Az új petya vírus. Oroszország, Ukrajna és más európai országok, amelyeket a Petya ransomware vírus támadott meg: a helyzet áttekintése és a védekezés módja. A Petnát még terjesztik?

Az új vírus elleni védelmet az egész világ feltalálja, bár ugyanazokon a "lyukakon" mászik át, mint a WannaCry

A WannaCry ransomware elterjedése után a számítógépek világszerte ismét kibertámadásoknak voltak kitéve. A Petya vírus különböző európai országokban és az Egyesült Államokban érintett készülékeket. A legtöbb kár azonban Oroszországban és Ukrajnában történt számítógépeken, ahol mintegy 80 cég szenvedett el. A ransomware vírus pénzt vagy kriptovalutát követelt az érintett PC-k tulajdonosaitól, de a kiberszakértők megtalálták a módját, hogy ne dőljenek be a csalóknak. Olvassa el a Realnoe Vremya anyagában, hogy ki az a Petya, és hogyan kerülheti el, hogy találkozzon vele.

A "Petya" áldozatai: a "Rosneft"-től a csernobili atomerőműig

A Petya vírus tömeges terjedése június 27-én kezdődött. Ukrajna szenvedett először: a nagy energiavállalatok - az Ukrenergo, a DTEK és a Kievenergo - számítógépeit támadták meg - jelentette a helyi média. Az egyik cég alkalmazottja újságíróknak elmondta, hogy június 27-én reggel újraindult a munkahelyi számítógépe, ami után a rendszer állítólag elkezdte az ellenőrzést. merevlemez. Aztán látta, hogy az iroda összes számítógépén ugyanez történik. Kikapcsolta a számítógépet, de bekapcsolása után váltságdíj-cédula jelent meg a készülék képernyőjén. Néhány ukrán bank számítógépét, az ukrán államkincstárat, a miniszteri kabinetet, az Ukrtelecom céget és a boriszpili repülőteret is érintette a vírus.

Petya a csernobili atomerőmű sugárzási hátterét figyelő számítógépes rendszert is megtámadta. Ugyanakkor az állomás összes rendszere normálisan működött, a sugárzási háttér nem haladta meg a kontrollt – írja a Meduza. Június 27-én este az ukrán belügyminisztérium hivatalos Facebook-oldalán a fellebbezés az ország lakosainak azzal az ajánlással, hogy kapcsolják ki a számítógépeket, amíg ki nem dolgozzák a vírus elleni küzdelem módját.

A Rosneft oroszországi szervereit megtámadta a Petya ransomware vírus. A Rosneft szóvivője, Mihail Leontyev összefüggést látott a Petya vírus hackertámadásai és a cég AFK Sistema elleni pere között. A Business FM műsorában racionális kísérletnek nevezte, hogy egy vírus segítségével megsemmisítsék a Bashneft vezetésével kapcsolatos adatokat. Az oroszországi bankrendszer információs infrastrukturális objektumainak fertőzésének elszigetelt eseteit rögzítették. A Home Credit Bank kibertámadások miatt leállította a működését, és a hitelintézet honlapjának munkája is fennakadt. A fiókok csak tanácsadói üzemmódban működtek, míg az ATM-ek a megszokott módon működtek – írja az Interfax.

Június 28-án a média számítógépek elleni támadásról is beszámolt az Egyesült Királyságban, Hollandiában, Dániában, Spanyolországban, Indiában, Litvániában, Franciaországban és az Egyesült Államokban.

Mikhail Leontiev összefüggést látott a Petya vírus hackertámadásai és az AFK Sistema elleni per között. Fotó: polit.ru

A WannaCry elleni védelem tehetetlen "Petya" ellen

A Petya működési elve a lemez indító szektorának fő rendszerindítási rekordjának (MBR) titkosításán alapul. Ez a bejegyzés az első szektor a merevlemezen, ez tartalmazza a partíciós táblát és azt a betöltő programot, amely ebből a táblából olvassa be az információkat arról, hogy a rendszer a merevlemez melyik partíciójáról fog elindulni. Az eredeti MBR a lemez 0x22 szektorában van tárolva, és egy bájtonkénti XOR művelettel titkosítva van 0x07-tel. Ennek eredményeként a számítógép lemezén lévő információkat a vírus adatai váltják fel – számolnak be a Positive Technologies szakértői.

A rosszindulatú fájl elindítása után egy feladat jön létre a számítógép újraindításához, amely 1-2 órát késik. Ha a lemez titkosítása sikeresen megtörtént az újraindítás után, megjelenik egy üzenet, amely arra kéri Önt, hogy fizessen 300 dollár váltságdíjat (vagy adja vissza kriptovalutában), hogy megkapja a fájl feloldó kulcsát. A zsarolók által használt email cím egyébként már le van tiltva, ami hiábavalóvá teszi a pénzátutalást.

