ไวรัส petya ใหม่คืออะไร ปีเตอร์หรือไม่ปีเตอร์? ไวรัสชนิดใดที่โจมตีบริษัทต่างๆ ทั่วโลก และจะทำอย่างไรหากคอมพิวเตอร์ของคุณติดไวรัส

การโจมตีของไวรัส "Petya" นั้นสร้างความประหลาดใจให้กับผู้คนในหลายประเทศ คอมพิวเตอร์หลายพันเครื่องติดไวรัส ซึ่งส่งผลให้ผู้ใช้สูญเสียข้อมูลสำคัญที่จัดเก็บไว้ในฮาร์ดไดรฟ์ของตน

แน่นอนว่าตอนนี้ความตื่นเต้นเกี่ยวกับเหตุการณ์นี้ได้ลดลงแล้ว แต่ไม่มีใครรับประกันได้ว่าสิ่งนี้จะไม่เกิดขึ้นอีก ด้วยเหตุนี้จึงเป็นสิ่งสำคัญอย่างยิ่งที่จะต้องปกป้องคอมพิวเตอร์ของคุณจากภัยคุกคามที่อาจเกิดขึ้นได้ และไม่เสี่ยงโดยไม่จำเป็น วิธีการทำสิ่งนี้ให้มีประสิทธิภาพสูงสุดและจะกล่าวถึงด้านล่าง

ผลที่ตามมาของการโจมตี

ก่อนอื่น เราควรระลึกถึงผลที่ตามมาของกิจกรรมสั้นๆ ของ Petya.A ในเวลาเพียงไม่กี่ชั่วโมง ชาวยูเครนและชาวยูเครนหลายสิบคน บริษัท รัสเซีย. ในยูเครน การทำงานของแผนกคอมพิวเตอร์ของสถาบันต่างๆ เช่น Dniproenergo, Novaya Pochta และ Kiev Metro เกือบจะเป็นอัมพาตโดยสิ้นเชิง นอกจากนี้บาง องค์กรของรัฐธนาคารและผู้ให้บริการมือถือ

ในประเทศของสหภาพยุโรป แรนซั่มแวร์ยังสร้างปัญหาได้มากมาย บริษัทฝรั่งเศส เดนมาร์ก อังกฤษ และต่างประเทศได้รายงานการหยุดทำงานชั่วคราวที่เกี่ยวข้องกับการโจมตีของไวรัสคอมพิวเตอร์ Petya

อย่างที่คุณเห็น ภัยคุกคามนั้นร้ายแรงมาก และแม้ว่าผู้โจมตีจะเลือกสถาบันการเงินขนาดใหญ่เป็นเหยื่อ ผู้ใช้ทั่วไปได้รับความเดือดร้อนไม่น้อย

Petya ทำงานอย่างไร

เพื่อให้เข้าใจถึงวิธีการป้องกันตัวเองจากไวรัส Petya คุณต้องเข้าใจวิธีการทำงานก่อน ดังนั้น เมื่ออยู่ในคอมพิวเตอร์ มัลแวร์จะดาวน์โหลดตัวเข้ารหัสพิเศษจากอินเทอร์เน็ตที่แพร่เชื้อ Master Boot Record นี่เป็นพื้นที่แยกต่างหากในฮาร์ดไดรฟ์ซึ่งซ่อนจากสายตาของผู้ใช้และออกแบบมาเพื่อบูตระบบปฏิบัติการ

สำหรับผู้ใช้ กระบวนการนี้ดูเหมือนว่า งานมาตรฐานตรวจสอบโปรแกรม Disk หลังจากระบบขัดข้องกะทันหัน คอมพิวเตอร์รีสตาร์ททันที และมีข้อความปรากฏขึ้นบนหน้าจอเกี่ยวกับ แข็งดิสก์สำหรับข้อผิดพลาดและโปรดอย่าปิดเครื่อง

ทันทีที่กระบวนการนี้สิ้นสุดลง โปรแกรมรักษาหน้าจอจะปรากฏขึ้นพร้อมกับข้อมูลเกี่ยวกับการล็อกคอมพิวเตอร์ ผู้สร้างไวรัส Petya กำหนดให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์ (มากกว่า 17,500 รูเบิล) โดยสัญญาว่าจะส่งรหัสที่จำเป็นในการกลับมาทำงานของพีซีเป็นการตอบแทน

การป้องกัน

มีเหตุผลที่จะป้องกันการติดเชื้อได้ง่ายกว่ามาก ไวรัสคอมพิวเตอร์"Petya" กว่าที่จะจัดการกับผลที่ตามมาในภายหลัง ในการรักษาความปลอดภัยพีซีของคุณ:

