Что известно об эпидемии вируса «петя» и как не потерять все свои файлы

За последнюю неделю многие слышали об хакерской атаке по всему миру. А также эта хакерская атака больше всего вреда принесла Украине и России, а так как нас в большинстве читают пользователи как раз этих стран, то мы решили собрать все способы защиты от вируса Petya.

Поэтому в этой статье Вы узнаете как защититься от вируса Петя. Мы покажем Вам не один способ, а несколько. Вы уже сможете выбрать для себя самый удобный. Также для тех кто уже попался на уловку хакеров мы покажем как удалить вирус Петя самому.

Способ 1. Как защититься от вируса Петя создав файл завершения работы вируса

Сразу же после начала первых масштабных атак, специалисты всего мира начали думать и искать проблему почему так произошло и как с этим бороться. Первую идею предложили специалисты компании Symantec, как по сути можно обмануть вирус на ещё не зараженных компьютерах.

  1. Создайте на рабочем столе файл perfc.dll. Это без проблем можно сделать с помощью простого блокнота, создав простой текстовый файл и переименовал его. Возможно для этого Вам понадобиться включить отображение расширения файлов.
  2. Зайдите по пути C:Windows и скиньте сюда этот файл любым способом. Например, можно запустить блокнот от имени администратора, открыть созданный файл perfc.dll и сохранить его по этому пути. А также для надежности можете создать 3 файла с именем perfc как у меня.Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы
  3. Измените Атрибут файлов на Только чтение. Это делается в свойствах каждого из файлов.

Как работает этот способ спросите Вы. Легко, вирус после завершения работы создает этот файл сам. Если мы это сделаем за него, то Petya уже подумает что компьютер заражен. Способ действительно простой и надежный.

Многие антивирусные программы не смогли его обнаружить. Хотя Microsoft утверждает, что даже Защитник на последних сборках с лёгкостью с ним справится. Так ли это, проверять не стал, сразу решил перестраховаться.

Способ 2. Как защититься от вируса Petya закрыв нужные вирусу порты

Для защиты нам понадобиться всего лишь закрыть на компьютере определенные TCP порты которые использует вирус для заражения. Этот способ также без проблем подойдет как на предыдущих операционных системах, так и на Windows 10. Я покажу как это сделать на примере Windows 10, последней версии.

  1. Откройте стандартную панель в поиске начав вводить Панель управления, и выберите Классическое приложение.
  2. Переходим по пути Система и безопасность => Брандмауэр Windows, и выбираем пункт Дополнительные параметры.
  3. В открывшимся окне переходим в Правила для входящих подключений и нажимаем Создать правило.Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы
  4. Тип правила выбираем Для порта и нажимаем Далее. Здесь выбираем Протокол TCP и указываем собственно порты 1024-1035, 135, 445, которые использует вирус Петя.Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы
  5. В шаге Действие ставим отметку на Блокировать подключение. Далее в Профиль оставляем все галочки установленными и в следующем пункте задаем Имя правила и собственно создаем само правило.
  6. На всякий случай такое же правило создаем в пункте Правила для исходящих подключений.

Способ 3. Защитить компьютер от вируса Petya в автоматическом режиме

Совсем для ленивых можно защитится от вируса Пети используя всего лишь файл WinddProtivPetya.bat. Или самостоятельно создать его у себя на компьютере.

  1. Открываем блокнот и вставляем в него нижеуказанный код. Сохраняем файл и любым способом меняем расширения файла на .bat.
    @echo offecho Administrative permissions required. Detecting permissions…
    echo.
    net session >nul 2>&1if %errorLevel% == 0 (
    if exist C:Windowsperfc (
    echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
    echo.
    ) else (
    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc
    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dll
    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.datattrib +R C:Windowsperfc
    attrib +R C:Windowsperfc.dll
    attrib +R C:Windowsperfc.datecho Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
    echo.
    )
    ) else (
    echo Failure: You must run this batch file as Administrator.
    )
    netsh advfirewall firewall add rule name=»Petya TCP» dir=in action=block protocol=TCP localport=1024-1035,135,139,445
    netsh advfirewall firewall add rule name=»Petya UDP» dir=in action=block protocol=UDP localport=1024-1035,135,139,445
    pause
  2. Нажимаем на него правой кнопкой мыши и в контекстном меню выбираем пункт Запуск от имени администратора.

