Вірус петя вражає лише диск с. Новий вірус Petya (Петя) маскується під резюме кадровиків. Опис вірусу "Petya"

Захист від нового вірусу вигадують усім світом, хоча він лізе через ті ж «дірки», що й WannaCry

Після поширення шифрувальника WannaCry, комп'ютери по всьому світу знову зазнали кібератаків. Від вірусу Petya постраждали пристрої у різних країнах Європи та США. Проте більшою частиною збитків припала на комп'ютери в Росії та Україні, де постраждало близько 80 компаній. Вірус-вимагач вимагав від власників уражених ПК гроші чи криптовалюту, проте кіберфахівці знайшли спосіб не потрапити на вудку шахраїв. Про те, хто такий Petya і як уникнути зустрічі з ним – у матеріалі «Реального часу».

Жертви «Петі»: від «Роснафти» до Чорнобильської АЕС

Масове поширення вірусу Petya розпочалося 27 червня. Першою постраждала Україна: атаку зазнали комп'ютери великих енергетичних компаній – «Укренерго», ДТЕК та «Київенерго», повідомили місцеві ЗМІ. Співробітник однієї з компаній розповів журналістам, що вранці 27 червня його робочий комп'ютер перезавантажився, після чого система нібито розпочала перевірку жорсткого диска. Далі він побачив, що це відбувається на всіх комп'ютерах в офісі. Він вимкнув комп'ютер, проте після увімкнення на екрані пристрою з'явився напис з вимогою викупу. Вірусом виявились уражені і ПК деяких українських банків, казначейства України, Кабміну, компанії «Укртелеком» та аеропорту «Бориспіль».

Petya напав на комп'ютерну систему моніторингу радіаційного фону на Чорнобильській АЕС. При цьому всі системи станції працювали нормально, а радіаційне тло не перевищує контрольного, передає «Медуза». Увечері 27 червня на офіційній сторінці МВС України у Facebook з'явилося зверненнядо жителів країни з рекомендацією вимкнути комп'ютери, доки не буде розроблено спосіб боротьби з вірусом.

У Росії атаці вірусу-здирника Petya зазнали сервери «Роснефти». Прес-секретар "Роснефти" Михайло Леонтьєв побачив зв'язок хакерських атак вірусу Petya з позовом компанії до АФК "Система". В ефірі Business FM він назвав раціональною спробу використати вірус для знищення даних про управління "Башнефтью". Зафіксовано поодинокі випадки зараження об'єктів інформаційної інфраструктури банківської системи Росії. Банк «Хоум кредит» припинив проведення операцій через кібератак, також було порушено роботу сайту кредитної організації. Відділення працювали лише у консультаційному режимі, при цьому банкомати працювали у штатному режимі, повідомляє «Інтерфакс».

28 червня ЗМІ також повідомили про атаку на комп'ютери у Великій Британії, Голландії Данії, Іспанії, Індії, Литві, Франції та США.

Михайло Леонтьєв побачив зв'язок атак хакерських вірусу Petya з позовом до АФК «Система». Фото polit.ru

Захист від WannaCry безсилий проти «Петі»

Принцип дії Petya заснований на шифруванні головної завантажувального запису(MBR) завантажувального сектора диска. Цей запис - перший сектор на жорсткому диску, в ньому розташована таблиця розділів і програма-завантажувач, яка зчитує з цієї таблиці інформацію про те, з якого розділу жорсткого диска відбуватиметься завантаження системи. Вихідний MBR зберігається в 0x22 секторі диска і зашифрований за допомогою побайтової операції XOR з 0x07. У результаті, інформація на диску комп'ютера заміняться даними вірусу, повідомляють фахівці Positive Technologies.

Після запуску шкідливого файлустворюється завдання перезапуск комп'ютера, відкладена на 1-2 години. Якщо диск виявився успішно зашифрованим після перезавантаження, на екран виводиться повідомлення з вимогою заплатити викуп 300 доларів (або віддати криптовалютою) для отримання ключа розблокування файлів. До речі, поштова адреса, яку використовували здирники, вже заблокована, що робить переказ грошей марною.

Petya використовує вразливість Windows – експлойт під кодовою назвою EternalBlue. За допомогою цієї ж уразливості в комп'ютери вторгався сумнозвісний WannaCry. Завдяки експлойту, Petya поширювався через Windows Management Instrumentation (інструмент для централізованого керування та стеження за роботою різних частин комп'ютерної інфраструктури під керуванням) платформи Windows) та PsExec (дозволяє виконувати процеси у віддалених системах), отримуючи максимальні привілеї на вразливій системі. Це й дозволяло вірусу продовжувати роботу навіть за встановлених на комп'ютерах оновлень проти WannaCry.

