Den 27. juni ble europeiske land rammet av et angrep av et løsepengevirus kjent under det ufarlige navnet Petya (i ulike kilder kan du også finne navnene Petya.A, NotPetya og GoldenEye). Løsepengevaren krever løsepenger i bitcoins tilsvarende $300. Dusinvis av store ukrainske og russiske selskaper er smittet, og spredningen av viruset er også registrert i Spania, Frankrike og Danmark.

Hvem ble truffet?

Ukraina

Ukraina var et av de første landene som ble angrepet. I følge foreløpige estimater ble rundt 80 selskaper og offentlige etater angrepet:

I dag krypterer viruset ikke bare individuelle filer, men tar fullstendig bort brukerens tilgang til harddisken. Ransomware bruker også en falsk Microsoft elektronisk signatur, som viser brukerne at programmet ble utviklet av en pålitelig forfatter og garanterer sikkerhet. Etter å ha infisert en datamaskin, endrer viruset spesiell kode som er nødvendig for å laste operativsystemet. Som et resultat, når datamaskinen starter, er det ikke operativsystemet som er lastet, men ondsinnet kode.

Hvordan beskytte deg selv?

1. Lukk TCP-portene 1024–1035, 135 og 445.
2. Oppdater databasene til antivirusproduktene dine.
3. Siden Petya distribueres ved bruk av phishing, ikke åpne e-poster fra ukjente kilder (hvis avsenderen er kjent, sjekk om e-posten er trygg), vær oppmerksom på meldinger fra sosiale nettverk fra vennene dine, siden deres kontoer kan bli hacket.
4. Virus ser etter fil C:\Windows\perfc, og hvis den ikke finner den, skaper og starter den en infeksjon. Hvis en slik fil allerede finnes på datamaskinen, slutter viruset å fungere uten infeksjon. Du må lage en tom fil med samme navn. La oss se nærmere på denne prosessen.

— Hacker Fantastic (@hackerfantastic)

Tirsdag 27. juni rapporterte ukrainske og russiske selskaper om et massivt virusangrep: datamaskiner på bedrifter viste en løsepengemelding. Jeg fant ut hvem som igjen led på grunn av hackere og hvordan du kan beskytte deg mot tyveri av viktige data.

Petya, det er nok

Energisektoren var den første som ble angrepet: De ukrainske selskapene Ukrenergo og Kyivenergo klaget på viruset. Angriperne lammet datasystemene deres, men dette påvirket ikke stabiliteten til kraftverkene.

Ukrainere begynte å publisere konsekvensene av infeksjonen på nettet: etter mange bilder å dømme ble datamaskiner angrepet av et løsepengevirus. En melding dukket opp på skjermen til de berørte enhetene om at all data var kryptert og enhetseiere måtte betale en løsepenge på $300 i Bitcoin. Hackerne sa imidlertid ikke hva som ville skje med informasjonen i tilfelle passivitet, og satte ikke engang en nedtellingstidtaker før dataene ble ødelagt, slik tilfellet var med WannaCry-virusangrepet.

National Bank of Ukraine (NBU) rapporterte at arbeidet til flere banker var delvis lammet på grunn av viruset. I følge ukrainske medier rammet angrepet kontorene til Oschadbank, Ukrsotsbank, Ukrgasbank og PrivatBank.

Datanettverkene til Ukrtelecom, Boryspil Airport, Ukrposhta, Nova Poshta, Kievvodokanal og Kiev Metro ble infisert. I tillegg rammet viruset ukrainske mobiloperatører - Kyivstar, Vodafone og Lifecell.

Senere avklarte ukrainske medier at vi snakker om Petya.A malware. Den distribueres i henhold til den vanlige ordningen for hackere: ofre får tilsendt phishing-e-post fra dummies som ber dem åpne en vedlagt lenke. Etter dette trenger viruset inn i datamaskinen, krypterer filene og krever løsepenger for å dekryptere dem.

Hackerne indikerte nummeret på Bitcoin-lommeboken som pengene skulle overføres til. Etter transaksjonsinformasjonen å dømme, har ofrene allerede overført 1,2 bitcoins (mer enn 168 tusen rubler).

