Novi virus petya. Rusija, Ukrajina in druge evropske države, ki jih je napadel izsiljevalski virus Petya: pregled stanja in način zaščite. Ali se Petna še distribuira?

Zaščito pred novim virusom izumlja ves svet, čeprav leze skozi iste "luknje" kot WannaCry

Po širjenju izsiljevalske programske opreme WannaCry so bili računalniki po vsem svetu ponovno izpostavljeni kibernetskim napadom. Naprave v različnih evropskih državah in ZDA so bile prizadete zaradi virusa Petya. Največ škode pa je bilo na računalnikih v Rusiji in Ukrajini, kjer je utrpelo okoli 80 podjetij. Virus izsiljevalske programske opreme je od lastnikov prizadetih osebnih računalnikov zahteval denar ali kriptovaluto, a kibernetski strokovnjaki so našli način, kako ne nasedati prevarantom. O tem, kdo je Petya in kako se izogniti srečanju z njim, preberite v gradivu Realnoe Vremya.

Žrtve "Petya": od "Rosnefta" do jedrske elektrarne v Černobilu

Množično širjenje virusa Petya se je začelo 27. junija. Ukrajina je bila prva na udaru: napadeni so bili računalniki velikih energetskih podjetij - Ukrenergo, DTEK in Kievenergo, poročajo lokalni mediji. Zaposleni v enem od podjetij je novinarjem povedal, da se je 27. junija zjutraj njegov službeni računalnik znova zagnal, nato pa naj bi sistem začel preverjati trdi disk. Nato je videl, da se isto dogaja na vseh računalnikih v pisarni. Računalnik je ugasnil, a po tem, ko ga je prižgal, se je na zaslonu naprave pojavilo obvestilo o odkupnini. Virus je prizadel tudi osebne računalnike nekaterih ukrajinskih bank, ministrstva za finance Ukrajine, kabineta ministrov, podjetja Ukrtelecom in letališča Boryspil.

Petja je napadel tudi računalniški sistem za spremljanje sevalnega ozadja v jedrski elektrarni Černobil. Hkrati so vsi sistemi postaje delovali normalno, sevalno ozadje pa ni preseglo kontrolnega, poroča Meduza. 27. junija zvečer je na uradni Facebook strani Ministrstva za notranje zadeve Ukrajine a pritožba prebivalcem države s priporočilom, naj izklopijo računalnike, dokler se ne razvije način za boj proti virusu.

Strežnike Rosneft v Rusiji je napadel izsiljevalski virus Petya. Tiskovni predstavnik Rosnefta Mihail Leontjev je videl povezavo med hekerskimi napadi virusa Petya in tožbo podjetja proti AFK Sistemi. V oddaji Business FM je to označil za racionalen poskus uporabe virusa za uničenje podatkov o upravljanju Bashnefta. Zabeleženi so bili posamezni primeri okužbe objektov informacijske infrastrukture bančnega sistema Rusije. Banka Home Credit je zaradi kibernetskih napadov ustavila poslovanje, moteno je bilo tudi delovanje spletnega mesta kreditne institucije. Podružnice so delovale le v svetovalnem načinu, medtem ko so bankomati delovali kot običajno, poroča Interfax.

28. junija so mediji poročali tudi o napadu na računalnike v Veliki Britaniji, na Nizozemskem, Danskem, v Španiji, Indiji, Litvi, Franciji in ZDA.

Mihail Leontjev je videl povezavo med hekerskimi napadi virusa Petya in tožbo proti AFK Sistemi. Fotografija polit.ru

Zaščita pred WannaCry je nemočna pred "Petya"

Načelo delovanja Petya temelji na šifriranju glavnega zagonskega zapisa (MBR) zagonskega sektorja diska. Ta vnos je prvi sektor na trdem disku, vsebuje particijsko tabelo in nalagalni program, ki iz te tabele prebere podatke o tem, s katere particije trdega diska se bo sistem zagnal. Izvirni MBR je shranjen v sektorju 0x22 diska in šifriran z operacijo bajt za bajtom XOR z 0x07. Posledično bodo informacije na računalniškem disku zamenjane s podatki virusa, poročajo strokovnjaki pri Positive Technologies.

Po zagonu zlonamerne datoteke se ustvari naloga za ponovni zagon računalnika, ki se odloži za 1-2 uri. Če je disk po vnovičnem zagonu uspešno šifriran, se prikaže sporočilo, da plačate 300 $ odkupnine (ali jo vrnete v kriptovaluti), da prejmete ključ za odklepanje datoteke. Mimogrede, elektronski naslov, ki ga uporabljajo izsiljevalci, je že blokiran, zaradi česar je nakazilo denarja neuporabno.

