ویروس پتیا جدید روسیه، اوکراین و سایر کشورهای اروپایی مورد حمله ویروس باج افزار Petya: مروری بر وضعیت و راهی برای محافظت. آیا پتنا هنوز در حال توزیع است؟

محافظت در برابر ویروس جدید توسط تمام جهان اختراع شده است، اگرچه از همان سوراخ هایی مانند WannaCry عبور می کند.

پس از گسترش باج‌افزار WannaCry، رایانه‌های سراسر جهان دوباره مورد حملات سایبری قرار گرفتند. دستگاه هایی در کشورهای مختلف اروپایی و ایالات متحده تحت تأثیر ویروس پتیا قرار گرفتند. با این حال، بیشتر آسیب ها بر روی رایانه ها در روسیه و اوکراین رخ داده است، جایی که حدود 80 شرکت آسیب دیده اند. این ویروس باج‌افزار از صاحبان رایانه‌های شخصی آسیب‌دیده پول یا ارز دیجیتال طلب می‌کرد، اما کارشناسان سایبری راهی پیدا کرده‌اند که در دام کلاهبرداران نیفتند. در مورد اینکه پتیا کیست و چگونه از ملاقات با او اجتناب کنید در مطالب Realnoe Vremya بخوانید.

قربانیان "پتیا": از "روس نفت" تا نیروگاه هسته ای چرنوبیل

شیوع گسترده ویروس پتیا از 27 ژوئن آغاز شد. رسانه های محلی گزارش دادند که اوکراین اولین کسی بود که آسیب دید: رایانه های شرکت های بزرگ انرژی - Ukrenergo، DTEK و Kievenergo - مورد حمله قرار گرفتند. یکی از کارمندان یکی از این شرکت ها به خبرنگاران گفت که در صبح روز 27 ژوئن، کامپیوتر محل کارش دوباره راه اندازی شد و پس از آن سیستم ظاهرا شروع به بررسی کرد. هارد دیسک. بعد دید که همین اتفاق روی همه کامپیوترهای دفتر می افتد. او کامپیوتر را خاموش کرد، اما پس از روشن کردن آن، یک یادداشت باج بر روی صفحه نمایش دستگاه ظاهر شد. رایانه های شخصی برخی از بانک های اوکراین، خزانه داری اوکراین، کابینه وزیران، شرکت Ukrtelecom و فرودگاه Boryspil نیز تحت تأثیر این ویروس قرار گرفتند.

پتیا همچنین به سیستم رایانه ای برای نظارت بر پس زمینه تشعشع در نیروگاه هسته ای چرنوبیل حمله کرد. مدوزا گزارش می دهد که در همان زمان، تمام سیستم های ایستگاه به طور عادی کار می کردند و پس زمینه تشعشع از سطح کنترل فراتر نمی رفت. در شب 27 ژوئن، در صفحه رسمی فیس بوک وزارت امور داخلی اوکراین، الف درخواستبه ساکنان کشور با توصیه به خاموش کردن رایانه ها تا زمانی که راهی برای مبارزه با ویروس ایجاد شود.

سرورهای Rosneft در روسیه توسط ویروس باج افزار Petya مورد حمله قرار گرفته اند. میخائیل لئونتیف، سخنگوی روس‌نفت، ارتباطی بین حملات هکری ویروس پتیا و شکایت این شرکت علیه AFK Sistema مشاهده کرد. در پخش در Business FM، او آن را تلاشی منطقی برای استفاده از یک ویروس برای از بین بردن داده‌های مدیریت باشنفت خواند. موارد جداگانه آلودگی اشیاء زیرساخت اطلاعاتی سیستم بانکی روسیه ثبت شده است. بانک اعتبار خانگی به دلیل حملات سایبری فعالیت خود را متوقف کرد و سایت این موسسه اعتباری نیز دچار اختلال شد. به گزارش اینترفکس، شعب فقط در حالت مشاوره کار می کردند، در حالی که دستگاه های خودپرداز طبق معمول کار می کردند.

در 28 ژوئن، رسانه ها همچنین از حمله به رایانه ها در بریتانیا، هلند، دانمارک، اسپانیا، هند، لیتوانی، فرانسه و ایالات متحده خبر دادند.

میخائیل لئونتیف ارتباط بین حملات هکری ویروس Petya و شکایت علیه AFK Sistema را دید. عکس polit.ru

محافظت در برابر WannaCry در برابر "Petya" ناتوان است

اصل عملکرد Petya بر اساس رمزگذاری رکورد اصلی بوت (MBR) بخش بوت دیسک است. این ورودی اولین بخش روی هارد دیسک است، شامل جدول پارتیشن و برنامه لودر است که از این جدول اطلاعاتی در مورد اینکه سیستم از کدام پارتیشن از هارد دیسک بوت می شود می خواند. MBR اصلی در بخش 0x22 دیسک ذخیره می شود و با استفاده از عملیات XOR بایت به بایت با 0x07 رمزگذاری می شود. کارشناسان Positive Technologies گزارش می دهند که در نتیجه، اطلاعات روی دیسک کامپیوتر با داده های ویروس جایگزین می شود.

پس از راه اندازی فایل مخرب، وظیفه ای برای راه اندازی مجدد رایانه ایجاد می شود که 1-2 ساعت به تعویق می افتد. اگر دیسک پس از راه‌اندازی مجدد با موفقیت رمزگذاری شود، پیامی نمایش داده می‌شود که از شما می‌خواهد ۳۰۰ دلار باج بپردازید (یا آن را به ارز دیجیتال برگردانید) تا کلید باز کردن قفل فایل را دریافت کنید. ضمناً آدرس ایمیل استفاده شده توسط اخاذی ها از قبل مسدود شده است که انتقال پول را بی فایده می کند.