Petya a Windows sebezhetőségét használja – az EternalBlue kódnevű kizsákmányolást. A hírhedt WannaCry ugyanazt a sérülékenységet használva támadta meg a számítógépeket. Az exploitnak köszönhetően a Petya a Windows Management Instrumentation (egy Windows platformon futó számítógépes infrastruktúra különböző részei működésének központosított felügyeletére és felügyeletére szolgáló eszköz) és a PsExec (lehetővé teszi a folyamatok végrehajtását távoli rendszerek) maximális jogosultságokat szerezve a sérülékeny rendszeren. Ez lehetővé tette, hogy a vírus továbbra is működjön, még akkor is, ha a WannaCry elleni frissítések telepítve vannak a számítógépekre.

bootrec /fixMbr parancs és a jegyzettömb bejegyzése

A híres francia hacker és szoftverfejlesztő Mathieu Suchet a Twitterén

"Petya" vírus: hogyan nem lehet elkapni, hogyan lehet megfejteni, honnan származik - a legfrissebb hírek a Petya ransomware vírusról, amely "aktivitása" harmadik napjára mintegy 300 ezer számítógépet ért el különböző országok világot, és eddig senki sem állította meg.

Petya vírus - hogyan kell visszafejteni, legfrissebb hírek. Egy számítógép megtámadása után a Petya ransomware készítői 300 dollár váltságdíjat követelnek (bitcoinban), de a Petya vírus visszafejtésére nincs mód, még akkor sem, ha a felhasználó fizeti a pénzt. A Kaspersky Lab szakértői, akik észrevették, hogy az új vírus különbözik a Petya-tól, és ExPetr-nek nevezték el, azt állítják, hogy egy adott trójai telepítéshez egyedi azonosítóra van szükség a visszafejtéséhez.

A hasonló Petya/Mischa/GoldenEye ransomware korábban ismert verzióiban a telepítési azonosító tartalmazta az ehhez szükséges információkat. Az ExPetr esetében ez az azonosító nem létezik – írja a RIA Novosti.

"Petya" vírus - honnan jött, a legfrissebb hírek. Német biztonsági szakértők előterjesztették az első verziót arról, hogy honnan került ez a zsarolóprogram. Véleményük szerint a Petya vírus az M.E.Doc fájlok megnyitásától kezdett bebarangolni a számítógépeket. Ez egy számviteli program, amelyet Ukrajnában használnak az 1C tilalma után.

Eközben a Kaspersky Lab szerint túl korai még következtetéseket levonni az ExPetr vírus terjedésének eredetéről és forrásáról. Lehetséges, hogy a támadók kiterjedt adatokkal rendelkeztek. Például az előző hírlevél e-mail címei vagy más hatékony módszerek behatolás a számítógépekbe.

Segítségükkel a "Petya" vírus teljes erejével lecsapott Ukrajnára és Oroszországra, valamint más országokra. De ennek a hackertámadásnak a valódi mértéke néhány napon belül kiderül.

"Petya" vírus: hogyan nem lehet elkapni, hogyan kell megfejteni, honnan jött - legfrissebb hírek a Petya ransomware vírusról, amely már új nevet kapott a Kaspersky Lab-tól - ExPetr.

A "Petya" vírus támadása kellemetlen meglepetés volt számos ország lakosai számára. Számítógépek ezrei fertőződtek meg, aminek következtében a felhasználók elvesztették a merevlemezükön tárolt fontos adatokat.

Természetesen mostanra alábbhagyott az incidens körüli izgalom, de senki sem tudja garantálni, hogy ez nem fog megismétlődni. Ezért nagyon fontos, hogy megvédje számítógépét lehetséges fenyegetésés ne kockáztass feleslegesen. Hogyan lehet a leghatékonyabban csinálni, és meg lesz beszélve lent.

A támadás következményei

Először is meg kell emlékeznünk Petya.A rövid tevékenységének következményeiről. Néhány óra leforgása alatt több tucat ukrán és orosz cég szenvedett kárt. Ukrajnában egyébként szinte teljesen megbénult olyan intézmények számítástechnikai osztályainak munkája, mint a Dnyiproenergo, a Novaja Pocsta és a Kijevi Metró. Ráadásul egyes állami szervezetek, bankok és mobilszolgáltatók sem védekeztek a Petya vírus ellen.

Az Európai Unió országaiban a ransomware-nek is sok bajt sikerült csinálnia. Francia, dán, angol és nemzetközi cégek a támadáshoz kapcsolódó átmeneti kiesésekről számoltak be Számítógépes vírus"Péter".

Amint látja, a fenyegetés valóban komoly. És annak ellenére, hogy a támadók nagy pénzintézeteket választottak áldozatul, a hétköznapi felhasználók sem szenvedtek kevésbé.

Hogyan működik a Petya?

Ahhoz, hogy megértse, hogyan védekezhet a Petya vírus ellen, először meg kell értenie, hogyan működik. Tehát a számítógépre kerülve a kártevő letölt egy speciális titkosítót az internetről, amely megfertőzi a Master Boot Record-ot. Ez egy külön terület a merevlemezen, rejtve a felhasználó szeme elől, és az operációs rendszer indítására szolgál.

