El nuevo virus petya. Rusia, Ucrania y otros países europeos atacados por el virus ransomware Petya: una descripción general de la situación y una forma de protegerse. ¿Se sigue distribuyendo Petna?

La protección contra el nuevo virus la está inventando todo el mundo, aunque trepa por los mismos "agujeros" que WannaCry

Después de la propagación del ransomware WannaCry, las computadoras de todo el mundo fueron nuevamente objeto de ataques cibernéticos. Dispositivos en varios países europeos y Estados Unidos se vieron afectados por el virus Petya. Sin embargo, la mayor parte del daño ocurrió en computadoras en Rusia y Ucrania, donde sufrieron alrededor de 80 empresas. El virus ransomware exigió dinero o criptomonedas de los propietarios de las PC afectadas, pero los expertos cibernéticos han encontrado una manera de no caer en la trampa de los estafadores. Lea sobre quién es Petya y cómo evitar encontrarse con él en el material de Realnoe Vremya.

Víctimas de "Petya": de "Rosneft" a la central nuclear de Chernobyl

La propagación masiva del virus Petya comenzó el 27 de junio. Ucrania fue la primera en sufrir: las computadoras de las grandes empresas energéticas -Ukrenergo, DTEK y Kievenergo- fueron atacadas, informaron los medios locales. Un empleado de una de las empresas dijo a los periodistas que en la mañana del 27 de junio, su computadora de trabajo se reinició, luego de lo cual el sistema supuestamente comenzó a verificar disco duro. Entonces vio que lo mismo estaba pasando en todas las computadoras de la oficina. Apagó la computadora, pero después de encenderla, apareció una nota de rescate en la pantalla del dispositivo. Las PC de algunos bancos ucranianos, el Tesoro de Ucrania, el Gabinete de Ministros, la empresa Ukrtelecom y el aeropuerto de Boryspil también se vieron afectados por el virus.

Petya también atacó el sistema informático para monitorear el fondo de radiación en la planta de energía nuclear de Chernobyl. Al mismo tiempo, todos los sistemas de la estación funcionaron con normalidad y el fondo de radiación no superó al de control, informa Meduza. En la noche del 27 de junio, en la página oficial de Facebook del Ministerio del Interior de Ucrania, un apelar a los residentes del país con la recomendación de apagar las computadoras hasta que se desarrolle una forma de combatir el virus.

Los servidores de Rosneft en Rusia han sido atacados por el virus ransomware Petya. El portavoz de Rosneft, Mikhail Leontiev, vio una conexión entre los ataques de piratas informáticos del virus Petya y la demanda de la empresa contra AFK Sistema. En el aire en Business FM, lo llamó un intento racional de usar un virus para destruir datos sobre la gestión de Bashneft. Se han registrado casos aislados de infección de objetos de infraestructura de información del sistema bancario de Rusia. Home Credit Bank detuvo operaciones debido a ciberataques, y el trabajo del sitio web de la institución de crédito también se vio interrumpido. Las sucursales trabajaron solo en modo de consulta, mientras que los cajeros automáticos funcionaron como de costumbre, informa Interfax.

El 28 de junio, los medios también informaron sobre un ataque a computadoras en el Reino Unido, Holanda, Dinamarca, España, India, Lituania, Francia y Estados Unidos.

Mikhail Leontiev vio la conexión entre los ataques de hackers del virus Petya y la demanda contra AFK Sistema. Foto polit.ru

La protección contra WannaCry es impotente contra "Petya"

El principio de funcionamiento de Petya se basa en el cifrado del registro de arranque maestro (MBR) del sector de arranque del disco. Esta entrada es el primer sector del disco duro, contiene la tabla de particiones y el programa de carga que lee de esta tabla información sobre desde qué partición del disco duro arrancará el sistema. El MBR original se almacena en el sector 0x22 del disco y se cifra mediante una operación XOR byte a byte con 0x07. Como resultado, la información en el disco de la computadora será reemplazada por los datos del virus, informan los expertos de Positive Technologies.

Después de que se inicia el archivo malicioso, se crea una tarea para reiniciar la computadora, que se retrasa de 1 a 2 horas. Si el disco se cifra con éxito después del reinicio, se muestra un mensaje que le pide que pague un rescate de $ 300 (o lo devuelva en criptomoneda) para recibir la clave de desbloqueo del archivo. Por cierto, la dirección de correo electrónico utilizada por los extorsionadores ya está bloqueada, lo que hace que la transferencia de dinero sea inútil.