Команда bootrec /fixMbr та запис у «Блокнот»

Відомий французький хакер та розробник програм Матьє Суше у своєму Twitter

Британія, США та Австралія офіційно звинуватили Росію у поширенні NotPetya

15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.

За твердженням британської влади, ця атака продемонструвала подальшу зневагу щодо суверенітету України, і в результаті цих безрозсудних дій було порушено роботу багатьох організацій по всій Європі, що призвело до багатомільйонних збитків.

У Міністерстві зазначили, що висновок про причетність до кібератаки російського уряду та Кремля було зроблено на підставі укладання Національного центру кібербезпеки Великобританії (UK National Cyber ​​Security Centre), який «практично повністю впевнений у тому, що за атакою NotPetya стоять російські військові». У заяві сказано, що і її союзники не зазнають шкідливої ​​кіберактивності.

Кремль, який раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»

Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"

Пам'ятник комп'ютерному вірусу Petya встановили у грудні 2017 року біля будівлі Технопарку Сколково. Двометровий монумент з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкусаного жорсткого диска, був створений за підтримки компанії ІНВІТРО, серед інших компаній, що постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює у Фізтехпарку та (МТІ) спеціально приїхав на церемонію, щоб вимовити урочисту промову.

Атака на уряд Севастополя

Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.

Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах державні установиСевастополя.

Орієнтованість на використання вільного програмного забезпечення закладена у концепції інформатизації Севастополя, затвердженої у 2015 році. У ній вказується, що при закупівлі та розробці базового ПЗ, а також ПЗ інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витратита знизити залежність від постачальників та розробників.

Раніше, наприкінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждала і філія її філія, розташована в Севастополі. Через поразку вірусу комп'ютерної мережіфілія тимчасово призупинила видачу результатів аналізів до усунення причин.

«Інвітро» заявила про призупинення прийому аналізів через кібератаки

Медична компанія «Інвітро» призупинила збирання біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор із корпоративних комунікацій компанії Антон Буланов.

Як йдеться в повідомленні компанії, найближчим часом "Інвітро" перейде до штатного режиму роботи. Результати досліджень, проведених пізніше за цей час, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторна інформаційна системавідновлено, йде процес її налаштування. «Ми шкодуємо про форс-мажорну ситуацію, що склалася, і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».

За цими даними, атаку комп'ютерного вірусу зазнали клініки в Росії, Білорусії та Казахстані.

Атака на «Газпром» та інші нафтогазові компанії

29 червня 2017 року стало відомо про глобальну кібератаку на комп'ютерні системи "Газпрому". Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.

Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді та людину, яка брала участь у розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої ​​програми Petya, яка атакувала комп'ютери загалом більш ніж у 60 країнах світу.

Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також розмір збитків, завданих хакерами. У компанії відмовилися від коментарів на запит Reuters.

Тим часом високопоставлене джерело РБК у «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна хакерська атака(27 червня 2017 року), і продовжують через два дні. Ще два джерела РБК у «Газпромі» також запевнили, що у компанії «все спокійно» і жодних вірусів немає.

У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» та «Роснефть». Остання заявила 28 червня про те, що компанія працює у штатному режимі, а «окремі проблеми» оперативно вирішуються.

Банки та промисловість

Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виготовляє форма для тварин) та російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold та Milka).

Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках та у соціальних мережах опублікував відео з докладним описомпроцесу запуску здирницького ПЗ на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку в соціальної мережі, на яку завантажив шкідливу програму. У ході обшуків у квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, що використовується поширення NotPetya. Також поліцейські виявили файли зі шкідливим ПЗ, після аналізу яких було підтверджено його схожість із здирником NotPetya. Як встановили співробітники кіберполіції, здирницька програма, посилання на яку опублікував нікопольчанин, було завантажено користувачами соцмережі 400 разів.

Серед правоохоронців, що завантажили NotPetya, виявили компанії, які навмисно заражали свої системи здирницьким ПЗ для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіка з хакерськими атаками 27 червня цього року, тобто про будь-яку його причетність до авторів NotPetya не йдеться. Осудні йому дії стосуються лише процесів, скоєних у липні поточного року - після хвилі масштабних кібератак.

Відносно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання у роботу ЕОМ) КК України. Нікопольцю загрожує до 3 років позбавлення волі.

Поширення у світі

Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливу програму в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати приналежність вантажів.

