Det nya petyaviruset. Ryssland, Ukraina och andra europeiska länder som attackerats av Petya ransomware-virus: en översikt över situationen och ett sätt att skydda. Delas Petna fortfarande ut?

Skydd mot det nya viruset håller på att uppfinnas av hela världen, även om det klättrar genom samma "hål" som WannaCry

Efter spridningen av WannaCry ransomware blev datorer runt om i världen återigen utsatta för cyberattacker. Enheter i olika europeiska länder och USA drabbades av Petya-viruset. De flesta skadorna inträffade dock på datorer i Ryssland och Ukraina, där ett 80-tal företag drabbades. Ransomware-viruset krävde pengar eller kryptovaluta från ägarna till drabbade datorer, men cyberexperter har hittat ett sätt att inte falla för bedragarna. Läs om vem Petya är och hur du undviker att träffa honom i Realnoe Vremyas material.

Offer för "Petya": från "Rosneft" till kärnkraftverket i Tjernobyl

Massspridningen av Petya-viruset började den 27 juni. Ukraina var först med att drabbas: datorer från stora energibolag - Ukrenergo, DTEK och Kievenergo - attackerades, rapporterade lokala medier. En anställd på ett av företagen berättade för reportrar att på morgonen den 27 juni startade hans arbetsdator om, varefter systemet påstås börja kontrollera hårddisk. Sedan såg han att samma sak hände på alla datorer på kontoret. Han stängde av datorn, men efter att ha slagit på den dök en lösennota upp på enhetens skärm. Vissa ukrainska bankers datorer, Ukrainas finansminister, ministerkabinettet, Ukrtelecom-företaget och Boryspil-flygplatsen drabbades också av viruset.

Petya attackerade också datorsystemet för övervakning av strålningsbakgrunden vid kärnkraftverket i Tjernobyl. Samtidigt fungerade alla stationens system normalt, och strålningsbakgrunden översteg inte kontrollsystemet, rapporterar Meduza. På kvällen den 27 juni, på den officiella Facebook-sidan för Ukrainas inrikesministerium, överklagande till invånare i landet med en rekommendation att stänga av datorer tills ett sätt att bekämpa viruset har utvecklats.

Rosneft-servrar i Ryssland har attackerats av Petya ransomware-virus. Rosnefts talesman Mikhail Leontiev såg ett samband mellan Petya-virusets hackerattacker och företagets stämningsansökan mot AFK Sistema. På sändning på Business FM kallade han det ett rationellt försök att använda ett virus för att förstöra data om hanteringen av Bashneft. Enstaka fall av infektion av informationsinfrastrukturobjekt i Rysslands banksystem har registrerats. Home Credit Bank stoppade sin verksamhet på grund av cyberattacker, och arbetet på kreditinstitutets webbplats stördes också. Filialer fungerade bara i ett konsultläge, medan bankomater fungerade som vanligt, rapporterar Interfax.

Den 28 juni rapporterade media också om en attack mot datorer i Storbritannien, Holland, Danmark, Spanien, Indien, Litauen, Frankrike och USA.

Mikhail Leontiev såg sambandet mellan Petya-virusets hackerattacker och rättegången mot AFK Sistema. Foto polit.ru

Skydd mot WannaCry är maktlöst mot "Petya"

Principen för driften av Petya är baserad på kryptering av master boot record (MBR) för diskstartsektorn. Den här posten är den första sektorn på hårddisken, den innehåller partitionstabellen och laddningsprogrammet som läser information från denna tabell om vilken partition på hårddisken systemet kommer att starta från. Den ursprungliga MBR lagras i sektor 0x22 på skivan och krypteras med en byte-för-byte XOR-operation med 0x07. Som ett resultat kommer informationen på datorns disk att ersättas av data från viruset, rapporterar experter på Positive Technologies.

Efter att den skadliga filen har lanserats skapas en uppgift för att starta om datorn, vilket är försenat i 1-2 timmar. Om disken lyckas kryptera efter omstarten, visas ett meddelande som ber dig att betala en lösensumma på 300 $ (eller ge tillbaka den i kryptovaluta) för att få upplåsningsnyckeln för filen. E-postadressen som utpressarna använder är förresten redan blockerad, vilket gör pengaöverföringen värdelös.

