Atacul virusului „Petya” a fost o surpriză neplăcută pentru locuitorii multor țări. Mii de computere au fost infectate, drept urmare utilizatorii au pierdut date importante stocate pe hard disk-urile lor.
Desigur, acum entuziasmul din jurul acestui incident s-a domolit, dar nimeni nu poate garanta că acest lucru nu se va întâmpla din nou. De aceea este foarte important să vă protejați computerul de o posibilă amenințare și să nu vă asumați riscuri inutile. Cum să faceți acest lucru cel mai eficient și va fi discutat mai jos.
Consecințele atacului
În primul rând, ar trebui să ne amintim consecințele scurtei activități a lui Petya.A. În doar câteva ore, zeci de ucraineni și companiile rusești. În Ucraina, apropo, activitatea departamentelor de informatică ale unor instituții precum Dniproenergo, Novaya Pochta și Kyiv Metro a fost aproape complet paralizată. Mai mult, unii organizatii de stat, bănci și operatori de telefonie mobilă.
În țările Uniunii Europene, și ransomware-ul a reușit să facă multe probleme. Companiile franceze, daneze, britanice și internaționale au raportat întreruperi temporare legate de atacul virusului computerizat Petya.
După cum puteți vedea, amenințarea este cu adevărat gravă. Și chiar și în ciuda faptului că atacatorii și-au ales mari instituții financiare drept victime, utilizatorii obișnuiți a suferit nu mai puțin.
Cum funcționează Petya?
Pentru a înțelege cum să vă protejați de virusul Petya, trebuie mai întâi să înțelegeți cum funcționează. Așadar, odată pe computer, malware-ul descarcă un criptator special de pe Internet care infectează Master Boot Record. Aceasta este o zonă separată de pe hard disk, ascunsă de ochii utilizatorului și concepută pentru a porni sistemul de operare.
Pentru utilizator, acest proces arată ca munca standard Verificați programul Disk după o blocare bruscă a sistemului. Computerul repornește brusc, iar pe ecran apare un mesaj despre greu disc pentru erori și vă rugăm să nu opriți alimentarea.
De îndată ce acest proces se încheie, apare un protector de ecran cu informații despre blocarea computerului. Creatorii virusului Petya cer utilizatorului să plătească o răscumpărare de 300 de dolari (mai mult de 17,5 mii de ruble), promițând în schimb să trimită cheia necesară reluării computerului.
Prevenirea
Este logic că este mult mai ușor să previi infecția virus de calculator"Petya" decât să se ocupe de consecințele sale mai târziu. Pentru a vă securiza computerul:
- Instalați întotdeauna cele mai recente actualizări pentru sistemul de operare. Același lucru, în principiu, se aplică tuturor software-ului instalat pe computer. Apropo, „Petya” nu poate dăuna computerelor care rulează MacOS și Linux.
- Utilizați cele mai recente versiuni ale antivirusului și nu uitați să actualizați bazele de date ale acestuia. Da, sfatul este banal, dar nu toată lumea îl urmează.
- Nu deschideți fișierele suspecte trimise prin e-mail. De asemenea, verificați întotdeauna aplicațiile descărcate din surse dubioase.
- Faceți copii de siguranță regulate ale documentelor și fișierelor importante. Cel mai bine este să le stocați pe un mediu separat sau în „nor” (Google Drive, Yandex.Disk etc.). Datorită acestui fapt, chiar dacă se întâmplă ceva cu computerul dvs., informațiile valoroase nu vor fi afectate.
Creați un fișier de oprire
Dezvoltatori de frunte programe antivirusși-a dat seama cum să elimini virusul Petya. Mai precis, datorită cercetărilor efectuate, ei au reușit să înțeleagă ce încearcă ransomware-ul să găsească pe computer în fazele inițiale ale infecției. fișier local. Dacă reușește, virusul își oprește activitatea și nu dăunează computerului.