ติดตั้งอัปเดตล่าสุดสำหรับระบบปฏิบัติการเสมอ โดยหลักการเดียวกันนี้ใช้กับซอฟต์แวร์ทั้งหมดที่ติดตั้งบนพีซีของคุณ อย่างไรก็ตาม "Petya" ไม่สามารถทำร้ายคอมพิวเตอร์ที่ใช้ MacOS และ Linux
ใช้โปรแกรมป้องกันไวรัสเวอร์ชันล่าสุดและอย่าลืมอัปเดตฐานข้อมูล ใช่ คำแนะนำนั้นซ้ำซาก แต่ไม่ใช่ทุกคนที่ปฏิบัติตาม
อย่าเปิดไฟล์ที่น่าสงสัยที่ส่งถึงคุณทางอีเมล ตรวจสอบแอพที่ดาวน์โหลดจากแหล่งที่น่าสงสัยเสมอ
ทำการสำรองข้อมูลเอกสารและไฟล์สำคัญเป็นประจำ วิธีที่ดีที่สุดคือเก็บไว้ในสื่อแยกต่างหากหรือใน "คลาวด์" (Google Drive, Yandex.Disk เป็นต้น) ด้วยเหตุนี้ แม้ว่าจะมีบางอย่างเกิดขึ้นกับคอมพิวเตอร์ของคุณ ข้อมูลที่มีค่าก็จะไม่ได้รับผลกระทบ

สร้างไฟล์หยุด

นักพัฒนาชั้นนำ โปรแกรมป้องกันไวรัสหาวิธีกำจัดไวรัส Petya แม่นยำยิ่งขึ้น ต้องขอบคุณการวิจัยที่ดำเนินการ พวกเขาสามารถเข้าใจสิ่งที่แรนซัมแวร์พยายามค้นหาในคอมพิวเตอร์ในช่วงระยะแรกของการติดไวรัส ไฟล์ในเครื่อง. หากทำสำเร็จ ไวรัสจะหยุดทำงานและไม่เป็นอันตรายต่อพีซี

พูดง่ายๆ ก็คือ คุณสามารถสร้างไฟล์หยุดประเภทหนึ่งได้ด้วยตนเอง และด้วยเหตุนี้จึงปกป้องคอมพิวเตอร์ของคุณ สำหรับสิ่งนี้:

เปิดตัวเลือกโฟลเดอร์และยกเลิกการเลือก "ซ่อนนามสกุลสำหรับประเภทไฟล์ที่รู้จัก"
สร้างด้วยแผ่นจดบันทึก ไฟล์ใหม่และวางไว้ในไดเร็กทอรี C:/Windows
เปลี่ยนชื่อเอกสารที่สร้างขึ้นโดยเรียกว่า "perfc" จากนั้นไปที่และเปิดใช้งานตัวเลือก "อ่านอย่างเดียว"

ตอนนี้ไวรัส "Petya" ซึ่งอยู่ในคอมพิวเตอร์ของคุณจะไม่สามารถทำอันตรายได้ แต่โปรดจำไว้ว่าผู้โจมตีอาจดัดแปลงมัลแวร์ในอนาคต และวิธีการหยุดการสร้างไฟล์จะไม่ได้ผล

หากมีการติดเชื้อเกิดขึ้นแล้ว

เมื่อคอมพิวเตอร์ทำการรีบูตด้วยตัวเองและเริ่ม Check Disk ไวรัสก็เพิ่งเริ่มเข้ารหัสไฟล์ ในกรณีนี้ คุณยังสามารถบันทึกข้อมูลของคุณได้โดยดำเนินการดังต่อไปนี้:

ปิดเครื่องพีซีของคุณทันที นี่เป็นวิธีเดียวที่คุณจะป้องกันการแพร่กระจายของไวรัสได้
ถัดไป เชื่อมต่อของคุณ ฮาร์ดดิสก์ไปยังพีซีเครื่องอื่น (แต่ไม่ใช่เครื่องที่สามารถบู๊ตได้!) และคัดลอกข้อมูลสำคัญจากเครื่องนั้น
หลังจากนั้น คุณต้องฟอร์แมตฮาร์ดไดรฟ์ที่ติดไวรัสให้สมบูรณ์ โดยปกติแล้วคุณจะต้องติดตั้งระบบปฏิบัติการและซอฟต์แวร์อื่น ๆ ใหม่อีกครั้ง

นอกจากนี้ คุณสามารถลองใช้แบบพิเศษได้ ดิสก์สำหรับบูตเพื่อรักษาไวรัส "Petya" ตัวอย่างเช่น Kaspersky Anti-Virus จัดทำขึ้นเพื่อวัตถุประสงค์เหล่านี้ แคสเปอร์สกี้ Rescue Disk ซึ่งทำงานโดยผ่านระบบปฏิบัติการ

ฉันควรจ่ายเงินให้พวกกรรโชกทรัพย์หรือไม่?

