• У дома
  •  > 
  • проблеми с ОС
  •  > 
  • Признаци на компютърна инфекция с вируса petya. Вирусът Petya: как да не го хванете, как да го дешифрирате, откъде идва - последните новини за рансъмуера Petya (ExPetr)

Признаци на компютърна инфекция с вируса petya. Вирусът Petya: как да не го хванете, как да го дешифрирате, откъде идва - последните новини за рансъмуера Petya (ExPetr)

На 27 юни европейските страни бяха атакувани от вирус рансъмуер, известен под безобидното име Petya (в различни източници можете да намерите още имената Petya.A, NotPetya и GoldenEye). Рансъмуерът изисква откуп в биткойни, еквивалентен на $300. Десетки големи украински и руски компании са заразени, а разпространението на вируса е регистрирано и в Испания, Франция и Дания.

Кой беше ударен?

Украйна

Украйна беше една от първите атакувани страни. По предварителни оценки са атакувани около 80 компании и държавни агенции:

Днес вирусът не просто криптира отделни файлове, но напълно отнема достъпа на потребителя до твърдия диск. Рансъмуерът също така използва фалшив електронен подпис на Microsoft, който показва на потребителите, че програмата е разработена от доверен автор и гарантира сигурност. След като зарази компютър, вирусът модифицира специален код, необходим за зареждане на операционната система. В резултат на това при стартиране на компютъра не се зарежда операционната система, а зловреден код.

Как да се предпазите?

  1. Затворете TCP портове 1024–1035, 135 и 445.
  2. Актуализирайте базите данни на вашите антивирусни продукти.
  3. Тъй като Petya се разпространява чрез фишинг, не отваряйте имейли от неизвестни източници (ако подателят е известен, проверете дали имейлът е безопасен), бъдете внимателни към съобщенията от социалните мрежи от вашите приятели, тъй като техните акаунти могат да бъдат хакнати.
  4. Вирус търсяфайл C:\Windows\perfc, и ако не го намери, създава и стартира инфекция. Ако такъв файл вече съществува на компютъра, вирусът престава да работи без инфекция. Трябва да създадете празен файл със същото име. Нека разгледаме по-подробно този процес.

— Hacker Fantastic (@hackerfantastic)

Във вторник, 27 юни, украински и руски компании съобщиха за масивна вирусна атака: компютри в предприятия показват съобщение за откуп. Разбрах кой отново пострада от хакери и как да се предпазите от кражба на важни данни.

Петя, стига толкова

Енергийният сектор беше първи атакуван: украинските компании Ukrenergo и Kyivenergo се оплакаха от вируса. Нападателите парализираха компютърните им системи, но това не се отрази на стабилността на електроцентралите.

Украинците започнаха да публикуват онлайн последствията от инфекцията: съдейки по многобройни снимки, компютрите са били атакувани от вирус ransomware. На екрана на засегнатите устройства се появи съобщение, в което се посочва, че всички данни са криптирани и собствениците на устройства трябва да платят откуп от $300 в биткойн. Хакерите обаче не казаха какво ще се случи с информацията в случай на бездействие и дори не поставиха таймер за обратно отброяване, докато данните бъдат унищожени, какъвто беше случаят с вирусната атака WannaCry.

Националната банка на Украйна (НБУ) съобщи, че работата на няколко банки е била частично парализирана поради вируса. Според украинските медии атаката е засегнала офисите на Oschadbank, Ukrsotsbank, Ukrgasbank и PrivatBank.

Компютърните мрежи на Укртелеком, летище Бориспол, Укрпоща, Нова поща, Киевводоканал и киевското метро бяха заразени. Освен това вирусът удари украинските мобилни оператори - Kyivstar, Vodafone и Lifecell.

По-късно украинските медии уточниха, че става дума за зловреден софтуер Petya.A. Разпространява се по обичайната за хакерите схема: на жертвите се изпращат фишинг имейли от манекени с молба да отворят прикачен линк. След това вирусът прониква в компютъра, криптира файловете и иска откуп за дешифрирането им.

Хакерите посочиха номера на техния биткойн портфейл, към който трябва да бъдат преведени парите. Съдейки по информацията за транзакцията, жертвите вече са прехвърлили 1,2 биткойна (повече от 168 хиляди рубли).

Според специалистите по информационна сигурност от Group-IB над 80 компании са засегнати от атаката. Ръководителят на тяхната криминална лаборатория отбеляза, че вирусът не е свързан с WannaCry. За да реши проблема, той посъветва затваряне на TCP портове 1024–1035, 135 и 445.

Кой е виновен

Тя побърза да предположи, че атаката е организирана от територията на Русия или Донбас, но не предостави никакви доказателства. министър на инфраструктурата на Украйна трионулика в думата „вирус“ и написа в своя Facebook, че „не е случайно, че завършва на RUS“, добавяйки намигащ емотикон към предположението си.

Междувременно той твърди, че атаката по никакъв начин не е свързана със съществуващ „зловреден софтуер“, известен като Petya и Mischa. Експертите по сигурността твърдят, че новата вълна е засегнала не само украински и руски компании, но и предприятия в други страни.