Petya از یک آسیب پذیری ویندوز استفاده می کند - یک سوء استفاده با کد EternalBlue. WannaCry بدنام با استفاده از همین آسیب‌پذیری به رایانه‌ها حمله کرد. به لطف این اکسپلویت، Petya از طریق ابزار مدیریت ویندوز (ابزاری برای مدیریت متمرکز و نظارت بر عملکرد بخش‌های مختلف زیرساخت رایانه‌ای که بر روی پلتفرم ویندوز اجرا می‌شود) و PsExec (به شما امکان می‌دهد فرآیندها را در آن اجرا کنید) توزیع شد. سیستم های از راه دور) با به دست آوردن حداکثر امتیازات در سیستم آسیب دیده. این به ویروس اجازه داد حتی با به‌روزرسانی‌هایی که علیه WannaCry روی رایانه‌ها نصب شده بود، به کار خود ادامه دهد.

دستور bootrec /fixMbr و ورودی دفترچه یادداشت

هکر معروف فرانسوی و توسعه دهنده نرم افزار Mathieu Suchet در توییتر خود

ویروس "پتیا":چگونه آن را نگیریم، چگونه رمزگشایی کنیم که از کجا آمده است - آخرین اخبار در مورد ویروس باج افزار Petya، که در روز سوم "فعالیت" خود به حدود 300 هزار رایانه در کشورهای مختلفدنیا، و تا کنون کسی جلوی او را نگرفته است.

ویروس پتیا - نحوه رمزگشایی، آخرین اخبار.پس از حمله به رایانه، سازندگان باج افزار Petya باج 300 دلاری (به بیت کوین) را طلب می کنند، اما هیچ راهی برای رمزگشایی ویروس Petya حتی در صورت پرداخت پول توسط کاربر وجود ندارد. کارشناسان آزمایشگاه کسپرسکی که تفاوت‌هایی با Petya در ویروس جدید دیدند و آن را ExPetr نامیدند، ادعا می‌کنند که برای رمزگشایی آن به یک شناسه منحصر به فرد برای یک نصب تروجان خاص نیاز است.

در نسخه‌های شناخته شده قبلی باج‌افزار مشابه Petya/Mischa/GoldenEye، شناسه نصب حاوی اطلاعات لازم برای این کار بود. ریانووستی می نویسد، در مورد ExPetr، این شناسه وجود ندارد.

ویروس "Petya" - از کجا آمده است، آخرین اخبار.کارشناسان امنیتی آلمان اولین نسخه را ارائه کردند که این باج افزار از کجا آمده است. به نظر آنها، ویروس Petya از باز شدن پرونده های M.E.Doc شروع به پرسه زدن در رایانه ها کرد. این یک برنامه حسابداری است که پس از ممنوعیت 1C در اوکراین استفاده می شود.

در همین حال، آزمایشگاه کسپرسکی می گوید که هنوز برای نتیجه گیری در مورد منشا و منبع انتشار ویروس ExPetr زود است. این احتمال وجود دارد که مهاجمان اطلاعات گسترده ای داشته باشند. به عنوان مثال، آدرس های ایمیل از خبرنامه قبلی یا برخی دیگر راه های موثرنفوذ به کامپیوتر

با کمک آنها، ویروس "پتیا" با تمام توان به اوکراین و روسیه و همچنین سایر کشورها حمله کرد. اما ابعاد واقعی این حمله هکری تا چند روز دیگر مشخص خواهد شد - گزارش ها.

ویروس "پتیا": چگونه نگیریم، چگونه رمزگشایی کنیم، از کجا آمده است - آخرین اخباردر مورد ویروس باج افزار Petya که قبلاً نام جدیدی از آزمایشگاه کسپرسکی دریافت کرده است - ExPetr.

حمله ویروس "پتیا" یک غافلگیری ناخوشایند برای ساکنان بسیاری از کشورها بود. هزاران رایانه آلوده شده اند و در نتیجه کاربران اطلاعات مهم ذخیره شده در هارد دیسک خود را از دست داده اند.

البته اکنون هیجانات پیرامون این حادثه فروکش کرده است، اما هیچکس نمی تواند تضمین کند که این اتفاق دیگر تکرار نخواهد شد. به همین دلیل بسیار مهم است که از رایانه خود محافظت کنید تهدید احتمالیو ریسک های غیر ضروری را انجام ندهید. چگونه می توان آن را به بهترین نحو انجام داد، و به آن پرداخته خواهد شدزیر

عواقب حمله

قبل از هر چیز باید عواقب فعالیت کوتاه Petya.A را به یاد داشته باشیم. تنها در چند ساعت ده ها شرکت اوکراینی و روسی آسیب دیدند. اتفاقاً در اوکراین، کار بخش های رایانه مؤسساتی مانند Dniproenergo، Novaya Pochta و Kiev Metro تقریباً به طور کامل فلج شد. علاوه بر این، برخی از سازمان های دولتی، بانک ها و اپراتورهای تلفن همراه از خود در برابر ویروس پتیا محافظت نکردند.

در کشورهای اتحادیه اروپا نیز باج افزار توانست دردسرهای زیادی را انجام دهد. شرکت‌های فرانسوی، دانمارکی، انگلیسی و بین‌المللی از قطعی موقت در ارتباط با این حمله خبر دادند ویروس کامپیوتری"پیتر".

همانطور که می بینید، تهدید واقعا جدی است. و حتی با وجود این واقعیت که مهاجمان موسسات مالی بزرگ را به عنوان قربانیان خود انتخاب کردند، کاربران عادی کمتر آسیب دیدند.

