Den 27. juni blev europæiske lande ramt af et angreb af en ransomware-virus kendt under det uskadelige navn Petya (i forskellige kilder kan man også finde navnene Petya.A, NotPetya og GoldenEye). Ransomwaren kræver en løsesum i bitcoins svarende til $300. Snesevis af store ukrainske og russiske virksomheder er inficeret, og spredningen af ​​virussen er også registreret i Spanien, Frankrig og Danmark.

Hvem blev ramt?

Ukraine

Ukraine var et af de første lande, der blev angrebet. Ifølge foreløbige skøn blev omkring 80 virksomheder og offentlige myndigheder angrebet:

I dag krypterer virussen ikke bare individuelle filer, men fjerner fuldstændigt brugerens adgang til harddisken. Ransomwaren bruger også en falsk Microsoft elektronisk signatur, som viser brugerne, at programmet er udviklet af en betroet forfatter og garanterer sikkerhed. Efter at have inficeret en computer, ændrer virussen den særlige kode, der er nødvendig for at indlæse operativsystemet. Som et resultat, når computeren starter, er det ikke operativsystemet, der er indlæst, men ondsindet kode.

Hvordan beskytter man sig selv?

1. Luk TCP-portene 1024–1035, 135 og 445.
2. Opdater databaserne for dine antivirusprodukter.
3. Da Petya distribueres ved hjælp af phishing, skal du ikke åbne e-mails fra ukendte kilder (hvis afsenderen er kendt, tjek om e-mailen er sikker), vær opmærksom på beskeder fra sociale netværk fra dine venner, da deres konti kan blive hacket.
4. Virus leder efter fil C:\Windows\perfc, og hvis den ikke finder den, skaber den og starter en infektion. Hvis en sådan fil allerede findes på computeren, slutter virussen med at virke uden infektion. Du skal oprette en tom fil med samme navn. Lad os se nærmere på denne proces.

— Hacker Fantastic (@hackerfantastic)

Tirsdag den 27. juni rapporterede ukrainske og russiske virksomheder om et massivt virusangreb: computere på virksomheder viste en løsesum-besked. Jeg fandt ud af, hvem der igen led på grund af hackere, og hvordan du beskytter dig selv mod tyveri af vigtige data.

Petya, det er nok

Energisektoren var den første, der blev angrebet: De ukrainske virksomheder Ukrenergo og Kyivenergo klagede over virussen. Angriberne lammede deres computersystemer, men det påvirkede ikke kraftværkernes stabilitet.

Ukrainere begyndte at offentliggøre konsekvenserne af infektionen online: at dømme efter talrige billeder blev computere angrebet af en ransomware-virus. En besked dukkede op på skærmen på de berørte enheder om, at alle data var krypteret, og enhedsejere skulle betale en løsesum på $300 i Bitcoin. Hackerne sagde dog ikke, hvad der ville ske med informationen i tilfælde af passivitet, og satte ikke engang en nedtællingstimer, før dataene blev ødelagt, som det var tilfældet med WannaCry-virusangrebet.

Ukraines nationalbank (NBU) rapporterede, at flere bankers arbejde var delvist lammet på grund af virussen. Ifølge ukrainske medier ramte angrebet kontorerne hos Oschadbank, Ukrsotsbank, Ukrgasbank og PrivatBank.

Computernetværkene i Ukrtelecom, Boryspil Lufthavn, Ukrposhta, Nova Poshta, Kievvodokanal og Kyiv Metro var inficeret. Derudover ramte virussen ukrainske mobiloperatører - Kyivstar, Vodafone og Lifecell.

Senere præciserede ukrainske medier, at vi taler om Petya.A-malwaren. Det distribueres i henhold til den sædvanlige ordning for hackere: ofre får tilsendt phishing-e-mails fra dummies, der beder dem om at åbne et vedhæftet link. Herefter trænger virussen ind i computeren, krypterer filerne og kræver løsesum for at dekryptere dem.

Hackerne angav nummeret på deres Bitcoin-pung, som pengene skulle overføres til. At dømme efter transaktionsoplysningerne har ofrene allerede overført 1,2 bitcoins (mere end 168 tusind rubler).

Ifølge infra Group-IB var mere end 80 virksomheder berørt af angrebet. Lederen af ​​deres kriminallaboratorium bemærkede, at virussen ikke er relateret til WannaCry. For at løse problemet rådede han til at lukke TCP-portene 1024-1035, 135 og 445.

Hvem er skyldig

Hun skyndte sig at antage, at angrebet var organiseret fra Ruslands eller Donbass' område, men fremlagde ingen beviser. Ukraines infrastrukturminister sav ledetråd i ordet "virus" og skrev på sin Facebook, at "det er ikke tilfældigt, at det ender på RUS", og tilføjede et blinkende humørikon til sit gæt.

I mellemtiden hævder han, at angrebet på ingen måde er forbundet med eksisterende "malware" kendt som Petya og Mischa. Sikkerhedseksperter hævder, at den nye bølge ikke kun har påvirket ukrainske og russiske virksomheder, men også virksomheder i andre lande.

Grænsefladen af ​​den nuværende "malware" ligner dog den velkendte Petya-virus, som blev distribueret gennem phishing-links for et par år siden. I slutningen af ​​december begyndte en ukendt hacker, der var ansvarlig for at skabe Petya og Mischa ransomware, at sende inficerede e-mails med en vedhæftet virus kaldet GoldenEye, som var identisk med tidligere versioner af ransomware.

