Antivírusové programy sú nainštalované v počítači takmer každého používateľa, ale niekedy sa objaví trójsky kôň alebo vírus, ktorý dokáže obísť väčšinu lepšia ochrana a infikovať vaše zariadenie, v horšom prípade zašifrovať vaše údaje. Tentoraz sa takýmto vírusom stal kódovač trójskych koní "Petya" alebo, ako sa tiež nazýva, "Petya". Distribučné sadzby daná hrozba veľmi pôsobivé: za pár dní dokázal „navštíviť“ Rusko, Ukrajinu, Izrael, Austráliu, USA, všetky veľké európske krajiny a nielen to. Najviac to zasiahlo firemných užívateľov (letiská, elektrárne, turistický priemysel), ale trpeli aj obyčajní ľudia. Rozsahom a spôsobmi ovplyvňovania je mimoriadne podobný tomu nedávno senzačnému.
Určite si musíte chrániť svoj počítač, aby ste sa nestali obeťou nového ransomvéru Petya. V tomto článku vám poviem, čo je vírus Petya, ako sa šíri a ako sa pred touto hrozbou chrániť. Okrem toho sa dotkneme otázok odstránenia trójskeho koňa a dešifrovania informácií.
Čo je vírus Petya?
Na začiatok by sme mali pochopiť, čo je Petya. Petya virus je škodlivý softvér, čo je trójsky kôň typu „ransomware“ (vydierač). Tieto vírusy sú určené na vydieranie majiteľov infikovaných zariadení s cieľom získať od nich výkupné za zašifrované dáta. Na rozdiel od Wanna Cry sa Petya neobťažuje šifrovaním jednotlivých súborov – takmer okamžite „zoberie“ celý HDDúplne.
Správny názov pre nový vírus je Petya.A. Okrem toho to Kaspersky nazýva NotPetya/ExPetr.
Popis vírusu Petya
Keď sa Petya dostane do vášho počítača so systémom Windows, zašifruje súbor MFT(Master File Table - hlavná tabuľka súborov). Na čo slúži tento stôl?
Predstavte si, že váš pevný disk je najväčšia knižnica v celom vesmíre. Obsahuje miliardy kníh. Ako teda nájsť tú správnu knihu? Len s pomocou katalógu knižnice. Peťa ničí tento adresár. Takto stratíte akúkoľvek možnosť nájsť akýkoľvek „súbor“ na vašom PC. Aby som bol ešte presnejší, po Peťovej „práci“ bude pevný disk vášho počítača po tornáde pripomínať knižnicu, po ktorej poletujú útržky kníh.
Petya.A teda na rozdiel od Wanna Cry, ktoré som spomínal na začiatku článku, nešifruje jednotlivé súbory, strávite nad tým impozantné množstvo času – jednoducho vám to berie akúkoľvek príležitosť ich nájsť.
Po všetkých svojich manipuláciách požaduje od používateľov výkupné – 300 amerických dolárov, ktoré je potrebné previesť na bitcoinový účet.
Kto vytvoril vírus Petya?
Pri vytváraní vírusu Petya bol použitý exploit („diera“) v OS Windows s názvom „EternalBlue“. Microsoft pred pár mesiacmi vydal opravu, ktorá túto dieru „uzatvára“, nie každý však licenciu využíva kópiu systému Windows a nainštaluje všetky aktualizácie systému, však?)
Tvorca „Petya“ dokázal múdro využiť neopatrnosť firemných a súkromných používateľov a zarobiť na tom. Jeho identita je stále neznáma (a je nepravdepodobné, že bude známa)
Ako sa šíri vírus Petya?
Vírus Petya sa najčastejšie šíri pod rúškom príloh k e-maily a v archívoch s pirátskym infikovaným softvérom. Príloha môže obsahovať úplne akýkoľvek súbor vrátane fotografie alebo mp3 (na prvý pohľad to tak vyzerá). Po spustení súboru sa počítač reštartuje a vírus bude simulovať kontrolu disku Chyby CHKDSK a v tomto momente sa upraví zavádzací záznam váš počítač (MBR). Potom na obrazovke počítača uvidíte červenú lebku. Kliknutím na ľubovoľné tlačidlo sa dostanete k textu, v ktorom budete vyzvaní zaplatiť za dešifrovanie vašich súborov a previesť požadovanú sumu do bitcoinovej peňaženky.
Ako sa chrániť pred vírusom Petya?
- Najdôležitejšie a zásadne - urobte z pravidla inštaláciu aktualizácií pre váš operačný systém! Toto je neuveriteľne dôležité. Urobte to hneď teraz, neodkladajte to.
- Venujte zvláštnu pozornosť všetkým prílohám, ktoré sú pripojené k listom, aj keď sú listy od ľudí, ktorých poznáte. Počas epidémie je lepšie využívať alternatívne zdroje prenosu údajov.
- V nastaveniach OS aktivujte možnosť „Zobraziť prípony súborov“ – takto môžete vždy vidieť skutočnú príponu súboru.
- Povoľte „Kontrolu používateľských účtov“ v nastavenia systému Windows.
