فيروس بيتيا الجديد. تتعرض روسيا وأوكرانيا ودول أوروبية أخرى لهجوم من فيروس Petya Ransomware: نظرة عامة على الوضع وطريقة الحماية. هل ما زالت مدينة بيتنا تنتشر؟

العالم كله يتوصل إلى وسيلة حماية ضد الفيروس الجديد، رغم أنه يزحف عبر نفس "الثقوب" التي يزحف بها فيروس WannaCry

بعد انتشار فيروس الفدية WannaCry، تعرضت أجهزة الكمبيوتر حول العالم مرة أخرى للهجمات السيبرانية. أثر فيروس بيتيا على الأجهزة في بلدان مختلفة في أوروبا والولايات المتحدة. ومع ذلك، فإن معظم الأضرار حدثت على أجهزة الكمبيوتر في روسيا وأوكرانيا، حيث تأثرت حوالي 80 شركة. طالب فيروس الفدية بأموال أو عملة مشفرة من مالكي أجهزة الكمبيوتر الشخصية المتضررة، لكن المتخصصين السيبرانيين وجدوا طريقة لتجنب الوقوع في فخ المحتالين. اقرأ عن هوية بيتيا وكيفية تجنب مقابلته في مادة Realnoe Vremya.

ضحايا «البيتي»: من روسنفت إلى محطة تشيرنوبيل للطاقة النووية

بدأ الانتشار الهائل لفيروس بيتيا في 27 يونيو. وكانت أوكرانيا أول من عانى: فقد تعرضت أجهزة الكمبيوتر التابعة لشركات الطاقة الكبرى - Ukrenergo وDTEK وKyivenergo - للهجوم، حسبما ذكرت وسائل الإعلام المحلية. صرح أحد موظفي إحدى الشركات للصحفيين أنه في صباح يوم 27 يونيو، تم إعادة تشغيل جهاز الكمبيوتر الخاص به، وبعد ذلك بدأ النظام في التحقق قرص صلب. ثم رأى أن نفس الشيء كان يحدث على جميع أجهزة الكمبيوتر في المكتب. قام بإيقاف تشغيل الكمبيوتر، ولكن بعد تشغيله، ظهر نقش يطلب فدية على شاشة الجهاز. كما أثر الفيروس على أجهزة الكمبيوتر الشخصية لبعض البنوك الأوكرانية، وخزانة أوكرانيا، ومجلس الوزراء، وشركة Ukrtelecom ومطار بوريسبيل.

هاجم بيتيا أيضًا نظام الكمبيوتر لمراقبة الإشعاع الخلفي في محطة تشيرنوبيل للطاقة النووية. وفي الوقت نفسه، عملت جميع أنظمة المحطة بشكل طبيعي، ولم تتجاوز الخلفية الإشعاعية مستوى التحكم، حسبما أفاد ميدوزا. في مساء يوم 27 يونيو، ظهرت الصفحة الرسمية لوزارة الشؤون الداخلية لأوكرانيا على الفيسبوك جاذبيةإلى سكان الدولة مع التوصية بإيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم لحين تطوير طريقة لمكافحة الفيروس.

في روسيا، تعرضت خوادم Rosneft لهجوم بواسطة فيروس Petya Ransomware. رأى السكرتير الصحفي لشركة Rosneft ميخائيل ليونتييف وجود صلة بين هجمات القراصنة لفيروس Petya ومطالبة الشركة ضد AFK Sistema. في Business FM، وصف أنه من المنطقي محاولة استخدام فيروس لتدمير البيانات المتعلقة بإدارة Bashneft. تم تسجيل حالات إصابة معزولة بأشياء البنية التحتية للمعلومات في النظام المصرفي الروسي. توقف بنك Home Credit Bank عن إجراء عملياته بسبب الهجمات السيبرانية، كما تعطل تشغيل الموقع الإلكتروني للمؤسسة الائتمانية. تعمل الفروع فقط في الوضع الاستشاري، بينما تعمل أجهزة الصراف الآلي كالمعتاد، حسبما ذكرت إنترفاكس.

وفي 28 يونيو، أفادت وسائل الإعلام أيضًا بوقوع هجوم على أجهزة كمبيوتر في المملكة المتحدة وهولندا والدنمارك وإسبانيا والهند وليتوانيا وفرنسا والولايات المتحدة الأمريكية.

رأى ميخائيل ليونتييف وجود صلة بين هجمات القراصنة لفيروس بيتيا والمطالبة المرفوعة ضد AFK Sistema. الصورة polit.ru

حماية WannaCry عاجزة ضد Petit

يعتمد مبدأ تشغيل Petya على تشفير سجل التمهيد الرئيسي (MBR) لقطاع التمهيد على القرص. هذا الإدخال هو القطاع الأول على القرص الصلب؛ فهو يحتوي على جدول الأقسام وبرنامج أداة تحميل التشغيل الذي يقرأ من هذا الجدول معلومات حول قسم القرص الثابت الذي سيتم التمهيد منه النظام. يتم تخزين MBR الأصلي في القطاع 0x22 من القرص ويتم تشفيره باستخدام XOR بايت بايت مع 0x07. ونتيجة لذلك، سيتم استبدال المعلومات الموجودة على قرص الكمبيوتر ببيانات الفيروسات، حسبما أفاد خبراء في شركة Positive Technologies.

بعد تشغيل الملف الضار، يتم إنشاء مهمة لإعادة تشغيل الكمبيوتر، مع تأخير لمدة 1-2 ساعات. إذا تم تشفير القرص بنجاح بعد إعادة التشغيل، فسيتم عرض رسالة على الشاشة تطلب منك دفع فدية قدرها 300 دولار (أو تقديمها بعملة مشفرة) لتلقي مفتاح فتح الملف. بالمناسبة، تم بالفعل حظر عنوان البريد الإلكتروني الذي استخدمه المبتزون، مما يجعل تحويل الأموال عديم الفائدة.

