Nový vírus petya. Rusko, Ukrajina a ďalšie európske krajiny sú napadnuté vírusom Petya ransomware: Prehľad situácie a spôsob ochrany. Ešte sa Petna šíri?

Celý svet prichádza s ochranou proti novému vírusu, hoci sa plazí cez rovnaké „diery“ ako WannaCry

Po rozšírení ransomvéru WannaCry boli počítače po celom svete opäť vystavené kybernetickým útokom. Vírus Petya zasiahol zariadenia v rôznych krajinách Európy a Spojených štátov. Väčšina škôd však vznikla na počítačoch v Rusku a na Ukrajine, kde bolo postihnutých asi 80 spoločností. Vírus ransomware požadoval od majiteľov postihnutých počítačov peniaze alebo kryptomenu, no kyberšpecialisti našli spôsob, ako podvodníkom nenapadnúť. Prečítajte si o tom, kto je Petya a ako sa vyhnúť stretnutiu s ním, v materiáli Realnoe Vremya.

Obete „Petit“: od Rosneftu po jadrovú elektráreň v Černobyle

Masívne šírenie vírusu Petya sa začalo 27. júna. Ako prvá utrpela Ukrajina: napadnuté boli počítače veľkých energetických spoločností - Ukrenergo, DTEK a Kyivenergo, informovali miestne médiá. Zamestnanec jednej zo spoločností povedal novinárom, že ráno 27. júna sa jeho pracovný počítač reštartoval, po čom údajne systém začal kontrolovať pevný disk. Potom videl, že to isté sa deje na všetkých počítačoch v kancelárii. Vypol počítač, no po jeho zapnutí sa na obrazovke zariadenia objavil nápis s požiadavkou na výkupné. Vírus zasiahol aj počítače niektorých ukrajinských bánk, ministerstvo financií Ukrajiny, kabinet ministrov, spoločnosť Ukrtelecom a letisko Boryspil.

Peťa zaútočil aj na počítačový systém na monitorovanie radiačného pozadia v jadrovej elektrárni v Černobyle. Všetky systémy stanice zároveň fungovali normálne a radiačné pozadie neprekročilo kontrolnú úroveň, uvádza Meduza. Večer 27. júna sa objavila na oficiálnej facebookovej stránke Ministerstva vnútra Ukrajiny príťažlivosť obyvateľom krajiny s odporúčaním vypnúť svoje počítače, kým sa nevyvinie spôsob boja proti vírusu.

V Rusku boli servery Rosneft napadnuté vírusom Petya ransomware. Tlačový tajomník Rosneftu Michail Leontyev videl spojenie medzi hackerskými útokmi vírusu Petya a nárokom spoločnosti voči AFK Sistema. Na Business FM označil za racionálne pokúsiť sa použiť vírus na zničenie údajov o riadení Bashneftu. Boli zaznamenané ojedinelé prípady infekcie objektov informačnej infraštruktúry ruského bankového systému. Home Credit Bank prestala vykonávať operácie pre kybernetické útoky a bola narušená aj prevádzka webovej stránky úverovej inštitúcie. Pobočky fungovali len v poradenskom režime, zatiaľ čo bankomaty fungovali normálne, uvádza Interfax.

28. júna médiá informovali aj o útoku na počítače v Spojenom kráľovstve, Holandsku, Dánsku, Španielsku, Indii, Litve, Francúzsku a USA.

Michail Leontyev videl súvislosť medzi hackerskými útokmi vírusu Petya a nárokom na AFK Sistema. Foto polit.ru

Ochrana WannaCry je proti Petitovi bezmocná

Princíp fungovania Petya je založený na šifrovaní hlavného zavádzacieho záznamu (MBR) zavádzacieho sektora disku. Táto položka je prvým sektorom na pevnom disku, obsahuje tabuľku oblastí a zavádzací program, ktorý z tejto tabuľky načíta informácie o tom, z ktorej oblasti pevného disku bude systém zavádzať. Pôvodný záznam MBR je uložený v sektore 0x22 na disku a je šifrovaný pomocou bajtového XOR s 0x07. V dôsledku toho budú informácie na disku počítača nahradené vírusovými dátami, uvádzajú odborníci z Positive Technologies.

Po spustení škodlivého súboru sa vytvorí úloha na reštartovanie počítača s oneskorením 1-2 hodín. Ak je disk po reštarte úspešne zašifrovaný, na obrazovke sa zobrazí správa vyžadujúca zaplatenie výkupného vo výške 300 USD (alebo jeho poskytnutie v kryptomene) za získanie kľúča na odomknutie súboru. Mimochodom, emailová adresa, ktorú vydierači používali, je už zablokovaná, čím sa prevod peňazí stáva zbytočným.