- Musíte nainštalovať jeden z nich, aby ste sa vyhli infekcii. Začnite inštaláciou aktualizácie operačného systému, potom nainštalujte antivírus - a už budete oveľa bezpečnejší ako predtým.
- Uistite sa, že robíte "zálohy" - uložte všetky dôležité údaje na vonkajší tvrdý disk alebo cloud. Potom, ak vírus Petya prenikne do vášho počítača a zašifruje všetky údaje, bude pre vás celkom jednoduché naformátovať pevný disk a preinštalujte OS.
- Vždy skontrolujte relevantnosť antivírusové databázy váš antivírus. Všetky dobré antivírusy monitorujú hrozby a reagujú na ne včas aktualizáciou signatúr hrozieb.
- Nainštalujte zadarmo nástroj Kaspersky Anti ransomware. Ochráni vás pred šifrovacími vírusmi. Inštalácia tohto softvéru vás nezbaví potreby inštalovať antivírus.
Ako odstrániť Petya virus?
Ako odstrániť vírus Petya.A z pevného disku? Toto je mimoriadne zaujímavá otázka. Faktom je, že ak vírus už zablokoval vaše údaje, v skutočnosti nebude čo mazať. Ak neplánujete platiť vydieračom (čo by ste nemali robiť) a nebudete sa v budúcnosti pokúšať o obnovu dát na disku, stačí disk naformátovať a preinštalovať OS. Potom už po víruse nebude ani stopa.
Ak máte podozrenie, že sa na vašom disku nachádza infikovaný súbor, skenujte disk jedným z nich alebo nainštalujte Kaspersky Anti-Virus a vykonajte úplnú kontrolu systému. Vývojár uistil, že jeho databáza podpisov už obsahuje informácie o tomto víruse.
Dekodér Petya.A
Petya.A šifruje vaše dáta pomocou veľmi silného algoritmu. Na tento moment neexistuje žiadne riešenie na dešifrovanie zamknutých informácií. Okrem toho by ste sa nemali pokúšať o prístup k údajom doma.
Nepochybne by sme všetci snívali o tom, že by sme dostali zázračný dešifrovač (decryptor) Petya.A, no také riešenie jednoducho neexistuje. Vírus zasiahol svet pred niekoľkými mesiacmi, no nenašiel sa žiadny liek na dešifrovanie údajov, ktoré zašifroval.
Preto, ak ste sa ešte nestali obeťou vírusu Petya, vypočujte si rady, ktoré som dal na začiatku článku. Ak ste stále stratili kontrolu nad svojimi údajmi, máte niekoľko spôsobov.
- Zaplatiť. Robiť to je zbytočné! Odborníci už zistili, že tvorca vírusu neobnovuje dáta a ani ich nemôže obnoviť vzhľadom na metódu šifrovania.
- Vytiahnite pevný disk zo zariadenia, opatrne ho umiestnite do skrinky a stlačením dešifrovača sa objaví. Mimochodom, Kaspersky Lab neustále pracuje týmto smerom. Dostupné dekodéry sú na webovej stránke No Ransom.
- Naformátujte disk a nainštalujte operačný systém. Mínus - všetky údaje sa stratia.
Vírus Petya.A v Rusku
V Rusku a na Ukrajine bolo v čase písania tohto článku napadnutých a infikovaných viac ako 80 spoločností, vrátane takých veľkých ako Bashneft a Rosneft. Infekcia infraštruktúry takýchto veľkých spoločností hovorí o závažnosti vírusu Petya.A. Niet pochýb o tom, že ransomvérový trójsky kôň sa bude naďalej šíriť po celom Rusku, takže by ste sa mali postarať o bezpečnosť svojich údajov a dodržiavať rady uvedené v článku.
Petya.A a Android, iOS, Mac, Linux
Mnohí používatelia sa obávajú - „môže vírus Petya infikovať ich zariadenia pod Ovládanie Androidom a iOS. Ponáhľam sa, aby som ich uistil – nie, nemôže. Je určený len pre používateľov systému Windows. Pre fanúšikov Linuxu a Macu platí to isté – môžete pokojne spávať, nič vám nehrozí.
Záver
Dnes sme teda podrobne rozobrali nový vírus Petya.A. Pochopili sme, čo je tento trójsky kôň a ako funguje, naučili sme sa, ako sa chrániť pred infekciou a odstrániť vírus, kde získať dešifrovač Petya. Dúfam, že článok a moje tipy boli pre vás užitočné.
Vírus Petya je rýchlo rastúci vírus, ktorý 27. júna 2017 zabil takmer všetky veľké podniky na Ukrajine. Vírus Petya zašifruje vaše súbory a neskôr za ne ponúkne výkupné.