Bilaget til det almindelige brev, som medarbejdere i HR-afdelingen ofte modtog, indeholdt oplysninger om den falske kandidat. I en af ​​filerne kunne man faktisk finde et CV, og i den næste - et virusinstallationsprogram. Så var hovedmålene for angriberen virksomheder i Tyskland. I løbet af 24 timer faldt mere end 160 ansatte i den tyske virksomhed i fælden.

Det var ikke muligt at identificere hackeren, men det er åbenlyst, at han er Bond-fan. Petya- og Mischa-programmerne er navnene på de russiske satellitter "Petya" og "Misha" fra filmen "Golden Eye", som i plottet var elektromagnetiske våben.

Den originale version af Petya begyndte at blive aktivt distribueret i april 2016. Det camouflerede dygtigt sig selv på computere og udgav sig som legitime programmer og anmodede om udvidede administratorrettigheder. Efter aktivering opførte programmet sig ekstremt aggressivt: Det satte en streng frist for at betale løsesummen og krævede 1,3 bitcoins, og efter deadline fordoblede det den monetære kompensation.

Men så fandt en af ​​Twitter-brugerne hurtigt ransomwarens svagheder og skabte et simpelt program, der på syv sekunder genererede en nøgle, der gjorde det muligt for dig at låse computeren op og dekryptere alle data uden konsekvenser.

Ikke for første gang

I midten af ​​maj blev computere over hele verden angrebet af en lignende ransomware-virus, WannaCrypt0r 2.0, også kendt som WannaCry. På få timer lammede den hundredtusindvis af Windows-enheder i mere end 70 lande. Blandt ofrene var russiske sikkerhedsstyrker, banker og mobiloperatører. En gang på offerets computer krypterede virussen harddisken og krævede, at angriberne sendte $300 i bitcoins. Der blev afsat tre dage til refleksion, hvorefter beløbet blev fordoblet, og efter en uge var filerne krypteret for altid.

Men ofrene havde ikke travlt med at betale løsesummen, og skaberne af malwaren

Hvad er Petya.A?

Dette er en "ransomware-virus", der krypterer data på en computer og kræver $300 for nøglen til at dekryptere dem. Den begyndte at inficere ukrainske computere omkring middag den 27. juni og spredte sig derefter til andre lande: Rusland, Storbritannien, Frankrig, Spanien, Litauen osv. Der er en virus på Microsofts hjemmeside nu Det har "alvorligt" trusselsniveau.

Infektionen skyldes den samme sårbarhed i Microsoft Windows som i tilfældet med WannaCry-virussen, der i maj inficerede tusindvis af computere verden over og påførte virksomheder omkring 1 milliard dollars i skade.

Om aftenen rapporterede cyberpolitiet, at virusangrebet var beregnet til elektronisk rapportering og dokumenthåndtering. Ifølge retshåndhævende embedsmænd blev den næste M.E.Doc-opdatering kl. 10.30 udgivet, ved hjælp af hvilken ondsindet software blev downloadet til computere.

Petya blev distribueret via e-mail, forklædt som en medarbejders CV. Hvis en person forsøgte at åbne et CV, bad virussen om at give ham administratorrettigheder. Hvis brugeren accepterede, genstartede computeren, så blev harddisken krypteret, og et vindue dukkede op, der bad om en "løsesum".

VIDEO

Petya virus infektionsproces. Video: G DATA Software AG / YouTube

Samtidig havde selve Petya-virussen en sårbarhed: det var muligt at få nøglen til at dekryptere data ved hjælp af et særligt program. Denne metode blev beskrevet af Geektimes redaktør Maxim Agadzhanov i april 2016.

Nogle brugere foretrækker dog at betale løsesummen. Ifølge en af ​​de velkendte Bitcoin-punge modtog skaberne af virussen 3,64 bitcoins, hvilket svarer til cirka 9.100 dollars.

Hvem er ramt af virussen?

I Ukraine var ofrene for Petya.A hovedsageligt erhvervskunder: offentlige myndigheder, banker, medier, energiselskaber og andre organisationer.

Blandt andre blev følgende virksomheder ramt: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, og også Boryspil lufthavn, Ukraines ministerkabinet, staten Skatteservice og andre.

Angrebet spredte sig også til regionerne. For eksempel n og på atomkraftværket i Tjernobyl holdt elektronisk dokumenthåndtering på grund af et cyberangreb op med at fungere, og stationen gik over til manuel overvågning af strålingsniveauer. I Kharkov blev driften af ​​det store Rost-supermarked blokeret, og i lufthavnen blev check-in til fly omstillet til manuel tilstand.

På grund af Petya.A-virussen holdt kasseapparaterne i supermarkedet Rost op med at fungere. Foto: Kh...evy Kharkov / VKontakte

Ifølge publikationen kom virksomhederne Rosneft, Bashneft, Mars, Nivea og andre under angreb i Rusland.

Hvordan beskytter du dig selv mod Petya.A?

Instruktioner om, hvordan du beskytter dig selv mod Petya.A, blev offentliggjort af Ukraines sikkerhedstjeneste og cyberpolitiet.

Cyberpolitiet råder brugerne til at installere Windows-opdateringer fra det officielle Microsoft-websted, opdatere eller installere et antivirus, ikke downloade mistænkelige filer fra e-mails og straks afbryde computeren fra netværket, hvis der bemærkes uregelmæssigheder.

SBU understregede, at computeren i tilfælde af mistanke ikke kan genstartes, da filkryptering sker netop under genstarten. Efterretningstjenesten anbefalede ukrainere at gemme værdifulde filer på et separat medie og lave en sikkerhedskopi af operativsystemet.

Cybersikkerhedsekspert Vlad Styran skrev på Facebook, at spredningen af ​​virussen på et lokalt netværk kan stoppes ved at blokere TCP-portene 1024-1035, 135, 139 og 445 i Windows.Der findes instruktioner på internettet om, hvordan man gør dette.