پتیا چگونه کار می کند؟

برای درک چگونگی محافظت از خود در برابر ویروس پتیا، ابتدا باید نحوه عملکرد آن را بدانید. بنابراین، بدافزار یک بار روی رایانه، یک رمزگذار مخصوص را از اینترنت دانلود می‌کند که Master Boot Record را آلوده می‌کند. این قسمت جداگانه روی هارد دیسک است که از چشم کاربر پنهان است و برای بوت کردن سیستم عامل طراحی شده است.

برای کاربر، این فرآیند مانند عملکرد استاندارد برنامه Check Disk پس از یک خرابی ناگهانی سیستم به نظر می رسد. کامپیوتر به طور ناگهانی راه اندازی مجدد می شود و پیامی در مورد بررسی هارد دیسک برای وجود خطا و عدم قطع برق روی صفحه ظاهر می شود.

به محض پایان یافتن این فرآیند، محافظ صفحه نمایش با اطلاعاتی در مورد قفل کردن رایانه ظاهر می شود. سازندگان ویروس Petya از کاربر می خواهند که باج 300 دلاری (بیش از 17.5 هزار روبل) را بپردازد و در ازای آن قول می دهند کلید مورد نیاز برای از سرگیری رایانه شخصی را ارسال کنند.

جلوگیری

منطقی است که جلوگیری از عفونت با ویروس کامپیوتری Petya بسیار ساده تر از مقابله با عواقب آن است. برای ایمن سازی رایانه شخصی خود:

• همیشه آخرین به روز رسانی های سیستم عامل را نصب کنید. در اصل، همین امر در مورد همه چیز صدق می کند. نرم افزاربر روی کامپیوتر شما نصب شده است. به هر حال، "Petya" نمی تواند به رایانه های دارای MacOS و Linux آسیب برساند.
• استفاده کنید نسخه های فعلیآنتی ویروس و فراموش نکنید که پایگاه داده های آن را به روز کنید. بله، توصیه پیش پا افتاده است، اما همه آن را دنبال نمی کنند.
• فایل های مشکوکی که از طریق ایمیل برای شما ارسال می شود را باز نکنید. همچنین، همیشه برنامه های دانلود شده از منابع مشکوک را بررسی کنید.
• آن را به طور منظم انجام دهید پشتیبان گیریاسناد و پرونده های مهم بهتر است آنها را در یک رسانه جداگانه یا در "ابر" (Google Drive، Yandex.Disk و غیره) ذخیره کنید. با تشکر از این، حتی اگر اتفاقی برای رایانه شما بیفتد، اطلاعات ارزشمند تحت تأثیر قرار نمی گیرند.

یک فایل توقف ایجاد کنید

توسعه دهندگان پیشرو برنامه های آنتی ویروسمتوجه شد که چگونه ویروس Petya را حذف کند. به‌طور دقیق‌تر، به لطف تحقیقات خود، آنها توانستند بفهمند که در مراحل اولیه آلودگی، باج‌افزار سعی می‌کند یک فایل محلی را در رایانه پیدا کند. اگر او موفق شود، ویروس کار خود را متوقف می کند و به رایانه شخصی آسیب نمی رساند.

به عبارت ساده، می توانید به صورت دستی نوعی فایل توقف ایجاد کنید و در نتیجه از رایانه خود محافظت کنید. برای این:

• Folder Options را باز کنید و تیک "Hide extensions for known file types" را بردارید.
• یک فایل جدید با notepad ایجاد کنید و آن را در دایرکتوری C:/Windows قرار دهید.
• نام سند ایجاد شده را با نام "perfc" تغییر دهید. سپس به گزینه Read Only بروید و آن را فعال کنید.

اکنون ویروس "Petya" با وارد شدن به رایانه شما نمی تواند به آن آسیب برساند. اما به خاطر داشته باشید که مهاجمان ممکن است در آینده بدافزار را تغییر دهند و روش ایجاد فایل توقف بی اثر شود.

اگر عفونت قبلا رخ داده باشد

وقتی کامپیوتر خود به خود راه اندازی مجدد می شود و Check Disk شروع به کار می کند، ویروس تازه شروع به رمزگذاری فایل ها می کند. در این صورت، همچنان می توانید با انجام کارهای زیر اطلاعات خود را ذخیره کنید:

• کامپیوتر خود را فورا خاموش کنید. این تنها راهی است که می توانید از انتشار ویروس جلوگیری کنید.
• بعد، خود را وصل کنید HDDبه رایانه شخصی دیگری (اما نه به صورت بوت شدنی!) و اطلاعات مهم را از آن کپی کنید.
• پس از آن، باید هارد دیسک آلوده را به طور کامل فرمت کنید. طبیعتاً پس از آن باید سیستم عامل و سایر نرم افزارها را مجدداً روی آن نصب کنید.

همچنین، می توانید سعی کنید از یک ویژه استفاده کنید دیسک بوتبرای درمان ویروس "پتیا" به عنوان مثال، آنتی ویروس کسپرسکی، برنامه Kaspersky Rescue Disk را برای این اهداف فراهم می کند که با دور زدن سیستم عامل کار می کند.

آیا باید به زورگیران پول بدهم؟

همانطور که قبلا ذکر شد، سازندگان Petya از کاربرانی که رایانه‌هایشان آلوده شده است، 300 دلار باج می‌خواهند. به گفته زورگیران، پس از پرداخت مبلغ مشخص شده، کلیدی برای مالباختگان ارسال می شود که مسدود شدن اطلاعات را رفع می کند.

