Nouveau virus Petya. La Russie, l'Ukraine et d'autres pays européens sont attaqués par le virus ransomware Petya : un aperçu de la situation et une méthode de protection. Petna se propage-t-elle toujours ?

Le monde entier cherche à se protéger contre le nouveau virus, même s’il passe par les mêmes « trous » que WannaCry.

Après la propagation du ransomware WannaCry, les ordinateurs du monde entier ont de nouveau été victimes de cyberattaques. Le virus Petya a touché des appareils dans divers pays d'Europe et des États-Unis. Toutefois, la plupart des dégâts ont eu lieu sur des ordinateurs en Russie et en Ukraine, où environ 80 entreprises ont été touchées. Le virus ransomware exigeait de l'argent ou de la cryptomonnaie aux propriétaires des PC concernés, mais les cyberspécialistes ont trouvé un moyen de ne pas tomber dans le piège des escrocs. Découvrez qui est Petya et comment éviter de le rencontrer dans le matériel de Realnoe Vremya.

Victimes du « Petit » : de Rosneft à la centrale nucléaire de Tchernobyl

La propagation massive du virus Petya a commencé le 27 juin. L'Ukraine a été la première à souffrir : les ordinateurs de grandes sociétés énergétiques - Ukrenergo, DTEK et Kyivenergo - ont été attaqués, ont rapporté les médias locaux. Un employé de l'une des entreprises a déclaré aux journalistes que le matin du 27 juin, son ordinateur de travail avait redémarré, après quoi le système aurait commencé à vérifier disque dur. Puis il a constaté que la même chose se passait sur tous les ordinateurs du bureau. Il a éteint l’ordinateur, mais après l’avoir allumé, une inscription demandant une rançon est apparue sur l’écran de l’appareil. Le virus a également touché les ordinateurs de certaines banques ukrainiennes, le Trésor ukrainien, le Cabinet des ministres, la société Ukrtelecom et l'aéroport de Boryspil.

Petya a également attaqué le système informatique de surveillance des radiations de fond de la centrale nucléaire de Tchernobyl. Dans le même temps, tous les systèmes de la station fonctionnaient normalement et le fond de rayonnement ne dépassait pas le niveau de contrôle, rapporte Meduza. Dans la soirée du 27 juin, sur la page Facebook officielle du ministère de l'Intérieur de l'Ukraine est apparu appel aux résidents du pays avec une recommandation d'éteindre leurs ordinateurs jusqu'à ce qu'un moyen de lutter contre le virus soit développé.

En Russie, les serveurs de Rosneft ont été attaqués par le virus ransomware Petya. Le secrétaire de presse de Rosneft, Mikhaïl Léontiev, a vu un lien entre les attaques de pirates informatiques du virus Petya et la plainte de l'entreprise contre AFK Sistema. Sur Business FM, il a jugé rationnel d'essayer d'utiliser un virus pour détruire les données sur la gestion de Bashneft. Des cas isolés d'infection d'objets d'infrastructure d'information du système bancaire russe ont été enregistrés. Home Credit Bank a cessé ses activités en raison de cyberattaques et le fonctionnement du site Internet de l’établissement de crédit a également été perturbé. Les succursales fonctionnaient uniquement en mode conseil, tandis que les distributeurs automatiques fonctionnaient normalement, rapporte Interfax.

Le 28 juin, les médias ont également fait état d'une attaque contre des ordinateurs au Royaume-Uni, aux Pays-Bas, au Danemark, en Espagne, en Inde, en Lituanie, en France et aux États-Unis.

Mikhaïl Léontiev a vu un lien entre les attaques de pirates informatiques du virus Petya et la plainte contre AFK Sistema. Photo polit.ru

La protection WannaCry est impuissante contre Petit

Le principe de fonctionnement de Petya repose sur le chiffrement du master boot record (MBR) du secteur de démarrage du disque. Cette entrée est le premier secteur du disque dur ; elle contient une table de partition et un programme de démarrage qui lit dans cette table les informations sur la partition du disque dur à partir de laquelle le système démarrera. Le MBR d'origine est stocké dans le secteur 0x22 du disque et est crypté à l'aide d'un XOR octet-octet avec 0x07. En conséquence, les informations sur le disque de l'ordinateur seront remplacées par des données virales, rapportent les experts de Positive Technologies.

Après avoir exécuté le fichier malveillant, une tâche est créée pour redémarrer l'ordinateur, retardée de 1 à 2 heures. Si le disque est chiffré avec succès après un redémarrage, un message s'affiche à l'écran vous demandant de payer une rançon de 300 $ (ou de la donner en crypto-monnaie) pour recevoir la clé de déverrouillage du fichier. D’ailleurs, l’adresse e-mail utilisée par les extorqueurs a déjà été bloquée, ce qui rend le transfert d’argent inutile.