Petya använder en Windows-sårbarhet - en exploatering med kodnamnet EternalBlue. Den ökända WannaCry invaderade datorer med samma sårbarhet. Tack vare utnyttjandet distribuerades Petya genom Windows Management Instrumentation (ett verktyg för centraliserad hantering och övervakning av driften av olika delar av en datorinfrastruktur som körs på Windows-plattformen) och PsExec (låter dig köra processer i fjärrsystem) genom att få maximala privilegier på det sårbara systemet. Detta gjorde att viruset kunde fortsätta arbeta även med uppdateringar mot WannaCry installerade på datorerna.

bootrec /fixMbr kommando och anteckningsblock

Den berömda franska hackaren och mjukvaruutvecklaren Mathieu Suchet på sin Twitter

Virus "Petya": hur man inte fångar det, hur man dechiffrerar var det kom ifrån - de senaste nyheterna om Petya ransomware-viruset, som den tredje dagen av sin "aktivitet" träffade cirka 300 tusen datorer i olika länder världen, och hittills har ingen stoppat honom.

Petya virus - hur man dekrypterar, senaste nyheterna. Efter att ha attackerat en dator kräver skaparna av Petya ransomware en lösensumma på $300 (i bitcoins), men det finns inget sätt att dekryptera Petya-viruset även om användaren betalar pengarna. Kaspersky Labs experter, som såg skillnader från Petya i det nya viruset och kallade det ExPetr, hävdar att en unik identifierare för en specifik trojansk installation behövs för att dekryptera det.

I tidigare kända versioner av liknande Petya/Mischa/GoldenEye ransomware innehöll installationsidentifieraren den information som var nödvändig för detta. I fallet med ExPetr finns inte denna identifierare, skriver RIA Novosti.

Virus "Petya" - var kom det ifrån, de senaste nyheterna. Tyska säkerhetsexperter lade fram den första versionen av var denna ransomware fick sin väg ifrån. Enligt deras åsikt började Petya-viruset ströva runt på datorer från öppnandet av M.E.Doc-filer. Detta är ett redovisningsprogram som används i Ukraina efter 1C-förbudet.

Samtidigt säger Kaspersky Lab att det är för tidigt att dra slutsatser om ursprunget och källan till spridningen av ExPetr-viruset. Det är möjligt att angriparna hade omfattande data. Till exempel e-postadresser från föregående nyhetsbrev eller något annat effektiva sätt penetration i datorer.

Med deras hjälp slog "Petya"-viruset med all sin kraft mot Ukraina och Ryssland, såväl som andra länder. Men den verkliga omfattningen av denna hackerattack kommer att vara klar inom några dagar - rapporter.

Virus "Petya": hur man inte fångar, hur man dechiffrerar, var det kom ifrån - senaste nyheterna om Petya ransomware-virus, som redan har fått ett nytt namn från Kaspersky Lab - ExPetr.

Attacken av "Petya"-viruset var en obehaglig överraskning för invånarna i många länder. Tusentals datorer har blivit infekterade, som ett resultat av vilket användare har förlorat viktig data som lagrats på deras hårddiskar.

Visst, nu har spänningen kring denna incident lagt sig, men ingen kan garantera att detta inte kommer att hända igen. Det är därför det är väldigt viktigt att skydda din dator från eventuellt hot och ta inte onödiga risker. Hur man gör det mest effektivt, och kommer diskuteras Nedan.

Konsekvenserna av attacken

Först och främst bör vi komma ihåg konsekvenserna av Petya.A:s korta aktivitet. På bara några timmar drabbades dussintals ukrainska och ryska företag. I Ukraina, förresten, var arbetet i datoravdelningarna vid sådana institutioner som Dniproenergo, Novaya Pochta och Kiev Metro nästan helt förlamat. Dessutom skyddade vissa statliga organisationer, banker och mobiloperatörer sig inte från Petya-viruset.

I länderna i Europeiska unionen lyckades ransomwaren också göra en hel del problem. Franska, danska, engelska och internationella företag rapporterade tillfälliga avbrott i samband med attacken datorvirus"Peter".

Som du kan se är hotet riktigt allvarligt. Och även trots att angriparna valde stora finansiella institutioner som sina offer, drabbades vanliga användare inte mindre.

Hur fungerar Petya?

