Чи зупинено вірус петя. Новий вірус Petya (Петя) маскується під резюме кадровиків. Що таке вірус «Petya»
Компанії по всьому світу у вівторок, 27 червня, постраждали від масштабної кібератаки шкідливого програмного забезпечення, яке розповсюджується через електронну пошту. Вірус шифрує дані користувачів на жорстких дисках і вимагає гроші в біткоінах. Багато хто відразу вирішив, що це вірус Petya, описаний ще навесні 2016-го, але виробники антивірусів вважають, що атака відбулася через якусь іншу, нову шкідливу програму.
Потужна хакерська атака вдень 27 червня вдарила спочатку по Україні, а потім і по кількох великих російських та зарубіжних компаніях. Вірус, який багато хто прийняв за торішній Petya, поширюється на комп'ютерах з операційною системою Windows через спам-лист із посиланням, на кліку на яку відкривається вікно, що запитує права адміністратора. Якщо користувач дозволяє програмі доступ до свого комп'ютера, то вірус починає вимагати у користувача гроші - 300 доларів біткоін, причому сума подвоюється через якийсь час.
Вірус Petya, виявлений на початку 2016 року, поширювався за такою ж схемою, тому багато користувачів вирішили, що це він і є. Але фахівці з компаній-розробників антивірусного ПЗ вже заявили, що в атаці винен якийсь інший, абсолютно новий вірус, який вони ще вивчатимуть. Експерти з "Лабораторії Касперського" вже далиневідомому вірусу назва - NotPetya.
За попередніми даними, це не вірус Petya, як говорилося раніше, а нове невідоме нам шкідливе ПЗ. Тому ми назвали його NotPetya.
Там буде два текстових поля, під назвою Base64 encoded 512 bytes verification data і Base64 encoded 8 bytes nonce. Щоб отримати ключ, потрібно ввести дані, витягнуті програмою, у ці два поля.
Програма надасть пароль. Його треба буде ввести, вставивши диск та побачивши вікно вірусу.
Жертви кібератаки
Найбільше від невідомого вірусу постраждали українські компанії. Заражені виявилися комп'ютери аеропорту «Бориспіль», уряди України, магазинів, банків, ЗМІ та телекомунікаційних компаній. Після цього вірус дістався й Росії. Жертвами атаки стали "Роснефть", "Башнефть", Mondelеz International, Mars, Nivea.
Про проблеми з IT-системами через вірус заявили навіть деякі зарубіжні організації: британська рекламна кампанія WPP, американська Фармацевтична компанія Merck & Co, великий датський вантажоперевізник Maersk та інші. Про це у своєму твіттері написав Костін Райю, голова міжнародної дослідницької команди "Лабораторія Касперського".
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, велике число countries affected.
Захист від нового вірусу вигадують усім світом, хоча він лізе через ті ж «дірки», що й WannaCry
Після поширення шифрувальника WannaCry, комп'ютери по всьому світу знову зазнали кібератаків. Від вірусу Petya постраждали пристрої у різних країнах Європи та США. Проте більшою частиною збитків припала на комп'ютери в Росії та Україні, де постраждало близько 80 компаній. Вірус-вимагач вимагав від власників уражених ПК гроші чи криптовалюту, проте кіберфахівці знайшли спосіб не потрапити на вудку шахраїв. Про те, хто такий Petya і як уникнути зустрічі з ним – у матеріалі «Реального часу».
Жертви «Петі»: від «Роснафти» до Чорнобильської АЕС
Масове поширення вірусу Petya розпочалося 27 червня. Першою постраждала Україна: атаку зазнали комп'ютери великих енергетичних компаній – «Укренерго», ДТЕК та «Київенерго», повідомили місцеві ЗМІ. Співробітник однієї з компаній розповів журналістам, що вранці 27 червня його робочий комп'ютер перезавантажився, після чого система нібито розпочала перевірку жорсткого диска. Далі він побачив, що це відбувається на всіх комп'ютерах в офісі. Він вимкнув комп'ютер, проте після увімкнення на екрані пристрою з'явився напис з вимогою викупу. Вірусом виявились уражені і ПК деяких українських банків, казначейства України, Кабміну, компанії «Укртелеком» та аеропорту «Бориспіль».
