Uusi virus petya. Venäjää, Ukrainaa ja muita Euroopan maita hyökkää Petya ransomware -virus: tilannekatsaus ja suojausmenetelmä. Onko Petna edelleen leviämässä?

Uusi virus petya. Venäjää, Ukrainaa ja muita Euroopan maita hyökkää Petya ransomware -virus: tilannekatsaus ja suojausmenetelmä. Onko Petna edelleen leviämässä?

Koko maailma keksii suojan uutta virusta vastaan, vaikka se ryömii samojen "aukkojen" läpi kuin WannaCry

WannaCry ransomwaren leviämisen jälkeen tietokoneet ympäri maailmaa joutuivat jälleen kyberhyökkäyksien kohteeksi. Petya-virus vaikutti laitteisiin eri maissa Euroopassa ja Yhdysvalloissa. Suurin osa vahingoista tapahtui kuitenkin tietokoneissa Venäjällä ja Ukrainassa, joissa vahinko kärsi noin 80 yritystä. Kiristysohjelmavirus vaati rahaa tai kryptovaluuttaa kärsineiden tietokoneiden omistajilta, mutta kyberasiantuntijat löysivät tavan olla joutumatta huijareihin. Lue siitä, kuka Petya on ja kuinka välttää tapaamasta häntä Realnoe Vremyan materiaalista.

"Petitin" uhrit: Rosneftista Tšernobylin ydinvoimalaan

Petya-viruksen massiivinen leviäminen alkoi 27. kesäkuuta. Ukraina kärsi ensimmäisenä: suurten energiayhtiöiden - Ukrenergon, DTEKin ja Kyivenergon - tietokoneita vastaan ​​hyökättiin, paikalliset tiedotusvälineet kertoivat. Erään yrityksen työntekijä kertoi, että aamulla 27. kesäkuuta hänen työtietokoneensa käynnistyi uudelleen, minkä jälkeen järjestelmän väitettiin alkaneen tarkistaa kovalevy. Sitten hän näki, että sama tapahtui kaikissa toimiston tietokoneissa. Hän sammutti tietokoneen, mutta sen käynnistämisen jälkeen laitteen näytölle ilmestyi lunnasvaatimus. Virus vaikutti myös joidenkin ukrainalaisten pankkien tietokoneisiin, Ukrainan valtiovarainministeriöön, ministerihallitukseen, Ukrtelecom-yhtiöön ja Boryspilin lentokentälle.

Petya hyökkäsi myös Tšernobylin ydinvoimalaitoksen taustasäteilyn seurantaan tietokonejärjestelmään. Samaan aikaan kaikki aseman järjestelmät toimivat normaalisti, eikä säteilytausta ylittänyt kontrollitasoa, Meduza kertoo. Illalla 27. kesäkuuta ilmestyi Ukrainan sisäministeriön virallinen Facebook-sivu vetoomus maan asukkaille ja kehotetaan sammuttamaan tietokoneensa, kunnes viruksen torjuntakeino on kehitetty.

Venäjällä Petya ransomware -virus hyökkäsi Rosneft-palvelimiin. Rosneftin lehdistösihteeri Mihail Leontyev näki yhteyden Petya-viruksen hakkerihyökkäysten ja yhtiön vaatimuksen välillä AFK Sistemaa vastaan. Business FM:ssä hän kutsui järkeväksi yrittää käyttää viruksia tuhoamaan Bashneftin hallintoa koskevia tietoja. Yksittäisiä Venäjän pankkijärjestelmän tietoinfrastruktuuriobjektien tartuntatapauksia on kirjattu. Kotiluottopankki lopetti toimintansa kyberhyökkäysten vuoksi, ja myös luottolaitoksen verkkosivujen toiminta häiriintyi. Konttorit toimivat vain neuvontatilassa, kun taas pankkiautomaatit toimivat normaalisti, Interfax raportoi.

Media raportoi 28. kesäkuuta myös tietokoneita vastaan ​​tehdystä hyökkäyksestä Isossa-Britanniassa, Hollannissa, Tanskassa, Espanjassa, Intiassa, Liettuassa, Ranskassa ja Yhdysvalloissa.

Mihail Leontyev näki yhteyden Petya-viruksen hakkerihyökkäysten ja AFK Sistemaa vastaan ​​esitetyn vaatimuksen välillä. Valokuva polit.ru

WannaCry-suojaus on voimaton Petitiä vastaan

Petyan toimintaperiaate perustuu levyn käynnistyssektorin pääkäynnistystietueen (MBR) salaamiseen. Tämä merkintä on ensimmäinen sektori kiintolevyllä; se sisältää osiotaulukon ja käynnistyslatausohjelman, joka lukee tästä taulukosta tiedot siitä, mistä kiintolevyn osiosta järjestelmä käynnistyy. Alkuperäinen MBR on tallennettu levyn sektoriin 0x22 ja se on salattu tavutavuisella XOR:lla 0x07:n kanssa. Tämän seurauksena tietokoneen levyllä olevat tiedot korvataan virustiedoilla, Positive Technologiesin asiantuntijat raportoivat.

Haitallisen tiedoston suorittamisen jälkeen luodaan tehtävä käynnistää tietokone uudelleen 1-2 tunnin viiveellä. Jos levy salataan onnistuneesti uudelleenkäynnistyksen jälkeen, näyttöön tulee viesti, joka vaatii sinua maksamaan 300 dollarin lunnaat (tai antamaan sen kryptovaluuttana) saadaksesi tiedoston lukituksen avaimen. Muuten, kiristajien käyttämä sähköpostiosoite on jo estetty, mikä tekee rahansiirrosta hyödyttömän.