Petya používa zraniteľnosť systému Windows – exploit s kódovým označením EternalBlue. Neslávne známy útok WannaCry použil rovnakú zraniteľnosť na napadnutie počítačov. Vďaka exploitu bola Petya distribuovaná cez Windows Management Instrumentation (nástroj na centralizovanú správu a monitorovanie prevádzky rôznych častí počítačovej infraštruktúry na platforme Windows) a PsExec (umožňuje spúšťať procesy v vzdialené systémy), získanie maximálnych privilégií na zraniteľnom systéme. To umožnilo vírusu pokračovať v práci aj s aktualizáciami anti-WannaCry nainštalovanými na počítačoch.

Príkaz bootrec /fixMbr a zápis do programu Poznámkový blok

Slávny francúzsky hacker a vývojár softvéru Mathieu Suchet na svojom Twitteri

Vírus "Petya": ako ho nechytiť, ako rozlúštiť, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý do tretieho dňa svojej „aktivity“ infikoval asi 300 tisíc počítačov v rozdielne krajiny svete a doteraz ho nikto nezastavil.

Petya virus - ako dešifrovať, najnovšie správy. Po útoku na počítač tvorcovia ransomvéru Petya požadujú výkupné 300 dolárov (v bitcoinoch), no vírus Petya nie je možné dešifrovať, aj keď používateľ zaplatí peniaze. Špecialisti Kaspersky Lab, ktorí videli rozdiely v novom víruse od Petit a pomenovali ho ExPetr, tvrdia, že dešifrovanie vyžaduje jedinečný identifikátor pre konkrétnu inštaláciu trójskeho koňa.

V predtým známych verziách podobných šifrovačov Petya/Mischa/GoldenEye obsahoval identifikátor inštalácie potrebné informácie. V prípade ExPetra tento identifikátor neexistuje, píše RIA Novosti.

Vírus „Petya“ – odkiaľ prišiel, najnovšie správy. Nemeckí bezpečnostní experti predložili prvú verziu, odkiaľ tento ransomvér pochádza. Podľa ich názoru sa vírus Petya začal šíriť počítačmi, keď sa otvorili súbory M.E.Doc. Toto je účtovný program používaný na Ukrajine po zákaze 1C.

Medzitým Kaspersky Lab tvrdí, že je príliš skoro robiť závery o pôvode a zdroji šírenia vírusu ExPetr. Je možné, že útočníci mali rozsiahle dáta. Napríklad e-mailové adresy z predchádzajúceho bulletinu alebo niektoré ďalšie efektívnymi spôsobmi prienik do počítačov.

S ich pomocou zasiahol vírus „Petya“ plnou silou Ukrajinu a Rusko, ako aj ďalšie krajiny. Skutočný rozsah tohto hackerského útoku sa však ukáže v priebehu niekoľkých dní.

Vírus „Petya“: ako ho nechytiť, ako ho dešifrovať, odkiaľ pochádza - najnovšie správy o víruse Petya ransomware, ktorý už od spoločnosti Kaspersky Lab dostal nový názov – ExPetr.

Útok vírusu Petya bol pre obyvateľov mnohých krajín nepríjemným prekvapením. Boli infikované tisíce počítačov, čo spôsobilo, že používatelia prišli o dôležité dáta uložené na ich pevných diskoch.

Samozrejme, teraz humbuk okolo tohto incidentu opadol, no nikto nezaručí, že sa to už nebude opakovať. To je dôvod, prečo je veľmi dôležité chrániť váš počítač pred možná hrozba a zbytočne neriskujte. Ako to urobiť čo najefektívnejšie a porozprávame sa nižšie.

Následky útoku

Na začiatok by sme si mali pripomenúť, k akým dôsledkom viedla krátkodobá aktivita Petya.A. Len za pár hodín boli postihnuté desiatky ukrajinských a ruských spoločností. Mimochodom, na Ukrajine bola takmer úplne paralyzovaná práca počítačových oddelení takých inštitúcií ako Dneprenergo, Nova Poshta a Kyjevské metro. Navyše, niektoré vládne organizácie, banky a mobilní operátori neboli chránené pred vírusom Petya.

V krajinách Európskej únie stihol ransomvér narobiť aj nemalé problémy. Francúzske, dánske, anglické a medzinárodné spoločnosti hlásili dočasné narušenie súvisiace s útokom počítačový vírus"Peter".

Ako vidíte, hrozba je naozaj vážna. A aj keď si útočníci vybrali za obete veľké finančné organizácie, o nič menej utrpeli aj bežní používatelia.

Ako Petya účinkuje?

