Жаңа вирус петя. Ресей, Украина және басқа Еуропа елдері Petya ransomware вирусының шабуылына ұшырады: жағдайға шолу және қорғау әдісі. Петна әлі де тарала ма?

Бүкіл әлем WannaCry сияқты «тесіктерден» өтіп кетсе де, жаңа вирустан қорғауды ойлап жатыр.

WannaCry ransomware тарағаннан кейін бүкіл әлем бойынша компьютерлер тағы да кибершабуылдарға ұшырады. Петя вирусы Еуропа мен АҚШ-тың әртүрлі елдеріндегі құрылғыларға әсер етті. Дегенмен, зақымданудың басым бөлігі 80-ге жуық компания зардап шеккен Ресей мен Украинадағы компьютерлерде болды. Ransomware вирусы зардап шеккен компьютерлердің иелерінен ақша немесе криптовалюта талап етті, бірақ кибермамандар алаяқтардың иығына түспеудің жолын тапты. Петяның кім екендігі және онымен кездесуден қалай аулақ болу керектігі туралы «Реалное время» материалынан оқыңыз.

«Петиттің» құрбандары: Роснефтьден Чернобыль атом электр станциясына дейін

Петя вирусының жаппай таралуы 27 маусымда басталды. Бірінші болып Украина зардап шекті: ірі энергетикалық компаниялардың – Укренерго, ДТЭК және Киевэнергоның компьютерлеріне шабуыл жасалды, деп хабарлады жергілікті БАҚ. Компаниялардың бірінің қызметкері журналистерге 27 маусым күні таңертең оның жұмыс компьютері қайта іске қосылғанын, содан кейін жүйе тексере бастағанын айтты. қатты диск. Содан кейін ол кеңседегі барлық компьютерлерде бірдей жағдай болып жатқанын көрді. Ол компьютерді өшірді, бірақ оны қосқаннан кейін құрылғының экранында төлемді талап ететін жазу пайда болды. Вирус кейбір украиндық банктердің, Украинаның қазынашылығының, министрлер кабинетінің, «Укртелеком» компаниясының және Борисполь әуежайының компьютерлеріне де әсер етті.

Петя сонымен қатар Чернобыль атом электр станциясындағы радиацияны бақылауға арналған компьютерлік жүйеге шабуыл жасады. Бұл ретте стансаның барлық жүйелері қалыпты жұмыс істеп, радиациялық фон бақылау деңгейінен аспады, деп хабарлайды Meduza. 27 маусым күні кешке Украина Ішкі істер министрлігінің Facebook-тегі ресми парақшасында пайда болды. апелляцияел тұрғындарына вируспен күресу тәсілі әзірленгенше компьютерлерін өшіруді ұсынып отыр.

Ресейде Роснефть серверлеріне Petya ransomware вирусы шабуыл жасады. «Роснефть» баспасөз хатшысы Михаил Леонтьев Петя вирусының хакерлік шабуылдары мен компанияның AFK Sistema-ға қарсы шағымы арасындағы байланысты көрді. Business FM арнасында ол «Башнефть» компаниясын басқару туралы деректерді жою үшін вирусты қолдануға тырысуды ұтымды деп атады. Ресейлік банк жүйесінің ақпараттық инфрақұрылым объектілерін жұқтырудың жекелеген жағдайлары тіркелді. Хоум Кредит Банкі кибершабуылдар салдарынан өз жұмысын тоқтатты, несие мекемесінің веб-сайтының жұмысы да бұзылды. Филиалдар тек кеңес беру режимінде жұмыс істеді, ал банкоматтар қалыпты режимде жұмыс істеді, деп хабарлайды Интерфакс.

28 маусымда БАҚ Ұлыбритания, Голландия, Дания, Испания, Үндістан, Литва, Франция және АҚШ-та компьютерлерге шабуыл жасалғаны туралы хабарлады.

Михаил Леонтьев Петя вирусының хакерлік шабуылдары мен AFK Sistema-ға қарсы шағым арасындағы байланысты көрді. Фото polit.ru

WannaCry қорғанысы Petit-ке қарсы әлсіз

Петяның жұмыс принципі дискінің жүктеу секторының негізгі жүктеу жазбасын (MBR) шифрлауға негізделген. Бұл жазба қатты дискідегі бірінші сектор болып табылады, онда бөлімдер кестесі және осы кестеден жүйе қатты дискінің қай бөлімінен жүктелетіні туралы ақпаратты оқитын жүктеуші бағдарламасы бар. Түпнұсқа MBR дискінің 0x22-ші секторында сақталады және 0x07 бар байт-байт XOR көмегімен шифрланады. Нәтижесінде компьютерлік дискідегі ақпарат вирус деректерімен ауыстырылады, деп хабарлайды Positive Technologies сарапшылары.

Зиянды файлды іске қосқаннан кейін 1-2 сағатқа кешіктірілген компьютерді қайта іске қосу тапсырмасы жасалады. Қайта жүктегеннен кейін диск сәтті шифрланса, экранда файл құлпын ашу кілтін алу үшін 300 АҚШ доллары көлемінде төлем төлеуді (немесе оны криптовалютамен беруді) талап ететін хабар көрсетіледі. Айтпақшы, бопсалаушылардың пайдаланған электрондық пошта мекенжайы қазірдің өзінде бұғатталған, бұл ақша аударуды пайдасыз етеді.

