Podľa spoločnosti Positive Technologies bolo Petyovým konaním zasiahnutých viac ako 80 organizácií v Rusku a na Ukrajine. V porovnaní s WannaCry je tento vírus uznávaný ako deštruktívnejší, keďže sa šíri niekoľkými spôsobmi – od Windows Management Instrumentation, PsExec a exploit EternalBlue. Okrem toho je zabudovaný šifrovač bezplatný nástroj Mimikatz.
„Táto sada nástrojov umožňuje Petyovi zostať v prevádzke aj v tých infraštruktúrach, kde sa brala do úvahy lekcia WannaCry a boli nainštalované príslušné aktualizácie zabezpečenia, a preto je ransomvér taký efektívny,“ povedal Positive Technologies.
Ako povedal šéf oddelenia reakcie na hrozby pre Gazeta.Ru informačná bezpečnosť spoločnosť Elmar Nabigaev,
Ak hovoríme o príčinách súčasného stavu, tak problém je opäť v nedbalom postoji k problémom informačnej bezpečnosti.
Vedúci laboratória vírusov Avast, Yakub Kroustek, v rozhovore pre Gazeta.Ru povedal, že nie je možné s istotou určiť, kto presne stál za týmto kybernetickým útokom, ale už bolo známe, že vírus Petya bol distribuovaný na darknete. pomocou obchodného modelu RaaS (škodlivý softvér ako služba).
„Podiel distribútorov programu tak dosahuje 85 % z výkupného, 15 % pripadá na autorov vírusu ransomware,“ povedal Croustek. Poznamenal, že autori Petya poskytujú všetku infraštruktúru, C&C servery a systémy prevodu peňazí, čo pomáha prilákať ľudí na šírenie vírusu, aj keď nemajú skúsenosti s programovaním.
Okrem toho Avast prezradil, ktoré operačné systémy boli vírusom najviac zasiahnuté.
Na prvom mieste sa umiestnil Windows 7 – 78 % všetkých infikovaných počítačov. Nasleduje Windows XP (18 %), Windows 10 (6 %) a Windows 8.1 (2 %).
Spoločnosť Kaspersky Lab usúdila, že hoci je vírus podobný rodine Petya, stále patrí do inej kategórie a dal mu iné meno – ExPetr, teda „bývalý Peter“.
Dmitrij Khomutov, zástupca riaditeľa pre rozvoj v Aideco, vysvetlil korešpondentovi Gazeta.Ru, že kybernetické útoky vírusmi WannaCry a Petya viedli k tomu, na čo som už dlho varoval, teda ku globálnej zraniteľnosti informačných systémov používaných všade.
„Hackerom sa sprístupnili medzery, ktoré zanechali americké korporácie pre spravodajské služby a rýchlo sa prekrížili s tradičným arzenálom kyberzločincov – ransomvérom, klientmi botnetov a sieťovými červami,“ povedal Khomutov.
WannaCry teda svetovú komunitu prakticky nič nenaučil – počítače ostali nechránené, systémy sa neaktualizovali a snahy o uvoľnenie záplat aj pre zastarané systémy jednoducho vyšli nazmar.
Odborníci vyzývajú, aby sa požadované výkupné neplatilo v bitcoinoch, as mailová adresa, ktorú hackeri nechali na komunikáciu, zablokoval lokálny poskytovateľ. Používateľ teda aj v prípade „čestných a dobrých úmyslov“ kyberzločincov nielenže príde o peniaze, ale ani nedostane pokyny na odomknutie svojich dát.
Najviac zo všetkého Peťa ublížil Ukrajine. Medzi obeťami boli Zaporozhyeoblenergo, Dneproenergo, Kyjevské metro, ukrajinskí mobilní operátori Kyivstar, LifeCell a Ukrtelecom, obchod Auchan, Privatbank, letisko Boryspil a ďalší.
Ukrajinské úrady okamžite obvinili z kybernetického útoku Rusko.
„Vojna v kyberpriestore, ktorá šíri strach a hrôzu medzi miliónmi používateľov osobné počítače a spôsobenie priamych materiálnych škôd v dôsledku destabilizácie práce obchodných a vládnych agentúr - to je súčasť celkovej stratégie hybridnej vojny Ruského impéria proti Ukrajine, “uviedol zástupca Rady z Ľudového frontu.
Ukrajina mohla trpieť viac ako iné kvôli počiatočnému šíreniu Petyi automatická aktualizácia M.E.doc - účtovné programy. Takto boli infikované ukrajinské oddelenia, infraštruktúrne zariadenia a obchodné spoločnosti – všetky túto službu využívajú.