Petya käyttää Windowsin haavoittuvuutta – hyväksikäyttöä koodinimeltään EternalBlue. Surullisen kuuluisa WannaCry-hyökkäys käytti samaa haavoittuvuutta tietokoneiden tunkeutumiseen. Hyödyntämisen ansiosta Petya jaettiin Windows Management Instrumentationin (työkalu Windows-alustaa käyttävän tietokoneinfrastruktuurin eri osien toiminnan keskitettyyn hallintaan ja valvontaan) ja PsExecin kautta (mahdollistaa prosessien suorittamisen etäjärjestelmät), saamalla haavoittuvan järjestelmän suurimmat oikeudet. Tämän ansiosta virus saattoi jatkaa toimintaansa myös tietokoneisiin asennettujen WannaCry-vastaisten päivitysten kanssa.

Komento bootrec /fixMbr ja kirjoita Muistioon

Kuuluisa ranskalainen hakkeri ja ohjelmistokehittäjä Mathieu Suchet Twitterissään

Virus "Petya": miten sitä ei saa kiinni, kuinka selvittää, mistä se on peräisin - viimeisimmät uutiset Petya ransomware -viruksesta, joka "toimintansa" kolmantena päivänä tartutti noin 300 tuhatta tietokonetta vuonna eri maat maailmassa, eikä kukaan ole toistaiseksi pysäyttänyt häntä.

Petya virus - kuinka purkaa salaus, viimeisimmät uutiset. Tietokoneeseen kohdistuneen hyökkäyksen jälkeen Petya ransomwaren luojat vaativat 300 dollarin lunnaita (bitcoineina), mutta Petya-viruksen salausta ei ole mahdollista purkaa, vaikka käyttäjä maksaisikin rahaa. Kaspersky Labin asiantuntijat, jotka huomasivat eroja uudessa viruksessa Petitistä ja antoivat sille nimen ExPetr, väittävät, että salauksen purkaminen vaatii yksilöllisen tunnisteen tietylle troijalaisasennukselle.

Aiemmin tunnetuissa vastaavien Petya/Mischa/GoldenEye-salauslaitteiden versioissa asennustunniste sisälsi tähän tarvittavat tiedot. ExPetrin tapauksessa tätä tunnistetta ei ole olemassa, kirjoittaa RIA Novosti.

"Petya" virus – mistä se tuli, viimeisimmät uutiset. Saksalaiset turvallisuusasiantuntijat ovat esittäneet ensimmäisen version siitä, mistä tämä kiristysohjelma on peräisin. Heidän mielestään Petya-virus alkoi levitä tietokoneiden kautta, kun M.E.Doc-tiedostoja avattiin. Tämä on kirjanpito-ohjelma, jota käytettiin Ukrainassa 1C:n kiellon jälkeen.

Samaan aikaan Kaspersky Labin mukaan on liian aikaista tehdä johtopäätöksiä ExPetr-viruksen alkuperästä ja leviämislähteestä. On mahdollista, että hyökkääjillä oli laajat tiedot. Esimerkiksi sähköpostiosoitteet edellisestä uutiskirjeestä tai joistakin muista tehokkaita tapoja tunkeutuminen tietokoneisiin.

Heidän avullaan Petya-virus iski Ukrainaan ja Venäjälle sekä muihin maihin täydellä voimalla. Mutta tämän hakkerihyökkäyksen todellinen laajuus selviää muutaman päivän kuluessa, raportoi.

"Petya"-virus: miten sitä ei saa kiinni, miten se tulkitaan, mistä se tuli - viimeisimmät uutiset Petya ransomware -viruksesta, joka on jo saanut uuden nimen Kaspersky Labilta – ExPetr.

Petya-viruksen hyökkäys tuli epämiellyttävänä yllätyksenä monien maiden asukkaille. Tuhannet tietokoneet saivat tartunnan, minkä seurauksena käyttäjät menettivät tärkeitä kiintolevyilleen tallennettuja tietoja.

Tietenkin nyt tämän tapauksen ympärillä oleva hype on laantunut, mutta kukaan ei voi taata, ettei tämä toistu. Tästä syystä on erittäin tärkeää suojata tietokonettasi mahdollinen uhka ja älä ota turhia riskejä. Kuinka tehdä tämä tehokkaimmin ja puhumme alla.

Hyökkäyksen seuraukset

Aluksi meidän tulee muistaa, mihin seurauksiin Petya.A:n lyhytaikainen toiminta johti. Muutamassa tunnissa vaikutus kohdistui kymmeniin ukrainalaisiin ja venäläisiin yrityksiin. Ukrainassa muuten Dneprenergon, Nova Poshtan ja Kiovan metron tietokoneosastojen työ halvaantui lähes kokonaan. Lisäksi jotkut valtion organisaatiot, pankit ja matkapuhelinoperaattorit eivät olleet suojattuja Petya-virukselta.

Euroopan unionin maissa ransomware onnistui myös aiheuttamaan paljon ongelmia. Ranskalaiset, tanskalaiset, englantilaiset ja kansainväliset yritykset ovat raportoineet hyökkäykseen liittyvistä tilapäisistä häiriöistä tietokonevirus"Petteri".

Kuten näette, uhka on todella vakava. Ja vaikka hyökkääjät valitsivat uhrikseen suuret rahoitusorganisaatiot, tavalliset käyttäjät eivät kärsineet vähemmän.

Miten Petya toimii?

Ymmärtääksesi kuinka suojautua Petya-virukselta, sinun on ensin ymmärrettävä, miten se toimii. Joten kun haittaohjelma on joutunut tietokoneeseen, se lataa Internetistä erityisen kiristysohjelman, joka saastuttaa Master Boot Recordin. Tämä on erillinen alue kiintolevyllä, piilotettu käyttäjän silmiltä ja tarkoitettu käyttöjärjestelmän lataamiseen.