Интерфейсът на сегашния „зловреден софтуер“ обаче наподобява добре познатия вирус Petya, който се разпространяваше чрез фишинг връзки преди няколко години. В края на декември неизвестен хакер, отговорен за създаването на рансъмуера Petya and Mischa, започна да изпраща заразени имейли с прикачен вирус, наречен GoldenEye, който беше идентичен с предишните версии на рансъмуера.

Приложението към обикновеното писмо, което служителите на отдела по човешки ресурси често получаваха, съдържаше информация за фалшивия кандидат. В един от файловете всъщност може да се намери резюме, а в следващия - инсталаторът на вируса. Тогава основните мишени на нападателя са били фирми в Германия. За 24 часа в капана са попаднали над 160 служители на германската компания.

Не беше възможно да се идентифицира хакерът, но е очевидно, че той е фен на Бонд. Програмите Петя и Миша са имената на руските спътници „Петя” и „Миша” от филма „Златното око”, които в сюжета са били електромагнитни оръжия.

Оригиналната версия на Petya започна активно да се разпространява през април 2016 г. Той умело се маскира върху компютрите и се представя за легитимни програми, изисквайки разширени администраторски права. След активирането програмата се държеше изключително агресивно: тя постави строг срок за плащане на откупа, изисквайки 1,3 биткойна, а след крайния срок удвои паричната компенсация.

Тогава обаче един от потребителите на Twitter бързо откри слабостите на рансъмуера и създаде проста програма, която за седем секунди генерира ключ, който ви позволява да отключите компютъра и да дешифрирате всички данни без никакви последствия.

Не за първи път

В средата на май компютри по света бяха атакувани от подобен рансъмуер вирус WannaCrypt0r 2.0, известен още като WannaCry. Само за няколко часа той парализира стотици хиляди Windows устройства в повече от 70 държави. Сред жертвите има руски сили за сигурност, банки и мобилни оператори. Веднъж попаднал на компютъра на жертвата, вирусът криптира твърдия диск и изисква от нападателите да изпратят 300 долара в биткойни. Бяха дадени три дни за размисъл, след което сумата беше удвоена и след седмица файловете бяха криптирани завинаги.

Жертвите обаче не бързаха да платят откупа и създателите на зловреден софтуер

Какво е Petya.A?

Това е „вирус ransomware“, който криптира данни на компютър и изисква $300 за ключа за дешифрирането му. Той започна да заразява украински компютри около обяд на 27 юни, след което се разпространи в други страни: Русия, Великобритания, Франция, Испания, Литва и др. Сега има вирус на уебсайта на MicrosoftТо има ниво на "сериозна" заплаха.

Инфекцията се дължи на същата уязвимост в Microsoft Windows, както в случая с вируса WannaCry, който през май зарази хиляди компютри по света и нанесе щети на компаниите за около 1 милиард долара.

Вечерта киберполицията съобщи, че вирусната атака е била предназначена за електронно отчитане и управление на документи. Според служителите на реда в 10.30 ч. е пусната поредната актуализация на M.E.Doc, с помощта на която на компютрите е изтеглен зловреден софтуер.

Петя беше разпространена по имейл, маскирана като автобиография на служител. Ако човек се опита да отвори автобиография, вирусът поиска да му даде администраторски права. Ако потребителят се съгласи, компютърът се рестартира, след това твърдият диск се криптира и се появява прозорец с молба за „откуп“.

ВИДЕО

Процес на заразяване с вирус Petya. Видео: G DATA Software AG / YouTube

В същото време самият вирус Petya имаше уязвимост: беше възможно да се получи ключът за дешифриране на данни с помощта на специална програма. Този метод беше описан от редактора на Geektimes Максим Агаджанов през април 2016 г.

Някои потребители обаче предпочитат да платят откупа. Според един от добре познатите биткойн портфейли, създателите на вируса са получили 3,64 биткойна, което съответства на приблизително 9100 долара.

Кой е засегнат от вируса?

В Украйна жертвите на Petya.A бяха предимно корпоративни клиенти: държавни агенции, банки, медии, енергийни компании и други организации.

Наред с други, бяха засегнати следните предприятия: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, както и летище Бориспол, Кабинетът на министрите на Украйна, Държавата Фискална служба и др.

Атаката се разпространи и в регионите. Например, nа в атомната електроцентрала в Чернобил поради кибератака електронното управление на документи спря да работи и станцията премина на ръчен мониторинг на нивата на радиация. В Харков беше блокирана работата на големия супермаркет Rost, а на летището регистрацията за полети беше превключена на ръчен режим.

Заради вируса Petya.A спряха да работят касите в супермаркет Рост. Снимка: Kh...evy Kharkov / VKontakte


Според изданието в Русия под атака са попаднали компаниите Роснефт, Башнефт, Марс, Нивеа и др.

Как да се предпазите от Petya.A?

Инструкции как да се предпазите от Petya.A публикуваха Службата за сигурност на Украйна и киберполицията.

Кибер полицията съветва потребителите да инсталират актуализации на Windows от официалния уебсайт на Microsoft, да актуализират или инсталират антивирусна програма, да не изтеглят подозрителни файлове от имейли и незабавно да изключат компютъра от мрежата, ако бъдат забелязани нередности.

SBU подчерта, че в случай на подозрение компютърът не може да бъде рестартиран, тъй като криптирането на файлове се извършва точно по време на рестартирането. Разузнавателната служба препоръча на украинците да запазят ценни файлове на отделен носител и да направят резервно копие на операционната система.