A felhasználó számára ez a folyamat úgy néz ki, mint a Check Disk program normál működése egy hirtelen rendszerösszeomlás után. A számítógép hirtelen újraindul, és egy üzenet jelenik meg a képernyőn, hogy ellenőrizze a merevlemez hibáit, és arra kéri, hogy ne kapcsolja ki a készüléket.

Amint ez a folyamat véget ér, megjelenik egy képernyővédő a számítógép zárolásával kapcsolatos információkkal. A Petya vírus készítői 300 dollár (több mint 17,5 ezer rubel) váltságdíjat követelnek a felhasználótól, cserébe megígérve, hogy elküldik a PC újraindításához szükséges kulcsot.

Megelőzés

Logikus, hogy sokkal könnyebb megelőzni a Petya számítógépes vírus fertőzését, mint később kezelni a következményeit. A számítógép biztonsága érdekében:

• Mindig telepítse az operációs rendszer legújabb frissítéseit. Ugyanez elvileg mindenre vonatkozik. szoftver telepítve van a számítógépére. Mellesleg, a "Petya" nem károsíthatja a MacOS-t és Linuxot futtató számítógépeket.
• Használat aktuális verziók víruskereső, és ne felejtse el frissíteni az adatbázisait. Igen, a tanács banális, de nem mindenki tartja be.
• Ne nyissa meg az Önnek e-mailben küldött gyanús fájlokat. Ezenkívül mindig ellenőrizze a kétes forrásból letöltött alkalmazásokat.
• Csináld rendszeresen biztonsági mentések fontos dokumentumokat és aktákat. A legjobb, ha külön adathordozón vagy a "felhőben" tárolja őket (Google Drive, Yandex.Disk stb.). Ennek köszönhetően még ha történik is valami a számítógépével, az értékes információkat nem érinti.

Hozzon létre egy stop fájlt

Vezető fejlesztők víruskereső programok rájöttem, hogyan lehet eltávolítani a Petya vírust. Pontosabban a kutatásuknak köszönhetően sikerült megérteniük, hogy a fertőzés kezdeti szakaszában a zsarolóprogram megpróbál helyi fájlt találni a számítógépen. Ha sikerül, a vírus leállítja a munkáját, és nem károsítja a számítógépet.

Egyszerűen fogalmazva, manuálisan létrehozhat egyfajta stop fájlt, és ezzel megvédheti számítógépét. Ezért:

• Nyissa meg a Mappabeállításokat, és törölje a jelet az „Ismert fájltípusok kiterjesztésének elrejtése” jelölőnégyzetből.
• Hozzon létre egy új fájlt a Jegyzettömbbel, és helyezze el a C:/Windows könyvtárba.
• Nevezze át a létrehozott dokumentumot "perfc" elnevezéssel. Ezután lépjen a "Csak olvasható" lehetőségre, és engedélyezze a lehetőséget.

Most, hogy a "Petya" vírus bekerült a számítógépére, nem tud károsítani. De ne feledje, hogy a támadók a jövőben módosíthatják a rosszindulatú programot, és a stop fájl létrehozási módszer hatástalanná válik.

Ha a fertőzés már megtörtént

Amikor a számítógép magától újraindul, és elindul a Check Disk, a vírus éppen elkezdi titkosítani a fájlokat. Ebben az esetben továbbra is mentheti adatait a következők szerint:

• Azonnal kapcsolja ki a számítógépet. Csak így akadályozhatja meg a vírus terjedését.
• Ezután csatlakoztassa a HDD egy másik PC-re (de nem rendszerindítóként!), és másoljuk át onnan a fontos információkat.
• Ezt követően teljesen formázni kell a fertőzött merevlemezt. Természetesen ezután újra kell telepítenie az operációs rendszert és az egyéb szoftvereket.

Is, akkor próbálja meg használni a speciális indítólemez hogy meggyógyítsa a "Petya" vírust. A Kaspersky Anti-Virus például a Kaspersky Rescue Disk programot kínálja erre a célra, amely az operációs rendszert megkerülve működik.

Fizessek a zsarolóknak?

Mint korábban említettük, a Petya készítői 300 dollár váltságdíjat követelnek azoktól a felhasználóktól, akiknek számítógépe megfertőződött. A zsarolók szerint a meghatározott összeg befizetése után a sértetteknek egy kulcsot küldenek, amely megszünteti az információblokkolást.

A probléma az, hogy a számítógépét normál állapotba állító felhasználónak írnia kell a támadóknak a címen email. Azonban minden e-mail ransomware-t azonnal blokkolnak a felhatalmazott szolgáltatások, így egyszerűen lehetetlen kapcsolatba lépni velük.

Sőt, a vírusirtó szoftverek számos vezető fejlesztője biztos abban, hogy a Petya-val fertőzött számítógépet teljesen lehetetlen bármilyen kóddal feloldani.