После выполнения батника у Вас автоматически сделаются способ 1 и способ 2, как на меня так удобней и быстрее. Не забудьте открыть .bat файл от имени администратора, иначе изменений не будет. В принципе после этого Вы можете проверить создались ли файлы и были ли созданы новые правила.

Как удалить вирус Петя

Если Вы уже попались на уловку хакеров, увидели экран смерти и с перепуга выключили компьютер, тогда у Вас ещё есть шанс восстановить все самому.

  1. Вам нужно сделать загрузочный диск или загрузочную флешку с антивирусом, который может вылечить компьютер от вируса Petya. Для этого подходят, например, Kaspersky Rescue Disk или ESET NOD32 LiveCD.
  2. Запускаете любого из них с флешки на компьютере и ждете пока антивирус найдет и удалит Петю.
  3. Если файлы все же успели зашифроваться, тогда можете использовать подходящие для расшифровки файлов утилиты, здесь Вам может помочь, например,  Shadow Explorer или Stellar Phoenix Windows Data Recovery.

Заключение

Советую быть осторожными со само распаковывающимся архивами особенно с расширением .exe. Так как в большинстве случаев Вы словите или вирус или много мусора. Ну и как говорится лучше предотвратить, чем долго исправлять. Также на счет удалить вирус Петя, то переустановку операционной системы никто не отменял.

Шифровальщик «Петя» спровоцировал новую вымогательскую эпидемию

Рекомендуем почитать: Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы

  • Содержание выпуска
  • Подписка на «Хакер»

В мае 2017 года вымогатель WannaCry поразил сотни тысяч компьютеров по всему миру. От атак вымогателя пострадали не только простые пользователи, но и многочисленные компании и организации. Угроза распространялась при помощи эксплоитов ETERNALBLUE и DOUBLEPULSAR, по сути, эксплуатируя уязвимость в протоколе SMB и используя для этого инструменты АНБ, опубликованные в открытом доступе хакерской группой The Shadow Brokers.

Опасность WannaCry удалось нивелировать благодаря усилиям всего одного независимого ИБ-специалиста.

Известный под псевдонимом MalwareTech эксперт, обнаружил в коде малвари своеобразный аварийный рубильник: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он.

Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.

Похоже, с шифровальщиком Petya ожидать такой же удачи не приходится. Напомню, что Petya — не новая угроза, он был обнаружен специалистами еще в начале 2016 года.

Но сегодня, 27 июня 2017 года, из разных стран стали поступать сообщения о массовых заражениях Petya.

Об атаках сообщают организации и пользователи разных стран, включая Украину, Великобританию, Индию, Голландию, Испанию, Данию и так далее.

Операторы малвари шифруют файлы жертв и требуют, чтобы те написали письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции об оплате выкупа в размере $300 в биткоин эквиваленте.

Исследователи сообщают, что новая версия Petya, известная как Petya.A, шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.

По данным сразу нескольких источников, авторы Petya определенно вдохновились успехами WannaCry, так как шифровальщик теперь распространяется посредством SMB и эксплоита, очень похожего на ETERNALBLUE. Эту информацию подтверждают специалисты  Payload Security, Avira, Emsisoft, Bitdefender, Symantec и другие.

Кроме того, вымогатель также распространяется и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199 в Office RTF. В отличие от WannaCry, Petya не имеет встроенного «рубильника», поэтому быстро остановить эпидемию вряд ли удастся.

Информация о новых заражениях появляется буквально каждые пять минут, но, судя по всему, хуже всего от атак Petya пострадали Россия и Украина.

СМИ сообщают, что шифровальщик атаковал компьютерные системы кабинета министров и сайта правительства Украины, сотовых операторов «Киевстар», Vodafone и lifecell, аэропорт Борисполь, метрополитен в Киеве, МВД Украины, целый ряд банков и даже компьютеры Чернобыльской атомной электростанции.

Согласно данным Государственного агентства по управлению зоной отчуждения, радиационный мониторинг в итоге перевели в ручной режим. Также известно о заражениях компьютеров «Роснефти», «Башнефти», «Татнефти» и Магнитогорского металлургического комбината.