Aby ste pochopili, ako sa chrániť pred vírusom Petya, musíte najprv pochopiť, ako to funguje. Takže, keď sa malvér dostane do počítača, stiahne z internetu špeciálny ransomvér, ktorý infikuje hlavný zavádzací záznam. Ide o samostatnú oblasť na pevnom disku, skrytú pred očami používateľa a určenú na načítanie operačného systému.

Pre používateľa tento proces vyzerá ako štandardná činnosť programu Check Disk po náhlom zlyhaní systému. Počítač sa náhle reštartuje a na obrazovke sa zobrazí hlásenie o kontrole chýb na pevnom disku a so žiadosťou, aby ste nevypínali napájanie.

Hneď ako sa tento proces skončí, zobrazí sa šetrič obrazovky s informáciou o zablokovanom počítači. Tvorca vírusu „Petya“ vyžaduje, aby používateľ zaplatil výkupné vo výške 300 dolárov (viac ako 17,5 tisíc rubľov), pričom na oplátku sľúbil poslať kľúč potrebný na obnovenie prevádzky počítača.

Prevencia

Je logické, že je oveľa jednoduchšie zabrániť infekcii počítačovým vírusom Petya, ako neskôr riešiť jej následky. Na zabezpečenie počítača:

• Vždy nainštalujte najnovšie aktualizácie pre váš operačný systém. To isté v zásade platí pre všetko softvér nainštalovaný na vašom PC. Mimochodom, „Petya“ nemôže poškodiť počítače so systémom MacOS a Linux.
• Použite aktuálne verzie antivírus a nezabudnite aktualizovať jeho databázu. Áno, rada je banálna, ale nie každý sa ňou riadi.
• Neotvárajte podozrivé súbory, ktoré vám boli odoslané e-mailom. Vždy tiež skontrolujte aplikácie stiahnuté z pochybných zdrojov.
• Robte to pravidelne zálohy dôležité dokumenty a súbory. Najlepšie je uložiť ich na samostatnom médiu alebo v „cloude“ (Google Drive, Yandex. Disk atď.). Vďaka tomu, aj keď sa niečo stane s vaším počítačom, nedôjde k poškodeniu cenných informácií.

Vytvorenie zastavovacieho súboru

Poprední vývojári antivírusové programy zistili, ako odstrániť vírus Petya. Presnejšie, vďaka ich výskumu dokázali pochopiť, že ransomvér sa v počiatočných štádiách infekcie snaží nájsť lokálny súbor v počítači. Ak sa mu to podarí, vírus prestane fungovať a nepoškodí PC.

Jednoducho povedané, môžete manuálne vytvoriť akýsi stop súbor a chrániť tak svoj počítač. Pre to:

• Otvorte nastavenia možností priečinka a zrušte začiarknutie políčka „Skryť rozšírenia pre známe typy súborov“.
• Vytvorte pomocou poznámkového bloku nový súbor a umiestnite ho do adresára C:/Windows.
• Premenujte vytvorený dokument a nazvite ho „perfc“. Potom prejdite na a povoľte možnosť Iba na čítanie.

Vírus Petya, akonáhle sa dostane do vášho počítača, ho už nebude môcť poškodiť. Majte však na pamäti, že útočníci môžu v budúcnosti modifikovať malvér a metóda zastavenia súboru sa stane neúčinnou.

Ak už došlo k infekcii

Keď sa počítač sám reštartuje a spustí sa Check Disk, vírus práve začne šifrovať súbory. V tomto prípade máte stále čas na uloženie údajov vykonaním týchto krokov:

• Okamžite vypnite napájanie počítača. Len tak môžete zabrániť šíreniu vírusu.
• Ďalej musíte pripojiť svoj HDD do iného PC (nie ako bootovacieho!) a skopírujte z neho dôležité informácie.
• Potom musíte infikovaný pevný disk úplne naformátovať. Prirodzene, potom budete musieť preinštalovať operačný systém a ďalší softvér na ňom.

Prípadne môžete skúsiť použiť špeciálne zavádzací disk na vyliečenie vírusu Petya. Kaspersky Anti-Virus napríklad poskytuje na tieto účely program Kaspersky Rescue Disk, ktorý obchádza operačný systém.

Oplatí sa platiť vydieračom?

Ako už bolo spomenuté, tvorcovia Petya požadujú od používateľov, ktorých počítače boli infikované, výkupné 300 dolárov. Podľa vydieračov po zaplatení stanovenej sumy bude obetiam zaslaný kľúč, ktorý blokovanie informácií odstráni.

Problém je v tom, že používateľ, ktorý chce vrátiť svoj počítač do normálneho stavu, musí útočníkom písať na adrese email. Všetky ransomvérové ​​e-maily sú však rýchlo zablokované autorizovanými službami, takže je jednoducho nemožné ich kontaktovať.

Navyše mnohí poprední vývojári antivírusového softvéru sú presvedčení, že je úplne nemožné odomknúť počítač infikovaný Petyou pomocou akéhokoľvek kódu.