Petya uporablja ranljivost sistema Windows - izkoriščanje s kodnim imenom EternalBlue. Zloglasni WannaCry je napadel računalnike z isto ranljivostjo. Zahvaljujoč izkoriščanju je bila Petya distribuirana prek Windows Management Instrumentation (orodje za centralizirano upravljanje in spremljanje delovanja različnih delov računalniške infrastrukture, ki se izvaja na platformi Windows) in PsExec (omogoča izvajanje procesov v oddaljeni sistemi) s pridobivanjem največjih privilegijev v ranljivem sistemu. To je virusu omogočilo nadaljevanje delovanja tudi s posodobitvami za WannaCry, nameščenimi v računalnikih.

ukaz bootrec /fixMbr in vnos v beležnico

Slavni francoski heker in razvijalec programske opreme Mathieu Suchet na svojem Twitterju

Virus "Petya": kako ga ne ujeti, kako razvozlati, od kod prihaja - najnovejše novice o virusu izsiljevalske programske opreme Petya, ki je do tretjega dne svoje "aktivnosti" zadel približno 300 tisoč računalnikov v različne države sveta, in doslej ga še nihče ni ustavil.

Virus Petya - kako dešifrirati, najnovejše novice. Po napadu na računalnik ustvarjalci izsiljevalske programske opreme Petya zahtevajo odkupnino v višini 300 dolarjev (v bitcoinih), vendar virusa Petya ni mogoče dešifrirati, tudi če uporabnik plača denar. Strokovnjaki Kaspersky Lab, ki so v novem virusu opazili razlike od Petya in ga poimenovali ExPetr, trdijo, da je za dešifriranje potreben edinstven identifikator za določeno trojansko namestitev.

V prej znanih različicah podobne izsiljevalske programske opreme Petya/Mischa/GoldenEye je identifikator namestitve vseboval informacije, potrebne za to. V primeru ExPetra ta identifikator ne obstaja, piše RIA Novosti.

Virus "Petya" - od kod prihaja, najnovejše novice. Nemški varnostni strokovnjaki so predstavili prvo različico, od kod prihaja ta izsiljevalska programska oprema. Po njihovem mnenju je virus Petya začel tavati po računalnikih od odprtja datotek M.E.Doc. To je računovodski program, ki se uporablja v Ukrajini po prepovedi 1C.

Kaspersky Lab medtem pravi, da je še prezgodaj sklepati o izvoru in viru širjenja virusa ExPetr. Možno je, da so imeli napadalci obsežne podatke. Na primer e-poštni naslovi iz prejšnjega glasila ali kakšnega drugega učinkovite načine prodor v računalnike.

Z njihovo pomočjo je virus "Petya" z vso močjo udaril po Ukrajini in Rusiji ter drugih državah. Toda pravi obseg tega hekerskega napada bo jasen čez nekaj dni - poroča.

Virus "Petya": kako ne ujeti, kako dešifrirati, od kod je prišel - najnovejše novice o virusu izsiljevalske programske opreme Petya, ki je od družbe Kaspersky Lab že dobil novo ime - ExPetr.

Napad virusa "Petya" je bil neprijetno presenečenje za prebivalce mnogih držav. Okuženih je bilo na tisoče računalnikov, zaradi česar so uporabniki izgubili pomembne podatke, shranjene na njihovih trdih diskih.

Seveda se je zdaj razburjenje okoli tega incidenta poleglo, vendar nihče ne more zagotoviti, da se to ne bo ponovilo. Zato je zelo pomembno zaščititi svoj računalnik pred možna grožnja in ne tvegajte po nepotrebnem. Kako to narediti najbolj učinkovito in se bo razpravljalo spodaj.

Posledice napada

Najprej se moramo spomniti posledic kratke dejavnosti Petya.A. V samo nekaj urah je utrpelo škodo več deset ukrajinskih in ruskih podjetij. Mimogrede, v Ukrajini je bilo delo računalniških oddelkov institucij, kot so Dniproenergo, Novaya Pochta in Kiev Metro, skoraj popolnoma ohromljeno. Poleg tega se nekatere državne organizacije, banke in mobilni operaterji niso zaščitili pred virusom Petya.

V državah Evropske unije je izsiljevalska programska oprema prav tako naredila veliko težav. Francoska, danska, angleška in mednarodna podjetja so poročala o začasnih izpadih, povezanih z napadom računalniški virus"Peter".

Kot lahko vidite, je grožnja res resna. In kljub dejstvu, da so napadalci za svoje žrtve izbrali velike finančne institucije, navadni uporabniki niso trpeli nič manj.

Kako deluje Petya?