Petya utiliza una vulnerabilidad de Windows, un exploit con nombre en código EternalBlue. El infame WannaCry invadió las computadoras usando la misma vulnerabilidad. Gracias al exploit, Petya se distribuyó a través de Windows Management Instrumentation (una herramienta para la gestión centralizada y el seguimiento del funcionamiento de varias partes de una infraestructura informática que se ejecuta en la plataforma Windows) y PsExec (permite ejecutar procesos en sistemas remotos) al obtener privilegios máximos en el sistema vulnerable. Esto permitió que el virus siguiera funcionando incluso con actualizaciones contra WannaCry instaladas en las computadoras.

comando bootrec /fixMbr y entrada del bloc de notas

El famoso hacker y desarrollador de software francés Mathieu Suchet en su Twitter

Virus "Petia": cómo no atraparlo, cómo descifrar de dónde vino: las últimas noticias sobre el virus ransomware Petya, que al tercer día de su "actividad" afectó a unas 300 mil computadoras en diferentes paises mundo, y hasta ahora nadie lo ha detenido.

Virus Petya: cómo descifrar, últimas noticias. Después de atacar una computadora, los creadores del ransomware Petya exigen un rescate de $ 300 (en bitcoins), pero no hay forma de descifrar el virus Petya incluso si el usuario paga el dinero. Los expertos de Kaspersky Lab, que vieron diferencias con Petya en el nuevo virus y lo llamaron ExPetr, afirman que se necesita un identificador único para una instalación de troyano específica para descifrarlo.

En versiones anteriores de ransomware Petya/Mischa/GoldenEye similares, el identificador de instalación contenía la información necesaria para ello. En el caso de ExPetr, este identificador no existe, escribe RIA Novosti.

Virus "Petya": de dónde vino, las últimas noticias. Los expertos en seguridad alemanes presentaron la primera versión de dónde se abrió paso este ransomware. En su opinión, el virus Petya comenzó a deambular por las computadoras desde la apertura de los archivos M.E.Doc. Este es un programa de contabilidad utilizado en Ucrania después de la prohibición 1C.

Mientras tanto, Kaspersky Lab dice que es demasiado pronto para sacar conclusiones sobre el origen y la fuente de propagación del virus ExPetr. Es posible que los atacantes tuvieran muchos datos. Por ejemplo, direcciones de correo electrónico del boletín anterior o algún otro formas efectivas penetración en las computadoras.

Con su ayuda, el virus "Petya" golpeó con todas sus fuerzas a Ucrania y Rusia, así como a otros países. Pero la escala real de este ataque de piratas informáticos quedará clara en unos días: informes.

Virus "Petya": cómo no atrapar, cómo descifrar, de dónde vino - últimas noticias sobre el virus ransomware Petya, que ya recibió un nuevo nombre de Kaspersky Lab: ExPetr.

El ataque del virus "Petya" fue una sorpresa desagradable para los habitantes de muchos países. Miles de computadoras han sido infectadas, como resultado de lo cual los usuarios han perdido datos importantes almacenados en sus discos duros.

Por supuesto, ahora la emoción en torno a este incidente ha disminuido, pero nadie puede garantizar que esto no vuelva a suceder. Por eso es muy importante proteger su computadora de posible amenaza y no corras riesgos innecesarios. Cómo hacerlo de la manera más efectiva, y sera discutido abajo.

Las consecuencias del ataque

En primer lugar, debemos recordar las consecuencias de la corta actividad de Petya.A. En solo unas horas, decenas de empresas ucranianas y rusas sufrieron. En Ucrania, por cierto, el trabajo de los departamentos informáticos de instituciones como Dniproenergo, Novaya Pochta y Kiev Metro se paralizó casi por completo. Además, algunas organizaciones estatales, bancos y operadores móviles no se protegieron del virus Petya.

En los países de la Unión Europea, el ransomware también logró causar muchos problemas. Compañías francesas, danesas, inglesas e internacionales informaron interrupciones temporales relacionadas con el ataque. Virus de computadora"Pedro".

Como puede ver, la amenaza es realmente seria. E incluso a pesar de que los atacantes eligieron grandes instituciones financieras como sus víctimas, los usuarios comunes no sufrieron menos.

