Yeni virüs petya. Rusya, Ukrayna ve diğer Avrupa ülkeleri Petya fidye yazılımı virüsü tarafından saldırıya uğruyor: duruma genel bakış ve korunma yöntemi. Petna hâlâ yayılıyor mu?

WannaCry ile aynı "deliklerden" geçmesine rağmen tüm dünya yeni virüse karşı koruma sağlamaya çalışıyor

WannaCry fidye yazılımının yayılmasının ardından dünya çapındaki bilgisayarlar bir kez daha siber saldırılara maruz kaldı. Petya virüsü, Avrupa ve Amerika Birleşik Devletleri'nin çeşitli ülkelerindeki cihazları etkiledi. Ancak hasarın çoğu, yaklaşık 80 şirketin etkilendiği Rusya ve Ukrayna'daki bilgisayarlarda meydana geldi. Fidye yazılımı virüsü, etkilenen bilgisayarların sahiplerinden para veya kripto para birimi talep etti, ancak siber uzmanlar dolandırıcılara kanmamanın bir yolunu buldu. Petya'nın kim olduğunu ve onunla karşılaşmaktan nasıl kaçınabileceğinizi Realnoe Vremya'nın materyallerinden okuyun.

“Petit” kurbanları: Rosneft'ten Çernobil nükleer santraline

Petya virüsünün kitlesel yayılması 27 Haziran'da başladı. İlk zarar gören Ukrayna oldu: Yerel basında çıkan haberlere göre, büyük enerji şirketlerinin (Ukrenergo, DTEK ve Kyivenergo) bilgisayarları saldırıya uğradı. Şirketlerden birinin çalışanı gazetecilere verdiği demeçte, 27 Haziran sabahı iş bilgisayarının yeniden başlatıldığını ve ardından sistemin iddiaya göre kontrol etmeye başladığını söyledi. sabit disk. Daha sonra ofisteki tüm bilgisayarlarda aynı şeyin olduğunu gördü. Bilgisayarı kapattı ancak açtıktan sonra cihazın ekranında fidye talebini içeren bir yazı belirdi. Virüs ayrıca bazı Ukrayna bankalarının bilgisayarlarını, Ukrayna Hazinesini, Bakanlar Kurulunu, Ukrtelecom şirketini ve Boryspil havaalanını da etkiledi.

Petya ayrıca Çernobil nükleer santralindeki arka plan radyasyonunu izlemeye yönelik bilgisayar sistemine de saldırdı. Meduza, aynı zamanda istasyonun tüm sistemlerinin normal şekilde çalıştığını ve radyasyon arka planının kontrol seviyesini aşmadığını bildirdi. 27 Haziran akşamı Ukrayna İçişleri Bakanlığı'nın resmi Facebook sayfasında göründü çekici Virüsle mücadelenin bir yolu geliştirilene kadar ülke sakinlerine bilgisayarlarını kapatmaları tavsiyesinde bulunuldu.

Rusya'da Rosneft sunucuları Petya fidye yazılımı virüsü tarafından saldırıya uğradı. Rosneft basın sözcüsü Mikhail Leontyev, Petya virüsünün hacker saldırıları ile şirketin AFK Sistema'ya yönelik iddiası arasında bir bağlantı gördü. Business FM'de, Bashneft'in yönetimine ilişkin verileri yok etmek için bir virüs kullanmayı denemenin mantıklı olduğunu söyledi. Rus bankacılık sisteminin bilgi altyapısı nesnelerine yönelik münferit enfeksiyon vakaları kaydedildi. Konut Kredi Bankası, siber saldırılar nedeniyle faaliyetlerini durdururken, kredi kuruluşunun internet sitesinin işleyişi de aksadı. Interfax'ın raporuna göre şubeler yalnızca danışma modunda çalışırken, ATM'ler normal şekilde çalışıyordu.

Medya ayrıca 28 Haziran'da İngiltere, Hollanda, Danimarka, İspanya, Hindistan, Litvanya, Fransa ve ABD'deki bilgisayarlara saldırı düzenlendiğini bildirdi.

Mikhail Leontyev, Petya virüsünün hacker saldırıları ile AFK Sistema'ya yönelik iddialar arasında bir bağlantı gördü. Fotoğraf polit.ru

WannaCry koruması Petit'e karşı güçsüz

Petya'nın çalışma prensibi, diskin önyükleme sektörünün ana önyükleme kaydının (MBR) şifrelenmesine dayanmaktadır. Bu giriş, sabit diskteki ilk sektördür; bir bölüm tablosu ve bu tablodan sistemin hangi sabit disk bölümünden önyükleme yapacağına ilişkin bilgileri okuyan bir önyükleyici programı içerir. Orijinal MBR, diskin 0x22. sektöründe saklanır ve 0x07 ile bayt bayt XOR kullanılarak şifrelenir. Positive Technologies uzmanları, bunun sonucunda bilgisayar diskindeki bilgilerin yerini virüs verilerinin alacağını bildirdi.

Kötü amaçlı dosyayı çalıştırdıktan sonra bilgisayarı yeniden başlatmak için 1-2 saat gecikmeli bir görev oluşturulur. Disk, yeniden başlatmanın ardından başarılı bir şekilde şifrelenirse, ekranda dosya kilit açma anahtarını almak için 300 ABD doları tutarında fidye ödemenizi (veya bunu kripto para birimi olarak vermenizi) gerektiren bir mesaj görüntülenir. Bu arada, şantajcıların kullandığı e-posta adresi zaten bloke edilmiş, bu da para transferini işe yaramaz hale getiriyor.