مشکل اینجاست که کاربری که می‌خواهد کامپیوتر خود را به حالت عادی بازگرداند، باید به مهاجمان بنویسد پست الکترونیک. با این حال، تمام باج افزارهای ایمیل به سرعت توسط سرویس های مجاز مسدود می شوند، بنابراین تماس با آنها به سادگی غیرممکن است.

علاوه بر این، بسیاری از توسعه دهندگان پیشرو نرم افزار ضد ویروس مطمئن هستند که باز کردن قفل رایانه آلوده به Petya با هر کدی کاملاً غیرممکن است.

همانطور که احتمالاً متوجه شدید، ارزش پرداخت به زورگیران را ندارد. در غیر این صورت، شما نه تنها با یک کامپیوتر غیر کارآمد باقی خواهید ماند، بلکه مقدار زیادی پول نیز از دست خواهید داد.

آیا حملات جدیدی رخ خواهد داد

ویروس پتیا اولین بار در مارس 2016 کشف شد. سپس کارشناسان امنیتی به سرعت متوجه این تهدید شدند و از توزیع انبوه آن جلوگیری کردند. اما در اواخر ژوئن 2017، این حمله دوباره تکرار شد که منجر به عواقب بسیار جدی شد.

بعید است که همه چیز به همین جا ختم شود. حملات باج افزار غیر معمول نیستند، بنابراین مهم است که همیشه از رایانه خود محافظت کنید. مشکل این است که هیچ کس نمی تواند پیش بینی کند که عفونت بعدی چه فرمتی خواهد داشت. به هر حال، همیشه ارزش دارد که توصیه های ساده ارائه شده در این مقاله را دنبال کنید تا از این طریق خطرات را به حداقل برسانید.

بریتانیا، ایالات متحده آمریکا و استرالیا رسما روسیه را به توزیع NotPetya متهم کردند

در 15 فوریه 2018، وزارت امور خارجه بریتانیا بیانیه ای رسمی صادر کرد و روسیه را به سازماندهی یک حمله سایبری با استفاده از ویروس رمزگذاری NotPetya متهم کرد.

به گفته مقامات انگلیسی، این حملهبی توجهی بیشتری به حاکمیت اوکراین نشان داد و در نتیجه این اقدامات بی پروا، کار بسیاری از سازمان ها در سراسر اروپا مختل شد که منجر به زیان های چند میلیون دلاری شد.

این وزارتخانه خاطرنشان کرد که نتیجه‌گیری درباره دخالت دولت روسیه و کرملین در حمله سایبری بر اساس نتیجه‌گیری مرکز امنیت سایبری ملی بریتانیا گرفته شده است که «تقریباً کاملاً مطمئن است که ارتش روسیه در پشت حمله NotPetya قرار دارد.» همچنین در این بیانیه آمده است که متحدانش فعالیت های سایبری مخرب را تحمل نخواهند کرد.

کرملین که پیش از این بارها هرگونه دخالت مقامات روسیه در حملات هکری را رد کرده است، بیانیه وزارت خارجه بریتانیا را بخشی از "کارزار روس هراسی" خواند.

بنای یادبود "اینجا ویروس کامپیوتری Petya نهفته است که توسط مردم در 2017/06/27 شکست خورده است"

بنای یادبود ویروس کامپیوتری Petya در دسامبر 2017 در نزدیکی ساختمان پارک فنی Skolkovo نصب شد. یک بنای تاریخی دو متری، با کتیبه: "اینجا ویروس کامپیوتری Petya نهفته است که در 2017/06/27 توسط مردم شکست خورد." ساخته شده در قالب یک هارد دیسک گاز گرفته شده، با پشتیبانی INVITRO، در میان سایر شرکت هایی که تحت تأثیر عواقب یک حمله سایبری گسترده قرار گرفته اند، ایجاد شده است. روباتی به نام نو که در Phystechpark و (MIT) کار می‌کند، برای ایراد سخنرانی رسمی به این مراسم آمد.

حمله به دولت سواستوپل

متخصصان اداره اصلی اطلاعات و ارتباطات سواستوپل با موفقیت حمله ویروس رمزگذاری شبکه Petya به سرورهای دولت منطقه را دفع کردند. این در 17 ژوئیه 2017 در جلسه عملیاتی دولت سواستوپل توسط رئیس بخش اطلاع رسانی دنیس تیموفیف اعلام شد.

وی اظهار داشت که بدافزار Petya هیچ تأثیری بر داده های ذخیره شده در رایانه های مؤسسات دولتی در سواستوپل ندارد.

تمرکز بر استفاده از نرم‌افزار رایگان در مفهوم اطلاع‌رسانی سواستوپل که در سال 2015 تصویب شد، تعبیه شده است. این بیان می کند که هنگام خرید و توسعه نرم افزار پایه و همچنین نرم افزار سیستم های اطلاعاتی برای اتوماسیون، توصیه می شود امکان استفاده از محصولات رایگان را که می تواند هزینه های بودجه را کاهش داده و وابستگی به تامین کنندگان و توسعه دهندگان را کاهش دهد، تجزیه و تحلیل کنید.

پیش از این، در پایان ماه ژوئن، به عنوان بخشی از حمله گسترده به شرکت پزشکی Invitro، شعبه ای از شعبه آن واقع در سواستوپل نیز آسیب دید. به دلیل ویروس شبکه کامپیوتریشعبه به طور موقت صدور نتایج آزمایش را تا رفع علل به حالت تعلیق درآورد.