Експерт по киберсигурност Влад Стиран написавъв Facebook, че разпространението на вируса в локална мрежа може да бъде спряно чрез блокиране на TCP портове 1024-1035, 135, 139 и 445 в Windows В интернет има инструкции как да направите това.

Специалисти от американската компания Symantec

Редица руски и украински компании бяха атакувани от вируса Petya ransomware. Сайтът на онлайн изданието разговаря с експерти от Kaspersky Lab и интерактивната агенция AGIMA и разбра как да защити корпоративните компютри от вируса и как Petya прилича на също толкова известния рансъмуер вирус WannaCry.

Вирусът "Петя"

В Русия има Роснефт, Башнефт, Марс, Nivea и производителя на шоколада Alpen Gold Mondelez International. Ransomware вирус на системата за радиационен мониторинг на атомната електроцентрала в Чернобил. Освен това атаката засегна компютри на украинското правителство, Privatbank и телеком оператори. Вирусът заключва компютри и изисква откуп от $300 в биткойни.

В микроблога на Twitter пресслужбата на Роснефт говори за хакерска атака срещу сървърите на компанията. "Беше извършена мощна хакерска атака срещу сървърите на компанията. Надяваме се, че това няма нищо общо с текущото съдебно производство. Компанията се свърза с правоприлагащите органи относно кибератаката", се казва в съобщението.

Според прессекретаря на компанията Михаил Леонтьев Роснефт и нейните дъщерни компании работят нормално. След атаката компанията премина към резервна система за контрол на процеса, така че производството и обработката на нефт да не спират. Банковата система Хоум Кредит също беше атакувана.

"Петя" не заразява без "Миша"

Според Изпълнителен директор на AGIMA Евгений Лобанов, всъщност атаката е извършена от два криптиращи вируса: Petya и Misha.

"Те работят заедно. "Петя" не заразява без "Миша". Той може да заразява, но вчерашната атака беше два вируса: първо Петя, след това Миша. "Петя" пренаписва устройството за зареждане (откъдето се зарежда компютърът) и Миша – „криптира файлове с помощта на определен алгоритъм", обясни специалистът. „Петя криптира boot сектора на диска (MBR) и го заменя със свой собствен, Миша вече криптира всички файлове на диска (не винаги)."

Той отбеляза, че криптиращият вирус WannaCry, който атакува големи световни компании през май тази година, не е подобен на Petya, а е нова версия.

„Petya.A е от фамилията WannaCry (или по-скоро WannaCrypt), но основната разлика, защо не е същият вирус, е че е заменен от MBR със собствен сектор за зареждане – това е нов продукт за Ransomware. Вирусът Petya се появи много отдавна, в GitHab (онлайн услуга за ИТ проекти и съвместно програмиране - уебсайт) https://github.com/leo-stone/hack-petya" target="_blank">имаше декриптор за този криптатор, но нито един декриптор не е подходящ за новата модификация.

Евгений Лобанов подчерта, че атаката е засегнала повече Украйна, отколкото Русия.

"Ние сме по-податливи на атаки от други западни страни. Ще бъдем защитени от тази версия на вируса, но не и от неговите модификации. Нашият интернет е опасен, в Украйна е още по-малко. По принцип транспортните компании, банките и мобилните оператори бяха атакувани (Vodafone, Kyivstar) и медицинските компании, същият Pharmamag, бензиностанциите Shell - всички много големи трансконтинентални компании", каза той в интервю за сайта.

Изпълнителният директор на AGIMA отбеляза, че все още няма факти, които да показват географското местоположение на разпространителя на вируса. Според него вирусът се е появил в Русия. За съжаление няма преки доказателства за това.

"Има предположение, че това са наши хакери, тъй като първата модификация се появи в Русия, а самият вирус, който не е тайна за никого, беше кръстен на Петро Порошенко. Това беше разработка на руски хакери, но е трудно да се каже кой го промени по-нататък. Ясно е. че дори и да си в Русия, лесно е да имаш компютър с геолокация в САЩ, например", обясни експертът.

"Ако вашият компютър внезапно е "заразен", не трябва да изключвате компютъра си. Ако рестартирате, никога повече няма да влезете."

"Ако компютърът ви внезапно е "заразен", не можете да изключите компютъра, защото вирусът Petya замества MBR - първият сектор за зареждане, от който се зарежда операционната система. Ако рестартирате, никога повече няма да влезете в системата. Това ще прекъсне маршрутите за бягство, дори ако се появи "таблетка", вече няма да е възможно да се върнат данните. След това трябва незабавно да прекъснете връзката с интернет, така че компютърът да не е онлайн. Официална корекция от Microsoft вече е пуснат, осигурява 98 процента гаранция за сигурност. За съжаление все още не 100 процента. Определена модификация на вируса (техните три части) той заобикаля засега", препоръча Лобанов. – Въпреки това, ако рестартирате и видите началото на процеса на „проверка на диска“, в този момент трябва незабавно да изключите компютъра и файловете ще останат некриптирани.

Освен това експертът обясни и защо най-често се атакуват потребителите на Microsoft, а не MacOSX (операционна система на Apple - уебсайт) и Unix системите.