Mai simplu spus, puteți crea manual un fel de fișier de oprire și astfel vă puteți proteja computerul. Pentru asta:
- Deschideți Folder Options și debifați „Ascunde extensiile pentru tipurile de fișiere cunoscute”.
- Creați cu notepad fișier nouși plasați-l în directorul C:/Windows.
- Redenumiți documentul creat numindu-l „perfc”. Apoi accesați și activați opțiunea „Numai citire”.
Acum, virusul „Petya”, după ce a intrat pe computer, nu-l va putea dăuna. Dar rețineți că atacatorii pot modifica malware-ul în viitor, iar metoda de creare a fișierelor stop va deveni ineficientă.
Dacă infecția a apărut deja
Când computerul se repornește singur și pornește Check Disk, virusul tocmai începe să cripteze fișierele. În acest caz, vă puteți salva datele făcând următoarele:
- Opriți imediat computerul. Acesta este singurul mod în care puteți preveni răspândirea virusului.
- Apoi, conectați-vă HDD pe alt PC (dar nu ca unul bootabil!) și copiați informații importante de pe acesta.
- După aceea, trebuie să formatați complet hard disk-ul infectat. Desigur, atunci va trebui să reinstalați sistemul de operare și alte software-uri pe acesta.
De asemenea, puteți încerca să utilizați un special disc de pornire pentru a vindeca virusul „Petya”. Kaspersky Anti-Virus, de exemplu, oferă în aceste scopuri Kaspersky Rescue Disk, care funcționează ocolind sistemul de operare.
Ar trebui să plătesc extorsioniştii?
După cum am menționat mai devreme, creatorii lui Petya cer o răscumpărare de 300 USD de la utilizatorii ale căror computere au fost infectate. Potrivit estorcatorilor, dupa plata sumei specificate, victimelor li se va trimite o cheie care elimina blocarea informatiilor.
Problema este că un utilizator care dorește să-și readucă computerul la o stare normală trebuie să scrie atacatorilor prin e-mail. Cu toate acestea, toate ransomware-urile E-Mail sunt blocate prompt de serviciile autorizate, așa că este pur și simplu imposibil să-i contactați.
Mai mult, mulți dezvoltatori de top de software antivirus sunt siguri că este complet imposibil să deblochezi un computer infectat cu Petya cu orice cod.
După cum probabil ați înțeles, nu merită să plătiți estorcatorii. În caz contrar, nu numai că vei rămâne cu un computer care nu funcționează, dar vei pierde și o sumă mare de bani.
Vor fi noi atacuri
Virusul Petya a fost descoperit pentru prima dată în martie 2016. Apoi experții în securitate au observat rapid amenințarea și au împiedicat distribuirea în masă a acesteia. Dar deja la sfârșitul lunii iunie 2017, atacul s-a repetat din nou, ceea ce a dus la consecințe foarte grave.
Este puțin probabil ca totul să se termine acolo. Atacurile ransomware nu sunt neobișnuite, așa că este important să vă păstrați computerul protejat în orice moment. Problema este că nimeni nu poate prezice ce format va avea următoarea infecție. Oricum ar fi, merită întotdeauna să urmați recomandările simple date în acest articol pentru a reduce riscurile la minimum în acest fel.
Această concluzie a fost rezultatul unui studiu a două companii simultan - Comae Technologies și Kaspersky Lab.
Malware-ul original Petya, descoperit în 2016, era o mașină de făcut bani. Acest eșantion cu siguranță nu are scopul de a câștiga bani. Amenințarea este concepută să se răspândească rapid și să provoace daune și se deghizează ca un ransomware.
NotPetya nu este un instrument de curățare a discurilor. Amenințarea nu șterge datele, ci pur și simplu le face inutilizabile prin blocarea fișierelor și aruncarea cheilor de decriptare.
