27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.
Особенности Petya
Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».
Petya образца 2016 года — Costin Raiu (@craiu) June 27, 2017
Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.
Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .
Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.
Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).
При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .
Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.
, 18 июля 2017Ответы на самые важные вопросы о вирусе-вымогателе Petna (NotPetya, ExPetr) - шифровальщике на основе Petya, заразившем множество компьютеров по всему миру.
В этом месяце мы стали свидетелями еще одной массированной атаки программы-вымогателя, которая произошла всего спустя несколько недель после . За несколько дней данная модификация шифровальщика получила множество различных названий, включая Рetya (так называется оригинальный вирус), NotPetya, EternalPetya, Nyetya и прочие. Изначально мы назвали его «вирусом семейства Petya», но для удобства будем называть просто Petna.
Вокруг Petna хватает неясностей и помимо названия. Это та же программа-вымогатель, что и Рetya, или другая версия? Следует ли рассматривать Petna в качестве шифровальщика, требующего выкуп или вируса, который просто уничтожает данные? Проясним некоторые аспекты прошедшей атаки.
Продолжается ли распространение Petna?
Пик активности несколько дней назад. Распространение вируса началось утром 27 июня. В тот же день его активность достигла наивысшего уровня, каждый час происходили тысячи попыток атак. После этого их интенсивность значительно снизилась в течение того же дня, а в дальнейшем наблюдалось лишь небольшое количество заражений.
Можно ли сравнить данную атаку с WannaCry?
Нет, если судить по охвату нашей пользовательской базы. Мы наблюдали около 20 000 попыток атак по всему миру, что несоизмеримо меньше, чем 1,5 миллионов предотвращенных нами атак WannaCry.
Какие страны пострадали больше всего?
Данные нашей телеметрии показывают, что основной удар вируса был нанесен по Украине, где было обнаружено более 90% попыток атак. Также пострадали Россия, США, Литва, Беларусь, Бельгия и Бразилия. В каждой из этих стран отмечено от нескольких десятков до нескольких сотен попыток заражения.
Какие операционные системы подверглись заражению?
Наибольшее количество атак было зафиксировано на устройства под управлением Windows 7 (78 %) и Windows XP (14 %). Количество атак на более современные системы оказалось значительно меньше.
Каким образом вирус Рetna проникал на ПК?
Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерским софтом M.E.Doc. Именно поэтому настолько серьезно пострадала Украина.
Горький парадокс: в целях безопасности пользователям всегда советуется обновлять программное обеспечение, однако в данном случае вирус начал масштабное распространение именно с обновлением ПО, выпущенного M.E.Doc.
Почему пострадали и компьютеры за пределами Украины?
Одна из причин состоит в том, что некоторые пострадавшие компании имеют украинские дочерние структуры. Как только вирус заражает компьютер, он распространяется внутри сети. Именно так ему удалось достичь компьютеров в других странах. Мы продолжаем исследовать другие возможные векторы заражения.
Что происходит после заражения?
После заражения устройства Реtnа пытается зашифровать файлы с определенными расширениями. Список целевых файлов не так велик по сравнению со списками оригинального вируса Petya и других программ-вымогателей, однако он включает расширения фотографий, документов, исходных кодов, баз данных, образов дисков и прочие. Кроме того, данное ПО не только шифрует файлы, но и как червь распространяется на другие устройства, подключенные к локальной сети.
Как , вирус применяет три различных способа распространения: с использованием эксплойтов EternalBlue (известного по WannaCry) или EternalRomance, через общие сетевые ресурсы Windows с использованием украденных у жертвы учетных данных (с помощью утилит типа Mimikatz, которые могут извлекать пароли), а также благонадежных инструментов вроде PsExec и WMIC.
После шифрования файлов и распространения по сети, вирус пытается нарушить загрузку Windows (изменяя основную загрузочную запись, MBR), а после принудительной перезагрузки зашифровывает главную файловую таблицу (MFT) системного диска. Это не позволяет компьютеру более загрузить Windows и делает использование компьютера невозможным.
Может ли Реtnа заразить мой компьютер со всеми установленными обновлениями безопасности?
Да, это возможно за счет горизонтального распространения вредоносной программы, описанного выше. Даже если конкретное устройство защищено и от EternalBlue и EternalRomance, оно все же может быть заражено третьим способом.
Это Реtуа, WannaCry 2.0 или что-то еще?
Вирус Реtnа определенно основан на исходном вымогателе Реtуа. Например, в части, отвечающей за шифрование главной файловой таблицы, он практически идентичен встречавшейся ранее угрозе . Однако он не полностью идентичен старым версиям вымогателя. Предполагается, что вирус изменила третья сторона, а не автор исходной версии, известный как Janus, который также высказался по этому поводу в Twitter , а позже опубликовал мастер-ключ дешифрования для всех прошлых версий программы.