Tlačová služba ESET Rusko pre Gazeta.Ru vysvetlila, že na infikovanie firemnej siete vírusom Petya stačí jeden zraniteľný počítač, na ktorom nie sú nainštalované bezpečnostné aktualizácie. S jeho pomocou malvér sa dostane do siete, získa administrátorské práva a rozšíri sa do ďalších zariadení.
M.E.doc však vydal oficiálne vyvrátenie tejto verzie.
„Diskusia o zdrojoch vzniku a šírenia kybernetických útokov aktívne vedú používatelia na sociálnych sieťach, fórach a iných informačné zdroje, v znení ktorého jeden z dôvodov označuje inštaláciu aktualizácií programu M.E.Doc. Vývojový tím M.E.Doc to vyvracia táto informácia a vyhlasuje, že takéto závery sú jednoznačne mylné, pretože developer M.E.Doc ako zodpovedný dodávateľ softvérový produkt, dohliada na bezpečnosť a čistotu vlastného kódu, “hovorí
Vírus "Petya": ako ho nechytať, ako rozlúštiť, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý do tretieho dňa svojej "aktivity" infikoval asi 300 tisíc počítačov v rôznych krajinách sveta a zatiaľ nie jeden to zastavil.
Petya virus - ako dešifrovať, najnovšie správy. Po napadnutí počítača tvorcovia ransomvéru Petya požadujú výkupné vo výške 300 dolárov (v bitcoinoch), ale neexistuje spôsob, ako dešifrovať vírus Petya, aj keď používateľ zaplatí peniaze. Odborníci spoločnosti Kaspersky Lab, ktorí v novom víruse videli rozdiely oproti Petyi a pomenovali ho ExPetr, tvrdia, že na jeho dešifrovanie je potrebný jedinečný identifikátor konkrétnej inštalácie trójskeho koňa.
V predtým známych verziách podobného ransomvéru Petya/Mischa/GoldenEye obsahoval identifikátor inštalácie potrebné informácie. V prípade ExPetra tento identifikátor neexistuje, píše RIA Novosti.
Vírus "Petya" - odkiaľ prišiel, najnovšie správy. Nemeckí bezpečnostní experti predložili prvú verziu toho, odkiaľ sa tento ransomvér dostal. Podľa ich názoru sa vírus Petya začal potulovať po počítačoch od otvorenia súborov M.E.Doc. Toto je účtovný program používaný na Ukrajine po zákaze 1C.
Medzitým Kaspersky Lab tvrdí, že je príliš skoro robiť závery o pôvode a zdroji šírenia vírusu ExPetr. Je možné, že útočníci mali rozsiahle dáta. Napríklad e-mailové adresy z predchádzajúceho bulletinu alebo iné efektívnymi spôsobmi prienik do počítačov.
S ich pomocou zasiahol vírus "Petya" zo všetkých síl na Ukrajinu a Rusko, ako aj ďalšie krajiny. Skutočný rozsah tohto hackerského útoku však bude jasný o niekoľko dní.
Vírus "Petya": ako sa nechytať, ako dešifrovať, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý už dostal od spoločnosti Kaspersky Lab nový názov – ExPetr.
Možno ste si už vedomí hackerskej hrozby zaznamenanej 27. júna 2017 v krajinách Ruska a Ukrajiny, ktoré boli vystavené rozsiahlemu útoku podobnému WannaCry. Vírus blokuje počítače a požaduje výkupné v bitcoinoch za dešifrovanie súborov. Celkovo bolo postihnutých viac ako 80 spoločností v oboch krajinách, vrátane ruských Rosneft a Bashneft.
Vírus ransomware, podobne ako neslávne známy WannaCry, zablokoval všetky počítačové dáta a požadoval, aby bolo zločincom prevedené výkupné v bitcoinoch v hodnote 300 dolárov. Na rozdiel od Wanna Cry sa však Petya neobťažuje šifrovaním jednotlivých súborov – takmer okamžite „odstráni“ celý HDDúplne.