Da bi razumeli, kako se zaščititi pred virusom Petya, morate najprej razumeti, kako deluje. Tako zlonamerna programska oprema, ko je v računalniku, z interneta prenese poseben šifrirnik, ki okuži glavni zagonski zapis. To je ločeno območje na trdem disku, skrito pred očmi uporabnika in namenjeno zagonu operacijskega sistema.

Za uporabnika je ta postopek videti kot standardna operacija programa Check Disk po nenadnem zrušitvi sistema. Računalnik se nenadoma znova zažene in na zaslonu se prikaže sporočilo o preverjanju napak na trdem disku in poziv, da ne izklopite napajanja.

Takoj ko se ta postopek konča, se prikaže ohranjevalnik zaslona z informacijami o zaklepanju računalnika. Ustvarjalci virusa Petya od uporabnika zahtevajo plačilo odkupnine v višini 300 dolarjev (več kot 17,5 tisoč rubljev), v zameno pa obljubijo, da bodo poslali ključ, potreben za nadaljevanje delovanja računalnika.

Preprečevanje

Logično je, da je veliko lažje preprečiti okužbo z računalniškim virusom Petya, kot pa se kasneje spopasti z njegovimi posledicami. Za zaščito računalnika:

• Vedno namestite najnovejše posodobitve za operacijski sistem. Enako načeloma velja za vse. programsko opremo nameščen na vašem računalniku. Mimogrede, "Petya" ne more škodovati računalnikom z operacijskim sistemom MacOS in Linux.
• Uporaba trenutne različice protivirusni program in ne pozabite posodobiti njegovih baz podatkov. Ja, nasvet je banalen, vendar ga ne upoštevajo vsi.
• Ne odpirajte sumljivih datotek, ki so vam poslane po e-pošti. Prav tako vedno preverite aplikacije, ki ste jih prenesli iz sumljivih virov.
• Počnite to redno varnostne kopije pomembne dokumente in datoteke. Najbolje jih je shraniti na ločenem mediju ali v "oblaku" (Google Drive, Yandex.Disk itd.). Zahvaljujoč temu, tudi če se kaj zgodi vašemu računalniku, to ne bo vplivalo na dragocene informacije.

Ustvari zaustavitveno datoteko

Vodilni razvijalci protivirusni programi ugotovil, kako odstraniti virus Petya. Natančneje, zahvaljujoč svoji raziskavi so lahko razumeli, da v začetnih fazah okužbe izsiljevalska programska oprema poskuša najti lokalno datoteko v računalniku. Če mu to uspe, virus preneha delovati in ne poškoduje računalnika.

Preprosto povedano, lahko ročno ustvarite nekakšno zaustavitveno datoteko in tako zaščitite svoj računalnik. Za to:

• Odprite možnosti mape in počistite polje »Skrij razširitve za znane vrste datotek«.
• Z beležnico ustvarite novo datoteko in jo postavite v imenik C:/Windows.
• Preimenujte ustvarjeni dokument tako, da ga pokličete "perfc". Nato pojdite na in omogočite možnost »Samo za branje«.

Zdaj virus "Petya", ko je prišel v vaš računalnik, mu ne bo mogel škodovati. Vendar ne pozabite, da lahko napadalci zlonamerno programsko opremo v prihodnosti spremenijo in metoda za zaustavitev ustvarjanja datoteke postane neučinkovita.

Če je do okužbe že prišlo

Ko se računalnik sam znova zažene in se zažene Check Disk, virus šele začne šifrirati datoteke. V tem primeru lahko svoje podatke še vedno shranite tako, da naredite naslednje:

• Takoj izklopite računalnik. Le tako lahko preprečite širjenje virusa.
• Nato povežite svoje HDD na drug računalnik (vendar ne kot zagonski!) in iz njega kopirajte pomembne informacije.
• Po tem morate popolnoma formatirati okuženi trdi disk. Seveda boste morali znova namestiti operacijski sistem in drugo programsko opremo.

Prav tako lahko poskusite uporabiti posebno zagonsko disketo za zdravljenje virusa "Petya". Kaspersky Anti-Virus na primer za te namene ponuja program Kaspersky Rescue Disk, ki deluje mimo operacijskega sistema.

Ali naj plačam izsiljevalcem?

Kot smo že omenili, ustvarjalci Petya od uporabnikov, katerih računalniki so bili okuženi, zahtevajo 300 dolarjev odkupnine. Po navedbah izsiljevalcev bodo žrtve po plačilu določenega zneska prejele ključ, ki odstrani blokado informacij.

Težava je v tem, da mora uporabnik, ki želi vrniti svoj računalnik v normalno stanje, pisati napadalcem na naslov E-naslov. Pooblaščene službe pa vso izsiljevalsko programsko opremo E-Mail takoj blokirajo, tako da je preprosto nemogoče stopiti v stik z njimi.