Основное сходство между Pеtnа и WannaCry состоит в том, что для распространения они использовали эксплойт EternalBlue.
Правда ли, что вирус ничего не шифрует, а просто уничтожает данные на дисках?
Это не правда. Данное вредоносное ПО лишь зашифровывает файлы и главную файловую таблицу (MFT). Другой вопрос - можно ли расшифровать эти файлы.
Имеется ли бесплатное средство дешифровки?
К сожалению, нет. Вирус использует достаточно мощный алгоритм шифрования, который не удается преодолеть. Он шифрует не только файлы, но и главную файловую таблицу (MFT), что сильно усложняет процесс расшифровки.
Стоит ли платить выкуп?
Нет! Мы никогда не советуем платить выкуп, поскольку это лишь поддерживает преступников и стимулирует их к продолжению подобной деятельности. Более того, вполне вероятно, что вы не получите свои данные обратно, даже заплатив. В данном случае это очевиднее, чем когда-либо ранее. И вот почему.
Указанный в окне с требованием выкупа официальный адрес электронной почты [email protected], на который жертв просили отправлять выкуп, был закрыт поставщиком услуг электронной почты вскоре после вирусной атаки. Поэтому создатели шифровальщика не могут узнать, кто заплатил, а кто нет.
Дешифровка раздела MFT невозможна в принципе, поскольку ключ теряется после того, как вымогатель его зашифровывает. В предыдущих версиях вируса этот ключ хранился в идентификаторе жертвы, но в случае с последней модификацией - это просто случайная строка.
К тому же примененное к файлам шифрование весьма хаотично. Как
Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, который к третьему дню своей «деятельности» поразил около 300 тысяч компьютеров в разных странах мира, и пока его никто не остановил.
Вирус Petya – как расшифровать, последние новости. Создатели шифровальщика «Петя» после нападения на компьютер требуют выкуп в 300 долларов (в биткоинах), но расшифровать вирус Petya, даже если пользователь заплатит деньги, возможности нет. Специалисты «Лаборатории Касперского», которые разглядели в новом вирусе отличия от «Пети» и назвали его ExPetr, утверждают – для расшифровки необходим уникальный идентификатор конкретной установки трояна.
В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал необходимую для этого информацию. В случае ExPetr этого идентификатора нет – пишет РИА Новости.
Вирус «Петя» – откуда взялся, последние новости. Немецкие специалисты по безопасности выдвинули первую версию, откуда взял свой путь этот шифровальщик. По их мнению, вирус Petya начал гулять по компьютерам с открытия файлов M.E.Doc. Это программа бухгалтерской отчетности, используемая на Украине после запрета 1С.
Между тем, в «Лаборатории Касперского» говорят о том, что выводы о происхождении и источнике распространения вируса ExPetr делать пока рано. Не исключено, что у злоумышленников были обширные данные. Например, е-майл адреса с предыдущей рассылки или какие-то другие эффективные способы проникновения в компьютеры.
С их помощью вирус «Петя» и обрушился всей мощностью на Украину и Россию, а также другие страны. Но реальный масштаб этой хакерской атаки будет понятен через несколько дней – сообщает .
Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, уже получившим в «Лаборатории Касперского» новое имя – ExPetr.
Атака вируса на компьютеры украинских государственных и частных компаний началась в 11:30. Под ударом оказались крупные банки, торговые сети, операторы сотовой связи, государственные компании, объекты инфраструктуры и предприятия сферы услуг.
Вирус охватил всю территорию Украины, к 17:00 появилась информация о том, что атака зафиксирована и на самом западе страны, в Закарпатье: здесь в связи с вирусом были закрыты отделения банка «ОТР» и Укрсоцбанка.
«Не работает популярный на Украине сайт Korrespondent.net и телеканал «24». Количество компаний, которые пострадали от атаки, увеличивается с каждым часом. В настоящее время на Украине не работает большая часть банковских отделений. Например, в офисах Укрсоцбанка компьютеры просто не загружаются. Нельзя получить или отправить деньги, оплатить квитанции и проч. В то же время в ПриватБанке проблем не наблюдается», — сообщает киевский корреспондент RT.
Вирус поражает только компьютеры, которые работают на операционной системе Windows. Он шифрует главную таблицу файлов жёсткого диска и вымогает у пользователей деньги за расшифровку. В этом он схож с вирусом-вымогателем WannaCry, атакам которого подверглось множество компаний по всему миру. При этом уже появились результаты проверки заражённых компьютеров, показавшие, что вирус уничтожает всю или большую часть информации на заражённых дисках.
В настоящий момент вирус идентифицирован как mbr locker 256, но в СМИ получило распространение другое название — Petya.
От Киева до Чернобыля
Вирус поразил и киевское метро, где в настоящее время возникают затруднения с оплатой банковскими картами.