För att förstå hur du skyddar dig mot Petya-viruset måste du först förstå hur det fungerar. Så, en gång på en dator, laddar skadlig programvara ner en speciell kryptering från Internet som infekterar Master Boot Record. Detta är ett separat område på hårddisken, dolt för användarens ögon och utformat för att starta operativsystemet.

För användaren ser den här processen ut som standarddriften för programmet Check Disk efter en plötslig systemkrasch. Datorn startar om abrupt och ett meddelande visas på skärmen om att kontrollera hårddisken för fel och ber dig att inte stänga av strömmen.

Så snart den här processen tar slut visas en skärmsläckare med information om hur du låser datorn. Skaparna av Petya-viruset kräver att användaren betalar en lösensumma på $300 (mer än 17,5 tusen rubel), och lovar i gengäld att skicka nyckeln som behövs för att återuppta datorn.

Förebyggande

Det är logiskt att det är mycket lättare att förhindra infektion med datorviruset Petya än att ta itu med dess konsekvenser senare. Så här säkrar du din dator:

  • Installera alltid de senaste uppdateringarna för operativsystemet. Detsamma gäller i princip allt. programvara installerat på din PC. Förresten, "Petya" kan inte skada datorer som kör MacOS och Linux.
  • Använda sig av nuvarande versioner antivirus och glöm inte att uppdatera sina databaser. Ja, rådet är banalt, men alla följer det inte.
  • Öppna inte misstänkta filer som skickats till dig via e-post. Kontrollera också alltid appar som laddats ner från tvivelaktiga källor.
  • Gör det regelbundet säkerhetskopior viktiga dokument och filer. Det är bäst att lagra dem på ett separat medium eller i "molnet" (Google Drive, Yandex.Disk, etc.). Tack vare detta, även om något händer med din dator, kommer värdefull information inte att påverkas.

Skapa en stoppfil

Ledande utvecklare antivirusprogram kom på hur man tar bort Petya-viruset. Mer exakt, tack vare sin forskning, kunde de förstå att under de inledande stadierna av infektionen försöker ransomware hitta en lokal fil på datorn. Om han lyckas, stoppar viruset sitt arbete och skadar inte datorn.

Enkelt uttryckt kan du manuellt skapa en slags stoppfil och på så sätt skydda din dator. För detta:

  • Öppna mappalternativ och avmarkera "Dölj tillägg för kända filtyper".
  • Skapa en ny fil med anteckningar och placera den i C:/Windows-katalogen.
  • Byt namn på det skapade dokumentet genom att kalla det "perfc". Gå sedan till och aktivera alternativet "Read Only".

Nu kommer "Petya"-viruset, efter att ha hamnat på din dator, inte att kunna skada det. Men kom ihåg att angripare kan ändra skadlig programvara i framtiden och metoden för att stoppa filskapande kommer att bli ineffektiv.

Om infektion redan har inträffat

När datorn startar om på egen hand och Check Disk startar, börjar viruset precis kryptera filer. I det här fallet kan du fortfarande spara dina data genom att göra följande:

  • Stäng av din PC omedelbart. Detta är det enda sättet du kan förhindra spridningen av viruset.
  • Anslut sedan din HDD till en annan dator (men inte som en startbar!) och kopiera viktig information från den.
  • Efter det måste du helt formatera den infekterade hårddisken. Naturligtvis måste du installera om operativsystemet och annan programvara på det.

Du kan också försöka använda en speciell startdiskett för att bota "Petya"-viruset. Kaspersky Anti-Virus, till exempel, tillhandahåller Kaspersky Rescue Disk-programmet för dessa ändamål, som går förbi operativsystemet.

Ska jag betala utpressare?

Som nämnts tidigare kräver skaparna av Petya en lösensumma på $300 från användare vars datorer har blivit infekterade. Enligt utpressarna kommer offren efter att ha betalat det angivna beloppet att få en nyckel som tar bort blockeringen av information.

Problemet är att en användare som vill återställa sin dator till ett normalt tillstånd måste skriva till angriparna kl e-post. Men all e-post ransomware blockeras omedelbart av auktoriserade tjänster, så det är helt enkelt omöjligt att kontakta dem.

Dessutom är många ledande utvecklare av antivirusprogram säkra på att det är helt omöjligt att låsa upp en dator som är infekterad med Petya med vilken kod som helst.