Invitro از تعلیق انجام آزمایشات به دلیل حمله سایبری خبر داد

شرکت پزشکی Invitro جمع آوری مواد زیستی و صدور نتایج آزمایش بیمار را به دلیل حمله هکری در 27 ژوئن به حالت تعلیق درآورد. این را مدیر ارتباطات شرکتی آنتون بولانوف به RBC اعلام کرد.

همانطور که در پیام این شرکت آمده است، در آینده نزدیک "Invitro" به عملکرد عادی تغییر خواهد کرد. نتایج مطالعات انجام شده پس از این زمان پس از رفع نقص فنی به بیماران تحویل داده می شود. بر این لحظهآزمایشگاه سیستم اطلاعاتبازیابی شده، در مرحله راه اندازی است. Invitro در پایان گفت: "ما از وضعیت فورس ماژور فعلی متاسفیم و از مشتریان خود برای درک آنها تشکر می کنیم."

بر اساس این داده ها، کلینیک ها در روسیه، بلاروس و قزاقستان مورد حمله یک ویروس کامپیوتری قرار گرفتند.

حمله به گازپروم و دیگر شرکت های نفت و گاز

در 29 ژوئن 2017، در مورد یک حمله سایبری جهانی به سیستم های رایانه ای گازپروم شناخته شد. به این ترتیب یک شرکت روسی دیگر از ویروس باج افزار پتیا رنج برد.

به گزارش خبرگزاری رویترز، به نقل از یک منبع دولتی روسیه و یک فرد درگیر در تحقیقات این حادثه، گازپروم تحت تاثیر گسترش بدافزار Petya قرار گرفت که در مجموع به رایانه های بیش از 60 کشور در سراسر جهان حمله کرد.

طرفین این نشریه جزئیاتی در مورد تعداد و سیستم هایی که در گازپروم آلوده شده اند و همچنین میزان خسارت وارده توسط هکرها ارائه نکردند. این شرکت به درخواست رویترز از اظهار نظر خودداری کرد.

در همین حال، یک منبع بلندپایه RBC در گازپروم به این نشریه گفت که رایانه‌های دفتر مرکزی این شرکت بدون وقفه کار می‌کردند که حمله هکری در مقیاس بزرگ آغاز شد (27 ژوئن 2017) و دو روز بعد ادامه یافت. دو منبع دیگر RBC در گازپروم همچنین اطمینان دادند که "همه چیز در شرکت آرام است" و هیچ ویروسی وجود ندارد.

در بخش نفت و گاز، باشنفت و روس نفت از ویروس پتیا رنج بردند. دومی در 28 ژوئن اعلام کرد که شرکت به طور عادی کار می کند و "مشکلات خاصی" به سرعت در حال حل شدن هستند.

بانک ها و صنعت

در مورد آلودگی کامپیوترها در Evraz، شعبه روسی رویال کنین (تولید لباس مخصوص حیوانات) و شعبه روسیه Mondelez (تولید کننده آلپن گلد و شکلات Milka) شناخته شد.

به گفته وزارت امور داخلی اوکراین، مردی ویدیویی با توصیف همراه با جزئیاتفرآیند راه اندازی باج افزار بر روی رایانه ها. در نظرات مربوط به این ویدیو، این مرد پیوندی به صفحه خود در آن منتشر کرد شبکه اجتماعیکه بدافزار روی آن بارگذاری شده است. افسران مجری قانون در طی بازرسی در آپارتمان "هکرها" تجهیزات کامپیوتری مورد استفاده برای توزیع NotPetya را کشف و ضبط کردند. پلیس همچنین فایل هایی با بدافزار پیدا کرد که پس از تجزیه و تحلیل شباهت آن به باج افزار NotPetya تایید شد. همانطور که ماموران پلیس سایبری مشخص کردند، این باج افزار که لینک آن توسط ساکن نیکوپل منتشر شده بود، 400 بار توسط کاربران این شبکه اجتماعی دانلود شد.

در میان کسانی که NotPetya را دانلود کردند، افسران مجری قانون شرکت‌هایی را شناسایی کردند که عمداً سیستم‌هایشان را با باج‌افزار آلوده کردند تا فعالیت‌های مجرمانه را پنهان کنند و از پرداخت جریمه‌ها به دولت فرار کنند. شایان ذکر است که پلیس فعالیت های این مرد را با حملات هکری در 27 ژوئن سال جاری مرتبط نمی کند، یعنی هیچ بحثی در مورد دخالت وی در نویسندگان NotPetya وجود ندارد. اعمالی که به او نسبت داده می شود فقط مربوط به اقدامات انجام شده در ژوئیه سال جاری - پس از موجی از حملات سایبری در مقیاس بزرگ - است.

یک پرونده جنایی بر اساس بخش 1 هنر علیه این مرد آغاز شد. 361 (مداخله غیرمجاز در عملکرد رایانه ها) قانون کیفری اوکراین. نیکوپولچانین با 3 سال زندان مواجه است.

توزیع در جهان

شیوع ویروس باج افزار Petya در اسپانیا، آلمان، لیتوانی، چین و هند ثبت شده است. به عنوان مثال، به دلیل یک بدافزار در هند، فناوری مدیریت ترافیک بندر کانتینری جواهر لعل نهرو، که توسط A.P. Moller-Maersk، تعلق کالا را به رسمیت نمی شناسد.

این حمله سایبری توسط گروه تبلیغاتی انگلیسی WPP، دفتر اسپانیایی یکی از بزرگترین شرکت های حقوقی جهان DLA Piper و غول مواد غذایی Mondelez گزارش شده است. سازنده فرانسوی مصالح ساختمانی Cie. de Saint-Gobain و شرکت داروسازی Merck & Co.