Петя Windows осалдығын пайдаланады - EternalBlue кодтық атауы бар эксплойт. Әйгілі WannaCry шабуылы компьютерлерді басып алу үшін бірдей осалдықты пайдаланды. Эксплуатацияның арқасында Петя Windows Management Instrumentation (Windows платформасында жұмыс істейтін компьютерлік инфрақұрылымның әртүрлі бөліктерінің жұмысын орталықтандырылған басқару және бақылау құралы) және PsExec (процестерді орындауға мүмкіндік береді) арқылы таратылды. қашықтағы жүйелер), осал жүйеде максималды артықшылықтарды алу. Бұл вирусқа тіпті компьютерлерде орнатылған анти-WannaCry жаңартуларымен де жұмысын жалғастыруға мүмкіндік берді.

bootrec /fixMbr командасын орындап, Блокнотқа жаз

Танымал француз хакері және бағдарламалық жасақтама әзірлеушісі Матье Сучет өзінің Twitter-інде

«Петя» вирусы:оны қалай ұстамауға болады, оның қайдан келгенін қалай шешуге болады - өзінің «белсенділігінің» үшінші күнінде 300 мыңға жуық компьютерді жұқтырған Petya ransomware вирусы туралы соңғы жаңалықтар әртүрлі елдерәлем, және оны әлі ешкім тоқтатқан жоқ.

Петя вирусы - шифрды қалай шешуге болады, соңғы жаңалықтар.Компьютерге жасалған шабуылдан кейін Petya ransomware бағдарламалық құралын жасаушылар 300 доллар (биткоиндер) төлем талап етеді, бірақ пайдаланушы ақша төлесе де, Петя вирусының шифрын ашудың ешқандай жолы жоқ. Petit-тен жаңа вирустың айырмашылығын көрген және оны ExPetr деп атаған Kaspersky Lab мамандары шифрды шешу үшін арнайы трояндық орнату үшін бірегей идентификатор қажет деп мәлімдейді.

Осыған ұқсас Petya/Mischa/GoldenEye шифрлағыштарының бұрын белгілі нұсқаларында орнату идентификаторы осыған қажетті ақпаратты қамтыған. ExPetr жағдайында бұл идентификатор жоқ, деп жазады РИА Новости.

«Петя» вирусы – қайдан пайда болды, соңғы жаңалықтар.Неміс қауіпсіздік сарапшылары бұл төлем бағдарламасының қайдан келгенінің алғашқы нұсқасын алға тартты. Олардың пікірінше, Петя вирусы M.E.Doc файлдары ашылған кезде компьютерлер арқылы тарай бастады. Бұл Украинада 1С-қа тыйым салынғаннан кейін қолданылатын бухгалтерлік бағдарлама.

Сонымен қатар, Касперский зертханасы ExPetr вирусының шығу тегі мен таралу көзі туралы қорытынды жасауға әлі ерте екенін айтады. Шабуылдаушыларда ауқымды деректер болған болуы мүмкін. Мысалы, алдыңғы ақпараттық бюллетеньдегі электрондық пошта мекенжайлары немесе басқалары тиімді жолдарыкомпьютерлерге ену.

Олардың көмегімен «Петя» вирусы Украина мен Ресейге, сондай-ақ басқа елдерге толық күшімен әсер етті. Бірақ бұл хакерлік шабуылдың нақты ауқымы бірнеше күннен кейін белгілі болады, деп хабарлайды.

«Петя» вирусы: оны қалай ұстауға болмайды, оны қалай шешуге болады, қайдан келді - соңғы жаңалықтарКасперский зертханасынан жаңа атау алған Petya ransomware вирусы туралы - ExPetr.

Петя вирусының шабуылы көптеген елдердің тұрғындары үшін жағымсыз тосынсый болды. Мыңдаған компьютерлер вирус жұқтырды, бұл пайдаланушылардың қатты дискілерінде сақталған маңызды деректерді жоғалтуына әкелді.

Әрине, қазір бұл оқиғаның төңірегіндегі шу сейілді, бірақ мұндай жағдай қайталанбасына ешкім кепілдік бере алмайды. Сондықтан компьютерді одан қорғау өте маңызды ықтимал қауіпжәне қажетсіз тәуекелге бармаңыз. Мұны қалай тиімді жасауға болады, және сөйлесемізтөменде.

Шабуылдың салдары

Алдымен, Петя.А-ның қысқа мерзімді қызметі қандай салдарға әкелгенін есте ұстаған жөн. Бірнеше сағаттың ішінде ондаған украиндық және ресейлік компания зардап шекті. Айтпақшы, Украинада «Днепренерго», «Нова Пошта» және «Киев метросы» сияқты мекемелердің компьютерлік бөлімдерінің жұмысы толығымен дерлік сал болды. Оның үстіне кейбір мемлекеттік ұйымдар, банктер мен ұялы байланыс операторлары Петя вирусынан қорғалмаған.

Еуропалық Одақ елдерінде төлемдік бағдарлама да көптеген қиындықтар тудырды. Француз, дат, ағылшын және халықаралық компаниялар шабуылға байланысты уақытша үзілістер туралы хабарлады компьютерлік вирус«Питер».

Көріп отырғаныңыздай, қауіп өте ауыр. Шабуылшылар өздерінің құрбандары ретінде ірі қаржылық ұйымдарды таңдағанымен, қарапайым қолданушылар одан кем зардап шекті.

Петя қалай жұмыс істейді?

Өзіңізді Петя вирусынан қалай қорғау керектігін түсіну үшін алдымен оның қалай жұмыс істейтінін түсінуіңіз керек. Сонымен, компьютерде бір рет зиянды бағдарлама Интернеттен арнайы төлемдік бағдарламаны жүктеп алады, ол Master Boot Record-ты зақымдайды. Бұл қатты дискідегі пайдаланушының көзінен жасырылған және операциялық жүйені жүктеуге арналған бөлек аймақ.