Specialister fra det amerikanske firma Symantec

En række russiske og ukrainske virksomheder blev angrebet af Petya ransomware virus. Onlinepublikationssiden talte med eksperter fra Kaspersky Lab og det interaktive bureau AGIMA og fandt ud af, hvordan man beskytter virksomhedscomputere mod virussen, og hvordan Petya ligner den lige så berømte WannaCry ransomware-virus.

Virus "Petya"

I Rusland er der Rosneft, Bashneft, Mars, Nivea og Alpen Gold chokoladeproducenten Mondelez International. Ransomware-virus fra strålingsovervågningssystemet på Tjernobyl-atomkraftværket. Derudover ramte angrebet computere fra den ukrainske regering, Privatbank og teleoperatører. Virussen låser computere og kræver en løsesum på $300 i bitcoins.

I mikrobloggen på Twitter talte Rosnefts pressetjeneste om et hackerangreb på virksomhedens servere. "Et kraftigt hackerangreb blev udført på virksomhedens servere. Vi håber, at dette ikke har noget at gøre med de nuværende retssager. Virksomheden kontaktede retshåndhævende myndigheder vedrørende cyberangrebet," lyder meddelelsen.

Ifølge virksomhedens pressesekretær Mikhail Leontyev fungerer Rosneft og dets datterselskaber som normalt. Efter angrebet gik virksomheden over til et backup-proceskontrolsystem, så olieproduktion og -behandling ikke stoppede. Home Credit-banksystemet blev også angrebet.

"Petya" smitter ikke uden "Misha"

Ifølge Administrerende direktør for AGIMA Evgeniy Lobanov, faktisk blev angrebet udført af to krypteringsvira: Petya og Misha.

"De arbejder sammen. "Petya" inficerer ikke uden "Misha". Han kan inficere, men gårsdagens angreb var to virus: først Petya, så Misha. "Petya" omskriver opstartsenheden (hvor computeren starter fra), og Misha - "krypterer filer ved hjælp af en specifik algoritme," forklarede specialisten. "Petya krypterer opstartssektoren på disken (MBR) og erstatter den med sin egen, Misha krypterer allerede alle filer på disken (ikke altid)."

Han bemærkede, at WannaCry-krypteringsvirussen, som angreb store globale virksomheder i maj i år, ikke ligner Petya, det er en ny version.

"Petya.A er fra WannaCry (eller rettere WannaCrypt)-familien, men den største forskel, hvorfor det ikke er den samme virus, er, at den er erstattet af MBR'en med sin egen boot-sektor - dette er et nyt produkt til Ransomware. Petya-virussen dukkede op for lang tid siden, på GitHab (en onlinetjeneste til it-projekter og fælles programmering - hjemmeside) https://github.com/leo-stone/hack-petya" target="_blank">der var en dekryptering for denne kryptering, men ingen dekryptering er egnet til den nye modifikation.

Jevgenij Lobanov understregede, at angrebet ramte Ukraine hårdere end Rusland.

"Vi er mere modtagelige for angreb end andre vestlige lande. Vi vil være beskyttet mod denne version af virussen, men ikke mod dens modifikationer. Vores internet er usikkert, i Ukraine er det endnu mindre. Grundlæggende er det transportvirksomheder, banker og mobiloperatører blev angrebet (Vodafone, Kyivstar) og medicinske virksomheder, de samme Pharmamag, Shell tankstationer - alle meget store transkontinentale virksomheder,” sagde han i et interview med webstedet.

Den administrerende direktør for AGIMA bemærkede, at der endnu ikke er nogen fakta, der indikerer den geografiske placering af sprederen af ​​virussen. Efter hans mening optrådte virussen angiveligt i Rusland. Desværre er der ingen direkte beviser for dette.

"Der er en antagelse om, at disse er vores hackere, siden den første modifikation dukkede op i Rusland, og selve virussen, som ikke er nogen hemmelighed for nogen, blev opkaldt efter Petro Poroshenko. Det var udviklingen af ​​russiske hackere, men det er svært at sige hvem har ændret det yderligere. Det er klart, at selvom man er i Rusland, er det nemt at have en computer med geolocation i for eksempel USA,” forklarede eksperten.

"Hvis din computer pludselig er "inficeret", må du ikke slukke for din computer. Hvis du genstarter, vil du aldrig logge ind igen."

"Hvis din computer pludselig er "inficeret", kan du ikke slukke for computeren, fordi Petya-virussen erstatter MBR - den første opstartssektor, som operativsystemet indlæses fra. Hvis du genstarter, vil du aldrig logge ind på systemet igen. Dette vil afskære flugtvejene, selvom det ser ud som "tablet" vil det ikke længere være muligt at returnere dataene. Dernæst skal du straks afbryde forbindelsen til internettet, så computeren ikke går online. En officiel patch fra Microsoft allerede er blevet frigivet, giver det en 98 procents sikkerhedsgaranti. Desværre ikke 100 procent endnu. En vis modifikation af virussen (deres tre stykker) går han uden om for nu,” anbefalede Lobanov. - Men hvis du genstarter og ser starten på "check disk"-processen, skal du på dette tidspunkt straks slukke for computeren, og filerne forbliver ukrypterede.

Derudover forklarede eksperten også, hvorfor Microsoft-brugere oftest bliver angrebet, og ikke MacOSX (Apple-operativsystem - hjemmeside) og Unix-systemer.

