Mesajul virusului Petya. Virusul Petya: cum să nu-l prindeți, cum să-l decriptați, de unde a venit - cele mai recente știri despre ransomware-ul Petya (ExPetr)

Atacul virusului „Petya” a fost o surpriză neplăcută pentru locuitorii multor țări. Mii de computere au fost infectate, drept urmare utilizatorii au pierdut date importante stocate pe hard disk-urile lor.

Desigur, acum entuziasmul din jurul acestui incident s-a domolit, dar nimeni nu poate garanta că acest lucru nu se va întâmpla din nou. De aceea este foarte important să vă protejați computerul de o posibilă amenințare și să nu vă asumați riscuri inutile. Cum să faceți acest lucru cel mai eficient și va fi discutat mai jos.

Consecințele atacului

În primul rând, ar trebui să ne amintim consecințele scurtei activități a lui Petya.A. În doar câteva ore, zeci de companii ucrainene și rusești au avut de suferit. În Ucraina, apropo, activitatea departamentelor de informatică ale unor instituții precum Dniproenergo, Novaya Pochta și Kyiv Metro a fost aproape complet paralizată. Mai mult, unii organizatii de stat, bănci și operatori de telefonie mobilă.

În țările Uniunii Europene, și ransomware-ul a reușit să facă multe probleme. Companiile franceze, daneze, britanice și internaționale au raportat întreruperi temporare legate de atacul virusului computerizat Petya.

După cum puteți vedea, amenințarea este cu adevărat gravă. Și chiar și în ciuda faptului că atacatorii și-au ales mari instituții financiare drept victime, utilizatori obișnuiți a suferit nu mai puțin.

Cum funcționează Petya?

Pentru a înțelege cum să vă protejați de virusul Petya, trebuie mai întâi să înțelegeți cum funcționează. Așadar, odată pe computer, malware-ul descarcă un criptator special de pe Internet care infectează Master Boot Record. Aceasta este o zonă separată de pe hard disk, ascunsă de ochii utilizatorului și concepută pentru a porni sistemul de operare.

Pentru utilizator, acest proces arată ca munca standard Verificați programul Disk după o blocare bruscă a sistemului. Computerul repornește brusc, iar pe ecran apare un mesaj despre greu disc pentru erori și vă rugăm să nu opriți alimentarea.

De îndată ce acest proces se încheie, apare un protector de ecran cu informații despre blocarea computerului. Creatorii virusului Petya cer utilizatorului să plătească o răscumpărare de 300 de dolari (mai mult de 17,5 mii de ruble), promițând în schimb să trimită cheia necesară reluării computerului.

Prevenirea

Este logic că este mult mai ușor să previi infecția virus de calculator"Petya" decât să se ocupe de consecințele sale mai târziu. Pentru a vă securiza computerul:

• Instalați întotdeauna cele mai recente actualizări pentru sistemul de operare. Același lucru, în principiu, este valabil pentru orice. software instalat pe computerul dvs. Apropo, „Petya” nu poate dăuna computerelor care rulează MacOS și Linux.
• Utilizați cele mai recente versiuni ale antivirusului și nu uitați să actualizați bazele de date ale acestuia. Da, sfatul este banal, dar nu toată lumea îl urmează.
• Nu deschideți fișierele suspecte trimise prin e-mail. De asemenea, verificați întotdeauna aplicațiile descărcate din surse dubioase.
• Fă-o în mod regulat copii de rezervă documente și dosare importante. Cel mai bine este să le stocați pe un mediu separat sau în „nor” (Google Drive, Yandex.Disk etc.). Datorită acestui fapt, chiar dacă se întâmplă ceva cu computerul dvs., informațiile valoroase nu vor fi afectate.

Creați un fișier de oprire

Dezvoltatori de frunte programe antivirusși-a dat seama cum să elimini virusul Petya. Mai precis, datorită cercetărilor efectuate, ei au reușit să înțeleagă ce încearcă ransomware-ul să găsească pe computer în fazele inițiale ale infecției. fișier local. Dacă reușește, virusul își oprește activitatea și nu dăunează computerului.