Пайдаланушы үшін бұл процесс кенеттен жүйенің бұзылуынан кейін Check Disk бағдарламасының стандартты жұмысы сияқты көрінеді. Компьютер кенеттен қайта жүктеледі және экранда қатты дискіні қателердің бар-жоғын тексеру және қуатты өшірмеу туралы хабарлама пайда болады.

Бұл процесс аяқтала салысымен, блокталған компьютер туралы ақпарат бар экран сақтағышы пайда болады. «Петя» вирусын жасаушы пайдаланушыдан ДК жұмысын қалпына келтіру үшін қажетті кілтті жіберуге уәде беріп, 300 доллар (17,5 мың рубльден астам) төлем төлеуді талап етеді.

Алдын алу

Петя компьютерлік вирусын жұқтырудың алдын алу оның салдарын кейінірек жоюдан гөрі оңайырақ екендігі қисынды. Компьютерді қорғау үшін:

• Әрқашан операциялық жүйеңіз үшін соңғы жаңартуларды орнатыңыз. Бұл, негізінен, бәріне қатысты бағдарламалық қамтамасыз етукомпьютеріңізге орнатылған. Айтпақшы, «Петя» MacOS және Linux жұмыс істейтін компьютерлерге зиян тигізе алмайды.
• Қолдану ағымдағы нұсқаларантивирус және оның дерекқорын жаңартуды ұмытпаңыз. Иә, кеңестер қарапайым, бірақ бәрі оны ұстана бермейді.
• Сізге электрондық пошта арқылы жіберілген күдікті файлдарды ашпаңыз. Сондай-ақ, әрқашан күмәнді көздерден жүктеп алынған қолданбаларды тексеріңіз.
• Оны жүйелі түрде жасаңыз сақтық көшірмелермаңызды құжаттар мен файлдар. Оларды бөлек тасымалдағышта немесе «бұлтта» сақтау жақсы (Google Drive, Yandex. Disk және т.б.). Осының арқасында компьютеріңізге бірдеңе болса да, құнды ақпарат бүлінбейді.

Тоқтату файлын құру

Жетекші әзірлеушілер антивирустық бағдарламаларПетя вирусын қалай жою керектігін білді. Дәлірек айтқанда, олардың зерттеулерінің арқасында олар төлемдік бағдарлама инфекцияның бастапқы кезеңдерінде компьютерден жергілікті файлды табуға тырысатынын түсінді. Егер ол сәтті болса, вирус жұмысын тоқтатады және ДК-ге зиян келтірмейді.

Қарапайым тілмен айтқанда, сіз тоқтау файлының түрін қолмен жасай аласыз және осылайша компьютеріңізді қорғай аласыз. Осыған:

• Қалта параметрлері параметрлерін ашыңыз және «Белгілі файл түрлері үшін кеңейтімдерді жасыру» құсбелгісін алып тастаңыз.
• Блокнот көмегімен жасаңыз жаңа файлжәне оны C:/Windows каталогына орналастырыңыз.
• Құрылған құжаттың атын «perfc» деп атаңыз. Содан кейін «Тек оқу» опциясына өтіп, қосыңыз.

Енді Петя вирусы, бір рет сіздің компьютеріңізде, оған зиян тигізе алмайды. Бірақ зиянкестер болашақта зиянды бағдарламаны өзгертуі мүмкін екенін және тоқтату файлы әдісі тиімсіз болатынын есте сақтаңыз.

Егер инфекция бұрыннан пайда болса

Компьютер өздігінен қайта жүктеліп, Дискіні тексеру іске қосылғанда, вирус файлдарды шифрлай бастайды. Бұл жағдайда мына қадамдарды орындау арқылы деректеріңізді сақтауға әлі де уақытыңыз болады:

• Дереу компьютердің қуатын өшіріңіз. Бұл вирустың таралуын болдырмаудың жалғыз жолы.
• Әрі қарай сіз өзіңізді қосуыңыз керек қатты дискбасқа компьютерге (жүктеу ретінде емес!) және одан маңызды ақпаратты көшіріңіз.
• Осыдан кейін вирус жұққан қатты дискіні толығымен пішімдеу керек. Әрине, операциялық жүйені және оған басқа бағдарламалық құралды қайта орнату керек болады.

Сонымен қатар, сіз арнайы қолданып көруге болады жүктеу дискісіПетя вирусын емдеу үшін. Мысалы, Kaspersky Anti-Virus осы мақсаттар үшін операциялық жүйені айналып өтетін Kaspersky Rescue Disk бағдарламасын ұсынады.

Бопсалаушыларға ақша төлеуге тұрарлық па?

Бұрын айтылғандай, Петяның жасаушылары компьютерлері вирус жұқтырған қолданушылардан 300 доллар төлем талап етіп отыр. Бопсалаушылардың айтуынша, көрсетілген соманы төлегеннен кейін жәбірленушілерге ақпараттың бұғатталуын жоятын кілт жіберіледі.

Мәселе мынада, компьютерін қалыпты күйге қайтарғысы келетін пайдаланушы шабуылдаушыларға мына мекенжайға жазуы керек электрондық пошта. Дегенмен, барлық төлемдік бағдарламалық жасақтама электрондық пошталарын авторизацияланған қызметтер тез бұғаттайды, сондықтан олармен байланысу мүмкін емес.