Správny názov tohto vírusu je Petya.A. Správa ESET odhaľuje niektoré funkcie Diskcoder.C (aka ExPetr, PetrWrap, Petya alebo NotPetya)
Podľa štatistík všetkých obetí sa vírus šíril v phishingových e-mailoch s infikovanými prílohami. Zvyčajne list prichádza so žiadosťou o otvorenie Textový dokument, ale ako poznáme druhú príponu súboru TXT.exe skrýva a má prednosť posledné rozšírenie súbor. Operačný systém Windows štandardne nezobrazuje prípony súborov a vyzerajú takto:
Vo verzii 8.1 v okne Prieskumník (Zobraziť \ Možnosti priečinka \ Zrušte začiarknutie políčka Skryť prípony známych typov súborov)
V 7 v okne prieskumníka (Alt \ Nástroje \ Možnosti priečinka \ Zrušte začiarknutie políčka Skryť prípony známych typov súborov)
A najhoršie je, že používatelia sa ani nehanbia, že listy prichádzajú od neznámych používateľov a žiadajú o otvorenie nezrozumiteľných súborov.
Po otvorení súboru sa používateľovi zobrazí " modrá obrazovka smrti".
Po reštarte to vyzerá, že je spustený Scan Disk, v skutočnosti vírus šifruje súbory.
Na rozdiel od iného ransomvéru tento vírus po spustení okamžite reštartuje váš počítač a po opätovnom spustení sa na obrazovke zobrazí správa: „NEVYPÍNAJTE SVOJ počítač! AK TENTO PROCES ZASTAVÍTE, MÔŽETE ZNIČIŤ VŠETKY VAŠE ÚDAJE! UISTITE SA, ŽE JE VÁŠ POČÍTAČ PRIPOJENÝ K NABÍJANIU!“. Aj keď to tak môže vyzerať systémová chyba v skutočnosti, v tento moment Petya v tichosti vykonáva šifrovanie stealth režim. Ak sa používateľ pokúsi reštartovať systém alebo zastaviť šifrovanie súboru, na obrazovke sa objaví blikajúca červená kostra spolu s textom „Stlačte AKÝKOĽVEK KEY!“. Nakoniec sa po stlačení klávesu objaví nové okno s poznámkou o výkupnom. V tejto poznámke je obeť vyzvaná, aby zaplatila 0,9 bitcoinov, čo je približne 400 dolárov. Táto cena je však len za jeden počítač. Preto pre spoločnosti, ktoré majú veľa počítačov, môže byť suma v tisícoch. Tento ransomvér je tiež odlišný v tom, že vám dáva celý týždeň na zaplatenie výkupného, namiesto zvyčajných 12-72 hodín, ktoré poskytujú iné vírusy v tejto kategórii.
Problémy s Peťou sa navyše nekončia. Keď sa tento vírus dostane do systému, pokúsi sa prepísať boot súbory systému Windows, alebo takzvaný sprievodca nahrávaním bootovania potrebný na spustenie systému operačný systém. Vírus Petya nebudete môcť z počítača odstrániť, pokiaľ neobnovíte nastavenia bootovateľnej hlavnej napaľovačky (MBR). Aj keď sa vám podarí opraviť tieto nastavenia a odstrániť vírus zo systému, vaše súbory, žiaľ, zostanú zašifrované, pretože odstránením vírusu nedešifrujete súbory, ale jednoducho odstránite infekčné súbory. Samozrejme, odstránenie vírusov má dôležitosti ak chcete pokračovať v práci s počítačom
Po spustení počítača systémy Windows, Petya zašifruje MFT (Master File Table) takmer okamžite. Na čo slúži tento stôl?
Predstavte si, že váš pevný disk je najväčšia knižnica v celom vesmíre. Obsahuje miliardy kníh. Ako teda nájsť tú správnu knihu? Len s pomocou katalógu knižnice. Peťa ničí tento adresár. Takto stratíte akúkoľvek možnosť nájsť akýkoľvek „súbor“ na vašom PC. Aby som bol ešte presnejší, po „spracovaní“ Peťa bude pevný disk vášho počítača po tornáde pripomínať knižnicu, po ktorej poletujú útržky kníh.
Na rozdiel od Wanna Cry teda Petya.A nešifruje jednotlivé súbory, strávite nad tým impozantné množstvo času – jednoducho vám to berie akúkoľvek príležitosť ich nájsť.
Kto vytvoril vírus Petya?
Pri vytváraní vírusu Petya bol použitý exploit („diera“) v OS Windows s názvom „EternalBlue“. Microsoft vydal opravu kb4012598(Zo skôr vydaných tutoriálov na WannaCry sme už hovorili o tejto aktualizácii, ktorá túto dieru „zakrýva“.
Tvorca „Petya“ dokázal múdro využiť neopatrnosť firemných a súkromných používateľov a zúročiť to. Jeho identita je stále neznáma (a je nepravdepodobné, že bude známa)
Ako odstrániť Petya virus?