Poleg tega so številni vodilni razvijalci protivirusne programske opreme prepričani, da je popolnoma nemogoče odkleniti računalnik, okužen s Petya, s katero koli kodo.

Kot ste verjetno razumeli, ni vredno plačati izsiljevalcev. V nasprotnem primeru ne boste le ostali z nedelujočim računalnikom, ampak boste tudi izgubili veliko denarja.

Ali bodo novi napadi

Virus Petya je bil prvič odkrit marca 2016. Nato so varnostni strokovnjaki hitro opazili grožnjo in preprečili njeno množično širjenje. Toda že konec junija 2017 se je napad ponovil, kar je povzročilo zelo resne posledice.

Malo verjetno je, da se bo vse končalo. Napadi z izsiljevalsko programsko opremo niso neobičajni, zato je pomembno, da je vaš računalnik ves čas zaščiten. Težava je v tem, da nihče ne more predvideti, v kakšni obliki bo naslednja okužba. Kakor koli že, vedno je vredno slediti preprostim priporočilom v tem članku, da bi na ta način zmanjšali tveganja na minimum.

Velika Britanija, ZDA in Avstralija so uradno obtožile Rusijo distribucije NotPetya

15. februarja 2018 je zunanje ministrstvo Združenega kraljestva izdalo uradno izjavo, v kateri je Rusijo obtožilo organiziranja kibernetskega napada z uporabo šifrirnega virusa NotPetya.

Po mnenju britanskih oblasti je ta napad pokazal nadaljnje neupoštevanje suverenosti Ukrajine, zaradi teh nepremišljenih dejanj pa je bilo moteno delo številnih organizacij po Evropi, kar je povzročilo večmilijonske izgube.

Ministrstvo je opozorilo, da je bil sklep o vpletenosti ruske vlade in Kremlja v kibernetski napad narejen na podlagi zaključka Nacionalnega centra za kibernetsko varnost Združenega kraljestva, ki je "skoraj popolnoma prepričan, da je ruska vojska stoji za napadom NotPetya.« V izjavi je tudi zapisano, da njeni zavezniki ne bodo tolerirali zlonamerne kibernetske dejavnosti.

Kremelj, ki je doslej že večkrat zanikal vpletenost ruskih oblasti v hekerske napade, je izjavo britanskega zunanjega ministrstva označil za del "rusofobne kampanje"

Spomenik "Tu leži računalniški virus Petya, ki so ga premagali ljudje 27.6.2017"

Spomenik računalniškemu virusu Petya je bil postavljen decembra 2017 v bližini stavbe tehnoparka Skolkovo. Dvometrski spomenik z napisom: "Tu leži računalniški virus Petya, ki so ga ljudje premagali 27.6.2017." izdelan v obliki pregriznjenega trdega diska, je nastal s podporo INVITRO, med drugimi podjetji, ki so jih prizadele posledice množičnega kibernetskega napada. Robot z imenom Nu, ki dela v Phystechparku in (MIT), je prišel na slovesnost, da bi imel slovesen govor.

Napad na vlado v Sevastopolu

Strokovnjaki Glavnega direktorata za informatizacijo in komunikacije Sevastopola so uspešno odvrnili napad omrežnega šifrirnega virusa Petya na strežnike regionalne vlade. To je 17. julija 2017 na operativni seji vlade Sevastopola napovedal vodja oddelka za informatizacijo Denis Timofeev.

Izjavil je, da zlonamerna programska oprema Petya ni vplivala na podatke, shranjene v računalnikih v državnih ustanovah v Sevastopolu.

Poudarek na uporabi brezplačne programske opreme je vgrajen v koncept informatizacije Sevastopola, odobren leta 2015. Navaja, da je pri nakupu in razvoju osnovne programske opreme, pa tudi programske opreme za informacijske sisteme za avtomatizacijo, priporočljivo analizirati možnost uporabe brezplačnih izdelkov, ki lahko zmanjšajo proračunske stroške in zmanjšajo odvisnost od dobaviteljev in razvijalcev.

Pred tem, konec junija, je bila v okviru obsežnega napada na medicinsko podjetje Invitro poškodovana tudi podružnica njegove podružnice v Sevastopolu. Zaradi virusa računalniško omrežje poslovalnica začasno prekinila izdajo izvidov do odprave vzrokov.

Invitro je napovedal prekinitev opravljanja testov zaradi kibernetskega napada

Zdravstveno podjetje Invitro je zaradi hekerskega napada 27. junija ustavilo zbiranje biomateriala in izdajo rezultatov testov bolnikov. To je za RBC sporočil direktor korporativnega komuniciranja družbe Anton Bulanov.