Сонымен қатар, көптеген жетекші антивирустық бағдарламалық жасақтаманы әзірлеушілер Петя жұқтырған компьютерді кез келген кодты пайдаланып құлпын ашу мүмкін емес екеніне сенімді.

Түсінгеніңіздей, сіз бопсалаушыларға ақша бермеуіңіз керек. Әйтпесе, сіз жұмыс істемейтін компьютермен ғана емес, сонымен қатар үлкен ақшаны жоғалтасыз.

Жаңа шабуылдар бола ма?

Петя вирусы алғаш рет 2016 жылдың наурыз айында табылды. Содан кейін қауіпсіздік мамандары қауіпті тез байқап, оның жаппай таралуына жол бермеді. Бірақ 2017 жылдың маусым айының соңында шабуыл қайтадан қайталанды, бұл өте ауыр зардаптарға әкелді.

Бәрі мұнымен аяқталуы екіталай. Ransomware шабуылдары сирек емес, сондықтан компьютеріңізді әрқашан қорғағаныңыз маңызды. Мәселе мынада, келесі инфекцияның қандай форматта болатынын ешкім болжай алмайды. Қалай болғанда да, тәуекелдерді минимумға дейін азайту үшін осы мақалада берілген қарапайым ұсыныстарды ұстанған жөн.

Ұлыбритания, АҚШ және Австралия Ресейді NotPetya таратып отыр деп ресми түрде айыптады

2018 жылдың 15 ақпанында Ұлыбритания Сыртқы істер министрлігі Ресейді NotPetya ransomware вирусын пайдаланып кибершабуыл ұйымдастырды деп айыптайтын ресми мәлімдеме жасады.

Британ билігі бұл шабуыл Украинаның егемендігіне немқұрайлылық танытты және абайсыз әрекеттер Еуропадағы көптеген ұйымдардың жұмысын тоқтатып, миллиондаған доллар шығынға ұшыратты деп санайды.

Министрлік Ресей үкіметі мен Кремльдің кибершабуылға қатысы бар екендігі туралы қорытынды Ұлыбританияның Ұлттық киберқауіпсіздік орталығының қорытындысы негізінде жасалғанын атап өтті, ол «Ресей әскерилерінің артында тұрғанына толықтай дерлік сенімді. NotPetya шабуылы.» Сондай-ақ мәлімдемеде оның одақтастарының зиянды кибер әрекетке жол бермейтіні айтылған.

Бұған дейін Ресей билігінің хакерлік шабуылдарға қатысы барын бірнеше рет жоққа шығарған Кремль Ұлыбритания Сыртқы істер министрлігінің мәлімдемесін «русофобиялық науқанның» бөлігі деп атады.

«Міне, 2017 жылы 27 маусымда адамдар жеңген Петя компьютерлік вирусы» ескерткіші

«Петя» компьютерлік вирусының ескерткіші 2017 жылдың желтоқсанында «Сколково» технопаркі ғимаратының жанына орнатылған. «Мұнда 2017 жылдың 27 маусымында адамдар жеңген Петя компьютерлік вирусы жатыр» деген жазуы бар екі метрлік ескерткіш. тістелген қатты диск түрінде жасалған, жаппай кибершабуылдың салдарынан зардап шеккен басқа компаниялардың арасында INVITRO компаниясының қолдауымен жасалған. Салтанатты шараға Физика-технологиялық паркте және (MIT) жұмыс істейтін Ну есімді робот салтанатты сөз сөйлеу үшін арнайы келді.

Севастополь үкіметіне шабуыл

Севастополь қаласының Ақпарат және коммуникациялар бас басқармасының мамандары желілік вирустың шабуылына сәтті тойтарыс берді - Petya төлемдік бағдарламасыаймақтық үкіметтің серверлеріне. Бұл туралы 2017 жылғы 17 шілдеде Севастополь үкіметінің аппараттық отырысында ақпараттандыру басқармасының басшысы Денис Тимофеев мәлімдеді.

Оның айтуынша, «Петя» зиянды бағдарламасы Севастопольдегі мемлекеттік мекемелердегі компьютерлерде сақталған деректерге әсер етпеген.

Еркін бағдарламалық қамтамасыз етуді пайдалануға назар аудару 2015 жылы бекітілген Севастопольді ақпараттандыру тұжырымдамасына енгізілген. Онда базалық бағдарламалық қамтамасыз етуді, сондай-ақ автоматтандыруға арналған ақпараттық жүйелерге арналған бағдарламалық қамтамасыз етуді сатып алу және әзірлеу кезінде бюджеттік шығындарды азайту және жеткізушілер мен әзірлеушілерге тәуелділікті азайту үшін тегін өнімдерді пайдалану мүмкіндігін талдау ұсынылады.

Бұған дейін маусым айының соңында Invitro медициналық компаниясына жасалған ауқымды шабуылдың аясында оның Севастопольде орналасқан филиалы да зақымданған болатын. Вирусқа байланысты компьютерлік желіФилиал себептер жойылмайынша тест нәтижелерін беруді уақытша тоқтатты.

Invitro кибершабуылға байланысты сынақтарды қабылдауды тоқтату туралы хабарлады

Invitro медициналық компаниясы 27 маусымда хакерлік шабуылға байланысты биоматериал жинауды және пациенттерге тест нәтижелерін беруді тоқтатты. Бұл туралы РБК-ға компанияның корпоративтік коммуникациялар жөніндегі директоры Антон Буланов айтты.