Ako odstrániť vírus Petya.A z vášho pevný disk? Toto je mimoriadne zaujímavá otázka. Faktom je, že ak vírus už zablokoval vaše údaje, v skutočnosti nebude čo vymazať. Ak neplánujete platiť vydieračom (čo by ste nemali robiť) a nebudete sa v budúcnosti pokúšať o obnovu dát na disku, stačí disk naformátovať a preinštalovať OS. Potom už po víruse nebude ani stopa.
Ak máte podozrenie, že sa na vašom disku nachádza infikovaný súbor, skontrolujte disk antivírusom ESET Nod 32 a vykonajte úplnú kontrolu systému. NOD 32 uistil, že jeho databáza signatúr už obsahuje informácie o tomto víruse.
Dekodér Petya.A
Petya.A šifruje vaše údaje pomocou veľmi silného šifrovacieho algoritmu. V súčasnosti neexistuje žiadne riešenie na dešifrovanie zablokovaných informácií.
Nepochybne by sme všetci snívali o tom, že by sme dostali zázračný dešifrovač (decryptor) Petya.A, no také riešenie jednoducho neexistuje. Vírus WannaCry zasiahol svet pred niekoľkými mesiacmi, no nenašiel sa žiadny liek na dešifrovanie údajov, ktoré zašifroval.
Jedinou možnosťou je, ak ste predtým mali tieňové kópie súborov.
Ak ste sa teda ešte nestali obeťou vírusu Petya.A, aktualizujte si OS systém, nainštalujte si antivírus z ESET NOD 32. Ak aj napriek tomu stratíte kontrolu nad svojimi dátami, máte niekoľko spôsobov.
Zaplatiť. Robiť to je zbytočné! Odborníci už zistili, že tvorca vírusu neobnovuje dáta a ani ich nemôže obnoviť, vzhľadom na metódu šifrovania.
Pokúste sa odstrániť vírus z počítača a pokúste sa obnoviť súbory pomocou tieňová kópia(vírus ich neinfikuje)
Vytiahnite pevný disk zo zariadenia, opatrne ho umiestnite do skrinky a stlačením dešifrovača sa objaví.
Naformátujte disk a nainštalujte operačný systém. Mínus - všetky údaje sa stratia.
Petya.A a Android, iOS, Mac, Linux
Mnohí používatelia sa obávajú - „môže vírus Petya infikovať ich zariadenia pod Ovládanie Androidom a iOS. Ponáhľam sa ich uistiť – nie, nemôže. Je určený len pre používateľov systému Windows. Pre fanúšikov Linuxu a Macu platí to isté – môžete pokojne spávať, nič vám nehrozí.
V utorok vírus Petya/PetWrap/NotPetya zaútočil na inštitúcie a firmy v Rusku, na Ukrajine, v Európe a Spojených štátoch, celkovo si vyžiadal asi 2000 obetí. Malvér zašifroval údaje v počítačoch a požiadal o výkupné v bitcoinoch. Hovoríme, o aký druh vírusu ide, kto ním trpel a kto ho vytvoril.
Čo je to za vírus?
Škodlivý softvér, ktorý sa vydáva za prílohy e-mail. Ak si ho používateľ stiahol a spustil ako správca, potom program reštartuje počítač a spustí údajnú funkciu kontroly disku, ale v skutočnosti najprv zašifruje boot sektor a potom ďalšie súbory. Potom sa používateľovi zobrazí správa s výzvou na zaplatenie sumy v bitcoinoch ekvivalentnej 300 USD výmenou za kód na dešifrovanie údajov.
❗️Vírus "Petya" v akcii. Buďte opatrní, aktualizujte okná, neotvárajte žiadne odkazy odoslané e-mailom pic.twitter.com/v2z7BAbdZx
— Listy (@Bykvu) 27. júna 2017
Ako funguje vírus
Takto fungoval vírus Petya. Jeho prvá verzia bola nájdená na jar 2016. Spoločnosť Kaspersky Lab tvrdila, že údaje na zašifrovanom disku je možné obnoviť. Recept na dešifrovanie potom zverejnil redaktor Geektimes Maxim Agadzhanov. Existujú aj iné verzie dešifrovačov. Nakoľko sú účinné a či sú vhodné pre nové verzie vírusu, nevieme potvrdiť. Špecialista na informačnú bezpečnosť Nikita Knysh na GitHub píše, že nie sú vhodné. V súčasnosti neexistujú žiadne prostriedky na boj proti vírusu po infekcii.