Mai simplu spus, puteți crea manual un fel de fișier de oprire și astfel vă puteți proteja computerul. Pentru asta:

• Deschideți Folder Options și debifați „Ascunde extensiile pentru tipurile de fișiere cunoscute”.
• Creați cu notepad fișier nouși plasați-l în directorul C:/Windows.
• Redenumiți documentul creat numindu-l „perfc”. Apoi accesați și activați opțiunea „Numai citire”.

Acum, virusul „Petya”, după ce a intrat pe computer, nu-l va putea dăuna. Dar rețineți că atacatorii pot modifica malware-ul în viitor, iar metoda de creare a fișierelor stop va deveni ineficientă.

Dacă infecția a apărut deja

Când computerul se repornește singur și pornește Check Disk, virusul tocmai începe să cripteze fișierele. În acest caz, vă puteți salva datele făcând următoarele:

• Opriți imediat computerul. Acesta este singurul mod în care puteți preveni răspândirea virusului.
• Apoi, conectați-vă HDD pe alt PC (dar nu ca unul bootabil!) și copiați informații importante de pe acesta.
• După aceea, trebuie să formatați complet hard disk-ul infectat. Desigur, atunci va trebui să reinstalați sistemul de operare și alte software-uri pe acesta.

De asemenea, puteți încerca să utilizați un special disc de pornire pentru a vindeca virusul „Petya”. Kaspersky Anti-Virus, de exemplu, oferă în aceste scopuri Kaspersky Rescue Disk, care funcționează ocolind sistemul de operare.

Ar trebui să plătesc extorsioniştii?

După cum am menționat mai devreme, creatorii lui Petya cer o răscumpărare de 300 USD de la utilizatorii ale căror computere au fost infectate. Potrivit estorcatorilor, dupa plata sumei specificate, victimelor li se va trimite o cheie care elimina blocarea informatiilor.

Problema este că un utilizator care dorește să-și readucă computerul la o stare normală trebuie să scrie atacatorilor prin e-mail. Cu toate acestea, toate ransomware-urile E-Mail sunt blocate prompt de serviciile autorizate, așa că este pur și simplu imposibil să-i contactați.

Mai mult, mulți dezvoltatori de top de software antivirus sunt siguri că este complet imposibil să deblochezi un computer infectat cu Petya cu orice cod.

După cum probabil ați înțeles, nu merită să plătiți estorcatorii. În caz contrar, nu numai că vei rămâne cu un computer care nu funcționează, dar vei pierde și o sumă mare de bani.

Vor fi noi atacuri

Virusul Petya a fost descoperit pentru prima dată în martie 2016. Apoi experții în securitate au observat rapid amenințarea și au împiedicat distribuirea în masă a acesteia. Dar deja la sfârșitul lunii iunie 2017, atacul s-a repetat din nou, ceea ce a dus la consecințe foarte grave.

Este puțin probabil ca totul să se termine acolo. Atacurile ransomware nu sunt neobișnuite, așa că este important să vă păstrați computerul protejat în orice moment. Problema este că nimeni nu poate prezice ce format va avea următoarea infecție. Oricum ar fi, merită întotdeauna să urmați recomandările simple date în acest articol pentru a reduce riscurile la minimum în acest fel.

Astăzi, un virus ransomware a atacat multe computere din sectoarele public, comercial și privat din Ucraina

Un atac fără precedent a hackerilor a doborât multe computere și servere din agențiile guvernamentale și organizațiile comerciale din întreaga țară

Un atac cibernetic la scară largă și atent planificat astăzi a dezactivat infrastructura critică a multor întreprinderi și companii deținute de stat. Acest lucru a fost raportat de Serviciul de Securitate (SBU).

Începând de la prânz, Internetul a devenit bulgăre de zăpadă în rapoarte de infecții cu computere în sectorul public și privat. Reprezentanții agențiilor guvernamentale au raportat atacuri de hackeri asupra infrastructurii lor IT.

Potrivit SBU, infecția s-a datorat în principal deschiderii fișierelor word și pdf, pe care atacatorii le-au trimis prin intermediul e-mail. Petya.A ransomware a exploatat o vulnerabilitate de rețea în sistem de operare Windows. Pentru a debloca datele criptate, infractorii cibernetici au cerut o plată în bitcoini în valoare de 300 de dolari.