يستخدم Petya ثغرة أمنية في Windows - وهو استغلال يحمل الاسم الرمزي EternalBlue. استخدم هجوم WannaCry سيئ السمعة نفس الثغرة الأمنية لغزو أجهزة الكمبيوتر. بفضل هذا الاستغلال، تم توزيع Petya من خلال Windows Management Instrumentation (أداة للإدارة المركزية ومراقبة تشغيل أجزاء مختلفة من البنية التحتية للكمبيوتر التي تعمل بنظام Windows الأساسي) وPsExec (يسمح لك بتنفيذ العمليات في الأنظمة عن بعد)، والحصول على أقصى قدر من الامتيازات على النظام الضعيف. وقد سمح هذا للفيروس بمواصلة العمل حتى مع تثبيت تحديثات برنامج مكافحة WannaCry على أجهزة الكمبيوتر.

قم بأمر bootrec /fixMbr واكتب إلى المفكرة

الهاكر الفرنسي الشهير ومطور البرمجيات ماتيو سوشيت على حسابه على تويتر

فيروس "بيتيا":كيف لا يتم الإمساك به، وكيفية فك تشفيره من أين أتى - آخر الأخبار عن فيروس Petya Ransomware، الذي أصاب حوالي 300 ألف جهاز كمبيوتر في اليوم الثالث من "نشاطه" دول مختلفةالعالم، وحتى الآن لم يوقفه أحد.

فيروس بيتيا - كيفية فك التشفير وآخر الأخبار.بعد الهجوم على جهاز الكمبيوتر، يطلب مبتكرو برنامج الفدية Petya فدية قدرها 300 دولار (بالبيتكوين)، ولكن لا توجد طريقة لفك تشفير فيروس Petya، حتى لو دفع المستخدم المال. يزعم المتخصصون في Kaspersky Lab، الذين رأوا اختلافات في الفيروس الجديد من Petit وأطلقوا عليه اسم ExPetr، أن فك التشفير يتطلب معرفًا فريدًا لتثبيت حصان طروادة معين.

في الإصدارات المعروفة مسبقًا من برامج التشفير المماثلة Petya/Mischa/GoldenEye، يحتوي معرف التثبيت على المعلومات اللازمة لذلك. في حالة ExPetr، هذا المعرف غير موجود، حسبما كتبت وكالة RIA Novosti.

فيروس "بيتيا" – من أين أتى، آخر الأخبار.طرح خبراء الأمن الألمان الإصدار الأول من مصدر برنامج الفدية هذا. في رأيهم، بدأ فيروس بيتيا في الانتشار عبر أجهزة الكمبيوتر عندما تم فتح ملفات M.E.Doc. هذا برنامج محاسبة يستخدم في أوكرانيا بعد الحظر المفروض على 1C.

وفي الوقت نفسه، تقول كاسبرسكي لاب إنه من السابق لأوانه استخلاص استنتاجات حول أصل ومصدر انتشار فيروس ExPetr. ومن الممكن أن يكون لدى المهاجمين بيانات واسعة النطاق. على سبيل المثال، عناوين البريد الإلكتروني من النشرة الإخبارية السابقة أو غيرها طرق فعالةاختراق أجهزة الكمبيوتر.

وبمساعدتهم، ضرب فيروس "بيتيا" أوكرانيا وروسيا، بالإضافة إلى دول أخرى، بكامل قوته. لكن الحجم الحقيقي لهجوم القراصنة هذا سوف يصبح واضحًا في غضون أيام قليلة، وفقًا للتقارير.

فيروس "بيتيا": كيف لا نصاب به، وكيف نفك شفرته، ومن أين أتى - آخر الأخبارحول فيروس Petya Ransomware، الذي حصل بالفعل على اسم جديد من Kaspersky Lab – ExPetr.

كان هجوم فيروس بيتيا بمثابة مفاجأة غير سارة لسكان العديد من البلدان. أصيبت آلاف أجهزة الكمبيوتر، مما تسبب في فقدان المستخدمين للبيانات المهمة المخزنة على محركات الأقراص الثابتة الخاصة بهم.

وبطبيعة الحال، تراجعت الآن الضجة حول هذا الحادث، ولكن لا أحد يستطيع أن يضمن أن هذا لن يحدث مرة أخرى. ولهذا السبب من المهم جدًا حماية جهاز الكمبيوتر الخاص بك من تهديد محتملولا تتحمل مخاطر غير ضرورية. كيفية القيام بذلك بشكل أكثر فعالية، و سنتحدثأقل.

عواقب الهجوم

في البداية، يجب أن نتذكر العواقب التي أدى إليها نشاط Petya.A قصير الأمد. وفي غضون ساعات قليلة، تأثرت العشرات من الشركات الأوكرانية والروسية. في أوكرانيا، بالمناسبة، كان عمل أقسام الكمبيوتر في مؤسسات مثل دنيبرينرغو ونوفا بوشتا ومترو كييف مشلولًا تمامًا تقريبًا. علاوة على ذلك، فإن بعض المنظمات الحكومية والبنوك ومشغلي الهاتف المحمول لم تكن محمية من فيروس بيتيا.

في دول الاتحاد الأوروبي، تمكنت برامج الفدية أيضًا من التسبب في الكثير من المتاعب. أبلغت الشركات الفرنسية والدنماركية والإنجليزية والعالمية عن اضطرابات مؤقتة تتعلق بالهجوم فيروس الكمبيوتر"نفذ".

كما ترون، التهديد خطير حقا. وعلى الرغم من أن المهاجمين اختاروا مؤسسات مالية كبيرة كضحايا لهم، المستخدمين العاديينعانى لا أقل.