Kot je navedeno v sporočilu družbe, bo v bližnji prihodnosti "Invitro" prešel na normalno delovanje. Rezultati študij, izvedenih po tem času, bodo pacientom dostavljeni po odpravi tehnične okvare. Vklopljeno ta trenutek laboratorij Informacijski sistem obnovljena, je v fazi postavljanja. "Obžalujemo trenutno višjo silo in se zahvaljujemo našim strankam za razumevanje," je zaključil Invitro.

Po teh podatkih je klinike v Rusiji, Belorusiji in Kazahstanu napadel računalniški virus.

Napad na Gazprom in druga naftna in plinska podjetja

29. junija 2017 je postalo znano o globalnem kibernetskem napadu na računalniške sisteme Gazproma. Tako je drugo rusko podjetje trpelo zaradi izsiljevalskega virusa Petya.

Po poročanju tiskovne agencije Reuters, ki se sklicuje na ruski vladni vir in osebo, vključeno v preiskavo incidenta, je Gazprom prizadel širjenje zlonamerne programske opreme Petya, ki je napadla računalnike v skupno več kot 60 državah po vsem svetu.

Sogovorniki publikacije niso navedli podrobnosti o tem, koliko in kateri sistemi so bili okuženi v Gazpromu, pa tudi o višini škode, ki so jo povzročili hekerji. Podjetje na zahtevo Reutersa ni želelo komentirati.

Medtem je visoki vir RBC pri Gazpromu za publikacijo povedal, da so računalniki v centralni pisarni podjetja delovali brez prekinitev, ko se je začel obsežni hekerski napad (27. junij 2017) in se je nadaljeval dva dni kasneje. Še dva vira RBC v Gazpromu sta prav tako zagotovila, da je v podjetju "vse mirno" in da ni virusov.

V sektorju nafte in plina sta Bashneft in Rosneft trpela zaradi virusa Petya. Ta je 28. junija sporočil, da družba normalno posluje, "določene težave" pa sproti rešujejo.

Banke in industrija

Znano je bilo o okužbi računalnikov v Evrazu, ruski podružnici Royal Canin (proizvaja uniforme za živali) in ruski podružnici Mondeleza (proizvajalec čokolade Alpen Gold in Milka).

Po podatkih ukrajinskega ministrstva za notranje zadeve je moški objavil videoposnetek s natančen opis postopek zagona izsiljevalske programske opreme na računalnikih. Moški je v komentarjih k videu objavil povezavo do svoje strani v socialno omrežje na katerem je bila naložena zlonamerna programska oprema. Med preiskavami v "hekerjevem" stanovanju so organi pregona zasegli računalniško opremo, ki se uporablja za distribucijo NotPetya. Policija je našla tudi datoteke z zlonamerno programsko opremo, po analizi katere je bila potrjena njena podobnost z izsiljevalsko programsko opremo NotPetya. Kot so ugotovili kibernetski policisti, so izsiljevalsko programsko opremo, povezavo do katere je objavil prebivalec Nikopola, uporabniki družbenega omrežja prenesli 400-krat.

Med tistimi, ki so prenesli NotPetyo, so organi pregona identificirali podjetja, ki so svoje sisteme namerno okužila z izsiljevalsko programsko opremo, da bi prikrila kriminalne dejavnosti in se izognila plačilu kazni državi. Omeniti velja, da policija dejavnosti moškega ne povezuje s hekerskimi napadi 27. junija letos, torej ni govora o njegovi vpletenosti v avtorje NotPetya. Dejanja, ki se mu očitajo, se nanašajo le na dejanja, storjena julija letos – po valu obsežnih kibernetskih napadov.

Zoper moškega je bila uvedena kazenska zadeva po 1. delu čl. 361 (nepooblaščeno poseganje v delovanje računalnikov) Kazenskega zakonika Ukrajine. Nikopolčaninu grozi do 3 leta zapora.

Porazdelitev v svetu

Širjenje izsiljevalskega virusa Petya so zabeležili v Španiji, Nemčiji, Litvi, na Kitajskem in v Indiji. Na primer, zaradi zlonamerne programske opreme v Indiji je tehnologija upravljanja prometa v kontejnerskem pristanišču Jawaharlal Nehru, ki ga upravlja A.P. Moller-Maersk, niso več priznavali pripadnosti blaga.

O kibernetskem napadu so poročali britanska oglaševalska skupina WPP, španska pisarna ene največjih svetovnih odvetniških pisarn DLA Piper in živilski velikan Mondelez. Francoski proizvajalec gradbenih materialov Cie. de Saint-Gobain in farmacevtsko podjetje Merck & Co.