Som du säkert förstått är det inte värt att betala utpressare. Annars kommer du inte bara att sitta kvar med en icke-fungerande PC, utan också förlora en stor summa pengar.

Kommer det nya attacker

Petya-viruset upptäcktes första gången i mars 2016. Då upptäckte säkerhetsexperter snabbt hotet och förhindrade massdistributionen. Men redan i slutet av juni 2017 upprepades attacken igen, vilket ledde till mycket allvarliga konsekvenser.

Det är osannolikt att allt kommer att sluta där. Ransomware-attacker är inte ovanliga, så det är viktigt att hålla din dator skyddad hela tiden. Problemet är att ingen kan förutsäga vilket format nästa infektion kommer att ta. Hur som helst, det är alltid värt att följa de enkla rekommendationerna i denna artikel för att på detta sätt minska riskerna till ett minimum.

Storbritannien, USA och Australien anklagade officiellt Ryssland för att distribuera NotPetya

Den 15 februari 2018 utfärdade det brittiska utrikesdepartementet ett officiellt uttalande där Ryssland anklagades för att organisera en cyberattack med krypteringsviruset NotPetya.


Enligt de brittiska myndigheterna visade denna attack en ytterligare ignorering av Ukrainas suveränitet, och som ett resultat av dessa hänsynslösa handlingar stördes arbetet i många organisationer över hela Europa, vilket resulterade i förluster på flera miljoner dollar.


Ministeriet noterade att slutsatsen om den ryska regeringens och Kremls inblandning i cyberattacken gjordes på grundval av slutsatsen från UK National Cyber​​Security Center, som "är nästan helt säker på att den ryska militären ligger bakom NotPetya-attacken.” Även i uttalandet sade att dess allierade inte kommer att tolerera skadlig cyberaktivitet.

Enligt den australiensiska brottsbekämpnings- och cybersäkerhetsministern Angus Taylor, baserat på australiensisk underrättelseinformation och samråd med USA och Storbritannien, drog den australiensiska regeringen slutsatsen att ryska regeringsstödda angripare var ansvariga för händelsen. "Australiens regering fördömer ryskt beteende som utgör allvarliga risker för den globala ekonomin, statliga verksamheter och tjänster, affärsverksamhet och individers säkerhet och välbefinnande", står det i uttalandet.

Kreml, som tidigare upprepade gånger förnekat all inblandning av de ryska myndigheterna i hackerattacker, kallade uttalandet från det brittiska utrikeskontoret för en del av den "ryssofobiska kampanjen".

Monument "Här ligger datorviruset Petya som besegrades av människor den 27/06/2017"

Ett monument över datorviruset Petya installerades i december 2017 nära byggnaden av Skolkovo Technopark. Ett två meter långt monument, med inskriptionen: "Här ligger datorviruset Petya som besegrades av människor den 27/06/2017." gjord i form av en biten hårddisk, skapades med stöd av INVITRO, bland andra företag som drabbats av konsekvenserna av en massiv cyberattack. En robot vid namn Nu, som arbetar på Phystechpark och (MIT), kom till ceremonin för att hålla ett högtidligt tal.

Attack mot regeringen i Sevastopol

Specialister från huvuddirektoratet för information och kommunikation i Sevastopol avvärjde framgångsrikt attacken av Petya-nätverkskrypteringsviruset på den regionala regeringens servrar. Detta tillkännagavs den 17 juli 2017 vid ett operativt möte för regeringen i Sevastopol av chefen för informationsavdelningen Denis Timofeev.

Han uppgav att Petya malware inte hade någon effekt på data som lagrats på datorer i statliga institutioner i Sevastopol.


Fokus på användningen av fri mjukvara är inbäddad i konceptet för informatisering av Sevastopol, som godkändes 2015. Där står det att vid inköp och utveckling av basprogramvara, samt programvara för informationssystem för automation, är det lämpligt att analysera möjligheten att använda gratisprodukter som kan minska budgetkostnaderna och minska beroendet av leverantörer och utvecklare.

Tidigare, i slutet av juni, som en del av en storskalig attack mot medicinföretaget Invitro, skadades också en filial till dess filial i Sevastopol. På grund av viruset datornätverk filialen avbröt tillfälligt utfärdandet av testresultat tills orsakerna är eliminerade.