Käyttäjälle tämä prosessi näyttää Check Disk -ohjelman normaalilta toiminnalta äkillisen järjestelmän kaatumisen jälkeen. Tietokone käynnistyy yhtäkkiä uudelleen, ja näyttöön tulee viesti, jossa kehotetaan tarkistamaan kiintolevyn virheet ja kehottamaan sinua olemaan sammuttamatta virtaa.

Heti kun tämä prosessi päättyy, näyttöön tulee näytönsäästäjä, joka sisältää tietoja estettävästä tietokoneesta. "Petya"-viruksen luoja vaatii käyttäjää maksamaan 300 dollarin (yli 17,5 tuhatta ruplaa) lunnaita ja lupaa vastineeksi lähettää avaimen, joka tarvitaan tietokoneen toiminnan jatkamiseen.

Ennaltaehkäisy

On loogista, että on paljon helpompaa estää Petya-tietokonevirustartunta kuin käsitellä sen seurauksia myöhemmin. Voit suojata tietokoneesi seuraavasti:

  • Asenna aina käyttöjärjestelmäsi uusimmat päivitykset. Sama pätee periaatteessa kaikkeen ohjelmisto asennettu tietokoneellesi. Muuten, "Petya" ei voi vahingoittaa MacOS- ja Linux-tietokoneita.
  • Käyttää nykyiset versiot virustorjunta ja älä unohda päivittää sen tietokanta. Kyllä, neuvot ovat banaalisia, mutta kaikki eivät noudata niitä.
  • Älä avaa sinulle sähköpostitse lähetettyjä epäilyttäviä tiedostoja. Tarkista myös aina epäilyttävästä lähteestä ladatut sovellukset.
  • Tee se säännöllisesti varmuuskopiot tärkeitä asiakirjoja ja tiedostoja. On parasta tallentaa ne erilliseen tietovälineeseen tai "pilveen" (Google Drive, Yandex. Disk jne.). Tämän ansiosta arvokkaat tiedot eivät vahingoitu, vaikka tietokoneellesi tapahtuisi jotain.

Pysäytystiedoston luominen

Johtavat kehittäjät virustorjuntaohjelmat selvitti kuinka poistaa Petya-virus. Tarkemmin sanottuna tutkimuksensa ansiosta he ymmärsivät, että kiristysohjelma yrittää löytää paikallisen tiedoston tietokoneelta tartunnan alkuvaiheessa. Jos hän onnistuu, virus lakkaa toimimasta eikä vahingoita tietokonetta.

Yksinkertaisesti sanottuna voit luoda manuaalisesti eräänlaisen pysäytystiedoston ja siten suojata tietokonettasi. Tätä varten:

  • Avaa Kansion asetukset ja poista valinta "Piilota tunnettujen tiedostotyyppien laajennukset".
  • Luo muistilehtiöllä uusi tiedosto ja aseta se C:/Windows-hakemistoon.
  • Nimeä luotu asiakirja uudelleen kutsumalla sitä "perfc". Siirry sitten kohtaan ja ota Vain luku -vaihtoehto käyttöön.

Nyt tietokoneellesi kertynyt Petya-virus ei voi vahingoittaa sitä. Muista kuitenkin, että hyökkääjät voivat muokata haittaohjelmia tulevaisuudessa, jolloin pysäytystiedostomenetelmä ei toimi.

Jos infektio on jo tapahtunut

Kun tietokone käynnistyy uudelleen itsestään ja Check Disk käynnistyy, virus alkaa vain salata tiedostoja. Tässä tapauksessa sinulla on vielä aikaa tallentaa tietosi seuraavasti:

  • Katkaise välittömästi tietokoneesta virta. Tämä on ainoa tapa estää viruksen leviäminen.
  • Seuraavaksi sinun on yhdistettävä HDD toiselle PC:lle (ei käynnistystietokoneeksi!) ja kopioi tärkeät tiedot sieltä.
  • Tämän jälkeen sinun on alustattava tartunnan saanut kiintolevy kokonaan. Luonnollisesti sinun on asennettava käyttöjärjestelmä ja muut ohjelmistot uudelleen.

Vaihtoehtoisesti voit kokeilla erityistä käynnistyslevy parantamaan Petya-virusta. Esimerkiksi Kaspersky Anti-Virus tarjoaa näihin tarkoituksiin Kaspersky Rescue Disk -ohjelman, joka ohittaa käyttöjärjestelmän.

Kannattaako kiristäjille maksaa?

Kuten aiemmin mainittiin, Petyan luojat vaativat 300 dollarin lunnaita käyttäjiltä, ​​joiden tietokoneet ovat saaneet tartunnan. Kiristien mukaan määritellyn summan maksamisen jälkeen uhreille lähetetään avain, joka poistaa tietojen eston.

Ongelmana on, että käyttäjän, joka haluaa palauttaa tietokoneensa normaalitilaan, on kirjoitettava hyökkääjille osoitteessa sähköposti. Valtuutetut palvelut estävät kuitenkin nopeasti kaikki kiristysohjelmasähköpostit, joten heihin on yksinkertaisesti mahdotonta ottaa yhteyttä.

Lisäksi monet johtavat virustorjuntaohjelmistojen kehittäjät ovat vakuuttuneita siitä, että on täysin mahdotonta avata Petyan saastuttamaa tietokonetta millä tahansa koodilla.

Kuten luultavasti ymmärrät, sinun ei pitäisi maksaa kiristäjille. Muuten et vain jää toimimattomaan tietokoneeseen, vaan menetät myös suuren summan rahaa.

Tuleeko uusia hyökkäyksiä?