Juan Andre Guerrero-Saade, cercetător senior la Kaspersky Lab, a comentat situația:
În cartea mea, o infecție cu ransomware fără un posibil mecanism de decriptare este echivalentă cu o ștergere a discului. Ignorând un mecanism de decriptare viabil, atacatorii au arătat o desconsiderare totală pentru câștigul monetar pe termen lung.
Autorul ransomware-ului original Petya a scris pe Twitter că nu are nimic de-a face cu dezvoltarea NotPetya. El a devenit deja al doilea criminal cibernetic care neagă implicarea în crearea unei noi amenințări similare. Anterior, autorul ransomware-ului AES-NI a declarat că nu are nimic de-a face cu XData, care a fost folosit și în atacuri direcționate asupra Ucrainei. În plus, XData, precum NotPetya, a folosit un vector de distribuție identic - serverele de actualizare ale unui producător de software de contabilitate ucrainean.
Multe indicii circumstanțiale susțin teoria că cineva pirata un ransomware cunoscut și folosește versiuni modificate pentru a ataca utilizatorii ucraineni.
Modulele distructive deghizate în ransomware sunt deja o practică comună?
Cazuri similare au mai avut loc deja. Utilizarea modulelor rău intenționate pentru a deteriora permanent fișierele sub pretextul unui ransomware obișnuit este departe de a fi o nouă tactică. În lumea de astăzi, acest lucru devine deja o tendință.
Anul trecut, familiile de malware Shamoon și KillDisk au inclus „componente ransomware” și au folosit tehnici similare pentru a distruge datele. Acum, chiar și programele malware industriale primesc funcții de curățare a discului.
Clasificarea NotPetya ca instrument de distrugere a datelor ar putea ridica cu ușurință malware-ul la o armă cibernetică. În acest caz, analiza consecințelor amenințării ar trebui luată în considerare dintr-o perspectivă diferită.
Având în vedere punctul de plecare al infecției și numărul victimelor, devine evident că Ucraina a fost ținta atacului hackerilor. Pe acest moment nu există dovezi clare care să arate cu degetul către atacator, dar oficialii ucraineni au dat deja vina pe Rusia, pe care au acuzat-o și pentru incidentele cibernetice anterioare din 2014.
NotPetya ar putea fi la egalitate cu binecunoscutele familii de programe malware Stuxnet și BlackEnergy care au fost folosite în scopuri politice și pentru efecte distructive. Dovezile arată clar că NotPetya este o armă cibernetică și nu doar un tip de ransomware foarte agresiv.
, 18 iulie 2017Răspunsuri la cele mai importante întrebări despre virusul ransomware Petna (NotPetya, ExPetr), un ransomware bazat pe Petya care a infectat multe computere din întreaga lume.
Luna aceasta, am asistat la un alt atac ransomware masiv care a avut loc la doar câteva săptămâni după . În câteva zile, această modificare a ransomware-ului a primit multe nume diferite, inclusiv Petya (numele virusului original), NotPetya, EternalPetya, Nyetya și altele. Inițial, l-am numit „virusul familiei Petya”, dar pentru comoditate îl vom numi pur și simplu Petna.
În jurul Petnei sunt destule ambiguități în afară de nume. Este acesta același ransomware ca Petya sau o versiune diferită? Ar trebui să fie considerat Petna un ransomware sau un virus care pur și simplu distruge datele? Să clarificăm câteva aspecte ale atacului trecut.
Distribuția Petna este încă în curs?
Activitate maximă acum câteva zile. Răspândirea virusului a început în dimineața zilei de 27 iunie. În aceeași zi, activitatea sa a ajuns cel mai înalt nivel, au fost mii de tentative de atac în fiecare oră. După aceea, intensitatea lor a scăzut semnificativ în aceeași zi și doar un număr mic de infecții au fost observate ulterior.
Acest atac poate fi comparat cu WannaCry?
Nu, judecând după scopul nostru baza de utilizatori. Am observat aproximativ 20.000 de tentative de atac în întreaga lume, ceea ce este incomensurabil mai puțin decât cele 1,5 milioane de atacuri WannaCry pe care le-am prevenit.