Компания мәлімдемесінде айтылғандай, Invitro жақын арада қалыпты жұмысына оралады. Осы уақыттан кейін жүргізілген зерттеулердің нәтижелері пациенттерге техникалық ақау жойылғаннан кейін жеткізіледі. Қосулы осы сәтзертхана Ақпараттық жүйеқалпына келтірілді, оны орнату процесі жүріп жатыр. «Біз қазіргі форс-мажорлық жағдайға өкінеміз және тұтынушыларымызға түсіністік танытқаны үшін алғыс айтамыз», - деп қорытындылады Invitro.

Бұл деректерге сүйенсек, Ресей, Беларусь және Қазақстандағы емханалар компьютерлік вирустың шабуылына ұшыраған.

Газпромға және басқа да мұнай-газ компанияларына шабуыл

2017 жылдың 29 маусымында Газпромның компьютерлік жүйелеріне ғаламдық кибершабуыл жасалғаны белгілі болды. Осылайша, тағы бір ресейлік компания Petya ransomware вирусынан зардап шекті.

Рейтер агенттігі Ресей үкіметіндегі дереккөзге және оқиғаны тергеуге қатысқан адамға сілтеме жасап хабарлағандай, «Газпром» әлемнің 60-тан астам еліндегі компьютерлерге шабуыл жасаған «Петя» зиянды бағдарламасының таралуынан зардап шекті.

Басылымның сұхбаттастары «Газпромға» қанша және қандай жүйе жұқтырғаны, сондай-ақ хакерлер келтірген шығын көлемі туралы толық мәлімет бермеді. Компания Reuters агенттігіне хабарласқанда түсініктеме беруден бас тартты.

Сонымен қатар, Газпромдағы жоғары лауазымды РБК дереккөзі басылымға компанияның орталық кеңсесіндегі компьютерлер ауқымды хакерлік шабуыл басталған кезде (2017 жылғы 27 маусым) үзіліссіз жұмыс істегенін және екі күннен кейін жұмысын жалғастыратынын айтты. Газпромдағы тағы екі РБК көзі компанияда «бәрі тыныш» және вирустар жоқ деп сендірді.

Мұнай-газ саласында «Башнефть» және «Роснефть» компаниялары Петя вирусынан зардап шекті. Соңғысы 28 маусымда компанияның қалыпты жұмыс істеп жатқанын және «жеке мәселелердің» тез арада шешіліп жатқанын хабарлады.

Банктер және өнеркәсіп

Компьютерлер «Royal Canin» (жануарларға арналған киімдер шығарады) ресейлік бөлімшесі Евразда және «Mondelez» ресейлік бөлімшелерінде (Alpen Gold және Milka шоколадтарын шығарушы) вирус жұқтырғаны белгілі болды.

Украина Ішкі істер министрлігінің мәліметінше, ер адам файл бөлісетін сайттар мен әлеуметтік желілерде видео жариялаған. егжей-тегжейлі сипаттамакомпьютерлерде ransomware іске қосу процесі. Видеоға түсініктемелерде ер адам өзінің парақшасына сілтеме жариялады әлеуметтік желі, оған ол зиянды бағдарламаны жүктеп алған. «Хакердің» пәтерін тінту кезінде тәртіп сақшылары тәркіленді компьютерлік жабдық, NotPetya тарату үшін пайдаланылады. Полиция сонымен қатар зиянды бағдарламалары бар файлдарды тапты, талдаудан кейін оның NotPetya төлем бағдарламасына ұқсас екендігі расталды. Киберполиция қызметкерлері анықтағандай, сілтемесі Никополь тұрғыны жариялаған ransomware бағдарламасын әлеуметтік желі қолданушылары 400 рет жүктеп алған.

NotPetya-ны жүктеп алғандардың арасында құқық қорғау органдары қылмыстық әрекеттерді жасыру және мемлекетке айыппұл төлеуден жалтару үшін жүйелеріне төлемдік бағдарламалық қамтамасыз етуді әдейі жұқтырған компанияларды анықтады. Айта кетейік, полиция ер адамның әрекетін осы жылдың 27 маусымындағы хакерлік шабуылдармен байланыстырмайды, яғни NotPetya авторларымен байланысы туралы әңгіме жоқ. Оған айып тағылып отырған әрекеттер тек ағымдағы жылдың шілде айында – ауқымды кибершабуыл толқынынан кейін жасалған әрекеттерге қатысты.

Ер адамға қатысты баптың 1-бөлігі бойынша қылмыстық іс қозғалды. Украина Қылмыстық кодексінің 361 (компьютердің жұмысына рұқсатсыз араласу). Никополь тұрғыны 3 жылға бас бостандығынан айырылуы мүмкін.

Дүние жүзінде таралуы

Petya ransomware вирусының таралуы Испания, Германия, Литва, Қытай және Үндістанда тіркелген. Мысалы, Үндістандағы зиянды бағдарламаның арқасында Джавахарлал Неру контейнерлік портының жүк ағынын басқару технологиясын басқаратын А.П. Моллер-Маерск жүктің жеке басын тануды тоқтатты.

Кибершабуыл туралы WPP британдық жарнама тобы, әлемдегі ең ірі DLA Piper заң фирмаларының бірінің испандық кеңсесі және азық-түлік алыбы Mondelez хабарлады. Құрбандар қатарында француздық құрылыс материалдарын өндіруші Cie компаниясы да бар. де Saint-Gobain және фармацевтикалық компания Merck & Co.