Ifølge infra Group-IB ble mer enn 80 selskaper berørt av angrepet. Lederen for deres kriminallaboratorium bemerket at viruset ikke er relatert til WannaCry. For å fikse problemet, rådet han til å stenge TCP-portene 1024–1035, 135 og 445.

Hvem er skyldig

Hun skyndte seg å anta at angrepet var organisert fra territoriet til Russland eller Donbass, men ga ingen bevis. Ukrainas infrastrukturminister sag ledetråd i ordet "virus" og skrev på sin Facebook at "det er ingen tilfeldighet at det ender på RUS," og la til et blinkende uttrykksikon til gjetningen hans.

I mellomtiden hevder han at angrepet på ingen måte er forbundet med eksisterende "skadelig programvare" kjent som Petya og Mischa. Sikkerhetseksperter hevder at den nye bølgen har påvirket ikke bare ukrainske og russiske selskaper, men også bedrifter i andre land.

Grensesnittet til gjeldende "skadelig programvare" ligner imidlertid det velkjente Petya-viruset, som ble distribuert gjennom phishing-lenker for noen år siden. I slutten av desember begynte en ukjent hacker som var ansvarlig for å lage løsepengevaren Petya og Mischa å sende infiserte e-poster med et vedlagt virus kalt GoldenEye, som var identisk med tidligere versjoner av løsepengevaren.

Vedlegget til det vanlige brevet, som ansatte i HR-avdelingen ofte fikk, inneholdt informasjon om den falske kandidaten. I en av filene kunne man faktisk finne en CV, og i den neste - virusinstallasjonsprogrammet. Da var hovedmålene til angriperen selskaper i Tyskland. I løpet av 24 timer gikk over 160 ansatte i det tyske selskapet i fella.

Det var ikke mulig å identifisere hackeren, men det er åpenbart at han er Bond-fan. Petya- og Mischa-programmene er navnene på de russiske satellittene "Petya" og "Misha" fra filmen "Golden Eye", som i handlingen var elektromagnetiske våpen.

Den originale versjonen av Petya begynte å bli aktivt distribuert i april 2016. Den kamuflerte seg dyktig på datamaskiner og stilte opp som legitime programmer, og ba om utvidede administratorrettigheter. Etter aktivering oppførte programmet seg ekstremt aggressivt: det satte en streng frist for å betale løsepenger, krevde 1,3 bitcoins, og etter fristen doblet det den monetære kompensasjonen.

Men da fant en av Twitter-brukerne raskt svakhetene ved løsepengevaren og laget et enkelt program som på sju sekunder genererte en nøkkel som gjorde at du kunne låse opp datamaskinen og dekryptere all data uten konsekvenser.

Ikke for første gang

I midten av mai ble datamaskiner over hele verden angrepet av et lignende løsepengevirus, WannaCrypt0r 2.0, også kjent som WannaCry. På bare noen få timer lammet den hundretusenvis av Windows-enheter i mer enn 70 land. Blant ofrene var russiske sikkerhetsstyrker, banker og mobiloperatører. En gang på offerets datamaskin krypterte viruset harddisken og krevde at angriperne skulle sende 300 dollar i bitcoins. Det ble satt av tre dager til refleksjon, hvoretter beløpet ble doblet, og etter en uke ble filene kryptert for alltid.

Imidlertid hadde ofrene ikke hastverk med å betale løsepenger, og skaperne av skadevare

Hva er Petya.A?

Dette er et "ransomware-virus" som krypterer data på en datamaskin og krever $300 for nøkkelen for å dekryptere dem. Den begynte å infisere ukrainske datamaskiner rundt middagstid 27. juni, og spredte seg deretter til andre land: Russland, Storbritannia, Frankrike, Spania, Litauen, etc. Det er et virus på Microsofts nettsted nå Det har "alvorlig" trusselnivå.

Infeksjonen skyldes den samme sårbarheten i Microsoft Windows som i tilfellet med WannaCry-viruset, som i mai infiserte tusenvis av datamaskiner over hele verden og påførte selskaper om lag 1 milliard dollar i skade.

På kvelden meldte cyberpolitiet at virusangrepet var ment for elektronisk rapportering og dokumenthåndtering. Ifølge politimyndigheter ble den neste M.E.Doc-oppdateringen utgitt klokken 10.30, ved hjelp av hvilken skadelig programvare ble lastet ned til datamaskiner.