Nový vírus infikuje pevný disk počítača a funguje ako vírus na šifrovanie súborov. Naprieč určitý čas, vírus Petya „zožerie“ súbory vo vašom počítači a tie sa zašifrujú (ako keby boli súbory archivované a nastavené ťažké heslo)
Súbory napadnuté vírusom ransomvér Petya, potom sa to nedá obnoviť (existuje určité percento, že ich obnovíte, ale je to veľmi malé)
Algoritmus, ktorý obnovuje súbory postihnuté vírusom Petya - NIE
S týmto krátkym a MAXIMÁLNE užitočným článkom sa môžete chrániť pred vírusom #Petya
Ako IDENTIFIKOVAT vírus Petya alebo WannaCry a NENAKAZOVAŤ SA vírusom
Pri sťahovaní súboru cez internet ho skontrolujte online antivírusom. Online antivírusy dokáže vopred zistiť vírus v súbore a zabrániť infekcii vírusom Petya. Všetko, čo musíte urobiť, je skontrolovať stiahnutý súbor pomocou VirusTotal a potom ho spustiť. Aj keď si STIAHNETE VÍRUS PETYA, ale NESPÚŠŤATE súbor vírusu, vírus NIE JE aktívny a nespôsobuje žiadne škody. Až po spustení škodlivého súboru spustíte vírus, pamätajte na to
POUŽÍVAJTE AJ LEN TÚTO METÓDU, DAJE VÁM VŠETKY ŠANCIE, ABY STE SA NENAINKOVALI VÍRUSOM PETYA
Vírus Petya vyzerá takto:
Ako sa chrániť pred vírusom Petya
Spoločnosť Symantec ponúkol riešenie, ktoré vám umožní chrániť sa pred vírusom Petya a predstierať, že ho už máte – nainštalovaný.
Keď sa vírus Petya dostane do počítača, vytvorí sa v priečinku C:\Windows\perfc súbor perfc alebo perfc.dll
Aby si vírus myslel, že je už nainštalovaný a nepokračoval vo svojej činnosti, vytvorte v priečinku C:\Windows\perfc súbor s prázdnym obsahom a uložte ho nastavením režimu úprav na „Iba na čítanie“
Alebo si stiahnite virus-petya-perfc.zip a rozbaľte priečinok perfc do priečinka C:\Windows\ a nastavte režim zmeny na „Iba na čítanie“
Stiahnite si virus-petya-perfc.zip
AKTUALIZOVANÉ 29.06.2017
Odporúčam tiež stiahnuť oba súbory jednoducho in Priečinok Windows. Mnoho zdrojov píše, že súbor perfc alebo perfc.dll by mal byť v priečinku C:\Windows\
Čo robiť, ak je počítač už napadnutý vírusom Petya
Nezapínajte počítač, ktorý vás už infikoval vírusom Petya. Vírus Petya funguje tak, že kým je infikovaný počítač zapnutý, šifruje súbory. To znamená, že pokiaľ necháte počítač napadnutý vírusom Petya zapnutý, môže byť infikovaných a zašifrovaných stále viac a viac súborov.
Winchester tento počítač oplatí sa pozrieť. Môžete to skontrolovať pomocou LIVECD alebo LIVEUSB s antivírusom
Zavádzací flash disk s Kaspersky Rescue Disk 10
Zavádzací flash disk Dr.Web LiveDisk
Kto šíri vírus Petya po celej Ukrajine
Microsoft vyjadril svoj názor na globálnu infekciu siete vo veľkých ukrajinských spoločnostiach. Dôvodom bola aktualizácia M.E.Doc. M.E.Doc - populárny účtovný program, preto sa do aktualizácie dostala taká veľká chyba spoločnosti, akou je vírus a nainštalovala vírus Petya na tisícky PC, na ktorých bol nainštalovaný program M.E.Doc. A keďže vírus infikuje počítače v rovnakej sieti, šíril sa rýchlosťou blesku.
#: vírus petya infikuje android, vírus petya, ako zistiť a odstrániť vírus petya, vírus petya ako liečiť, M.E.Doc, Microsoft, vytvorte priečinok vírus petya
Dnes ransomvérový vírus napadol mnoho počítačov vo verejnom, komerčnom a súkromnom sektore Ukrajiny
Bezprecedentný útok hackerov vyradil z prevádzky mnoho počítačov a serverov vo vládnych agentúrach a komerčných organizáciách po celej krajine
Rozsiahly a starostlivo naplánovaný kybernetický útok dnes znefunkčnil kritickú infraštruktúru mnohých štátnych podnikov a spoločností. Informovala o tom Bezpečnostná služba (SBU).
Počnúc obedom sa na internete objavili správy o počítačových infekciách vo verejnom a súkromnom sektore. Zástupcovia vládnych agentúr nahlásili hackerské útoky na ich IT infraštruktúru.
Podľa SBU k nákaze došlo najmä v dôsledku otvárania word- a pdf-súborov, ktoré útočníci posielali e-mailom. Ransomvér Petya.A zneužil zraniteľnosť siete v operačnom systéme systém Windows. Na odomknutie zašifrovaných údajov kyberzločinci požadovali platbu v bitcoinoch vo výške 300 dolárov.