Merck

Ameriški farmacevtski velikan Merck, ki ga je junijski napad izsiljevalske programske opreme NotPetya močno prizadel, še vedno ne more obnoviti vseh sistemov in se vrniti v normalno delovanje. To je bilo navedeno v poročilu podjetja na obrazcu 8-K, ki je bilo konec julija 2017 predloženo ameriški komisiji za vrednostne papirje in borzo (SEC). Preberi več.

Moller-Maersk in Rosneft

3. julija 2017 je postalo znano, da sta danski ladijski velikan Moller-Maersk in Rosneft obnovila IT sisteme, okužene z virusom izsiljevalske programske opreme Petya, šele skoraj teden dni po napadu 27. junija.

Ladjarska družba Maersk, ki predstavlja enega od sedmih ladijskih zabojnikov, poslanih po vsem svetu, je še dodala, da se bo vseh 1500 aplikacij, ki jih je prizadel kibernetski napad, vrnilo v normalno delovanje najpozneje do 9. julija 2017.

Večinoma so bili prizadeti IT-sistemi podjetja APM Terminals v lasti Maerska, ki upravlja na desetine tovornih pristanišč in kontejnerskih terminalov v več kot 40 državah. Skozi pristanišča terminalov APM, katerih delo je bilo zaradi širjenja virusa popolnoma ohromljeno, pelje preko 100 tisoč tovornih zabojnikov na dan. Terminal Maasvlakte II v Rotterdamu je oskrbo obnovil 3. julija.

16. avgust 2017 A.P. Moller-Maersk je navedel približno količino škode zaradi kibernetskega napada z virusom Petya, katerega okužba je, kot ugotavlja evropsko podjetje, šla skozi ukrajinski program. Po predhodnih izračunih družbe Maersk so finančne izgube zaradi izsiljevalske programske opreme Petya v drugem četrtletju 2017 znašale med 200 in 300 milijoni dolarjev.

Medtem skoraj teden dni za okrevanje računalniški sistemi Rosneft je potreboval tudi hekerski napad, o čemer je 3. julija poročala tiskovna služba podjetja, Interfaxu so povedali:

Nekaj ​​dni prej je Rosneft poudaril, da se še ne loteva ocene posledic kibernetskega napada, vendar proizvodnja ni bila prizadeta.

Kako deluje Petya?

Žrtve virusa dejansko ne morejo odkleniti svojih okuženih datotek. Dejstvo je, da njegovi ustvarjalci takšne priložnosti sploh niso predvideli. To pomeni, da šifriranega diska a priori ni mogoče dešifrirati. ID zlonamerne programske opreme nima informacij, potrebnih za dešifriranje.

Sprva so strokovnjaki virus, ki je prizadel približno dva tisoč računalnikov v Rusiji, Ukrajini, na Poljskem, v Italiji, Nemčiji, Franciji in drugih državah, uvrstili med že znano družino izsiljevalskih programov Petya. Vendar se je izkazalo, da pogovarjamo se o novi družini zlonamerne programske opreme. "Kaspersky Lab" krstil nova izsiljevalska programska oprema ExPetr.

Kako se boriti

Boj proti kibernetskim grožnjam zahteva skupne napore bank, IT podjetij in države

Metoda za obnovitev podatkov podjetja Positive Technologies

7. julija 2017 je strokovnjak Positive Technologies Dmitry Sklyarov predstavil metodo za obnovitev podatkov, šifriranih z virusom NotPetya. Po mnenju strokovnjaka je metoda uporabna, če ima virus NotPetya skrbniške pravice in šifrira celoten disk.

Možnost obnovitve podatkov je posledica napak pri izvajanju šifrirnega algoritma Salsa20, ki so jih naredili napadalci sami. Učinkovitost metode smo testirali tako na testnem mediju kot na enem od šifriranih trdih diskov veliko podjetje ki so bili med žrtvami epidemije.

Podjetja in neodvisni razvijalci, specializirani za obnovitev podatkov, lahko prosto uporabljajo in avtomatizirajo predstavljeni skript za dešifriranje.

Rezultate preiskave je že potrdila ukrajinska kibernetska policija. Ugotovitve preiskave bo "Juscutum" uporabil kot ključni dokaz v prihodnjem procesu proti Intellect-Service.

Postopek bo civilne narave. Ukrajinski organi kazenskega pregona izvajajo neodvisno preiskavo. Njihovi predstavniki so že pred tem napovedali možnost uvedbe postopka zoper zaposlene v Intelekt-Servisu.

Podjetje M.E.Doc je samo izjavilo, da gre za poskus napadalskega prevzema podjetja. Proizvajalec edine priljubljene ukrajinske računovodske programske opreme meni, da je bila preiskava podjetja s strani ukrajinske kibernetske policije del izvajanja tega načrta.