كيف تعمل بيتيا؟

لفهم كيفية حماية نفسك من فيروس بيتيا، عليك أولاً أن تفهم كيف يعمل. لذلك، بمجرد وصول البرنامج الضار إلى جهاز الكمبيوتر، يقوم بتنزيل برنامج فدية خاص من الإنترنت، والذي يصيب سجل التمهيد الرئيسي. هذه منطقة منفصلة على القرص الصلب، مخفية عن أعين المستخدم ومخصصة لتحميل نظام التشغيل.

بالنسبة للمستخدم، تبدو هذه العملية بمثابة التشغيل القياسي لبرنامج Check Disk بعد حدوث عطل مفاجئ في النظام. يتم إعادة تشغيل الكمبيوتر فجأة، وتظهر رسالة على الشاشة حول فحص القرص الصلب بحثًا عن الأخطاء وتطلب منك عدم إيقاف تشغيل الطاقة.

بمجرد انتهاء هذه العملية، تظهر شاشة توقف تحتوي على معلومات حول جهاز الكمبيوتر الذي تم حظره. يطلب منشئ فيروس Petya من المستخدم دفع فدية قدرها 300 دولار (أكثر من 17.5 ألف روبل)، ووعد في المقابل بإرسال المفتاح اللازم لاستئناف تشغيل جهاز الكمبيوتر.

وقاية

من المنطقي أن الوقاية من الإصابة بفيروس كمبيوتر Petya أسهل بكثير من التعامل مع عواقبه لاحقًا. لتأمين جهاز الكمبيوتر الخاص بك:

• قم دائمًا بتثبيت آخر التحديثات لنظام التشغيل الخاص بك. وينطبق الشيء نفسه، من حيث المبدأ، على كل شيء برمجةالمثبتة على جهاز الكمبيوتر الخاص بك. بالمناسبة، لا يمكن لـ "Petya" الإضرار بأجهزة الكمبيوتر التي تعمل بنظامي التشغيل MacOS وLinux.
• يستخدم الإصدارات الحاليةمكافحة الفيروسات ولا تنسى تحديث قاعدة البيانات الخاصة به. نعم، النصيحة تافهة، لكن لا يتبعها الجميع.
• لا تفتح الملفات المشبوهة المرسلة إليك عبر البريد الإلكتروني. تحقق أيضًا دائمًا من التطبيقات التي تم تنزيلها من مصادر مشكوك فيها.
• افعل ذلك بانتظام النسخ الاحتياطيةالوثائق والملفات الهامة. من الأفضل تخزينها على وسيط منفصل أو في "السحابة" (Google Drive، Yandex.Disk، وما إلى ذلك). بفضل هذا، حتى لو حدث شيء ما لجهاز الكمبيوتر الخاص بك، فلن تتضرر المعلومات القيمة.

إنشاء ملف التوقف

كبار المطورين برامج مكافحة الفيروساتتعرفت على كيفية إزالة فيروس بيتيا. وبتعبير أدق، بفضل أبحاثهم، تمكنوا من فهم أن برنامج الفدية يحاول العثور على ملف محلي على الكمبيوتر في المراحل الأولى من الإصابة. إذا نجح، يتوقف الفيروس عن العمل ولا يضر جهاز الكمبيوتر.

ببساطة، يمكنك إنشاء نوع من ملف التوقف يدويًا وبالتالي حماية جهاز الكمبيوتر الخاص بك. لهذا:

• افتح إعدادات خيارات المجلد وقم بإلغاء تحديد "إخفاء الامتدادات لأنواع الملفات المعروفة".
• إنشاء باستخدام المفكرة ملف جديدووضعه في دليل C:/Windows.
• أعد تسمية المستند الذي تم إنشاؤه، واسميه "Perfc". ثم انتقل إلى خيار القراءة فقط وقم بتمكينه.

الآن لن يتمكن فيروس Petya، الذي وصل إلى جهاز الكمبيوتر الخاص بك، من الإضرار به. لكن ضع في اعتبارك أن المهاجمين قد يقومون بتعديل البرامج الضارة في المستقبل وستصبح طريقة ملف الإيقاف غير فعالة.

إذا حدثت العدوى بالفعل

عندما يتم إعادة تشغيل الكمبيوتر من تلقاء نفسه ويبدأ فحص القرص، يبدأ الفيروس في تشفير الملفات. في هذه الحالة، لا يزال بإمكانك توفير الوقت لحفظ بياناتك باتباع الخطوات التالية:

• قم بإيقاف تشغيل الطاقة على جهاز الكمبيوتر على الفور. هذه هي الطريقة الوحيدة التي يمكنك من خلالها منع انتشار الفيروس.
• القادمة تحتاج إلى توصيل الخاص بك الأقراص الصلبةإلى جهاز كمبيوتر آخر (ليس كجهاز تمهيد!) وانسخ المعلومات المهمة منه.
• بعد ذلك، تحتاج إلى تهيئة القرص الصلب المصاب بالكامل. بطبيعة الحال، سيتعين عليك إعادة تثبيت نظام التشغيل والبرامج الأخرى عليه.

بدلا من ذلك، يمكنك محاولة استخدام خاص قرص التشغيللعلاج فيروس بيتيا. على سبيل المثال، يوفر برنامج Kaspersky Anti-Virus برنامج Kaspersky Rescue Disk لهذه الأغراض، والذي يتجاوز نظام التشغيل.

هل يستحق الدفع للمبتزين؟

كما ذكرنا سابقًا، يطالب مبتكرو Petya بفدية قدرها 300 دولار من المستخدمين الذين أصيبت أجهزة الكمبيوتر الخاصة بهم بالعدوى. وفقًا للمبتزين، بعد دفع المبلغ المحدد، سيتم إرسال مفتاح للضحايا من شأنه القضاء على حجب المعلومات.