Petya ble distribuert via e-post, utgitt som en ansatts CV. Hvis en person prøvde å åpne en CV, ba viruset om å gi ham administratorrettigheter. Hvis brukeren samtykket, startet datamaskinen på nytt, deretter ble harddisken kryptert og et vindu dukket opp som ba om en "løsepenger".

VIDEO

Petya-virusinfeksjonsprosess. Video: G DATA Software AG / YouTube

Samtidig hadde selve Petya-viruset en sårbarhet: det var mulig å få nøkkelen til å dekryptere data ved hjelp av et spesielt program. Denne metoden ble beskrevet av Geektimes-redaktør Maxim Agadzhanov i april 2016.

Noen brukere foretrekker imidlertid å betale løsepenger. Ifølge en av de velkjente Bitcoin-lommebøkene mottok virusets skapere 3,64 bitcoins, noe som tilsvarer cirka 9 100 dollar.

Hvem er rammet av viruset?

I Ukraina var ofrene for Petya.A hovedsakelig bedriftskunder: offentlige etater, banker, media, energiselskaper og andre organisasjoner.

Blant andre ble følgende foretak rammet: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, og også Boryspil flyplass, Ukrainas ministerkabinett, staten Skattetjenesten og andre.

Angrepet spredte seg også til regionene. For eksempel, n og ved atomkraftverket i Tsjernobyl, på grunn av et cyberangrep, sluttet elektronisk dokumenthåndtering å fungere og stasjonen gikk over til manuell overvåking av strålingsnivåer. I Kharkov ble driften av det store Rost-supermarkedet blokkert, og på flyplassen ble innsjekkingen for flyvninger byttet til manuell modus.

På grunn av Petya.A-viruset sluttet kasseapparatene på supermarkedet Rost å fungere. Foto: Kh...evy Kharkov / VKontakte

I følge publikasjonen ble selskapene Rosneft, Bashneft, Mars, Nivea og andre angrepet i Russland.

Hvordan beskytte deg mot Petya.A?

Instruksjoner for hvordan du beskytter deg mot Petya.A ble publisert av Ukrainas sikkerhetstjeneste og nettpolitiet.

Cyberpolitiet råder brukere til å installere Windows-oppdateringer fra det offisielle Microsoft-nettstedet, oppdatere eller installere et antivirus, ikke laste ned mistenkelige filer fra e-post, og umiddelbart koble datamaskinen fra nettverket hvis det oppdages uregelmessigheter.

SBU understreket at ved mistanke kan datamaskinen ikke startes på nytt, siden filkryptering skjer nettopp under omstart. Etterretningstjenesten anbefalte ukrainere å lagre verdifulle filer på et eget medium og lage en sikkerhetskopi av operativsystemet.

Ekspert på nettsikkerhet Vlad Styran skrev på Facebook at spredningen av viruset på et lokalt nettverk kan stoppes ved å blokkere TCP-portene 1024-1035, 135, 139 og 445 i Windows. Det finnes instruksjoner på Internett om hvordan dette gjøres.

Spesialister fra det amerikanske selskapet Symantec

En rekke russiske og ukrainske selskaper ble angrepet av Petya løsepengevirus. Nettpublikasjonssiden snakket med eksperter fra Kaspersky Lab og det interaktive byrået AGIMA og fant ut hvordan man kan beskytte bedriftsdatamaskiner mot viruset og hvordan Petya ligner det like kjente WannaCry løsepengeviruset.

Virus "Petya"

I Russland er det Rosneft, Bashneft, Mars, Nivea og Alpen Gold sjokoladeprodusenten Mondelez International. Ransomware-virus fra strålingsovervåkingssystemet til atomkraftverket i Tsjernobyl. I tillegg rammet angrepet datamaskiner til den ukrainske regjeringen, Privatbank og telekomoperatører. Viruset låser datamaskiner og krever løsepenger på 300 dollar i bitcoins.