¿Cómo funciona Petia?

Para comprender cómo protegerse del virus Petya, primero debe comprender cómo funciona. Entonces, una vez en una computadora, el malware descarga un cifrador especial de Internet que infecta el Master Boot Record. Esta es un área separada en el disco duro, oculta a los ojos del usuario y diseñada para iniciar el sistema operativo.

Para el usuario, este proceso se parece a la operación estándar del programa Check Disk después de un bloqueo repentino del sistema. La computadora se reinicia abruptamente y aparece un mensaje en la pantalla sobre la verificación de errores en el disco duro y le pide que no apague la alimentación.

Tan pronto como finaliza este proceso, aparece un protector de pantalla con información sobre cómo bloquear la computadora. Los creadores del virus Petya requieren que el usuario pague un rescate de $ 300 (más de 17,5 mil rublos), prometiendo a cambio enviar la clave necesaria para reanudar la PC.

Prevención

Es lógico que sea mucho más fácil prevenir la infección con el virus informático Petya que hacer frente a sus consecuencias más adelante. Para asegurar su PC:

• Instale siempre las últimas actualizaciones del sistema operativo. Lo mismo, en principio, se aplica a todo. software instalado en su PC. Por cierto, "Petya" no puede dañar las computadoras que ejecutan MacOS y Linux.
• Usar versiones actuales antivirus y no olvides actualizar sus bases de datos. Sí, el consejo es banal, pero no todos lo siguen.
• No abra archivos sospechosos que le hayan enviado por correo electrónico. Además, siempre verifique las aplicaciones descargadas de fuentes dudosas.
• hazlo regularmente copias de seguridad documentos y archivos importantes. Es mejor almacenarlos en un medio separado o en la "nube" (Google Drive, Yandex.Disk, etc.). Gracias a esto, incluso si algo le sucede a su computadora, la información valiosa no se verá afectada.

Crear un archivo de parada

Desarrolladores líderes programas antivirus descubrió cómo eliminar el virus Petya. Más precisamente, gracias a su investigación, pudieron comprender que durante las etapas iniciales de la infección, el ransomware intenta encontrar un archivo local en la computadora. Si tiene éxito, el virus deja de funcionar y no daña la PC.

En pocas palabras, puede crear manualmente una especie de archivo de parada y así proteger su computadora. Para esto:

• Abra Opciones de carpeta y desmarque "Ocultar extensiones para tipos de archivos conocidos".
• Cree un nuevo archivo con el bloc de notas y colóquelo en el directorio C:/Windows.
• Cambie el nombre del documento creado llamándolo "perfc". Luego vaya a y habilite la opción "Solo lectura".

Ahora el virus "Petya", habiendo caído en su computadora, no podrá dañarlo. Pero tenga en cuenta que los atacantes pueden modificar el malware en el futuro y el método de detener la creación de archivos se volverá ineficaz.

Si la infección ya se ha producido

Cuando la computadora se reinicia por sí sola y se inicia Check Disk, el virus está comenzando a cifrar archivos. En este caso, aún puede guardar sus datos haciendo lo siguiente:

• Apague su PC inmediatamente. Esta es la única manera de prevenir la propagación del virus.
• A continuación, conecte su disco duro a otra PC (¡pero no como una de arranque!) y copie información importante de ella.
• Después de eso, debe formatear completamente el disco duro infectado. Naturalmente, luego tendrá que reinstalar el sistema operativo y otro software en él.

Además, puedes intentar usar un especial disco de inicio para curar el virus "Petya". Kaspersky Anti-Virus, por ejemplo, proporciona el programa Kaspersky Rescue Disk para estos fines, que funciona sin pasar por el sistema operativo.

¿Debo pagar a los extorsionadores?

Como se mencionó anteriormente, los creadores de Petya están exigiendo un rescate de $300 a los usuarios cuyas computadoras hayan sido infectadas. Según los extorsionadores, después de pagar la cantidad especificada, a las víctimas se les enviará una clave que elimina el bloqueo de información.

El problema es que un usuario que quiere devolver su computadora a un estado normal necesita escribir a los atacantes en correo electrónico. Sin embargo, todo el ransomware de correo electrónico es bloqueado de inmediato por los servicios autorizados, por lo que es simplemente imposible contactarlos.