Petya-virus löydettiin ensimmäisen kerran maaliskuussa 2016. Sitten turvallisuusasiantuntijat huomasivat uhan nopeasti ja estivät sen massiivisen leviämisen. Mutta jo kesäkuun 2017 lopussa hyökkäys toistui, mikä johti erittäin vakaviin seurauksiin.

On epätodennäköistä, että kaikki päättyy tähän. Ransomware-hyökkäykset eivät ole harvinaisia, joten on tärkeää pitää tietokoneesi aina suojattuna. Ongelmana on, että kukaan ei voi ennustaa, missä muodossa seuraava tartunta tapahtuu. Oli miten oli, kannattaa aina noudattaa tässä artikkelissa annettuja yksinkertaisia ​​suosituksia riskien minimoimiseksi.

Britannia, Yhdysvallat ja Australia ovat virallisesti syyttäneet Venäjää NotPetyan levittämisestä

Britannian ulkoministeriö antoi 15. helmikuuta 2018 virallisen lausunnon, jossa se syytti Venäjää kyberhyökkäyksen järjestämisestä NotPetya ransomware -viruksella.


Britannian viranomaiset sanovat, että hyökkäys osoitti edelleen piittaamattomuutta Ukrainan suvereniteettia kohtaan ja holtittomat toimet häiritsivät lukuisia organisaatioita eri puolilla Eurooppaa aiheuttaen useiden miljoonien dollarien tappioita.


Ministeriö totesi, että johtopäätös Venäjän hallituksen ja Kremlin osallisuudesta kyberhyökkäykseen tehtiin Yhdistyneen kuningaskunnan kansallisen kyberturvallisuuskeskuksen johtopäätöksen perusteella, joka on "melkein täysin varma siitä, että Venäjän armeija on takana". NotPetya-hyökkäys.” Myös lausunnossa todettiin, että sen liittolaiset eivät suvaitse haitallista kybertoimintaa.

Australian lainvalvonta- ja kyberturvallisuusministerin Angus Taylorin mukaan Australian tiedustelupalvelujen sekä Yhdysvaltojen ja Ison-Britannian kanssa käytyjen neuvottelujen perusteella Australian hallitus päätteli, että Venäjän hallituksen tukemat hyökkääjät olivat vastuussa tapahtumasta. "Australian hallitus tuomitsee Venäjän toiminnan, joka aiheuttaa vakavia riskejä maailmantaloudelle, valtion toiminnalle ja palveluille, liiketoiminnalle sekä yksilöiden turvallisuudelle ja hyvinvoinnille", lausunnossa sanotaan.

Kreml, joka on aiemmin toistuvasti kiistänyt Venäjän viranomaisten osuuden hakkerihyökkäyksistä, kutsui Britannian ulkoministeriön lausuntoa osaksi "russofobista kampanjaa".

Monumentti "Tässä makaa tietokonevirus Petya, jonka ihmiset voittivat 27. kesäkuuta 2017"

Petya-tietokoneviruksen muistomerkki pystytettiin joulukuussa 2017 Skolkovon teknoparkin rakennuksen lähelle. Kaksimetrinen muistomerkki, jossa on teksti: "Tässä makaa tietokonevirus Petya, jonka ihmiset voittivat 27. kesäkuuta 2017." puretun kiintolevyn muodossa tehty, syntyi INVITRO-yhtiön tuella muiden massiivisen kyberhyökkäyksen seurauksista kärsineiden yritysten joukossa. Fysiikka- ja teknologiapuistossa (MIT) työskentelevä Nu-niminen robotti tuli erityisesti seremoniaan pitämään juhlallisen puheen.

Hyökkäys Sevastopolin hallitusta vastaan

Sevastopolin tieto- ja viestintäpääosaston asiantuntijat torjuivat onnistuneesti verkkoviruksen hyökkäyksen - Petya lunnasohjelma aluehallinnon palvelimille. Informatisointiosaston johtaja Denis Timofejev ilmoitti tästä 17. heinäkuuta 2017 Sevastopolin hallituksen henkilöstökokouksessa.

Hän totesi, että Petya-haittaohjelmalla ei ollut vaikutusta Sevastopolin valtion virastojen tietokoneisiin tallennettuihin tietoihin.


Painopiste ilmaisten ohjelmistojen käytössä on sisällytetty vuonna 2015 hyväksyttyyn Sevastopolin informatisointikonseptiin. Siinä todetaan, että perusohjelmistoja sekä automaation tietojärjestelmien ohjelmistoja hankittaessa ja kehitettäessä on suositeltavaa analysoida ilmaisten tuotteiden käyttömahdollisuus budjettikustannusten vähentämiseksi ja riippuvuuden vähentämiseksi toimittajista ja kehittäjistä.

Aiemmin, kesäkuun lopussa, osana laajamittaista lääkeyhtiö Invitron hyökkäystä vaurioitui myös sen Sevastopolissa sijaitseva sivuliike. Viruksen takia tietokoneverkko Toimiala on väliaikaisesti keskeyttänyt testitulosten antamisen, kunnes syyt on poistettu.

Invitro ilmoitti keskeyttävänsä testien hyväksymisen kyberhyökkäyksen vuoksi

Lääkeyhtiö Invitro keskeytti biomateriaalin keräämisen ja potilastutkimustulosten antamisen hakkerihyökkäyksen vuoksi 27. kesäkuuta. Yrityksen yritysviestinnän johtaja Anton Bulanov kertoi tästä RBC:lle.

Kuten yhtiö sanoi lausunnossaan, Invitro palaa pian normaaliin toimintaan. Tämän ajan jälkeen tehtyjen tutkimusten tulokset toimitetaan potilaille, kun tekninen vika on korjattu. Päällä Tämä hetki laboratorio Tietojärjestelmä palautettu, sen määritys on käynnissä. "Pahoittelemme vallitsevaa ylivoimaista estettä ja kiitämme asiakkaitamme ymmärryksestä", Invitro sanoi.