I mikrobloggen på Twitter snakket Rosnefts pressetjeneste om et hackerangrep på selskapets servere. "Et kraftig hackerangrep ble utført på selskapets servere. Vi håper at dette ikke har noe å gjøre med den nåværende rettssaken. Selskapet kontaktet rettshåndhevende byråer angående cyberangrepet," heter det i meldingen.

Ifølge selskapets pressesekretær Mikhail Leontyev fungerer Rosneft og datterselskapene som normalt. Etter angrepet gikk selskapet over til et backup-prosesskontrollsystem slik at oljeproduksjon og -behandling ikke stoppet. Banksystemet Home Credit ble også angrepet.

"Petya" smitter ikke uten "Misha"

I følge Administrerende direktør for AGIMA Evgeniy Lobanov, faktisk ble angrepet utført av to krypteringsvirus: Petya og Misha.

"De jobber sammen. "Petya" infiserer ikke uten "Misha". Han kan infisere, men gårsdagens angrep var to virus: først Petya, deretter Misha. "Petya" omskriver oppstartsenheten (hvor datamaskinen starter opp), og Misha – “krypterer filer ved hjelp av en spesifikk algoritme,” forklarte spesialisten. “Petya krypterer oppstartssektoren til disken (MBR) og erstatter den med sin egen, Misha krypterer allerede alle filene på disken (ikke alltid).”

Han bemerket at WannaCry-krypteringsviruset, som angrep store globale selskaper i mai i år, ikke ligner på Petya, det er en ny versjon.

"Petya.A er fra WannaCry (eller rettere sagt WannaCrypt)-familien, men hovedforskjellen, hvorfor det ikke er det samme viruset, er at det er erstattet av MBR med sin egen oppstartssektor - dette er et nytt produkt for Ransomware. Petya-viruset dukket opp for lenge siden, på GitHab (en netttjeneste for IT-prosjekter og felles programmering - nettside) https://github.com/leo-stone/hack-petya" target="_blank">var det en dekryptering for denne kryptering, men ingen dekryptering er egnet for den nye modifikasjonen.

Jevgenij Lobanov understreket at angrepet rammet Ukraina hardere enn Russland.

"Vi er mer utsatt for angrep enn andre vestlige land. Vi vil være beskyttet mot denne versjonen av viruset, men ikke fra modifikasjonene. Internettet vårt er utrygt, i Ukraina er det enda mindre. I utgangspunktet er det transportselskaper, banker og mobiloperatører ble angrepet (Vodafone, Kyivstar) og medisinske selskaper, de samme Pharmamag, Shell bensinstasjoner - alle veldig store transkontinentale selskaper, sa han i et intervju med nettstedet.

Administrerende direktør i AGIMA bemerket at det ennå ikke er noen fakta som kan indikere den geografiske plasseringen til sprederen av viruset. Etter hans mening skal viruset ha dukket opp i Russland. Dessverre er det ingen direkte bevis for dette.

"Det er en antagelse om at dette er våre hackere, siden den første modifikasjonen dukket opp i Russland, og selve viruset, som ikke er noen hemmelighet for noen, ble oppkalt etter Petro Poroshenko. Det var utviklingen av russiske hackere, men det er vanskelig å si som endret det ytterligere. Det er klart. at selv om du er i Russland, er det lett å ha en datamaskin med geolokalisering i for eksempel USA,” forklarte eksperten.

"Hvis datamaskinen din plutselig blir "infisert", må du ikke slå av datamaskinen. Hvis du starter på nytt, vil du aldri logge på igjen.

"Hvis datamaskinen din plutselig blir "infisert", kan du ikke slå av datamaskinen, fordi Petya-viruset erstatter MBR - den første oppstartssektoren som operativsystemet lastes fra. Hvis du starter på nytt, vil du aldri logge på systemet igjen. Dette vil avskjære rømningsveiene, selv om det ser ut som "nettbrett" vil det ikke lenger være mulig å returnere dataene. Deretter må du umiddelbart koble fra Internett slik at datamaskinen ikke går online. En offisiell oppdatering fra Microsoft allerede er utgitt, gir den en 98 prosent sikkerhetsgaranti. Dessverre ikke 100 prosent ennå. En viss modifikasjon av viruset (deres tre stykker) omgår han foreløpig," anbefalte Lobanov. – Men hvis du starter på nytt og ser starten på "sjekk disk"-prosessen, må du umiddelbart slå av datamaskinen på dette tidspunktet og filene forblir ukrypterte.