Поражены многие крупные объекты инфраструктуры, такие как государственный железнодорожный оператор «Укрзализница», аэропорт Борисполь. Впрочем, пока они работают в штатном режиме, системы аэронавигации вирус не затронул, хотя Борисполь уже опубликовал предупреждение о возможных изменениях в расписании, а в самом аэропорту не работает табло прилёта.
В связи с атакой испытывают трудности в работе два крупнейших почтовых оператора страны: государственная «Укрпочта» и частная «Новая почта». Последняя заявила о том, что сегодня не будет взиматься плата за хранение посылок, а Укрпочта пытается минимизировать последствия атаки при помощи СБУ.
В связи с риском заражения не работают и сайты тех организаций, которые вирус не затронул. По этой причине отключены, к примеру, сервера сайта Киевской городской государственной администрации, а также сайт Министерства внутренних дел Украины.
Украинские официальные лица вполне предсказуемо заявляют, что атаки совершаются из России. Об этом сказал секретарь Совета национальной безопасности и обороны Украины Александр Турчинов. «Уже сейчас, проведя первичный анализ вируса, можно говорить про российский след», — цитирует его официальный сайт ведомства.
К 17:30 вирус добрался даже до Чернобыльской АЭС. Об этом изданию «Украинская правда» сообщил начальник смены ЧАЭС Владимир Ильчук.
«Есть предварительная информация, что некоторые компьютеры были заражены вирусом. Поэтому, как только эта хакерская атака началась, была дана персональная команда компьютерным рабочим на местах персонала компьютеры отключить», — сказал Ильчук.
Атака на сладости и нефтегаз
Хакерской атаке во вторник, 27 июня, также подверглись некоторые российские компании, включая нефтегазовые гиганты «Роснефть» и «Башнефть», металлургическую компанию Evraz, «Банк Хоум Кредит», отделения которого приостановили работу, а также российские представительства Mars, Nivea, Mondelez International, TESA и ряда других зарубежных компаний.
- Reuters
- MAXIM SHEMETOV
Около 14:30 мск в «Роснефти» заявили о проведении мощной хакерской атаки на серверы компании. При этом в микроблоге компании в Twitter отмечается, что атака могла привести к серьёзным последствиям, но благодаря переходу на резервную систему управления производственными процессами ни добыча, ни подготовка нефти не были остановлены.
После кибератаки сайты компаний «Роснефть» и «Башнефть» на некоторое время стали недоступны. В «Роснефти» также заявили о недопустимости распространения лживой информации по поводу произошедшей атаки.
Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.
— ПАО «НК «Роснефть» (@RosneftRu) 27 июня 2017 г.
«Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность», — сообщили в компании.
При этом в «Роснефти» отметили, что по факту кибератаки компания обратилась в правоохранительные органы, и выразили надежду, что инцидент никак не связан «с текущими судебными процедурами». Во вторник, 27 июня, арбитражный суд Башкирии начал рассмотрение по существу иска «Роснефти», «Башнефти» и Башкирии к АФК «Система» на сумму 170,6 млрд рублей.
WannaCry-младший
При этом хакерская атака не затронула работу компьютерных систем администрации президента России и официальный сайт Кремля, который, как сообщил ТАСС пресс-секретарь президента Дмитрий Песков, «работает стабильно».
Хакерская атака также никак не отразилась на работе российских АЭС, отметили в концерне «Росэнергоатом».
Компания Dr. Web на своём сайте заявила, что, несмотря на внешнее сходство, нынешняя атака была совершена с использованием вируса, отличающегося от уже известной вредоносной программы-вымогателя Petya, в частности, механизмом распространения угрозы.
«Среди жертв кибератаки оказались сети «Башнефти», «Роснефти», Mondelez International, Mars, Nivea, TESA и другие», — цитирует агентство сообщение компании. При этом в пресс-службе Mars в России рассказали, что кибератака вызвала проблемы с IT-системами только у бренда Royal Canin, производителя кормов для животных, а не у всей компании.
Последняя крупная хакерская атака на российские компании и государственные учреждения произошла 12 мая в рамках масштабной операции неизвестных хакеров, атаковавших компьютеры с ОС Windows в 74 странах мира при помощи вируса-шифровальщика WannaCry.
Во вторник глава международного комитета Совета Федерации Константин Косачёв, выступая на заседании комиссии Совфеда по защите государственного суверенитета, заявил, что около 30% всех кибератак на Россию совершается с территории США.
«С российской территории на американские компьютеры совершается не более 2% от общего числа кибератак, при этом с территории США на российскую электронную инфраструктуру — 28—29%», — приводит слова Косачёва РИА Новости.
По сообщению руководителя международной исследовательской команды «Лаборатория Касперского» Костина Райю, вирус Petya распространился на многие страны мира.
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.
Установка, настройка и восстановление визуальных закладок
Removable Device в биосе что это за опция?
Мобильные приложения для продуктивности в делах и в жизни
Установка и настройка IntelliJ IDEA
Драйверы и софт usb easycap 2