Petya напав на комп'ютерну систему моніторингу радіаційного фону на Чорнобильській АЕС. При цьому всі системи станції працювали нормально, а радіаційне тло не перевищує контрольного, передає «Медуза». Увечері 27 червня на офіційній сторінці МВС України у Facebook з'явилося зверненнядо жителів країни з рекомендацією вимкнути комп'ютери, доки не буде розроблено спосіб боротьби з вірусом.
У Росії атаці вірусу-здирника Petya зазнали сервери «Роснефти». Прес-секретар "Роснефти" Михайло Леонтьєв побачив зв'язок хакерських атак вірусу Petya з позовом компанії до АФК "Система". В ефірі Business FM він назвав раціональною спробу використати вірус для знищення даних про управління "Башнефтью". Зафіксовано поодинокі випадки зараження об'єктів інформаційної інфраструктури банківської системи Росії. Банк «Хоум кредит» припинив проведення операцій через кібератак, також було порушено роботу сайту кредитної організації. Відділення працювали лише у консультаційному режимі, при цьому банкомати працювали у штатному режимі, повідомляє «Інтерфакс».
28 червня ЗМІ також повідомили про атаку на комп'ютери у Великій Британії, Голландії Данії, Іспанії, Індії, Литві, Франції та США.
Михайло Леонтьєв побачив зв'язок атак хакерських вірусу Petya з позовом до АФК «Система». Фото polit.ru
Захист від WannaCry безсилий проти «Петі»
Принцип дії Petya заснований на шифруванні головної завантажувального запису(MBR) завантажувального сектора диска. Цей запис - перший сектор на жорсткому диску, в ньому розташована таблиця розділів і програма-завантажувач, яка зчитує з цієї таблиці інформацію про те, з якого розділу жорсткого диска відбуватиметься завантаження системи. Вихідний MBR зберігається в 0x22 секторі диска і зашифрований за допомогою побайтової операції XOR з 0x07. У результаті, інформація на диску комп'ютера заміняться даними вірусу, повідомляють фахівці Positive Technologies.
Після запуску шкідливого файлустворюється завдання перезапуск комп'ютера, відкладена на 1-2 години. Якщо диск виявився успішно зашифрованим після перезавантаження, на екран виводиться повідомлення з вимогою заплатити викуп 300 доларів (або віддати криптовалютою) для отримання ключа розблокування файлів. До речі, поштова адреса, яку використовували здирники, вже заблокована, що робить переказ грошей марною.
Petya використовує вразливість Windows – експлойт під кодовою назвою EternalBlue. За допомогою цієї ж уразливості в комп'ютери вторгався сумнозвісний WannaCry. Завдяки експлойту, Petya поширювався через Windows Management Instrumentation (інструмент для централізованого керування та стеження за роботою різних частин комп'ютерної інфраструктури під керуванням) платформи Windows) та PsExec (дозволяє виконувати процеси у віддалених системах), отримуючи максимальні привілеї на вразливій системі. Це й дозволяло вірусу продовжувати роботу навіть за встановлених на комп'ютерах оновлень проти WannaCry.
Команда bootrec /fixMbr та запис у «Блокнот»
Відомий французький хакер та розробник програм Матьє Суше у своєму Twitter
Вірус «Петя»:як не зловити, як розшифрувати, звідки взявся - останні новинипро вірус-вимагач Petya, який до третього дня своєї «діяльності» вразив близько 300 тисяч комп'ютерів у різних країнах світу, і поки його ніхто не зупинив.
Вірус Petya – як розшифрувати останні новини.Творці шифрувальника «Петя» після нападу на комп'ютер вимагають викуп у 300 доларів (у биткоинах), але розшифрувати вірус Petya, навіть якщо користувач заплатить гроші, можливості немає. Фахівці «Лабораторії Касперського», які розглянули у новому вірусі відмінності від «Петі» та назвали його ExPetr, стверджують – для розшифровки потрібен унікальний ідентифікатор конкретної установки трояна.