Invitro tillkännagav avbrytande av att ta tester på grund av en cyberattack

Medicinska företaget Invitro stoppade insamlingen av biomaterial och utfärdandet av patienttestresultat på grund av en hackerattack den 27 juni. Detta tillkännagavs för RBC av direktören för företagskommunikation för företaget Anton Bulanov.

Som anges i företagets meddelande kommer "Invitro" inom en snar framtid att gå över till normal drift. Resultaten av studier som utförs efter denna tid kommer att levereras till patienterna efter att det tekniska felet har eliminerats. På det här ögonblicket laboratorium Informationssystemåterställd, håller den på att ställa in den. "Vi beklagar den nuvarande force majeure-situationen och tackar våra kunder för deras förståelse", avslutade Invitro.

Enligt dessa uppgifter attackerades kliniker i Ryssland, Vitryssland och Kazakstan av ett datavirus.

Attack mot Gazprom och andra olje- och gasbolag

Den 29 juni 2017 blev det känt om en global cyberattack mot Gazproms datorsystem. Således drabbades ett annat ryskt företag av Petya ransomware-viruset.

Enligt nyhetsbyrån Reuters, med hänvisning till en rysk regeringskälla och en person inblandad i utredningen av händelsen, påverkades Gazprom av spridningen av Petya malware, som attackerade datorer i totalt mer än 60 länder runt om i världen.

Publikationens samtalspartner lämnade inga detaljer om hur många och vilka system som var infekterade i Gazprom, liksom mängden skada som orsakats av hackare. Företaget avböjde att kommentera på begäran av Reuters.

Samtidigt berättade en högt uppsatt RBC-källa vid Gazprom för publikationen att datorerna i företagets centralkontor fungerade utan avbrott när en storskalig hackerattack började (27 juni 2017), och fortsätter två dagar senare. Ytterligare två källor till RBC i Gazprom försäkrade också att "allt är lugnt" i företaget och att det inte finns några virus.

Inom olje- och gassektorn led Bashneft och Rosneft av Petya-viruset. Den senare meddelade den 28 juni att företaget fungerar normalt och att "vissa problem" löses snabbt.

Banker och industri

Det blev känt om infektionen av datorer i Evraz, den ryska grenen av Royal Canin (tillverkar uniformer för djur) och den ryska grenen av Mondelez (tillverkare av Alpen Gold och Milka choklad).

Enligt Ukrainas inrikesministerium har en man lagt upp en video med detaljerad beskrivning processen att lansera ransomware på datorer. I kommentarerna till videon lade mannen upp en länk till sin sida i socialt nätverk som skadlig programvara laddades på. Under sökningar i "hackerns" lägenhet beslagtog poliser datorutrustning som användes för att distribuera NotPetya. Polisen hittade också filer med skadlig programvara, efter analys av vilka dess likhet med NotPetya ransomware bekräftades. Som cyberpoliserna konstaterade laddades ransomwaren, vars länk publicerades av Nikopol-invånaren, ned av användare av det sociala nätverket 400 gånger.

Bland dem som laddade ner NotPetya identifierade brottsbekämpande tjänstemän företag som medvetet infekterade sina system med ransomware för att dölja kriminell aktivitet och undvika betalning av straff till staten. Det är värt att notera att polisen inte kopplar mannens aktiviteter till hackerattackerna den 27 juni i år, det vill säga det är inte fråga om hans inblandning i författarna till NotPetya. De gärningar som tillskrivits honom avser endast de handlingar som begicks i juli i år - efter en våg av storskaliga cyberattacker.

Ett brottmål inleddes mot mannen enligt del 1 av art. 361 (otillåtet ingripande i driften av datorer) i Ukrainas strafflag. Nikopolchanin riskerar upp till 3 års fängelse.

Distribution i världen

Spridningen av Petya ransomware-viruset har registrerats i Spanien, Tyskland, Litauen, Kina och Indien. Till exempel, på grund av skadlig programvara i Indien, kan trafikledningstekniken i Jawaharlal Nehru containerhamn, som drivs av A.P. Möller-Maersk, har upphört att känna igen varornas tillhörighet.