المشكلة هي أن المستخدم الذي يريد إعادة جهاز الكمبيوتر الخاص به إلى وضعه الطبيعي يحتاج إلى الكتابة إلى المهاجمين على بريد إلكتروني. ومع ذلك، يتم حظر جميع رسائل البريد الإلكتروني الخاصة ببرامج الفدية بسرعة بواسطة الخدمات المعتمدة، لذلك من المستحيل الاتصال بهم.

علاوة على ذلك، فإن العديد من مطوري برامج مكافحة الفيروسات الرائدة واثقون من أنه من المستحيل تماما فتح جهاز كمبيوتر مصاب بـ Petya باستخدام أي رمز.

كما تفهم على الأرجح، لا يجب أن تدفع للمبتزين. خلاف ذلك، لن يبقى لديك جهاز كمبيوتر لا يعمل فحسب، بل ستخسر أيضًا مبلغًا كبيرًا من المال.

هل ستكون هناك هجمات جديدة؟

تم اكتشاف فيروس بيتيا لأول مرة في مارس 2016. ثم لاحظ المتخصصون الأمنيون بسرعة التهديد ومنعوا انتشاره على نطاق واسع. ولكن بالفعل في نهاية يونيو 2017، تكرر الهجوم مرة أخرى، مما أدى إلى عواقب وخيمة للغاية.

ومن غير المرجح أن ينتهي كل شيء عند هذا الحد. هجمات برامج الفدية ليست غير شائعة، لذلك من المهم الحفاظ على جهاز الكمبيوتر الخاص بك محميًا في جميع الأوقات. المشكلة هي أنه لا يمكن لأحد التنبؤ بالشكل الذي ستحدث به العدوى التالية. مهما كان الأمر، فمن المفيد دائمًا اتباع التوصيات البسيطة الواردة في هذه المقالة لتقليل المخاطر إلى الحد الأدنى.

واتهمت بريطانيا والولايات المتحدة وأستراليا روسيا رسميًا بنشر NotPetya

في 15 فبراير 2018، أصدرت وزارة الخارجية البريطانية بيانًا رسميًا اتهمت فيه روسيا بتنظيم هجوم إلكتروني باستخدام فيروس NotPetya Ransomware.

وتقول السلطات البريطانية إن الهجوم أظهر المزيد من التجاهل لسيادة أوكرانيا، وإن الأعمال المتهورة عطلت العديد من المنظمات في جميع أنحاء أوروبا، مما تسبب في خسائر بملايين الدولارات.

وأشارت الوزارة إلى أن الاستنتاج بشأن تورط الحكومة الروسية والكرملين في الهجوم السيبراني تم على أساس استنتاج المركز الوطني للأمن السيبراني في المملكة المتحدة، والذي "واثق بشكل شبه كامل من أن الجيش الروسي يقف وراءه". هجوم NotPetya." وجاء في البيان أيضًا أن حلفاءها لن يتسامحوا مع الأنشطة السيبرانية الضارة.

ووصف الكرملين، الذي نفى مرارا وتكرارا أي تورط للسلطات الروسية في هجمات القراصنة، بيان وزارة الخارجية البريطانية بأنه جزء من “حملة معادية لروسيا”.

النصب التذكاري "هنا يكمن فيروس الكمبيوتر بيتيا، الذي هزمه الناس في 27 يونيو 2017"

تم نصب النصب التذكاري لفيروس كمبيوتر بيتيا في ديسمبر 2017 بالقرب من مبنى Skolkovo Technopark. نصب تذكاري بطول مترين مع نقش: "هنا يكمن فيروس الكمبيوتر بيتيا، الذي هزمه الناس في 27 يونيو 2017". تم تصنيعه على شكل قرص صلب، بدعم من شركة INVITRO، من بين الشركات الأخرى التي عانت من عواقب هجوم إلكتروني ضخم. جاء روبوت يُدعى نو، يعمل في حديقة الفيزياء والتكنولوجيا ومعهد ماساتشوستس للتكنولوجيا (MIT)، خصيصًا إلى الحفل لإلقاء خطاب رسمي.

الهجوم على حكومة سيفاستوبول

نجح المتخصصون في المديرية الرئيسية للمعلومات والاتصالات في سيفاستوبول في صد هجوم شنه فيروس تشفير شبكة بيتيا على خوادم الحكومة الإقليمية. تم الإعلان عن ذلك في 17 يوليو 2017 في اجتماع لموظفي حكومة سيفاستوبول من قبل رئيس قسم المعلومات دينيس تيموفيف.

وذكر أن برنامج Petya الضار لم يكن له أي تأثير على البيانات المخزنة على أجهزة الكمبيوتر في الوكالات الحكومية في سيفاستوبول.

تم تضمين التركيز على استخدام البرمجيات الحرة في مفهوم المعلوماتية في سيفاستوبول، الذي تمت الموافقة عليه في عام 2015. وينص على أنه عند شراء وتطوير البرامج الأساسية، وكذلك برامج أنظمة المعلومات للأتمتة، فمن المستحسن تحليل إمكانية استخدام المنتجات المجانية لتقليل تكاليف الميزانية وتقليل الاعتماد على الموردين والمطورين.

وفي وقت سابق، في نهاية شهر يونيو، وكجزء من هجوم واسع النطاق على شركة إنفيترو الطبية، تعرض فرعها الواقع في سيفاستوبول لأضرار أيضًا. بسبب الفيروس شبكة الكمبيوتروقد أوقف الفرع إصدار نتائج الفحوصات مؤقتاً لحين إزالة الأسباب.