ดังที่ได้กล่าวไว้ก่อนหน้านี้ ผู้สร้าง Petya กำลังเรียกค่าไถ่ $300 จากผู้ใช้ที่คอมพิวเตอร์ติดไวรัส ตามที่ผู้ขู่กรรโชกระบุ หลังจากจ่ายเงินตามจำนวนที่กำหนด เหยื่อจะถูกส่งรหัสที่ลบการปิดกั้นข้อมูล

ปัญหาคือผู้ใช้ที่ต้องการให้คอมพิวเตอร์กลับสู่สถานะปกติต้องเขียนอีเมลถึงผู้โจมตี อย่างไรก็ตาม E-Mail ransomware ทั้งหมดจะถูกบล็อกทันทีโดยบริการที่ได้รับอนุญาต ดังนั้นจึงเป็นไปไม่ได้เลยที่จะติดต่อพวกเขา

ยิ่งไปกว่านั้น ผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสชั้นนำหลายรายมั่นใจว่าเป็นไปไม่ได้เลยที่จะปลดล็อกคอมพิวเตอร์ที่ติด Petya ด้วยรหัสใด ๆ

อย่างที่คุณอาจเข้าใจ มันไม่คุ้มที่จะจ่ายเงินให้พวกกรรโชกทรัพย์ มิฉะนั้นคุณจะไม่เพียงเหลือพีซีที่ไม่ทำงาน แต่ยังเสียเงินจำนวนมากอีกด้วย

จะมีการโจมตีใหม่

ไวรัส Petya ถูกค้นพบครั้งแรกในเดือนมีนาคม พ.ศ. 2559 จากนั้นผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นภัยคุกคามอย่างรวดเร็วและป้องกันการแพร่กระจายจำนวนมาก แต่เมื่อสิ้นเดือนมิถุนายน 2560 การโจมตีซ้ำอีกครั้งซึ่งนำไปสู่ผลลัพธ์ที่ร้ายแรงมาก

ไม่น่าเป็นไปได้ที่ทุกอย่างจะจบลงที่นั่น การโจมตีด้วยแรนซัมแวร์ไม่ใช่เรื่องแปลก ดังนั้น สิ่งสำคัญคือต้องปกป้องคอมพิวเตอร์ของคุณตลอดเวลา ปัญหาคือไม่มีใครคาดเดาได้ว่าการติดเชื้อครั้งต่อไปจะใช้รูปแบบใด แต่ควรปฏิบัติตามคำแนะนำง่าย ๆ ที่ให้ไว้ในบทความนี้เสมอเพื่อลดความเสี่ยงให้เหลือน้อยที่สุดด้วยวิธีนี้

ข้อสรุปนี้เป็นผลมาจากการศึกษาของสองบริษัทพร้อมกัน นั่นคือ Comae Technologies และ Kaspersky Lab

มัลแวร์ Petya ดั้งเดิมถูกค้นพบในปี 2559 เป็นเครื่องทำเงิน ตัวอย่างนี้ไม่ได้มีวัตถุประสงค์เพื่อหารายได้อย่างแน่นอน ภัยคุกคามได้รับการออกแบบให้แพร่กระจายอย่างรวดเร็วและสร้างความเสียหายและปลอมตัวเป็นแรนซัมแวร์

NotPetya ไม่ใช่ตัวล้างดิสก์ ภัยคุกคามไม่ได้ลบข้อมูล แต่ทำให้ใช้งานไม่ได้โดยการล็อคไฟล์และทิ้งคีย์ถอดรหัส

Juan Andre Guerrero-Saade นักวิจัยอาวุโสของ Kaspersky Lab แสดงความคิดเห็นเกี่ยวกับสถานการณ์นี้:

ในหนังสือของฉัน การติดไวรัสแรนซัมแวร์ที่ไม่มีกลไกการถอดรหัสเป็นไปได้เทียบเท่ากับการล้างข้อมูลบนดิสก์ โดยไม่สนใจกลไกการถอดรหัสที่ใช้งานได้ ผู้โจมตีได้แสดงการไม่สนใจผลประโยชน์ทางการเงินในระยะยาวโดยสิ้นเชิง

ผู้สร้าง Petya ransomware ดั้งเดิมทวีตว่าเขาไม่มีส่วนเกี่ยวข้องกับการพัฒนา NotPetya เขาได้กลายเป็นอาชญากรไซเบอร์รายที่สองแล้วที่ปฏิเสธความเกี่ยวข้องในการสร้างภัยคุกคามใหม่ที่คล้ายกัน ก่อนหน้านี้ ผู้เขียนโปรแกรมเรียกค่าไถ่ AES-NI ระบุว่าเขาไม่มีส่วนเกี่ยวข้องกับ XData ซึ่งใช้ในการโจมตีแบบกำหนดเป้าหมายในยูเครนด้วย นอกจากนี้ XData เช่น NotPetya ยังใช้เวกเตอร์การแจกจ่ายที่เหมือนกัน นั่นคือเซิร์ฟเวอร์อัปเดตของผู้ผลิตซอฟต์แวร์บัญชีของยูเครน

สิ่งบ่งชี้สถานการณ์หลายอย่างสนับสนุนทฤษฎีที่ว่ามีคนกำลังแฮ็กแรนซัมแวร์ที่รู้จักและใช้เวอร์ชันดัดแปลงเพื่อโจมตีผู้ใช้ชาวยูเครน

โมดูลทำลายล้างที่ปลอมตัวเป็นแรนซัมแวร์เป็นเรื่องปกติอยู่แล้วหรือไม่?