Näiden tietojen mukaan tietokonevirus hyökkäsi klinikoihin Venäjällä, Valko-Venäjällä ja Kazakstanissa.

Hyökkäys Gazpromia ja muita öljy- ja kaasuyhtiöitä vastaan

29. kesäkuuta 2017 tuli tieto maailmanlaajuisesta kyberhyökkäyksestä Gazpromin tietokonejärjestelmiin. Niinpä toinen venäläinen yritys kärsi Petya ransomware -viruksesta.

Kuten uutistoimisto Reuters kertoo Venäjän hallituksen lähteeseen ja tapauksen tutkimiseen osallistuneeseen henkilöön viitaten, Gazprom kärsi Petya-haittaohjelman leviämisestä, joka hyökkäsi tietokoneisiin yhteensä yli 60 maassa ympäri maailmaa.

Lehden keskustelukumppanit eivät kertoneet tarkemmin, kuinka monta ja mitkä järjestelmät ovat saaneet Gazpromin tartunnan, eikä hakkereiden aiheuttamien vahinkojen laajuudesta. Yhtiö kieltäytyi kommentoimasta, kun Reuters otti yhteyttä.

Samaan aikaan Gazpromin korkea-arvoinen RBC-lähde kertoi julkaisulle, että yhtiön keskustoimiston tietokoneet toimivat keskeytyksettä, kun laajamittainen hakkerihyökkäys alkoi (27.6.2017), ja toimii edelleen kaksi päivää myöhemmin. Kaksi muuta RBC-lähdettä Gazpromissa vakuuttivat myös, että yhtiössä "kaikki on rauhallista" eikä viruksia ole.

Öljy- ja kaasusektorilla Bashneft ja Rosneft kärsivät Petya-viruksesta. Jälkimmäinen ilmoitti 28. kesäkuuta, että yritys toimii normaalisti ja "yksittäisiä ongelmia" ratkaistaan ​​nopeasti.

Pankit ja teollisuus

Tiedoksi tuli, että tietokoneet ovat saaneet tartunnan Evrazissa, Royal Caninin venäläisessä sivuliikkeessä (valmistaa univormuja eläimille) ja Venäjän Mondelezin divisioonassa (Alpen Gold- ja Milka-suklaavalmistaja).

Ukrainan sisäministeriön mukaan mies julkaisi videon tiedostonjakosivustoilla ja sosiaalisissa verkostoissa Yksityiskohtainen kuvaus prosessi, jossa ransomware suoritetaan tietokoneissa. Videon kommenteissa mies julkaisi linkin sivulleen sosiaalinen verkosto, johon hän latasi haittaohjelman. "Hakkerin" asunnossa tehtyjen etsintöjen aikana lainvalvontaviranomaiset takavarikoivat tietokonelaitteisto, jota käytetään NotPetyan jakeluun. Poliisi löysi myös haittaohjelmia sisältäviä tiedostoja, joiden analysoinnin jälkeen vahvistettiin, että se oli samanlainen kuin NotPetya lunnasohjelma. Kuten kyberpoliisit totesivat, sosiaalisen verkoston käyttäjät latasivat ransomware-ohjelman, jonka linkin nikopolin asukas julkaisi.

NotPetyan lataaneiden joukossa lainvalvontaviranomaiset tunnistivat yrityksiä, jotka tarkoituksella tartuttavat järjestelmänsä kiristysohjelmilla piilottaakseen rikollisen toiminnan ja välttääkseen valtiolle maksettavien rangaistusten maksamisen. On huomionarvoista, että poliisi ei yhdistä miehen toimintaa tämän vuoden 27. kesäkuuta tehtyihin hakkerihyökkäuksiin, eli ei puhuta mistään osallisuudesta NotPetyan tekijöiden kanssa. Teot, joista häntä syytetään, liittyvät vain tämän vuoden heinäkuussa tehtyihin tekoihin - laajamittaisten kyberhyökkäysten aallon jälkeen.

Miestä vastaan ​​on aloitettu rikosoikeudellinen rikoslain 1 luvun mukaan. 361 (luvaton puuttuminen tietokoneen toimintaan) Ukrainan rikoslain mukaisesti. Nikopolilaista uhkaa jopa 3 vuoden vankeustuomio.

Jakelu maailmassa

Petya ransomware -viruksen leviämistä on havaittu Espanjassa, Saksassa, Liettuassa, Kiinassa ja Intiassa. Esimerkiksi Intiassa tapahtuneen haittaohjelman vuoksi A.P.:n ylläpitämän Jawaharlal Nehrun konttisataman lastivirran hallintaan liittyvä teknologia Moller-Maersk lakkasi tunnistamasta lastin henkilöllisyyttä.

Kyberhyökkäyksestä raportoi brittiläinen mainosryhmä WPP, yhden maailman suurimmista lakitoimistoista DLA Piperin espanjalainen toimisto ja elintarvikejätti Mondelez. Uhrien joukossa on myös ranskalainen rakennusmateriaalien valmistaja Cie. de Saint-Gobain ja lääkeyhtiö Merck & Co.

Merck

Amerikkalainen lääkejätti Merck, joka kärsi suuresti NotPetya ransomware -viruksen kesäkuun hyökkäyksestä, ei vieläkään voi palauttaa kaikkia järjestelmiä ja palata normaaliin toimintaan. Tämä kerrottiin yhtiön raportissa lomakkeella 8-K, joka toimitettiin US Securities and Exchange Commissionille (SEC) heinäkuun 2017 lopussa. Lue lisää.

