, но приоритетът е най-новите разширенияфайл. По подразбиране операционната система Windows не показва файлови разширения и те изглеждат така:
В 8.1, в прозореца на Explorer (Преглед\Опции за папки\Премахнете отметката от Скриване на разширения за регистрирани типове файлове)
В 7 в прозореца на Explorer (Alt\Tools\Folder Options\Премахнете отметката от Скриване на разширения за известни типове файлове)
И най-лошото е, че потребителите дори не се притесняват от факта, че писмата идват от непознати потребители и ги молят да отворят неразбираеми файлове.
След като отвори файла, потребителят вижда " син екранна смъртта".
След рестартирането изглежда, че „Scan Disk“ е стартиран; всъщност вирусът криптира файловете.
За разлика от други ransomware, след като този вирус се стартира, той незабавно рестартира компютъра ви и когато се зареди отново, на екрана се появява съобщение: „НЕ ИЗКЛЮЧВАЙТЕ КОМПЮТЪРА! АКО СПРЕТЕ ТОЗИ ПРОЦЕС, МОЖЕТЕ ДА УНИЩОЖИТЕ ВСИЧКИ ВАШИ ДАННИ! МОЛЯ, УВЕРЕТЕ СЕ, ЧЕ ВАШИЯТ КОМПЮТЪР Е СВЪРЗАН КЪМ ЗАРЯДНОТО!“ Въпреки че може да изглежда системна грешка, всъщност, в този моментПетя тихо извършва криптиране скрит режим. Ако потребителят се опита да рестартира системата или да спре криптирането на файлове, на екрана се появява мигащ червен скелет заедно с текста „НАТИСНЕТЕ КОЙТО И ДА Е КЛАВИШ!“ Накрая, след натискане на клавиша, ще се появи нов прозорец с бележка за откуп. В тази бележка от жертвата се иска да плати 0,9 биткойна, което е приблизително $400. Тази цена обаче е само за един компютър. Следователно, за фирми, които имат много компютри, сумата може да бъде в хиляди. Това, което също прави този ransomware различен е, че ви дава цяла седмица за плащане на откупа, вместо обичайните 12-72 часа, които другите вируси в тази категория дават.
Освен това проблемите с Петя не свършват дотук. След като този вирус влезе в системата, той ще се опита да пренапише зареждането Windows файлове, или така наречения начален запис на зареждане, необходим за зареждане операционна система. Няма да можете да премахнете вируса Petya от вашия компютър, освен ако не възстановите настройките на Master Boot Recorder (MBR). Дори и да успеете да коригирате тези настройки и да премахнете вируса от вашата система, за съжаление вашите файлове ще останат криптирани, тъй като премахването на вируси не декриптира файловете, а просто премахва заразените файлове. Разбира се, премахването на вируси има важноако искате да продължите да работите с вашия компютър
След като стартирате компютъра си Windows системи, Петя криптира MFT (Master File Table) почти моментално. За какво отговаря тази таблица?
Представете си, че вашият твърд диск е най-голямата библиотека в цялата вселена. Съдържа милиарди книги. И така, как да намерите правилната книга? Само чрез каталога на библиотеката. Точно този каталог Петя унищожава. По този начин губите всякаква възможност да намерите какъвто и да е „файл“ на вашия компютър. Още по-точно, след като Петя „заработи“, твърдият диск на компютъра ви ще заприлича на библиотека след торнадо, където навсякъде ще хвърчат изрезки от книги.
Така, за разлика от Wanna Cry, Petya.A не криптира отделни файлове, като отделя впечатляващо много време за това - той просто ви отнема всяка възможност да ги намерите.
Кой създаде вируса Petya?
При създаването на вируса Petya е използван експлойт („дупка“) в операционната система Windows, наречен „EternalBlue“. Microsoft пусна корекция kb4012598(от по-рано пуснати уроци за WannaCry, вече говорихме за тази актуализация, която „затваря“ тази дупка.
Създателят на Petya успя мъдро да използва безхаберието на корпоративни и частни потребители и да спечели пари от това. Самоличността му все още е неизвестна (и е малко вероятно да бъде известна)
Как да премахнете вируса Petya?