Ako pravdepodobne chápete, nemali by ste platiť vydieračom. V opačnom prípade vám zostane nielen nefunkčný počítač, ale stratíte aj veľké množstvo peňazí.

Budú nové útoky?

Vírus Petya bol prvýkrát objavený v marci 2016. Potom si bezpečnostní špecialisti rýchlo všimli hrozbu a zabránili jej hromadnému šíreniu. No už koncom júna 2017 sa útok znova zopakoval, čo malo veľmi vážne následky.

Je nepravdepodobné, že tam všetko skončí. Ransomvérové ​​útoky nie sú nezvyčajné, preto je dôležité, aby bol váš počítač neustále chránený. Problém je v tom, že nikto nevie predpovedať, v akom formáte dôjde k ďalšej infekcii. Nech je to akokoľvek, vždy sa oplatí dodržiavať jednoduché odporúčania uvedené v tomto článku, aby ste znížili riziká na minimum.

Británia, USA a Austrália oficiálne obvinili Rusko zo šírenia NotPetya

15. februára 2018 vydalo britské ministerstvo zahraničných vecí oficiálne vyhlásenie, v ktorom obvinilo Rusko z organizovania kybernetického útoku pomocou ransomvérového vírusu NotPetya.

Britské úrady tvrdia, že útok ukázal ďalšie ignorovanie suverenity Ukrajiny a bezohľadné činy narušili početné organizácie v celej Európe a spôsobili mnohomiliónové straty.

Ministerstvo poznamenalo, že záver o zapojení ruskej vlády a Kremľa do kybernetického útoku bol urobený na základe záverov Národného centra kybernetickej bezpečnosti Spojeného kráľovstva, ktoré je „takmer úplne presvedčené, že ruská armáda je za nimi. útok NotPetya.“ Vo vyhlásení sa tiež uvádza, že jeho spojenci nebudú tolerovať škodlivé kybernetické aktivity.

Kremeľ, ktorý predtým opakovane poprel akúkoľvek účasť ruských úradov na hackerských útokoch, označil vyhlásenie britského ministerstva zahraničných vecí za súčasť „rusofóbnej kampane“.

Pamätník „Tu leží počítačový vírus Petya, porazený ľuďmi 27. júna 2017“

Pamätník počítačového vírusu Petya postavili v decembri 2017 pri budove Technoparku Školkovo. Dvojmetrový pamätník s nápisom: „Tu leží počítačový vírus Petya, porazený ľuďmi 27. júna 2017.“ vyrobený vo forme nahryznutého pevného disku, vznikol s podporou spoločnosti INVITRO, okrem iných spoločností, ktoré trpeli následkami masívneho kybernetického útoku. Robot menom Nu, ktorý pracuje vo Fyzikálnom a technologickom parku a (MIT), špeciálne prišiel na ceremoniál, aby predniesol slávnostný prejav.

Útok na vládu Sevastopolu

Špecialisti Hlavného riaditeľstva informácií a komunikácií Sevastopolu úspešne odrazili útok sieťového vírusu - Petya ransomware na servery regionálnej samosprávy. Oznámil to 17. júla 2017 na porade zamestnancov vlády Sevastopolu vedúci odboru informatizácie Denis Timofeev.

Uviedol, že malvér Petya nemal žiadny vplyv na údaje uložené v počítačoch vládnych agentúr v Sevastopole.

Zameranie na využívanie slobodného softvéru je zakotvené v koncepcii informatizácie Sevastopolu schválenej v roku 2015. Uvádza, že pri nákupe a vývoji základného softvéru, ako aj softvéru pre informačné systémy pre automatizáciu, je vhodné analyzovať možnosť využitia bezplatných produktov na zníženie rozpočtových nákladov a zníženie závislosti od dodávateľov a vývojárov.

Už skôr, koncom júna, bola v rámci rozsiahleho útoku na zdravotnícku spoločnosť Invitro poškodená aj jej pobočka sídliaca v Sevastopole. Kvôli vírusu počítačová sieť Pobočka dočasne pozastavila vydávanie výsledkov testov až do odstránenia dôvodov.

Invitro oznámilo pozastavenie prijímania testov z dôvodu kybernetického útoku

Lekárska spoločnosť Invitro pozastavila odber biomateriálu a vydávanie výsledkov testov pacientov kvôli hackerskému útoku z 27. júna. RBC o tom povedal Anton Bulanov, riaditeľ korporátnej komunikácie spoločnosti.