Petya, EternalBlue kod adlı bir Windows güvenlik açığını kullanıyor. Ünlü WannaCry saldırısı da bilgisayarlara saldırmak için aynı güvenlik açığını kullandı. Açıklardan yararlanma sayesinde Petya, Windows Yönetim Araçları (Windows platformunu çalıştıran bilgisayar altyapısının çeşitli bölümlerinin çalışmasının merkezi yönetimi ve izlenmesi için bir araç) ve PsExec (işlemleri tek bir yerde yürütmenize olanak tanır) aracılığıyla dağıtıldı. uzak sistemler), savunmasız sistem üzerinde maksimum ayrıcalıklar elde etmek. Bu, virüsün bilgisayarlarda WannaCry karşıtı güncellemeler yüklü olsa bile çalışmaya devam etmesine izin verdi.

Bootrec /fixMbr komutunu verin ve Not Defteri'ne yazın

Ünlü Fransız hacker ve yazılım geliştiricisi Mathieu Suchet Twitter hesabında

Virüs "Petya": nasıl yakalanmayacağı, nereden geldiği nasıl çözüleceği - “etkinliğinin” üçüncü gününde yaklaşık 300 bin bilgisayara bulaşan Petya fidye yazılımı virüsü hakkında en son haberler Farklı ülkeler dünya ve şu ana kadar kimse onu durdurmadı.

Petya virüsü - şifresinin nasıl çözüleceği, en son haberler. Bir bilgisayara yapılan saldırının ardından, Petya fidye yazılımının yaratıcıları 300 ABD Doları (bitcoin cinsinden) fidye talep ediyor, ancak kullanıcı para ödese bile Petya virüsünün şifresini çözmenin bir yolu yok. Petit'in yeni virüsündeki farklılıkları gören ve ona ExPetr adını veren Kaspersky Lab uzmanları, şifre çözmenin belirli bir Truva atı kurulumu için benzersiz bir tanımlayıcı gerektirdiğini iddia ediyor.

Benzer Petya/Mischa/GoldenEye şifreleyicilerin önceden bilinen sürümlerinde, kurulum tanımlayıcısı bunun için gerekli bilgileri içeriyordu. RIA Novosti, ExPetr durumunda bu tanımlayıcının mevcut olmadığını yazıyor.

“Petya” virüsü – nereden geldi, son haberler. Alman güvenlik uzmanları bu fidye yazılımının nereden geldiğinin ilk versiyonunu ortaya koydu. Onlara göre Petya virüsü, M.E.Doc dosyaları açıldığında bilgisayarlar üzerinden yayılmaya başladı. Bu, 1C yasağının ardından Ukrayna'da kullanılan bir muhasebe programıdır.

Bu arada Kaspersky Lab, ExPetr virüsünün kökeni ve yayılma kaynağı hakkında sonuca varmak için henüz çok erken olduğunu söylüyor. Saldırganların elinde kapsamlı veriler olması mümkün. Örneğin, önceki bültendeki veya diğer bazı bültenlerdeki e-posta adresleri etkili yollar bilgisayarlara sızma.

Onların yardımıyla “Petya” virüsü Ukrayna ve Rusya'nın yanı sıra diğer ülkeleri de tüm gücüyle vurdu. Ancak bu hacker saldırısının gerçek boyutunun birkaç gün içinde netleşeceği bildirildi.

“Petya” virüsü: nasıl yakalanmaz, nasıl çözülür, nereden gelir - son haberler Kaspersky Lab'den yeni bir isim alan Petya fidye yazılımı virüsü hakkında: ExPetr.

Petya virüsünün saldırısı birçok ülkenin sakinleri için hoş olmayan bir sürpriz oldu. Binlerce bilgisayara virüs bulaştı ve kullanıcıların sabit disklerinde depolanan önemli verileri kaybetmesine neden oldu.

Elbette artık bu olayla ilgili heyecan azaldı ama kimse bunun bir daha olmayacağını garanti edemez. Bu nedenle bilgisayarınızı korumak çok önemlidir. olası tehdit ve gereksiz riskler almayın. Bunun en etkili şekilde nasıl yapılacağı ve konuşacağız altında.

Saldırının sonuçları

Öncelikle Petya.A'nın kısa süreli faaliyetinin ne gibi sonuçlara yol açtığını hatırlamalıyız. Sadece birkaç saat içinde onlarca Ukraynalı ve Rus şirketi etkilendi. Bu arada Ukrayna'da Dneprenergo, Nova Poshta ve Kiev Metrosu gibi kurumların bilgisayar departmanlarının çalışmaları neredeyse tamamen felç oldu. Üstelik bazı devlet kurumları, bankalar ve mobil operatörler Petya virüsünden korunamadı.

Fidye yazılımı Avrupa Birliği ülkelerinde de pek çok soruna yol açmayı başardı. Fransız, Danimarkalı, İngiliz ve uluslararası şirketler saldırıyla ilgili geçici kesintiler bildirdi bilgisayar virüsü"Peter".

Gördüğünüz gibi tehdit gerçekten ciddi. Saldırganlar kurbanları olarak büyük finans kuruluşlarını seçmiş olsalar da, düzenli kullanıcılar daha az acı çekmedi.

Petya nasıl çalışır?