Мерк

NotPetya ransomware вирусының маусымдағы шабуылынан қатты зардап шеккен американдық фармацевтикалық алпауыт Merck әлі де барлық жүйелерді қалпына келтіріп, қалыпты жұмысына орала алмайды. Бұл туралы компанияның 2017 жылдың шілде айының соңында АҚШ-тың Бағалы қағаздар және биржалар жөніндегі комиссиясына (SEC) ұсынылған 8-K нысаны бойынша есебінде айтылды. Ары қарай оқу.

Моллер-Маерск және Роснефть

2017 жылдың 3 шілдесінде Даниялық кеме тасымалдау алыбы Моллер-Маерск пен Роснефть 27 маусымда болған шабуылдан бір апта өткен соң ғана Petya ransomware вирусын жұқтырған IT жүйелерін қалпына келтіргені белгілі болды.

Әлемде жөнелтілген әрбір жетінші жүк контейнерін құрайтын Maersk жүк тасымалдау компаниясы сонымен қатар кибершабуылдан зардап шеккен барлық 1500 қосымшаның 2017 жылдың 9 шілдесіне дейін қалыпты жұмысына оралатынын айтты.

Негізінен 40-тан астам елде ондаған жүк порттары мен контейнерлік терминалдарды басқаратын Maersk компаниясына тиесілі APM Terminals компаниясының IT жүйелері зардап шекті. Вирустың таралуына байланысты жұмысы толығымен тоқтап қалған APM Terminals порттары арқылы күніне 100 мыңнан астам жүк контейнерлері өтеді. Роттердамдағы Maasvlakte II терминалы 3 шілдеде жеткізілімдерді қалпына келтірді.

2017 жылғы 16 тамызда А.П. Моллер-Маерск еуропалық компанияда атап өткендей, украиндық бағдарлама арқылы жұқтырылған Петя вирусы арқылы кибершабуылдан келген шығынның шамаланған мөлшерін атады. Maersk компаниясының алдын ала есептеулері бойынша, 2017 жылдың екінші тоқсанында Petya ransomware-тен келген қаржылық шығын 200-ден 300 миллион долларға дейін болған.

Бұл арада қалпына келтіруге бір аптаға жуықтады компьютерлік жүйелер 3 шілдеде компанияның баспасөз қызметі хабарлағандай, «Роснефть» де хакерлік шабуылдан зардап шекті, деп хабарлайды Интерфакс:

Бірнеше күн бұрын Роснефть кибершабуылдың салдарын әлі бағаламағанын, бірақ өндіріске әсер етпегенін атап өтті.

Петя қалай жұмыс істейді

Шынында да, вирустың құрбандары жұқтырғаннан кейін файлдарының құлпын аша алмайды. Өйткені, оны жасаушылар мұндай мүмкіндікті мүлде қарастырмаған. Яғни, шифрланған дискінің шифрын ашу априори мүмкін емес. Зиянды бағдарлама идентификаторында шифрды шешуге қажетті ақпарат жоқ.

Бастапқыда сарапшылар Ресейде, Украинада, Польшада, Италияда, Германияда, Францияда және басқа елдерде екі мыңға жуық компьютерге әсер еткен вирусты қазірдің өзінде танымал Petya төлем бағдарламасының бір бөлігі ретінде жіктеді. Алайда, бұл болып шықты туралы айтып отырмыззиянды бағдарламалардың жаңа тобы туралы. Kaspersky Lab өзінің жаңа төлем бағдарламасы ExPetr деп атады.

Қалай күресу керек

Киберқауіптерге қарсы күрес банктердің, IT-бизнестердің және мемлекеттің бірлескен күш-жігерін қажет етеді

Positive Technologies-тен деректерді қалпына келтіру әдісі

2017 жылдың 7 шілдесінде Positive Technologies сарапшысы Дмитрий Скляров NotPetya вирусымен шифрланған деректерді қалпына келтіру әдісін ұсынды. Сарапшының пікірінше, NotPetya вирусы әкімшілік артықшылықтарға ие болса және бүкіл дискіні шифрлаған болса, әдіс қолданылады.

Деректерді қалпына келтіру мүмкіндігі шабуылдаушылардың өздері жасаған Salsa20 шифрлау алгоритмін енгізудегі қателіктермен байланысты. Әдістің өнімділігі сынақ тасымалдағышында да, шифрланған бірінде де тексерілді қатты дискілер ірі компания, індет құрбандарының қатарында болған.

Деректерді қалпына келтіруге маманданған компаниялар мен тәуелсіз әзірлеушілер ұсынылған шифрды шешу сценарийін еркін пайдалана алады және автоматтандырады.

Тергеу нәтижелерін Украина киберполициясы да растап үлгерді. Juscutum тергеу нәтижелерін Intellect-Service-ке қарсы болашақ сот процесінде негізгі дәлел ретінде пайдаланбақ.

Процесс азаматтық сипатта болады. Украинаның құқық қорғау органдары тәуелсіз тергеу жүргізіп жатыр. Олардың өкілдері «Интеллект-Сервис» қызметкерлеріне қатысты іс қозғау мүмкіндігін бұған дейін мәлімдеген.

M.E.Doc компаниясының өзі бұл оқиғаны компанияны басып алу әрекеті деп мәлімдеді. Жалғыз танымал украиндық бухгалтерлік бағдарламалық қамтамасыз етуді өндіруші компанияны Украинаның кибер полициясы жүргізген іздеуі осы жоспарды жүзеге асырудың бір бөлігі болды деп санайды.