S akou verziou vírusu máme teraz do činenia, nie je známe. Okrem toho sa mnohí odborníci domnievajú, že nemáme do činenia s Peťou. Bezpečnostná služba Ukrajiny (SBU) uviedla, že vládne inštitúcie a firmy v krajine boli napadnuté vírusom Petya.A a nie je možné obnoviť zašifrované údaje. V utorok večer v Kaspersky Lab nahlásenéže „toto nie je Peťo“, ale nejaký nový druh vírus, pomenovaný odborníkmi NotPetya. To isté zvažuje spoločnosť Doctor Web. Yahoo News s odvolaním sa na nemenovaných odborníkov píše, že hovoríme o úprave Petya s názvom PetrWrap. Symantec povedal, že stále hovoríme o Peťovi.
Vedúci medzinárodného výskumného tímu Kaspersky Lab Costin Rayu píšeže vírus sa šíri prostredníctvom listov z adresy On tiež informovaný ktoré Petya/PetWrap/NotPetya zostavil 18. júna.
Jedna verzia stránky výkupného (foto: Avast Blog)
Verí tomu aj spoločnosť Kaspersky Lab nový vírus zneužil rovnakú zraniteľnosť v systéme Windows ako WannaCry. Tento malvér zasiahol počítače po celom svete 12. mája. Zašifrovala aj údaje v počítači a žiadala výkupné. Medzi obeťami bolo ruské ministerstvo vnútra a mobilný operátor Megafon. Microsoft odstránil túto zraniteľnosť už v marci: tí, ktorí neaktualizovali systém, trpeli WannaCry a Petya/PetrWrap/NotPetya.
Kto tým trpel?
Ukrajina
Fotografia z charkovského supermarketu ROST, ktorého počítače boli tiež napadnuté vírusom
— Ukrajina / Ukrajina (@Ukraine) 27. júna 2017
Oficiálny Twitter Ukrajiny sa snaží rozveseliť občanov pomocou memu „To je v poriadku“
Veľké spoločnosti Kyivvodokanal, Novus, Epicenter, Arcellor Mittal, Arterium, Farmak, klinika Boris, nemocnica Feofaniya, Ukrtelecom, Ukrposhta, ukrajinská pobočka siete supermarketov Auchan, čerpacie stanice Shell, WOG, Klo a TNK.
Médiá: Korrespondent.net, KP na Ukrajine, Obozrevatel, Channel 24, STB, Inter, Nový kanál", ATR, rádio "Lux", "Maximum" a "Era-FM".
Počítač v kabinete ministrov Ukrajiny (foto: Pavel Rozenko)
27. júna 2017 svet čelil novej epidémii ransomvéru spôsobenej novú verziu Ransomvér Petya je odborníkom známy od roku 2016. Prevádzkovatelia malvéru jasne prijali niekoľko trikov od vývojárov senzácie a podarilo sa im vyvolať nové kolo paniky.
V tomto článku sme sa pokúsili zhromaždiť všetky aktuálne známe informácie o tejto zákernej kampani.
Vlastnosti
Ako je uvedené vyššie, ransomvér Petya bol vydaný v marci 2016. Verzia, ktorej čelil svet 27. júna 2017, sa však od toho „Petitu“ veľmi líši.
2016 Petya – Costin Raiu (@craiu) 27. júna 2017
Ako môžete vidieť na ilustráciách vyššie, medzi postihnutými krajinami včera s veľkým náskokom viedla Ukrajina.
Späť 27. júna 2017 Ukrajinská kybernetická polícia nahlásenéže podľa predbežných údajov sa ransomvér rozšíril na územie Ukrajiny tak rýchlo „vďaka“ softvér M.E.Doc. Podobné predpoklady vyslovili aj špecialisti na informačnú bezpečnosť, vrátane expertov zo spoločností Cisco Talos a Microsoft.
Informovala o tom kybernetická polícia Posledná aktualizácia, ktorý bol distribuovaný zo serverov spoločnosti (upd.me-doc.com.ua) 22. júna, bol infikovaný ransomvérom Petya.
Odborníci Microsoftu zase píšu, že 27. júna si všimli, že proces aktualizácie M.E.Doc (EzVit.exe) začal vykonávať škodlivé príkazy, ktoré viedli k inštalácii Petya (pozri obrázok nižšie).
Zároveň sa na oficiálnej stránke M.E.Doc objavila správa, že „na serveroch prebieha vírusový útok“, ktorý čoskoro zmizol a je teraz dostupný iba vo vyrovnávacej pamäti Google.
Microsoft tiež tvrdí, že má dôkazy, že „niekoľko aktívnych infekcií“ Petya pôvodne začalo legitímnym procesom aktualizácie MEDoc.
Načítava...