Kendinizi Petya virüsünden nasıl koruyacağınızı anlamak için öncelikle nasıl çalıştığını anlamanız gerekir. Böylece, kötü amaçlı yazılım bilgisayara girdikten sonra İnternet'ten Ana Önyükleme Kaydına bulaşan özel bir fidye yazılımı indirir. Bu, sabit sürücüde kullanıcının gözünden gizlenmiş ve işletim sistemini yüklemek için tasarlanmış ayrı bir alandır.

Kullanıcı açısından bu süreç, ani bir sistem çökmesi sonrasında Diski Kontrol Et programının standart çalışmasına benzer. Bilgisayar aniden yeniden başlatılıyor ve ekranda sabit sürücüyü hatalara karşı kontrol etme ve gücü kapatmamanızı isteyen bir mesaj beliriyor.

Bu işlem sona erdiğinde, engellenen bilgisayar hakkında bilgi içeren bir ekran koruyucu belirir. Petya virüsünün yaratıcısı, kullanıcının 300 $ (17,5 bin ruble'den fazla) fidye ödemesini talep ediyor ve karşılığında bilgisayarın çalışmasını sürdürmek için gerekli anahtarı gönderme sözü veriyor.

Önleme

Petya bilgisayar virüsünün bulaşmasını önlemenin sonuçlarıyla daha sonra uğraşmaktan çok daha kolay olması mantıklıdır. Bilgisayarınızın güvenliğini sağlamak için:

• Her zaman işletim sisteminiz için en son güncellemeleri yükleyin. Prensipte aynı şey her şey için geçerlidir yazılım PC'nize yüklü. Bu arada “Petya” MacOS ve Linux çalıştıran bilgisayarlara zarar veremez.
• Kullanmak güncel sürümler antivirüs ve veritabanını güncellemeyi unutmayın. Evet, tavsiye sıradan ama herkes buna uymuyor.
• Size e-postayla gönderilen şüpheli dosyaları açmayın. Ayrıca şüpheli kaynaklardan indirilen uygulamaları her zaman kontrol edin.
• Düzenli olarak yapın yedeklemelerÖnemli belgeler ve dosyalar. Bunları ayrı bir ortamda veya "bulutta" (Google Drive, Yandex.Disk vb.) saklamak en iyisidir. Bu sayede bilgisayarınıza bir şey olsa dahi değerli bilgileriniz zarar görmez.

Durdurma dosyası oluşturma

Lider geliştiriciler antivirüs programları Petya virüsünün nasıl kaldırılacağını öğrendim. Daha doğrusu, araştırmaları sayesinde fidye yazılımının bulaşmanın ilk aşamalarında bilgisayarda yerel bir dosya bulmaya çalıştığını anlayabildiler. Başarılı olursa virüs çalışmayı durdurur ve bilgisayara zarar vermez.

Basitçe söylemek gerekirse, manuel olarak bir tür durdurma dosyası oluşturabilir ve böylece bilgisayarınızı koruyabilirsiniz. Bunun için:

• Klasör Seçenekleri ayarlarını açın ve "Bilinen dosya türleri için uzantıları gizle" seçeneğinin işaretini kaldırın.
• Not defteri kullanarak oluşturma yeni dosya ve C:/Windows dizinine yerleştirin.
• Oluşturulan belgeyi "perfc" olarak yeniden adlandırın. Ardından Salt Okunur seçeneğine gidin ve etkinleştirin.

Artık Petya virüsü bilgisayarınıza bir kez girdiğinde ona zarar veremeyecek. Ancak gelecekte saldırganların kötü amaçlı yazılımı değiştirebileceğini ve dosya durdurma yönteminin etkisiz hale geleceğini unutmayın.

Enfeksiyon zaten meydana gelmişse

Bilgisayar kendi kendine yeniden başlatıldığında ve Diski Denetle başlatıldığında, virüs dosyaları şifrelemeye başlar. Bu durumda, aşağıdaki adımları izleyerek verilerinizi kaydetmek için hâlâ zamanınız olabilir:

• PC'ye giden gücü derhal kapatın. Virüsün yayılmasını önlemenin tek yolu budur.
• Daha sonra bağlantınızı yapmanız gerekir Sabit disk başka bir bilgisayara (önyükleme olarak değil!) ve önemli bilgileri ondan kopyalayın.
• Bundan sonra, virüslü sabit sürücüyü tamamen biçimlendirmeniz gerekir. Doğal olarak, işletim sistemini ve diğer yazılımları yeniden yüklemeniz gerekecektir.

Alternatif olarak özel bir araç kullanmayı deneyebilirsiniz. önyükleme diski Petya virüsünü iyileştirmek için. Örneğin Kaspersky Anti-Virus, bu amaçlar için işletim sistemini atlayan Kaspersky Rescue Disk programını sağlar.

Gaspçılara para ödemeye değer mi?

Daha önce de belirtildiği gibi Petya'nın yaratıcıları, bilgisayarlarına virüs bulaşan kullanıcılardan 300 dolar fidye talep ediyor. Şantajcılara göre, belirlenen miktar ödendikten sonra mağdurlara bilgilerin engellenmesini ortadan kaldıracak bir anahtar gönderilecek.

Sorun şu ki, bilgisayarını normale döndürmek isteyen bir kullanıcının saldırganlara yazması gerekiyor. e-posta. Ancak tüm fidye yazılımı e-postaları yetkili servisler tarafından hızlı bir şekilde engellenir, dolayısıyla onlarla iletişime geçmek imkansızdır.