"Her er det mere korrekt at tale ikke kun om MacOSX, men også om alle unix-systemer (princippet er det samme). Virusset spredes kun til computere uden mobile enheder. Windows-operativsystemet er udsat for angreb og truer kun dem brugere, der har deaktiveret den automatiske systemopdateringsfunktion. Opdateringer som en undtagelse er de tilgængelige selv for ejere af ældre versioner af Windows, der ikke længere er opdateret: XP, Windows 8 og Windows Server 2003,” sagde eksperten.

"MacOSX og Unix er ikke modtagelige for sådanne vira globalt, fordi mange store virksomheder bruger Microsofts infrastruktur. MacOSX er ikke modtagelige, fordi det ikke er så almindeligt i offentlige myndigheder. Der er færre vira til det, det er ikke rentabelt at lave dem, fordi angrebssegmentet vil være mindre, end hvis man angriber Microsoft,” konkluderede specialisten.

"Antallet af angrebne brugere har nået to tusinde"

I Kaspersky Labs pressetjeneste, hvis eksperter fortsætter med at undersøge den seneste bølge af infektioner, sagde, at "denne ransomware tilhører ikke den allerede kendte Petya-familie af ransomware, selvom den har flere linjer kode til fælles med den."

Laboratoriet er overbevist om, at vi i dette tilfælde taler om en ny familie af ondsindet software med funktionalitet, der er væsentlig forskellig fra Petya. Kaspersky Lab har navngivet sin nye ransomware ExPetr.

"Ifølge Kaspersky Lab nåede antallet af angrebne brugere op på to tusinde. De fleste hændelser blev registreret i Rusland og Ukraine; tilfælde af infektion blev også observeret i Polen, Italien, Storbritannien, Tyskland, Frankrig, USA og en række andre lande I øjeblikket foreslår vores eksperter, "at denne malware brugte adskillige angrebsvektorer. Det blev fastslået, at en modificeret EternalBlue-udnyttelse og en EternalRomance-udnyttelse blev brugt til distribution i virksomhedsnetværk," sagde pressetjenesten.

Eksperter undersøger også muligheden for at skabe et dekrypteringsværktøj, der kan bruges til at dekryptere dataene. Laboratoriet fremsatte også anbefalinger til alle organisationer for at undgå et virusangreb i fremtiden.

"Vi anbefaler, at organisationer installerer opdateringer til Windows-operativsystemet. For Windows XP og Windows 7 bør de installere MS17-010 sikkerhedsopdateringen og sikre, at de har et effektivt data backup-system. Sikkerhedskopiering af data på en rettidig og sikker måde giver mulighed for dig til at gendanne de originale filer, selvom de var krypteret med malware,” rådgav Kaspersky Lab-eksperter.

Laboratoriet anbefaler også, at dets virksomhedskunder sørger for, at alle beskyttelsesmekanismer er aktiveret, især at sikre, at forbindelsen til Kaspersky Security Networks cloud-infrastruktur; som en yderligere foranstaltning anbefales det at bruge Application Privilege Control-komponenten til at nægte adgang til alle applikationsgrupper (og følgelig eksekvering) af en fil kaldet "perfc.dat" osv.

"Hvis du ikke bruger Kaspersky Lab-produkter, anbefaler vi, at du deaktiverer udførelsen af ​​filen kaldet perfc.dat og også blokerer lanceringen af ​​PSExec-værktøjet fra Sysinternals-pakken ved hjælp af AppLocker-funktionen inkluderet i Windows OS (operativsystem). – hjemmeside)", anbefales i laboratoriet.

12. maj 2017 for mange – en kryptering af data på computerens harddiske. Han blokerer enheden og kræver at betale en løsesum.
Virussen ramte organisationer og afdelinger i snesevis af lande rundt om i verden, herunder Rusland, hvor sundhedsministeriet, ministeriet for nødsituationer, indenrigsministeriet, servere fra mobiloperatører og flere store banker blev angrebet.

Spredningen af ​​virussen blev stoppet ved et uheld og midlertidigt: Hvis hackere ændrede blot nogle få linjer kode, ville malwaren begynde at virke igen. Skaderne fra programmet anslås til en milliard dollars. Efter retsmedicinsk lingvistisk analyse fastslog eksperter, at WannaCry blev skabt af folk fra Kina eller Singapore.

Næsten alle brugere har antivirusprogrammer på deres computer, men nogle gange dukker der en trojan eller virus op, som kan omgå den bedste beskyttelse og inficere din enhed, og endnu værre, kryptere dine data. Denne gang blev den krypterende trojanske "Petya" eller, som den også kaldes, "Petya", sådan en virus. Spredningshastigheden af ​​denne trussel er meget imponerende: på et par dage var han i stand til at "besøge" Rusland, Ukraine, Israel, Australien, USA, alle større europæiske lande og mere. Det ramte hovedsageligt erhvervsbrugere (lufthavne, kraftværker, turistindustrien), men almindelige mennesker blev også ramt. Med hensyn til omfanget og påvirkningsmetoderne ligner den ekstremt den nyligt opsigtsvækkende.

Du skal helt sikkert beskytte din computer for at undgå at blive offer for den nye Petya ransomware Trojan. I denne artikel vil jeg fortælle dig, hvilken slags Petya-virus dette er, hvordan det spredes, og hvordan du beskytter dig selv mod denne trussel. Derudover vil vi komme ind på problemerne med fjernelse af trojanske heste og informationsdekryptering.

Hvad er Petya virus?

Først bør vi forstå, hvad Petya er. Petya-virussen er ondsindet software, der er en ransomware-type trojaner (ransomware). Disse vira er designet til at afpresse ejere af inficerede enheder for at opnå løsesum fra dem for krypterede data. I modsætning til Wanna Cry, gider Petya sig ikke med at kryptere individuelle filer - det "tager næsten øjeblikkeligt" hele din harddisk.