"Тук е по-правилно да говорим не само за MacOSX, но и за всички Unix системи (принципът е един и същ). Вирусът се разпространява само на компютри, без мобилни устройства. Операционната система Windows е обект на атака и застрашава само тези потребители, които са деактивирали функцията за автоматично обновяване на системата.Актуализациите като изключение са достъпни дори за собственици на по-стари версии на Windows, които вече не се актуализират: XP, Windows 8 и Windows Server 2003", каза експертът.

"MacOSX и Unix не са податливи на такива вируси в световен мащаб, тъй като много големи корпорации използват инфраструктурата на Microsoft. MacOSX не е податлив, защото не е толкова разпространен в държавните агенции. Има по-малко вируси за него, не е изгодно да се правят, тъй като сегментът за атака ще бъде по-малък, отколкото ако атакуваме Microsoft“, заключи специалистът.

„Броят на атакуваните потребители достигна две хиляди“

В пресслужбата на Kaspersky Lab, чиито експерти продължават да разследват последната вълна от инфекции, казаха, че „този рансъмуер не принадлежи към вече известното семейство Petya на рансъмуер, въпреки че има няколко общи реда код с него“.

От Лабораторията са убедени, че в случая става дума за ново семейство зловреден софтуер с функционалност, значително различна от Petya. Kaspersky Lab нарече новия си рансъмуер ExPetr.

„Според Kaspersky Lab броят на атакуваните потребители е достигнал две хиляди. Повечето инциденти са регистрирани в Русия и Украйна; случаи на заразяване са наблюдавани и в Полша, Италия, Великобритания, Германия, Франция, САЩ и редица други страни В момента нашите експерти предполагат, че "този злонамерен софтуер е използвал няколко вектора на атака. Установено е, че за разпространение в корпоративни мрежи са използвани модифициран експлойт EternalBlue и експлойт EternalRomance", каза пресслужбата.

Експертите също така проучват възможността за създаване на инструмент за дешифриране, който може да се използва за дешифриране на данните. Лабораторията отправи и препоръки към всички организации за избягване на вирусна атака в бъдеще.

„Препоръчваме на организациите да инсталират актуализации за операционната система Windows. За Windows XP и Windows 7 те трябва да инсталират актуализацията за защита MS17-010 и да се уверят, че имат ефективна система за архивиране на данни. Архивирането на данни по навременен и сигурен начин позволява да възстановите оригиналните файлове, дори и да са криптирани със зловреден софтуер“, съветват експертите на Kaspersky Lab.

Лабораторията също така препоръчва на своите корпоративни клиенти да се уверят, че всички защитни механизми са активирани, по-специално да се уверят, че връзката с облачната инфраструктура на Kaspersky Security Network; като допълнителна мярка се препоръчва използването на компонента за контрол на привилегиите на приложения за отказ достъп до всички групи приложения (и, съответно, изпълнение) на файл, наречен "perfc.dat" и т.н.

„Ако не използвате продуктите на Kaspersky Lab, препоръчваме да деактивирате изпълнението на файла, наречен perfc.dat, и също така да блокирате стартирането на помощната програма PSExec от пакета Sysinternals, като използвате функцията AppLocker, включена в операционната система Windows (операционна система – уебсайт),” препоръчват в лабораторията.

12 май 2017 г. за мнозина – шифратор на данни на компютърни твърди дискове. Той блокира устройството и иска да плати откуп.
Вирусът засегна организации и ведомства в десетки страни по света, включително Русия, където бяха атакувани Министерството на здравеопазването, Министерството на извънредните ситуации, Министерството на вътрешните работи, сървъри на мобилни оператори и няколко големи банки.

Разпространението на вируса беше спряно случайно и временно: ако хакерите променят само няколко реда код, зловредният софтуер ще започне да работи отново. Щетите от програмата се оценяват на милиард долара. След съдебно-лингвистичен анализ, експертите установиха, че WannaCry е създаден от хора от Китай или Сингапур.

Почти всеки потребител има антивирусни програми на компютъра си, но понякога се появява троянски кон или вирус, който може да заобиколи най-добрата защита и да зарази вашето устройство и дори по-лошо, да криптира вашите данни. Този път такъв вирус стана криптиращият троянски кон „Petya“ или, както го наричат ​​още „Petya“. Скоростта на разпространение на тази заплаха е много впечатляваща: за няколко дни той успя да „посети“ Русия, Украйна, Израел, Австралия, САЩ, всички големи европейски страни и др. Засегна основно корпоративни потребители (летища, електроцентрали, туристическа индустрия), но засегнати бяха и обикновените хора. По своите мащаби и методи на въздействие той изключително много прилича на нашумелия напоследък.

Определено трябва да защитите компютъра си, за да не станете жертва на новия троянски кон Petya. В тази статия ще ви разкажа какъв е този вирус Petya, как се разпространява и как да се предпазите от тази заплаха. Освен това ще разгледаме проблемите с премахването на троянски кон и дешифрирането на информация.

Какво представлява вирусът Petya?

Първо трябва да разберем какво представлява Петя. Вирусът Petya е злонамерен софтуер, който е троянски кон от типа на ransomware (ransomware). Тези вируси са предназначени да изнудват собственици на заразени устройства, за да получат откуп от тях за криптирани данни. За разлика от Wanna Cry, Petya не се занимава с криптиране на отделни файлове - почти моментално „отнема“ целия ви твърд диск.

Правилното име на новия вирус е Petya.A. Освен това Kaspersky го нарича NotPetya/ExPetr.