Además, muchos desarrolladores líderes de software antivirus están seguros de que es completamente imposible desbloquear una computadora infectada con Petya con cualquier código.

Como probablemente entendiste, no vale la pena pagar a los extorsionadores. De lo contrario, no solo se quedará con una PC que no funciona, sino que también perderá una gran cantidad de dinero.

¿Habrá nuevos ataques?

El virus Petya se descubrió por primera vez en marzo de 2016. Luego, los expertos en seguridad notaron rápidamente la amenaza e impidieron su distribución masiva. Pero ya a finales de junio de 2017 se repitió de nuevo el ataque, que tuvo consecuencias muy graves.

Es poco probable que todo termine ahí. Los ataques de ransomware no son infrecuentes, por lo que es importante mantener su computadora protegida en todo momento. El problema es que nadie puede predecir qué formato tomará la próxima infección. Sea como fuere, siempre vale la pena seguir las sencillas recomendaciones que se dan en este artículo para reducir al mínimo los riesgos de esta forma.

Gran Bretaña, Estados Unidos y Australia acusaron oficialmente a Rusia de distribuir NotPetya

El 15 de febrero de 2018, el Ministerio de Asuntos Exteriores del Reino Unido emitió un comunicado oficial acusando a Rusia de organizar un ataque cibernético utilizando el virus de cifrado NotPetya.

Según las autoridades británicas, este ataque demostró un mayor desprecio por la soberanía ucraniana y, como resultado de estas acciones imprudentes, se interrumpió el trabajo de numerosas organizaciones en toda Europa, lo que resultó en pérdidas multimillonarias.

El Ministerio señaló que la conclusión sobre la participación del gobierno ruso y el Kremlin en el ataque cibernético se basó en la conclusión del Centro Nacional de Seguridad Cibernética del Reino Unido, que “está casi completamente seguro de que el ejército ruso está detrás del ataque NotPetya”. También en el comunicado dijo que sus aliados no tolerarán actividades cibernéticas maliciosas.

El Kremlin, que anteriormente ha negado repetidamente cualquier participación de las autoridades rusas en los ataques de piratas informáticos, calificó la declaración del Ministerio de Relaciones Exteriores británico como parte de la "campaña rusofóbica".

Monumento "Aquí yace el virus informático Petya vencido por el pueblo el 27/06/2017"

En diciembre de 2017 se instaló un monumento al virus informático Petya cerca del edificio del Skolkovo Technopark. Un monumento de dos metros, con la inscripción: "Aquí yace el virus informático Petya vencido por la gente el 27/06/2017". Realizado en forma de disco duro mordido, fue creado con el apoyo de INVITRO, entre otras empresas afectadas por las consecuencias de un ciberataque masivo. Un robot llamado Nu, que trabaja en Phystechpark y (MIT), llegó a la ceremonia para dar un discurso solemne.

Ataque al gobierno de Sebastopol

Especialistas de la Dirección General de Informatización y Comunicaciones de Sebastopol repelieron con éxito el ataque del virus de cifrado de red Petya en los servidores del gobierno regional. Esto fue anunciado el 17 de julio de 2017 en una reunión operativa del gobierno de Sebastopol por el jefe del departamento de informatización Denis Timofeev.

Afirmó que el malware Petya no tuvo efecto en los datos almacenados en las computadoras de las instituciones estatales en Sebastopol.

El enfoque en el uso de software libre está integrado en el concepto de informatización de Sebastopol, aprobado en 2015. Establece que al momento de adquirir y desarrollar software básico, así como software para sistemas de información para automatización, es recomendable analizar la posibilidad de utilizar productos gratuitos que puedan reducir costos presupuestarios y reducir la dependencia de proveedores y desarrolladores.

Anteriormente, a fines de junio, como parte de un ataque a gran escala contra la compañía médica Invitro, también resultó dañada una sucursal de su sucursal ubicada en Sebastopol. debido al virus Red de computadoras la sucursal suspendió temporalmente la emisión de los resultados de las pruebas hasta que se eliminen las causas.

Invitro anunció la suspensión de la realización de pruebas por un ciberataque

La empresa médica Invitro suspendió la recolección de biomaterial y la emisión de resultados de pruebas de pacientes debido a un ataque de piratas informáticos el 27 de junio. Así lo anunció a RBC el director de comunicaciones corporativas de la empresa Anton Bulanov.