مرک

غول داروسازی آمریکایی مرک که به شدت تحت تاثیر حمله باج افزار ماه ژوئن NotPetya قرار گرفت، هنوز قادر به بازیابی همه سیستم ها و بازگشت به عملکرد عادی نیست. این در گزارش شرکت در فرم 8-K، ارائه شده به کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) در پایان جولای 2017 گزارش شده است. ادامه مطلب

Moller-Maersk و Rosneft

در 3 ژوئیه 2017، مشخص شد که غول کشتیرانی دانمارکی Moller-Maersk و Rosneft تنها یک هفته پس از حمله 27 ژوئن، سیستم های فناوری اطلاعات آلوده به ویروس باج افزار Petya را بازسازی کردند.

شرکت کشتیرانی مرسک که از هر هفت کانتینر حمل و نقل جهانی یک نفر را به خود اختصاص می دهد، همچنین اضافه کرد که تمام 1500 برنامه تحت تأثیر این حمله سایبری حداکثر تا 9 ژوئیه 2017 به حالت عادی باز خواهند گشت.

سیستم‌های فناوری اطلاعات پایانه‌های APM متعلق به مرسک، که ده‌ها بندر بار و پایانه‌های کانتینری را در بیش از 40 کشور اداره می‌کند، بیشتر تحت تأثیر قرار گرفتند. روزانه بیش از 100 هزار کانتینر بار از بنادر پایانه های APM عبور می کنند که کار آنها به دلیل شیوع ویروس کاملا فلج شده بود. ترمینال Maasvlakte II در روتردام در 3 ژوئیه منابع خود را بازسازی کرد.

16 آگوست 2017 A.P. Moller-Maersk میزان تقریبی آسیب ناشی از یک حمله سایبری با استفاده از ویروس Petya را نام برد که عفونت آن، همانطور که توسط شرکت اروپایی ذکر شده است، از طریق برنامه اوکراینی عبور کرده است. بر اساس محاسبات اولیه مرسک، خسارات مالی ناشی از باج افزار Petya در سه ماهه دوم سال 2017 بین 200 تا 300 میلیون دلار بوده است.

در همین حال، تقریبا یک هفته به بهبودی سیستم های کامپیوتریبه گزارش اینترفاکس، روسنفت همچنین به یک حمله هکری نیاز داشت که در 3 جولای توسط سرویس مطبوعاتی این شرکت گزارش شد:

چند روز قبل، روسنفت تاکید کرد که هنوز متعهد به ارزیابی عواقب یک حمله سایبری نشده است، اما تولید آن تحت تاثیر قرار نگرفته است.

پتیا چگونه کار می کند؟

در واقع، قربانیان ویروس پس از آلوده شدن نمی توانند قفل فایل های خود را باز کنند. واقعیت این است که سازندگان آن اصلا چنین فرصتی را پیش بینی نکرده بودند. یعنی یک دیسک رمزگذاری شده پیشینی قابل رمزگشایی نیست. شناسه بدافزار فاقد اطلاعات مورد نیاز برای رمزگشایی است.

در ابتدا، کارشناسان این ویروس را که حدود دو هزار رایانه را در روسیه، اوکراین، لهستان، ایتالیا، آلمان، فرانسه و سایر کشورها تحت تأثیر قرار داده بود، به عنوان بخشی از خانواده باج افزار معروف Petya رتبه بندی کردند. با این حال، معلوم شد که ما داریم صحبت می کنیمدرباره یک خانواده بدافزار جدید آزمایشگاه کسپرسکی رمزگذار جدید را ExPetr نامیده است.

چگونه مبارزه کنیم

مبارزه با تهدیدات سایبری مستلزم تلاش های مشترک بانک ها، مشاغل فناوری اطلاعات و دولت است

روش بازیابی اطلاعات از Positive Technologies

در 7 جولای 2017، دیمیتری اسکلیاروف، متخصص فناوری های مثبت، روشی را برای بازیابی اطلاعات رمزگذاری شده توسط ویروس NotPetya ارائه کرد. به گفته این متخصص، این روش در صورتی قابل اجرا است که ویروس NotPetya دارای امتیازات مدیریتی باشد و کل دیسک را رمزگذاری کند.

توانایی بازیابی اطلاعات به دلیل خطاهایی در اجرای الگوریتم رمزگذاری Salsa20 است که توسط خود مهاجمان ایجاد شده است. کارایی روش هم بر روی یک محیط آزمایشی و هم بر روی یکی از روش های رمزگذاری شده آزمایش شد دیسکهای سخت شرکت بزرگکه جزو قربانیان این بیماری همه گیر بودند.

شرکت‌ها و توسعه‌دهندگان مستقل که در بازیابی اطلاعات تخصص دارند، می‌توانند از اسکریپت رمزگشایی ارائه شده استفاده و خودکارسازی کنند.

نتایج تحقیقات قبلاً توسط پلیس سایبری اوکراین تأیید شده است. نتایج تحقیقات "Juscutum" قرار است به عنوان شواهد کلیدی در روند آینده علیه Intellect-Service استفاده شود.

این روند ماهیت مدنی خواهد داشت. تحقیقات مستقل توسط سازمان های مجری قانون اوکراین در حال انجام است. پیش از این نیز نمایندگان آنها از احتمال شروع پرونده علیه کارکنان اینتلکت سرویس خبر داده بودند.

خود شرکت M.E.Doc اعلام کرد که آنچه در حال رخ دادن است تلاشی برای تصاحب شرکت توسط مهاجمان بوده است. سازنده تنها نرم افزار حسابداری محبوب اوکراینی معتقد است که جستجوی این شرکت توسط پلیس سایبری اوکراین بخشی از اجرای این طرح بوده است.