Secretarul Consiliului Național de Securitate și Apărare, Oleksandr Turchynov, a declarat că agențiile guvernamentale care au fost incluse în circuitul protejat - un nod special de internet - nu au fost deteriorate. Evident, Cabinetul de Miniștri nu a pus în aplicare în mod corespunzător recomandările Naționalului punct focal securitatea cibernetică deoarece computerele guvernamentale au fost afectate de Petya.A. Ministerul de Finanțe, Cernobîl, Ukrenergo, Ukrposhta nu au rezistat atacului de astăzi, E-mail nouși o serie de bănci.

De ceva timp, site-urile SBU, poliția cibernetică și serviciu public comunicații speciale și protecție a informațiilor (GSSSZI).

De marți seara, 27 iunie, niciunul dintre aplicarea legii, ale cărui responsabilități includ lupta împotriva atacurilor cibernetice, nu a spus de unde provine Petya.A și cine este în spatele lui. SBU, Poliția Cibernetică (al cărei site web a fost oprit toată ziua) și SSISSI au păstrat tăcerea olimpică asupra amplorii prejudiciului cauzat de virusul ransomware.

Pe 27 iunie, țările europene au fost lovite de un atac ransomware cunoscut sub numele inofensiv Petya (diverse surse includ și numele Petya.A, NotPetya și GoldenEye). Criptograful cere o răscumpărare în bitcoini echivalentă cu 300 USD. Zeci de mari companii ucrainene și rusești au fost infectate, iar răspândirea virusului este înregistrată și în Spania, Franța și Danemarca.

Cine a fost lovit?

Ucraina

Ucraina a fost una dintre primele țări care a fost atacată. Potrivit estimărilor preliminare, aproximativ 80 de companii și agenții guvernamentale au fost atacate:

Până în prezent, virusul nu doar criptează fisiere individuale, dar ia complet accesul utilizatorului la hard disk. De asemenea, virusul ransomware folosește falsuri semnatura electronica Microsoft, care arată utilizatorilor că programul este dezvoltat de un autor de încredere și garantează securitatea. După infectarea unui computer, virusul modifică un cod special necesar pentru a porni sistemul de operare. Ca urmare, atunci când computerul pornește, nu sistemul de operare este încărcat, ci codul rău intenționat.

Cum să te protejezi?

1. Închideți porturile TCP 1024-1035, 135 și 445.
2. Actualizați bazele de date ale produselor dumneavoastră antivirus.
3. Deoarece Petya este distribuit prin phishing, nu deschideți e-mailuri de la surse necunoscute(dacă expeditorul este cunoscut, verificați dacă această scrisoare este sigură), aveți grijă la mesajele de pe rețelele sociale de la prietenii dvs., deoarece conturile acestora pot fi sparte.
4. Virus căuta fişier C:\Windows\perfc, iar dacă nu îl găsește, creează și declanșează infecția. Dacă un astfel de fișier există deja pe computer, atunci virusul își încheie activitatea fără infecție. Trebuie să creați un fișier gol cu ​​acest nume. Să luăm în considerare acest proces mai detaliat.

— Hacker Fantastic (@hackerfantastic)

La începutul lunii mai, aproximativ 230.000 de computere din peste 150 de țări au fost infectate cu ransomware. Înainte ca victimele să aibă timp să elimine consecințele acestui atac, a urmat unul nou - numit Petya. Cele mai mari companii ucrainene și rusești, precum și instituțiile de stat, au avut de suferit de pe urma asta.

Poliția cibernetică a Ucrainei a constatat că atacul virusului a început prin mecanismul de actualizare a software-ului de contabilitate M.E.Doc, care este folosit pentru pregătirea și trimiterea declarațiilor fiscale. Așadar, a devenit cunoscut faptul că rețelele Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo și sistemul de energie electrică a Niprului nu au scăpat de infecție. În Ucraina, virusul a pătruns în calculatoarele guvernamentale, în computerele metroului Kiev, în operatorii de telecomunicații și chiar în centrala nucleară de la Cernobîl. În Rusia, Mondelez International, Mars și Nivea au avut de suferit.