Como se indica en el mensaje de la empresa, en un futuro próximo, "Invitro" cambiará a su funcionamiento normal. Los resultados de los estudios realizados después de este tiempo serán entregados a los pacientes una vez eliminada la falla técnica. En este momento laboratorio Sistema de informacion restaurada, se encuentra en proceso de puesta a punto. “Lamentamos la situación de fuerza mayor actual y agradecemos a nuestros clientes su comprensión”, concluyó Invitro.

Según estos datos, las clínicas de Rusia, Bielorrusia y Kazajstán fueron atacadas por un virus informático.

Ataque a Gazprom y otras empresas de petróleo y gas

El 29 de junio de 2017 se supo de un ciberataque global a los sistemas informáticos de Gazprom. Por lo tanto, otra empresa rusa sufrió el virus ransomware Petya.

Según la agencia de noticias Reuters, citando a una fuente del gobierno ruso y a una persona implicada en la investigación del incidente, Gazprom se vio afectada por la propagación del malware Petya, que atacó ordenadores en un total de más de 60 países de todo el mundo.

Los interlocutores de la publicación no brindaron detalles sobre cuántos y qué sistemas se infectaron en Gazprom, así como la cantidad de daño causado por los piratas informáticos. La compañía se negó a comentar a pedido de Reuters.

Mientras tanto, una fuente de RBC de alto rango en Gazprom dijo a la publicación que las computadoras en la oficina central de la compañía estaban funcionando sin interrupción cuando comenzó un ataque de piratas informáticos a gran escala (27 de junio de 2017) y continuó dos días después. Dos fuentes más de RBC en Gazprom también aseguraron que “todo está en calma” en la empresa y no hay virus.

En el sector del petróleo y el gas, Bashneft y Rosneft sufrieron el virus Petya. Este último anunció el 28 de junio que la empresa está operando con normalidad y que “ciertos problemas” se están resolviendo a la brevedad.

Los bancos y la industria

Se supo sobre la infección de computadoras en Evraz, la sucursal rusa de Royal Canin (produce uniformes para animales) y la sucursal rusa de Mondelez (fabricante de chocolate Alpen Gold y Milka).

Según el Ministerio del Interior de Ucrania, un hombre publicó un video con Descripción detallada el proceso de lanzamiento de ransomware en las computadoras. En los comentarios al video, el hombre publicó un enlace a su página en red social en el que se cargó el malware. Durante las búsquedas en el apartamento del "hacker", los agentes de la ley incautaron equipos informáticos utilizados para distribuir NotPetya. La policía también encontró archivos con malware, cuyo análisis confirmó su similitud con el ransomware NotPetya. Como establecieron los policías cibernéticos, el ransomware, cuyo enlace fue publicado por el residente de Nikopol, fue descargado por los usuarios de la red social 400 veces.

Entre los que descargaron NotPetya, los agentes del orden identificaron empresas que deliberadamente infectaron sus sistemas con ransomware para ocultar actividades delictivas y evadir el pago de multas al estado. Vale la pena señalar que la policía no vincula las actividades del hombre con los ataques de piratas informáticos del 27 de junio de este año, es decir, no se cuestiona su participación en los autores de NotPetya. Los hechos que se le imputan se refieren únicamente a las acciones cometidas en julio de este año -tras una ola de ciberataques a gran escala-.

Se inició un caso penal contra el hombre en virtud de la Parte 1 del art. 361 (intervención no autorizada en el funcionamiento de las computadoras) del Código Penal de Ucrania. Nikopolchanin enfrenta hasta 3 años de prisión.

Distribución en el mundo

La propagación del virus ransomware Petya se ha registrado en España, Alemania, Lituania, China e India. Por ejemplo, debido a un malware en India, la tecnología de gestión de tráfico del puerto de contenedores de Jawaharlal Nehru, operado por A.P. Moller-Maersk, han dejado de reconocer la pertenencia de las mercancías.

El ciberataque fue denunciado por el grupo publicitario británico WPP, la oficina española de uno de los mayores despachos de abogados del mundo DLA Piper y el gigante de la alimentación Mondelez. El fabricante francés de materiales de construcción Cie. de Saint-Gobain y la empresa farmacéutica Merck & Co.