أعلنت شركة Invitro تعليق قبول الاختبارات بسبب هجوم إلكتروني

أوقفت شركة Invitro الطبية جمع المواد الحيوية وإصدار نتائج اختبارات المرضى بسبب هجوم القراصنة في 27 يونيو. صرح أنطون بولانوف، مدير الاتصالات المؤسسية بالشركة، لـ RBC بهذا الأمر.

وكما قالت الشركة في بيان، فإن Invitro سيعود قريبًا إلى التشغيل الطبيعي. سيتم تسليم نتائج الدراسات التي تم إجراؤها بعد هذا الوقت للمرضى بعد حل العطل الفني. على هذه اللحظةمعمل نظام معلوماتتمت استعادته، وعملية إعداده جارية. واختتمت شركة Invitro بالقول: "نأسف لحالة القوة القاهرة الحالية ونشكر عملائنا على تفهمهم".

ووفقا لهذه البيانات، تعرضت العيادات في روسيا وبيلاروسيا وكازاخستان لهجوم بفيروس الكمبيوتر.

الهجوم على غازبروم وشركات النفط والغاز الأخرى

في 29 يونيو 2017، أصبح معروفًا عن هجوم إلكتروني عالمي على أنظمة الكمبيوتر الخاصة بشركة غازبروم. وهكذا عانت شركة روسية أخرى من فيروس Petya Ransomware.

وكما أفادت وكالة رويترز نقلا عن مصدر في الحكومة الروسية وشخص مشارك في التحقيق في الحادث، فإن شركة غازبروم عانت من انتشار البرمجيات الخبيثة بيتيا، التي هاجمت أجهزة الكمبيوتر في إجمالي أكثر من 60 دولة حول العالم.

ولم يقدم محاورو المنشور تفاصيل حول عدد الأنظمة التي أصيبت في شركة غازبروم وما هي الأنظمة التي أصيبت بها، وكذلك مدى الضرر الذي سببه المتسللون. ورفضت الشركة التعليق عندما اتصلت بها رويترز.

وفي الوقت نفسه، صرح مصدر رفيع المستوى من RBC في شركة غازبروم للنشر أن أجهزة الكمبيوتر في المكتب المركزي للشركة كانت تعمل دون انقطاع عندما بدأ هجوم القراصنة واسع النطاق (27 يونيو 2017)، وتستمر في القيام بذلك بعد يومين. كما أكد مصدران آخران من RBC في شركة غازبروم أن "كل شيء هادئ" في الشركة ولا توجد فيروسات.

وفي قطاع النفط والغاز، عانت شركتا باشنفت وروسنفت من فيروس بيتيا. وأعلن الأخير في 28 يونيو/حزيران أن الشركة تعمل كالمعتاد، وأنه يتم حل "المشكلات الفردية" على الفور.

البنوك والصناعة

أصبح من المعروف أن أجهزة الكمبيوتر قد أصيبت في Evraz، الفرع الروسي لشركة Royal Canin (التي تنتج الزي الرسمي للحيوانات) والقسم الروسي لشركة Mondelez (منتجة شوكولاتة Alpen Gold وMilka).

وبحسب وزارة الداخلية الأوكرانية، نشر رجل مقطع فيديو على مواقع تبادل الملفات والشبكات الاجتماعية معه وصف تفصيليعملية تشغيل برامج الفدية على أجهزة الكمبيوتر. وفي التعليقات على الفيديو، نشر الرجل رابط صفحته على شبكة اجتماعية، حيث قام بتنزيل برنامج ضار. وأثناء عمليات تفتيش شقة "الهاكر"، تم الاستيلاء على ضباط إنفاذ القانون معدات الحاسوب، تستخدم لتوزيع NotPetya. عثرت الشرطة أيضًا على ملفات تحتوي على برامج ضارة، وبعد تحليلها تم التأكد من أنها مشابهة لبرنامج الفدية NotPetya. ومع إنشاء ضباط الشرطة السيبرانية، تم تنزيل برنامج الفدية، الذي نشر أحد سكان نيكوبول الرابط له، من قبل مستخدمي الشبكات الاجتماعية 400 مرة.

ومن بين أولئك الذين قاموا بتنزيل NotPetya، حدد ضباط إنفاذ القانون الشركات التي أصابت أنظمتها عمدًا ببرامج الفدية لإخفاء الأنشطة الإجرامية والتهرب من دفع العقوبات للدولة. ومن الجدير بالذكر أن الشرطة لا تربط أنشطة الرجل بهجمات القراصنة في 27 يونيو من هذا العام، أي أنه لا يوجد حديث عن أي تورط مع مؤلفي NotPetya. وتتعلق الأفعال المتهم بها فقط بالأفعال التي ارتكبت في يوليو من هذا العام - بعد موجة من الهجمات السيبرانية واسعة النطاق.

تم رفع قضية جنائية ضد الرجل بموجب الجزء 1 من الفن. 361 (التدخل غير المصرح به في تشغيل الكمبيوتر) من القانون الجنائي لأوكرانيا. ويواجه المقيم في نيكوبول عقوبة السجن لمدة تصل إلى 3 سنوات.

التوزيع في العالم

تم تسجيل انتشار فيروس Petya Ransomware في إسبانيا وألمانيا وليتوانيا والصين والهند. على سبيل المثال، بسبب برنامج خبيث في الهند، تم تدمير تقنية إدارة تدفق البضائع في ميناء حاويات جواهر لال نهرو، الذي تديره شركة A.P. توقف مولر ميرسك عن التعرف على هوية الشحنة.

تم الإبلاغ عن الهجوم الإلكتروني من قبل مجموعة الإعلانات البريطانية WPP، والمكتب الإسباني لواحدة من أكبر شركات المحاماة في العالم DLA Piper وعملاق الأغذية Mondelez. وكانت شركة تصنيع مواد البناء الفرنسية Cie من بين الضحايا أيضًا. دي سان جوبان وشركة الأدوية Merck & Co.