Petya utilise une vulnérabilité Windows – un exploit nommé EternalBlue. La tristement célèbre attaque WannaCry a utilisé la même vulnérabilité pour envahir les ordinateurs. Grâce à l'exploit, Petya a été distribué via Windows Management Instrumentation (un outil de gestion centralisée et de surveillance du fonctionnement de diverses parties de l'infrastructure informatique exécutant la plate-forme Windows) et PsExec (vous permet d'exécuter des processus dans systèmes distants), obtenant un maximum de privilèges sur le système vulnérable. Cela a permis au virus de continuer à fonctionner même avec des mises à jour anti-WannaCry installées sur les ordinateurs.

Commandez bootrec /fixMbr et écrivez dans le Bloc-notes

Le célèbre hacker et développeur de logiciels français Mathieu Suchet sur son Twitter

Virus "Petya": comment ne pas l'attraper, comment déchiffrer d'où il vient - les dernières nouvelles concernant le virus ransomware Petya, qui, au troisième jour de son « activité », a infecté environ 300 000 ordinateurs en différents pays monde, et jusqu’à présent, personne ne l’a arrêté.

Virus Petya - comment décrypter, dernières nouvelles. Après une attaque sur un ordinateur, les créateurs du rançongiciel Petya exigent une rançon de 300 $ (en bitcoins), mais il n'existe aucun moyen de décrypter le virus Petya, même si l'utilisateur paie de l'argent. Les spécialistes de Kaspersky Lab, qui ont constaté des différences entre le nouveau virus et Petit et l'ont baptisé ExPetr, affirment que le décryptage nécessite un identifiant unique pour une installation de cheval de Troie spécifique.

Dans les versions antérieures connues de chiffreurs similaires Petya/Mischa/GoldenEye, l'identifiant d'installation contenait les informations nécessaires à cet effet. Dans le cas d'ExPetr, cet identifiant n'existe pas, écrit RIA Novosti.

Le virus « Petya » – d’où il vient, les dernières nouvelles. Des experts allemands en sécurité ont présenté la première version de l'origine de ce ransomware. Selon eux, le virus Petya a commencé à se propager sur les ordinateurs lors de l'ouverture des fichiers M.E.Doc. Il s'agit d'un programme comptable utilisé en Ukraine après l'interdiction de 1C.

Kaspersky Lab affirme qu'il est trop tôt pour tirer des conclusions sur l'origine et la source de propagation du virus ExPetr. Il est possible que les attaquants disposaient de nombreuses données. Par exemple, les adresses e-mail de la newsletter précédente ou d'autres moyens efficaces pénétration dans les ordinateurs.

Avec leur aide, le virus « Petya » a frappé de toutes ses forces l’Ukraine et la Russie, ainsi que d’autres pays. Mais l’ampleur réelle de cette attaque informatique deviendra claire dans quelques jours, rapportent les rapports.

Virus « Petya » : comment ne pas l'attraper, comment le déchiffrer, d'où il vient - dernières nouvellesà propos du virus ransomware Petya, qui a déjà reçu un nouveau nom de Kaspersky Lab – ExPetr.

L’attaque du virus Petya a été une surprise désagréable pour les habitants de nombreux pays. Des milliers d’ordinateurs ont été infectés, entraînant la perte de données importantes stockées sur leurs disques durs.

Bien sûr, le battage médiatique autour de cet incident s'est apaisé, mais personne ne peut garantir que cela ne se reproduira plus. C'est pourquoi il est très important de protéger votre ordinateur contre menace possible et ne prenez pas de risques inutiles. Comment le faire le plus efficacement possible, et Nous parlerons ci-dessous.

Conséquences de l'attaque

Pour commencer, il convient de rappeler les conséquences de l’activité éphémère de Petya.A. En quelques heures seulement, des dizaines d’entreprises ukrainiennes et russes ont été touchées. En Ukraine, d'ailleurs, le travail des services informatiques d'institutions telles que Dneprenergo, Nova Poshta et Kiev Metro a été presque complètement paralysé. De plus, certaines organisations gouvernementales, banques et opérateurs de téléphonie mobile n'étaient pas protégés contre le virus Petya.

Dans les pays de l’Union européenne, le ransomware a également réussi à causer de nombreux problèmes. Des entreprises françaises, danoises, anglaises et internationales ont signalé des perturbations temporaires liées à l'attaque. virus informatique"Pierre".

Comme vous pouvez le constater, la menace est vraiment sérieuse. Et même si les attaquants ont choisi de grandes organisations financières comme victimes, utilisateurs réguliers n’en a pas moins souffert.

Comment fonctionne Petya ?