Ako spoločnosť uviedla vo vyhlásení, Invitro sa čoskoro vráti do bežnej prevádzky. Výsledky štúdií uskutočnených po tomto čase budú pacientom doručené po odstránení technickej poruchy. Zapnuté tento moment laboratórium Informačný systém obnovený, prebieha proces jeho nastavenia. „Ľutujeme súčasnú situáciu vyššej moci a ďakujeme našim zákazníkom za pochopenie,“ uzavrel Invitro.

Podľa týchto údajov boli kliniky v Rusku, Bielorusku a Kazachstane napadnuté počítačovým vírusom.

Útok na Gazprom a ďalšie ropné a plynárenské spoločnosti

29. júna 2017 sa dozvedeli o globálnom kybernetickom útoku na počítačové systémy Gazpromu. Ďalšia ruská spoločnosť tak trpela vírusom Petya ransomware.

Ako uvádza tlačová agentúra Reuters s odvolaním sa na zdroj z ruskej vlády a osobu zapojenú do vyšetrovania incidentu, Gazprom trpel šírením malvéru Petya, ktorý napadol počítače celkovo vo viac ako 60 krajinách sveta.

Účastníci diskusie neposkytli podrobnosti o tom, koľko a ktoré systémy boli infikované v Gazprome, ako aj rozsah škôd spôsobených hackermi. Spoločnosť odmietla komentovať, keď ju kontaktovala agentúra Reuters.

Medzitým vysokopostavený zdroj RBC v Gazprome publikácii povedal, že počítače v centrále spoločnosti fungovali bez prerušenia, keď sa začal rozsiahly hackerský útok (27. júna 2017), a pokračujú v tom aj o dva dni neskôr. Dva ďalšie zdroje RBC v Gazprome tiež ubezpečili, že „v spoločnosti je všetko pokojné“ a neexistujú žiadne vírusy.

V sektore ropy a zemného plynu trpeli Bashneft a Rosneft vírusom Petya. Ten 28. júna oznámil, že spoločnosť funguje normálne a „individuálne problémy“ sa rýchlo riešia.

Banky a priemysel

Zistilo sa, že počítače boli infikované v Evraze, ruskej pobočke Royal Canin (vyrába uniformy pre zvieratá) a ruskej divízii Mondelez (výrobca čokolády Alpen Gold a Milka).

Podľa ministerstva vnútra Ukrajiny muž zverejnil video na stránkach na zdieľanie súborov a sociálnych sieťach s Detailný popis proces spúšťania ransomvéru na počítačoch. V komentároch k videu muž zverejnil odkaz na svoju stránku na sociálna sieť, do ktorej si stiahol škodlivý program. Počas prehliadok v „hackerovom“ byte zaistili policajti počítačové vybavenie, ktorý sa používa na distribúciu NotPetya. Polícia našla aj súbory s malvérom, po analýze ktorých sa potvrdilo, že ide o podobný ransomvér NotPetya. Ako zistili kybernetickí policajti, ransomvérový program, na ktorý zverejnil obyvateľ Nikopolu, si používatelia sociálnej siete stiahli 400-krát.

Medzi tými, ktorí si stiahli NotPetya, príslušníci orgánov činných v trestnom konaní identifikovali spoločnosti, ktoré úmyselne infikovali svoje systémy ransomvérom, aby skryli trestnú činnosť a vyhli sa plateniu sankcií štátu. Stojí za zmienku, že polícia nespája aktivity muža s hackerskými útokmi z 27. júna tohto roku, to znamená, že sa nehovorí o žiadnom zapojení s autormi NotPetya. Skutky, z ktorých je obvinený, sa týkajú len činov spáchaných v júli tohto roku – po vlne rozsiahlych kybernetických útokov.

Voči mužovi je začaté trestné stíhanie podľa 1. časti čl. 361 (neoprávnené zasahovanie do prevádzky počítača) Trestného zákona Ukrajiny. Obyvateľovi Nikopolu hrozia až 3 roky väzenia.

Distribúcia vo svete

Distribúcia vírusu Petya ransomware bola zaznamenaná v Španielsku, Nemecku, Litve, Číne a Indii. Napríklad kvôli škodlivému programu v Indii bola technológia na riadenie toku nákladu v kontajnerovom prístave Jawaharlal Nehru, ktorý prevádzkuje spoločnosť A.P. Moller-Maersk prestal rozoznávať identitu nákladu.

O kybernetických útokoch informovala britská reklamná skupina WPP, španielska kancelária jednej z najväčších právnických firiem na svete DLA Piper a potravinárskeho gigantu Mondelez. Medzi obeťami je aj francúzsky výrobca stavebných materiálov Cie. de Saint-Gobain a farmaceutická spoločnosť Merck & Co.