Moller-Maersk ja Rosneft

3. heinäkuuta 2017 tuli tunnetuksi, että tanskalainen laivayhtiö Moller-Maersk ja Rosneft palauttivat Petya ransomware -viruksen saastuttamat IT-järjestelmät vasta lähes viikko 27. kesäkuuta tapahtuneen hyökkäyksen jälkeen.


Varustamo Maersk, jonka osuus on joka seitsemäs maailmassa kuljetettava rahtikontti, lisäsi myös, että kaikki 1 500 kyberhyökkäyksen kohteena olevaa sovellusta palaavat normaaliin toimintaan enintään 9.7.2017 mennessä.

Eniten ongelmat kärsivät Maerskin omistaman APM Terminalsin IT-järjestelmistä, joka operoi kymmeniä rahtisatamia ja konttiterminaaleja yli 40 maassa. Yli 100 000 rahtikonttia kulkee päivässä APM Terminalsin satamien kautta, joiden työ lamaantui täysin viruksen leviämisen vuoksi. Maasvlakte II -terminaali Rotterdamissa aloitti toimitukset uudelleen 3. heinäkuuta.

16. elokuuta 2017 A.P. Moller-Maersk nimesi likimääräisen vahingon määrän kyberhyökkäyksestä Petya-viruksella, joka, kuten eurooppalaisessa yhtiössä todettiin, sai tartunnan ukrainalaisen ohjelman kautta. Maerskin alustavien laskelmien mukaan Petya ransomwaren aiheuttamat taloudelliset tappiot vuoden 2017 toisella neljänneksellä vaihtelivat 200–300 miljoonan dollarin välillä.

Samaan aikaan melkein viikko palautumista tietokonejärjestelmät Rosneft kärsi myös hakkerihyökkäyksestä, kuten yhtiön lehdistöpalvelu ilmoitti 3. heinäkuuta, Interfax raportoi:


Muutama päivä aiemmin Rosneft korosti, ettei se ole vielä arvioimassa kyberhyökkäyksen seurauksia, mutta se ei vaikuttanut tuotantoon.

Miten Petya toimii

Itse asiassa viruksen uhrit eivät voi avata tiedostojaan tartunnan jälkeen. Tosiasia on, että sen luojat eivät tarjonneet tällaista mahdollisuutta ollenkaan. Toisin sanoen salatun levyn salauksen purkaminen on a priori mahdotonta. Haittaohjelmatunnus ei sisällä salauksen purkamiseen tarvittavia tietoja.

Alun perin asiantuntijat luokittelivat viruksen, joka vaikutti noin kahteentuhanteen tietokoneeseen Venäjällä, Ukrainassa, Puolassa, Italiassa, Saksassa, Ranskassa ja muissa maissa, osaksi jo tunnettua Petya-kiristysohjelmien perhettä. Se kuitenkin kävi ilmi me puhumme uudesta haittaohjelmaperheestä. Kaspersky Lab on nimennyt uuden kiristysohjelmansa ExPetr.

Kuinka taistella

Kyberuhkien torjunta vaatii pankkien, IT-yritysten ja valtion yhteisiä ponnisteluja

Tietojen palautusmenetelmä Positive Technologiesilta

Positive Technologies -asiantuntija Dmitri Sklyarov esitteli 7. heinäkuuta 2017 menetelmän NotPetya-viruksen salaamien tietojen palauttamiseksi. Asiantuntijan mukaan menetelmää voidaan soveltaa, jos NotPetya-viruksella oli järjestelmänvalvojan oikeudet ja se salasi koko levyn.

Tietojen palautusmahdollisuus liittyy hyökkääjien itsensä tekemiin virheisiin Salsa20-salausalgoritmin toteutuksessa. Menetelmän suorituskykyä testattiin sekä testimedialla että yhdellä salatuista Kovalevyt iso yritys, joka oli yksi epidemian uhreista.

Tietojen palauttamiseen erikoistuneet yritykset ja itsenäiset kehittäjät voivat vapaasti käyttää ja automatisoida esitettyä salauksenpurkuohjelmaa.

Ukrainan kyberpoliisi on jo vahvistanut tutkinnan tulokset. Juscutum aikoo käyttää tutkimuksen tuloksia keskeisenä todisteena tulevassa Intellect-Serviceä vastaan ​​järjestettävässä oikeudenkäynnissä.

Prosessi on luonteeltaan siviili. Ukrainan lainvalvontaviranomaiset suorittavat riippumatonta tutkintaa. Heidän edustajansa ovat aiemmin ilmoittaneet mahdollisuudesta käynnistää oikeusjuttu Intellect-Servicen työntekijöitä vastaan.

M.E.Doc-yritys itse totesi, että tapahtumalla yritettiin tehdä ratsia yritykseen. Ainoan suositun ukrainalaisen kirjanpito-ohjelmiston valmistaja uskoo, että Ukrainan kyberpoliisin tekemä yritysetsintä oli osa tämän suunnitelman toteuttamista.

Alkuperäinen infektiovektori Petya-salaajalle

Toukokuun 17. päivänä julkaistiin M.E.Doc-päivitys, joka ei sisällä haitallista takaovimoduulia. Tämä todennäköisesti selittää XData-tartuntojen suhteellisen pienen määrän, yritys uskoo. Hyökkääjät eivät odottaneet päivityksen ilmestyvän 17. toukokuuta ja käynnistivät salauksen 18. toukokuuta, jolloin useimmat käyttäjät olivat jo asentaneet suojatun päivityksen.

Takaovi mahdollistaa muiden haittaohjelmien lataamisen ja suorittamisen tartunnan saaneeseen järjestelmään – näin tehtiin alkuperäinen tartunta Petya- ja XData-salajilla. Lisäksi ohjelma kerää välityspalvelin- ja sähköpostiasetukset, mukaan lukien kirjautumistunnukset ja salasanat M.E.Doc-sovelluksesta, sekä Ukrainan yhtenäisen valtion yritys- ja organisaatiorekisterin mukaiset yrityskoodit, mikä mahdollistaa uhrien tunnistamisen.