وکتور عفونت اولیه با رمزگذار Petya

در 17 می، یک به‌روزرسانی برای M.E.Doc منتشر شد که حاوی ماژول درپشتی مخرب نیست. این شرکت معتقد است احتمالاً این می تواند تعداد نسبتاً کمی از عفونت های XData را توضیح دهد. مهاجمان انتظار انتشار به‌روزرسانی را در 17 می نداشتند و رمزگذاری را در 18 می راه‌اندازی کردند، زمانی که اکثر کاربران قبلاً به‌روزرسانی امن را نصب کرده بودند.

درپشتی اجازه بارگذاری و اجرای بدافزارهای دیگر را در سیستم آلوده می دهد - به این ترتیب آلودگی اولیه با رمزگذارهای Petya و XData انجام شد. علاوه بر این، این برنامه تنظیمات پروکسی و ایمیل، از جمله لاگین ها و رمزهای عبور از برنامه M.E.Doc، و همچنین کدهای شرکت را مطابق با EDRPOU (ثبت نام واحد دولتی شرکت ها و سازمان های اوکراین) جمع آوری می کند که شناسایی قربانیان را امکان پذیر می کند. .

آنتون چریپانوف، تحلیلگر ارشد ویروس در Eset، گفت: ما باید به تعدادی سوال پاسخ دهیم. - چه مدت از درب پشتی استفاده می شود؟ چه دستورات و بدافزارهایی غیر از Petya و XData از طریق این کانال ارسال می شد؟ چه زیرساخت های دیگری به خطر افتاده است اما هنوز توسط گروه سایبری در پشت این حمله استفاده نشده است؟»

کارشناسان Eset بر اساس ترکیبی از علائم، از جمله زیرساخت، ابزارهای مخرب، طرح‌ها و اهداف حمله، پیوندی بین اپیدمی Diskcoder.C (Petya) و گروه سایبری Telebots ایجاد کرده‌اند. هنوز مشخص نشده است که چه کسی پشت فعالیت های این گروه است.

در اوایل ماه مه، حدود 230000 کامپیوتر در بیش از 150 کشور به باج افزار آلوده شدند. قبل از اینکه قربانیان زمان برای از بین بردن عواقب این حمله داشته باشند، حمله جدیدی دنبال شد - به نام پتیا. بزرگترین اوکراینی و شرکت های روسیو همچنین سازمان های دولتی.

پلیس سایبری اوکراین متوجه شد که حمله این ویروس از طریق مکانیسم به روز رسانی نرم افزار حسابداری M.E.Doc که برای تهیه و ارسال اظهارنامه مالیاتی استفاده می شود، آغاز شده است. بنابراین، مشخص شد که شبکه های باشنفت، روس نفت، Zaporozhyeoblenergo، Dneproenergo و سیستم برق Dnieper از عفونت فرار نکردند. در اوکراین، ویروس به رایانه های دولتی، رایانه های شخصی متروی کیف، اپراتورهای مخابراتی و حتی نیروگاه هسته ای چرنوبیل نفوذ کرده است. در روسیه، Mondelez International، Mars و Nivea آسیب دیدند.

ویروس Petya از آسیب پذیری EternalBlue در اتاق عمل سوء استفاده می کند سیستم ویندوز. کارشناسان Symantec و F-Secure می گویند که در حالی که Petya داده هایی مانند WannaCry را رمزگذاری می کند، تا حدودی با سایر انواع باج افزار متفاوت است. F-Secure توضیح می‌دهد: «ویروس Petya نوع جدیدی از باج‌افزار با هدف مخرب است: فقط فایل‌های روی دیسک را رمزگذاری نمی‌کند، بلکه کل دیسک را مسدود می‌کند و عملاً آن را غیرقابل استفاده می‌کند. "به ویژه، جدول فایل اصلی MFT را رمزگذاری می کند."

چگونه این اتفاق می افتد و آیا می توان از این روند جلوگیری کرد؟

ویروس "Petya" - چگونه کار می کند؟

ویروس پتیا با نام های دیگری نیز شناخته می شود: Petya.A، PetrWrap، NotPetya، ExPetr. هنگامی که وارد رایانه می شود، باج افزاری را از اینترنت دانلود می کند و سعی می کند به بخشی از هارد دیسک با اطلاعات لازم برای بوت کردن رایانه ضربه بزند. اگر او موفق شد، سیستم یک صفحه آبی مرگ (" صفحه آبیمرگ"). پس از راه اندازی مجدد، یک پیام بررسی هارد دیسک ظاهر می شود که از شما می خواهد برق را خاموش نکنید. بنابراین، ویروس باج افزار وانمود می کند که یک برنامه سیستمی برای بررسی دیسک است، در حالی که فایل های با پسوندهای خاص را رمزگذاری می کند. در پایان فرآیند، پیامی در مورد قفل بودن رایانه و اطلاعاتی در مورد نحوه دریافت کلید دیجیتال برای رمزگشایی داده ها ظاهر می شود. ویروس پتیا معمولاً به بیت کوین باج می خواهد. اگر قربانی یک نسخه پشتیبان از فایل ها نداشته باشد، با یک انتخاب روبرو می شود - مبلغ 300 دلار را بپردازد یا تمام اطلاعات را از دست بدهد. به گفته برخی از تحلیلگران، این ویروس تنها به عنوان باج افزار ظاهر می شود، در حالی که هدف واقعی آن ایجاد آسیب های عظیم است.