กรณีที่คล้ายกันนี้เคยเกิดขึ้นแล้ว การใช้โมดูลที่เป็นอันตรายเพื่อสร้างความเสียหายอย่างถาวรให้กับไฟล์ภายใต้หน้ากากของแรนซัมแวร์ทั่วไปนั้นยังห่างไกลจากกลยุทธ์ใหม่ ในโลกปัจจุบันสิ่งนี้กำลังกลายเป็นเทรนด์

ปีที่แล้ว มัลแวร์ตระกูล Shamoon และ KillDisk ได้รวม "ส่วนประกอบของแรนซัมแวร์" และใช้เทคนิคที่คล้ายกันเพื่อทำลายข้อมูล ตอนนี้แม้แต่มัลแวร์อุตสาหกรรมก็ยังได้รับคุณสมบัติการล้างข้อมูลบนดิสก์

การจัดประเภท NotPetya เป็นเครื่องมือทำลายข้อมูลสามารถยกระดับมัลแวร์เป็นอาวุธไซเบอร์ได้อย่างง่ายดาย ในกรณีนี้ การวิเคราะห์ผลที่ตามมาของภัยคุกคามควรได้รับการพิจารณาจากมุมมองที่แตกต่างกัน

เมื่อพิจารณาจากจุดเริ่มต้นของการติดเชื้อและจำนวนผู้ที่ตกเป็นเหยื่อ จะเห็นได้ชัดว่ายูเครนตกเป็นเป้าหมายของการโจมตีของแฮ็กเกอร์ บน ช่วงเวลานี้ไม่มีหลักฐานที่ชัดเจนชี้นิ้วไปที่ผู้โจมตี แต่เจ้าหน้าที่ยูเครนได้ตำหนิรัสเซียแล้ว ซึ่งพวกเขาได้ตำหนิเช่นกันสำหรับเหตุการณ์ทางไซเบอร์ที่ผ่านมาตั้งแต่ปี 2014

NotPetya สามารถเทียบเท่ากับตระกูลมัลแวร์ Stuxnet และ BlackEnergy ที่รู้จักกันดีซึ่งถูกใช้เพื่อวัตถุประสงค์ทางการเมืองและเพื่อผลการทำลายล้าง หลักฐานแสดงให้เห็นอย่างชัดเจนว่า NotPetya เป็นอาวุธไซเบอร์และไม่ใช่แค่แรนซัมแวร์ประเภทที่ก้าวร้าวมากเท่านั้น

, 18 กรกฎาคม 2560

ตอบคำถามที่สำคัญที่สุดเกี่ยวกับไวรัสเรียกค่าไถ่ Petna (NotPetya, ExPetr) ซึ่งเป็นแรนซัมแวร์ที่ใช้ Petya ซึ่งทำให้คอมพิวเตอร์หลายเครื่องทั่วโลกติดไวรัส

ในเดือนนี้ เราได้เห็นการโจมตีด้วยแรนซัมแวร์ครั้งใหญ่อีกครั้งซึ่งเกิดขึ้นเพียงไม่กี่สัปดาห์หลังจาก ภายในเวลาไม่กี่วัน แรนซั่มแวร์ดัดแปลงนี้ได้รับชื่อต่างๆ มากมาย รวมถึง Petya (ชื่อไวรัสดั้งเดิม), NotPetya, EternalPetya, Nyetya และอื่นๆ ในขั้นต้นเราเรียกมันว่า "ไวรัสตระกูล Petya" แต่เพื่อความสะดวกเราจะเรียกมันว่า Petna

รอบ ๆ Petna มีความคลุมเครืออยู่พอสมควรนอกเหนือจากชื่อ นี่เป็นแรนซั่มแวร์ตัวเดียวกับ Petya หรือเวอร์ชั่นอื่นหรือไม่? Petna ควรถูกพิจารณาว่าเป็นแรนซัมแวร์หรือไวรัสที่ทำลายข้อมูลหรือไม่? ให้เราอธิบายบางแง่มุมของการโจมตีที่ผ่านมา

การกระจายของ Petna ยังคงดำเนินต่อไปหรือไม่?

กิจกรรมสูงสุดไม่กี่วันที่ผ่านมา การแพร่กระจายของไวรัสเริ่มขึ้นในเช้าวันที่ 27 มิถุนายน ในวันเดียวกันกิจกรรมของเขามาถึง ระดับสูงสุดมีการพยายามโจมตีหลายพันครั้งทุก ๆ ชั่วโมง หลังจากนั้นความรุนแรงลดลงอย่างมากในวันเดียวกัน และพบการติดเชื้อเพียงเล็กน้อยหลังจากนั้น

การโจมตีนี้สามารถเทียบกับ WannaCry ได้หรือไม่?