Merck

El gigante farmacéutico estadounidense Merck, duramente golpeado por el ataque de ransomware NotPetya de junio, aún no puede restaurar todos los sistemas y volver al funcionamiento normal. Esto se informó en el informe de la compañía en el formulario 8-K, presentado a la Comisión de Bolsa y Valores de EE. UU. (SEC) a fines de julio de 2017. Leer más.

Möller-Maersk y Rosneft

El 3 de julio de 2017, se supo que el gigante naviero danés Moller-Maersk y Rosneft restauraron los sistemas informáticos infectados con el virus ransomware Petya solo casi una semana después del ataque del 27 de junio.

La compañía naviera Maersk, que representa uno de cada siete contenedores de envío enviados a nivel mundial, también agregó que las 1.500 aplicaciones afectadas por el ciberataque volverán a funcionar normalmente el 9 de julio de 2017 a más tardar.

Los sistemas de TI de APM Terminals, propiedad de Maersk, que opera docenas de puertos de carga y terminales de contenedores en más de 40 países, fueron los más afectados. Más de 100 mil contenedores de carga por día pasan por los puertos de APM Terminals, cuyas labores quedaron completamente paralizadas por la propagación del virus. La terminal de Maasvlakte II en Rotterdam restableció el suministro el 3 de julio.

16 de agosto de 2017 AP Moller-Maersk nombró la cantidad aproximada de daño de un ataque cibernético con el virus Petya, cuya infección, como señaló la compañía europea, pasó a través del programa ucraniano. Según los cálculos preliminares de Maersk, las pérdidas financieras del ransomware Petya en el segundo trimestre de 2017 ascendieron a entre 200 y 300 millones de dólares.

Mientras tanto, casi una semana para recuperarse sistemas informáticos Rosneft también necesitaba un ataque de piratas informáticos, que fue informado el 3 de julio por el servicio de prensa de la compañía, se le dijo a Interfax:

Unos días antes, Rosneft enfatizó que aún no se comprometía a evaluar las consecuencias de un ciberataque, pero la producción no se vio afectada.

¿Cómo funciona Petia?

De hecho, las víctimas de virus no pueden desbloquear sus archivos una vez infectados. El hecho es que sus creadores no previeron tal oportunidad en absoluto. Es decir, un disco cifrado a priori no se puede descifrar. La identificación del malware carece de la información requerida para el descifrado.

Inicialmente, los expertos clasificaron el virus, que afectó a unas dos mil computadoras en Rusia, Ucrania, Polonia, Italia, Alemania, Francia y otros países, como parte de la ya conocida familia de ransomware Petya. Sin embargo, resultó que estamos hablando sobre una nueva familia de malware. Kaspersky Lab ha denominado al nuevo cifrador ExPetr.

Como pelear

La lucha contra las amenazas cibernéticas requiere del esfuerzo conjunto de bancos, empresas de TI y el estado

Método de recuperación de datos de Positive Technologies

El 7 de julio de 2017, el experto de Positive Technologies, Dmitry Sklyarov, presentó un método para recuperar datos cifrados por el virus NotPetya. Según el experto, el método es aplicable si el virus NotPetya tenía privilegios administrativos y encriptaba todo el disco.

La capacidad de recuperar datos se debe a errores en la implementación del algoritmo de encriptación Salsa20, realizados por los propios atacantes. La eficiencia del método se probó tanto en un medio de prueba como en uno de los cifrados. unidades de disco duro gran compañía que estaban entre las víctimas de la epidemia.

Las empresas y los desarrolladores independientes que se especializan en la recuperación de datos son libres de usar y automatizar el script de descifrado presentado.

Los resultados de la investigación ya han sido confirmados por la policía cibernética de Ucrania. Las conclusiones de la investigación "Juscutum" se va a utilizar como prueba clave en el futuro proceso contra Intellect-Service.

El proceso será de carácter civil. Los organismos encargados de hacer cumplir la ley de Ucrania están llevando a cabo una investigación independiente. Sus representantes han anunciado previamente la posibilidad de iniciar procedimientos contra los empleados de Intellect-Service.

La propia empresa M.E.Doc afirmó que lo que estaba sucediendo era un intento de apoderarse de la empresa por parte de asaltantes. El fabricante del único software de contabilidad ucraniano popular cree que la búsqueda de la compañía por parte de la policía cibernética ucraniana fue parte de la implementación de este plan.