Care țări au fost cel mai afectate?
Datele noastre de telemetrie arată că impactul principal al virusului a fost în Ucraina, unde au fost detectate peste 90% din încercările de atac. Au avut de suferit și Rusia, SUA, Lituania, Belarus, Belgia și Brazilia. În fiecare dintre aceste țări, au fost observate de la câteva zeci până la câteva sute de încercări de infectare.
Ce sisteme de operare au fost infectate?
Cel mai mare număr de atacuri au fost înregistrate pe dispozitive sub Control Windows 7 (78%) și Windows XP (14%). Numărul de atacuri asupra mai mult de sisteme moderne s-a dovedit a fi semnificativ mai puțin.
Cum a intrat virusul Petna pe PC?
După analizarea căilor de dezvoltare ale epidemiei cibernetice, am găsit vectorul primar al infecției, care este asociat cu actualizarea software-ului de contabilitate ucrainean M.E.Doc. De aceea Ucraina a suferit atât de grav.
Un paradox amar: din motive de securitate, utilizatorii sunt sfătuiți întotdeauna să-și actualizeze software-ul, dar în acest caz, virusul a început să se răspândească pe scară largă cu o actualizare de software lansată de M.E.Doc.
De ce au avut de suferit și computerele din afara Ucrainei?
Un motiv este că unele dintre companiile afectate au filiale ucrainene. Odată ce un virus infectează un computer, acesta se răspândește în rețea. Așa a reușit să ajungă la computere din alte țări. Continuăm să explorăm alți posibili vectori de infecție.
Ce se întâmplă după infecție?
Odată ce un dispozitiv este infectat, Petna încearcă să cripteze fișierele cu anumite extensii. Lista fișierelor țintă nu este la fel de mare ca listele cu virusul original Petya și cu alte tipuri de ransomware, dar include extensii de fotografii, documente, coduri sursă, baze de date, imagini de disc și altele. În plus, acest software nu criptează doar fișierele, ci și modul în care viermele se răspândește la alte dispozitive conectate retea locala.
De exemplu, virusul aplică trei diferite căi distribuție: folosind exploit-urile EternalBlue (cunoscut de la WannaCry) sau EternalRomance, prin comun resursele rețelei Windows care utilizează acreditări furate de la victimă (folosind utilități precum Mimikatz care pot extrage parole), precum și instrumente de încredere precum PsExec și WMIC.
După criptarea fișierelor și răspândirea în rețea, virusul încearcă să se spargă pornire Windows(schimbarea principalului înregistrarea de pornire, MBR), și după repornire forțată criptează tabelul de fișiere master (MFT) disc de sistem. Acest lucru împiedică computerul să pornească în Windows și face computerul inutilizabil.
Poate Petna să-mi infecta computerul cu toate corecțiile de securitate instalate?
Da, acest lucru este posibil datorită propagării orizontale malware descris mai sus. Chiar dispozitiv specific protejat atât de EternalBlue, cât și de EternalRomance, poate fi încă infectat într-un al treilea mod.
Este Retua, WannaCry 2.0 sau altceva?
Virusul Petna se bazează cu siguranță pe ransomware-ul original Petna. De exemplu, în partea responsabilă cu criptarea tabelului de fișiere principal, acesta este aproape identic cu amenințarea întâlnită anterior. Cu toate acestea, nu este complet identic cu versiunile mai vechi ale ransomware-ului. Se presupune că virusul a fost modificat de o terță parte, și nu de autorul versiunii originale, cunoscut sub numele de Janus, care a vorbit și despre acest lucru în Stare de nervozitate, iar mai târziu a publicat o cheie principală de decriptare pentru toate versiunile anterioare ale programului.
Principala asemănare dintre Petna și WannaCry este că au folosit exploit-ul EternalBlue pentru a se răspândi.
Este adevărat că un virus nu criptează nimic, ci pur și simplu distruge datele de pe discuri?