У раніше відомих версіях схожих шифрувальників Petya/Mischa/GoldenEye ідентифікатор установки містив необхідну для цього інформацію. У випадку ExPetr цього ідентифікатора немає, пише РІА Новини.
Вірус «Петя» – звідки взявся останні новини.Німецькі фахівці з безпеки висунули першу версію, звідки взяв свій шлях цей шифрувальник. На їхню думку, вірус Petya почав гуляти комп'ютерами з відкриття файлів M.E.Doc. Це програма бухгалтерської звітності, яка використовується в Україні після заборони 1С.
Тим часом, у «Лабораторії Касперського» говорять про те, що висновки про походження та джерело поширення вірусу ExPetr робити поки що зарано. Не виключено, що зловмисники мали великі дані. Наприклад, е-майл адреси з попередньої розсилки або якісь інші ефективні способипроникнення у комп'ютери.
З їхньою допомогою вірус «Петя» і обрушився усією потужністю на Україну та Росію, а також інші країни. Але реальний масштаб цієї атаки хакерів буде зрозумілий через кілька днів - повідомляє .
Вірус «Петя»: як не зловити, як розшифрувати, звідки взявся – останні новинипро вірус-вимагач Petya, який вже отримав у «Лабораторії Касперського» нове ім'я – ExPetr.
Британія, США та Австралія офіційно звинуватили Росію у поширенні NotPetya
15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.
За твердженням британської влади, ця атака продемонструвала подальшу зневагу щодо суверенітету України, і в результаті цих безрозсудних дій було порушено роботу багатьох організацій по всій Європі, що призвело до багатомільйонних збитків.
У Міністерстві зазначили, що висновок про причетність до кібератаки російського уряду та Кремля було зроблено на підставі укладання Національного центру кібербезпеки Великобританії (UK National Cyber Security Centre), який «практично повністю впевнений у тому, що за атакою NotPetya стоять російські військові». У заяві сказано, що і її союзники не зазнають шкідливої кіберактивності.
За словами Міністра у справах правоохоронних органів та кібербезпеки Австралії Енгуса Тейлора (Angus Taylor), на основі даних австралійських спецслужб, а також консультацій зі США та Великобританією, австралійський уряд уклав, що відповідальність за інцидент несуть зловмисники, які підтримує уряд РФ. «Австралійський уряд засуджує поведінку Росії, яка створює серйозні ризики для світової економіки, урядових операцій та послуг, ділової активності, а також безпеки та благополуччя окремих осіб», - випливає із заяви. Кремль, який раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»
Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"
Пам'ятник комп'ютерному вірусу Petya встановили у грудні 2017 року біля будівлі Технопарку Сколково. Двометровий монумент з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкусаного жорсткого диска, був створений за підтримки компанії ІНВІТРО, серед інших компаній, що постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює у Фізтехпарку та (МТІ) спеціально приїхав на церемонію, щоб вимовити урочисту промову.
Атака на уряд Севастополя
Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.
Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах державні установиСевастополя.
Орієнтованість на використання вільного програмного забезпечення закладена у концепції інформатизації Севастополя, затвердженої у 2015 році. У ній вказується, що при закупівлі та розробці базового ПЗ, а також ПЗ інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витратита знизити залежність від постачальників та розробників.
Раніше, наприкінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждала і філія її філія, розташована в Севастополі. Через поразку вірусу комп'ютерної мережіфілія тимчасово призупинила видачу результатів аналізів до усунення причин.
«Інвітро» заявила про призупинення прийому аналізів через кібератаки
Медична компанія «Інвітро» призупинила збирання біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор із корпоративних комунікацій компанії Антон Буланов.
Як йдеться в повідомленні компанії, найближчим часом "Інвітро" перейде до штатного режиму роботи. Результати досліджень, проведених пізніше за цей час, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторна інформаційна системавідновлено, йде процес її налаштування. «Ми шкодуємо про форс-мажорну ситуацію, що склалася, і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».
За цими даними, атаці комп'ютерного вірусузазнали клініки в Росії, Білорусії та Казахстані.