Amint valószínűleg megértette, nem érdemes fizetni a zsarolóknak. Ellenkező esetben nemcsak egy nem működő számítógépe marad, hanem nagy mennyiségű pénzt is veszít.

Lesznek-e új támadások

A Petya vírust először 2016 márciusában fedezték fel. Aztán a biztonsági szakértők gyorsan észrevették a fenyegetést, és megakadályozták annak tömeges terjesztését. De már 2017 júniusának végén a támadás ismét megismétlődött, ami nagyon súlyos következményekkel járt.

Nem valószínű, hogy minden itt véget ér. A zsarolóvírus-támadások nem ritkák, ezért fontos, hogy számítógépét mindig védje. A probléma az, hogy senki sem tudja megjósolni, hogy a következő fertőzés milyen formátumú lesz. Bárhogy is legyen, mindig érdemes követni a cikkben található egyszerű ajánlásokat, hogy így a kockázatokat minimálisra csökkentsük.

Nagy-Britannia, az USA és Ausztrália hivatalosan is megvádolta Oroszországot a NotPetya terjesztésével

2018. február 15-én az Egyesült Királyság külügyminisztériuma hivatalos közleményt adott ki, amelyben azzal vádolta Oroszországot, hogy a NotPetya titkosítási vírus segítségével számítógépes támadást szervez.

A brit hatóságok szerint ez a támadás Ukrajna szuverenitásának további semmibevételét mutatta, és e meggondolatlan cselekedetek következtében Európa-szerte számos szervezet munkája megszakadt, ami több millió dolláros veszteséget okozott.

A minisztérium megjegyezte, hogy az orosz kormány és a Kreml kibertámadásban való részvételére vonatkozó következtetés az Egyesült Királyság Nemzeti Kiberbiztonsági Központjának következtetése alapján született, amely „szinte teljesen biztos abban, hogy az orosz hadsereg a NotPetya támadás mögött áll.” A nyilatkozatban az is szerepel, hogy szövetségesei nem tűrik a rosszindulatú kibertevékenységet.

A Kreml, amely korábban többször is tagadta, hogy az orosz hatóságok részt vettek volna a hackertámadásokban, a brit külügyminisztérium nyilatkozatát az "russzofób kampány" részének nevezte.

Emlékmű "Itt fekszik a Petya számítógépes vírus, amelyet emberek győztek le 2017.06.27."

A Petya számítógépes vírus emlékművét 2017 decemberében helyezték el a Skolkovo Technopark épülete közelében. Kétméteres emlékmű, a következő felirattal: "Itt fekszik a Petya számítógépvírus, amelyet 2017. 06. 27-én győztek le az emberek." megharapott merevlemez formájában készült , az INVITRO támogatásával jött létre , többek között egy hatalmas kibertámadás következményei által érintett vállalatok mellett . Egy Nu nevű robot, aki a Phystechparkban és (MIT) dolgozik, eljött az ünnepségre, hogy ünnepélyes beszédet mondjon.

Támadás Szevasztopol kormánya ellen

A szevasztopoli Informatizálási és Kommunikációs Főigazgatóság szakemberei sikeresen visszaverték a Petya hálózati titkosítási vírus támadását a regionális kormányzat szerverein. Ezt 2017. július 17-én jelentette be a szevasztopoli kormány operatív ülésén Denis Timofejev, az informatizálási osztály vezetője.

Kijelentette, hogy a Petya kártevő semmilyen hatással nem volt a szevasztopoli állami intézmények számítógépein tárolt adatokra.

A szabad szoftverek használatának középpontjában a Szevasztopol informatizálásának 2015-ben jóváhagyott koncepciója van beágyazva. Leszögezi, hogy az alapszoftverek, valamint az automatizálást szolgáló információs rendszerek szoftvereinek beszerzése és fejlesztése során célszerű elemezni az ingyenes termékek alkalmazásának lehetőségét, amelyek csökkenthetik a költségvetési költségeket és csökkenthetik a beszállítóktól és fejlesztőktől való függést.

Korábban, június végén az Invitro egészségügyi cég elleni nagyszabású támadás részeként annak szevasztopoli fióktelepe is megsérült. A vírus miatt számítógép hálózat a fióktelep átmenetileg felfüggesztette a vizsgálati eredmények kiadását az okok megszüntetéséig.

Az Invitro bejelentette a tesztek felfüggesztését egy kibertámadás miatt

Az Invitro egészségügyi cég június 27-én egy hackertámadás miatt felfüggesztette a bioanyag gyűjtését és a betegvizsgálati eredmények kiadását. Ezt Anton Bulanov vállalat vállalati kommunikációs igazgatója jelentette be az RBC-nek.