Nu este adevarat. Acest malware criptează numai fișierele și Tabelul de fișiere principal (MFT). O altă întrebare este dacă aceste fișiere pot fi decriptate.
Există un instrument de decriptare gratuit disponibil?
Din pacate, nu. Virusul folosește un algoritm de criptare destul de puternic care nu poate fi depășit. Acesta criptează nu numai fișierele, ci și tabelul de fișiere master (MFT), ceea ce complică foarte mult procesul de decriptare.
Ar trebui să plătesc răscumpărarea?
Nu! Nu vă sfătuim niciodată să plătiți o răscumpărare, deoarece aceasta doar încurajează criminalii și îi încurajează să continue astfel de activități. Mai mult decât atât, este posibil să nu vă primiți datele înapoi nici măcar după ce ați plătit. În acest caz, este mai evident decât oricând. Si de aceea.
Adresa oficială indicată în fereastra de răscumpărare E-mail [email protected], căruia victimelor li s-a cerut să trimită o răscumpărare, a fost închis de furnizorul de servicii de e-mail la scurt timp după atacul virusului. Prin urmare, creatorii ransomware-ului nu pot afla cine a plătit și cine nu.
Decriptarea partiției MFT este practic imposibilă, deoarece cheia este pierdută după ce ransomware-ul o criptează. LA Versiunile anterioare virus, această cheie a fost stocată în ID-ul victimei, dar în cazul ultimei modificări, este doar un șir aleatoriu.
În plus, criptarea aplicată fișierelor este destul de haotică. Cum
Pe 27 iunie 2017, lumea s-a confruntat cu o nouă epidemie de ransomware cauzată de o nouă versiune Ransomware Petya cunoscut experților din 2016. Operatorii de malware au adoptat clar mai multe trucuri de la dezvoltatorii senzaționalului și au reușit să provoace o nouă rundă de panică.
În acest articol, am încercat să colectăm toate informațiile cunoscute în prezent despre această campanie rău intenționată.
Caracteristici
După cum am menționat deja mai sus, Ransomware Petyaîn martie 2016. Cu toate acestea, versiunea cu care s-a confruntat lumea pe 27 iunie 2017 este foarte diferită de acel „Petit”.
2016 Petya — Costin Raiu (@craiu) 27 iunie 2017
După cum puteți vedea în ilustrațiile de mai sus, printre țările afectate, Ucraina a fost ieri în frunte cu o marjă largă.
Înapoi pe 27 iunie 2017, poliția cibernetică ucraineană informat că, conform datelor preliminare, ransomware-ul s-a răspândit atât de repede pe teritoriul Ucrainei „mulțumită” software M.E.Doc. Ipoteze similare au fost făcute de specialiștii în securitatea informațiilor, inclusiv experți de la Cisco Talos și Microsoft.
Astfel, poliția cibernetică a raportat asta Ultima actualizare, care a fost distribuit de pe serverele companiei (upd.me-doc.com.ua) pe 22 iunie, a fost infectat cu ransomware Petya.
Experții Microsoft, la rândul lor, scriu că pe 27 iunie au observat că procesul de actualizare M.E.Doc (EzVit.exe) a început să execute comenzi rău intenționate care au dus la instalarea lui Petya (vezi ilustrația de mai jos).
Totodată, pe site-ul oficial al M.E.Doc a apărut un mesaj în care se spunea că „se efectuează un atac de virus pe servere”, care a dispărut în curând și este acum disponibil doar în cache-ul Google.
De asemenea, Microsoft spune că are dovezi că „câteva infecții active” ale lui Petya au început inițial din procesul legitim de actualizare MEDoc.
Ce este Petya.A?
Acesta este un „virus ransomware” care criptează datele de pe un computer și necesită 300 USD pentru o cheie pentru a le decripta. A început să infecteze computerele ucrainene în jurul prânzului din 27 iunie, apoi s-a răspândit în alte țări: Rusia, Marea Britanie, Franța, Spania, Lituania etc. Site-ul Microsoft are acum un virus Are nivel de amenințare „serios”.