Tajomník Rady národnej bezpečnosti a obrany Oleksandr Turčynov uviedol, že vládne orgány, ktoré boli zahrnuté do chráneného okruhu - špeciálnej internetovej stránky - neboli poškodené. Je zrejmé, že kabinet ministrov riadne nerealizoval odporúčania národného ohnisko kybernetickej bezpečnosti, pretože vládne počítače boli ovplyvnené Petya.A. Ministerstvo financií, Černobyľ, Ukrenergo, Ukrposhta neodolali dnešnému útoku, Nová pošta a množstvo bánk.
Istý čas boli webové stránky SBU, kyberpolície a verejná služba osobitná ochrana komunikácie a informácií (GSSSZI).
Od utorkového večera, 27. júna, žiadny z orgánov činných v trestnom konaní poverený bojom proti kybernetickým útokom nezverejnil, odkiaľ Petya.A pochádza alebo kto je za ním. SBU, kybernetická polícia (ktorej web bol celý deň nefunkčný) a SSISSI zachovali olympijské mlčanie o rozsahu škôd spôsobených vírusom ransomware.
Tím Computer Emergency Response Team (CERT-UA, súčasť GISRS) zverejnil tipy na zmiernenie účinkov Petya Ransomware. Technickí experti na tento účel odporučili použiť softvér od spoločnosti ESET. Neskôr SBU hovorila aj o tom, ako sa chrániť alebo znížiť škody spôsobené vírusom.
Vírus "Petya": ako ho nechytať, ako rozlúštiť, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý do tretieho dňa svojej "aktivity" infikoval asi 300 tisíc počítačov v rôznych krajinách sveta a zatiaľ nie jeden to zastavil.
Petya virus - ako dešifrovať, najnovšie správy. Po napadnutí počítača tvorcovia ransomvéru Petya požadujú výkupné vo výške 300 dolárov (v bitcoinoch), ale neexistuje spôsob, ako dešifrovať vírus Petya, aj keď používateľ zaplatí peniaze. Odborníci z Kaspersky Lab, ktorí v novom víruse videli rozdiely oproti Petyi a pomenovali ho ExPetr, tvrdia, že na jeho dešifrovanie je potrebný jedinečný identifikátor konkrétnej inštalácie trójskeho koňa.
V predtým známych verziách podobného ransomvéru Petya/Mischa/GoldenEye obsahoval identifikátor inštalácie potrebné informácie. V prípade ExPetra tento identifikátor neexistuje, píše RIA Novosti.
Vírus "Petya" - odkiaľ prišiel, najnovšie správy. Nemeckí bezpečnostní experti predložili prvú verziu toho, odkiaľ sa tento ransomvér dostal. Podľa ich názoru sa vírus Petya začal potulovať po počítačoch od otvorenia súborov M.E.Doc. Toto je účtovný program používaný na Ukrajine po zákaze 1C.
Medzitým Kaspersky Lab tvrdí, že je príliš skoro robiť závery o pôvode a zdroji šírenia vírusu ExPetr. Je možné, že útočníci mali rozsiahle dáta. Napríklad e-mailové adresy z predchádzajúcej pošty alebo nejaký iný efektívny spôsob, ako preniknúť do počítačov.
S ich pomocou zasiahol vírus "Petya" zo všetkých síl na Ukrajinu a Rusko, ako aj ďalšie krajiny. Skutočný rozsah tohto hackerského útoku však bude jasný o niekoľko dní.
Vírus "Petya": ako sa nechytať, ako dešifrovať, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý už od spoločnosti Kaspersky Lab dostal nový názov – ExPetr.
Krátky exkurz do histórie pomenovávania malvéru.
Do záložiek
Logo vírusu Petya.A
27. júna bolo vírusom Petya.A napadnutých najmenej 80 ruských a ukrajinských spoločností. Program blokoval informácie na počítačoch oddelení a podnikov a podobne ako známy vírus ransomware požadoval od používateľov bitcoiny.
Škodlivé programy zvyčajne pomenúvajú zamestnanci antivírusových spoločností. Výnimkou sú tí kryptografi, vydierači, ničitelia a zlodeji osobných údajov, ktorí okrem počítačových infekcií spôsobujú aj mediálne epidémie – zvýšený humbuk v médiách a aktívnu diskusiu na sieti.
Vírus Petya.A je však nová generácia. Meno, ktorým sa predstavuje, je súčasťou marketingovej stratégie vývojárov zameranej na zvýšenie jeho uznania a rastúcej popularity na darknetovom trhu.
subkultúrny fenomén
V tých časoch, keď bolo málo počítačov a zďaleka nie všetky boli prepojené, už existovali samošíriace sa programy (ešte nie vírusy). Jedným z prvých z nich bol ten, ktorý používateľa vtipne pozdravil a ponúkol mu, že ho chytí a vymaže. Cookie Monster bol ďalší, ktorý požadoval „dajte mu koláčik“ zadaním slova „cookie“.
Skorý malvér mal tiež zmysel pre humor, hoci to nebolo vždy v ich názvoch. Takže Richard Skrant, navrhnutý pre počítač Apple-2, prečítal rým obeti každých 50 stiahnutí do počítača a názvy vírusov, často skryté v kóde a nie na displeji, odkazovali na vtipy a subkultúrne heslá bežné medzi geekami. tej doby. Mohli by sa spájať s menami metalových kapiel, populárnej literatúry a stolných hier na hranie rolí.