Cyberattacken rapporterades av den brittiska annonsgruppen WPP, det spanska kontoret för en av världens största advokatbyråer DLA Piper och livsmedelsjätten Mondelez. Franska byggmaterialtillverkaren Cie. de Saint-Gobain och läkemedelsföretaget Merck & Co.

Merck

Den amerikanska läkemedelsjätten Merck, som drabbades hårt av NotPetya ransomware-attacken i juni, kan fortfarande inte återställa alla system och återgå till normal drift. Detta rapporterades i bolagets rapport på blankett 8-K, inlämnad till US Securities and Exchange Commission (SEC) i slutet av juli 2017. Läs mer.

Möller-Maersk och Rosneft

Den 3 juli 2017 blev det känt att den danska fraktjätten Moller-Maersk och Rosneft återställde IT-system infekterade med Petya ransomware-viruset bara nästan en vecka efter attacken den 27 juni.


Rederiet Maersk, som står för en av sju fraktcontainrar som skickas globalt, tillade också att alla 1 500 applikationer som påverkas av cyberattacken kommer att återgå till normal drift senast den 9 juli 2017.

IT-systemen hos Maersk-ägda APM Terminals, som driver dussintals frakthamnar och containerterminaler i mer än 40 länder, påverkades mest. Över 100 tusen lastcontainrar per dag passerar genom hamnarna i APM Terminals, vars arbete var helt förlamat på grund av spridningen av viruset. Maasvlakte II-terminalen i Rotterdam återställde försörjningen den 3 juli.

16 augusti 2017 A.P. Möller-Maersk namngav den ungefärliga mängden skada från en cyberattack med Petya-viruset, vars infektion, som noterats av det europeiska företaget, passerade genom det ukrainska programmet. Enligt preliminära beräkningar av Maersk uppgick de ekonomiska förlusterna från Petya ransomware under andra kvartalet 2017 till mellan 200 miljoner och 300 miljoner dollar.

Samtidigt, nästan en vecka att återhämta sig datorsystem Rosneft behövde också en hackerattack, som rapporterades den 3 juli av företagets presstjänst, fick Interfax veta:


Några dagar tidigare betonade Rosneft att man ännu inte åtog sig att bedöma konsekvenserna av en cyberattack, men produktionen påverkades inte.

Hur fungerar Petya?

Visserligen kan virusoffer inte låsa upp sina filer när de väl är infekterade. Faktum är att dess skapare inte förutsåg en sådan möjlighet alls. Det vill säga att en krypterad disk a priori inte kan dekrypteras. Skadlig programvara saknar den information som krävs för dekryptering.

Inledningsvis rankade experter viruset, som drabbade cirka två tusen datorer i Ryssland, Ukraina, Polen, Italien, Tyskland, Frankrike och andra länder, som en del av den redan välkända Petya ransomware-familjen. Det visade det sig dock vi pratar om en ny skadlig programvara. "Kaspersky Lab" döpt nya ransomware ExPetr.

Hur man slåss

Kampen mot cyberhot kräver samlade insatser från banker, IT-företag och staten

Dataåterställningsmetod från Positive Technologies

Den 7 juli 2017 presenterade Positive Technologies-experten Dmitry Sklyarov en metod för att återställa data krypterad av NotPetya-viruset. Enligt experten är metoden tillämpbar om NotPetya-viruset hade administrativa privilegier och krypterade hela disken.

Möjligheten att återställa data beror på fel i implementeringen av Salsa20-krypteringsalgoritmen, gjorda av angriparna själva. Metodens effektivitet testades både på ett testmedium och på en av de krypterade hårddiskarna stort företag som var bland offren för epidemin.

Företag och oberoende utvecklare som specialiserat sig på dataåterställning är fria att använda och automatisera det presenterade dekrypteringsskriptet.

Resultaten av utredningen har redan bekräftats av den ukrainska cyberpolisen. Slutsatserna av utredningen "Juscutum" kommer att användas som nyckelbevis i den framtida processen mot Intellect-Service.

Processen kommer att vara civil till sin natur. En oberoende utredning genomförs av brottsbekämpande myndigheter i Ukraina. Deras företrädare har tidigare meddelat möjligheten att inleda förfaranden mot anställda på Intellect-Service.