Pour comprendre comment se protéger du virus Petya, il faut d'abord comprendre son fonctionnement. Ainsi, une fois sur l’ordinateur, le malware télécharge un ransomware spécial depuis Internet, qui infecte le Master Boot Record. Il s'agit d'une zone distincte du disque dur, cachée aux yeux de l'utilisateur et destinée au chargement du système d'exploitation.

Pour l'utilisateur, ce processus ressemble au fonctionnement standard du programme Check Disk après une panne soudaine du système. L'ordinateur redémarre soudainement et un message apparaît à l'écran vous informant de la recherche d'erreurs sur le disque dur et vous demandant de ne pas couper l'alimentation.

Dès la fin de ce processus, un économiseur d'écran apparaît avec des informations sur le blocage de l'ordinateur. Le créateur du virus « Petya » exige de l'utilisateur qu'il paie une rançon de 300 dollars (plus de 17,5 mille roubles), promettant en échange d'envoyer la clé nécessaire pour reprendre le fonctionnement du PC.

La prévention

Il est logique qu'il soit beaucoup plus facile de prévenir l'infection par le virus informatique Petya que de faire face à ses conséquences plus tard. Pour sécuriser votre PC :

• Installez toujours les dernières mises à jour pour votre système d'exploitation. En principe, la même chose s'applique à tout logiciel installé sur votre PC. À propos, « Petya » ne peut pas endommager les ordinateurs exécutant MacOS et Linux.
• Utiliser versions actuelles antivirus et n'oubliez pas de mettre à jour sa base de données. Oui, le conseil est banal, mais tout le monde ne le suit pas.
• N'ouvrez pas les fichiers suspects qui vous sont envoyés par e-mail. Vérifiez également toujours les applications téléchargées à partir de sources douteuses.
• Faites-le régulièrement sauvegardes documents et dossiers importants. Il est préférable de les stocker sur un support séparé ou dans le « cloud » (Google Drive, Yandex. Disk, etc.). Grâce à cela, même si quelque chose arrive à votre ordinateur, les informations précieuses ne seront pas endommagées.

Création d'un fichier d'arrêt

Développeurs leaders programmes antivirus découvert comment supprimer le virus Petya. Plus précisément, grâce à leurs recherches, ils ont pu comprendre que le ransomware tente de retrouver un fichier local sur l'ordinateur dès les premiers stades de l'infection. S'il réussit, le virus cesse de fonctionner et n'endommage pas le PC.

En termes simples, vous pouvez créer manuellement une sorte de fichier d'arrêt et ainsi protéger votre ordinateur. Pour ça:

• Ouvrez les paramètres Options des dossiers et décochez « Masquer les extensions pour les types de fichiers connus ».
• Créer à l'aide du bloc-notes nouveau fichier et placez-le dans le répertoire C:/Windows.
• Renommez le document créé en l'appelant "perfc". Ensuite, accédez à et activez l'option Lecture seule.

Désormais, le virus Petya, une fois sur votre ordinateur, ne pourra plus lui nuire. Mais gardez à l’esprit que les attaquants pourraient modifier le logiciel malveillant à l’avenir et que la méthode d’arrêt du fichier deviendra inefficace.

Si l'infection s'est déjà produite

Lorsque l'ordinateur redémarre tout seul et que Check Disk démarre, le virus commence simplement à crypter les fichiers. Dans ce cas, vous pouvez encore avoir le temps de sauvegarder vos données en suivant ces étapes :

• Coupez immédiatement l'alimentation du PC. C’est la seule façon d’empêcher la propagation du virus.
• Ensuite, vous devez connecter votre Disque dur sur un autre PC (pas comme un PC de démarrage !) et copiez-en les informations importantes.
• Après cela, vous devez formater complètement le disque dur infecté. Naturellement, vous devrez alors réinstaller le système d'exploitation et les autres logiciels.

Alternativement, vous pouvez essayer d'utiliser un spécial disque de démarrage pour guérir le virus Petya. Kaspersky Anti-Virus, par exemple, propose à ces fins le programme Kaspersky Rescue Disk, qui contourne le système d'exploitation.

Est-ce que cela vaut la peine de payer aux extorsionnistes ?

Comme mentionné précédemment, les créateurs de Petya exigent une rançon de 300 dollars des utilisateurs dont les ordinateurs ont été infectés. Selon les extorsionnistes, après avoir payé le montant spécifié, les victimes recevront une clé qui éliminera le blocage des informations.

Le problème est qu'un utilisateur qui souhaite ramener son ordinateur à la normale doit écrire aux attaquants à l'adresse e-mail. Cependant, tous les emails de ransomwares sont rapidement bloqués par les services agréés, il est donc tout simplement impossible de les contacter.