Na konci 20. storočia sa tvorcovia vírusov príliš netajili – navyše často, keď sa nejaký program vymkol kontrole, snažili sa podieľať na odstraňovaní škôd, ktoré mu boli spôsobené. Tak to bolo aj s pakistanským a deštruktívnym, ktorý vytvoril budúci spoluzakladateľ podnikateľského inkubátora Y-Combinator.
Jeden z ruských vírusov, o ktorých sa zmienil Evgeny Kaspersky vo svojej knihe z roku 1992 „ Počítačové vírusy v systéme MS-DOS. Program Condom-1581 z času na čas ukázal obeti zasvätenú problémom zanášania svetových oceánov produktmi ľudského života.
Geografia a kalendár
V roku 1987 bol jeruzalemský vírus, tiež známy ako izraelský vírus, pomenovaný podľa miesta svojho prvého objavu a jeho alternatívny názovČierny piatok bol spôsobený tým, že aktivoval a vymazal spustiteľné súbory, ak 13. deň v mesiaci pripadol na piatok.
Podľa kalendárneho princípu bol pomenovaný aj vírus Michelangelo, ktorý na jar 1992 vyvolal mediálnu paniku. Potom John McAfee, neskôr známy tým, že vytvoril jeden z najotravnejších antivírusov, počas konferencie o kybernetickej bezpečnosti, novinárov a verejnosti v Sydney: „Ak 6. marca spustíte infikovaný systém, všetky údaje na vašom pevnom disku budú poškodené.“ A čo Michelangelo? 6. marca mal taliansky umelec narodeniny. Hrôzy, ktoré McAfee predpovedal, však skončili až príliš zveličené.
Funkčnosť
Schopnosti vírusu a jeho špecifickosť často slúžia ako základ pre názov. V roku 1990 dostal jeden z prvých polymorfných vírusov meno Chameleon a jeho schopnosť skrývať svoju prítomnosť (a teda patrí do kategórie stealth vírusov) pomenovali Frodo, čím narážal na hrdinu Pána prsteňov a skrýval sa pred oči ľudí okolo Prsteňa. A napríklad vírus OneHalf z roku 1994 dostal svoje meno vďaka tomu, že prejavoval agresivitu len infikovaním polovice disku napadnutého zariadenia.
Servisné tituly
Väčšina vírusov bola už dlho pomenovaná v laboratóriách, kde ich analytici rozobrali.
Zvyčajne ide o nudné radové mená a bežné „rodinné“ mená, ktoré popisujú kategóriu vírusu, aké systémy napáda a čo s nimi robí (napríklad Win32.HLLP.DeTroie). Niekedy však, keď sa v programovom kóde dajú zistiť rady zanechané vývojármi, vírusy získajú trochu osobitosti. Takto sa objavili napríklad vírusy MyDoom a KooKoo.
Toto pravidlo však nie vždy funguje – napríklad vírus Stuxnet, ktorý zastavil centrifúgy obohacujúce urán v Iráne, sa nestal Myrtusom, hoci toto slovo („myrta“) v kóde bolo takmer priamou narážkou na účasť izraelských spravodajských služieb na jeho vývoji. V tomto prípade zvíťazil názov, ktorý dostal vírus v prvých fázach jeho detekcie a ktorý sa už dostal do povedomia širokej verejnosti.
Úlohy
Často sa stáva, že vírusy, ktoré si vyžadujú veľa pozornosti a úsilia na štúdium, dostanú od antivírusových spoločností krásne mená, ktoré sa ľahšie vyslovujú a zapisujú – stalo sa to v prípade Červeného októbra, diplomatickej korešpondencie a údajov, ktoré môžu ovplyvniť medzinárodné vzťahy, ako aj IceFog. , rozsiahla priemyselná špionáž.
Rozšírenie súboru
Ďalším populárnym spôsobom pomenovania je prípona, ktorú vírus priraďuje infikovaným súborom. Takže jeden z „vojenských“ vírusov Duqu bol pomenovaný nie kvôli grófovi Dookuovi z Hviezdnych vojen, ale kvôli predpone ~DQ, ktorá označovala súbory, ktoré vytvoril.
Svoje meno dostal aj vírus WannaCry, ktorý sa na jar tohto roku rozmohol, pričom ním zašifrované dáta označil príponou .wncry.
Skorší názov vírusu, Wanna Decrypt0r, sa neujal – znelo to horšie a mal nezrovnalosti v písaní. Nie každý sa obťažoval dať „0“ ako „o“.
"Ste obeťou Petya ransomware"
Takto sa zdá, že dnes najdiskutovanejší malvér dokončil šifrovanie súborov na napadnutom počítači. Vírus Petya A. má nielen známy názov, ale aj logo v podobe pirátskej lebky so skríženými hnátmi a celú marketingovú propagáciu. Vírus, ktorý bol zatiaľ spozorovaný spolu s jeho bratom "Mishom", pritiahol pozornosť analytikov práve pre toto.