Amint azt a cég üzenete is írja, a közeljövőben az "Invitro" normál működésre áll át. Az ezen idő után végzett vizsgálatok eredményeit a műszaki hiba elhárítása után juttatják el a betegekhez. Tovább Ebben a pillanatban laboratórium Tájékoztatási rendszer helyreállítva, a beállítás folyamatban van. „Sajnáljuk a jelenlegi vis maior helyzetet, és köszönjük ügyfeleink megértését” – fejezte be az Invitro.

Ezen adatok szerint oroszországi, fehéroroszországi és kazahsztáni klinikákat támadott meg számítógépes vírus.

Támadás a Gazprom és más olaj- és gázipari társaságok ellen

2017. június 29-én vált ismertté a Gazprom számítógépes rendszerei elleni globális kibertámadásról. Így egy másik orosz cég szenvedett a Petya ransomware vírustól.

A Reuters hírügynökség orosz kormányzati forrásra és az eset kivizsgálásában részt vevő személyre hivatkozva értesülései szerint a Gazpromot érintette a Petya kártevő elterjedése, amely a világ összesen több mint 60 országában támadott számítógépeket.

A kiadvány beszélgetőpartnerei nem árultak el részleteket arról, hogy hány és mely rendszer fertőződött meg a Gazpromban, valamint a hackerek által okozott kár mértékéről. A cég a Reuters kérésére nem kívánt nyilatkozni.

Eközben egy magas rangú RBC-forrás a Gazpromnál azt mondta a kiadványnak, hogy a vállalat központi irodájában a számítógépek megszakítás nélkül működtek, amikor egy nagyszabású hackertámadás kezdődött (2017. június 27-én), és két nappal később folytatódik. További két RBC-forrás a Gazpromban szintén arról biztosított, hogy „minden nyugodt” a cégnél, és nincsenek vírusok.

Az olaj- és gázszektorban a Bashneft és a Rosznyefty szenvedett a Petya vírustól. Utóbbi június 28-án bejelentette, hogy a cég normálisan működik, és „bizonyos problémákat” azonnal megoldanak.

Bankok és ipar

Ismertté vált a számítógépek megfertőződése Evrazban, a Royal Canin oroszországi (állatok számára egyenruhát gyártó) és a Mondelez (Alpen Gold és Milka csokoládé gyártója) oroszországi fiókjában.

Az ukrán belügyminisztérium szerint egy férfi videót tett közzé Részletes leírás a ransomware számítógépeken való elindításának folyamata. A videóhoz fűzött kommentekben a férfi az oldalára mutató linket tett közzé közösségi háló amelyre a rosszindulatú program betöltődött. A „hacker” lakásában tartott házkutatások során a rendfenntartók lefoglalták a NotPetya terjesztésére használt számítógépes berendezéseket. A rendőrség talált olyan fájlokat is, amelyek rosszindulatú programokat tartalmaznak, amelyek elemzése után bebizonyosodott, hogy hasonlóak a NotPetya zsarolóprogramhoz. A kiberrendőrök megállapították, hogy a ransomware-t, amelynek linkjét a Nikopol lakos tette közzé, a közösségi oldal felhasználói 400 alkalommal töltötték le.

A NotPetya-t letöltők között a rendfenntartók azonosítottak olyan cégeket, amelyek szándékosan fertőzték meg rendszereiket zsarolóprogramokkal, hogy elrejtsenek bűnözői tevékenységet és elkerüljék az államnak fizetendő büntetéseket. Érdemes megjegyezni, hogy a rendőrség nem köti össze a férfi tevékenységét az idén június 27-i hackertámadásokkal, vagyis szó sincs a NotPetya szerzőiben való részvételéről. A neki felrótt cselekmények csak az idén júliusban - egy nagyszabású kibertámadási hullám után - elkövetett cselekményekre vonatkoznak.

A férfi ellen az Art. 1. része alapján büntetőeljárás indult. 361 (illetéktelen beavatkozás a számítógépek működésébe) Ukrajna Büntető Törvénykönyve. Nikopolchanin akár 3 év börtönt is kaphat.

Eloszlás a világban

A Petya ransomware vírus terjedését Spanyolországban, Németországban, Litvániában, Kínában és Indiában rögzítették. Például egy indiai kártevő miatt az A.P. által üzemeltetett Jawaharlal Nehru konténerkikötő forgalomkezelési technológiája. Moller-Maersk, már nem ismeri el az áruk tartozását.

A kibertámadásról a WPP brit reklámcsoport, a világ egyik legnagyobb ügyvédi irodájának, a DLA Pipernek a spanyol irodája és a Mondelez élelmiszeripari óriás számolt be. A francia építőanyag-gyártó Cie. de Saint-Gobain és a Merck & Co. gyógyszeripari vállalat.

Merck

Az amerikai gyógyszeripari óriás, a Merck, amelyet súlyosan érintett a júniusi NotPetya zsarolóvírus-támadás, továbbra sem tudja visszaállítani az összes rendszert és visszatérni a normál működéshez. Erről a vállalat a 8-K nyomtatványon készített jelentésében számolt be, amelyet 2017. július végén nyújtottak be az Egyesült Államok Értékpapír- és Tőzsdefelügyeletéhez (SEC). Olvass tovább.