Атака на «Газпром» та інші нафтогазові компанії
29 червня 2017 року стало відомо про глобальну кібератаку на комп'ютерні системи "Газпрому". Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.
Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді та людину, яка брала участь у розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої програми Petya, яка атакувала комп'ютери загалом більш ніж у 60 країнах світу.
Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також розмір збитків, завданих хакерами. У компанії відмовилися від коментарів на запит Reuters.
Тим часом високопоставлене джерело РБК у «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна хакерська атака (27 червня 2017 року), і продовжують через два дні. Ще два джерела РБК у «Газпромі» також запевнили, що у компанії «все спокійно» і жодних вірусів немає.
У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» та «Роснефть». Остання заявила 28 червня про те, що компанія працює у штатному режимі, а «окремі проблеми» оперативно вирішуються.
Банки та промисловість
Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виготовляє форма для тварин) та російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold та Milka).
Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках та у соціальних мережах опублікував відео з докладним описомпроцесу запуску здирницького ПЗ на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку в соціальної мережіна яку завантажив шкідливу програму. У ході обшуків у квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, що використовується поширення NotPetya. Також поліцейські виявили файли зі шкідливим ПЗ, після аналізу яких було підтверджено його схожість із здирником NotPetya. Як встановили співробітники кіберполіції, здирницька програма, посилання на яку опублікував нікопольчанин, було завантажено користувачами соцмережі 400 разів.
Серед правоохоронців, що завантажили NotPetya, виявили компанії, які навмисно заражали свої системи здирницьким ПЗ для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіка з хакерськими атаками 27 червня цього року, тобто про будь-яку його причетність до авторів NotPetya не йдеться. Осудні йому дії стосуються лише процесів, скоєних у липні поточного року - після хвилі масштабних кібератак.
Відносно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання у роботу ЕОМ) КК України. Нікопольцю загрожує до 3 років позбавлення волі.
Поширення у світі
Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливу програму в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати приналежність вантажів.
Про кібератаку повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших у світі юридичних компаній DLA Piper та харчовий гігант Mondelez. Серед постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain та фармкомпанія Merck & Co.
Merck
Американський фармацевтичний гігант Merck, який сильно постраждав внаслідок червневої атаки вірусу-шифрувальника NotPetya, досі не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється у звіті компанії за формою 8-K, поданому до Комісії з цінних паперів та бірж США (SEC) наприкінці липня 2017 року. Детальніше .
Moller-Maersk та «Роснефть»
3 липня 2017 року стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-вимагачем Petya ІТ-системи лише майже через тиждень після атаки, що сталася 27 червня.
У судноплавній компанії Maersk, на частку якої припадає кожен сьомий вантажний контейнер, що відправляється у світі, також додали, що всі 1500 додатків, що постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.
Постраждали переважно ІТ-системи компанії APM Terminals, що належить Maersk, яка управляє роботою десятків вантажних портів і контейнерних терміналів у більш ніж 40 країнах. За добу понад 100 тис. вантажних контейнерів проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II у Роттердамі відновив постачання 3 липня.
16 серпня 2017 року A.P. Moller-Maersk назвала зразкову суму збитків від кібернападу за допомогою вірусу Petya, зараження яким, як зазначили в європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya у другій чверті 2017 року становили від 200 до 300 млн доларів.
Тим часом майже тиждень на відновлення комп'ютерних системвід хакерської атаки знадобилося також «Роснефти», про що 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу»:
Декількома днями раніше «Роснефть» наголошувала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.
Принцип дії Petya
Справді, жертви вірусу неможливо розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили такої можливості взагалі. Тобто зашифрований диск апріорі не піддається дешифруванню. В ідентифікаторі шкідливої програми немає інформації, необхідної для розшифровки.
Спочатку експерти зарахували вірус, що вразив близько двох тисяч комп'ютерів у Росії, Україні, Польщі, Італії, Німеччині, Франції та інших країнах до вже відомого сімейства здирників Petya. Однак виявилося, що йдеться про нове сімейство шкідливого ПЗ. "Лабораторія Касперського" охрестила новий шифрувальник ExPetr.