Zo subkultúrneho fenoménu, ktorý prešiel obdobím, keď boli na tento druh „hackingu“ potrebné pomerne vážne technické znalosti, sa vírusy zmenili na zbraň cyber-gop-stop. Teraz musia hrať podľa pravidiel trhu – a kto získa viac pozornosti, ten prináša svojim vývojárom veľké zisky.
Dobré popoludnie priatelia. Najnovšie sme vírus analyzovali Ransomware WannaCry , ktorá sa v priebehu niekoľkých hodín rozšírila do mnohých krajín sveta a infikovala mnoho počítačov. A koncom júna sa objavil nový podobný vírus „Petya“. Alebo, ako sa najčastejšie nazýva „Petya“.
Tieto vírusy patria medzi ransomvérové trójske kone a sú si dosť podobné, aj keď majú aj svoje rozdiely, navyše významné. Podľa oficiálnych údajov „Petya“ najprv infikoval slušný počet počítačov na Ukrajine a potom začal svoju cestu okolo sveta.
Postihnuté boli počítače Izraela, Srbska, Rumunska, Talianska, Maďarska, Poľska a ďalších.Rusko je v tomto rebríčku na 14. mieste. Potom sa vírus rozšíril na ďalšie kontinenty.
V zásade boli obeťami vírusu veľké spoločnosti (často ropné spoločnosti), letiská, spoločnosti celulárna komunikácia atď., trpeli napríklad Bashnefť, Rosnefť, Mars, Nestlé a ďalší. Inými slovami, cieľom útočníkov sú veľké spoločnosti, od ktorých môžete brať peniaze.
Čo je to "Petya"?
Petya je malvér, ktorý je trójskym ransomvérom. Takíto škodcovia boli stvorení na vydieranie majiteľov infikovaných počítačov šifrovaním informácií umiestnených na PC. Vírus Petya na rozdiel od WannaCry nešifruje jednotlivé súbory. Tento trójsky kôň úplne zašifruje celý disk. Toto je jeho väčšie nebezpečenstvo ako vírus WannaCry.
Keď sa Peťa dostane k počítaču, veľmi rýchlo zašifruje tabuľku MFT. Aby to bolo jasnejšie, použime prirovnanie. Ak porovnáte súbory s veľkou mestskou knižnicou, odstráni jej katalóg a v tomto prípade je veľmi ťažké nájsť tú správnu knihu.
Dokonca nielen katalóg, ale akosi mieša stránky (súbory) z rôznych kníh. Samozrejme, systém v tomto prípade zlyhá. V takomto svinstve je veľmi ťažké pochopiť systém. Akonáhle sa škodca dostane do počítača, reštartuje PC a po načítaní sa objaví červená lebka. Potom, keď kliknete na ľubovoľné tlačidlo, zobrazí sa banner s ponukou zaplatiť 300 $ na bitcoinový účet.
Virus Petya ako nechytit
Kto mohol stvoriť Peťa? Na túto otázku zatiaľ neexistuje odpoveď. A vo všeobecnosti nie je jasné, či sa autor nainštaluje (s najväčšou pravdepodobnosťou nie)? Ale je známe, že únik pochádza zo Spojených štátov. Vírus, podobne ako WannaCry, hľadá dieru v operačnom systéme. Na zaplátanie tejto diery stačí nainštalovať aktualizáciu MS17-010 (vydaná pred pár mesiacmi počas útoku WannaCry). Môžete si ho stiahnuť z odkazu. Alebo z oficiálnej webovej stránky spoločnosti Microsoft.
V súčasnosti je táto aktualizácia najlepším spôsobom ochrany vášho počítača. Tiež nezabudnite na dobrý antivírus. Okrem toho spoločnosť Kaspersky Lab uviedla, že má aktualizáciu databázy, ktorá blokuje tento vírus.
To však neznamená, že je potrebné nainštalovať Kaspersky. Používajte svoj antivírus, no nezabudnite aktualizovať jeho databázy. Tiež nezabudnite na dobrý firewall.
Ako sa šíri vírus Petya
Najčastejšie sa Peťa dostane k počítaču cez e-mail. Preto sa počas inkubácie vírusu Petya neoplatí otvárať rôzne odkazy v listoch, najmä v neznámych. Vo všeobecnosti si stanovte pravidlo neotvárať odkazy od cudzích ľudí. Chránite sa teda nielen pred týmto vírusom, ale aj pred mnohými ďalšími.
Potom, keď je trójsky kôň na počítači, reštartuje sa a napodobňuje kontrolu . Ďalej, ako som už spomenul, na obrazovke sa objaví červená lebka a potom banner s ponukou zaplatiť za dešifrovanie súborov prevodom tristo dolárov do bitcoinovej peňaženky.
Hneď poviem, že v žiadnom prípade nemusíte platiť! Stále ho nerozšifrujete, len miňte peniaze a prispejte tvorcom Trojana. Tento vírus nie je určený na dešifrovanie.