Merck

Americký farmaceutický gigant Merck, ktorý značne utrpel v dôsledku júnového útoku ransomvérového vírusu NotPetya, stále nedokáže obnoviť všetky systémy a vrátiť sa do normálnej prevádzky. Toto bolo uvedené v správe spoločnosti na formulári 8-K, ktorá bola predložená americkej komisii pre cenné papiere a burzy (SEC) koncom júla 2017. Čítaj viac.

Moller-Maersk a Rosneft

3. júla 2017 vyšlo najavo, že dánsky prepravný gigant Moller-Maersk a Rosneft obnovil IT systémy infikované vírusom Petya ransomware len takmer týždeň po útoku, ku ktorému došlo 27. júna.

Lodná spoločnosť Maersk, ktorá predstavuje každý siedmy prepravený nákladný kontajner na svete, zároveň dodala, že všetkých 1500 aplikácií zasiahnutých kybernetickým útokom sa vráti do normálnej prevádzky maximálne do 9. júla 2017.

Najviac zasiahnuté boli IT systémy spoločnosti APM Terminals vlastnenej Maerskom, ktorá prevádzkuje desiatky nákladných prístavov a kontajnerových terminálov vo viac ako 40 krajinách. Cez prístavy APM Terminals, ktorých práca bola v dôsledku šírenia vírusu úplne paralyzovaná, prejde denne viac ako 100 tisíc nákladných kontajnerov. Terminál Maasvlakte II v Rotterdame obnovil dodávky 3. júla.

16. augusta 2017 A.P. Moller-Maersk pomenoval približnú výšku škôd spôsobených kybernetickým útokom pomocou vírusu Petya, ktorý, ako bolo uvedené v európskej spoločnosti, bol infikovaný prostredníctvom ukrajinského programu. Podľa predbežných výpočtov spoločnosti Maersk sa finančné straty z ransomvéru Petya v druhom štvrťroku 2017 pohybovali od 200 do 300 miliónov dolárov.

Medzitým takmer týždeň na zotavenie počítačové systémy Rosneft tiež trpel hackerským útokom, ako informovala tlačová služba spoločnosti 3. júla, uviedla agentúra Interfax:

Niekoľko dní predtým Rosnefť zdôraznila, že zatiaľ nevyhodnocuje dôsledky kybernetického útoku, no výroby to neovplyvnilo.

Ako Petya funguje

Obete vírusu po infekcii nemôžu odomknúť svoje súbory. Faktom je, že jeho tvorcovia s takouto možnosťou vôbec nepočítali. To znamená, že šifrovaný disk je a priori nemožné dešifrovať. ID škodlivého softvéru neobsahuje informácie potrebné na dešifrovanie.

Spočiatku odborníci zaradili vírus, ktorý zasiahol približne dvetisíc počítačov v Rusku, na Ukrajine, v Poľsku, Taliansku, Nemecku, Francúzsku a ďalších krajinách, do už známej rodiny ransomvéru Petya. Ukázalo sa však, že hovoríme o o novej rodine škodlivého softvéru. Spoločnosť Kaspersky Lab nazvala svoj nový ransomvér ExPetr.

Ako bojovať

Boj proti kybernetickým hrozbám si vyžaduje spoločné úsilie bánk, IT firiem a štátu

Metóda obnovy dát od spoločnosti Positive Technologies

Expert Positive Technologies Dmitrij Sklyarov 7. júla 2017 predstavil metódu na obnovu dát zašifrovaných vírusom NotPetya. Podľa odborníka je metóda použiteľná, ak mal vírus NotPetya oprávnenia správcu a zašifroval celý disk.

Možnosť obnovy dát je spojená s chybami pri implementácii šifrovacieho algoritmu Salsa20, ktoré urobili samotní útočníci. Výkon metódy bol testovaný na testovacích médiách aj na jednom zo šifrovaných pevné disky veľká spoločnosť, ktorý bol medzi obeťami epidémie.

Spoločnosti a nezávislí vývojári špecializujúci sa na obnovu dát môžu voľne používať a automatizovať prezentovaný dešifrovací skript.

Výsledky vyšetrovania už potvrdila ukrajinská kybernetická polícia. Juscutum má v úmysle použiť zistenia vyšetrovania ako kľúčový dôkaz v budúcom procese proti Intellect-Service.

Proces bude mať občiansky charakter. Ukrajinské orgány činné v trestnom konaní vedú nezávislé vyšetrovanie. Ich zástupcovia už skôr avizovali možnosť začať trestné stíhanie voči zamestnancom Intellect-Service.

Samotná spoločnosť M.E.Doc uviedla, že to, čo sa dialo, bol pokus o prepadnutie spoločnosti. Výrobca jediného populárneho ukrajinského účtovného softvéru sa domnieva, že súčasťou realizácie tohto plánu bolo aj vyhľadávanie spoločnosti, ktoré vykonala kybernetická polícia Ukrajiny.