Moller-Maersk és Rosneft

2017. július 3-án vált ismertté, hogy a dán Moller-Maersk és a Rosneft hajózási óriáscég csak majdnem egy héttel a június 27-i támadás után helyreállította a Petya ransomware vírussal fertőzött informatikai rendszereket.

A Maersk hajótársaság, amely minden hetedik szállítókonténerért felel világszerte, azt is hozzátette, hogy a kibertámadás által érintett mind az 1500 alkalmazás legkésőbb 2017. július 9-ig visszatér a normál működéshez.

Leginkább a Maersk tulajdonában lévő, több mint 40 országban több tucat teherkikötőt és konténerterminált üzemeltető APM Terminals informatikai rendszerei érintettek. Naponta több mint 100 ezer teherkonténer halad át az APM Terminálok kikötőin, amelyek munkája teljesen megbénult a vírus terjedése miatt. A rotterdami Maasvlakte II terminál július 3-án helyreállította az ellátást.

2017. augusztus 16. A.P. A Moller-Maersk megnevezte a Petya vírust használó kibertámadás hozzávetőleges mértékét, amelynek fertőzése – mint azt az európai cég megjegyezte – az ukrán programon ment keresztül. A Maersk előzetes számításai szerint a Petya ransomware okozta pénzügyi veszteségek 2017 második negyedévében 200 és 300 millió dollár közöttiek voltak.

Közben majdnem egy hét a felépülésig számítógépes rendszerek A Rosznyeftnek is szüksége volt hackertámadásra, amelyről július 3-án számolt be a cég sajtószolgálata – közölte az Interfax:

Néhány nappal korábban a Rosznyefty hangsúlyozta, hogy még nem vállalkozik egy kibertámadás következményeinek felmérésére, de a termelést ez nem érinti.

Hogyan működik a Petya?

Valójában a vírus áldozatai nem tudják feloldani fájljaik zárolását, miután megfertőződtek. Az a tény, hogy készítői egyáltalán nem láttak előre ilyen lehetőséget. Vagyis egy titkosított lemezt eleve nem lehet visszafejteni. A rosszindulatú programazonosító nem tartalmazza a visszafejtéshez szükséges információkat.

A szakértők kezdetben a már jól ismert Petya ransomware családba sorolták a vírust, amely Oroszországban, Ukrajnában, Lengyelországban, Olaszországban, Németországban, Franciaországban és más országokban mintegy kétezer számítógépet érintett. Kiderült azonban, hogy beszélgetünk egy új rosszindulatú programcsaládról. „Kaspersky Lab”-ra keresztelték új ransomware ExPetr.

Hogyan kell harcolni

A kiberfenyegetések elleni küzdelemhez a bankok, az IT-vállalkozások és az állam együttes erőfeszítésére van szükség

Adat-helyreállítási módszer a Positive Technologies-tól

2017. július 7-én Dmitrij Sklyarov, a Positive Technologies szakértője bemutatott egy módszert a NotPetya vírus által titkosított adatok helyreállítására. A szakember szerint a módszer akkor alkalmazható, ha a NotPetya vírus rendszergazdai jogosultságokkal rendelkezett, és a teljes lemezt titkosította.

Az adatok helyreállításának képessége a Salsa20 titkosítási algoritmus megvalósításának hibáinak köszönhető, amelyeket maguk a támadók okoztak. A módszer hatékonyságát teszthordozón és valamelyik titkosított merevlemezen is teszteltük nagy cég akik a járvány áldozatai között voltak.

Az adat-helyreállításra szakosodott cégek és független fejlesztők szabadon használhatják és automatizálhatják a bemutatott visszafejtő szkriptet.

A nyomozás eredményét az ukrán kiberrendőrség már megerősítette. A „Juscutum” vizsgálat következtetései kulcsfontosságú bizonyítékként szolgálnak majd az Intellect-Service elleni jövőbeni eljárásban.

A folyamat polgári jellegű lesz. Független vizsgálatot folytatnak Ukrajna bűnüldöző szervei. Képviselőik korábban bejelentették, hogy eljárást indítanak az Intellect-Service dolgozói ellen.

Maga az M.E.Doc cég is azt nyilatkozta, hogy ami történik, az a portyázók kísérlete volt a cég átvételére. Az egyetlen népszerű ukrán könyvelési szoftver gyártója úgy véli, hogy az ukrán kiberrendőrség által végzett cégkutatás ennek a tervnek a megvalósítása volt.

Kezdeti fertőzés vektor Petya kódolóval

Május 17-én megjelent az M.E.Doc frissítése, amely nem tartalmaz rosszindulatú hátsó ajtó modult. Valószínűleg ez magyarázhatja az XData fertőzések viszonylag kis számát – véli a cég. A támadók nem számítottak a frissítés május 17-i megjelenésére, és május 18-án indították el a titkosítót, amikor a legtöbb felhasználó már telepítette a biztonságos frissítést.