Petya virus ako sa chrániť
Pozrime sa bližšie na ochranu pred vírusom Petya:
- Aktualizácie systému som už spomínal. Toto je najdôležitejší bod. Aj keď je váš systém pirátsky, musíte si stiahnuť a nainštalovať aktualizáciu MS17-010.
- V nastaveniach systému Windows zapnite možnosť „Zobraziť prípony súborov“. Vďaka tomu môžete vidieť príponu súboru a odstrániť podozrivé. Vírusový súbor má príponu .exe.
- Vráťme sa k písmenám. Neklikajte na odkazy alebo prílohy od ľudí, ktorých nepoznáte. A vo všeobecnosti počas karantény nesledujte odkazy v pošte (ani od ľudí, ktorých poznáte).
- Odporúča sa povoliť kontrolu používateľských kont.
- Skopírujte dôležité súbory na vymeniteľné médium. Dá sa skopírovať do cloudu. To vás dostane z mnohých problémov. Ak sa Petya objaví na vašom PC, bude stačiť nainštalovať nový operačný systém, ktorý predtým naformátoval pevný disk.
- Nainštalujte dobrý antivírus. Je žiaduce, aby to bol aj firewall. Zvyčajne majú takéto antivírusy na konci nápis Zabezpečenie. Ak máte v počítači dôležité dáta, na antivírus by ste nemali šetriť.
- Po nainštalovaní slušného antivírusu nezabudnite aktualizovať jeho databázy.
Petya virus ako odstrániť
Je to ťažká otázka. Ak Petya urobil prácu na vašom počítači, v podstate nebude čo mazať. V systéme budú všetky súbory rozptýlené. S najväčšou pravdepodobnosťou ich už nemôžete organizovať. Nemusíte platiť zlodejom. Zostáva naformátovať disk a preinštalovať systém. Po naformátovaní a preinštalovaní systému vírus zmizne.
Tiež chcem dodať - tento škodca predstavuje hrozbu pre systém Windows. Ak máte iný systém, napr ruský systém Rosa, tohto vírusu ransomware by ste sa nemali báť. To isté platí pre majiteľov telefónov. Väčšina z nich má systém android, iOS atď. Majitelia buniek sa preto nemajú čoho obávať.
Tiež, ak ste jednoduchý človek a nie ste vlastníkom veľkej spoločnosti, útočníci s najväčšou pravdepodobnosťou o vás nemajú záujem. Potrebujú veľké spoločnosti, pre ktoré 300 dolárov nič neznamená a ktorí im tieto peniaze naozaj môžu zaplatiť. To však neznamená, že sa vírus nemôže dostať do vášho počítača. Radšej sa presvedčte!
Napriek tomu dúfajme, že vás vírus Petya obíde! Postarajte sa o svoje informácie v počítači. Veľa štastia!
, 18. júla 2017Odpovede na najdôležitejšie otázky týkajúce sa vírusu Petna ransomware (NotPetya, ExPetr), ransomvéru založeného na Petya, ktorý infikoval mnoho počítačov po celom svete.
Tento mesiac sme boli svedkami ďalšieho masívneho ransomvérového útoku, ktorý prišiel len pár týždňov po . V priebehu niekoľkých dní získala táto modifikácia ransomvéru mnoho rôznych mien, vrátane Petya (názov pôvodného vírusu), NotPetya, EternalPetya, Nyetya a ďalších. Spočiatku sme to nazývali "Petya family virus", ale pre pohodlie ho budeme nazývať jednoducho Petna.
Okolo Petnej je okrem názvu dosť nejasností. Je to rovnaký ransomvér ako Petya alebo iná verzia? Má byť Petna považovaná za ransomvér alebo vírus, ktorý jednoducho ničí dáta? Objasnime niektoré aspekty minulého útoku.
Prebieha ešte distribúcia Petna?
Najvyššia aktivita pred pár dňami. Šírenie vírusu sa začalo ráno 27. júna. V ten istý deň jeho aktivita dosiahla najvyššia úroveň každú hodinu došlo k tisíckam pokusov o útok. Potom sa ich intenzita počas toho istého dňa výrazne znížila a potom bol pozorovaný len malý počet infekcií.
Dá sa tento útok porovnať s WannaCry?
Nie, súdiac podľa rozsahu nášho užívateľskú základňu. Celosvetovo sme zaznamenali približne 20 000 pokusov o útok, čo je neporovnateľne menej ako 1,5 milióna útokov WannaCry, ktorým sme zabránili.
Ktoré krajiny boli zasiahnuté najviac?
Naše telemetrické údaje ukazujú, že hlavný dopad vírusu bol na Ukrajine, kde bolo zistených viac ako 90 % pokusov o útok. Utrpelo aj Rusko, USA, Litva, Bielorusko, Belgicko a Brazília. V každej z týchto krajín bolo zaznamenaných niekoľko desiatok až niekoľko stoviek pokusov o infekciu.
Aké operačné systémy boli infikované?
Najväčší počet útokov bol zaznamenaný na zariadeniach pod Ovládanie Windows 7 (78 %) a Windows XP (14 %). Počet útokov na viac ako moderné systémy sa ukázalo byť výrazne menej.