Üstelik önde gelen anti-virüs yazılımı geliştiricilerinin çoğu, Petya'nın bulaştığı bir bilgisayarın kilidini herhangi bir kod kullanarak açmanın tamamen imkansız olduğundan emin.

Muhtemelen anladığınız gibi, şantajcılara ödeme yapmamalısınız. Aksi takdirde, yalnızca çalışmayan bir bilgisayarla kalmayacak, aynı zamanda büyük miktarda para kaybedeceksiniz.

Yeni saldırılar olacak mı?

Petya virüsü ilk olarak Mart 2016'da keşfedildi. Daha sonra güvenlik uzmanları tehdidi hızla fark etti ve kitlesel yayılmasını önledi. Ancak Haziran 2017'nin sonunda saldırı tekrar tekrarlandı ve bu da çok ciddi sonuçlara yol açtı.

Her şeyin orada bitmesi pek olası değil. Fidye yazılımı saldırıları nadir değildir, bu nedenle bilgisayarınızı her zaman korumanız önemlidir. Sorun şu ki, hiç kimse bir sonraki enfeksiyonun hangi formatta gerçekleşeceğini tahmin edemiyor. Öyle olsa bile, riskleri en aza indirmek için bu makalede verilen basit tavsiyelere her zaman uymaya değer.

İngiltere, ABD ve Avustralya resmen Rusya'yı NotPetya'yı yaymakla suçladı

15 Şubat 2018'de İngiltere Dışişleri Bakanlığı, Rusya'yı NotPetya fidye yazılımı virüsünü kullanarak bir siber saldırı düzenlemekle suçlayan resmi bir açıklama yayınladı.

İngiliz yetkililer, saldırının Ukrayna'nın egemenliğine yönelik daha fazla saygısızlığın göstergesi olduğunu ve pervasız eylemlerin Avrupa çapında çok sayıda kuruluşu sekteye uğratarak multimilyon dolarlık kayıplara yol açtığını söylüyor.

Bakanlık, Rus hükümetinin ve Kremlin'in siber saldırıda yer aldığına ilişkin sonucun, Birleşik Krallık Ulusal Siber Güvenlik Merkezi'nin "arkasında Rus ordusunun olduğundan neredeyse tamamen emin olan" vardığı sonuca dayanılarak yapıldığını kaydetti. NotPetya saldırısı.” Açıklamada ayrıca müttefiklerinin zararlı siber faaliyetlere tolerans göstermeyeceği belirtildi.

Daha önce Rus yetkililerin hacker saldırılarına karıştığını defalarca reddeden Kremlin, İngiltere Dışişleri Bakanlığı'nın açıklamasını "Rus düşmanı kampanyanın" parçası olarak nitelendirdi.

Anıt "Burada 27 Haziran 2017'de insanlar tarafından mağlup edilen bilgisayar virüsü Petya yatıyor"

Petya bilgisayar virüsünün anıtı Aralık 2017'de Skolkovo Teknopark binasının yakınına dikildi. Üzerinde şu yazı bulunan iki metrelik bir anıt: "Burada 27 Haziran 2017'de insanlar tarafından mağlup edilen bilgisayar virüsü Petya yatıyor." Isırılmış bir sabit disk şeklinde yapılan bu cihaz, büyük bir siber saldırının sonuçlarına maruz kalan diğer şirketlerin yanı sıra INVITRO şirketinin desteğiyle oluşturuldu. Törene özel olarak Fizik ve Teknoloji Parkı ve (MIT)'de görev yapan Nu isimli robot törene gelerek ciddi bir konuşma yaptı.

Sivastopol hükümetine saldırı

Sevastopol Bilgi ve İletişim Ana Müdürlüğü uzmanları, Petya ağ şifreleme virüsünün bölgesel hükümetin sunucularına yaptığı saldırıyı başarıyla püskürttü. Bu, 17 Temmuz 2017'de Sevastopol hükümetinin bilişim departmanı başkanı Denis Timofeev tarafından yapılan personel toplantısında duyuruldu.

Petya kötü amaçlı yazılımının, Sevastopol'daki devlet kurumlarındaki bilgisayarlarda depolanan veriler üzerinde hiçbir etkisi olmadığını belirtti.

Özgür yazılımın kullanımına odaklanma, 2015 yılında onaylanan Sevastopol'un bilişim kavramına yerleştirilmiştir. Temel yazılımın yanı sıra otomasyona yönelik bilgi sistemleri yazılımı satın alırken ve geliştirirken, bütçe maliyetlerini azaltmak ve tedarikçilere ve geliştiricilere bağımlılığı azaltmak için ücretsiz ürünleri kullanma olasılığının analiz edilmesi tavsiye edilir.

Daha önce, haziran ayının sonunda Invitro medikal şirketine düzenlenen büyük çaplı saldırının bir parçası olarak, Sevastopol'daki şubesi de hasar görmüştü. Virüs nedeniyle bilgisayar ağıŞube, sebepler ortadan kalkana kadar test sonuçlarının yayınlanmasını geçici olarak durdurdu.

Invitro, siber saldırı nedeniyle test kabulünün askıya alındığını duyurdu

Tıp şirketi Invitro, 27 Haziran'daki bir hacker saldırısı nedeniyle biyomateryal toplamayı ve hasta test sonuçlarının yayınlanmasını askıya aldı. Şirketin kurumsal iletişim direktörü Anton Bulanov bunu RBC'ye anlattı.