A hátsó ajtó lehetővé teszi más rosszindulatú programok betöltését és futtatását a fertőzött rendszeren – így történt a kezdeti fertőzés a Petya és XData kódolókkal. Ezenkívül a program összegyűjti a proxy és e-mail beállításokat, beleértve a bejelentkezési adatokat és jelszavakat az M.E.Doc alkalmazásból, valamint az EDRPOU (Ukrajna Vállalkozások és Szervezetek Egységes Állami Nyilvántartása) szerinti cégkódjait, amelyek lehetővé teszik az áldozatok azonosítását. .

„Számos kérdésre kell válaszolnunk” – mondta Anton Cherepanov, az Eset vezető víruselemzője. - Mióta van használatban a hátsó ajtó? A Petya és XData kivételével milyen parancsokat és rosszindulatú programokat küldtek ezen a csatornán? Milyen egyéb infrastruktúrák kerültek veszélybe, de amelyeket még nem használt a támadás mögött álló kibercsoport?

Az Eset szakértői a jelek – köztük infrastruktúra, rosszindulatú eszközök, sémák és támadási célpontok – kombinációja alapján kapcsolatot hoztak létre a Diskcoder.C (Petya) járvány és a Telebots kibercsoport között. Egyelőre nem sikerült megbízhatóan megállapítani, hogy ki áll e csoport tevékenysége mögött.

Május elején több mint 150 országban mintegy 230 000 számítógép fertőződött meg ransomware-rel. Mielőtt az áldozatoknak idejük lett volna felszámolniuk ennek a támadásnak a következményeit, egy új támadás következett - Petya néven. A legnagyobb ukrán és orosz cégek valamint a kormányzati szervek.

Az ukrán kiberrendőrség megállapította, hogy a vírus támadása az adóbevallások elkészítésére és küldésére szolgáló M.E.Doc könyvelőszoftver frissítési mechanizmusán keresztül indult. Így vált ismertté, hogy a Bashneft, a Rosneft, a Zaporozhyeoblenergo, a Dneproenergo és a Dnyeper villamosenergia-rendszer hálózatai nem kerülték el a fertőzést. Ukrajnában a vírus behatolt a kormányzati számítógépekbe, a kijevi metró számítógépeibe, a távközlési szolgáltatókba, sőt a csernobili atomerőműbe is. Oroszországban a Mondelez International, a Mars és a Nivea szenvedett.

A Petya vírus kihasználja az EternalBlue sebezhetőségét a műtőben Windows rendszer. A Symantec és az F-Secure szakértői azt mondják, hogy bár a Petya titkosítja az adatokat, mint a WannaCry, ez némileg eltér más típusú zsarolóprogramoktól. „A Petya vírusa egy új típusú, rosszindulatú zsarolóprogram: nem csak a lemezen lévő fájlokat titkosítja, hanem blokkolja a teljes lemezt, ami gyakorlatilag használhatatlanná teszi” – magyarázza az F-Secure. "Különösen az MFT főfájltáblázatát titkosítja."

Hogyan történik ez, és megelőzhető-e ez a folyamat?

Petya vírus – hogyan működik?

A Petya vírus más néven is ismert: Petya.A, PetrWrap, NotPetya, ExPetr. A számítógépbe kerülve letölt egy zsarolóprogramot az internetről, és megpróbálja eltalálni a merevlemez egy részét a számítógép indításához szükséges adatokkal. Ha sikerül, akkor a rendszer hibája kék képernyő of Death ("a halál kék képernyője"). Az újraindítás után egy merevlemez-ellenőrző üzenet jelenik meg, amely arra kéri, hogy ne kapcsolja ki a készüléket. Így a ransomware vírus úgy tesz, mintha egy rendszerprogram lenne a lemez ellenőrzésére, miközben bizonyos kiterjesztésű fájlokat titkosít. A folyamat végén megjelenik egy üzenet a számítógép zárolásáról, valamint arról, hogyan szerezhet be digitális kulcsot az adatok visszafejtéséhez. A Petya vírus váltságdíjat követel, általában bitcoinban. Ha az áldozat nem rendelkezik biztonsági másolattal a fájlokról, választás előtt áll - 300 dollárt fizet, vagy elveszíti az összes információt. Egyes elemzők szerint a vírus csak ransomware-nek álcázza magát, valódi célja pedig az, hogy hatalmas károkat okozzon.

Hogyan lehet megszabadulni Petyától?

A szakértők megállapították, hogy a Petya vírus helyi fájlt keres, és ha ez a fájl már létezik a lemezen, kilép a titkosítási folyamatból. Ez azt jelenti, hogy a felhasználók megvédhetik számítógépüket a zsarolóvírusoktól, ha létrehozzák ezt a fájlt, és írásvédettre állítják.