De plus, de nombreux développeurs de logiciels antivirus de premier plan sont convaincus qu'il est totalement impossible de déverrouiller un ordinateur infecté par Petya à l'aide de n'importe quel code.

Comme vous l’avez probablement compris, vous ne devriez pas payer les extorqueurs. Sinon, non seulement vous vous retrouverez avec un PC qui ne fonctionne pas, mais vous perdrez également une grosse somme d'argent.

Y aura-t-il de nouvelles attaques ?

Le virus Petya a été découvert pour la première fois en mars 2016. Les spécialistes de la sécurité ont alors rapidement remarqué la menace et empêché sa propagation massive. Mais déjà fin juin 2017, l'attaque s'est répétée, ce qui a entraîné des conséquences très graves.

Il est peu probable que tout s’arrête là. Les attaques de ransomware ne sont pas rares, il est donc important de protéger votre ordinateur à tout moment. Le problème est que personne ne peut prédire sous quelle forme la prochaine infection se produira. Quoi qu’il en soit, il vaut toujours la peine de suivre les recommandations simples données dans cet article afin de réduire les risques au minimum.

La Grande-Bretagne, les États-Unis et l'Australie ont officiellement accusé la Russie de propager NotPetya

Le 15 février 2018, le ministère britannique des Affaires étrangères a publié un communiqué officiel accusant la Russie d'avoir organisé une cyberattaque à l'aide du virus ransomware NotPetya.

Les autorités britanniques affirment que l'attaque démontre un mépris supplémentaire pour la souveraineté de l'Ukraine et que ces actions imprudentes ont perturbé de nombreuses organisations à travers l'Europe, causant des pertes de plusieurs millions de dollars.

Le ministère a noté que la conclusion concernant l'implication du gouvernement russe et du Kremlin dans la cyberattaque avait été tirée sur la base des conclusions du Centre national de cybersécurité du Royaume-Uni, qui est « presque entièrement convaincu que l'armée russe est derrière ». l'attaque NotPetya. » Également dans le communiqué, il est indiqué que ses alliés ne toléreront pas les cyberactivités nuisibles.

Le Kremlin, qui a déjà nié à plusieurs reprises toute implication des autorités russes dans des attaques de pirates informatiques, a qualifié la déclaration du ministère britannique des Affaires étrangères de « campagne russophobe ».

Monument "Ici repose le virus informatique Petya, vaincu par l'homme le 27 juin 2017"

Le monument au virus informatique Petya a été érigé en décembre 2017 près du bâtiment du Technoparc de Skolkovo. Un monument de deux mètres avec l'inscription : « Ici repose le virus informatique Petya, vaincu par l'homme le 27 juin 2017. » réalisé sous la forme d'un disque dur mordu, a été créé avec le soutien de la société INVITRO, parmi d'autres sociétés qui ont souffert des conséquences d'une cyberattaque massive. Un robot nommé Nu, qui travaille au Parc Physique et Technologique (MIT) est venu spécialement à la cérémonie pour prononcer un discours solennel.

Attaque contre le gouvernement de Sébastopol

Les spécialistes de la Direction principale de l'information et des communications de Sébastopol ont repoussé avec succès une attaque du virus de cryptage de réseau Petya contre les serveurs du gouvernement régional. Cela a été annoncé le 17 juillet 2017 lors d'une réunion du personnel du gouvernement de Sébastopol par le chef du département d'informatisation Denis Timofeev.

Il a déclaré que le logiciel malveillant Petya n'avait aucun impact sur les données stockées sur les ordinateurs des agences gouvernementales de Sébastopol.

L'accent mis sur l'utilisation de logiciels libres est inscrit dans le concept d'informatisation de Sébastopol, approuvé en 2015. Il indique que lors de l'achat et du développement de logiciels de base, ainsi que de logiciels pour systèmes d'information destinés à l'automatisation, il est conseillé d'analyser la possibilité d'utiliser des produits gratuits afin de réduire les coûts budgétaires et de réduire la dépendance vis-à-vis des fournisseurs et des développeurs.

Plus tôt, fin juin, dans le cadre d'une attaque à grande échelle contre la société médicale Invitro, sa succursale située à Sébastopol avait également été endommagée. À cause du virus réseau informatique La branche a temporairement suspendu la délivrance des résultats des tests jusqu'à ce que les raisons soient éliminées.

Invitro a annoncé la suspension de l'acceptation des tests en raison d'une cyberattaque

La société médicale Invitro a suspendu la collecte de biomatériaux et la délivrance des résultats des tests des patients en raison d'une attaque de pirate informatique le 27 juin. Anton Bulanov, directeur des communications d'entreprise de l'entreprise, en a parlé à RBC.