Şirketin yaptığı açıklamada, Invitro'nun yakında normal işleyişine döneceğini belirtti. Bu süreden sonra yapılan çalışmaların sonuçları, teknik arıza giderildikten sonra hastalara iletilecek. Açık şu an laboratuvar Bilgi sistemi restore edildi, kurulum süreci devam ediyor. Invitro sözlerini şöyle tamamladı: "Mevcut mücbir sebep durumundan üzüntü duyuyoruz ve müşterilerimize anlayışları için teşekkür ediyoruz."

Bu verilere göre Rusya, Belarus ve Kazakistan'daki kliniklere bilgisayar virüsü saldırısı düzenlendi.

Gazprom ve diğer petrol ve gaz şirketlerine saldırı

29 Haziran 2017'de Gazprom'un bilgisayar sistemlerine küresel bir siber saldırı yapıldığı öğrenildi. Böylece bir Rus şirketi daha Petya fidye yazılımı virüsüne maruz kaldı.

Reuters haber ajansının Rus hükümetinden bir kaynak ve olayın soruşturmasında yer alan bir kişiye dayandırdığı haberine göre Gazprom, dünya çapında toplam 60'tan fazla ülkedeki bilgisayarlara saldıran Petya kötü amaçlı yazılımının yayılmasından zarar gördü.

Yayının muhatapları, Gazprom'da kaç tane ve hangi sisteme virüs bulaştığının yanı sıra bilgisayar korsanlarının neden olduğu hasarın boyutu hakkında ayrıntılı bilgi vermedi. Şirket, Reuters ile iletişime geçtiğinde yorum yapmaktan kaçındı.

Bu arada Gazprom'dan üst düzey bir RBC kaynağı, yayına, büyük ölçekli hacker saldırısı başladığında (27 Haziran 2017) şirketin merkez ofisindeki bilgisayarların kesintisiz çalıştığını ve iki gün sonra da çalışmaya devam ettiğini söyledi. Gazprom'daki iki RBC kaynağı daha şirkette "her şeyin sakin" olduğunu ve virüs bulunmadığını garanti etti.

Petrol ve gaz sektöründe Bashneft ve Rosneft Petya virüsünden muzdaripti. İkincisi, 28 Haziran'da şirketin normal şekilde çalıştığını ve "bireysel sorunların" derhal çözüldüğünü duyurdu.

Bankalar ve endüstri

Royal Canin'in Rusya şubesi (hayvanlar için üniforma üretiyor) ve Mondelez'in (Alpen Gold ve Milka çikolatalarının üreticisi) Rusya bölümü Evraz'da bilgisayarlara virüs bulaştığı öğrenildi.

Ukrayna İçişleri Bakanlığı'na göre, bir adam dosya paylaşım siteleri ve sosyal ağlarda bir video yayınladı. Detaylı Açıklama bilgisayarlarda fidye yazılımı çalıştırma süreci. Videoya yapılan yorumlarda adam, kendi sayfasının bağlantısını yayınladı. sosyal ağ, üzerine kötü amaçlı bir program indirdi. 'Hacker'ın evinde yapılan aramada kolluk kuvvetleri tarafından ele geçirildi bilgisayar ekipmanı NotPetya'yı dağıtmak için kullanılır. Polis ayrıca kötü amaçlı yazılım içeren dosyalar da buldu ve bunların analizi sonrasında bunun NotPetya fidye yazılımına benzer olduğu doğrulandı. Siber polis ekiplerinin tespit ettiği bir Nikopol sakininin bağlantısını yayınladığı fidye yazılımı programı, sosyal ağ kullanıcıları tarafından 400 kez indirildi.

NotPetya'yı indirenler arasında kolluk kuvvetleri, suç faaliyetlerini gizlemek ve devlete ceza ödemekten kaçınmak için sistemlerine kasıtlı olarak fidye yazılımı bulaştıran şirketleri tespit etti. Polisin, adamın faaliyetlerini bu yıl 27 Haziran'da gerçekleşen hacker saldırılarıyla ilişkilendirmediğini, yani NotPetya'nın yazarlarıyla herhangi bir ilgisinden söz edilmediğini belirtmekte fayda var. Suçlandığı eylemler yalnızca bu yılın temmuz ayında, büyük ölçekli bir siber saldırı dalgasından sonra işlenen eylemlerle ilgili.

Adam hakkında Sanatın 1. Bölümü uyarınca ceza davası açıldı. Ukrayna Ceza Kanunu'nun 361'i (bir bilgisayarın çalışmasına izinsiz müdahale). Nikopol sakini 3 yıla kadar hapisle karşı karşıya.

Dünyadaki dağıtım

Petya fidye yazılımı virüsünün dağılımı İspanya, Almanya, Litvanya, Çin ve Hindistan'da kaydedildi. Örneğin Hindistan'daki kötü amaçlı bir program nedeniyle, A.P. tarafından işletilen Jawaharlal Nehru konteyner limanının kargo akışını yönetme teknolojisi. Moller-Maersk kargonun kimliğini tanımayı bıraktı.

Siber saldırı, dünyanın en büyük hukuk firmalarından biri olan DLA Piper ve gıda devi Mondelez'in İspanyol ofisi olan İngiliz reklam grubu WPP tarafından bildirildi. Fransız inşaat malzemeleri üreticisi Cie de kurbanlar arasında yer alıyor. de Saint-Gobain ve ilaç şirketi Merck & Co.