Как защититься от нового вируса-вымогателя «Петя»

Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы Фото с сайта pixabay.com

Большинство вирусов проникают на компьютеры и уничтожают данные только благодаря наивности пользователей

Первые два дня эпидемии вируса-вымогателя Petya принесли его создателям примерно 4 биткоина. Это порядка 8 тыс. долларов, что едва ли покрывает затраты на разработку самогó чудо-вируса, а значит на этом хакеры не остановятся. Кто рискует подцепить опасную заразу в ближайшие дни и как от неё защититься?

Читайте также:  Долой зеркало! обзор системной камеры canon eos m

Диагноз

Первоначальная диагностика «Пети» уже утратила свою актуальность. Сейчас мы имеем дело с новой инкарнацией вируса, которую условно называют ExPetr или Petya.A.

И она действительно безвозвратно уничтожает (через шифрование) файлы пользователя.

По сути, новый «Петя» вернулся к хулиганским вирусам 1990-х вроде знаменитого «Чернобыля», с той лишь разницей, что теперь у него есть еще и коммерческая составляющая.

ДЛЯ СПРАВКИ: Прежний Petya был честным вымогателем и за 300 долларов присылал жертве ключ для восстановления зашифрованных файлов. В новой редакции вирус ExPetr переписывает первые 25 секторов важнейшего сектора диска – MBR, и после этого даже у его авторов нет возможности расшифровать информацию.

Размер доходов создателей «Пети» отследить не очень сложно: они указывают биткойн-кошелек, на который надо перевести выкуп, а все операции в системе биткойнов находятся в открытом доступе.

Вот только узнать, какие конкретно люди пользуются тем или иным кошельком, практически нереально.

Профилактика

Можно ли полностью обезопаситься от «Пети»? Если атака идет целенаправленно на вас — нельзя. Разве что, отключив компьютер от интернета. В ином случае хакер высокого уровня все равно найдёт способ в него проникнуть.  Другой вопрос, что едва ли у вас есть недоброжелатели, способные оплатить услуги такого хакера.

КСТАТИ: Эпидемии больнее всего бьют не по индивидуальным пользователям, а по организациям. Если ваш компьютер находится в рабочей сети, заражение может начаться независимо от ваших действий — или их отсутствия.

Если же речь идет не об индивидуальной атаке, а просто о вирусной эпидемии, которой все равно, кого заражать, то способов снизить вероятность вторжения вируса и/или минимизировать возможный ущерб от него — масса.

Что лучше сделать прямо сейчас

Как работает вирус Petya (Петя) и как от него защититься

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности.

Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы.

На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows.

Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков.

 «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»).

После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями.

В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию.

 По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель —  нанесение массового ущерба. 

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:Windows, прокрутите вниз, пока не увидите программу notepad.exe. 
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК». 

Некоторые эксперты по безопасности предлагают помимо файла C: windows perfc создать файлы C: Windows perfc.dat и C: Windows perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.  

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы. 
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Узнать больше

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится.

Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов.

В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться. 

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.   

Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы

Популярный российский менеджер загрузок заразил вирусом сотни тысяч компьютеров Жертвами бэкдора в программе MediaGet стали в основном пользователи из России и Турции. С её помощью хакеры загружали на компьютеры троянец Dofoil, который впоследствии устанавливал на зараженные устройства вирус-майнер для добычи криптовалюты Monero.

Тысячи русских геймеров пострадали из-за вируса в Minecraft Около 50 тысяч поклонников Minecraft по всему миру пострадали из-за вредоносной программы. Мало кто ожидает подцепить вирус на официальном сайте любимой игры — на ум скорее приходят истории о том, как […]

В облачном хранилище OneDrive появилась защита от вирусов-вымогателей Microsoft добавила в облачное хранилище OneDrive функцию «Восстановление файлов» (Files Restore), которая ранее была доступна только владельцам бизнес-аккаунтов. Теперь ею могут пользоваться все, у кого оформлена подписка Office 365. Нововведение позволя…

Биохакинг по-научному Лечение заболеваний и улучшение работы мозга с помощью упражнений — автор книги «Мозг, исцеляющий себя» рассказывает истории людей, которые потеряли всякую надежду, но смогли исцелиться благодаря методикам восстановления мозга.