Comme l'a indiqué la société dans un communiqué, Invitro reprendra bientôt ses activités normales. Les résultats des études menées après ce délai seront communiqués aux patients une fois la panne technique résolue. Sur ce moment laboratoire Système d'Information restauré, le processus de mise en place est en cours. "Nous regrettons la situation actuelle de force majeure et remercions nos clients pour leur compréhension", a conclu Invitro.

Selon ces données, des cliniques en Russie, en Biélorussie et au Kazakhstan ont été attaquées par un virus informatique.

Attaque contre Gazprom et d'autres sociétés pétrolières et gazières

Le 29 juin 2017, on a appris qu’il y avait une cyberattaque mondiale contre les systèmes informatiques de Gazprom. Ainsi, une autre entreprise russe a souffert du virus ransomware Petya.

Comme le rapporte l'agence de presse Reuters, citant une source du gouvernement russe et une personne impliquée dans l'enquête sur l'incident, Gazprom a souffert de la propagation du logiciel malveillant Petya, qui a attaqué des ordinateurs dans plus de 60 pays à travers le monde.

Les interlocuteurs de la publication n’ont pas fourni de détails sur le nombre et les systèmes infectés chez Gazprom, ni sur l’étendue des dégâts causés par les pirates. Contactée par Reuters, la société a refusé de commenter.

Pendant ce temps, une source haut placée de RBC chez Gazprom a déclaré à la publication que les ordinateurs du bureau central de l'entreprise fonctionnaient sans interruption lorsque l'attaque informatique à grande échelle a commencé (le 27 juin 2017), et continuent de le faire deux jours plus tard. Deux autres sources de RBC chez Gazprom ont également assuré que « tout est calme » dans l'entreprise et qu'il n'y a pas de virus.

Dans le secteur pétrolier et gazier, Bashneft et Rosneft ont souffert du virus Petya. Cette dernière a annoncé le 28 juin que l'entreprise fonctionnait normalement et que les « problèmes individuels » étaient rapidement résolus.

Banques et industrie

On a appris que des ordinateurs avaient été infectés chez Evraz, la branche russe de Royal Canin (qui produit des uniformes pour animaux) et la division russe de Mondelez (producteur de chocolats Alpen Gold et Milka).

Selon le ministère de l'Intérieur de l'Ukraine, un homme a publié une vidéo sur des sites de partage de fichiers et sur les réseaux sociaux avec Description détaillée le processus d’exécution d’un ransomware sur les ordinateurs. Dans les commentaires de la vidéo, l'homme a posté un lien vers sa page sur réseau social, sur lequel il a téléchargé un programme malveillant. Lors de perquisitions dans l’appartement du « hacker », les forces de l’ordre ont saisi équipement informatique, utilisé pour distribuer NotPetya. La police a également trouvé des fichiers contenant des logiciels malveillants, après analyse desquels il a été confirmé qu'ils étaient similaires au ransomware NotPetya. Comme l'ont constaté les cyberpoliciers, le programme ransomware, dont le lien a été publié par un habitant de Nikopol, a été téléchargé 400 fois par les utilisateurs des réseaux sociaux.

Parmi ceux qui ont téléchargé NotPetya, les forces de l'ordre ont identifié des entreprises qui infectaient délibérément leurs systèmes avec un ransomware pour cacher leurs activités criminelles et échapper aux sanctions imposées à l'État. Il convient de noter que la police ne relie pas les activités de cet homme aux attaques de pirates informatiques du 27 juin de cette année, c'est-à-dire qu'il n'est pas question d'une quelconque implication avec les auteurs de NotPetya. Les actes qui lui sont reprochés concernent uniquement des actes commis en juillet de cette année, après une vague de cyberattaques à grande échelle.

Une affaire pénale a été ouverte contre l'homme en vertu de la partie 1 de l'art. 361 (interférence non autorisée dans le fonctionnement d'un ordinateur) du Code pénal de l'Ukraine. Le résident de Nikopol risque jusqu'à 3 ans de prison.

Distribution dans le monde

La distribution du virus ransomware Petya a été enregistrée en Espagne, en Allemagne, en Lituanie, en Chine et en Inde. Par exemple, en raison d'un programme malveillant en Inde, la technologie de gestion des flux de marchandises du port à conteneurs de Jawaharlal Nehru, exploité par A.P. Moller-Maersk a cessé de reconnaître l'identité de la cargaison.

La cyberattaque a été signalée par le groupe publicitaire britannique WPP, le bureau espagnol de l'un des plus grands cabinets d'avocats au monde, DLA Piper, et du géant alimentaire Mondelez. Le fabricant français de matériaux de construction Cie fait également partie des victimes. de Saint-Gobain et la société pharmaceutique Merck & Co.