Det korrekte navn på den nye virus er Petya.A. Derudover kalder Kaspersky det NotPetya/ExPetr.

Beskrivelse af Petya-virussen

En gang på din Windows-computer, krypterer Petya næsten øjeblikkeligt MFT(Master File Table - hovedtabel over filer). Hvad er dette bord ansvarlig for?

Forestil dig, at din harddisk er det største bibliotek i hele universet. Den indeholder milliarder af bøger. Så hvordan finder du den rigtige bog? Kun gennem bibliotekets katalog. Det er dette katalog, Petya ødelægger. Dermed mister du enhver mulighed for at finde enhver "fil" på din pc. For at være endnu mere præcis, efter Petits "arbejde", vil din computers harddisk ligne et bibliotek efter en tornado, med stumper af bøger, der flyver overalt.

I modsætning til Wanna Cry, som jeg nævnte i begyndelsen af ​​artiklen, krypterer Petya.A således ikke individuelle filer og bruger en betydelig mængde tid på dette - det fjerner simpelthen enhver mulighed for dig at finde dem.

Efter alle sine manipulationer kræver han en løsesum fra brugerne - 300 amerikanske dollars, som skal overføres til en Bitcoin-konto.

Hvem skabte Petya-virussen?

Ved oprettelse af Petya-virussen blev der brugt en udnyttelse ("hul") i Windows OS kaldet "EternalBlue". Microsoft udgav en patch, der "lukker" dette hul for flere måneder siden, men ikke alle bruger en licenseret kopi af Windows og installerer alle systemopdateringer, vel?)

Skaberen af ​​"Petit" var i stand til klogt at bruge skødesløsheden fra virksomheder og private brugere og tjene penge på det. Hans identitet er stadig ukendt (og er usandsynligt kendt)

Hvordan spredes Petya-virussen?

Petya-virussen spredes oftest under dække af vedhæftede filer til e-mails og i arkiver, der indeholder piratkopieret inficeret software. Den vedhæftede fil kan indeholde absolut enhver fil, inklusive et foto eller mp3 (som det ser ud ved første øjekast). Når du har kørt filen, genstarter din computer, og virussen vil simulere et disktjek for CHKDSK-fejl, og i dette øjeblik vil den ændre din computers boot-record (MBR). Herefter vil du se et rødt kranium på din computerskærm. Ved at klikke på en vilkårlig knap kan du få adgang til en tekst, hvor du bliver bedt om at betale for at dekryptere dine filer og overføre det nødvendige beløb til en bitcoin-pung.

Hvordan beskytter du dig selv mod Petya-virussen?

• Det vigtigste og mest basale er at gøre det til en regel at installere opdateringer til dit operativsystem! Dette er utrolig vigtigt. Gør det lige nu, tøv ikke.
• Vær særlig opmærksom på alle bilag, der er knyttet til breve, også selvom brevene er fra personer, du kender. Under epidemien er det bedre at bruge alternative kilder til datatransmission.
• Aktiver indstillingen "Vis filtypenavne" i OS-indstillingerne - på denne måde kan du altid se den sande filtypenavn.
• Aktiver "Brugerkontokontrol" i Windows-indstillinger.
• Det er nødvendigt at installere en af ​​dem for at undgå infektion. Start med at installere en OS-opdatering, installer derefter et antivirus - og du vil være meget mere sikker end før.
• Sørg for at lave "sikkerhedskopier" - gem alle vigtige data på en ekstern harddisk eller i skyen. Så, hvis Petya-virussen trænger ind på din pc og krypterer alle data, vil det være ganske enkelt for dig at formatere din harddisk og installere operativsystemet igen.
• Kontroller altid, at din antivirusdatabase er opdateret. Alle gode antivirusser overvåger trusler og reagerer på dem omgående ved at opdatere trusselssignaturer.
• Installer det gratis Kaspersky Anti-Ransomware-værktøj. Det vil beskytte dig mod kryptering af vira. Installation af denne software fritager dig ikke for behovet for at installere en antivirus.

Hvordan fjerner man Petya virus?

Sådan fjerner du Petya.A virus fra din harddisk? Dette er et yderst interessant spørgsmål. Faktum er, at hvis virussen allerede har blokeret dine data, så vil der faktisk ikke være noget at slette. Hvis du ikke planlægger at betale ransomware (hvilket du ikke bør gøre) og ikke vil forsøge at gendanne data på disken i fremtiden, kan du blot formatere disken og geninstallere OS. Herefter vil der ikke være spor af virussen tilbage.

Hvis du har mistanke om, at der er en inficeret fil på din disk, skal du scanne din disk med en af ​​dem, eller installere Kaspersky antivirus og udføre en fuld systemscanning. Udvikleren forsikrede, at hans signaturdatabase allerede indeholder oplysninger om denne virus.

Petya.En dekryptering

Petya.A krypterer dine data med en meget stærk algoritme. Der er i øjeblikket ingen løsning til at dekryptere blokerede oplysninger. Desuden bør du ikke forsøge at få adgang til data derhjemme.

Vi ville utvivlsomt alle drømme om at få den mirakuløse dekryptering Petya.A, men der er simpelthen ingen sådan løsning. Virussen ramte verden for flere måneder siden, men en kur til at dekryptere de data, den krypterede, er aldrig blevet fundet.

Derfor, hvis du endnu ikke er blevet et offer for Petya-virussen, skal du lytte til de råd, jeg gav i begyndelsen af ​​artiklen. Hvis du stadig har mistet kontrollen over dine data, så har du flere muligheder.