Вирусы на Айфоне: Можно ли заразить смартфон Apple? Когда речь заходит о безопасности компьютеров и мобильных устройств, каждый, кто хоть немного разбирается в теме, скажет вам: Android очень легко заразить вирусом, а вот iPhone в этом отношении — сама надежность. Но так ли это? Давайте разберемся!   Сначала — о терминах…

Вирус-вымогатель заставляет играть пользователей в PUBG Новый вирус зашифровывает файлы пользователя, но вместо денег требует поиграть несколько часов в онлайн-шутер PlayerUnknown’s […]

В Швейцарии увеличилось число заболевших туляремией Значительно увеличилось число людей зараженных туляремией в швейцарской столице — Цюрихе. Вирус данной болезни проникает в организм при употреблении недоготовленного мяса или при укусах насекомых. Согласно общей медицинской статистике в прошлом году на территории Цен…

Новый вирус похищает переписку из Telegram, Viber, WhatsApp, Skype и других мессенджеров Специалисты компании Trustlook Labs обнаружили заражённое трояном приложение, которое похищает переписку из всех популярных мессенджеров.

Хакер вымогает биткоины за разблокировку сайта Минэнерго Украины Хакер X~zakaria взломал сайт Министерства энергетики и угольной промышленности Украины и требует за его разблокировку 0,1 биткоина (чуть больше 24 тысяч гривен). Сообщение взломщика появилось на главной странице сайта mev.gov.ua. «Все важные файлы сайта зашифрованы. Мно…

Читайте также:  "Википедия" ушла в оффлайн на несколько часов

Вирус-вымогатель Data Keeper поражает компьютеры по всему миру Появился новый компьютерный вирус-вымогатель Data Keeper, который требует выкуп в криптовалюте. Защиты, способной предотвратить заражение и уничтожить вирус на данный момент не существует.

Криптомайнер в BrowseAloud заразил правительственные сайты В воскресенье, 11 февраля, консультант в сфере информационной безопасности Скотт Хелм (Scott Helme) обнаружил на британском правительственном сайте ico.org.uk скрипт Coinhive, использующийся для браузерного майнинга криптовалюты Monero.
Дальнейшее исследование показало, что …

Как проверить APK-файлы приложений для Android на вирусы Популярный онлайн-сканер вредоносных программ и ссылок VirusTotal представил виртуальную песочницу Droidy для проверки приложений для Android на вирусную активность. Она позволяет еще до установки APK-файла выявить его способности к совершению звонков, отправке SMS, активац…

Правительственные сайты заражены криптомайнерами Вредоносное ПО на сайтах, которое добывает криптовалюту на компьютерах пользователей, это не новость. Обычно таким занимаются владельцы торрент трекеров, порносайтов и разнообразных пиратских ресурсов. Но оказалось, что есть ещё одна категория ресурсов, которые занимаютс…

Как лучше разбираться в людях Рассказывать айтишникам про психологию то еще дело, некоторые читатели скажут: «Bullshit!», и вообще не поверят, потому что психологию, даже прикладную, нельзя назвать точной наукой. Тем не менее, задача этой статьи — показать и доказать вам, что некоторые модели действитель…

В Китае выявлен первый больной птичьим гриппом Первым человеком, заражённым вирусом птичьего гриппа H7N4, оказалась пожилая китаянка 68 лет. В больнице женщина провела три недели. В провинции Цзянсу привезли в больницу женщину с симптомами простуды. После проведения осмотра был поставлен диагноз – тяжёлая пневмония. Ок…

Компьютер месяца — февраль 2018 года Ровно год назад на нашем сайте вышел первый выпуск «Компьютера месяца». С тех пор мы — и, надеемся, вы тоже — внимательно следим за рынком компьютерного железа. Увы, в феврале радоваться нечему: приходится мириться с тем, что игровых видеокарт практически нет в прод…

Новый вирус заставит вас играть в PUBG Вирусы-вымогатели, блокирующие ПК и требующие отправить деньги хакерам, уже давно всем известны. Встречаются даже варианты, требующие оплаты исключительно в Bitcoin. Но сегодня в Сети появилась информация о новом варианте подобного ПО. Вирус PUBG Ransomware шифр…

Обнаружен новый вирус-вымогатель массового поражения Data Keeper В сети зарегистрированы первые свидетельства работы нового массового сервиса-вымогателя Data Keeper. Его первые жертвы появились через два дня после его официального релиза в даркнете. Вредоносное ПО шифрует файлы на компьютерах жертв и требует выкуп в криптовалюте. Доступ к…

Роснефть теряет нефть и наносит ущерб бюджету Крупнейшая российская нефтедобывающая компания «Роснефть» оказалась на удивление неэффективной и эта неэффективность уже обошлась бюджету России, минимум, в 37 миллиардов рублей. По информации агентства «Новый день», только по приблизительным данным, &quo…

Вирус Petya как работает и как распространяется

Petya – это новый опасный вирус, и многих пользователей волнует, как именно он работает и можно ли от него защититься.