Merck

Le géant pharmaceutique américain Merck, qui a beaucoup souffert de l'attaque du virus ransomware NotPetya en juin, ne parvient toujours pas à restaurer tous les systèmes et à revenir à un fonctionnement normal. Cela a été rapporté dans le rapport de la société sur le formulaire 8-K, soumis à la Securities and Exchange Commission (SEC) des États-Unis fin juillet 2017. En savoir plus.

Moller-Maersk et Rosneft

Le 3 juillet 2017, on a appris que le géant danois du transport maritime Moller-Maersk et Rosneft avaient restauré les systèmes informatiques infectés par le virus ransomware Petya presque une semaine seulement après l'attaque, survenue le 27 juin.

La compagnie maritime Maersk, qui transporte un conteneur de fret sur sept dans le monde, a également ajouté que les 1 500 applications touchées par la cyberattaque reprendraient leur fonctionnement normal d'ici le 9 juillet 2017 au maximum.

Les systèmes informatiques d'APM Terminals, propriété de Maersk, qui exploite des dizaines de ports de fret et de terminaux à conteneurs dans plus de 40 pays, ont été les plus touchés. Plus de 100 000 conteneurs de fret transitent chaque jour par les ports d'APM Terminals, dont le travail a été complètement paralysé en raison de la propagation du virus. Le terminal Maasvlakte II de Rotterdam a repris ses approvisionnements le 3 juillet.

16 août 2017 A.P. Moller-Maersk a donné le montant approximatif des dommages causés par une cyberattaque utilisant le virus Petya, qui, comme l'a indiqué la société européenne, a été infecté par le biais d'un programme ukrainien. Selon les calculs préliminaires de Maersk, les pertes financières dues au ransomware Petya au deuxième trimestre 2017 variaient entre 200 et 300 millions de dollars.

En attendant, presque une semaine pour récupérer systèmes informatiques Rosneft a également été victime d'une attaque de pirate informatique, comme l'a rapporté le service de presse de l'entreprise le 3 juillet, a rapporté Interfax :

Quelques jours plus tôt, Rosneft avait souligné qu'elle n'évaluait pas encore les conséquences de la cyberattaque, mais que la production n'était pas affectée.

Comment fonctionne Petya

En effet, les victimes du virus ne peuvent pas déverrouiller leurs fichiers après infection. Le fait est que ses créateurs n’ont pas du tout prévu une telle possibilité. Autrement dit, un disque chiffré est a priori impossible à déchiffrer. L'ID du malware ne contient pas les informations nécessaires au décryptage.

Initialement, les experts ont classé le virus, qui a touché environ deux mille ordinateurs en Russie, Ukraine, Pologne, Italie, Allemagne, France et dans d'autres pays, comme faisant partie de la famille de ransomwares Petya déjà bien connue. Cependant, il s'est avéré que nous parlons deà propos d'une nouvelle famille de logiciels malveillants. Kaspersky Lab a baptisé son nouveau ransomware ExPetr.

Comment se battre

La lutte contre les cybermenaces nécessite les efforts conjugués des banques, des entreprises informatiques et de l’État.

Méthode de récupération de données de Positive Technologies

Le 7 juillet 2017, l'expert de Positive Technologies, Dmitry Sklyarov, a présenté une méthode de récupération de données cryptées par le virus NotPetya. Selon l'expert, la méthode est applicable si le virus NotPetya disposait de privilèges administratifs et chiffrait l'intégralité du disque.

La possibilité de récupération des données est associée à des erreurs dans la mise en œuvre de l'algorithme de cryptage Salsa20 commises par les attaquants eux-mêmes. Les performances de la méthode ont été testées à la fois sur des supports de test et sur l'un des supports cryptés. disques durs grande entreprise, qui faisait partie des victimes de l’épidémie.

Les entreprises et les développeurs indépendants spécialisés dans la récupération de données sont libres d'utiliser et d'automatiser le script de décryptage présenté.

Les résultats de l'enquête ont déjà été confirmés par la cyberpolice ukrainienne. Juscutum a l'intention d'utiliser les résultats de l'enquête comme preuve clé dans un futur procès contre Intellect-Service.

Le processus sera de nature civile. Une enquête indépendante est actuellement menée par les forces de l'ordre ukrainiennes. Leurs représentants ont annoncé précédemment la possibilité d'engager une procédure contre les employés d'Intellect-Service.

La société M.E.Doc elle-même a déclaré que ce qui se passait était une tentative de perquisition dans l’entreprise. Le fabricant du seul logiciel de comptabilité ukrainien populaire estime que la perquisition de l'entreprise menée par la cyberpolice ukrainienne faisait partie de la mise en œuvre de ce plan.