Infecția apare din cauza aceleiași vulnerabilități în Microsoft Windows, ceea ce este cazul cu Virusul WannaCry, care a lovit mii de computere din întreaga lume în luna mai și a cauzat companiilor daune de aproximativ 1 miliard de dolari.
Seara, poliția cibernetică a raportat că un atac de virus a menținut raportare electronicăși fluxul de documente. Potrivit oamenilor legii, la ora 10.30 a fost lansată o altă actualizare M.E.Doc, cu ajutorul căreia a fost descărcat software rău intenționat pe computere.
Petya a fost distribuită prin e-mail, trecând programul drept CV-ul unui angajat. Dacă o persoană a încercat să deschidă un CV, virusul a cerut drepturi de administrator. Dacă utilizatorul a fost de acord, computerul a repornit, apoi hard disk-ul a fost criptat și a apărut o fereastră care cere o „răscumpărare”.
VIDEO
Procesul de infectare cu virusul Petya. Video: G DATA Software AG / YouTube
În același timp, virusul Petya însuși avea o vulnerabilitate: era posibil să se obțină o cheie pentru decriptarea datelor folosind program special. Această metodă a fost descrisă în aprilie 2016 de editorul Geektimes Maxim Agadzhanov.
Cu toate acestea, unii utilizatori aleg să plătească o „răscumpărare”. Potrivit unuia dintre binecunoscutele portofele Bitcoin, creatorii virusului au primit 3,64 bitcoini, ceea ce corespunde la aproximativ 9.100 USD.
Cine a fost lovit de virus?
În Ucraina, victimele Petya.A au fost în principal clienți corporativi: agenții guvernamentale, bănci, mass-media, companii energetice și alte organizații.
Printre altele, întreprinderile au fost lovite E-mail nou„, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsya, TNK, Antonov, Epicenter, Channel 24, precum și Aeroportul Boryspil, Cabinetul de Miniștri al Ucrainei, Serviciul Fiscal de Stat și altele.
Atacul s-a extins și în regiuni. De exemplu, n iar centrala nucleară de la Cernobîl a încetat să funcționeze din cauza unui atac cibernetic managementul documentelor electronice iar stația a trecut la monitorizarea manuală a nivelurilor de radiații. În Harkiv, munca unui mare supermarket Rost s-a dovedit a fi blocată, iar la aeroport, înregistrarea zborurilor a fost transferată în modul manual.
Din cauza virusului Petya.A, casele de marcat din supermarketul Rost au încetat să funcționeze. Foto: X...evy Kharkov / „VKontakte”
Potrivit publicației, Rosneft, Bashneft, Mars, Nivea și alții au fost loviți în Rusia.
Cum să te protejezi de Petya.A?
Instrucțiunile despre cum să vă protejați de Petya.A au fost publicate de Serviciul de Securitate al Ucrainei și de Poliția Cyber.
Cyberpolice sfătuiește utilizatorii să instaleze actualizări de Windows de pe site-ul oficial Microsoft, actualizați sau instalați un antivirus, nu descărcați fișiere suspecte de pe e-mailuriși deconectați imediat computerul de la rețea dacă se observă anomalii.
SBU a subliniat că, în caz de suspiciune, computerul nu poate fi repornit, deoarece fișierele sunt criptate în timpul repornirii. Serviciul special a recomandat ca ucrainenii să salveze fișiere valoroase pe un mediu separat și să facă backup sistem de operare.
Expert în securitate cibernetică Vlad Styran a scris pe Facebook că răspândirea unui virus în rețeaua locală poate fi oprită prin blocarea porturilor TCP 1024-1035, 135, 139 și 445 din Windows. Există instrucțiuni pe Internet despre cum să faceți acest lucru.
Compania americană Symantec
Se încarcă...