Virusul Petya exploatează vulnerabilitatea EternalBlue în sala de operație sistem Windows. Experții Symantec și F-Secure spun că, în timp ce Petya criptează date precum WannaCry, este oarecum diferit de alte tipuri de ransomware. „Virusul lui Petya este noul fel ransomware cu intenție rău intenționată: nu doar criptează fișierele de pe disc, ci blochează întregul disc, făcându-l practic inutilizabil, explică F-Secure. „În special, criptează tabelul de fișiere master MFT”.

Cum se întâmplă acest lucru și poate fi prevenit acest proces?

Virusul Petya - cum funcționează?

Virusul Petya este cunoscut și sub alte denumiri: Petya.A, PetrWrap, NotPetya, ExPetr. Intrând în computer, descarcă ransomware-ul de pe Internet și încearcă să lovească o parte hard disk cu datele necesare pentru a porni computerul. Dacă reușește, atunci sistemul emite probleme ecran albastru de moarte (" ecran albastru de moarte"). După repornire, apare un mesaj de verificare a hard diskului care vă cere să nu opriți alimentarea. Astfel, virusul ransomware pretinde a fi program de sistem prin verificarea discului, în timp ce criptați fișierele cu anumite extensii. La sfârșitul procesului, apare un mesaj despre blocarea computerului și informații despre cum să obțineți o cheie digitală pentru a decripta datele. Virusul Petya cere o răscumpărare, de obicei în bitcoin. Dacă victima nu are o copie de rezervă a fișierelor, se confruntă cu o alegere - să plătească suma de 300 USD sau să piardă toate informațiile. Potrivit unor analiști, virusul se preface doar drept ransomware, în timp ce adevăratul său scop este să provoace daune masive.

Cum să scapi de Petya?

Experții au descoperit că virusul Petya caută un fișier local și, dacă acest fișier există deja pe disc, iese din procesul de criptare. Aceasta înseamnă că utilizatorii își pot proteja computerul de ransomware creând acest fișier și setându-l doar pentru citire.

Chiar dacă această schemă vicleană împiedică începerea procesului de extorcare, aceasta metoda poate fi considerată mai mult ca „vaccinarea computerizată”. Astfel, utilizatorul va trebui să creeze el însuși fișierul. Puteți face acest lucru în felul următor:

• Mai întâi trebuie să vă ocupați de extensia fișierului. Asigurați-vă că în fereastra „Opțiuni folder” din caseta de selectare „Ascunde extensiile pentru tipurile de fișiere cunoscute” este debifată.
• Deschideți folderul C:\Windows, derulați în jos până când vedeți programul notepad.exe.
• Faceți clic stânga pe notepad.exe, apoi apăsați Ctrl + C pentru a copia și apoi Ctrl + V pentru a lipi fișierul. Vi se va solicita permisiunea de a copia fișierul.
• Faceți clic pe butonul „Continuare” și fișierul va fi creat ca notepad - Copy.exe. Faceți clic stânga pe acest fișier și apăsați tasta F2, apoi ștergeți numele fișierului Copy.exe și tastați perfc.
• După ce ați schimbat numele fișierului în perfc, apăsați Enter. Confirmați redenumirea.
• Acum că fișierul perfc a fost creat, trebuie să îl facem doar pentru citire. Pentru a face acest lucru, faceți clic Click dreapta mouse-ul peste fișier și selectați „Proprietăți”.
• Se va deschide meniul de proprietăți pentru acel fișier. În partea de jos veți vedea „Numai citire”. Bifeaza casuta.
• Acum faceți clic pe butonul „Aplicați” și apoi pe butonul „OK”.

Unii experți în securitate sugerează că, pe lângă fișierul C:\windows\perfc, creați fișierele C:\Windows\perfc.dat și C:\Windows\perfc.dll pentru a vă proteja mai bine împotriva Virusul Petya. Puteți repeta pașii de mai sus pentru aceste fișiere.

Felicitări, computerul dumneavoastră este protejat de NotPetya / Petya!

Experții Symantec oferă câteva sfaturi utilizatorilor de PC-uri pentru a-i împiedica să facă lucruri care ar putea duce la blocarea fișierelor sau pierderea de bani.