Noha ez a ravasz séma megakadályozza a zsarolási folyamat elindítását, ez a módszer inkább "számítógépes oltásnak" tekinthető. Így a felhasználónak magának kell létrehoznia a fájlt. Ezt a következő módon teheti meg:

• Először a fájlkiterjesztéssel kell foglalkoznia. Győződjön meg arról, hogy a "Mappabeállítások" ablakban az "Ismert fájltípusok kiterjesztésének elrejtése" jelölőnégyzet nincs bejelölve.
• Nyissa meg a C:\Windows mappát, görgessen lefelé, amíg meg nem jelenik a notepad.exe program.
• Kattintson a bal egérgombbal a notepad.exe fájlra, majd nyomja meg a Ctrl + C billentyűket a másoláshoz, majd a Ctrl + V billentyűket a fájl beillesztéséhez. Engedélyt kell kérnie a fájl másolásához.
• Kattintson a "Folytatás" gombra, és a fájl jegyzettömbként jön létre - Copy.exe. Kattintson a bal egérgombbal erre a fájlra, nyomja meg az F2 billentyűt, majd törölje a Copy.exe fájl nevét, és írja be a perfc parancsot.
• Miután megváltoztatta a fájl nevét perfc-re, nyomja meg az Enter billentyűt. Erősítse meg az átnevezést.
• Most, hogy a perfc fájlt létrehoztuk, csak olvashatóvá kell tennünk. Ehhez kattintson a jobb gombbal a fájlra, és válassza a "Tulajdonságok" lehetőséget.
• Megnyílik a fájl tulajdonságainak menüje. Alul a „Csak olvasható” felirat látható. Jelölje be a négyzetet.
• Most kattintson az "Alkalmaz" gombra, majd az "OK" gombra.

Egyes biztonsági szakértők azt javasolják, hogy a C:\Windows\perfc.dat és C:\Windows\perfc.dll fájlok mellett hozzon létre C:\Windows\perfc.dll fájlokat a Petya vírus elleni jobb védelem érdekében. A fenti lépéseket megismételheti ezeknél a fájloknál.

Gratulálunk, számítógépe védett a NotPetya / Petya ellen!

A Symantec szakértői tanácsot adnak a PC-felhasználóknak, hogy megakadályozzák őket abban, hogy olyan dolgokat tegyenek, amelyek fájlok zárolásához vagy pénzvesztéshez vezethetnek.

1. Ne fizessen pénzt a csalóknak. Még ha pénzt is utal át ransomware-nek, nincs garancia arra, hogy újra hozzáférhet a fájljaihoz. Ez pedig a NotPetya / Petya esetében lényegében értelmetlen, mert a titkosító célja az adatok megsemmisítése, nem a pénzszerzés.
2. Rendszeresen készítsen biztonsági másolatot adatairól. Ebben az esetben még akkor is, ha a számítógépe zsarolóvírus-támadás célpontjává válik, vissza tudja állítani a törölt fájlokat.
3. Ne nyissa meg a megkérdőjelezhető címekkel rendelkező e-maileket. A támadók megpróbálják rávenni a telepítésre rosszindulatú vagy próbáljon meg támadásokhoz fontos adatokat beszerezni. Feltétlenül értesítse az informatikai szakembereket, ha Ön vagy alkalmazottai gyanús e-maileket vagy linkeket kapnak.
4. Használjon megbízható szoftvert. A víruskereső programok időben történő frissítése fontos szerepet játszik a számítógépek fertőzésekkel szembeni védelmében. És természetesen ezen a területen jó hírű cégek termékeit kell használni.
5. Használjon mechanizmusokat a spam üzenetek ellenőrzésére és blokkolására. A bejövő e-maileket meg kell vizsgálni fenyegetések szempontjából. Fontos, hogy minden olyan üzenetet blokkoljon, amely linkeket vagy tipikus adathalász kulcsszavakat tartalmaz.
6. Győződjön meg arról, hogy minden program naprakész. A fertőzések megelőzése érdekében elengedhetetlen a szoftver sebezhetőségeinek rendszeres javítása.

Új támadásokra kell számítanunk?

A Petya vírus először 2016 márciusában jelent meg, és a biztonsági szakértők azonnal felfigyeltek viselkedésére. Az új Petya vírus 2017. június végén érte el a számítógépeket Ukrajnában és Oroszországban. De ennek nem valószínű, hogy vége lesz. Hacker támadások A Petya-hoz és a WannaCry-hez hasonló ransomware vírusok használata megismétlődik – mondta Stanislav Kuznetsov, a Sberbank igazgatótanácsának alelnöke. A TASS-nak adott interjújában arra figyelmeztetett, hogy biztosan lesznek ilyen támadások, de nehéz előre megjósolni, hogy milyen formában és formában jelenhetnek meg.

Ha a múltbeli kibertámadások után még nem tett meg legalább minimális lépéseket számítógépe titkosítási vírus elleni védelmére, akkor ideje nekilátni.