Про кібератаку повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших у світі юридичних компаній DLA Piper та харчовий гігант Mondelez. Серед постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain та фармкомпанія Merck & Co.

Merck

Американський фармацевтичний гігант Merck, який сильно постраждав внаслідок червневої атаки вірусу-шифрувальника NotPetya, досі не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється у звіті компанії за формою 8-K, поданому до Комісії з цінних паперів та бірж США (SEC) наприкінці липня 2017 року. Детальніше .

Moller-Maersk та «Роснефть»

3 липня 2017 року стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-вимагачем Petya ІТ-системи лише майже через тиждень після атаки, що сталася 27 червня.

У судноплавній компанії Maersk, на частку якої припадає кожен сьомий вантажний контейнер, що відправляється у світі, також додали, що всі 1500 додатків, що постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.

Постраждали переважно ІТ-системи компанії APM Terminals, що належить Maersk, яка управляє роботою десятків вантажних портів і контейнерних терміналів у більш ніж 40 країнах. За добу понад 100 тис. вантажних контейнерів проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II у Роттердамі відновив постачання 3 липня.

16 серпня 2017 року A.P. Moller-Maersk назвала зразкову суму збитків від кібернападу за допомогою вірусу Petya, зараження яким, як зазначили в європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya у другій чверті 2017 року становили від 200 до 300 млн доларів.

Тим часом майже тиждень на відновлення комп'ютерних системвід хакерської атаки знадобилося також «Роснефти», про що 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу»:

Декількома днями раніше «Роснефть» наголошувала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.

Принцип дії Petya

Справді, жертви вірусу неможливо розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили такої можливості взагалі. Тобто зашифрований диск апріорі не піддається дешифруванню. В ідентифікаторі шкідливої ​​програми немає інформації, необхідної для розшифровки.

Спочатку експерти зарахували вірус, що вразив близько двох тисяч комп'ютерів у Росії, Україні, Польщі, Італії, Німеччині, Франції та інших країнах до вже відомого сімейства здирників Petya. Однак виявилося, що йдеться про нове сімейство шкідливого ПЗ. "Лабораторія Касперського" назвала новий шифрувальник ExPetr.

Як боротися

Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу та держави

Метод відновлення даних від Positive Technologies

7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод можна застосувати, якщо вірус NotPetya мав адміністративні привілеї і зашифрував диск повністю.

Можливість відновлення даних пов'язана з помилками реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному із зашифрованих жорстких дисківвеликої компанії, яка опинилася серед жертв епідемії.

Компанії та незалежні розробники, що спеціалізуються на відновленні даних, можуть вільно використовувати та автоматизувати представлений сценарій розшифровки.

Результати розслідування підтвердили українські кіберполіцейські. Висновки слідства «Юскутум» збирається використовувати як ключовий доказ у майбутньому проти Intellect-Service.

Процес матиме громадянський характер. Незалежне розслідування проводять правоохоронці України. Їхні представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.

У компанії M.E.Doc заявили про те, що те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПЗ вважає, що обшук, проведений в компанії кіберполіцією України, став частиною реалізації цього плану.

Початковий вектор зараження шифратором Petya

17 травня вийшло оновлення M.E.Doc, що не містить шкідливого модуля бекдора. Ймовірно, цим можна пояснити порівняно невелику кількість заражень XData, вважають у компанії. Атакуючі не очікували виходу апдейта 17 травня і запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.

Бекдор дозволяє завантажувати і виконувати в зараженій системі інше шкідливе програмне забезпечення - так здійснювалося початкове зараження шифраторами Petya і XData. Крім того, програма збирає налаштування проксі-серверів та e-mail, включаючи логіни та паролі з програми M.E.Doc, а також коди компаній ЄДРПОУ (Єдиного державного реєстру підприємств та організацій України), що дозволяє ідентифікувати жертв.

«Нам належить відповісти на низку питань, – розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди та шкідливі програми, окрім Petya та XData, були спрямовані через цей канал? Які ще інфраструктури скомпрометувала, але поки що не використовувала кібергрупа, яка стоїть за цією атакою?».

За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми та цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) та кібергрупою Telebots. Достовірно визначити, хто стоїть за діяльністю цього угрупування, поки що не вдалося.

Можливо, ви вже в курсі про хакерську загрозу, зафіксовану 27 червня 2017 року в країнах Росії та України, що зазнали масштабної атаки схожої на WannaCry. Вірус блокує комп'ютери і вимагає викуп у біткоїни за дешифрування файлів. Загалом постраждали понад 80 компаній в обох країнах, включаючи російські «Роснефть» та «Башнефть».