Описание на вируса Petya

Веднъж на вашия компютър с Windows, Петя криптира почти моментално MFT(Master File Table - основна таблица с файлове). За какво отговаря тази таблица?

Представете си, че вашият твърд диск е най-голямата библиотека в цялата вселена. Съдържа милиарди книги. И така, как да намерите правилната книга? Само чрез каталога на библиотеката. Точно този каталог Петя унищожава. По този начин губите всякаква възможност да намерите какъвто и да е „файл“ на вашия компютър. За да бъдем още по-точни, след „работата“ на Petit, твърдият диск на вашия компютър ще заприлича на библиотека след торнадо, с изрезки от книги, летящи навсякъде.

По този начин, за разлика от Wanna Cry, за която споменах в началото на статията, Petya.A не криптира отделни файлове, като отделя значително време за това - просто ви отнема всяка възможност да ги намерите.

След всичките си манипулации той иска откуп от потребителите - 300 щатски долара, които трябва да бъдат преведени в биткойн сметка.

Кой създаде вируса Petya?

При създаването на вируса Petya е използван експлойт („дупка“) в операционната система Windows, наречен „EternalBlue“. Microsoft пусна корекция, която "затваря" тази дупка преди няколко месеца, но не всеки използва лицензирано копие на Windows и инсталира всички системни актуализации, нали?)

Създателят на „Petit“ успя мъдро да използва небрежността на корпоративните и частни потребители и да спечели пари от това. Самоличността му все още е неизвестна (и е малко вероятно да бъде известна)

Как се разпространява вирусът Petya?

Вирусът Petya най-често се разпространява под прикритието на прикачени файлове към имейли и в архиви, съдържащи пиратски заразен софтуер. Прикаченият файл може да съдържа абсолютно всеки файл, включително снимка или mp3 (както изглежда на пръв поглед). След като стартирате файла, компютърът ви ще се рестартира и вирусът ще симулира проверка на диска за CHKDSK грешки и в този момент ще промени записа за зареждане (MBR) на вашия компютър. След това ще видите червен череп на екрана на вашия компютър. Като щракнете върху който и да е бутон, можете да получите достъп до текст, в който ще бъдете помолени да платите за декриптиране на вашите файлове и да прехвърлите необходимата сума в биткойн портфейл.

Как да се предпазим от вируса Petya?

  • Най-важното и основно нещо е да си направите правило да инсталирате актуализации за вашата операционна система! Това е невероятно важно. Направете го веднага, не отлагайте.
  • Обърнете специално внимание на всички прикачени файлове, които са прикачени към писма, дори ако писмата са от хора, които познавате. По време на епидемията е по-добре да използвате алтернативни източници за предаване на данни.
  • Активирайте опцията „Показване на файловите разширения“ в настройките на операционната система - по този начин винаги можете да видите истинското файлово разширение.
  • Активирайте „Контрол на потребителските акаунти“ в настройките на Windows.
  • Необходимо е да инсталирате един от тях, за да избегнете инфекция. Започнете с инсталиране на актуализация на операционната система, след това инсталирайте антивирусна програма - и ще бъдете много по-безопасни от преди.
  • Не забравяйте да направите „резервни копия“ - запазете всички важни данни на външен твърд диск или в облака. След това, ако вирусът Petya проникне във вашия компютър и криптира всички данни, ще бъде много лесно да форматирате твърдия си диск и да инсталирате отново операционната система.
  • Винаги проверявайте дали вашата антивирусна база данни е актуална. Всички добри антивирусни програми следят заплахите и реагират на тях незабавно, като актуализират подписите на заплахи.
  • Инсталирайте безплатната помощна програма Kaspersky Anti-Ransomware. Той ще ви предпази от криптиращи вируси. Инсталирането на този софтуер не ви освобождава от необходимостта да инсталирате антивирусна програма.

Как да премахнете вируса Petya?

Как да премахнете вируса Petya.A от твърдия диск? Това е изключително интересен въпрос. Факт е, че ако вирусът вече е блокирал вашите данни, тогава всъщност няма да има какво да изтриете. Ако не планирате да плащате рансъмуер (което не трябва да правите) и няма да се опитвате да възстановите данни на диска в бъдеще, можете просто да форматирате диска и да преинсталирате операционната система. След това от вируса няма да остане и следа.

Ако подозирате, че на вашия диск има заразен файл, сканирайте диска си с един от тях или инсталирайте антивирусната програма Kaspersky и извършете пълно сканиране на системата. Разработчикът увери, че неговата база данни със сигнатури вече съдържа информация за този вирус.

Petya.A декриптор

Petya.A криптира вашите данни с много силен алгоритъм. Понастоящем няма решение за дешифриране на блокирана информация. Освен това не трябва да се опитвате да получите достъп до данни у дома.

Несъмнено всички бихме мечтали да се сдобием с чудодейния декриптор Petya.A, но такова решение просто няма. Вирусът удари света преди няколко месеца, но лек за декриптиране на данните, които криптира, така и не беше открит.

Затова, ако все още не сте станали жертва на вируса Petya, послушайте съвета, който дадох в началото на статията. Ако все още сте загубили контрол над данните си, тогава имате няколко възможности.