Začetni vektor okužbe s kodirnikom Petya

17. maja je bila izdana posodobitev za M.E.Doc, ki ne vsebuje zlonamernega backdoor modula. Verjetno lahko to pojasni razmeroma majhno število okužb z XData, menijo v podjetju. Napadalci niso pričakovali izdaje posodobitve 17. maja in so šifrirnik zagnali 18. maja, ko je večina uporabnikov že namestila varno posodobitev.

Zadnja vrata omogočajo nalaganje in izvajanje druge zlonamerne programske opreme v okuženem sistemu – tako je bila izvedena začetna okužba s kodirnikoma Petya in XData. Poleg tega program zbira nastavitve proxy in e-pošte, vključno s prijavami in gesli iz aplikacije M.E.Doc, kot tudi kode podjetij v skladu z EDRPOU (Enotni državni register podjetij in organizacij Ukrajine), kar omogoča identifikacijo žrtev. .

"Odgovoriti moramo na številna vprašanja," je dejal Anton Cherepanov, višji virusni analitik pri Esetu. - Kako dolgo so zadnja vrata v uporabi? Kateri ukazi in zlonamerna programska oprema razen Petya in XData so bili poslani prek tega kanala? Katere druge infrastrukture so bile ogrožene, a jih kibernetska skupina, ki stoji za tem napadom, še ni uporabila?«

Na podlagi kombinacije znakov, vključno z infrastrukturo, zlonamernimi orodji, shemami in tarčami napadov, so Esetovi strokovnjaki vzpostavili povezavo med epidemijo Diskcoder.C (Petya) in kibernetsko skupino Telebots. Kdo stoji za delovanjem te skupine, še ni bilo mogoče zanesljivo ugotoviti.

V začetku maja je bilo približno 230.000 računalnikov v več kot 150 državah okuženih z izsiljevalsko programsko opremo. Preden so žrtve uspele odpraviti posledice tega napada, je sledil nov - imenovan Petya. Največji ukrajinski in Ruska podjetja kot tudi vladne agencije.

Ukrajinska kibernetska policija je ugotovila, da se je napad virusa začel prek mehanizma posodabljanja računovodske programske opreme M.E.Doc, ki se uporablja za pripravo in pošiljanje davčnih napovedi. Tako je postalo znano, da omrežja Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo in elektroenergetski sistem Dneper niso ušla okužbi. V Ukrajini je virus prodrl v državne računalnike, osebne računalnike kijevskega metroja, telekomunikacijskih operaterjev in celo v jedrsko elektrarno Černobil. V Rusiji so trpeli Mondelez International, Mars in Nivea.

Virus Petya izkorišča ranljivost EternalBlue v operacijski sobi sistem Windows. Strokovnjaki Symantec in F-Secure pravijo, da čeprav Petya šifrira podatke kot WannaCry, se nekoliko razlikuje od drugih vrst izsiljevalske programske opreme. "Virus Petya je nova vrsta izsiljevalske programske opreme z zlonamernimi nameni: ne šifrira le datotek na disku, ampak blokira celoten disk, zaradi česar je praktično neuporaben," pojasnjuje F-Secure. "Zlasti šifrira tabelo glavne datoteke MFT."

Kako se to zgodi in ali je ta proces mogoče preprečiti?

Virus Petya - kako deluje?

Virus Petya je znan tudi pod drugimi imeni: Petya.A, PetrWrap, NotPetya, ExPetr. Ko vstopi v računalnik, z interneta prenese izsiljevalsko programsko opremo in poskuša zadeti del trdega diska s podatki, potrebnimi za zagon računalnika. Če mu uspe, potem pride do težav s sistemom moder zaslon smrti ("modri zaslon smrti"). Po ponovnem zagonu se pojavi sporočilo o preverjanju trdega diska, ki vas prosi, da ne izklopite napajanja. Tako se izsiljevalski virus pretvarja, da je sistemski program za preverjanje diska, pri tem pa šifrira datoteke z določenimi končnicami. Ob koncu postopka se prikaže sporočilo o zaklenjenem računalniku in informacije o tem, kako pridobiti digitalni ključ za dešifriranje podatkov. Virus Petya zahteva odkupnino, običajno v bitcoinih. Če žrtev nima varnostne kopije datotek, se sooči z izbiro - plačati znesek 300 $ ali izgubiti vse podatke. Po mnenju nekaterih analitikov se virus samo maskira kot izsiljevalska programska oprema, njegov pravi cilj pa je povzročitev ogromne škode.

Kako se znebiti Petje?

Strokovnjaki so ugotovili, da virus Petya išče lokalno datoteko in, če ta datoteka že obstaja na disku, zapusti proces šifriranja. To pomeni, da lahko uporabniki zaščitijo svoj računalnik pred izsiljevalsko programsko opremo tako, da ustvarijo to datoteko in jo nastavijo samo za branje.