Вірус-шифрувальник, як і сумнозвісний WannaCry, заблокував усі дані комп'ютера і вимагає перевести злочинцям викуп у біткоїнах, еквівалентний $300. Але на відміну від Wanna Cry, Petya не обтяжує шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий дискцілком.

Правильна назва цього вірусу – Petya.A. Звіт ESET розкриває деякі можливості Diskcoder.C (він же ExPetr, PetrWrap, Petya або NotPetya)

За статистикою всіх постраждалих, вірус поширювався у фішингових листах із зараженими вкладеннями. Зазвичай лист надходить із проханням відкрити текстовий документ, а як ми знаємо друге розширення файлу txt.exeховається, а пріоритетним є останнє розширення файлу. За замовчуванням операційна система Windowsне відображає розширення файлів і вони випрасують ось так:

У 8.1 у вікні провідника (Вигляд \ Параметри папок \ Забираємо галочку Приховувати розширення для зареєстрованих типів файлів)

У 7 у вікні провідника (Alt \ Сервіс \ Параметри папок \ Забираємо галочку Приховувати розширення для зареєстрованих типів файлів)

І найстрашніше, що користувачів навіть не бентежить, що листи надходять від невідомих користувачів і просять відкрити незрозумілі файли.

Після відкриття файлу користувач бачить « синій екрансмерті».

Після перезавантаження, схоже на те, що запускається Скан диск насправді, вірус шифрує файли.

На відміну від інших програм-вимагачів, після того, як цей вірус запущено, він негайно перезапускає ваш комп'ютер, і коли він завантажується знову, на екрані з'являється повідомлення: “НЕ ВИМИКАЙТЕ ВАШ ПК! ЯКЩО ВИ Зупиніть цей процес, ВИ МОЖЕТЕ ЗНИЩИТИ ВСЕ ВАШІ ДАНІ! Будь ласка, переконайтеся, що ваш комп'ютер підключений до зарядки!”. Хоча це може виглядати як системна помилка, насправді в даний момент Petya мовчки виконує шифрування в прихованому режимі. Якщо користувач намагається перезавантажити систему або зупинити шифрування файлів, на екрані з'являється миготливий червоний скелет разом із текстом “НАТИСНІТЬ будь-яку клавішу!”. Нарешті, після натискання кнопки, з'явиться нове вікно із запискою про викуп. У цій записці, жертву просять заплатити 0.9 біткойнів, що дорівнює приблизно $400. Проте це ціна тільки за один комп'ютер. Тому для компаній, які мають безліч комп'ютерів, сума може становити тисячі. Що також відрізняє цього здирника, так це те, що він дає цілий тиждень, щоб заплатити викуп, замість звичайних 12-72 годин, які дають інші віруси цієї категорії.

Більше того, проблеми із Petya на цьому не закінчуються. Після того, як цей вірус потрапляє в систему, він намагатиметься переписати завантажувальні файли Windowsабо так званий завантажувальний майстер запису, необхідний для завантаження операційної системи. Ви не зможете видалити Petya вірус з вашого комп'ютера, якщо ви не відновите налаштування завантажувального майстра запису (MBR). Навіть якщо вам вдасться виправити ці налаштування та видалити вірус із вашої системи, на жаль, ваші файли залишатимуться зашифрованими, тому що видалення вірусу не забезпечує розшифровку файлів, а просто видаляє інфекційні файли. Звичайно, видалення вірусу має важливе значення, якщо ви хочете продовжити роботу з комп'ютером

Після потрапляння на комп'ютер під керуванням системи Windows, Petya практично миттєво зашифровує MFT (Master File Table - головна таблиця файлів). За що відповідає ця таблиця?

Уявіть, що ваш жорсткий диск – це найбільша бібліотека у всьому всесвіті. У ній містяться мільярди книг. То як же знайти потрібну книгу? Лише за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петра. Таким чином, ви втрачаєте будь-яку можливість знайти будь-який файл на вашому ПК. Якщо бути ще точніше, то після «роботи» Petya жорсткий диск вашого комп'ютера нагадуватиме бібліотеку після торнадо, з уривками книг, що літають усюди.

Таким чином, на відміну від Wanna Cry, Petya.A не шифрує окремі файли, витрачаючи на цей значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Хто створив вірус Петя?

Під час створення вірусу Петя був задіяний експлойт («дірка») в ОС Windows під назвою «EternalBlue». Microsoft випустив патч kb4012598(з раніше випущених уроків з WannaCry ми вже розповідали про це оновлення, яке «закриває» цю дірку.