M.E.Doc-företaget uppgav själv att det som hände var ett försök att ta över företaget av anfallare. Tillverkaren av den enda populära ukrainska bokföringsprogramvaran tror att företagets sökning av den ukrainska cyberpolisen var en del av genomförandet av denna plan.

Initial infektionsvektor med Petya-kodare

Den 17 maj släpptes en uppdatering till M.E.Doc som inte innehåller en skadlig bakdörrsmodul. Förmodligen kan detta förklara det relativt lilla antalet XData-infektioner, tror företaget. Angriparna förväntade sig inte att uppdateringen skulle släppas den 17 maj och lanserade krypteringen den 18 maj, när de flesta användare redan hade installerat den säkra uppdateringen.

Bakdörren tillåter att annan skadlig kod kan laddas och exekveras på det infekterade systemet - så här genomfördes den första infektionen med Petya- och XData-kodarna. Dessutom samlar programmet in proxy- och e-postinställningar, inklusive inloggningar och lösenord från M.E.Doc-applikationen, samt företagskoder enligt EDRPOU (Unified State Register of Enterprises and Organisations of Ukraine), vilket gör det möjligt att identifiera offer .

"Vi har ett antal frågor att besvara", säger Anton Cherepanov, senior virusanalytiker på Eset. - Hur länge har bakdörren använts? Vilka kommandon och skadlig programvara förutom Petya och XData skickades via den här kanalen? Vilka andra infrastrukturer har äventyrats men ännu inte använts av cybergruppen bakom denna attack?”

Baserat på en kombination av tecken, inklusive infrastruktur, skadliga verktyg, system och attackmål, har Eset-experter etablerat en koppling mellan Diskcoder.C (Petya)-epidemin och Telebots cybergrupp. Det har ännu inte varit möjligt att tillförlitligt fastställa vem som ligger bakom denna grupps verksamhet.

I början av maj infekterades cirka 230 000 datorer i mer än 150 länder med ransomware. Innan offren hann eliminera konsekvenserna av denna attack följde en ny – kallad Petya. Den största ukrainska och ryska företag såväl som statliga myndigheter.

Ukrainas cyberpolis fann att attacken av viruset började genom mekanismen för att uppdatera bokföringsprogramvaran M.E.Doc, som används för att förbereda och skicka skattedeklarationer. Så det blev känt att nätverken Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo och Dneprs elkraftsystem inte undgick infektion. I Ukraina har viruset trängt in i regeringsdatorer, PC:erna i Kievs tunnelbana, telekomoperatörer och till och med kärnkraftverket i Tjernobyl. I Ryssland drabbades Mondelez International, Mars och Nivea.

Petya-viruset utnyttjar EternalBlue-sårbarheten i operationssalen Windows-system. Experter från Symantec och F-Secure säger att medan Petya krypterar data som WannaCry, så skiljer det sig något från andra typer av ransomware. "Petyas virus är en ny typ av ransomware med skadlig avsikt: det krypterar inte bara filer på en disk, utan blockerar hela disken, vilket gör den praktiskt taget oanvändbar", förklarar F-Secure. "Särskilt krypterar den MFT-masterfiltabellen."

Hur sker detta och kan denna process förhindras?

Petya-virus - hur fungerar det?

Petya-viruset är också känt under andra namn: Petya.A, PetrWrap, NotPetya, ExPetr. Väl i datorn laddar den ner ett ransomware från Internet och försöker träffa en del av hårddisken med den data som behövs för att starta upp datorn. Om han lyckas, då problem med systemet blåskärm of Death ("dödens blå skärm"). Efter omstarten visas ett hårddiskkontrollmeddelande som ber dig att inte stänga av strömmen. Således låtsas ransomware-viruset vara ett systemprogram för att kontrollera disken, samtidigt som det krypterar filer med vissa tillägg. I slutet av processen visas ett meddelande om att datorn är låst och information om hur man skaffar en digital nyckel för att dekryptera data. Petya-viruset kräver en lösensumma, vanligtvis i bitcoin. Om offret inte har en säkerhetskopia av filerna står han inför ett val - att betala beloppet på $ 300 eller förlora all information. Enligt vissa analytiker maskerar viruset sig bara som ransomware, medan dess sanna mål är att orsaka massiv skada.

Hur blir man av med Petya?