ไม่ ตัดสินจากขอบเขตของเรา ฐานผู้ใช้. เราสังเกตเห็นความพยายามในการโจมตีประมาณ 20,000 ครั้งทั่วโลก ซึ่งน้อยกว่าการโจมตี WannaCry 1.5 ล้านครั้งที่เราป้องกันไว้อย่างเทียบไม่ได้

ประเทศใดได้รับผลกระทบมากที่สุด?

ข้อมูลการวัดและส่งข้อมูลทางไกลของเราแสดงให้เห็นว่าผลกระทบหลักของไวรัสเกิดขึ้นในยูเครน ซึ่งตรวจพบความพยายามโจมตีมากกว่า 90% รัสเซีย สหรัฐอเมริกา ลิทัวเนีย เบลารุส เบลเยียม และบราซิล ก็ได้รับผลกระทบเช่นกัน ในแต่ละประเทศมีการพยายามติดเชื้อตั้งแต่หลายสิบถึงหลายร้อยครั้ง

ระบบปฏิบัติการใดบ้างที่ติดไวรัส?

มีการบันทึกการโจมตีจำนวนมากที่สุดในอุปกรณ์ภายใต้ การควบคุม Windows 7 (78%) และ Windows XP (14%) จำนวนการโจมตีมากกว่า ระบบที่ทันสมัยกลายเป็นน้อยลงอย่างมาก

ไวรัส Petna เข้าสู่พีซีได้อย่างไร

หลังจากวิเคราะห์เส้นทางการพัฒนาของการแพร่ระบาดทางไซเบอร์ เราพบพาหะหลักของการติดไวรัส ซึ่งเกี่ยวข้องกับการอัปเดตซอฟต์แวร์บัญชี M.E.Doc ของยูเครน นั่นคือเหตุผลที่ยูเครนได้รับความเดือดร้อนอย่างหนัก

ความขัดแย้งที่ขมขื่น: ด้วยเหตุผลด้านความปลอดภัย ผู้ใช้ควรอัปเดตซอฟต์แวร์อยู่เสมอ แต่ในกรณีนี้ ไวรัสเริ่มแพร่กระจายในวงกว้างด้วยการอัปเดตซอฟต์แวร์ที่เผยแพร่โดย M.E.Doc

เหตุใดคอมพิวเตอร์นอกยูเครนจึงประสบปัญหาเช่นกัน

เหตุผลประการหนึ่งคือบริษัทที่ได้รับผลกระทบบางแห่งมีบริษัทสาขาในยูเครน เมื่อไวรัสติดคอมพิวเตอร์ มันจะแพร่กระจายภายในเครือข่าย นั่นคือวิธีที่เขาสามารถเข้าถึงคอมพิวเตอร์ในประเทศอื่นๆ เรายังคงสำรวจพาหะของการติดเชื้ออื่นๆ ต่อไป

จะเกิดอะไรขึ้นหลังการติดเชื้อ?

เมื่ออุปกรณ์ติดไวรัส Petna จะพยายามเข้ารหัสไฟล์ด้วยนามสกุลบางอย่าง รายการไฟล์เป้าหมายไม่ใหญ่เท่ากับรายการของไวรัส Petya ดั้งเดิมและแรนซัมแวร์อื่นๆ แต่รวมถึงส่วนขยายของรูปภาพ เอกสาร ซอร์สโค้ด ฐานข้อมูล ดิสก์อิมเมจ และอื่นๆ นอกจากนี้ ซอฟต์แวร์นี้ไม่เพียงแต่เข้ารหัสไฟล์เท่านั้น แต่ยังรวมถึงวิธีที่เวิร์มแพร่กระจายไปยังอุปกรณ์อื่นๆ ที่เชื่อมต่อด้วย เครือข่ายท้องถิ่น.

ชอบ, ไวรัสใช้สาม วิธีต่างๆการแจกจ่าย: การใช้ประโยชน์จาก EternalBlue (รู้จักจาก WannaCry) หรือ EternalRomance ผ่านทั่วไป ทรัพยากรเครือข่าย Windows โดยใช้ข้อมูลรับรองที่ขโมยมาจากเหยื่อ (โดยใช้โปรแกรมอรรถประโยชน์ เช่น Mimikatz ที่สามารถแยกรหัสผ่านได้) รวมทั้งเครื่องมือที่น่าเชื่อถือ เช่น PsExec และ WMIC