Творець «Petya» зумів з розумом використовувати безтурботність корпоративних та приватних користувачів та заробити на цьому. Його особистість поки що невідома (та й навряд чи буде відома)

Як видалити вірус petya?

Як видалити вірус Petya.A з жорсткого диска? Це дуже цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то й видаляти буде фактично нічого. Якщо ви не плануєте платити здирникам (чого робити не варто) і не намагатиметеся відновлювати дані на диску надалі, вам досить просто зробити форматування диска і заново встановити ОС. Після цього від вірусу не залишиться сліду.

Якщо ж ви підозрюєте, що на вашому диску є заражений файл - проскануйте ваш диск антивірусом від компанії ESET Nod 32 та проведіть повне сканування системи. Компанія NOD 32 запевнила, що в його базі сигнатур вже є відомості про цей вірус.

Дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом шифрування. На даний момент не існує рішення для розшифровування заблокованих відомостей.

Безперечно, ми б усі мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус WannaCry вразив світ кілька місяців тому, але ліки для розшифрування даних, які він зашифрував, так і не знайдено.

Єдиний варіант, якщо раніше у вас були тіньові копії файлів.

Тому, якщо ви ще не стали жертвою вірусу Petya.A – оновіть ОС систему, встановіть антивірус від компанії ESET NOD 32. Якщо ви все ж таки втратили контроль над своїми даними – то у вас є кілька шляхів.

Заплатити гроші. Робити це безглуздо!Фахівці вже з'ясували, що дані автор вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.

Спробуйте видалити вірус з комп'ютера, а ваші файли спробувати відновити за допомогою тіньової копії (вірус не вражає)

Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і натискати на появи дешифратора.

Форматування диска та встановлення операційної системи. Мінус – усі дані будуть втрачені.

Petya.A та Android, iOS, Mac, Linux

Багато користувачів турбуються - «а чи може вірус Petya заразити їх пристрої під управлінням Androidта iOS. Поспішаю їх заспокоїти – ні, не може. Він розрахований лише на користувачів Windows. Те саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.

Ряд російських та українських компаній зазнали атаки вірусу-шифрувальника Petya. Мережеве видання сайт поспілкувалося з експертами з Лабораторії Касперського, інтерактивного агентства AGIMA і з'ясувало, як захистити корпоративні комп'ютери від вірусу і чим схожий на не менш відомий Petya вірус-шифрувальник WannaCry.

Вірус "Петя"

У Росії компанії "Роснефть", "Башнефть", Mars, Nivea та виробник шоколаду Alpen Gold Mondelez International. Вірус-вимагач – систему радіаційного моніторингу Чорнобильської атомної електростанції. Крім того, атака торкнулася комп'ютерів уряду України, "Приватбанку" та операторів зв'язку. Вірус блокує комп'ютери та вимагає викуп 300 доларів у біткоїнах.

У мікроблозі у Twitter прес-служба "Роснефти" розповіла про хакерську атаку на сервери компанії. "На сервери компанії здійснено потужну хакерську атаку. Ми сподіваємося, що це ніяк не пов'язано з поточними судовими процедурами. За фактом кібератаки компанія звернулася до правоохоронних органів", - наголошується в повідомленні.

За словами прес-секретаря компанії Михайла Леонтьєва, "Роснефть" та її дочірні спільноти працюють у штатному режимі. Після атаки компанія перейшла на резервну системууправління виробничими процесами, так що видобуток та підготовка нафти не зупинено. Атаку зазнала також система банку Home Credit.

"Петя" не заражає без "Міші"

За словами виконавчого директора AGIMA Євгена Лобанова, насправді атака була проведена двома вірусами-шифрувальниками: Petya та Misha.

"Вони працюють у зв'язці. "Петя" не заражає без "Міші". Він може заражати, але вчорашня атака була двома вірусами: спочатку Petya, потім Misha. "Петя" переписує boot-девайс (звідки іде завантаженнякомп'ютера), а Мишко – шифрує файли за певним алгоритмом, – пояснив фахівець. - Petya шифрує завантажувальний сектордиска (MBR) і замінює його власним, Misha шифрує вже всі файли на диску (не завжди)".

Він зазначив, що вірус-шифрувальник WannaCry, який атакував великі світові компанії у травні цього року, не схожий на "Петю", це нова версія.