• Betal penge. Det nytter ikke at gøre dette! Eksperter har allerede fundet ud af, at skaberen af ​​virussen ikke gendanner dataene og ikke kan gendanne dem, givet krypteringsteknikken.
• Fjern harddisken fra din enhed, anbring den forsigtigt i kabinettet, og tryk på dekrypteringsknappen for at blive vist. Kaspersky Lab arbejder i øvrigt konstant i denne retning. Tilgængelige dekrypteringer er tilgængelige på No Ransom-webstedet.
• Formatering af disken og installation af operativsystemet. Minus - alle data vil gå tabt.

Petya.A-virus i Rusland

I Rusland og Ukraine blev over 80 virksomheder angrebet og inficeret i skrivende stund, inklusive så store som Bashneft og Rosneft. Infektion af så store virksomheders infrastruktur indikerer alvoren af ​​Petya.A-virussen. Der er ingen tvivl om, at ransomware-trojaneren vil fortsætte med at sprede sig over hele Rusland, så du bør passe på sikkerheden af ​​dine data og følge rådene i artiklen.

Petya.A og Android, iOS, Mac, Linux

Mange brugere er bekymrede for, om Petya-virussen kan inficere deres Android- og iOS-enheder. Jeg vil skynde mig at berolige dem - nej, det kan det ikke. Det er kun beregnet til Windows OS-brugere. Det samme gælder for fans af Linux og Mac - du kan sove roligt, intet truer dig.

Konklusion

Så i dag diskuterede vi i detaljer den nye Petya.A-virus. Vi forstod, hvad denne trojaner er, og hvordan den virker, vi lærte, hvordan vi beskytter os mod infektion og fjerner virussen, og hvor vi kan få Petya-dekrypteringsværktøjet. Jeg håber, at artiklen og mine tips var nyttige for dig.

Petya-virussen er en hastigt voksende virus, der ramte næsten alle store virksomheder i Ukraine den 27. juni 2017. Petya-virussen krypterer dine filer og tilbyder derefter en løsesum for dem.

Den nye virus inficerer computerens harddisk og fungerer som en filkrypteringsvirus. Efter en vis tid "spiser" Petya-virussen filerne på din computer, og de bliver krypteret (som om filerne blev arkiveret og en tung adgangskode blev sat)
Filer, der er blevet ramt af Petya ransomware-virussen, kan ikke gendannes senere (der er en procentdel, som du kan gendanne dem, men den er meget lille)
Der er INGEN algoritme, der gendanner filer, der er påvirket af Petya-virussen
Ved hjælp af denne korte og MAKSIMUM nyttige artikel kan du beskytte dig selv mod #virusPetya

Sådan IDENTIFICERER du Petya- eller WannaCry-virussen og IKKE bliver inficeret med virussen

Når du downloader en fil via internettet, skal du kontrollere den med et online antivirus. Online antivirus kan opdage en virus i en fil på forhånd og forhindre infektion med Petya virus. Alt du skal gøre er at tjekke den downloadede fil ved hjælp af VirusTotal og derefter køre den. Selvom du DOWNLOADDE PETYA VIRUS, men IKKE kørte virusfilen, er virussen IKKE aktiv og forårsager ikke skade. Først efter at have kørt en skadelig fil starter du en virus, husk dette

AT BRUGE DENNE METODE GIVER DIG KUN ALLE CHANCE FOR IKKE AT BLIVE INFICERET AF PETYA VIRUSET
Petya-virussen ser sådan ud:

Sådan beskytter du dig selv mod Petya-virussen

Selskab Symantec foreslået en løsning, der giver dig mulighed for at beskytte dig selv mod Petya-virussen ved at lade som om, du allerede har den installeret.
Petya-virussen, når den kommer ind i en computer, opretter i mappen C:\Windows\perfc fil perfc eller perfc.dll
For at få virussen til at tro, at den allerede er installeret og ikke fortsætte sin aktivitet, skal du oprette i mappen C:\Windows\perfc fil med tomt indhold og gem det ved at indstille redigeringstilstanden til "Read Only"
Eller download virus-petya-perfc.zip og pak mappen ud perfc til en mappe C:\Windows\ og indstil ændringstilstanden til "Kun læse"
Download virus-petya-perfc.zip

OPDATERET 29.06.2017
Jeg anbefaler også at downloade begge filer blot til Windows-mappen. Mange kilder skriver, at filen perfc eller perfc.dll skal være i mappen C:\Windows\

Hvad skal man gøre, hvis din computer allerede er inficeret med Petya-virussen

Tænd ikke en computer, der allerede har inficeret dig med Petya-virussen. Petya-virussen fungerer på en sådan måde, at mens den inficerede computer er tændt, krypterer den filer. Det vil sige, at så længe du holder din computer inficeret med Petya-virussen tændt, kan flere og flere filer blive inficeret og krypteret.
Harddisken på denne computer er værd at tjekke. Du kan tjekke det ved hjælp af LIVECD eller LIVEUSB med antivirus
Opstartbart USB-flashdrev med Kaspersky Rescue Disk 10
Dr.Web LiveDisk bootbart flashdrev

Hvem spredte Petya-virussen i hele Ukraine

Microsoft har givet udtryk for sit synspunkt vedrørende global netværksinfektion i store ukrainske virksomheder. Årsagen var opdateringen til M.E.Doc-programmet. M.E.Doc er et populært regnskabsprogram, og derfor begik virksomheden så stor en fejl, da en virus kom ind i opdateringen og installerede Petya-virussen på tusindvis af pc'er, hvorpå M.E.Doc-programmet var installeret. Og da virussen rammer computere på samme netværk, spredte den sig med lynets hast.
#: Petya virus påvirker Android, Petya virus, hvordan man opdager og fjerner Petya virus, hvordan man behandler Petya virus, M.E.Doc, Microsoft, opret en mappe Petya virus

I dag angreb en ransomware-virus mange computere i den offentlige, kommercielle og private sektor i Ukraine

Et hidtil uset hackerangreb slog mange computere og servere ud i offentlige myndigheder og kommercielle organisationer over hele landet

Et storstilet og nøje planlagt cyberangreb har deaktiveret den kritiske infrastruktur i mange statsejede virksomheder og virksomheder i dag. Det oplyser Sikkerhedstjenesten (SBU).