  • Плащайте пари. Няма смисъл да правим това!Експертите вече са установили, че създателят на вируса не възстановява данните и не може да ги възстанови, предвид техниката на криптиране.
  • Извадете твърдия диск от вашето устройство, внимателно го поставете в шкафа и натиснете дешифратора, за да се появи. Между другото, Kaspersky Lab непрекъснато работи в тази посока. Наличните декриптори са налични на уебсайта No Ransom.
  • Форматиране на диска и инсталиране на операционната система. Минус - всички данни ще бъдат загубени.

Petya.A вирус в Русия

В Русия и Украйна над 80 компании бяха атакувани и заразени към момента на писане, включително такива големи като Башнефт и Роснефт. Заразяването на инфраструктурата на такива големи компании показва сериозността на вируса Petya.A. Няма съмнение, че ransomware Trojan ще продължи да се разпространява в цяла Русия, така че трябва да се погрижите за сигурността на вашите данни и да следвате съветите, дадени в статията.

Petya.A и Android, iOS, Mac, Linux

Много потребители се притесняват дали вирусът Petya може да зарази техните Android и iOS устройства. Бързам да ги успокоя - не, не може. Предназначен е само за потребители на Windows OS. Същото важи и за феновете на Linux и Mac - можете да спите спокойно, нищо не ви заплашва.

Заключение

И така, днес обсъдихме подробно новия вирус Petya.A. Разбрахме какво представлява този троянски кон и как работи, научихме как да се предпазим от инфекция и да премахнем вируса и къде да вземем декриптора Petya. Надявам се, че статията и моите съвети са ви били полезни.

Вирусът Petya е бързо разрастващ се вирус, който засегна почти всички големи предприятия в Украйна на 27 юни 2017 г. Вирусът Petya криптира вашите файлове и след това предлага откуп за тях.

Новият вирус заразява твърдия диск на компютъра и работи като вирус за шифроване на файлове. След известно време вирусът Petya "изяжда" файловете на вашия компютър и те се криптират (сякаш файловете са архивирани и е зададена тежка парола)
Файлове, които са били засегнати от вируса Petya ransomware, не могат да бъдат възстановени по-късно (има процент, който можете да ги възстановите, но е много малък)
НЯМА алгоритъм, който да възстановява файлове, засегнати от вируса Petya
С помощта на тази кратка и МАКСИМАЛНО полезна статия можете да се предпазите от #вирусПетя

Как да ИДЕНТИФИЦИРАТЕ вируса Petya или WannaCry и да НЕ се заразите с вируса

Когато изтегляте файл през интернет, проверете го с онлайн антивирус. Онлайн антивирусите могат предварително да открият вирус във файл и да предотвратят заразяване с вируса Petya. Всичко, което трябва да направите, е да проверите изтегления файл с помощта на VirusTotal и след това да го стартирате. Дори ако сте ИЗТЕГЛИЛИ ВИРУСА PETYA, но НЕ сте стартирали вирусния файл, вирусът НЕ е активен и не причинява вреда. Само след стартиране на вреден файл стартирате вирус, запомнете това

ИЗПОЛЗВАНЕТО НА ТОЗИ МЕТОД ВИ ДАВА САМО ВСЕКИ ШАНС ДА НЕ БЪДЕТЕ ЗАРАЗЕН ОТ ВИРУСА PETYA
Вирусът Petya изглежда така:

Как да се предпазим от вируса Petya

Компания Symantecпредложи решение, което ви позволява да се защитите от вируса Petya, като се преструвате, че вече сте го инсталирали.
Вирусът Petya, когато влезе в компютър, създава в папката C:\Windows\perfcфайл perfcили perfc.dll
За да накарате вируса да мисли, че вече е инсталиран и да не продължи дейността си, създайте в папката C:\Windows\perfcфайл с празно съдържание и го запазете, като зададете режима на редактиране на „Само за четене“
Или изтеглете virus-petya-perfc.zip и разархивирайте папката perfcкъм папка C:\Windows\и задайте режима на промяна на „Само за четене“
Изтеглете virus-petya-perfc.zip



АКТУАЛИЗИРАНА НА 29.06.2017
Също така препоръчвам да изтеглите двата файла просто в папката на Windows. Много източници пишат, че файлът perfcили perfc.dllтрябва да е в папката C:\Windows\

Какво да направите, ако компютърът ви вече е заразен с вируса Petya

Не включвайте компютър, който вече ви е заразил с вируса Petya. Вирусът Petya работи по такъв начин, че докато заразеният компютър е включен, той криптира файлове. Тоест, докато поддържате компютъра си включен с вируса Petya, все повече и повече файлове могат да бъдат заразени и криптирани.
Струва си да се провери твърдият диск на този компютър. Можете да го проверите с помощта на LIVECD или LIVEUSB с антивирусна програма
Стартиращо USB флаш устройство с Kaspersky Rescue Disk 10
Dr.Web LiveDisk стартиращо флаш устройство

Кой разпространи вируса Petya в Украйна

Microsoft изрази своята гледна точка относно заразяването на глобалната мрежа в големите украински компании. Причината беше актуализацията на програмата M.E.Doc. M.E.Doc е популярна счетоводна програма, поради което компанията направи толкова голяма грешка, когато вирус влезе в актуализацията и инсталира вируса Petya на хиляди компютри, на които беше инсталирана програмата M.E.Doc. И тъй като вирусът засяга компютрите в същата мрежа, той се разпространява със светкавична скорост.
#: Вирусът Petya засяга android, вирус Petya, как да откриете и премахнете вируса Petya, как да лекувате вируса petya, M.E.Doc, Microsoft, създайте папка Вирус Petya

Днес вирус на ransomware атакува много компютри в публичния, търговския и частния сектор на Украйна

Безпрецедентна хакерска атака нокаутира много компютри и сървъри в държавни агенции и търговски организации в цялата страна

Мащабна и внимателно планирана кибератака извади от строя критичната инфраструктура на много държавни предприятия и компании днес. Това съобщиха от Службата за сигурност (СБУ).