Одним из способов его распространения является использование уязвимости MS17-010, которая возникает в случае отсутствия своевременного обновления Windows 7 для обеспечения ее безопасности.

Данный вариант аналогичен тому принципу действия, который использует другой популярный вирус-вымогатель, известный под названием WannaCry. Однако многие специалисты считают обновленную версию вредоносных программ, поразивших компьютеры в июне текущего года, намного более опасной по сравнению с предыдущими.

Второй возможный способ распространения опасной программы заключается в получении зараженных писем по электронной почте.

Известны случаи, когда содержимое, шифрующее данные, скрывалось в файле с резюме, который получали кадровики различных компаний на свой e-mail.

По предположениям специалистов по информационной безопасности, данное вредоносное программное обеспечение может использовать и другие виды уязвимости, помимо MS17-010.

Как именно работает вирус Петя и чем он отличается от своего предшественника, известного под названием «WannaCry»? Если предыдущая версия шифровальщика поражала только некоторые файлы с определенными типами, то новый вариант работает, выводя из строя весь жесткий диск в целом.

Эпидемия нового вредоносного шифровальщика

Давайте выясним, как распространяется и работает вирус Петя. При заражении оборудования с использованием специального сетевого протокола SMB поражаются такие элементы, как сервера и рабочие станции.

Затем автоматически производится перезагрузка системы, после чего на экране можно увидеть так называемый Check Disk, который представляет собой черный экран с белыми надписями на нем, всегда возникающий в случае непредвиденных сбоев в системе.

Для разблокировки жесткого диска злоумышленники предлагают жертвам выплатить сумму в биткоинах, эквивалентную 300 долларам, на их электронный кошелек.

Какова на сегодняшний день география распространения вируса Petya? Первоначально сообщения об атаках поступили из Украины, затем угроза была выявлена и в России. Позднее вредоносное программное обеспечение распространилось по всему миру, в том числе оно работает в следующих регионах:

  • Европе;
  • Азии;
  • Северной и Латинской Америке.

Говоря о такой актуальной теме, как вирус Петя, и рассматривая его распространение, важно обозначить, какие виды оборудования на данный момент находятся в зоне риска. Как и в случае с WannaCry, новая версия шифровальщика поражает исключительно ту технику, которая работает на основе продуктов Windows от Microsoft.

Кто является создателем вируса Petya?

Многие СМИ говорят о том, что эксперты уже обнаружили возможных распространителей обновленного вируса Petya. Первоначально на территории Украины злоумышленниками были поражены серверы компании M.E.Doc, которое производят программное обеспечение для бухгалтеров. Вредоносный файл был встроен в последнее обновление данной системы.

Многие специалисты обвиняли именно компанию M.E.Doc в заражении других пользователей опасным программным обеспечением, однако ее представители заявляют, что сами явились жертвой хакерской атаки.

Тем временем, в начале июля в Financial times появилась статья Сэма Джонса, в которой источник заражения предлагается искать на территории России.

Таким образом, мы знаем, как работает данный вирус, но настоящего разработчика этого шифровальщика нам еще предстоит найти.

Petya — Википедия

Petya

Экран после шифрования

(после перезагрузки системы)

Тип

сетевой червь, ransomware, эксплойт

Год появления

29 марта 2016 (первая версия); 27 июня 2017 (начало массовой атаки)

Используемое ПО

уязвимость в SMB ОС Windows, эксплойты EternalBlue и EternalRomance[1], бэкдор DoublePulsar (предположительно)
Описание SymantecОписание Securelist

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, Petya Ransomware, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам.

При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года.

Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[8].

За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года.

Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017

Основная статья: Хакерские атаки на Украину (2017)

27 июня 2017 года началось массовое распространение новой модификации программы.

На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5].

Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который злоумышленники просят отправить данные после осуществления платежа, уже заблокирован провайдером[2][12].