Vector de infección inicial con codificador Petya

El 17 de mayo, se lanzó una actualización de M.E.Doc que no contiene un módulo de puerta trasera malicioso. Probablemente, esto puede explicar la cantidad relativamente pequeña de infecciones de XData, cree la compañía. Los atacantes no esperaban el lanzamiento de la actualización el 17 de mayo y lanzaron el cifrador el 18 de mayo, cuando la mayoría de los usuarios ya habían instalado la actualización segura.

La puerta trasera permite cargar y ejecutar otro malware en el sistema infectado; así es como se llevó a cabo la infección inicial con los codificadores Petya y XData. Además, el programa recopila configuraciones de proxy y correo electrónico, incluidos los nombres de usuario y las contraseñas de la aplicación M.E.Doc, así como los códigos de empresa de acuerdo con EDRPOU (Registro estatal unificado de empresas y organizaciones de Ucrania), lo que permite identificar a las víctimas. .

“Tenemos una serie de preguntas que responder”, dijo Anton Cherepanov, analista sénior de virus de Eset. - ¿Cuánto tiempo ha estado en uso la puerta trasera? ¿Qué comandos y malware distintos de Petya y XData se enviaron a través de este canal? ¿Qué otras infraestructuras han sido comprometidas pero aún no utilizadas por el grupo cibernético detrás de este ataque?

Basándose en una combinación de señales, que incluyen infraestructura, herramientas maliciosas, esquemas y objetivos de ataque, los expertos de Eset han establecido un vínculo entre la epidemia Diskcoder.C (Petya) y el grupo cibernético Telebots. Todavía no ha sido posible determinar de manera confiable quién está detrás de las actividades de este grupo.

A principios de mayo, unas 230.000 computadoras en más de 150 países fueron infectadas con ransomware. Antes de que las víctimas tuvieran tiempo de eliminar las consecuencias de este ataque, siguió uno nuevo, llamado Petya. El más grande de Ucrania y empresas rusas así como agencias gubernamentales.

La policía cibernética de Ucrania descubrió que el ataque del virus comenzó a través del mecanismo de actualización del software de contabilidad M.E.Doc, que se utiliza para preparar y enviar declaraciones de impuestos. Entonces, se supo que las redes de Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo y el sistema de energía eléctrica Dnieper no escaparon a la infección. En Ucrania, el virus ha penetrado en las computadoras del gobierno, las PC del metro de Kiev, los operadores de telecomunicaciones e incluso la planta de energía nuclear de Chernobyl. En Rusia, Mondelez International, Mars y Nivea sufrieron.

El virus Petya aprovecha la vulnerabilidad de EternalBlue en el quirófano sistema de ventanas. Los expertos de Symantec y F-Secure dicen que si bien Petya encripta datos como WannaCry, es algo diferente de otros tipos de ransomware. “El virus de Petya es un nuevo tipo de ransomware con intenciones maliciosas: no solo encripta archivos en un disco, sino que bloquea todo el disco, dejándolo prácticamente inutilizable”, explica F-Secure. "En particular, encripta la tabla de archivos maestros de MFT".

¿Cómo sucede esto y se puede prevenir este proceso?

Virus "Petya": ¿cómo funciona?

El virus Petya también se conoce con otros nombres: Petya.A, PetrWrap, NotPetya, ExPetr. Una vez en la computadora, descarga un ransomware de Internet e intenta golpear una parte del disco duro con los datos necesarios para arrancar la computadora. Si tiene éxito, el sistema emite una pantalla azul de la muerte (" pantalla azul de la muerte"). Después del reinicio, aparece un mensaje de verificación del disco duro que le pide que no apague la alimentación. Por lo tanto, el virus ransomware pretende ser un programa de sistema para verificar el disco, mientras cifra archivos con ciertas extensiones. Al final del proceso, aparece un mensaje sobre el bloqueo de la computadora e información sobre cómo obtener una clave digital para descifrar los datos. El virus Petya exige un rescate, generalmente en bitcoins. Si la víctima no tiene una copia de respaldo de los archivos, se enfrenta a una elección: pagar la cantidad de $ 300 o perder toda la información. Según algunos analistas, el virus solo se hace pasar por ransomware, mientras que su verdadero objetivo es causar daños masivos.

¿Cómo deshacerse de Petya?

Los expertos encontraron que el virus Petya busca un archivo local y, si este archivo ya existe en el disco, sale del proceso de encriptación. Esto significa que los usuarios pueden proteger su computadora del ransomware creando este archivo y configurándolo como de solo lectura.