1. Nu plăti bani escrocilor. Chiar dacă transferați bani către ransomware, nu există nicio garanție că veți putea recâștiga accesul la fișierele dvs. Și în cazul NotPetya / Petya, acest lucru este practic lipsit de sens, deoarece scopul criptorului este să distrugă date, nu să obțină bani.
2. Asigurați-vă că faceți copii de siguranță ale datelor în mod regulat.În acest caz, chiar dacă computerul dvs. devine ținta unui atac ransomware, veți putea recupera orice fișiere șterse.
3. Nu deschide e-mailuri cu adrese îndoielnice. Atacatorii vor încerca să te păcălească să instalezi malware sau încercați să obțineți date importante pentru atacuri. Asigurați-vă că anunțați profesioniștii IT dacă dvs. sau angajații dvs. primiți e-mailuri sau linkuri suspecte.
4. Utilizați software de încredere. Joacă un rol important în protejarea computerelor împotriva infecțiilor actualizare în timp util antivirale. Și, desigur, trebuie să utilizați produsele companiilor de renume în acest domeniu.
5. Utilizați mecanisme pentru a scana și bloca mesajele spam. E-mailurile primite ar trebui scanate pentru amenințări. Este important ca orice tip de mesaje care contin link-uri sau tipice Cuvinte cheie phishing.
6. Asigurați-vă că toate programele sunt actualizate. Corectarea regulată a vulnerabilităților software este esențială pentru a preveni infecțiile.

Ar trebui să ne așteptăm la noi atacuri?

Virusul Petya a apărut pentru prima dată în martie 2016, iar experții în securitate i-au observat imediat comportamentul. Virus nou Petya a lovit computerele din Ucraina și Rusia la sfârșitul lunii iunie 2017. Dar este puțin probabil să se termine. Atacurile hackerilor care folosesc viruși ransomware similari Petya și WannaCry vor fi repetate, a declarat Stanislav Kuznetsov, vicepreședintele consiliului de administrație al Sberbank. Într-un interviu acordat TASS, el a avertizat că cu siguranță vor exista astfel de atacuri, dar este greu de prezis din timp în ce formă și format ar putea apărea.

Dacă, după toate atacurile cibernetice din trecut, nu ați luat încă măcar pași minimi pentru a vă proteja computerul de un virus de criptare, atunci este timpul să treceți la treabă.

Virusul „Petya”: cum să nu-l prind, cum să descifrem de unde a venit - cele mai recente știri despre virusul ransomware Petya, care până în a treia zi de „activitate” sa infectase aproximativ 300 de mii de computere în diferite țări ale lumii și până acum nu unul a oprit-o.

Virusul Petya - cum să decriptați, ultimele știri. După ce au atacat un computer, creatorii ransomware-ului Petya cer o răscumpărare de 300 USD (în bitcoins), dar nu există nicio modalitate de a decripta virusul Petya chiar dacă utilizatorul plătește banii. Experții Kaspersky Lab, care au văzut diferențe față de Petya în noul virus și l-au numit ExPetr, susțin că este necesar un identificator unic pentru o anumită instalare troiană pentru a o decripta.

În versiunile cunoscute anterior ale ransomware-ului similar Petya/Mischa/GoldenEye, identificatorul de instalare conținea informațiile necesare pentru aceasta. În cazul ExPetr, acest identificator nu există, scrie RIA Novosti.

Virusul „Petya” - de unde a venit, cele mai recente știri. Experții germani în securitate au prezentat prima versiune a de unde și-a luat drumul acest ransomware. În opinia lor, virusul Petya a început să cutreiere computerele de la deschiderea fișierelor M.E.Doc. Acesta este un program de contabilitate folosit în Ucraina după interdicția 1C.

Între timp, Kaspersky Lab spune că este prea devreme pentru a trage concluzii despre originea și sursa răspândirii virusului ExPetr. Este posibil ca atacatorii să aibă date extinse. De exemplu, adresele de e-mail dintr-o corespondență anterioară sau o altă modalitate eficientă de a pătrunde în computere.

Cu ajutorul lor, virusul „Petya” a lovit cu toată puterea Ucraina și Rusia, precum și în alte țări. Dar amploarea reală a acestui atac de hacker va fi clară în câteva zile - rapoarte.

Virusul „Petya”: cum să nu prinzi, cum să descifrezi, de unde a venit - ultimele știri despre virusul ransomware Petya, care a primit deja un nou nume de la Kaspersky Lab - ExPetr.