Fra frokost begyndte beskeder om infektion af computere i den offentlige og private sektor at dukke op på internettet som en snebold. Repræsentanter for offentlige myndigheder annoncerede hackerangreb på deres it-infrastruktur.

Ifølge SBU opstod infektionen hovedsageligt som følge af åbning af Word- og PDF-filer, som angriberne sendte via e-mail. Petya.A ransomware-virussen udnyttede en netværkssårbarhed i Windows-operativsystemet. For at låse op for krypterede data krævede cyberkriminelle betaling i bitcoins på $300.

Sekretær for det nationale sikkerheds- og forsvarsråd, Alexander Turchynov, sagde, at regeringsorganer, der var inkluderet i det beskyttede kredsløb - en speciel internetknude - ikke led nogen skade. Tilsyneladende implementerede ministerkabinettet ikke korrekt anbefalingerne fra National Cyber ​​​​Security Coordination Center, fordi regeringscomputere var påvirket af Petya.A. Finansministeriet, Tjernobyl-atomkraftværket, Ukrenergo, Ukrposhta, Nova Poshta og en række banker kunne ikke modstå dagens angreb.

I nogen tid åbnede internetsiderne for SBU, cyberpolitiet og statens tjeneste for særlig kommunikation og informationsbeskyttelse (SSSSZI) ikke engang.

Fra tirsdag den 27. juni om aftenen har ingen af ​​de retshåndhævende myndigheder, hvis ansvar omfatter bekæmpelse af cyberangreb, rapporteret, hvor Petya.A kom fra, eller hvem der står bag det. SBU, Cyber ​​​​Police (hvis hjemmeside var nede hele dagen) og SSSSZI opretholdt en olympisk tavshed vedrørende omfanget af skaden forårsaget af ransomware-virussen.

Computer Emergency Response Team (CERT-UA, en del af SSSSZI) har udgivet tips til at afbøde konsekvenserne af Petya Ransomware. For at gøre dette anbefalede teknikere at bruge ESET-software. Senere talte SBU også om, hvordan man beskytter sig selv eller reducerer skade fra virussen.

Virus "Petya": hvordan man ikke fanger det, hvordan man tyder, hvor det kom fra - de seneste nyheder om Petya ransomware-virussen, som på den tredje dag af sin "aktivitet" havde inficeret omkring 300 tusinde computere i forskellige lande i verden, og indtil videre ikke man har stoppet det.

Petya virus - hvordan man dekrypterer, seneste nyheder. Efter et angreb på en computer kræver skaberne af Petya-ransomwaren en løsesum på $300 (i bitcoins), men der er ingen måde at dekryptere Petya-virussen på, selvom brugeren betaler penge. Kaspersky Lab-specialister, der så forskelle i den nye virus fra Petit og kaldte den ExPetr, hævder, at dekryptering kræver en unik identifikator for en specifik trojansk installation.

I tidligere kendte versioner af lignende krypteringer Petya/Mischa/GoldenEye indeholdt installationsidentifikatoren de nødvendige oplysninger hertil. I tilfældet med ExPetr eksisterer denne identifikator ikke, skriver RIA Novosti.

"Petya"-virussen - hvor den kom fra, de seneste nyheder. Tyske sikkerhedseksperter har fremlagt den første version af, hvor denne ransomware kom fra. Efter deres mening begyndte Petya-virussen at sprede sig gennem computere, da M.E.Doc-filer blev åbnet. Dette er et regnskabsprogram, der bruges i Ukraine efter forbuddet mod 1C.

I mellemtiden siger Kaspersky Lab, at det er for tidligt at drage konklusioner om oprindelsen og kilden til spredning af ExPetr-virussen. Det er muligt, at angriberne havde omfattende data. For eksempel e-mail-adresser fra et tidligere nyhedsbrev eller andre effektive metoder til at infiltrere computere.

Med deres hjælp ramte "Petya"-virussen Ukraine og Rusland, såvel som andre lande, med sin fulde styrke. Men det virkelige omfang af dette hackerangreb vil blive klart om et par dage, rapporter.

"Petya" virus: hvordan man ikke fanger det, hvordan man tyder det, hvor det kom fra - seneste nyheder om Petya ransomware-virussen, som allerede har fået et nyt navn fra Kaspersky Lab - ExPetr.

En kort udflugt i historien om navngivning af malware.

Til bogmærker

Petya.A virus logo

Den 27. juni blev mindst 80 russiske og ukrainske virksomheder angrebet af Petya.A-virussen. Programmet blokerede oplysninger på computere i afdelinger og virksomheder og krævede ligesom den velkendte ransomware-virus bitcoins fra brugerne.

Ondsindede programmer navngives normalt af ansatte i antivirusvirksomheder. Undtagelserne er de krypteringer, ransomware, destroyere og identitetstyve, som udover computerinfektioner forårsager medieepidemier – øget hype i medierne og aktiv diskussion på netværket.

Dog er Petya.A-virussen en repræsentant for en ny generation. Navnet, som han præsenterer sig selv for, er en del af udviklernes marketingstrategi, der sigter mod at øge hans anerkendelse og popularitet på darknet-markedet.