Читайте также:  Обзор Windows-планшета Huawei MateBook: ультрабуки, потеснитесь

По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы распространяться максимально быстро[13]. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc[14].

Атаке подверглись энергетические компании[15], украинские банки[16], аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19].

Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Украины, Франции и Эстонии[14][22][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчетности[25].

Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро.

Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[23]. Сама компания M.E.

Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

Цели атаки

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6].

В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно.

К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского.

Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить.

Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ, который невозможно cкопировать в буфер обмена[23].

Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[30][31].

Защита

Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5].

Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2].

Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения.

Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.

[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[23].

Название

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya.

Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2].

Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23].

С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

См. также

  • Хакерские атаки на Украину (2017)
  • WannaCry
  • Bad Rabbit (вирус шифровальщик)
  • EternalRocks
  • DoublePulsar
  • EternalBlue

Примечания

  1. ↑ ExPetr интересуется серьезным бизнесом (неопр.). blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 12 июля 2017 года.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr (неопр.). Kaspersky Lab. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  3. 1 2 Petya ransomware eats your hard drives (неопр.). Kaspersky Lab (30 марта 2016). Дата обращения: 27 июня 2017. Архивировано 29 июня 2017 года.
  4. ↑ Ransom.Petya (неопр.). Symantec | United States (29 марта 2016). Дата обращения: 27 июня 2017. Архивировано 11 июля 2017 года.
  5. 1 2 3 4 Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Архивировано 29 июня 2017 года. Дата обращения 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя (неопр.). Газета.Ру (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  7. ↑ Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20 (рус.). Архивировано 7 июля 2017 года. Дата обращения 7 июля 2017.
  8. ↑ Decrypting the Petya Ransomware (неопр.). Check Point Blog (11 апреля 2016). Дата обращения: 28 июня 2017. Архивировано 30 июня 2017 года.
  9. ↑ Вымогатель Petya шифрует жесткие диски (неопр.). blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 11 июля 2017 года.
  10. Constantin, Lucian. Petya ransomware is now double the trouble (англ.), Network World. Архивировано 31 июля 2017 года. Дата обращения 28 июня 2017.
  11. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa (неопр.). blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 9 февраля 2017 года.
  12. ↑ Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
  13. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains (англ.), WIRED UK. Архивировано 31 декабря 2017 года. Дата обращения 28 июня 2017.
  14. 1 2 Лаборатория ESET назвала Украину источником заражения вирусом Petya (рус.), Interfax.ru (28 июня 2017). Архивировано 29 июня 2017 года. Дата обращения 28 июня 2017.
  15. ↑ «Киевэнерго» подверглось хакерской атаке, проблемы ощутило и «Укрэнерго», Интерфакс-Украина. Архивировано 30 июня 2017 года. Дата обращения 28 июня 2017.
  16. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины (рус.). strana.ua. Дата обращения: 28 июня 2017. Архивировано 16 декабря 2021 года.
  17. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме (рус.), Interfax.ru (28 июня 2017). Архивировано 29 июня 2017 года. Дата обращения 28 июня 2017.
  18. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим (рус.) (недоступная ссылка). Новости Mail.Ru. Дата обращения: 28 июня 2017. Архивировано 1 августа 2017 года.
  19. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку (неопр.) (недоступная ссылка). bank.gov.ua. Дата обращения: 28 июня 2017. Архивировано 29 июня 2017 года.
  20. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний, Пятый канал. Дата обращения 28 июня 2017.
  21. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Архивировано 1 августа 2017 года. Дата обращения 17 июля 2017.
  22. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки, RUS Delfi (28 июня 2017). Архивировано 30 июня 2017 года. Дата обращения 28 июня 2017.
  23. 1 2 3 4 5 Solon, Olivia. What is the Petya ransomware attack, and how can it be stopped? (англ.), The Guardian (27 June 2017). Архивировано 30 мая 2019 года. Дата обращения 28 июня 2017.
  24. ↑ Huge cyber attack spreading across the world (англ.), The Independent (27 June 2017). Архивировано 27 июня 2017 года. Дата обращения 28 июня 2017.
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent «medoc1001189». (неопр.). @CyberpoliceUA (27 июня 2017). Дата обращения: 28 июня 2017.
Ссылка на основную публикацию
Adblock
detector