Petya шифрлағышы үшін бастапқы инфекция векторы

17 мамырда M.E.Doc жаңартуы шығарылды, онда зиянды бэкдор модулі жоқ. Бұл XData инфекцияларының салыстырмалы түрде аз санын түсіндіреді, деп санайды компания. Шабуылшылар жаңарту 17 мамырда шығарылады деп күтпеген және шифрлағышты пайдаланушылардың көпшілігі қауіпсіз жаңартуды орнатып қойған 18 мамырда іске қосты.

Бэкдор басқа зиянды бағдарламаларды қотарып алуға және жұқтырған жүйеде орындауға мүмкіндік береді - бастапқы инфекция Petya және XData шифрлағыштарымен осылай жүзеге асырылды. Сонымен қатар, бағдарлама прокси-сервер мен электрондық пошта параметрлерін, соның ішінде M.E.Doc қосымшасының логиндері мен парольдерін, сондай-ақ зардап шеккендерді анықтауға мүмкіндік беретін Украина кәсіпорындары мен ұйымдарының Бірыңғай мемлекеттік тізіліміне сәйкес компания кодтарын жинайды.

«Біз бірқатар сұрақтарға жауап беруіміз керек», - деді Антон Черепанов, Eset компаниясының аға вирус талдаушысы. - Бэк есік қанша уақыттан бері қолданылып келеді? Бұл арна арқылы Петя мен XData-дан басқа қандай командалар мен зиянды бағдарламалар жіберілді? Бұл шабуылдың артында тұрған кибер топ әлі пайдаланбаған басқа қандай инфрақұрылымдар бұзылды?»

Инфрақұрылымды, зиянды құралдарды, схемаларды және шабуыл нысандарын қоса алғанда, белгілердің комбинациясы негізінде Eset сарапшылары Diskcoder.C (Petya) індеті мен Telebots кибер тобы арасында байланыс орнатты. Бұл топтың әрекетінің артында кім тұрғанын әлі сенімді анықтау мүмкін болмады.

Мамыр айының басында 150-ден астам елде 230 000-ға жуық компьютер ransomware вирусын жұқтырған. Жәбірленушілер осы шабуылдың салдарын жоюға үлгермей тұрып, Петя деп аталатын жаңасы келді. Ең ірі украиндық және ресейлік компаниялар, сондай-ақ мемлекеттік органдар.

Украинаның кибер полициясы вирустық шабуыл салық есептерін дайындау және жіберу үшін пайдаланылатын M.E.Doc бухгалтерлік бағдарламалық қамтамасыз етуді жаңарту механизмі арқылы басталғанын анықтады. Осылайша, «Башнефть», «Роснефть», «Запорожьеобленерго», «Днепроэнерго» және «Днепр электр жүйесі» желілері инфекциядан құтылмағаны белгілі болды. Украинада вирус үкіметтік компьютерлерге, Киев метросының дербес компьютерлеріне, байланыс операторларына, тіпті Чернобыль атом электр станциясына да еніп кетті. Ресейде Mondelez International, Mars және Nivea зардап шеккен.

Петя вирусы операция бөлмесінде EternalBlue осалдығын пайдаланады Windows жүйесі. Symantec және F-Secure сарапшылары Петя WannaCry сияқты деректерді шифрлағанымен, ол шифрлау вирустарының басқа түрлерінен біршама ерекшеленеді дейді. «Петя» вирусы – зиянды мақсаттағы бопсалаудың жаңа түрі: ол дискідегі файлдарды шифрлап қана қоймайды, сонымен қатар бүкіл дискіні құлыптап, оны іс жүзінде жарамсыз етеді», - деп түсіндіреді F-Secure. «Атап айтқанда, ол MFT негізгі файл кестесін шифрлайды.»

Бұл қалай болады және бұл процестің алдын алуға болады ма?

«Петя» вирусы - бұл қалай жұмыс істейді?

Петя вирусы басқа атаулармен де белгілі: Petya.A, PetrWrap, NotPetya, ExPetr. Ол компьютерге кіргеннен кейін, ол Интернеттен ransomware жүктеп алады және компьютерді жүктеуге қажетті деректермен қатты дискінің бір бөлігіне шабуыл жасауға тырысады. Егер ол сәтті болса, онда жүйе проблемалары Көк экранӨлім («өлімнің көк экраны»). Қайта жүктегеннен кейін қатты дискіні тексеру туралы қуатты өшірмеуіңізді сұрайтын хабар пайда болады. Осылайша, төлемдік бағдарлама өзін көрсетеді жүйелік бағдарламадискіні тексеру, осы уақытта белгілі бір кеңейтімдері бар файлдарды шифрлау. Процестің соңында компьютердің бұғатталғанын көрсететін хабарлама және деректерді шифрды шешу үшін сандық кілтті алу жолы туралы ақпарат пайда болады. Петя вирусы төлемді талап етеді, әдетте Bitcoin-де. Егер жәбірленушінің файлдарының резервтік көшірмесі болмаса, ол 300 доллар төлеу немесе барлық ақпаратты жоғалту таңдауымен бетпе-бет келеді. Кейбір сарапшылардың пікірінше, вирус тек төлемдік бағдарлама ретінде маскировка жасайды, ал оның шынайы мақсаты - жаппай зиян келтіру.

Петядан қалай құтылуға болады?

Сарапшылар Петя вирусының жергілікті файлды іздейтінін және бұл файл дискіде бұрыннан бар болса, шифрлау процесінен шығатынын анықтады. Бұл пайдаланушылар осы файлды жасау және оны тек оқуға арналған етіп орнату арқылы компьютерін төлемдік бағдарламадан қорғай алатынын білдіреді.