Merck

NotPetya fidye yazılımı virüsünün Haziran ayındaki saldırısı sonucunda büyük zarar gören Amerikan ilaç devi Merck, hâlâ tüm sistemlerini geri yükleyemiyor ve normal işleyişine dönemiyor. Bu, şirketin Temmuz 2017 sonunda ABD Menkul Kıymetler ve Borsa Komisyonu'na (SEC) sunulan Form 8-K hakkındaki raporunda bildirildi. Devamını oku.

Moller-Maersk ve Rosneft

3 Temmuz 2017'de, Danimarkalı denizcilik devi Moller-Maersk ve Rosneft'in, 27 Haziran'da meydana gelen saldırıdan yalnızca bir hafta sonra Petya fidye yazılımı virüsü bulaşmış BT sistemlerini geri yüklediği öğrenildi.

Dünya çapında sevk edilen her yedinci kargo konteynerinden sorumlu olan nakliye şirketi Maersk, siber saldırıdan etkilenen 1.500 uygulamanın tamamının en fazla 9 Temmuz 2017'ye kadar normal çalışmaya döneceğini de sözlerine ekledi.

40'tan fazla ülkede düzinelerce kargo limanı ve konteyner terminalini işleten Maersk'e ait APM Terminallerinin BT sistemleri en çok etkilendi. Virüsün yayılması nedeniyle çalışmaları tamamen felç olan APM Terminalleri'nin limanlarından günde 100 binin üzerinde kargo konteyneri geçiyor. Rotterdam'daki Maasvlakte II terminali 3 Temmuz'da tedariklere yeniden başladı.

16 Ağustos 2017 A.P. Moller-Maersk, Avrupalı ​​şirkette belirtildiği gibi Ukrayna programı aracılığıyla bulaşan Petya virüsünü kullanan bir siber saldırıdan kaynaklanan yaklaşık hasar miktarını belirledi. Maersk'in ön hesaplamalarına göre, 2017 yılının ikinci çeyreğinde Petya fidye yazılımından kaynaklanan mali kayıplar 200 ile 300 milyon dolar arasında değişiyordu.

Bu arada, iyileşmesi neredeyse bir hafta bilgisayar sistemleri Interfax'ın bildirdiğine göre, şirketin basın servisinin 3 Temmuz'da bildirdiği üzere, Rosneft ayrıca bir hacker saldırısından da etkilendi:

Birkaç gün önce Rosneft, siber saldırının sonuçlarını henüz değerlendirmediğini ancak üretimin etkilenmediğini vurgulamıştı.

Petya nasıl çalışır?

Gerçekten de virüsün kurbanları enfeksiyondan sonra dosyalarının kilidini açamıyor. Gerçek şu ki, yaratıcıları böyle bir olasılığı hiç sağlamadılar. Yani, şifrelenmiş bir diskin şifresini çözmek önceden imkansızdır. Kötü amaçlı yazılım kimliği, şifre çözme için gerekli bilgileri içermiyor.

Başlangıçta uzmanlar, Rusya, Ukrayna, Polonya, İtalya, Almanya, Fransa ve diğer ülkelerdeki yaklaşık iki bin bilgisayarı etkileyen virüsü, zaten iyi bilinen Petya fidye yazılımı ailesinin bir parçası olarak sınıflandırdı. Ancak ortaya çıktı ki Hakkında konuşuyoruz yeni bir kötü amaçlı yazılım ailesi hakkında. Kaspersky Lab, yeni fidye yazılımına ExPetr adını verdi.

Nasıl savaşılır

Siber tehditlere karşı mücadele bankaların, bilişim şirketlerinin ve devletin ortak çabasını gerektiriyor

Positive Technologies'den veri kurtarma yöntemi

7 Temmuz 2017'de Pozitif Teknolojiler uzmanı Dmitry Sklyarov, NotPetya virüsü tarafından şifrelenen verileri kurtarmaya yönelik bir yöntem sundu. Uzmana göre yöntem, NotPetya virüsünün yönetici ayrıcalıklarına sahip olması ve tüm diski şifrelemesi durumunda uygulanabilir.

Veri kurtarma olasılığı, saldırganların kendileri tarafından yapılan Salsa20 şifreleme algoritmasının uygulanmasındaki hatalarla ilişkilidir. Yöntemin performansı hem test ortamında hem de şifrelenmiş ortamlardan birinde test edildi. sabit sürücüler Büyük şirket Salgının kurbanları arasında yer alan kişi.

Veri kurtarma konusunda uzmanlaşmış şirketler ve bağımsız geliştiriciler, sunulan şifre çözme komut dosyasını kullanmakta ve otomatikleştirmekte özgürdür.

Soruşturmanın sonuçları Ukrayna siber polisi tarafından zaten doğrulandı. Juscutum, soruşturmanın bulgularını Intellect-Service'e karşı gelecekte yapılacak bir davada temel kanıt olarak kullanmayı planlıyor.

Süreç doğası gereği sivil olacaktır. Ukrayna kolluk kuvvetleri tarafından bağımsız bir soruşturma yürütülüyor. Temsilcileri daha önce Intellect-Service çalışanlarına karşı dava açılma olasılığını açıklamıştı.

M.E.Doc şirketinin kendisi de yaşananların şirkete baskın yapma girişimi olduğunu belirtti. Ukrayna'nın tek popüler muhasebe yazılımının üreticisi, Ukrayna siber polisi tarafından şirkette yürütülen aramanın bu planın uygulanmasının bir parçası olduğuna inanıyor.