Počiatočný infekčný vektor pre šifrovač Petya

17. mája bola vydaná aktualizácia M.E.Doc, ktorá neobsahuje škodlivý modul backdoor. To pravdepodobne vysvetľuje relatívne malý počet infekcií XData, spoločnosť verí. Útočníci neočakávali vydanie aktualizácie 17. mája a šifrovač spustili 18. mája, keď už väčšina používateľov zabezpečenú aktualizáciu nainštalovala.

Zadné vrátka umožňujú stiahnutie a spustenie ďalšieho malvéru na infikovanom systéme – takto prebiehala prvotná infekcia pomocou šifrovačov Petya a XData. Okrem toho program zhromažďuje nastavenia proxy servera a e-mailu vrátane prihlasovacích údajov a hesiel z aplikácie M.E.Doc, ako aj kódy spoločností podľa Jednotného štátneho registra podnikov a organizácií Ukrajiny, čo umožňuje identifikáciu obetí.

„Musíme odpovedať na množstvo otázok,“ povedal Anton Čerepanov, senior analytik vírusov spoločnosti Eset. - Ako dlho sa zadné vrátka používajú? Aké príkazy a malvér, okrem Petya a XData, boli odoslané cez tento kanál? Ktoré ďalšie infraštruktúry boli ohrozené, ale ešte neboli zneužité kybernetickou skupinou stojacou za týmto útokom?

Na základe kombinácie znakov, vrátane infraštruktúry, škodlivých nástrojov, schém a cieľov útokov, experti Esetu nadviazali spojenie medzi epidémiou Diskcoder.C (Petya) a kybernetickou skupinou Telebots. Kto stojí za aktivitami tejto skupiny, sa zatiaľ nepodarilo spoľahlivo určiť.

Začiatkom mája bolo vírusom ransomware infikovaných približne 230 000 počítačov vo viac ako 150 krajinách. Kým obete stihli odstrániť následky tohto útoku, nasledoval nový, nazvaný Peťa. Najväčší ukrajinský a Ruské spoločnosti, ako aj vládne agentúry.

Kybernetická polícia Ukrajiny zistila, že vírusový útok sa začal prostredníctvom mechanizmu aktualizácie účtovného softvéru M.E.Doc, ktorý sa používa na prípravu a odosielanie daňových hlásení. Tak sa stalo známe, že siete Bashneft, Rosneft, Záporožieoblenergo, Dneproenergo a Dneper Electric Power System neunikli infekcii. Na Ukrajine vírus prenikol do vládnych počítačov, počítačov kyjevského metra, telekomunikačných operátorov a dokonca aj do jadrovej elektrárne v Černobyle. V Rusku boli ovplyvnené spoločnosti Mondelez International, Mars a Nivea.

Vírus Petya využíva zraniteľnosť EternalBlue na operačnej sále systém Windows. Odborníci Symantec a F-Secure tvrdia, že hoci Petya šifruje dáta ako WannaCry, stále sa trochu líši od iných typov šifrovacích vírusov. „Vírus Petya je nový typ vydierania so zlým úmyslom: nešifruje len súbory na disku, ale uzamkne celý disk, čím sa stáva prakticky nepoužiteľným,“ vysvetľuje F-Secure. "Konkrétne šifruje hlavnú tabuľku súborov MFT."

Ako sa to deje a dá sa tomuto procesu zabrániť?

Vírus "Petya" - ako to funguje?

Vírus Petya je známy aj pod inými názvami: Petya.A, PetrWrap, NotPetya, ExPetr. Keď sa dostane do počítača, stiahne ransomvér z internetu a pokúsi sa zaútočiť na časť pevného disku údajmi potrebnými na spustenie počítača. Ak uspeje, systém má problémy Modrá obrazovka smrti („modrá obrazovka smrti“). Po reštarte sa zobrazí hlásenie o kontrole pevného disku s výzvou, aby ste nevypínali napájanie. Ransomvér teda predstiera, že ním je systémový program aby ste skontrolovali disk a v súčasnosti zašifrujú súbory s určitými príponami. Na konci procesu sa zobrazí hlásenie, že počítač je zablokovaný, a informácie o tom, ako získať digitálny kľúč na dešifrovanie údajov. Vírus Petya požaduje výkupné, zvyčajne v bitcoinoch. Ak obeť nemá záložnú kópiu svojich súborov, stojí pred voľbou zaplatiť 300 dolárov alebo stratiť všetky informácie. Podľa niektorých analytikov sa vírus iba vydáva za ransomvér, pričom jeho skutočným cieľom je spôsobiť obrovské škody.

Ako sa zbaviť Petya?

Odborníci zistili, že vírus Petya hľadá lokálny súbor a ak tento súbor už na disku existuje, ukončí proces šifrovania. To znamená, že používatelia môžu chrániť svoj počítač pred ransomware vytvorením tohto súboru a jeho nastavením len na čítanie.