Бұл айлакер схема төлемдік бағдарлама процесінің басталуына кедергі келтірсе де, бұл әдіс«компьютерлік вакцинация» ретінде қарастыруға болады. Осылайша, пайдаланушы файлды өзі жасауы керек. Мұны келесідей орындауға болады:

• Алдымен сіз файл кеңейтімін түсінуіңіз керек. Қалта параметрлері терезесінде Белгілі файл түрлері үшін кеңейтімдерді жасыру құсбелгісінің алынбағанына көз жеткізіңіз.
• C:\Windows қалтасын ашыңыз, notepad.exe бағдарламасын көргенше төмен айналдырыңыз.
• Notepad.exe файлын тінтуірдің сол жақ түймешігімен басыңыз, содан кейін көшіру үшін Ctrl + C, содан кейін файлды қою үшін Ctrl + V басыңыз. Сіз файлды көшіруге рұқсат сұрайтын сұрау аласыз.
• «Жалғастыру» түймесін басыңыз, сонда файл блокнот ретінде жасалады - Copy.exe. Осы файлды тінтуірдің сол жақ түймешігімен басып, F2 пернесін басыңыз, содан кейін Copy.exe файл атауын өшіріп, perfc енгізіңіз.
• Файл атауын perfc деп өзгерткеннен кейін Enter пернесін басыңыз. Атын өзгертуді растаңыз.
• Енді perfc файлы жасалғаннан кейін оны тек оқуға арналған ету керек. Мұны істеу үшін файлды тінтуірдің оң жақ түймешігімен басып, «Сипаттар» тармағын таңдаңыз.
• Бұл файлдың сипаттары мәзірі ашылады. Төменгі жағында сіз «Тек оқуға арналған» дегенді көресіз. Құсбелгіні қойыңыз.
• Енді Қолдану түймесін, содан кейін OK түймесін басыңыз.

Кейбір қауіпсіздік мамандары Петя вирусынан мұқият қорғау үшін C:\Windows\perfc.dat және C:\Windows\perfc.dll файлдарын C:\windows\perfc файлына қосымша жасауды ұсынады. Бұл файлдар үшін жоғарыдағы қадамдарды қайталауға болады.

Құттықтаймыз, сіздің компьютеріңіз NotPetya/Petya-дан қорғалған!

Symantec мамандары ДК пайдаланушыларына файлдарды құлыптауға немесе ақша жоғалтуға әкеп соқтыратын әрекеттерді болдырмау үшін кейбір кеңестер ұсынады.

1. Қылмыскерлерге ақша бермеңіз.Сіз төлемдік бағдарламаға ақша аударсаңыз да, файлдарыңызға қайта кіру мүмкіндігіне кепілдік жоқ. Ал NotPetya/Petya жағдайында бұл негізінен мағынасыз, өйткені төлемдік бағдарламаның мақсаты ақша алу емес, деректерді жою.
2. Деректердің сақтық көшірмесін үнемі жасап тұрғаныңызға көз жеткізіңіз.Бұл жағдайда, сіздің компьютеріңіз төлемдік бағдарлама вирусының шабуылының нысанасына айналса да, сіз жойылған файлдарды қалпына келтіре аласыз.
3. Күмәнді мекенжайлардан келген электрондық хаттарды ашпаңыз.Орнату кезінде шабуылдаушылар сізді алдауға тырысады зиянды бағдарламанемесе шабуылдар үшін маңызды деректерді алуға тырысыңыз. Сіз немесе сіздің қызметкерлеріңіз күдікті электрондық хаттар немесе сілтемелер алған жағдайда IT мамандарына хабарлауды ұмытпаңыз.
4. Сенімді бағдарламалық құралды пайдаланыңыз.Вирусқа қарсы бағдарламаларды уақтылы жаңарту компьютерлерді инфекциялардан қорғауда маңызды рөл атқарады. Және, әрине, осы саладағы беделді компаниялардың өнімдерін пайдалану керек.
5. Спам хабарламаларды сканерлеу және блоктау механизмдерін пайдаланыңыз.Кіріс электрондық хаттарды қауіп-қатерге сканерлеу керек. Сілтемелері немесе мәтінінде әдеттегі фишингтік кілт сөздері бар хабарламалардың кез келген түрлерін блоктау маңызды.
6. Барлық бағдарламалардың жаңартылғанын тексеріңіз.Инфекциялардың алдын алу үшін бағдарламалық жасақтаманың осалдықтарын жүйелі түрде жою қажет.

Жаңа шабуылдарды күтуіміз керек пе?

Петя вирусы алғаш рет 2016 жылдың наурыз айында пайда болды және қауіпсіздік мамандары оның әрекетін бірден байқады. Жаңа Петя вирусы 2017 жылдың маусым айының соңында Украина мен Ресейдегі компьютерлерді зақымдады. Бірақ мұның соңы болуы екіталай. Хакерлер шабуылдары Petya және WannaCry-ге ұқсас ransomware вирустарын пайдалану тағы да қайталанады, деді Сбербанк басқарма төрағасының орынбасары Станислав Кузнецов. ТАСС агенттігіне берген сұхбатында ол мұндай шабуылдар міндетті түрде болатынын, бірақ олардың қандай формада және форматта пайда болуы мүмкін екенін алдын ала болжау қиын екенін ескертті.

Егер орын алған барлық кибершабуылдардан кейін сіз компьютеріңізді төлемдік бағдарлама вирусынан қорғау үшін ең аз шараларды әлі қабылдамаған болсаңыз, онда бұл мәселеге байыппен кірісетін кез келді.