Experterna fann att Petya-viruset letar efter en lokal fil och, om denna fil redan finns på disken, avslutar krypteringsprocessen. Det betyder att användare kan skydda sin dator från ransomware genom att skapa den här filen och ställa in den på skrivskyddad.

Även om detta listiga schema förhindrar utpressningsprocessen från att starta, den här metoden kan ses mer som "datorvaccination". Därför måste användaren skapa filen själv. Du kan göra detta på följande sätt:

  • Först måste du ta itu med filtillägget. Se till att i fönstret "Mappalternativ" i kryssrutan "Dölj tillägg för kända filtyper" är avmarkerat.
  • Öppna mappen C:\Windows, scrolla ner tills du ser programmet notepad.exe.
  • Vänsterklicka på notepad.exe, tryck sedan på Ctrl + C för att kopiera och sedan på Ctrl + V för att klistra in filen. Du kommer att bli tillfrågad om tillåtelse att kopiera filen.
  • Klicka på knappen "Fortsätt" så skapas filen som ett anteckningsblock - Copy.exe. Vänsterklicka på den här filen och tryck på F2-tangenten, radera sedan Copy.exe-filnamnet och skriv perfc.
  • Efter att ha ändrat filnamnet till perfc, tryck på Enter. Bekräfta byta namn.
  • Nu när perfc-filen har skapats måste vi göra den skrivskyddad. För att göra detta, högerklicka på filen och välj "Egenskaper".
  • Egenskapsmenyn för den filen öppnas. Längst ner ser du "Read Only". Markera rutan.
  • Klicka nu på knappen "Apply" och sedan på "OK".

Vissa säkerhetsexperter föreslår att du skapar C:\Windows\perfc.dat- och C:\Windows\perfc.dll-filer utöver filen C:\windows\perfc för att bättre skydda mot Petya-viruset. Du kan upprepa stegen ovan för dessa filer.

Grattis, din dator är skyddad från NotPetya / Petya!

Symantecs experter ger några råd till PC-användare för att förhindra dem från att göra saker som kan leda till fillåsning eller förlust av pengar.

  1. Betala inte pengar till bedragare.Även om du överför pengar till ransomware finns det ingen garanti för att du kommer att kunna återfå åtkomst till dina filer. Och i fallet med NotPetya / Petya är detta i princip meningslöst, eftersom syftet med kryptören är att förstöra data, inte att få pengar.
  2. Se till att du säkerhetskopierar dina data regelbundet. I det här fallet, även om din dator blir målet för en ransomware-attack, kommer du att kunna återställa alla raderade filer.
  3. Öppna inte e-postmeddelanden med tveksamma adresser. Angripare kommer att försöka lura dig att installera skadlig programvara eller försöka få fram viktig data för attacker. Var noga med att meddela IT-proffs om du eller dina anställda får misstänkta e-postmeddelanden eller länkar.
  4. Använd pålitlig programvara. Snabb uppdatering av antivirusprogram spelar en viktig roll för att skydda datorer från infektioner. Och naturligtvis måste du använda produkterna från välrenommerade företag inom detta område.
  5. Använd mekanismer för att skanna och blockera skräppostmeddelanden. Inkommande e-postmeddelanden ska skannas efter hot. Det är viktigt att alla typer av meddelanden som innehåller länkar eller typiska nätfiske-sökord i sin kropp blockeras.
  6. Se till att alla program är uppdaterade. Regelbunden patchning av sårbarheter i programvara är avgörande för att förhindra infektioner.

Ska vi förvänta oss nya attacker?

Petya-viruset dök upp första gången i mars 2016 och säkerhetsexperter märkte omedelbart dess beteende. Det nya Petya-viruset drabbade datorer i Ukraina och Ryssland i slutet av juni 2017. Men det här tar knappast slut. Hackerattacker att använda ransomware-virus som liknar Petya och WannaCry kommer att upprepas, sa Stanislav Kuznetsov, vice ordförande i Sberbanks styrelse. I en intervju med TASS varnade han för att det definitivt skulle bli sådana attacker, men det är svårt att på förhand förutse i vilken form och format de kan komma att dyka upp.

Om du, efter alla tidigare cyberattacker, ännu inte har vidtagit åtminstone minimala åtgärder för att skydda din dator från ett krypteringsvirus, då är det dags att ta tag i det.




Topp