A pesar de que este astuto esquema evita que se inicie el proceso de extorsión, este método puede considerarse más como una "vacunación informática". Por lo tanto, el usuario tendrá que crear el archivo por sí mismo. Puedes hacer esto de la siguiente manera:

• Primero debe lidiar con la extensión del archivo. Asegúrese de que en la ventana "Opciones de carpeta" en la casilla de verificación "Ocultar extensiones para tipos de archivos conocidos" no esté marcada.
• Abra la carpeta C:\Windows, desplácese hacia abajo hasta que vea el programa notepad.exe.
• Haga clic izquierdo en notepad.exe, luego presione Ctrl + C para copiar y luego Ctrl + V para pegar el archivo. Se le pedirá permiso para copiar el archivo.
• Haga clic en el botón "Continuar" y el archivo se creará como un bloc de notas - Copy.exe. Haga clic izquierdo en este archivo y presione la tecla F2, luego elimine el nombre del archivo Copy.exe y escriba perfc.
• Después de cambiar el nombre del archivo a perfc, presione Entrar. Confirme el cambio de nombre.
• Ahora que se ha creado el archivo perfc, debemos hacerlo de solo lectura. Para hacer esto, haga clic derecho en el archivo y seleccione "Propiedades".
• Se abrirá el menú de propiedades de ese archivo. En la parte inferior verás "Solo lectura". Revisa la caja.
• Ahora haga clic en el botón "Aplicar" y luego en el botón "Aceptar".

Algunos expertos en seguridad sugieren crear archivos C:\Windows\perfc.dat y C:\Windows\perfc.dll además del archivo C:\windows\perfc para proteger mejor contra el virus Petya. Puede repetir los pasos anteriores para estos archivos.

¡Felicitaciones, su computadora está protegida contra NotPetya / Petya!

Los expertos de Symantec dan algunos consejos a los usuarios de PC para evitar que hagan cosas que podrían provocar el bloqueo de archivos o la pérdida de dinero.

1. No pague dinero a los estafadores. Incluso si transfiere dinero al ransomware, no hay garantía de que pueda recuperar el acceso a sus archivos. Y en el caso de NotPetya / Petya, esto básicamente no tiene sentido, porque el propósito del cifrador es destruir datos, no obtener dinero.
2. Asegúrese de hacer una copia de seguridad de sus datos con regularidad. En este caso, incluso si su PC se convierte en el objetivo de un ataque de ransomware, podrá recuperar los archivos eliminados.
3. No abra correos electrónicos con direcciones cuestionables. Los atacantes intentarán engañarte para que instales malware o tratar de obtener datos importantes para los ataques. Asegúrese de notificar a los profesionales de TI si usted o sus empleados reciben correos electrónicos o enlaces sospechosos.
4. Utilice un software confiable. La actualización oportuna de los programas antivirus juega un papel importante en la protección de las computadoras contra las infecciones. Y, por supuesto, debe utilizar los productos de empresas de renombre en esta área.
5. Utilice mecanismos para escanear y bloquear mensajes de spam. Los correos electrónicos entrantes deben analizarse en busca de amenazas. Es importante que se bloquee cualquier tipo de mensaje que contenga enlaces o palabras clave típicas de phishing en su cuerpo.
6. Asegúrese de que todos los programas estén actualizados. La aplicación regular de parches a las vulnerabilidades del software es esencial para prevenir infecciones.

¿Deberíamos esperar nuevos ataques?

El virus Petya apareció por primera vez en marzo de 2016 y los expertos en seguridad notaron de inmediato su comportamiento. Nuevo virus Petya llegó a las computadoras en Ucrania y Rusia a fines de junio de 2017. Pero es poco probable que esto termine. Ataques de piratas informáticos Se repetirá el uso de virus ransomware similares a Petya y WannaCry, dijo Stanislav Kuznetsov, vicepresidente de la junta directiva de Sberbank. En una entrevista con TASS, advirtió que definitivamente habría tales ataques, pero es difícil predecir de antemano en qué forma y formato podrían aparecer.

Si, después de todos los ataques cibernéticos anteriores, aún no ha tomado al menos los pasos mínimos para proteger su computadora de un virus de encriptación, entonces es hora de ponerse manos a la obra.