"Meidän on vastattava useisiin kysymyksiin", sanoi Anton Cherepanov, Esetin vanhempi virusanalyytikko. - Kuinka kauan takaovi on ollut käytössä? Mitä komentoja ja haittaohjelmia Petyan ja XDatan lisäksi lähetettiin tämän kanavan kautta? Mitä muita infrastruktuureja tämän hyökkäyksen takana oleva kyberryhmä on vaarantanut, mutta joita ei ole vielä hyödynnetty?"

Esetin asiantuntijat loivat yhteyden Diskcoder.C (Petya) -epidemian ja Telebots-kyberryhmän välille merkkien, kuten infrastruktuurin, haitallisten työkalujen, suunnitelmien ja hyökkäyskohteiden, yhdistelmän perusteella. Vielä ei ole voitu luotettavasti määrittää, kuka tämän ryhmän toiminnan takana on.

Toukokuun alussa noin 230 000 tietokonetta yli 150 maassa oli ransomware-viruksen tartuttama. Ennen kuin uhrit ehtivät eliminoida tämän hyökkäyksen seuraukset, seurasi uusi, nimeltään Petya. Suurin Ukrainan ja venäläiset yritykset sekä valtion virastot.

Ukrainan kyberpoliisi totesi, että virushyökkäys sai alkunsa veroilmoitusten laatimiseen ja lähettämiseen käytettävän kirjanpitoohjelmiston M.E.Doc päivitysmekanismin kautta. Siten tuli tiedoksi, että Bashneftin, Rosneftin, Zaporozhyeoblenergon, Dneproenergon ja Dneprin sähköjärjestelmän verkot eivät välttyneet tartunnasta. Ukrainassa virus tunkeutui valtion tietokoneisiin, Kiovan metron tietokoneisiin, teleoperaattoreihin ja jopa Tšernobylin ydinvoimalaan. Venäjällä vaikutuksen kohteena oli Mondelez International, Mars ja Nivea.

Petya-virus hyödyntää EternalBlue-haavoittuvuutta leikkaussalissa Windows-järjestelmä. Symantecin ja F-Securen asiantuntijat sanovat, että vaikka Petya salaa tietoja, kuten WannaCry, se eroaa silti jonkin verran muista salausviruksista. "Petya-virus on uudenlainen ilkivaltainen kiristys: se ei vain salaa levyllä olevia tiedostoja, vaan lukitsee koko levyn ja tekee siitä käytännössä käyttökelvottoman", F-Secure selittää. "Erityisesti se salaa MFT-päätiedostotaulukon."

Miten tämä tapahtuu ja voidaanko tämä prosessi estää?

Virus "Petya" - miten se toimii?

Petya-virus tunnetaan myös muilla nimillä: Petya.A, PetrWrap, NotPetya, ExPetr. Kun se pääsee tietokoneeseen, se lataa kiristysohjelmia Internetistä ja yrittää hyökätä osaan kiintolevystä tietokoneen käynnistämiseen tarvittavilla tiedoilla. Jos hän onnistuu, järjestelmässä on ongelmia Sininen näyttö of Death ("kuoleman sininen näyttö"). Uudelleenkäynnistyksen jälkeen näyttöön tulee kiintolevyn tarkistamista koskeva viesti, jossa sinua pyydetään olemaan sammuttamatta virtaa. Siten lunnasohjelma teeskentelee olevansa järjestelmäohjelma tarkistaaksesi levyn, salaamalla tiedostot tietyillä tunnisteilla tällä hetkellä. Prosessin lopussa näyttöön tulee viesti, joka ilmoittaa, että tietokone on estetty, ja tietoja digitaalisen avaimen hankkimisesta tietojen salauksen purkamiseksi. Petya-virus vaatii lunnaita, yleensä Bitcoinina. Jos uhrilla ei ole varmuuskopiota tiedostoistaan, hän joutuu maksamaan 300 dollaria tai menettääkö kaikki tiedot. Joidenkin analyytikoiden mukaan virus vain naamioituu kiristysohjelmaksi, kun taas sen todellinen tavoite on aiheuttaa massiivisia vahinkoja.

Kuinka päästä eroon Petyasta?

Asiantuntijat ovat havainneet, että Petya-virus etsii paikallista tiedostoa ja poistuu salausprosessista, jos tämä tiedosto on jo olemassa levyllä. Tämä tarkoittaa, että käyttäjät voivat suojata tietokonettaan kiristysohjelmilta luomalla tämän tiedoston ja asettamalla sen vain luku -muotoiseksi.

Vaikka tämä ovela järjestelmä estää kiristyshaittaohjelmaprosessin käynnistymisen, tätä menetelmää voidaan pitää enemmän "tietokonerokotuksena". Näin ollen käyttäjän on luotava tiedosto itse. Voit tehdä tämän seuraavasti:

  • Ensin sinun on ymmärrettävä tiedostopääte. Varmista Kansion asetukset -ikkunassa, että Piilota tunnettujen tiedostotyyppien laajennukset -valintaruutua ei ole valittu.
  • Avaa C:\Windows-kansio, vieritä alaspäin, kunnes näet notepad.exe-ohjelman.
  • Napsauta hiiren kakkospainikkeella Notepad.exe-tiedostoa, paina sitten Ctrl + C kopioidaksesi ja sitten Ctrl + V liittääksesi tiedoston. Saat pyynnön, jossa pyydetään lupaa kopioida tiedosto.
  • Napsauta Jatka-painiketta ja tiedosto luodaan muistilehtiöön - Copy.exe. Napsauta tätä tiedostoa hiiren kakkospainikkeella ja paina F2, poista sitten tiedostonimi Copy.exe ja kirjoita perfc.
  • Kun olet muuttanut tiedoston nimeksi perfc, paina Enter. Vahvista uudelleennimeäminen.
  • Nyt kun perfc-tiedosto on luotu, meidän on tehtävä siitä vain luku -muotoinen. Voit tehdä tämän napsauttamalla tiedostoa hiiren kakkospainikkeella ja valitsemalla "Ominaisuudet".
  • Tämän tiedoston ominaisuusvalikko avautuu. Alareunassa näkyy "Vain luku". Valitse ruutu.
  • Napsauta nyt Käytä-painiketta ja sitten OK-painiketta.