Ako sa vírus Petna dostal na PC?
Po analýze vývojových ciest kybernetickej epidémie sme našli primárny vektor infekcie, ktorý je spojený s aktualizáciou ukrajinského účtovného softvéru M.E.Doc. Preto Ukrajina tak vážne trpela.
Horký paradox: z bezpečnostných dôvodov sa používateľom vždy odporúča aktualizovať svoj softvér, ale v tomto prípade sa vírus začal vo veľkom šíriť s aktualizáciou softvéru, ktorú vydal M.E.Doc.
Prečo trpeli aj počítače mimo Ukrajiny?
Jedným z dôvodov je, že niektoré z dotknutých spoločností majú ukrajinské dcérske spoločnosti. Akonáhle vírus infikuje počítač, šíri sa v sieti. Takto sa mu podarilo dostať sa k počítačom v iných krajinách. Pokračujeme v skúmaní ďalších možných infekčných vektorov.
Čo sa stane po infekcii?
Po infikovaní zariadenia sa Petna pokúša zašifrovať súbory s určitými príponami. Zoznam cieľových súborov nie je taký veľký ako zoznamy pôvodného vírusu Petya a iného ransomvéru, no obsahuje rozšírenia o fotografie, dokumenty, zdrojové kódy, databázy, obrazy diskov a iné. Tento softvér navyše nielen šifruje súbory, ale aj spôsob, akým sa červ šíri do iných zariadení pripojených k lokálnej sieti.
Vírus platí tri rôznymi spôsobmi distribúcia: pomocou exploitov EternalBlue (známych z WannaCry) alebo EternalRomance, prostredníctvom bežných sieťové zdroje Windows pomocou ukradnutých poverení od obete (pomocou pomôcok ako Mimikatz, ktoré dokážu extrahovať heslá), ako aj dôveryhodných nástrojov ako PsExec a WMIC.
Po zašifrovaní súborov a šírení po sieti sa vírus pokúša zlomiť Spustenie systému Windows(zmena hlavného zavádzacieho záznamu, MBR) a potom nútený reštartšifruje hlavnú tabuľku súborov (MFT) systémový disk. To bráni počítaču v zavádzaní systému Windows a robí počítač nepoužiteľným.
Môže Petna infikovať môj počítač so všetkými nainštalovanými bezpečnostnými záplatami?
Áno, je to možné vďaka horizontálnemu šíreniu malvér popísané vyššie. Dokonca konkrétne zariadenie chránený pred EternalBlue aj EternalRomance, stále môže byť infikovaný tretím spôsobom.
Je to Retua, WannaCry 2.0 alebo niečo iné?
Vírus Petna je určite založený na pôvodnom ransomvéri Petna. Napríklad v časti zodpovednej za šifrovanie hlavnej tabuľky súborov je takmer identická s predtým objavenou hrozbou. Nie je však úplne identický so staršími verziami ransomvéru. Predpokladá sa, že vírus modifikovala tretia strana, a nie autor pôvodnej verzie, známy ako Janus, ktorý o tom hovoril aj v r. Twitter a neskôr zverejnil hlavný dešifrovací kľúč pre všetky predchádzajúce verzie programu.
Hlavná podobnosť medzi Petnou a WannaCry je v tom, že na šírenie použili exploit EternalBlue.
Je pravda, že vírus nič nešifruje, ale jednoducho ničí dáta na diskoch?
Nie je to pravda. Tento malvér šifruje iba súbory a tabuľku hlavných súborov (MFT). Ďalšou otázkou je, či je možné tieto súbory dešifrovať.
Existuje bezplatný nástroj na dešifrovanie?
Bohužiaľ nie. Vírus používa pomerne výkonný šifrovací algoritmus, ktorý nemožno prekonať. Šifruje nielen súbory, ale aj hlavnú tabuľku súborov (MFT), čo značne komplikuje proces dešifrovania.
Mám zaplatiť výkupné?
nie! Nikdy neodporúčame platiť výkupné, pretože to len povzbudzuje zločincov a povzbudzuje ich, aby v takýchto aktivitách pokračovali. Navyše je pravdepodobné, že svoje dáta nedostanete späť ani po zaplatení. V tomto prípade je to zrejmejšie ako kedykoľvek predtým. A preto.
Oficiálna adresa uvedená v okne výkupného Email [e-mail chránený], na ktorú boli obete požiadané, aby poslali výkupné, bola krátko po vírusovom útoku vypnutá poskytovateľom e-mailových služieb. Tvorcovia ransomvéru preto nevedia zistiť, kto zaplatil a kto nie.
Dešifrovanie oblasti MFT je v podstate nemožné, pretože kľúč sa stratí po tom, čo ho ransomvér zašifruje. IN predchádzajúce verzie vírus bol tento kľúč uložený v ID obete, no v prípade najnovšej úpravy ide len o náhodný reťazec.
Navyše, šifrovanie aplikované na súbory je dosť chaotické. Ako
Načítava...