Още от обяд съобщенията за заразяване на компютри в публичния и частния сектор започнаха да се появяват в интернет като снежна топка. Представители на държавни агенции обявиха хакерски атаки срещу тяхната ИТ инфраструктура.

Според SBU инфекцията е възникнала основно в резултат на отваряне на Word и PDF файлове, които нападателите са изпратили по имейл. Вирусът Petya.A рансъмуер използва мрежова уязвимост в операционната система Windows. За да отключат криптирани данни, киберпрестъпниците поискаха плащане в биткойни от 300 долара.

Секретарят на Съвета за национална сигурност и отбрана Александър Турчинов каза, че държавните агенции, които са били включени в защитената верига - специален интернет възел, не са претърпели никакви щети. Очевидно кабинетът на министрите не е изпълнил правилно препоръките на Националния координационен център за киберсигурност, тъй като правителствените компютри са били засегнати от Petya.A. Министерството на финансите, Чернобилската атомна електроцентрала, Укренерго, Укрпоща, Нова поща и редица банки не можаха да устоят на днешната атака.

Известно време интернет страниците на СБУ, киберполицията и Държавната служба за специални комуникации и защита на информацията (ДСССЗИ) дори не се отваряха.

Към вечерта на 27 юни, вторник, нито един от органите на реда, чиито отговорности включват борбата с кибератаките, не е съобщил откъде идва Petya.A и кой стои зад него. SBU, киберполицията (чийто уебсайт не работеше цял ден) и SSSSZI запазиха олимпийско мълчание по отношение на степента на щетите, причинени от вируса рансъмуер.

Екипът за компютърно реагиране при извънредни ситуации (CERT-UA, част от SSSSZI) публикува съвети за смекчаване на последствията от Petya Ransomware. За да направите това, техниците препоръчват да използвате софтуера ESET. По-късно SBU също говори за това как да се предпазите или да намалите вредата от вируса.

Вирус "Петя":как да не го хванете, как да дешифрирате откъде идва - последните новини за вируса Petya ransomware, който до третия ден от своята „активност“ е заразил около 300 хиляди компютъра в различни страни по света и досега не един го е спрял.

Вирус Petya - как да декриптирате, последни новини.След атака на компютър, създателите на рансъмуера Petya искат откуп от $300 (в биткойни), но няма начин да дешифрират вируса Petya, дори ако потребителят плати пари. Специалистите от Kaspersky Lab, които видяха разликите в новия вирус от Petit и го нарекоха ExPetr, твърдят, че дешифрирането изисква уникален идентификатор за конкретна инсталация на троянски кон.

В известните по-рано версии на подобни криптори Petya/Mischa/GoldenEye инсталационният идентификатор съдържаше необходимата информация за това. В случая с ExPetr този идентификатор не съществува, пише РИА Новости.

Вирусът “Петя” – откъде идва, последните новини.Германски експерти по сигурността представиха първата версия за това откъде идва този рансъмуер. Според тях вирусът Petya започва да се разпространява през компютрите, когато се отварят файлове M.E.Doc. Това е счетоводна програма, използвана в Украйна след забраната на 1C.

Междувременно Kaspersky Lab казва, че е твърде рано да се правят заключения за произхода и източника на разпространение на вируса ExPetr. Възможно е нападателите да са разполагали с обширни данни. Например имейл адреси от предишен бюлетин или други ефективни методи за проникване в компютрите.

С тяхна помощ вирусът „Петя” удари с пълна сила Украйна и Русия, както и други страни. Но реалният мащаб на тази хакерска атака ще стане ясен след няколко дни, съобщават.

Вирусът “Petya”: как да не го хванете, как да го дешифрирате, откъде идва - последните новиниза рансъмуер вируса Petya, който вече получи ново име от Kaspersky Lab – ExPetr.

Кратка екскурзия в историята на именуването на зловреден софтуер.

Към отметки

Лого на вируса Petya.A

На 27 юни най-малко 80 руски и украински компании бяха атакувани от вируса Petya.A. Програмата блокира информацията на компютрите на отдели и предприятия и, подобно на добре познатия ransomware вирус, изисква биткойни от потребителите.

Злонамерените програми обикновено се назовават от служители на антивирусни компании. Изключение правят тези криптори, ransomware, унищожители и крадци на самоличност, които освен компютърни инфекции причиняват медийни епидемии - повишен шум в медиите и активни дискусии в мрежата.

Вирусът Petya.A обаче е представител на ново поколение. Името, с което се представя, е част от маркетинговата стратегия на разработчиците, насочена към повишаване на разпознаваемостта и популярността му на пазара на даркнет.