Jotkut tietoturva-asiantuntijat suosittelevat C:\Windows\perfc.dat- ja C:\Windows\perfc.dll-tiedostojen luomista C:\windows\perfc-tiedoston lisäksi, jotta Petya-virusta voidaan suojata paremmin. Voit toistaa yllä olevat vaiheet näille tiedostoille.

Onnittelut, tietokoneesi on suojattu NotPetya/Petya-suojaukselta!

Symantecin asiantuntijat tarjoavat PC-käyttäjille neuvoja, joilla estetään heitä tekemästä asioita, jotka voivat johtaa tiedostojen lukitsemiseen tai rahan menettämiseen.

  1. Älä maksa rahaa rikollisille. Vaikka siirtäisit rahaa kiristysohjelmalle, ei ole takeita siitä, että pääset takaisin tiedostoihisi. Ja NotPetya / Petyan tapauksessa tämä on pohjimmiltaan merkityksetöntä, koska kiristysohjelman tavoitteena on tuhota tietoja, ei saada rahaa.
  2. Varmista, että varmuuskopioit tietosi säännöllisesti. Tässä tapauksessa, vaikka tietokoneestasi tulisi kiristysohjelmavirushyökkäyksen kohde, voit palauttaa kaikki poistetut tiedostot.
  3. Älä avaa sähköposteja kyseenalaisista osoitteista. Hyökkääjät yrittävät huijata sinua asennuksen aikana haittaohjelma tai yrittää saada tärkeitä tietoja hyökkäyksiä varten. Muista ilmoittaa IT-asiantuntijoille, jos sinä tai työntekijäsi saat epäilyttäviä sähköposteja tai linkkejä.
  4. Käytä luotettavaa ohjelmistoa. Virustorjuntaohjelmien oikea-aikainen päivitys on tärkeä rooli tietokoneiden suojaamisessa infektioilta. Ja tietysti sinun on käytettävä tällä alalla tunnettujen yritysten tuotteita.
  5. Käytä mekanismeja roskapostiviestien tarkistamiseen ja estämiseen. Saapuvat sähköpostit tulee tarkistaa uhkien varalta. On tärkeää estää kaikentyyppiset viestit, joiden tekstissä on linkkejä tai tyypillisiä tietojenkalasteluavainsanoja.
  6. Varmista, että kaikki ohjelmat ovat ajan tasalla. Ohjelmiston haavoittuvuuksien säännöllinen korjaaminen on tarpeen tartuntojen estämiseksi.

Pitäisikö meidän odottaa uusia hyökkäyksiä?

Petya-virus ilmestyi ensimmäisen kerran maaliskuussa 2016, ja tietoturvaasiantuntijat huomasivat sen käyttäytymisen välittömästi. Uusi Petya-virus tartutti tietokoneita Ukrainassa ja Venäjällä kesäkuun 2017 lopussa. Mutta tämä tuskin on loppu. Hakkerihyökkäykset Petyan ja WannaCryn kaltaisten kiristysohjelmavirusten käyttö toistuu, sanoi Sberbankin hallituksen varapuheenjohtaja Stanislav Kuznetsov. Hän varoitti TASSin haastattelussa, että tällaisia ​​hyökkäyksiä tulee varmasti tapahtumaan, mutta on vaikea ennustaa etukäteen, missä muodossa ja muodossa ne voivat esiintyä.

Jos et kaikkien tapahtuneiden kyberhyökkäysten jälkeen ole vielä ryhtynyt edes vähimmäistoimenpiteisiin suojataksesi tietokonettasi kiristysohjelmavirukselta, on aika ottaa se vakavasti.



Suosittuja luokassa:
Kuinka luoda karaoke-leike tietokoneella?
Kuinka luoda karaoke-leike tietokoneella?
lukea
Peli vaatii Origin-sovelluksen, mutta sitä ei ole asennettu. FIFA 16 vaatii Originin.
Origin-sovellus vaaditaan pelaamiseen, mutta sitä ei ole asennettu FIFA...
lukea
Henkilökohtaisen sivun rekisteröinti sosiaalisessa mediassa Facebook
Henkilökohtaisen sivun rekisteröinti sosiaalisessa mediassa Facebook
lukea
Yksinkertaisen Nmap Nmap -skannauksen suorittaminen
Yksinkertaisen Nmap Nmap -skannauksen suorittaminen
lukea

Viimeisimmät artikkelit
Kuinka kääntää kuvaa muutaman asteen...
lukea
Mainonnan poistaminen käytöstä Yandex-selaimessa Missä...
lukea
Wi-Fi-yhteysongelmien vianmääritys...
lukea
Vaihda salasana Windows 10 -profiilissa
lukea
Ohjeet langattomien reitittimien määrittämiseen...
lukea
Kuinka valita kiintolevy ja mikä on parempi ostaa...
lukea
Meizu nukkeille. Puhelut ja osoitekirja....
lukea
Lataa PDFMaster-ohjelma
lukea
Yläosa