Čeprav ta zvita shema preprečuje začetek izsiljevalskega procesa, ta metoda lahko štejemo bolj kot "računalniško cepljenje". Tako bo moral uporabnik sam ustvariti datoteko. To lahko storite na naslednji način:

• Najprej se morate ukvarjati s pripono datoteke. Prepričajte se, da v oknu »Možnosti mape« potrditveno polje »Skrij razširitve za znane vrste datotek« ni potrjeno.
• Odprite mapo C:\Windows, pomaknite se navzdol, dokler ne vidite programa notepad.exe.
• Levi klik na notepad.exe, nato pritisnite Ctrl + C za kopiranje in nato Ctrl + V za lepljenje datoteke. Pozvani boste za dovoljenje za kopiranje datoteke.
• Kliknite gumb "Nadaljuj" in datoteka bo ustvarjena kot beležka - Copy.exe. Levi klik na to datoteko in pritisnite tipko F2, nato izbrišite ime datoteke Copy.exe in vnesite perfc.
• Ko spremenite ime datoteke v perfc, pritisnite Enter. Potrdite preimenovanje.
• Zdaj, ko je datoteka perfc ustvarjena, jo moramo narediti samo za branje. Če želite to narediti, z desno miškino tipko kliknite datoteko in izberite »Lastnosti«.
• Odpre se meni lastnosti te datoteke. Na dnu boste videli »Samo za branje«. Označite polje.
• Zdaj kliknite gumb »Uporabi« in nato gumb »V redu«.

Nekateri varnostni strokovnjaki predlagajo ustvarjanje datotek C:\Windows\perfc.dat in C:\Windows\perfc.dll poleg datoteke C:\windows\perfc za boljšo zaščito pred virusom Petya. Za te datoteke lahko ponovite zgornje korake.

Čestitamo, vaš računalnik je zaščiten pred NotPetya / Petya!

Symantecovi strokovnjaki dajejo nekaj nasvetov uporabnikom osebnih računalnikov, da jim preprečijo dejanja, ki bi lahko povzročila zaklepanje datotek ali izgubo denarja.

1. Ne plačujte denarja goljufom. Tudi če nakažete denar izsiljevalski programski opremi, ni nobenega zagotovila, da boste lahko znova pridobili dostop do svojih datotek. In v primeru NotPetya / Petya je to v bistvu nesmiselno, saj je namen šifrirnika uničenje podatkov, ne pridobivanje denarja.
2. Redno varnostno kopirajte podatke. V tem primeru, tudi če vaš računalnik postane tarča napada izsiljevalske programske opreme, boste lahko obnovili vse izbrisane datoteke.
3. Ne odpirajte elektronske pošte z dvomljivimi naslovi. Napadalci vas bodo skušali zavesti, da namestite zlonamerna programska oprema ali poskusite pridobiti pomembne podatke za napade. Obvestite IT strokovnjake, če vi ali vaši zaposleni prejmete sumljiva e-poštna sporočila ali povezave.
4. Uporabljajte zanesljivo programsko opremo. Pravočasno posodabljanje protivirusnih programov igra pomembno vlogo pri zaščiti računalnikov pred okužbami. In seveda morate uporabljati izdelke priznanih podjetij na tem področju.
5. Uporabite mehanizme za skeniranje in blokiranje neželenih sporočil. Dohodna e-poštna sporočila je treba pregledati glede groženj. Pomembno je, da je katera koli vrsta sporočila, ki vsebuje povezave ali značilne ključne besede za lažno predstavljanje, blokirana.
6. Preverite, ali so vsi programi posodobljeni. Redno popravljanje ranljivosti programske opreme je nujno za preprečevanje okužb.

Naj pričakujemo nove napade?

Virus Petya se je prvič pojavil marca 2016 in varnostni strokovnjaki so takoj opazili njegovo obnašanje. Novi virus Petya je konec junija 2017 dosegel računalnike v Ukrajini in Rusiji. A tega verjetno ne bo konec. Hekerski napadi uporaba izsiljevalskih virusov, podobnih Petya in WannaCry, se bo ponovila, je dejal Stanislav Kuznetsov, namestnik predsednika uprave Sberbank. V intervjuju za TASS je opozoril, da bodo takšni napadi zagotovo bili, vendar je težko vnaprej napovedati, v kakšni obliki in obliki se bodo lahko pojavili.

Če po vseh preteklih kibernetskih napadih še niste naredili vsaj minimalnih korakov za zaščito svojega računalnika pred šifrirnim virusom, potem je čas, da se tega lotite.