ميرك

لا تزال شركة الأدوية الأمريكية العملاقة Merck، التي عانت كثيرًا نتيجة هجوم فيروس NotPetya Ransomware في يونيو، غير قادرة على استعادة جميع الأنظمة والعودة إلى التشغيل الطبيعي. جاء ذلك في تقرير الشركة عن النموذج 8-K المقدم إلى هيئة الأوراق المالية والبورصة الأمريكية (SEC) في نهاية يوليو 2017. اقرأ أكثر.

مولر ميرسك وروسنفت

في 3 يوليو 2017، أصبح من المعروف أن شركة الشحن الدنماركية العملاقة مولر-ميرسك وروسنفت أعادتا أنظمة تكنولوجيا المعلومات المصابة بفيروس Petya Ransomware بعد أسبوع تقريبًا من الهجوم الذي وقع في 27 يونيو.

وأضافت شركة الشحن ميرسك، التي تمثل كل سابع حاوية شحن يتم شحنها في العالم، أن جميع التطبيقات البالغ عددها 1500 تطبيق والتي تأثرت بالهجوم السيبراني ستعود إلى التشغيل الطبيعي بحلول 9 يوليو 2017 كحد أقصى.

وتأثرت في الغالب أنظمة تكنولوجيا المعلومات التابعة لشركة APM Terminals المملوكة لشركة Maersk، والتي تدير العشرات من موانئ الشحن ومحطات الحاويات في أكثر من 40 دولة. وتمر عبر موانئ شركة APM Terminals أكثر من 100 ألف حاوية بضائع يومياً، والتي أصيب عملها بالشلل التام بسبب انتشار الفيروس. استأنفت محطة Maasvlakte II في روتردام الإمدادات في 3 يوليو.

16 أغسطس 2017 أ.ب. حدد مولر ميرسك المبلغ التقريبي للضرر الناجم عن الهجوم السيبراني باستخدام فيروس بيتيا، والذي، كما لوحظ في الشركة الأوروبية، أصيب من خلال برنامج أوكراني. وفقًا للحسابات الأولية لشركة Maersk، تراوحت الخسائر المالية الناجمة عن برنامج Petya Ransomware في الربع الثاني من عام 2017 من 200 إلى 300 مليون دولار.

وفي الوقت نفسه، ما يقرب من أسبوع للتعافي أنظمة الكمبيوترعانت شركة "روسنفت" أيضًا من هجوم قراصنة، كما أفادت الخدمة الصحفية للشركة في ٣ يوليو، حسبما ذكرت وكالة إنترفاكس:

وقبل أيام قليلة، أكدت روسنفت أنها لم تقم بعد بتقييم عواقب الهجوم السيبراني، لكن الإنتاج لم يتأثر.

كيف تعمل بيتيا

وبالفعل، لا يستطيع ضحايا الفيروس فتح ملفاتهم بعد الإصابة. والحقيقة هي أن المبدعين لم ينصوا على مثل هذا الاحتمال على الإطلاق. وهذا يعني أن القرص المشفر يستحيل فك تشفيره مسبقًا. لا يحتوي معرف البرامج الضارة على المعلومات اللازمة لفك التشفير.

في البداية، صنف الخبراء الفيروس، الذي أصاب حوالي ألفي جهاز كمبيوتر في روسيا وأوكرانيا وبولندا وإيطاليا وألمانيا وفرنسا ودول أخرى، كجزء من عائلة بيتيا المعروفة بالفعل من برامج الفدية. ومع ذلك، اتضح ذلك نحن نتحدث عنحول عائلة جديدة من البرمجيات الخبيثة. أطلقت شركة كاسبرسكي لاب على برنامج الفدية الجديد اسم ExPetr.

كيفية محاربة

تتطلب مكافحة التهديدات السيبرانية تضافر جهود البنوك وشركات تكنولوجيا المعلومات والدولة

طريقة استعادة البيانات من التقنيات الإيجابية

في 7 يوليو 2017، قدم خبير التقنيات الإيجابية ديمتري سكلياروف طريقة لاستعادة البيانات المشفرة بواسطة فيروس NotPetya. ووفقا للخبير، فإن هذه الطريقة قابلة للتطبيق إذا كان فيروس NotPetya يتمتع بامتيازات إدارية وقام بتشفير القرص بأكمله.

ترتبط إمكانية استعادة البيانات بأخطاء في تنفيذ خوارزمية تشفير Salsa20 من قبل المهاجمين أنفسهم. تم اختبار أداء الطريقة على وسائط الاختبار وعلى إحدى الوسائط المشفرة محركات الأقراص الصلبة شركة كبيرةوالذي كان من بين ضحايا الوباء.

الشركات والمطورين المستقلين المتخصصين في استعادة البيانات أحرار في استخدام وأتمتة البرنامج النصي لفك التشفير المقدم.

وقد تم بالفعل تأكيد نتائج التحقيق من قبل الشرطة السيبرانية الأوكرانية. يعتزم Juscutum استخدام نتائج التحقيق كدليل رئيسي في محاكمة مستقبلية ضد Intellect-Service.

ستكون العملية مدنية بطبيعتها. وتجري وكالات إنفاذ القانون الأوكرانية تحقيقا مستقلا. وقد أعلن ممثلوهم سابقًا عن إمكانية رفع دعوى ضد موظفي Intellect-Service.

وذكرت شركة M.E.Doc نفسها أن ما كان يحدث هو محاولة لمداهمة الشركة. تعتقد الشركة المصنعة لبرنامج المحاسبة الأوكراني الشهير الوحيد أن البحث عن الشركة الذي أجرته الشرطة الإلكترونية في أوكرانيا كان جزءًا من تنفيذ هذه الخطة.