Petya şifreleyicisinin ilk enfeksiyon vektörü

17 Mayıs'ta kötü amaçlı arka kapı modülünü içermeyen M.E.Doc güncellemesi yayınlandı. Şirket, bunun muhtemelen nispeten az sayıda XData enfeksiyonunu açıklayabileceğine inanıyor. Saldırganlar, güncellemenin 17 Mayıs'ta yayınlanmasını beklemiyordu ve çoğu kullanıcının güvenli güncellemeyi zaten yüklediği 18 Mayıs'ta şifreleyiciyi başlattı.

Arka kapı, diğer kötü amaçlı yazılımların virüslü sisteme indirilmesine ve çalıştırılmasına izin veriyor; Petya ve XData şifreleyicileriyle ilk enfeksiyon bu şekilde gerçekleştirildi. Buna ek olarak, program, M.E.Doc uygulamasındaki oturum açma bilgileri ve şifreler dahil olmak üzere proxy sunucusu ve e-posta ayarlarının yanı sıra, mağdurların tanımlanmasına olanak tanıyan Birleşik Devlet İşletmeler ve Ukrayna Kuruluşları Siciline göre şirket kodlarını da toplar.

Eset'in kıdemli virüs analisti Anton Cherepanov, "Bir dizi soruyu yanıtlamamız gerekiyor" dedi. - Arka kapı ne kadar süredir kullanılıyor? Bu kanal üzerinden Petya ve XData dışında hangi komutlar ve kötü amaçlı yazılımlar gönderildi? Bu saldırının arkasındaki siber grup tarafından tehlikeye atılan ancak henüz istismar edilmeyen başka hangi altyapılar var?"

Eset uzmanları, altyapı, kötü amaçlı araçlar, planlar ve saldırı hedeflerini içeren işaretlerin birleşimine dayanarak Diskcoder.C (Petya) salgını ile Telebots siber grubu arasında bir bağlantı kurdu. Bu grubun faaliyetlerinin arkasında kimin olduğunu güvenilir bir şekilde belirlemek henüz mümkün olmadı.

Mayıs ayı başında 150'den fazla ülkede yaklaşık 230.000 bilgisayara fidye yazılımı virüsü bulaştı. Kurbanların bu saldırının sonuçlarını ortadan kaldırmaya vakit bulamadan Petya adında yeni bir saldırı gerçekleşti. En büyük Ukraynalı ve Rus şirketleri ve ayrıca devlet kurumları.

Ukrayna siber polisi, virüs saldırısının vergi raporları hazırlamak ve göndermek için kullanılan muhasebe yazılımı M.E.Doc'un güncellenmesine yönelik mekanizma aracılığıyla başladığını tespit etti. Böylece Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo ve Dinyeper Elektrik Enerji Sistemi ağlarının enfeksiyondan kurtulamadığı öğrenildi. Ukrayna'da virüs hükümet bilgisayarlarına, Kiev metrosundaki bilgisayarlara, telekom operatörlerine ve hatta Çernobil nükleer santraline bile sızdı. Rusya'da Mondelez International, Mars ve Nivea etkilendi.

Petya virüsü ameliyathanedeki EternalBlue güvenlik açığından yararlanıyor Windows sistemi. Symantec ve F-Secure uzmanları, Petya'nın WannaCry gibi verileri şifrelemesine rağmen yine de diğer şifreleme virüs türlerinden biraz farklı olduğunu söylüyor. F-Secure, "Petya virüsü kötü niyetli yeni bir gasp türüdür: yalnızca diskteki dosyaları şifrelemekle kalmaz, aynı zamanda tüm diski kilitleyerek onu neredeyse kullanılamaz hale getirir" diye açıklıyor. "Özellikle MFT ana dosya tablosunu şifreliyor."

Bu nasıl oluyor ve bu süreç önlenebilir mi?

Virüs "Petya" - nasıl çalışır?

Petya virüsü diğer isimlerle de bilinir: Petya.A, PetrWrap, NotPetya, ExPetr. Bilgisayara girdiğinde internetten fidye yazılımı indiriyor ve bilgisayarı başlatmak için gerekli verilerle sabit sürücünün bir kısmına saldırmaya çalışıyor. Başarılı olursa sistem Mavi Ölüm Ekranı yayınlar (“ Mavi ekranölüm"). Yeniden başlatmanın ardından, sabit sürücünün kontrol edilmesiyle ilgili olarak gücü kapatmamanızı isteyen bir mesaj görüntülenir. Böylece fidye yazılımı öyleymiş gibi davranır sistem programı Diski kontrol etmek için, şu anda belirli uzantılara sahip dosyalar şifreleniyor. İşlem sonunda bilgisayarın engellendiğini belirten bir mesaj ve verilerin şifresini çözmek için dijital anahtarın nasıl alınacağına dair bilgi görüntülenir. Petya virüsü genellikle Bitcoin cinsinden fidye talep ediyor. Eğer kurbanın dosyalarının bir yedek kopyası yoksa, 300 dolar ödeme veya tüm bilgileri kaybetme seçeneğiyle karşı karşıya kalır. Bazı analistlere göre virüs yalnızca fidye yazılımı kılığına giriyor, asıl hedefi ise büyük hasara yol açmak.

Petya'dan nasıl kurtulurum?