Le vecteur d’infection initial du chiffreur Petya

Le 17 mai, la mise à jour M.E.Doc a été publiée, qui ne contient pas le module de porte dérobée malveillant. Cela explique probablement le nombre relativement faible d’infections par XData, estime la société. Les attaquants ne s'attendaient pas à ce que la mise à jour soit publiée le 17 mai et ont lancé le chiffreur le 18 mai, alors que la plupart des utilisateurs avaient déjà installé la mise à jour sécurisée.

La porte dérobée permet à d'autres logiciels malveillants d'être téléchargés et exécutés sur le système infecté - c'est ainsi que l'infection initiale a été réalisée avec les chiffreurs Petya et XData. En outre, le programme collecte les paramètres du serveur proxy et de la messagerie électronique, y compris les identifiants et les mots de passe de l'application M.E.Doc, ainsi que les codes d'entreprise selon le Registre d'État unifié des entreprises et organisations d'Ukraine, qui permet l'identification des victimes.

"Nous devons répondre à un certain nombre de questions", a déclaré Anton Cherepanov, analyste principal des virus chez Eset. - Depuis combien de temps la porte dérobée est-elle utilisée ? Quelles commandes et quels logiciels malveillants, outre Petya et XData, ont été envoyés via ce canal ? Quelles autres infrastructures ont été compromises mais pas encore exploitées par le cybergroupe à l’origine de cette attaque ?

Sur la base d'une combinaison de signes, notamment d'infrastructures, d'outils malveillants, de stratagèmes et de cibles d'attaque, les experts d'Eset ont établi un lien entre l'épidémie Diskcoder.C (Petya) et le cybergroupe Telebots. Il n'a pas encore été possible de déterminer de manière fiable qui se cache derrière les activités de ce groupe.

Début mai, environ 230 000 ordinateurs dans plus de 150 pays ont été infectés par un virus ransomware. Avant que les victimes n'aient eu le temps d'éliminer les conséquences de cette attaque, une nouvelle, appelée Petya, a suivi. Le plus grand ukrainien et Entreprises russes, ainsi que les agences gouvernementales.

La cyber-police ukrainienne a établi que l'attaque virale avait commencé par le mécanisme de mise à jour du logiciel de comptabilité M.E.Doc, utilisé pour préparer et envoyer les déclarations fiscales. Ainsi, il est devenu connu que les réseaux de Bashneft, Rosneft, Zaporozhieoblenergo, Dneproenergo et le système électrique du Dniepr n'ont pas échappé à l'infection. En Ukraine, le virus a pénétré les ordinateurs du gouvernement, les PC du métro de Kiev, les opérateurs télécoms et même la centrale nucléaire de Tchernobyl. En Russie, Mondelez International, Mars et Nivea ont été touchées.

Le virus Petya exploite la vulnérabilité EternalBlue en salle d'opération Système Windows. Les experts de Symantec et F-Secure affirment que même si Petya chiffre les données comme WannaCry, il reste quelque peu différent des autres types de virus de chiffrement. « Le virus Petya est un nouveau type d'extorsion à intention malveillante : il ne se contente pas de crypter les fichiers sur le disque, mais verrouille l'intégralité du disque, le rendant pratiquement inutilisable », explique F-Secure. "Plus précisément, il crypte la table du fichier maître MFT."

Comment cela se produit-il et ce processus peut-il être évité ?

Virus "Petya" - comment ça marche ?

Le virus Petya est également connu sous d’autres noms : Petya.A, PetrWrap, NotPetya, ExPetr. Une fois entré dans l’ordinateur, il télécharge un ransomware depuis Internet et tente d’attaquer une partie du disque dur avec les données nécessaires au démarrage de l’ordinateur. S’il réussit, le système émet un écran bleu de la mort (« Blue Screen of Death »). écran bleu de la mort"). Après le redémarrage, un message apparaît concernant la vérification du disque dur vous demandant de ne pas couper l'alimentation. Ainsi, le ransomware prétend être programme système pour vérifier le disque, en chiffrant les fichiers avec certaines extensions à ce moment-là. À la fin du processus, un message apparaît indiquant que l'ordinateur est bloqué et des informations sur la manière d'obtenir une clé numérique pour décrypter les données. Le virus Petya exige une rançon, généralement en Bitcoin. Si la victime ne dispose pas d'une copie de sauvegarde de ses fichiers, elle se retrouve face au choix entre payer 300 $ ou perdre toutes les informations. Selon certains analystes, le virus se fait simplement passer pour un ransomware, alors que son véritable objectif est de causer des dégâts massifs.

Comment se débarrasser de Petya ?