Субкултурен феномен

В онези дни, когато имаше малко компютри и не всички бяха свързани помежду си, вече съществуваха саморазпространяващи се програми (все още не вируси). Един от първите от тях беше този, който шеговито поздрави потребителя и предложи да го хване и изтрие. Следващият беше Cookie Monster, който поиска да му „дадете бисквитка“, като въведете думата „бисквитка“.

Ранният злонамерен софтуер също имаше чувство за хумор, въпреки че не винаги беше в имената им. Така Ричард Скрант, предназначен за компютъра Apple-2, чете стихотворение на жертвата веднъж на всеки 50 стартирания на компютъра, а имената на вирусите, често скрити в кода и не се показват, се отнасят до шеги и субкултурни думи, често срещани сред маниаците от онова време. Те могат да бъдат свързани с имена на метъл групи, популярна литература и настолни ролеви игри.

В края на 20-ти век създателите на вируси не се криеха много - нещо повече, често, когато дадена програма излезе извън контрол, те се опитваха да участват в премахването на нанесената й вреда. Такъв беше случаят с пакистанския и разрушителен, създаден от бъдещия съосновател на бизнес инкубатора Y-Combinator.

Един от руските вируси, споменат от Евгений Касперски в книгата му от 1992 г. „Компютърни вируси в MS-DOS“, също демонстрира поетични способности. Програмата Condom-1581 от време на време демонстрира на жертвата, посветена на проблемите със запушването на световните океани с човешки отпадъци.

География и календар

През 1987 г. Йерусалимският вирус, известен още като Израелския вирус, е кръстен на мястото, където е открит за първи път, а алтернативното му име Черен петък се дължи на факта, че активира и изтрива изпълними файлове, ако на 13-то число от месеца падна в петък.

Вирусът Микеланджело, който предизвика паника в медиите през пролетта на 1992 г., също е кръстен на календарния принцип. Тогава Джон Макафи, по-късно известен със създаването на една от най-натрапчивите антивируси, по време на конференция за киберсигурност в Сидни, каза на журналисти и обществеността: „Ако стартирате заразена система на 6 март, всички данни на твърдия диск ще бъдат повредени.“ Какво общо има Микеланджело с това? 6 март беше рожденият ден на италианския художник. Въпреки това, ужасите, които McAfee предсказа, в крайна сметка се оказаха силно преувеличени.

Функционалност

Възможностите на вируса и неговата специфика често служат като основа за името. През 1990 г. един от първите полиморфни вируси е наречен Chameleon, а той, който има широки възможности да прикрива присъствието си (и следователно принадлежи към категорията на стелт вирусите), е наречен Frodo, намеквайки за героя от „Властелинът на Пръстени” и Пръстенът, скрит от очите на другите. И например вирусът OneHalf от 1994 г. получи името си поради факта, че прояви агресия само като зарази половината от диска на атакуваното устройство.

Сервизни заглавия

Повечето вируси отдавна са именувани в лаборатории, където се анализират на части от анализатори.

Обикновено това са скучни серийни имена и общи „фамилни“ имена, които описват категорията на вируса, какви системи атакува и какво прави с тях (като Win32.HLLP.DeTroie). Понякога обаче, когато в програмния код се разкрият намеци, оставени от разработчиците, вирусите придобиват малко индивидуалност. Така се появиха например вирусите MyDoom и KooKoo.

Това правило обаче не винаги работи - например вирусът Stuxnet, който спря центрофугите за обогатяване на уран в Иран, не беше наречен Myrtus, въпреки че тази дума („мирта“) в кода беше почти пряк намек за участието на израелски разузнавателните служби в неговото развитие. В този случай победи името, което вече беше известно на широката общественост, присвоено на вируса в първите етапи от откриването му.

Задачи

Често се случва вируси, които изискват много внимание и усилия за изследване, да получават красиви имена от антивирусни компании, които са по-лесни за изговаряне и записване - това се случи с Червения октомври, дипломатическа кореспонденция и данни, които биха могли да повлияят на международните отношения, както и с IceFog, широкомащабен индустриален шпионаж.

Разширение на файл

Друг популярен начин за именуване е чрез разширението, което вирусът присвоява на заразените файлове. Така един от „военните” вируси, Duqu, е кръстен така не заради граф Дуку от „Междузвездни войни”, а заради префикса ~DQ, който обозначава създадените от него файлове.

Нашумялият през пролетта вирус WannaCry също получи името си, обозначавайки криптираните от него данни с разширението .wncry.

По-ранното име на вируса, Wanna Decrypt0r, не се утвърди - звучеше по-зле и имаше различни изписвания. Не всички си направиха труда да сложат "0" като "о".

„Вие станахте жертва на рансъмуер вируса Petya“

Точно така се представя най-обсъжданият злонамерен софтуер днес, след като завърши криптирането на файлове на атакувания компютър. Вирусът Petya A. има не само разпознаваемо име, но и лого под формата на пиратски череп и кръстосани кости, както и цяла маркетингова промоция. Забелязан заедно със своя брат „Миша“, вирусът привлече вниманието на анализаторите именно поради това.

От субкултурен феномен, преминали през период, когато този вид „хакване“ изискваше доста сериозни технически познания, вирусите се превърнаха в оръжие на кибер-гоп-стопа. Сега те трябва да играят по правилата на пазара - и който получава повече внимание, носи големи печалби на своите разработчици.