Как да премахнете вируса Petya.A от вашия харддиск? Това е изключително интересен въпрос. Факт е, че ако вирусът вече е блокирал вашите данни, тогава всъщност няма да има какво да изтриете. Ако не планирате да плащате рансъмуер (което не трябва да правите) и няма да се опитвате да възстановите данни на диска в бъдеще, можете просто да форматирате диска и да преинсталирате операционната система. След това от вируса няма да остане и следа.
Ако подозирате, че има заразен файл на вашия диск, сканирайте диска си с антивирусна програма от ESET Nod 32 и извършете пълно сканиране на системата. Компанията NOD 32 увери, че нейната база данни със сигнатури вече съдържа информация за този вирус.
Petya.A декриптор
Petya.A криптира вашите данни с много силен алгоритъм за криптиране. Понастоящем няма решение за дешифриране на блокирана информация.
Несъмнено всички бихме мечтали да се сдобием с чудодейния декриптор Petya.A, но такова решение просто няма. WannaCry вирусудари света преди няколко месеца, но лекарство за декриптиране на данните, които криптира, така и не е намерено.
Единственият вариант е, ако преди това сте имали скрити копия на файловете.
Ето защо, ако все още не сте станали жертва на вируса Petya.A, актуализирайте вашата операционна система, инсталирайте антивирусна програма от ESET NOD 32. Ако все още губите контрол над данните си, тогава имате няколко възможности.
Плащайте пари. Няма смисъл да правим това!Експертите вече са установили, че създателят на вируса не възстановява данните и не може да ги възстанови, предвид техниката на криптиране.
Опитайте да премахнете вируса от компютъра си и опитайте да възстановите файловете си с помощта на скрито копие(вирусът не ги засяга)
Извадете твърдия диск от вашето устройство, внимателно го поставете в шкафа и натиснете дешифратора, за да се появи.
Форматиране на диска и инсталиране на операционната система. Минус - всички данни ще бъдат загубени.
Petya.A и Android, iOS, Mac, Linux
Много потребители се притесняват дали вирусът Petya може да зарази устройствата им под Android управлениеи iOS. Бързам да ги успокоя - не, не може. Предназначен е само за потребители на Windows OS. Същото важи и за феновете на Linux и Mac - можете да спите спокойно, нищо не ви заплашва.
Във вторник вирусът Petya/PetWrap/NotPetya атакува институции и компании в Русия, Украйна, Европа и САЩ – общо около две хиляди жертви. Зловреден софтуер криптира данни на компютри и иска откуп в биткойни. Казваме ви какъв вид вирус е това, кой е страдал от него и кой го е създал.
Що за вирус е това?
Зловреден софтуер, който се маскира като прикачен файл в електронна поща. Ако потребителят го изтегли и стартира като администратор, тогава програмата рестартира компютъра и стартира уж функцията за проверка на диска, но всъщност първо криптира зареждащ сектор, а след това и останалите файлове. След това потребителят вижда съобщение с искане да плати сума в биткойни, равняваща се на $300 в замяна на код за дешифриране на данни.
❗️Вирусът Petya в действие. Бъдете внимателни, актуализирайте Windows, не отваряйте никакви връзки, изпратени по имейл pic.twitter.com/v2z7BAbdZx
— Писма (@Bykvu) 27 юни 2017 г
Ето как действа вирусът
Ето как действа вирусът Petya. Първата му версия беше открита през пролетта на 2016 г. Kaspersky Lab заяви, че данните на криптиран диск могат да бъдат възстановени. След това рецептата за дешифриране беше публикувана от редактора на Geektimes Максим Агаджанов. Има и други версии на декриптори. Не можем да потвърдим колко са ефективни и дали са подходящи за нови версии на вируса. Специалистът по информационна сигурност Никита Книш пише в GitHub, че те не са подходящи. В момента няма средства за борба с вируса след заразяване.