หลังจากเข้ารหัสไฟล์และแพร่กระจายไปทั่วเครือข่าย ไวรัสจะพยายามทำลาย บูต Windows(เปลี่ยนหลัก บันทึกการบูต, MBR) และหลังจากนั้น บังคับให้รีบูตเข้ารหัสตารางไฟล์หลัก (MFT) ดิสก์ระบบ. สิ่งนี้จะป้องกันไม่ให้คอมพิวเตอร์บูตเข้าสู่ Windows และทำให้คอมพิวเตอร์ใช้งานไม่ได้

Petna สามารถทำให้คอมพิวเตอร์ของฉันติดไวรัสเมื่อติดตั้งแพตช์ความปลอดภัยทั้งหมดได้หรือไม่

ใช่ เป็นไปได้เนื่องจากการขยายพันธุ์ในแนวนอน มัลแวร์อธิบายไว้ข้างต้น. สม่ำเสมอ อุปกรณ์เฉพาะได้รับการปกป้องจากทั้ง EternalBlue และ EternalRomance แต่ก็ยังสามารถติดเชื้อได้ด้วยวิธีที่สาม

เป็น Retua, WannaCry 2.0 หรืออย่างอื่น?

ไวรัส Petna นั้นมีพื้นฐานมาจาก Petna ransomware ดั้งเดิมอย่างแน่นอน ตัวอย่างเช่น ในส่วนที่รับผิดชอบในการเข้ารหัสตารางไฟล์หลักนั้นแทบจะเหมือนกับภัยคุกคามที่พบก่อนหน้านี้ อย่างไรก็ตาม มันไม่เหมือนกับแรนซัมแวร์รุ่นเก่าโดยสิ้นเชิง สันนิษฐานว่าไวรัสถูกดัดแปลงโดยบุคคลที่สาม และไม่ใช่ผู้เขียนเวอร์ชันดั้งเดิมที่รู้จักกันในชื่อ Janus ซึ่งได้พูดถึงเรื่องนี้ใน ทวิตเตอร์และเผยแพร่คีย์ถอดรหัสหลักสำหรับโปรแกรมเวอร์ชันที่ผ่านมาทั้งหมดในภายหลัง

ความคล้ายคลึงกันหลักระหว่าง Petna และ WannaCry คือพวกเขาใช้ช่องโหว่ EternalBlue เพื่อแพร่กระจาย

จริงหรือไม่ที่ไวรัสไม่ได้เข้ารหัสอะไรเลย แต่เพียงทำลายข้อมูลในดิสก์?

มันไม่เป็นความจริง มัลแวร์นี้จะเข้ารหัสไฟล์และ Master File Table (MFT) เท่านั้น อีกคำถามคือไฟล์เหล่านี้สามารถถอดรหัสได้หรือไม่

มีเครื่องมือถอดรหัสฟรีหรือไม่?

น่าเสียดายที่ไม่มี ไวรัสใช้อัลกอริทึมการเข้ารหัสที่ทรงพลังซึ่งไม่สามารถเอาชนะได้ มันเข้ารหัสไม่เพียง แต่ไฟล์เท่านั้น แต่ยังรวมถึงตารางไฟล์หลัก (MFT) ซึ่งทำให้กระบวนการถอดรหัสซับซ้อนมาก

ฉันควรจ่ายค่าไถ่หรือไม่?

เลขที่! เราไม่แนะนำให้จ่ายค่าไถ่ เนื่องจากเป็นการสนับสนุนอาชญากรและกระตุ้นให้พวกเขาทำกิจกรรมดังกล่าวต่อไป ยิ่งไปกว่านั้น มีแนวโน้มว่าคุณจะไม่ได้รับข้อมูลคืนแม้ว่าจะจ่ายเงินไปแล้วก็ตาม ในกรณีนี้จะชัดเจนกว่าที่เคยเป็นมา และนั่นเป็นเหตุผลว่าทำไม

ที่อยู่อย่างเป็นทางการที่ระบุไว้ในหน้าต่างเรียกค่าไถ่ อีเมล [ป้องกันอีเมล]ซึ่งผู้ที่ตกเป็นเหยื่อถูกขอให้ส่งค่าไถ่ ถูกปิดโดยผู้ให้บริการอีเมลหลังจากการโจมตีของไวรัสไม่นาน ดังนั้นผู้สร้างแรนซั่มแวร์จึงไม่สามารถทราบได้ว่าใครเป็นคนจ่ายและใครไม่จ่าย

โดยทั่วไปแล้วการถอดรหัสพาร์ติชัน MFT นั้นเป็นไปไม่ได้เพราะคีย์จะหายไปหลังจากแรนซัมแวร์เข้ารหัส ใน รุ่นก่อนหน้าไวรัส คีย์นี้ถูกเก็บไว้ใน ID ของเหยื่อ แต่ในกรณีของการแก้ไขล่าสุด คีย์นี้เป็นเพียงสตริงแบบสุ่ม