Uzmanlar, Petya virüsünün yerel bir dosya aradığını ve bu dosya diskte zaten mevcutsa şifreleme işleminden çıktığını keşfetti. Bu, kullanıcıların bu dosyayı oluşturup salt okunur olarak ayarlayarak bilgisayarlarını fidye yazılımlarından koruyabilecekleri anlamına gelir.

Her ne kadar bu kurnaz plan fidye yazılımı sürecinin başlamasını engellese de, Bu method Daha çok “bilgisayar aşısı” gibi düşünülebilir. Bu nedenle kullanıcının dosyayı kendisinin oluşturması gerekecektir. Bunu şu şekilde yapabilirsiniz:

• Öncelikle dosya uzantısını anlamanız gerekir. Klasör Seçenekleri penceresinde Bilinen dosya türleri için uzantıları gizle onay kutusunun işaretli olmadığından emin olun.
• C:\Windows klasörünü açın, notepad.exe programını görene kadar aşağı kaydırın.
• Notepad.exe'ye sol tıklayın, ardından dosyayı kopyalamak için Ctrl + C ve ardından yapıştırmak için Ctrl + V tuşlarına basın. Dosyayı kopyalamak için izin isteyen bir istek alacaksınız.
• Devam düğmesine tıkladığınızda dosya bir not defteri - Copy.exe olarak oluşturulacaktır. Bu dosyaya sol tıklayın ve F2 tuşuna basın, ardından Copy.exe dosya adını silin ve perfc yazın.
• Dosya adını perfc olarak değiştirdikten sonra Enter tuşuna basın. Yeniden adlandırmayı onaylayın.
• Artık perfc dosyası oluşturulduğuna göre onu salt okunur yapmamız gerekiyor. Bunu yapmak için dosyaya sağ tıklayın ve "Özellikler" i seçin.
• Bu dosyanın özellikler menüsü açılacaktır. Alt kısımda "Salt Okunur" seçeneğini göreceksiniz. Kutuyu kontrol et.
• Şimdi Uygula düğmesine ve ardından Tamam düğmesine tıklayın.

Bazı güvenlik uzmanları, Petya virüsüne karşı daha kapsamlı koruma sağlamak için C:\windows\perfc dosyasına ek olarak C:\Windows\perfc.dat ve C:\Windows\perfc.dll dosyalarının oluşturulmasını önermektedir. Bu dosyalar için yukarıdaki adımları tekrarlayabilirsiniz.

Tebrikler, bilgisayarınız NotPetya/Petya'ya karşı korunuyor!

Symantec uzmanları, PC kullanıcılarına, dosyaların kilitlenmesine veya para kaybına yol açabilecek şeyler yapmalarını önlemek için bazı tavsiyeler sunuyor.

1. Suçlulara para ödemeyin. Fidye yazılımına para aktarsanız bile dosyalarınıza yeniden erişebileceğinizin garantisi yoktur. Ve NotPetya / Petya söz konusu olduğunda bu temelde anlamsızdır çünkü fidye yazılımının amacı verileri yok etmektir, para almak değil.
2. Verilerinizi düzenli olarak yedeklediğinizden emin olun. Bu durumda bilgisayarınız bir fidye yazılımı virüs saldırısının hedefi olsa bile silinen dosyaları kurtarabileceksiniz.
3. Şüpheli adreslerden gelen e-postaları açmayın. Saldırganlar kurulum sırasında sizi kandırmaya çalışacak kötü amaçlı yazılım veya saldırılar için önemli verileri elde etmeye çalışın. Siz veya çalışanlarınız şüpheli e-postalar veya bağlantılar alırsa BT uzmanlarına haber verdiğinizden emin olun.
4. Güvenilir yazılım kullanın. Antivirüs programlarının zamanında güncellenmesi, bilgisayarların enfeksiyonlardan korunmasında önemli bir rol oynar. Ve elbette bu alanda saygın firmaların ürünlerini kullanmanız gerekiyor.
5. Spam iletileri taramak ve engellemek için mekanizmalar kullanın. Gelen e-postalar tehditlere karşı taranmalıdır. Metinlerinde bağlantılar veya tipik kimlik avı anahtar kelimeleri içeren her türlü mesajın engellenmesi önemlidir.
6. Tüm programların güncel olduğundan emin olun. Enfeksiyonları önlemek için yazılımdaki güvenlik açıklarının düzenli olarak iyileştirilmesi gerekir.

Yeni saldırılar beklemeli miyiz?

Petya virüsü ilk olarak Mart 2016'da ortaya çıktı ve güvenlik uzmanları bu davranışı hemen fark etti. Yeni Petya virüsü, Haziran 2017'nin sonunda Ukrayna ve Rusya'daki bilgisayarlara bulaştı. Ancak bunun son olması pek mümkün değil. Hacker saldırıları Sberbank Yönetim Kurulu Başkan Yardımcısı Stanislav Kuznetsov, Petya ve WannaCry benzeri fidye yazılımı virüslerinin tekrar kullanılacağını söyledi. TASS ile yaptığı röportajda bu tür saldırıların mutlaka gerçekleşeceği uyarısında bulundu ancak bunların hangi biçim ve formatta ortaya çıkabileceğini önceden tahmin etmenin zor olduğunu söyledi.

Gerçekleşen tüm siber saldırılardan sonra, bilgisayarınızı fidye yazılımı virüsünden korumak için en azından minimum adımları henüz atmadıysanız, bu konuyu ciddiye almanın zamanı gelmiştir.