Не е известно с коя версия на вируса си имаме работа сега. Освен това редица експерти смятат, че не си имаме работа с Петя. Службата за сигурност на Украйна (SBU) заяви, че държавни институции и компании в страната са били атакувани от вируса Petya.A и е невъзможно да се възстановят криптирани данни. В Kaspersky Lab във вторник вечерта докладваниче „това не е Петя“, а едни новият видвирус, наречен NotPetya от експертите. Доктор Уеб смята същото. Yahoo News, позовавайки се на неназовани експерти, пише, че става дума за модификация на Petya, наречена PetrWrap. От Symantec казаха, че все още говорим за Петя.
Ръководител на международния изследователски екип в Kaspersky Lab Костин Райу пишече вирусът се разпространява чрез писма от адреса Също така той докладвани, който Petya/PetWrap/NotPetya компилира на 18 юни.
Една от опциите на страницата с искане за откуп (снимка: Avast Blog)
Kaspersky Lab също вярва в това нов вирусизползва същата уязвимост на Windows като WannaCry. Този зловреден софтуер удари компютри по целия свят на 12 май. Тя също криптирала данни в компютъра и поискала откуп. Сред жертвите са руското МВР и мобилният оператор Мегафон. Microsoft елиминира уязвимостта още през март: тези, които не са актуализирали системата, страдат от WannaCry и Petya/PetrWrap/NotPetya.
Кой е страдал от това?
Украйна
Снимка от харковския супермаркет ROST, чиито компютри също бяха засегнати от вируса
— Украйна / Україна (@Ukraine) 27 юни 2017 г
Официалният Twitter на Украйна се опитва да развесели гражданите, използвайки мемето „Това е добре“.
Големи компании "Киевводоканал", "Новус", "Епицентър", "Арселор Митал", "Артериум", "Фармак", клиника "Борис", болница Феофания, "Укртелеком", "Укрпоща", украински клон на веригата супермаркети Auchan , бензиностанции Shell, WOG, Klo и TNK.
Медии: “Кореспондент.нет”, “КП в Украйна”, “Наблюдател”, “24 канал”, СТБ, “Интер”, “ Нов канал“, ATR, радио „Лукс”, „Максимум” и „Ера-FM”.
Компютър в кабинета на министрите на Украйна (снимка: Павел Розенко)
На 27 юни 2017 г. светът се изправи пред нова епидемия от ransomware, причинена от нова версияРансъмуер Petya, познат на експертите от 2016 г. Операторите на зловреден софтуер явно възприеха няколко техники от разработчиците на сензационния и успяха да провокират нова паника.
В този материал се опитахме да съберем цялата известна към момента информация за тази злонамерена кампания.
Характеристики на Петя
Както бе споменато по-горе, рансъмуерът Petya беше пуснат през март 2016 г. Версията, която светът срещна на 27 юни 2017 г., обаче е много по-различна от тази „Petit“.
Петя 2016 - Костин Райу (@craiu) 27 юни 2017 г
Както можете да видите на илюстрациите по-горе, сред засегнатите страни Украйна водеше с голяма разлика само вчера.
Обратно на 27 юни 2017 г. украинската киберполиция докладваниче по предварителни данни рансъмуерът се е разпространил в Украйна толкова бързо „благодарение на“ софтуер M.E.Doc. Подобни предположения бяха направени от специалисти по информационна сигурност, включително експерти от Cisco Talos и Microsoft.
Това съобщиха от киберполицията Последна актуализация, разпространен на 22 юни от сървърите на компанията (upd.me-doc.com.ua), беше заразен с ransomware Petya.
Специалистите на Microsoft от своя страна пишат, че на 27 юни са забелязали, че процесът на актуализиране на M.E.Doc (EzVit.exe) е започнал да изпълнява злонамерени команди, които са довели до инсталирането на Petya (вижте илюстрацията по-долу).
В същото време на официалния уебсайт на M.E.Doc се появи съобщение, че „се извършва вирусна атака на сървърите“, което скоро изчезна и вече е достъпно само в кеша на Google.
Освен това Microsoft казва, че има доказателства, че „няколко активни инфекции“ на Petya първоначално са започнали от легитимния процес на актуализиране на MEDoc.
Зареждане...