Як боротися
Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу та держави
Метод відновлення даних від Positive Technologies
7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод можна застосувати, якщо вірус NotPetya мав адміністративні привілеї і зашифрував диск повністю.
Можливість відновлення даних пов'язана з помилками реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному із зашифрованих жорстких дисків великої компанії, що опинилася серед жертв епідемії.
Компанії та незалежні розробники, що спеціалізуються на відновленні даних, можуть вільно використовувати та автоматизувати представлений сценарій розшифровки.
Результати розслідування підтвердили українські кіберполіцейські. Висновки слідства «Юскутум» збирається використовувати як ключовий доказ у майбутньому проти Intellect-Service.
Процес матиме громадянський характер. Незалежне розслідування проводять правоохоронці України. Їхні представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.
У компанії M.E.Doc заявили про те, що те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПЗ вважає, що обшук, проведений в компанії кіберполіцією України, став частиною реалізації цього плану.
Початковий вектор зараження шифратором Petya
17 травня вийшло оновлення M.E.Doc, що не містить шкідливого модуля бекдора. Ймовірно, цим можна пояснити порівняно невелику кількість заражень XData, вважають у компанії. Атакуючі не очікували виходу апдейта 17 травня і запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.
Бекдор дозволяє завантажувати і виконувати в зараженій системі інше шкідливе програмне забезпечення - так здійснювалося початкове зараження шифраторами Petya і XData. Крім того, програма збирає налаштування проксі-серверів та e-mail, включаючи логіни та паролі з програми M.E.Doc, а також коди компаній ЄДРПОУ (Єдиного державного реєстру підприємств та організацій України), що дозволяє ідентифікувати жертв.
«Нам належить відповісти на низку питань, – розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди та шкідливі програми, крім Petya і XData, були направлені через цей канал? Які ще інфраструктури скомпрометувала, але поки що не використовувала кібергрупа, яка стоїть за цією атакою?».
За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми та цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) та кібергрупою Telebots. Достовірно визначити, хто стоїть за діяльністю цього угрупування, поки що не вдалося.
Сьогодні вірус-вимагач атакував безліч комп'ютерів у державному, комерційному та приватному секторах України.
Безпрецедентна хакерська атака нокаутувала безліч комп'ютерів та серверів у державних органах та комерційних організаціяхпо всій країні
Масштабна та ретельно спланована кібер-атака вивела сьогодні з ладу об'єкти критичної інфраструктури багатьох держпідприємств та компаній. Про це повідомила Служба безпеки (СБУ).
Починаючи з обіду в інтернеті як снігова куля почали з'являтися повідомлення про зараження комп'ютерів у державному та приватному секторі. Представники урядових установ заявили про хакерських атакахна їхню IT-інфраструктуру.
За даними СБУ, зараження переважно відбувалося внаслідок відкриття word- та pdf-файлів, які зловмисники розсилали по електронній пошті. Вірус-вимагач (ransomware) Petya.A використовував мережеву вразливість операційній системі Windows. За розблокування зашифрованих даних кібер-злочинці вимагали оплату в біткоїнах розміром $300.
Секретар Ради національної безпекита оборони Олександр Турчинов заявив, що держоргани, які були включені до захищеного контуру - спеціального інтернет-вузолу - не зазнали пошкоджень. Очевидно, Кабінет Міністрів належним чином не виконав рекомендації Національного координаційного центру кібербезпеки, тому що урядові комп'ютери постраждали від Petya.A. Не встояли перед сьогоднішньою атакою Мінфін, ЧАЕС, Укренерго, Укрпошта, Нова Поштата ряд банків.
Якийсь час навіть не відкривалися інтернет-сторінки СБУ, кіберполіції та Державної служби спеціального зв'язку та захисту інформації (ДСРСЗІ).
Станом на вечір вівторка, 27 червня, жоден із правоохоронних органів, в обов'язки яких входить боротьба з кібер-атаками, не повідомив, звідки взявся Petya.A і хто за ним стоїть. СБУ, Кіберполіція (сайт якої не працював цілий день), ДСРСЗІ зберігали олімпійське мовчання щодо розміру заподіяної вірусом-вимагачем шкоди.