ناقل العدوى الأولي لمشفر Petya

في 17 مايو، تم إصدار تحديث M.E.Doc، والذي لا يحتوي على وحدة الباب الخلفي الضارة. وتعتقد الشركة أن هذا ربما يفسر العدد الصغير نسبيًا من إصابات XData. ولم يتوقع المهاجمون إصدار التحديث في 17 مايو، وأطلقوا برنامج التشفير في 18 مايو، عندما كان معظم المستخدمين قد قاموا بالفعل بتثبيت التحديث الآمن.

يسمح الباب الخلفي بتنزيل برامج ضارة أخرى وتنفيذها على النظام المصاب - هذه هي الطريقة التي تم بها تنفيذ العدوى الأولية باستخدام برنامجي التشفير Petya وXData. بالإضافة إلى ذلك، يقوم البرنامج بجمع إعدادات الخادم الوكيل والبريد الإلكتروني، بما في ذلك تسجيلات الدخول وكلمات المرور من تطبيق M.E.Doc، بالإضافة إلى رموز الشركة وفقًا لسجل الدولة الموحد للشركات والمنظمات في أوكرانيا، والذي يسمح بالتعرف على الضحايا.

وقال أنطون تشيريبانوف، كبير محللي الفيروسات في شركة إيسيت: "علينا أن نجيب على عدد من الأسئلة". - منذ متى تم استخدام الباب الخلفي؟ ما هي الأوامر والبرامج الضارة، إلى جانب Petya وXData، التي تم إرسالها عبر هذه القناة؟ ما هي البنى التحتية الأخرى التي تم اختراقها ولكن لم يتم استغلالها بعد من قبل المجموعة الإلكترونية التي تقف وراء هذا الهجوم؟

واستنادًا إلى مجموعة من العلامات، بما في ذلك البنية التحتية والأدوات الضارة والمخططات وأهداف الهجوم، أنشأ خبراء Eset اتصالاً بين وباء Diskcoder.C (Petya) ومجموعة Telebots الإلكترونية. ولم يكن من الممكن حتى الآن تحديد الجهة التي تقف وراء أنشطة هذه المجموعة بشكل موثوق.

في بداية شهر مايو، أصيب حوالي 230 ألف جهاز كمبيوتر في أكثر من 150 دولة بفيروس طلب الفدية. وقبل أن يتاح للضحايا الوقت الكافي للتخلص من عواقب هذا الهجوم، تبع ذلك هجوم جديد يسمى بيتيا. أكبر الأوكرانية و الشركات الروسية، وكذلك الجهات الحكومية.

وأثبتت الشرطة الإلكترونية في أوكرانيا أن هجوم الفيروس بدأ من خلال آلية تحديث برنامج المحاسبة M.E.Doc، والذي يستخدم لإعداد وإرسال التقارير الضريبية. وهكذا، أصبح من المعروف أن شبكات باشنفت، وروسنفت، وزابوروجيوبلينيرجو، ودنيبروينيرجو، ونظام الطاقة الكهربائية دنيبر لم تفلت من العدوى. وفي أوكرانيا، اخترق الفيروس أجهزة الكمبيوتر الحكومية، وأجهزة الكمبيوتر الشخصية في مترو كييف، ومشغلي الاتصالات، وحتى محطة تشيرنوبيل للطاقة النووية. وفي روسيا، تأثرت شركات موندليز إنترناشيونال ومارس ونيفيا.

يستغل فيروس Petya ثغرة EternalBlue في غرفة العمليات نظام ويندوز. ويقول خبراء Symantec وF-Secure إنه على الرغم من أن Petya يقوم بتشفير البيانات مثل WannaCry، إلا أنه لا يزال مختلفًا بعض الشيء عن الأنواع الأخرى من فيروسات التشفير. "يعد فيروس Petya نوعًا جديدًا من الابتزاز ذي نوايا خبيثة: فهو لا يقوم بتشفير الملفات الموجودة على القرص فحسب، بل يقفل القرص بأكمله، مما يجعله غير قابل للاستخدام عمليًا"، يوضح F-Secure. "على وجه التحديد، يقوم بتشفير جدول الملفات الرئيسية MFT."

كيف يحدث هذا وهل يمكن منع هذه العملية؟

فيروس "بيتيا" - كيف يعمل؟

يُعرف فيروس Petya أيضًا بأسماء أخرى: Petya.A، وPetrWrap، وNotPetya، وExPetr. بمجرد وصوله إلى جهاز الكمبيوتر، يقوم بتنزيل برنامج الفدية من الإنترنت ويحاول مهاجمة جزء من القرص الصلب بالبيانات اللازمة لتشغيل جهاز الكمبيوتر. إذا نجح، يصدر النظام شاشة الموت الزرقاء (" شاشة زرقاءمن الموت"). بعد إعادة التشغيل، تظهر رسالة حول فحص القرص الصلب تطلب منك عدم إيقاف تشغيل الطاقة. وهكذا، الفدية يتظاهر بأنه برنامج النظاملفحص القرص، وتشفير الملفات بامتدادات معينة في هذا الوقت. وفي نهاية العملية تظهر رسالة تشير إلى أن الكمبيوتر محظور ومعلومات حول كيفية الحصول على مفتاح رقمي لفك تشفير البيانات. يتطلب فيروس Petya فدية، عادةً ما تكون بعملة البيتكوين. إذا لم يكن لدى الضحية نسخة احتياطية من ملفاته، فإنه يواجه خيار دفع 300 دولار أو فقدان جميع المعلومات. ووفقا لبعض المحللين، فإن الفيروس يتنكر فقط كبرنامج فدية، في حين أن هدفه الحقيقي هو التسبب في أضرار جسيمة.