"Petya.A з сімейства WannaCry (а точніше WannaCrypt), але головна відмінність чому це не той самий вірус, це те, що підміняється MBR власним завантажувальним сектором - це новинка для Ransomware. Вірус Petyaз'явився давно, на GitHab (онлайн-сервіс для IT-проектів та спільного програмування – сайт) був дешифратор для цього шифрувальника, проте до нової Модифікації ніякий дешифрувальник не підходить.

Євген Лобанов підкреслив, що атака сильніше вдарила по Україні, ніж по Росії.

"Ми більше схильні до атак, ніж інші країни Заходу. Від цієї версії вірусу ми будемо захищені, але від його доробок – ні. У нас інтернет небезпечний, в Україні ще менше. мобільні оператори(Vodafone, Київстар) та медичні компанії, той же Фарммаг, автозаправки Shell – усі дуже великі трансконтинентальні компанії", – розповів він у розмові з сайтом.

Виконавчий директор AGIMA зазначив, що поки що немає жодних фактів, які б вказували на географічне положення розповсюджувача вірусу. На його думку, вірус, ймовірно, з'явився саме в Росії. На жаль, прямих доказів цього нема.

Є припущення, що це наші хакери, оскільки перша модифікація з'явилася в Росії, а сам вірус, що ні для кого не секрет, був названий на честь Петра Порошенка. Це була розробка російських хакерів, але хто далі її зраджував – важко сказати. , Що перебуваючи навіть у Росії, легко отримати комп'ютер з геолокацією в США, наприклад, - пояснив експерт.

"Якщо раптом сталося "зараження" комп'ютера - не можна вимикати комп'ютер. Якщо перезавантажтеся, то більше ніколи не увійдете в систему"

"Якщо раптом сталося "зараження" комп'ютера - не можна вимикати комп'ютер, тому що вірус Petya підміняє MBR - перший завантажувальний сектор, з якого вантажиться операційна система. Якщо перезавантажитеся, то більше ніколи не увійдете в систему. Це відрубуєте відхідні шляхи, навіть якщо з'явиться" таблетка" повернути дані вже буде неможливо. Далі, потрібно відразу відключитися від інтернету, щоб комп'ютер не виходив у мережу. Зараз вже випущено офіційний патч від Microsoft, він забезпечує 98 відсотків гарантії безпеки. На жаль поки не 100 відсотків. Певну модифікацію вірусу три штуки) він поки що обходить", - рекомендував Лобанов. - Однак, якщо ви все-таки перезавантажилися і побачили початок процесу "перевірки диска", в цей момент потрібно відразу ж вимкнути комп'ютер і файли залишаться незашифрованими.

Крім того, експерт також розповів, чому найчастіше атакам зазнають користувачі Microsoft, а не MacOSX (операційна система Apple – сайт) та Unix-систем.

"Тут правильніше говорити не тільки про MacOSX, але і про всі unix-системи (принцип однаковий). Вірус поширюється тільки на комп'ютери, без мобільних пристроїв. Атаку схильна операційна система Windows і загрожує лише тим користувачам, які відключили функцію автоматичного оновленнясистеми. Оновлення як виняток доступні навіть для власників старих версій Windows, які вже не оновлюються: XP, Windows 8 та Windows Server 2003", – сказав експерт.

"MacOSХ і Unix таким вірусам глобально не піддаються, тому що багато великих корпорацій використовують інфраструктуру Microsoft. MacOSX не схильна, оскільки не так поширена в держструктурах. Під неї менше вірусів, їх не вигідно робити, тому що сегмент атаки буде менше, ніж якщо атакувати Microsoft", - сказав фахівець.

"Кількість атакованих користувачів досягла двох тисяч"

У прес-службі Лабораторії Касперського, Експерти якої продовжують розслідування останньої хвилі заражень, розповіли, що "цей шифрувальник не належить до вже відомого сімейства здирників Petya, хоча і має кілька спільних з ним рядків коду".

У Лабораторії впевнені, що у даному випадкуйдеться про нове сімейство шкідливого програмного забезпеченняз функціональністю, що істотно відрізняється від Petya. У Лабораторії Касперського назвали новий шифрувальник ExPetr.

"За даними Лабораторії Касперського, кількість атакованих користувачів досягла двох тисяч. Найбільше інцидентів було зафіксовано в Росії та Україні, також випадки зараження спостерігалися в Польщі, Італії, Великобританії, Німеччині, Франції, США та низці інших країн. Наразі наші експерти припускають , що дане шкідливе ПЗ використовувало кілька векторів атаки.Встановлено, що для поширення в корпоративних мережахзастосовувався модифікований експлоїт EternalBlue та експлоїт EternalRomance", – розповіли у прес-службі.