Hoci táto prefíkaná schéma bráni spusteniu procesu ransomvéru, túto metódu možno považovať skôr za „počítačové očkovanie“. Používateľ si teda bude musieť súbor vytvoriť sám. Môžete to urobiť takto:

• Najprv musíte pochopiť príponu súboru. V okne Možnosti priečinka skontrolujte, či nie je začiarknuté políčko Skryť prípony pre známe typy súborov.
• Otvorte priečinok C:\Windows, prejdite nadol, kým neuvidíte program notepad.exe.
• Kliknite ľavým tlačidlom myši na notepad.exe, potom stlačte Ctrl + C na kopírovanie a potom Ctrl + V na prilepenie súboru. Dostanete žiadosť o povolenie skopírovať súbor.
• Kliknite na tlačidlo Pokračovať a súbor sa vytvorí ako poznámkový blok - Copy.exe. Kliknite ľavým tlačidlom myši na tento súbor a stlačte F2, potom vymažte názov súboru Copy.exe a zadajte perfc.
• Po zmene názvu súboru na perfc stlačte Enter. Potvrďte premenovanie.
• Teraz, keď bol súbor perfc vytvorený, musíme ho nastaviť len na čítanie. Ak to chcete urobiť, kliknite pravým tlačidlom myši na súbor a vyberte položku „Vlastnosti“.
• Otvorí sa ponuka vlastností pre tento súbor. V spodnej časti uvidíte „Iba na čítanie“. Začiarknite políčko.
• Teraz kliknite na tlačidlo Použiť a potom na tlačidlo OK.

Niektorí bezpečnostní experti odporúčajú vytvoriť okrem súboru C:\windows\perfc aj súbory C:\Windows\perfc.dat a C:\Windows\perfc.dll, aby sa dôkladnejšie chránili pred vírusom Petya. Pre tieto súbory môžete zopakovať vyššie uvedené kroky.

Gratulujeme, váš počítač je chránený pred NotPetya/Petya!

Odborníci spoločnosti Symantec ponúkajú používateľom počítačov niekoľko rád, ako im zabrániť vo veciach, ktoré by mohli viesť k uzamknutiu súborov alebo strate peňazí.

1. Neplaťte peniaze zločincom. Aj keď prevediete peniaze na ransomvér, neexistuje žiadna záruka, že budete môcť znova získať prístup k svojim súborom. A v prípade NotPetya / Petya je to v podstate bezvýznamné, pretože cieľom ransomvéru je zničiť dáta a nie získať peniaze.
2. Uistite sa, že svoje dáta pravidelne zálohujete. V tomto prípade, aj keď sa váš počítač stane cieľom útoku vírusu ransomware, budete môcť obnoviť všetky odstránené súbory.
3. Neotvárajte e-maily z pochybných adries.Útočníci sa vás počas inštalácie pokúsia oklamať malvér alebo sa pokúsiť získať dôležité údaje pre útoky. Nezabudnite informovať IT špecialistov, ak vy alebo vaši zamestnanci dostanete podozrivé e-maily alebo odkazy.
4. Používajte spoľahlivý softvér. Včasná aktualizácia antivírusových programov hrá dôležitú úlohu pri ochrane počítačov pred infekciami. A samozrejme treba používať produkty od renomovaných firiem v tejto oblasti.
5. Použite mechanizmy na skenovanie a blokovanie spamových správ. Prichádzajúce e-maily by sa mali kontrolovať na hrozby. Je dôležité blokovať všetky typy správ, ktoré vo svojom texte obsahujú odkazy alebo typické phishingové kľúčové slová.
6. Uistite sa, že všetky programy sú aktuálne. Aby sa predišlo infekciám, je potrebná pravidelná náprava softvérových zraniteľností.

Máme očakávať nové útoky?

Vírus Petya sa prvýkrát objavil v marci 2016 a jeho správanie si okamžite všimli bezpečnostní špecialisti. Nový vírus Petya infikoval koncom júna 2017 počítače na Ukrajine a v Rusku. Ale je nepravdepodobné, že to bude koniec. Hackerské útoky používanie ransomware vírusov podobných Petya a WannaCry sa stane znova, povedal Stanislav Kuznetsov, podpredseda predstavenstva Sberbank. V rozhovore pre TASS varoval, že k takýmto útokom určite dôjde, no je ťažké vopred odhadnúť, v akej forme a formáte sa môžu objaviť.

Ak ste po všetkých kybernetických útokoch, ktoré sa udiali, ešte neurobili aspoň minimálne kroky na ochranu vášho počítača pred vírusom ransomware, je načase, aby ste sa tým vážne zaoberali.