كيف تتخلص من بيتيا؟

اكتشف الخبراء أن فيروس Petya يبحث عن ملف محلي، وإذا كان هذا الملف موجودًا بالفعل على القرص، فإنه يخرج من عملية التشفير. وهذا يعني أنه يمكن للمستخدمين حماية أجهزة الكمبيوتر الخاصة بهم من برامج الفدية عن طريق إنشاء هذا الملف وتعيينه للقراءة فقط.

على الرغم من أن هذا المخطط الماكر يمنع عملية الفدية من البدء، هذه الطريقةيمكن اعتباره أشبه بـ "تطعيم الكمبيوتر". وبالتالي، سيتعين على المستخدم إنشاء الملف بنفسه. يمكنك القيام بذلك على النحو التالي:

• تحتاج أولاً إلى فهم امتداد الملف. في نافذة خيارات المجلد، تأكد من عدم تحديد خانة الاختيار إخفاء الملحقات لأنواع الملفات المعروفة.
• افتح المجلد C:\Windows، ثم قم بالتمرير لأسفل حتى ترى برنامج notepad.exe.
• انقر بزر الماوس الأيسر على notepad.exe، ثم اضغط على Ctrl + C للنسخ، ثم Ctrl + V للصق الملف. سوف تتلقى طلبًا يطلب الإذن لنسخ الملف.
• انقر فوق الزر "متابعة" وسيتم إنشاء الملف كمفكرة - Copy.exe. انقر بزر الماوس الأيسر على هذا الملف واضغط F2، ثم امسح اسم الملف Copy.exe وأدخل perfc.
• بعد تغيير اسم الملف إلى perfc، اضغط على Enter. تأكيد إعادة التسمية.
• الآن بعد أن تم إنشاء ملف perfc، نحتاج إلى جعله للقراءة فقط. للقيام بذلك، انقر بزر الماوس الأيمن على الملف وحدد "خصائص".
• سيتم فتح قائمة الخصائص لهذا الملف. في الأسفل سترى "للقراءة فقط". تفقد الصندوق.
• الآن انقر فوق الزر "تطبيق" ثم الزر "موافق".

يقترح بعض خبراء الأمان إنشاء ملفات C:\Windows\perfc.dat وC:\Windows\perfc.dll بالإضافة إلى ملف C:\windows\perfc لتوفير حماية أكثر شمولاً ضد فيروس Petya. يمكنك تكرار الخطوات المذكورة أعلاه لهذه الملفات.

تهانينا، جهاز الكمبيوتر الخاص بك محمي من NotPetya/Petya!

يقدم خبراء شركة Symantec بعض النصائح لمستخدمي أجهزة الكمبيوتر لمنعهم من القيام بأشياء قد تؤدي إلى قفل الملفات أو خسارة الأموال.

1. لا تدفع المال للمجرمين.حتى إذا قمت بتحويل الأموال إلى برنامج الفدية، فليس هناك ما يضمن أنك ستتمكن من استعادة الوصول إلى ملفاتك. وفي حالة NotPetya / Petya، فهذا لا معنى له في الأساس، لأن هدف برنامج الفدية هو تدمير البيانات، وليس الحصول على المال.
2. تأكد من عمل نسخة احتياطية لبياناتك بانتظام.في هذه الحالة، حتى لو أصبح جهاز الكمبيوتر الخاص بك هدفًا لهجوم فيروس الفدية، فستتمكن من استعادة أي ملفات محذوفة.
3. لا تفتح رسائل البريد الإلكتروني من عناوين مشكوك فيها.سيحاول المهاجمون خداعك أثناء التثبيت البرمجيات الخبيثةأو محاولة الحصول على بيانات مهمة للهجمات. تأكد من إبلاغ متخصصي تكنولوجيا المعلومات إذا تلقيت أنت أو موظفوك رسائل بريد إلكتروني أو روابط مشبوهة.
4. استخدم برامج موثوقة.يلعب تحديث برامج مكافحة الفيروسات في الوقت المناسب دورًا مهمًا في حماية أجهزة الكمبيوتر من الإصابة. وبطبيعة الحال، تحتاج إلى استخدام المنتجات من الشركات ذات السمعة الطيبة في هذا المجال.
5. استخدم آليات لفحص الرسائل غير المرغوب فيها وحظرها.يجب فحص رسائل البريد الإلكتروني الواردة بحثًا عن التهديدات. من المهم حظر أي نوع من الرسائل التي تحتوي على روابط أو كلمات رئيسية تصيدية نموذجية في نصوصها.
6. تأكد من أن كافة البرامج محدثة.يعد العلاج المنتظم لنقاط الضعف في البرامج ضروريًا لمنع الإصابة بالعدوى.

هل نتوقع هجمات جديدة؟

ظهر فيروس بيتيا لأول مرة في مارس 2016، ولاحظ المتخصصون الأمنيون سلوكه على الفور. أصاب فيروس بيتيا الجديد أجهزة الكمبيوتر في أوكرانيا وروسيا في نهاية يونيو 2017. ولكن من غير المرجح أن تكون هذه هي النهاية. هجمات القراصنةقال ستانيسلاف كوزنتسوف، نائب رئيس مجلس إدارة بنك سبيربنك، إن استخدام فيروسات برامج الفدية المشابهة لـ Petya وWannaCry سيحدث مرة أخرى. وفي مقابلة مع تاس، حذر من أن مثل هذه الهجمات ستحدث بالتأكيد، ولكن من الصعب التنبؤ مسبقًا بالشكل والشكل الذي قد تظهر به.

إذا، بعد كل الهجمات السيبرانية التي حدثت، لم تتخذ بعد على الأقل الحد الأدنى من الخطوات لحماية جهاز الكمبيوتر الخاص بك من فيروس برامج الفدية، فقد حان الوقت للتعامل بجدية بشأن هذا الأمر.