Експерти також вивчають можливість створення інструмента-дешифратора, за допомогою якого можна було б розшифрувати дані. У Лабораторії також надали рекомендації для всіх організацій, щоб уникнути атаки вірусу в майбутньому.

"Ми рекомендуємо організаціям встановити оновлення для ОС Windows. Для Windows XP і Windows 7 слід встановити оновлення безпеки MS17-010, а також переконатися, що вони мають ефективну систему резервного копіюванняданих. Своєчасне та безпечне резервування даних дає можливість відновити оригінальні файли, навіть якщо вони були зашифровані шкідливим програмним забезпеченням, - порадили експерти Лабораторії Касперського.

Своїм Корпоративним кліентамЛабораторія також рекомендує переконатися, що всі механізми захисту активовані, зокрема переконатися, що підключення до хмарної інфраструктури Kaspersky Security Network, як додатковий захід рекомендується використовувати компонент "Контроль активності програм", щоб заборонити всім групам програм доступ (а відповідно і виконання) файлу з назвою "perfc.dat" і т.д.

"Якщо ви не використовуєте продукти "Лабораторії Касперського", рекомендуємо заборонити виконання файлу з назвою perfc.dat, а також заблокувати запуск утиліти PSExec із пакета Sysinternals за допомогою функції AppLocker, що входить до складу ОС (операційної системи – сайт) Windows", – рекомендували в лабораторії.

12 травня 2017 року багато хто - шифрувальник даних на жорстких дисках комп'ютерів. Він блокує пристрій та вимагає заплатити викуп.
Вірус торкнувся організації та відомства в десятках країн світу, включаючи Росію, де атаку зазнали МОЗ, МНС, МВС, сервери стільникових операторівта кілька великих банків.

Поширення вірусу вдалося призупинити випадково і тимчасово: якщо хакери змінять лише кілька рядків коду, шкідливе програмне забезпечення знову почне працювати. Збитки від програми оцінюють у мільярд доларів. Після лінгвокриміналістичного аналізу експерти встановили, що WannaCry створили вихідці з Китаю чи Сінгапуру.

Атака вірусу «Петя» стала неприємною несподіванкою мешканців багатьох країн. Тисячі комп'ютерів зазнали зараження, внаслідок якого користувачі втратили важливі дані, що зберігалися на їх жорстких дисках.

Звичайно, зараз ажіотаж навколо цього інциденту спав, але ніхто не може гарантувати, що подібне не повториться знову. Саме тому дуже важливо захистити свій комп'ютер від можливої ​​загрози і не ризикувати марно. Про те, як зробити це найбільш ефективно, і йтиметься нижче.

Наслідки атаки

Спочатку слід згадати, яких наслідків призвела недовга активність Petya.A. Всього за кілька годин постраждали десятки українців та російських компаній. В Україні, до речі, було практично повністю паралізовано роботу комп'ютерних відділів таких установ, як «Дніпроенерго», « Нова Пошта» та «Київський метрополітен». Більше того, не вбереглися від вірусу «Петя» деякі державні організації, банки та оператори мобільного зв'язку.

У країнах Європейського союзу шифрувальник також встиг наробити чимало бід. Французькі, данські, англійські та міжнародні компанії повідомили про тимчасові неполадки у роботі, пов'язані з атакою комп'ютерного вірусу «Петя».

Як бачите, загроза справді серйозна. І навіть незважаючи на те, що зловмисники обрали як свої жертви великі фінансові організації, звичайні користувачіпостраждали не менше.

Як працює «Петя»

Щоб зрозуміти, як захиститись від вірусу «Петя», потрібно спочатку розібратися, як він працює. Отже, потрапивши на комп'ютер, шкідлива програма завантажує з інтернету спеціальний шифрувальник, який вражає Master Boot Record. Це окрема область на жорсткому диску, прихована від очей користувача та призначена для завантаження операційної системи.

Для користувача цей процес виглядає як стандартна роботапрограми Check Disk після раптового падіння системи Комп'ютер різко перезавантажується, а на екрані з'являється повідомлення про перевірки жорсткогодиска на наявність помилок та прохання не вимикати живлення.

Як тільки цей процес добігає кінця, з'являється заставка з інформацією про блокування комп'ютера. Автора вірусу «Петя» вимагають від користувача заплатити викуп у розмірі 300 $ (більше 17,5 тис. руб.), обіцяючи натомість вислати ключ, необхідний для відновлення роботи ПК.