چگونه از شر پتیا خلاص شویم؟

کارشناسان دریافتند که ویروس Petya به دنبال یک فایل محلی می گردد و اگر این فایل از قبل روی دیسک وجود داشته باشد، از فرآیند رمزگذاری خارج می شود. این بدان معناست که کاربران می توانند با ایجاد این فایل و تنظیم آن بر روی حالت فقط خواندنی، از رایانه خود در برابر باج افزار محافظت کنند.

حتی اگر این نقشه حیله گر مانع از شروع روند اخاذی شود، این روشرا می توان بیشتر شبیه "واکسیناسیون کامپیوتری" دانست. بنابراین، کاربر باید خودش فایل را ایجاد کند. شما می توانید این کار را به روش زیر انجام دهید:

• ابتدا باید به پسوند فایل بپردازید. اطمینان حاصل کنید که در پنجره "Folder Options" در کادر "Hide extensions for known file types" علامت نخورده باشد.
• پوشه C:\Windows را باز کنید، به پایین بروید تا برنامه notepad.exe را ببینید.
• روی notepad.exe کلیک چپ کنید، سپس Ctrl + C را برای کپی و سپس Ctrl + V را فشار دهید تا فایل را Paste کنید. برای کپی کردن فایل از شما خواسته می شود.
• روی دکمه "ادامه" کلیک کنید و فایل به عنوان یک دفترچه یادداشت ایجاد می شود - Copy.exe. روی این فایل کلیک چپ کرده و کلید F2 را فشار دهید سپس نام فایل Copy.exe را حذف کرده و perfc را تایپ کنید.
• پس از تغییر نام فایل به perfc، Enter را فشار دهید. تغییر نام را تأیید کنید.
• اکنون که فایل perfc ایجاد شده است، باید آن را فقط خواندنی کنیم. برای انجام این کار، روی فایل کلیک راست کرده و "Properties" را انتخاب کنید.
• منوی خواص آن فایل باز می شود. در پایین "فقط خواندنی" را خواهید دید. کادر را علامت بزنید.
• اکنون روی دکمه "اعمال" و سپس دکمه "OK" کلیک کنید.

برخی از کارشناسان امنیتی پیشنهاد می‌کنند برای محافظت بهتر در برابر ویروس Petya، علاوه بر فایل C:\windows\perfc، فایل‌های C:\Windows\perfc.dat و C:\Windows\perfc.dll را نیز ایجاد کنید. می توانید مراحل بالا را برای این فایل ها تکرار کنید.

تبریک می گوییم، رایانه شما از NotPetya / Petya محافظت می شود!

کارشناسان سیمانتک توصیه هایی به کاربران رایانه شخصی می کنند تا از انجام کارهایی که می تواند منجر به قفل شدن پرونده یا از دست دادن پول شود جلوگیری کنند.

1. به کلاهبرداران پول ندهید.حتی اگر پول را به باج افزار منتقل کنید، هیچ تضمینی وجود ندارد که بتوانید دوباره به فایل های خود دسترسی پیدا کنید. و در مورد NotPetya / Petya، این اساساً بی معنی است، زیرا هدف رمزگذار از بین بردن داده ها است، نه به دست آوردن پول.
2. مطمئن شوید که به طور منظم از اطلاعات خود نسخه پشتیبان تهیه می کنید.در این صورت، حتی اگر رایانه شخصی شما هدف حمله باج افزار قرار گیرد، می توانید فایل های پاک شده را بازیابی کنید.
3. ایمیل هایی با آدرس های مشکوک باز نکنید.مهاجمان سعی می کنند شما را فریب دهند تا نصب کنید بد افزاریا سعی کنید داده های مهمی برای حملات بدست آورید. اگر شما یا کارمندانتان ایمیل ها یا لینک های مشکوکی دریافت کردند، حتما به متخصصان فناوری اطلاعات اطلاع دهید.
4. از نرم افزارهای قابل اعتماد استفاده کنید.به روز رسانی به موقع برنامه های آنتی ویروس نقش مهمی در محافظت از رایانه ها در برابر عفونت ایفا می کند. و البته باید از محصولات شرکت های معتبر در این زمینه استفاده کرد.
5. از مکانیسم هایی برای اسکن و مسدود کردن پیام های هرزنامه استفاده کنید.ایمیل های دریافتی باید از نظر تهدید اسکن شوند. مهم است که هر نوع پیامی که حاوی پیوندها یا کلمات کلیدی فیشینگ معمولی در بدنه آن است مسدود شود.
6. مطمئن شوید که همه برنامه ها به روز هستند.اصلاح منظم آسیب پذیری های نرم افزار برای جلوگیری از عفونت ضروری است.

آیا باید منتظر حملات جدید باشیم؟

ویروس Petya اولین بار در مارس 2016 ظاهر شد و کارشناسان امنیتی بلافاصله متوجه رفتار آن شدند. ویروس جدید Petya در اواخر ژوئن 2017 به رایانه های اوکراین و روسیه وارد شد. اما بعید است که این پایان یابد. حملات هکرهااستانیسلاو کوزنتسوف، نایب رئیس هیئت مدیره Sberbank گفت: استفاده از ویروس‌های باج‌افزار مشابه Petya و WannaCry تکرار خواهد شد. او در مصاحبه با TASS هشدار داد که قطعاً چنین حملاتی وجود خواهد داشت، اما پیش بینی اینکه در چه شکل و قالبی ممکن است ظاهر شوند دشوار است.

اگر پس از تمام حملات سایبری گذشته، هنوز حداقل اقدامات لازم را برای محافظت از رایانه خود در برابر ویروس رمزگذاری انجام نداده اید، وقت آن است که به آن دست یابید.