นอกจากนี้ การเข้ารหัสที่ใช้กับไฟล์ค่อนข้างวุ่นวาย ยังไง

เมื่อวันที่ 27 มิถุนายน 2017 โลกเผชิญกับการแพร่ระบาดของแรนซัมแวร์ตัวใหม่ที่เกิดจาก รุ่นใหม่ Petya ransomware เป็นที่รู้จักของผู้เชี่ยวชาญตั้งแต่ปี 2559 ผู้ให้บริการมัลแวร์นำกลอุบายหลายอย่างจากนักพัฒนาซอฟต์แวร์ที่น่าตื่นเต้นมาใช้อย่างชัดเจนและจัดการเพื่อกระตุ้นความตื่นตระหนกรอบใหม่
ในบทความนี้ เราได้พยายามรวบรวมข้อมูลทั้งหมดที่ทราบในปัจจุบันเกี่ยวกับแคมเปญที่เป็นอันตรายนี้

คุณสมบัติ

ดังที่ได้กล่าวไปแล้วข้างต้น Petya แรนซัมแวร์ย้อนกลับไปในเดือนมีนาคม 2559 อย่างไรก็ตาม เวอร์ชันที่โลกเผชิญในวันที่ 27 มิถุนายน 2017 นั้นแตกต่างจาก "Petit" นั้นมาก

2016 Petya — คอสติน ไรอู (@craiu) 27 มิถุนายน 2560

ดังที่คุณเห็นในภาพประกอบด้านบน ในบรรดาประเทศที่ได้รับผลกระทบ ยูเครนเป็นผู้นำด้วยอัตรากำไรที่กว้างเมื่อวานนี้

ย้อนกลับไปเมื่อวันที่ 27 มิถุนายน 2017 ตำรวจไซเบอร์ของยูเครน แจ้งให้ทราบตามข้อมูลเบื้องต้น ransomware แพร่กระจายไปยังดินแดนของยูเครนอย่างรวดเร็ว "ขอบคุณ" ซอฟต์แวร์กศ.ม. สมมติฐานที่คล้ายกันนี้ตั้งขึ้นโดยผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล ซึ่งรวมถึงผู้เชี่ยวชาญจาก Cisco Talos และ Microsoft

ดังนั้น ตำรวจไซเบอร์จึงรายงานว่า การปรับปรุงครั้งล่าสุดซึ่งเผยแพร่จากเซิร์ฟเวอร์ของบริษัท (upd.me-doc.com.ua) เมื่อวันที่ 22 มิถุนายน ติดมัลแวร์เรียกค่าไถ่ Petya

ในทางกลับกัน ผู้เชี่ยวชาญของ Microsoft เขียนว่าในวันที่ 27 มิถุนายน พวกเขาสังเกตเห็นว่ากระบวนการอัปเดต M.E.Doc (EzVit.exe) เริ่มดำเนินการคำสั่งที่เป็นอันตรายซึ่งนำไปสู่การติดตั้ง Petya (ดูภาพประกอบด้านล่าง)

ในเวลาเดียวกัน ข้อความปรากฏบนเว็บไซต์อย่างเป็นทางการของ M.E.Doc โดยระบุว่า "มีการโจมตีของไวรัสบนเซิร์ฟเวอร์" ซึ่งในไม่ช้าก็หายไปและตอนนี้มีให้เฉพาะในแคชของ Google เท่านั้น

นอกจากนี้ Microsoft กล่าวว่าพวกเขามีหลักฐานว่า "การติดเชื้อที่ใช้งานอยู่สองสามตัว" ของ Petya เริ่มต้นจากกระบวนการอัปเดต MEDoc ที่ถูกต้องตามกฎหมาย

Petya.A คืออะไร?

นี่คือ "ไวรัสแรนซัมแวร์" ที่เข้ารหัสข้อมูลในคอมพิวเตอร์และต้องใช้รหัส $300 ในการถอดรหัส มันเริ่มแพร่ระบาดในคอมพิวเตอร์ของยูเครนประมาณเที่ยงวันที่ 27 มิถุนายน จากนั้นแพร่ระบาดไปยังประเทศอื่นๆ: รัสเซีย อังกฤษ ฝรั่งเศส สเปน ลิทัวเนีย ฯลฯ เว็บไซต์ Microsoft มีไวรัสในขณะนี้มันมี ระดับภัยคุกคาม "ร้ายแรง"

การติดเชื้อเกิดขึ้นเนื่องจากช่องโหว่เดียวกันใน ไมโครซอฟท์ วินโดวส์ซึ่งเป็นกรณีของ ไวรัส WannaCryซึ่งโจมตีคอมพิวเตอร์หลายพันเครื่องทั่วโลกในเดือนพฤษภาคม และทำให้บริษัทต่างๆ เสียหายประมาณ 1 พันล้านดอลลาร์

ในตอนเย็น ตำรวจไซเบอร์รายงานว่าการโจมตีของไวรัสหมายถึง การรายงานทางอิเล็กทรอนิกส์และการไหลของเอกสาร เจ้าหน้าที่บังคับใช้กฎหมายระบุว่า เมื่อเวลา 10.30 น. ได้มีการเผยแพร่การอัปเดต M.E.Doc อีกชุดหนึ่ง โดยมีการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายไปยังคอมพิวเตอร์

Petya เผยแพร่ทางอีเมลโดยส่งโปรแกรมเป็นประวัติย่อของพนักงาน หากมีคนพยายามเปิดเรซูเม่ ไวรัสจะขอสิทธิ์ของผู้ดูแลระบบ หากผู้ใช้ยินยอม คอมพิวเตอร์จะรีสตาร์ท จากนั้นฮาร์ดไดรฟ์จะถูกเข้ารหัส และหน้าต่างจะปรากฏขึ้นเพื่อเรียกร้อง "ค่าไถ่"

วิดีโอ
กระบวนการติดเชื้อไวรัส Petya วิดีโอ: G DATA Software AG / YouTube

ในเวลาเดียวกัน ไวรัส Petya เองก็มีช่องโหว่: เป็นไปได้ที่จะได้รับรหัสสำหรับถอดรหัสข้อมูลโดยใช้ โปรแกรมพิเศษ. วิธีนี้ได้รับการอธิบายในเดือนเมษายน 2559 โดย Maxim Agadzhanov บรรณาธิการของ Geektimes

อย่างไรก็ตาม ผู้ใช้บางคนเลือกที่จะจ่าย "ค่าไถ่" หนึ่งในกระเป๋าเงิน Bitcoin ที่รู้จักกันดี ผู้สร้างไวรัสได้รับ 3.64 bitcoins ซึ่งเท่ากับประมาณ 9,100 ดอลลาร์

ใครโดนไวรัสบ้าง?

ในยูเครน ผู้ที่ตกเป็นเหยื่อของ Petya.A ส่วนใหญ่เป็นลูกค้าองค์กร ได้แก่ หน่วยงานรัฐบาล ธนาคาร สื่อ บริษัทพลังงาน และองค์กรอื่นๆ

ท่ามกลางบริษัทอื่น ๆ ได้รับผลกระทบ จดหมายใหม่", Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsya, TNK, Antonov, Epicenter, Channel 24 รวมถึงสนามบิน Boryspil, คณะรัฐมนตรีของรัฐมนตรียูเครน, บริการการคลังของรัฐ และอื่น ๆ

การโจมตียังแพร่กระจายไปยังภูมิภาค ตัวอย่างเช่น nและโรงไฟฟ้านิวเคลียร์เชอร์โนบิลหยุดทำงานเนื่องจากการโจมตีทางไซเบอร์ การจัดการเอกสารอิเล็กทรอนิกส์และสถานีเปลี่ยนไปใช้การตรวจสอบระดับรังสีด้วยตนเอง ในคาร์คิฟงานของซูเปอร์มาร์เก็ต Rost ขนาดใหญ่ถูกบล็อกและที่สนามบินการลงทะเบียนเที่ยวบินถูกโอนไปยังโหมดแมนนวล

เนื่องจากไวรัส Petya.A โต๊ะเงินสดในซูเปอร์มาร์เก็ต Rost หยุดทำงาน รูปถ่าย: X...evy Kharkov / "VKontakte"

ตามสิ่งพิมพ์ Rosneft, Bashneft, Mars, Nivea และอื่น ๆ ได้รับผลกระทบในรัสเซีย

จะป้องกันตัวเองจาก Petya.A ได้อย่างไร?

คำแนะนำเกี่ยวกับวิธีป้องกันตัวเองจาก Petya.A ถูกเผยแพร่โดย Security Service of Ukraine และ Cyber Police

Cyberpolice แนะนำให้ผู้ใช้ติดตั้ง การปรับปรุงหน้าต่างจากเว็บไซต์อย่างเป็นทางการของ Microsoft อัปเดตหรือติดตั้งโปรแกรมป้องกันไวรัส อย่าดาวน์โหลดไฟล์ที่น่าสงสัยจาก อีเมลและตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายทันทีหากพบความผิดปกติ

SBU เน้นย้ำว่าในกรณีที่มีข้อสงสัย คอมพิวเตอร์จะไม่สามารถรีสตาร์ทได้ เนื่องจากไฟล์จะถูกเข้ารหัสระหว่างการรีบูต บริการพิเศษแนะนำให้ Ukrainians บันทึกไฟล์ที่มีค่าในสื่อแยกต่างหากและทำ การสำรองข้อมูลระบบปฏิบัติการ.

Vlad Styran ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ เขียนบน Facebook ว่าการแพร่กระจายของไวรัสในเครือข่ายท้องถิ่นสามารถหยุดได้โดยการบล็อกพอร์ต TCP 1024-1035, 135, 139 และ 445 ใน Windows มีคำแนะนำเกี่ยวกับวิธีการทำเช่นนี้บนอินเทอร์เน็ต

บริษัท ไซแมนเทค สัญชาติอเมริกัน