Профілактика

Логічно, що набагато простіше запобігти зараженню комп'ютерним вірусом«Петя», аніж потім боротися з його наслідками. Щоб убезпечити свій ПК:

• Завжди встановлюйте нові оновлення для операційної системи. Це ж, в принципі, стосується всього програмного забезпечення, встановленого на вашому ПК. До речі, «Петя» не може зашкодити комп'ютерам під керуванням MacOS та Linux.
• Використовуйте актуальні версіїантивірусу і не забувайте оновлювати його основи. Так, порада банальна, але далеко не всі її слідують.
• Не відкривайте підозрілі файлинадіслані вам на пошту. Крім того, завжди перевіряйте програми, завантажені із сумнівних джерел.
• Регулярно робіть резервні копіїважливих документів та файлів. Найкраще зберігати їх на окремому носії або в «хмарі» (Google Drive, "Яндекс. Диск" тощо). Завдяки цьому навіть якщо з вашим комп'ютером щось трапиться, цінна інформація не постраждає.

Створення стоп-файлу

Розробники провідних антивірусних програмз'ясували, як видалити вірус «Петя» Точніше завдяки проведеним дослідженням їм вдалося зрозуміти, що шифрувальник на початкових етапах зараження намагається знайти на комп'ютері локальний файл. Якщо йому це вдається, вірус припиняє свою роботу і не шкодить ПК.

Простіше кажучи, ви можете створити вручну свого роду стоп-файл і таким чином захистити комп'ютер. Для цього:

• Відкрийте параметри папок та зніміть галочку з пункту «Приховувати розширення для зареєстрованих типів файлів».
• Створіть за допомогою блокноту новий файлі помістіть його до директорії C:/Windows.
• Перейменуйте створений документ, назвавши його "perfc". Потім зайдіть і увімкніть опцію «Тільки для читання».

Тепер вірус «Петя», потрапивши на ваш комп'ютер, не зможе завдати йому шкоди. Але майте на увазі, що зловмисники можуть у майбутньому модифікувати шкідливу програму і спосіб створення стоп-файлу стане неефективним.

Якщо зараження вже сталося

Коли комп'ютер самостійно йде на перезавантаження і працює Check Disk, вірус тільки починає шифрувати файли. У цьому випадку ви ще можете встигнути врятувати свої дані, виконавши такі дії:

• Відразу ж вимкніть живлення ПК. Тільки так ви можете запобігти розповсюдженню вірусу.
• Далі слід підключити свій жорсткий диск до іншого ПК (тільки не як завантажувальний!) і скопіювати з нього важливу інформацію.
• Після цього потрібно повністю відформатувати заражений вінчестер. Природно, що потім вам доведеться наново встановлювати на нього операційну системута інше програмне забезпечення.

Крім того, ви можете спробувати використовувати спеціальний завантажувальний диск, щоб вилікувати вірус «Петя» Антивірус Касперського, наприклад, надає з цією метою програму Kaspersky Rescue Disk, яка працює в обхід операційної системи.

Чи варто платити здирникам

Як було зазначено раніше, творці «Петі» вимагають від користувачів, чиї комп'ютери були заражені, викуп у розмірі 300$. За словами здирників, постраждалим після оплати зазначеної суми буде надіслано ключ, який усуває блокування інформації.

Проблема в тому, що користувачу, який бажає повернути свій комп'ютер у нормальний стан, необхідно написати зловмисникам електронну пошту. Проте всі E-Mail здирників оперативно блокуються уповноваженими службами, тому зв'язатися з ними просто неможливо.

Більш того, багато провідних розробників антивірусного програмного забезпечення впевнені, що розблокувати будь-яким кодом комп'ютер, який зазнав «Петей», і зовсім неможливо.

Як ви, напевно, зрозуміли, платити здирникам не варто. Інакше ви не тільки залишитеся з неробочим ПК, а ще й втратите велику суму грошей.

Чи будуть нові атаки

Вперше вірус Petya було виявлено ще у березні 2016 року. Тоді фахівці з безпеки швидко помітили загрозу та не допустили її масового поширення. Але вже наприкінці червня 2017 року атака повторилася знову, що призвело до дуже серйозних наслідків.

Навряд чи все закінчиться на цьому. Атаки з використанням вірусів-здирників - явище нерідке, тому дуже важливо постійно підтримувати свій комп'ютер у захищеному стані. Проблема полягає в тому, що ніхто не може передбачити, у якому форматі відбудеться наступне зараження. Як би там не було, завжди слід дотримуватися нехитрих рекомендацій, наведених у цій статті, щоб скоротити таким чином ризики до мінімуму.