Subkulturelt fænomen

I de dage, hvor der var få computere, og ikke alle af dem var forbundet med hinanden, eksisterede der allerede selvudbredende programmer (endnu ikke vira). En af de første af disse var en, der i spøg hilste på brugeren og tilbød at fange ham og slette ham. Næste op var Cookie Monster, som krævede at "give ham en cookie" ved at indtaste ordet "cookie".

Tidlig malware havde også en sans for humor, selvom det ikke altid var i deres navne. Således læste Richard Scrant, designet til Apple-2-computeren, et digt for offeret hver 50. computerstart, og navnene på vira, ofte skjult i koden og ikke vist, refererede til vittigheder og subkulturelle ord, der er almindelige blandt nørder. dengang. De kunne være forbundet med metalbandnavne, populærlitteratur og rollespil på bordplader.

I slutningen af ​​det 20. århundrede skjulte skaberne af vira ikke meget - desuden forsøgte de ofte, når et program kom ud af kontrol, at tage del i at eliminere skaden på det. Dette var tilfældet med den pakistanske og destruktive, skabt af den fremtidige medstifter af Y-Combinator-virksomhedsinkubatoren.

En af de russiske vira, som Evgeniy Kaspersky nævnte i sin bog "Computervirus i MS-DOS" fra 1992, demonstrerede også poetiske evner. Condom-1581 programmet fra tid til anden demonstreret for offeret, dedikeret til problemerne med at tilstoppe verdenshavene med menneskelige affaldsprodukter.

Geografi og kalender

I 1987 blev Jerusalem-virussen, også kendt som den israelske virus, opkaldt efter det sted, hvor den først blev opdaget, og dens alternative navn Black Friday skyldtes det faktum, at den ville aktivere og slette eksekverbare filer, hvis den 13. i måneden faldt på en fredag.

Michelangelo-virussen, som skabte panik i medierne i foråret 1992, blev også navngivet efter kalenderprincippet. Så fortalte John McAfee, senere berømt for at skabe et af de mest påtrængende antivirus, under en cybersikkerhedskonference i Sydney til journalister og offentligheden: "Hvis du starter et inficeret system den 6. marts, vil alle data på harddisken blive ødelagt." Hvad har Michelangelo med dette at gøre? Den 6. marts var den italienske kunstners fødselsdag. De rædsler, som McAfee forudsagde, endte dog med at blive vildt overdrevne.

Funktionalitet

Virussens egenskaber og dens specificitet tjener ofte som grundlag for navnet. I 1990 fik en af ​​de første polymorfe vira navnet Chameleon, og den, som har omfattende evner til at skjule sin tilstedeværelse (og derfor hører til kategorien stealth-virus), fik navnet Frodo, hvilket antydede helten fra "The Lord of the Lord of the Ringe” og Ringen gemmer sig for andres øjne . Og for eksempel fik OneHalf-virussen fra 1994 sit navn på grund af det faktum, at den kun udviste aggression ved at inficere halvdelen af ​​disken på den angrebne enhed.

Tjenestetitler

De fleste vira er længe blevet navngivet i laboratorier, hvor de analyseres i dele af analytikere.

Normalt er disse kedelige serienavne og generelle "familie" navne, der beskriver kategorien af ​​virussen, hvilke systemer den angriber, og hvad den gør med dem (som Win32.HLLP.DeTroie). Men nogle gange, når hints efterladt af udviklerne afsløres i programkoden, får vira lidt personlighed. Sådan opstod f.eks. MyDoom- og KooKoo-virusserne.

Denne regel virker dog ikke altid - for eksempel blev Stuxnet-virussen, der stoppede uranberigelsescentrifuger i Iran, ikke kaldt Myrtus, selvom dette ord ("myrte") i koden næsten var et direkte hint om israelernes deltagelse efterretningstjenester i sin udvikling. I dette tilfælde vandt det navn, der allerede var blevet kendt for den brede offentlighed, tildelt virussen i de første stadier af dens opdagelse.

Opgaver

Det sker ofte, at vira, der kræver meget opmærksomhed og kræfter at studere, modtager smukke navne fra antivirusvirksomheder, som er nemmere at sige og skrive ned - det skete med Red October, diplomatisk korrespondance og data, der kunne påvirke internationale relationer, samt med IceFog , storstilet industrispionage.

Filtypenavn

En anden populær måde at navngive er ved den udvidelse, som virussen tildeler til inficerede filer. En af de "militære" vira, Duqu, blev således ikke navngivet på grund af Count Dooku fra Star Wars, men på grund af ~DQ-præfikset, som markerede de filer, den oprettede.

WannaCry-virussen, der slog til i foråret, har også fået sit navn, der markerer data krypteret af den med .wncry-udvidelsen.

Det tidligere navn på virussen, Wanna Decrypt0r, fangede ikke - det lød værre og havde forskellige stavemåder. Ikke alle gad sætte "0" som et "o".

"Du er blevet et offer for Petya ransomware virus"

Det er præcis sådan, den mest omtalte malware i dag introducerer sig selv, efter at den har afsluttet kryptering af filer på den angrebne computer. Petya A.-virussen har ikke kun et genkendeligt navn, men også et logo i form af et piratkranie og krydsben og en hel markedsføringskampagne. Spot sammen med sin bror "Misha" tiltrak virussen analytikeres opmærksomhed netop på grund af dette.

Fra et subkulturelt fænomen, efter at have gennemgået en periode, hvor denne form for "hacking" krævede ret seriøs teknisk viden, blev vira til et våben for et cyber-gop-stop. Nu skal de spille efter markedets regler – og den, der får mere opmærksomhed, bringer store overskud til deres udviklere.