Les experts ont découvert que le virus Petya recherche un fichier local et, si ce fichier existe déjà sur le disque, quitte le processus de cryptage. Cela signifie que les utilisateurs peuvent protéger leur ordinateur contre les ransomwares en créant ce fichier et en le définissant en lecture seule.

Bien que ce stratagème astucieux empêche le démarrage du processus du ransomware, cette méthode peut être davantage considérée comme une « vaccination informatique ». Ainsi, l’utilisateur devra créer lui-même le fichier. Vous pouvez procéder comme suit :

• Vous devez d’abord comprendre l’extension du fichier. Dans la fenêtre Options des dossiers, assurez-vous que la case Masquer les extensions pour les types de fichiers connus n'est pas cochée.
• Ouvrez le dossier C:\Windows, faites défiler vers le bas jusqu'à ce que vous voyiez le programme notepad.exe.
• Faites un clic gauche sur notepad.exe, puis appuyez sur Ctrl + C pour copier puis Ctrl + V pour coller le fichier. Vous recevrez une demande demandant l’autorisation de copier le fichier.
• Cliquez sur le bouton Continuer et le fichier sera créé sous forme de bloc-notes - Copy.exe. Faites un clic gauche sur ce fichier et appuyez sur F2, puis effacez le nom du fichier Copy.exe et entrez perfc.
• Après avoir changé le nom du fichier en perfc, appuyez sur Entrée. Confirmez le changement de nom.
• Maintenant que le fichier perfc a été créé, nous devons le rendre en lecture seule. Pour ce faire, faites un clic droit sur le fichier et sélectionnez « Propriétés ».
• Le menu des propriétés de ce fichier s'ouvrira. En bas, vous verrez « Lecture seule ». Cochez la case.
• Cliquez maintenant sur le bouton Appliquer, puis sur le bouton OK.

Certains experts en sécurité suggèrent de créer les fichiers C:\Windows\perfc.dat et C:\Windows\perfc.dll en plus du fichier C:\windows\perfc afin de mieux vous protéger contre le virus Petya. Vous pouvez répéter les étapes ci-dessus pour ces fichiers.

Félicitations, votre ordinateur est protégé contre NotPetya/Petya !

Les experts Symantec offrent quelques conseils aux utilisateurs de PC pour les empêcher de faire des choses qui pourraient entraîner le verrouillage de fichiers ou une perte d'argent.

1. Ne payez pas d'argent aux criminels. Même si vous transférez de l’argent vers le ransomware, rien ne garantit que vous pourrez retrouver l’accès à vos fichiers. Et dans le cas de NotPetya / Petya, cela n’a fondamentalement aucun sens, car le but du ransomware est de détruire des données et non d’obtenir de l’argent.
2. Assurez-vous de sauvegarder régulièrement vos données. Dans ce cas, même si votre PC devient la cible d'une attaque de virus ransomware, vous pourrez récupérer tous les fichiers supprimés.
3. N'ouvrez pas les e-mails provenant d'adresses douteuses. Les attaquants tenteront de vous tromper lors de l'installation malware ou essayez d'obtenir des données importantes pour des attaques. Assurez-vous d'informer les spécialistes informatiques si vous ou vos employés recevez des e-mails ou des liens suspects.
4. Utilisez un logiciel fiable. La mise à jour rapide des programmes antivirus joue un rôle important dans la protection des ordinateurs contre les infections. Et bien sûr, vous devez utiliser des produits d’entreprises réputées dans ce domaine.
5. Utilisez des mécanismes pour analyser et bloquer les messages de spam. Les e-mails entrants doivent être analysés à la recherche de menaces. Il est important de bloquer tout type de message contenant des liens ou des mots-clés typiques de phishing dans leur texte.
6. Assurez-vous que tous les programmes sont à jour. Une correction régulière des vulnérabilités logicielles est nécessaire pour prévenir les infections.

Faut-il s’attendre à de nouvelles attaques ?

Le virus Petya est apparu pour la première fois en mars 2016 et les spécialistes de la sécurité ont immédiatement remarqué son comportement. Le nouveau virus Petya a infecté des ordinateurs en Ukraine et en Russie fin juin 2017. Mais il est peu probable que ce soit la fin. Attaques de pirates l'utilisation de virus ransomware similaires à Petya et WannaCry se reproduira, a déclaré Stanislav Kuznetsov, vice-président du conseil d'administration de la Sberbank. Dans une interview accordée à TASS, il a averti que de telles attaques se produiraient certainement, mais qu'il est difficile de prédire à l'avance sous quelle forme et dans quel format elles pourraient apparaître.

Si, après toutes les cyberattaques qui se sont produites, vous n’avez pas encore pris au moins les mesures minimales pour protéger votre ordinateur contre un virus ransomware, alors il est temps de prendre les choses au sérieux.