I tillegg forklarte eksperten også hvorfor Microsoft-brukere oftest blir angrepet, og ikke MacOSX (Apple-operativsystem - nettside) og Unix-systemer.

"Her er det mer riktig å snakke ikke bare om MacOSX, men også om alle unix-systemer (prinsippet er det samme). Viruset sprer seg bare til datamaskiner, uten mobile enheter. Windows-operativsystemet er utsatt for angrep og truer kun de brukere som har deaktivert funksjonen for automatisk systemoppdatering. Oppdateringer som et unntak, de er tilgjengelige selv for eiere av eldre versjoner av Windows som ikke lenger er oppdatert: XP, Windows 8 og Windows Server 2003," sa eksperten.

"MacOSX og Unix er ikke mottakelige for slike virus globalt, fordi mange store selskaper bruker Microsofts infrastruktur. MacOSX er ikke mottakelig fordi det ikke er så vanlig i offentlige etater. Det er færre virus for det, det er ikke lønnsomt å lage dem, fordi angrepssegmentet vil være mindre enn hvis du angriper Microsoft," konkluderte spesialisten.

"Antallet angrepne brukere har nådd to tusen"

I pressetjenesten til Kaspersky Lab, hvis eksperter fortsetter å undersøke den siste bølgen av infeksjoner, sa at "denne løsepengevaren tilhører ikke den allerede kjente Petya-familien av løsepengevare, selv om den har flere kodelinjer til felles med den."

Laboratoriet er overbevist om at vi i dette tilfellet snakker om en ny familie av skadelig programvare med funksjonalitet som er vesentlig forskjellig fra Petya. Kaspersky Lab har kalt sin nye løsepengevare ExPetr.

"I følge Kaspersky Lab nådde antallet angrepne brukere to tusen. De fleste hendelsene ble registrert i Russland og Ukraina; tilfeller av infeksjon ble også observert i Polen, Italia, Storbritannia, Tyskland, Frankrike, USA og en rekke andre land . For øyeblikket foreslår våre eksperter "at denne skadevaren brukte flere angrepsvektorer. Det ble fastslått at en modifisert EternalBlue-utnyttelse og en EternalRomance-utnyttelse ble brukt til distribusjon i bedriftsnettverk," sa pressetjenesten.

Eksperter undersøker også muligheten for å lage et dekrypteringsverktøy som kan brukes til å dekryptere dataene. Laboratoriet ga også anbefalinger til alle organisasjoner for å unngå et virusangrep i fremtiden.

"Vi anbefaler at organisasjoner installerer oppdateringer for Windows-operativsystemet. For Windows XP og Windows 7 bør de installere MS17-010 sikkerhetsoppdateringen og sørge for at de har et effektivt sikkerhetskopieringssystem. Sikkerhetskopiering av data på en rettidig og sikker måte gjør det mulig deg til å gjenopprette de originale filene, selv om de var kryptert med skadelig programvare," sa Kaspersky Lab-eksperter.

Laboratoriet anbefaler også at bedriftskundene forsikrer seg om at alle beskyttelsesmekanismer er aktivert, spesielt sørge for at tilkoblingen til Kaspersky Security Networks skyinfrastruktur; som et ekstra tiltak anbefales det å bruke Application Privilege Control-komponenten for å nekte tilgang til alle applikasjonsgrupper (og følgelig kjøring) av en fil kalt "perfc.dat", etc.

"Hvis du ikke bruker Kaspersky Lab-produkter, anbefaler vi at du deaktiverer kjøringen av filen som heter perfc.dat, og også blokkerer lanseringen av PSExec-verktøyet fra Sysinternals-pakken ved å bruke AppLocker-funksjonen inkludert i Windows OS (operativsystem). – nettsted),» anbefales i laboratoriet.

12. mai 2017 for mange – en kryptering av data på datamaskinens harddisker. Han blokkerer enheten og krever å betale løsepenger.
Viruset rammet organisasjoner og avdelinger i dusinvis av land rundt om i verden, inkludert Russland, der Helsedepartementet, Beredskapsdepartementet, Innenriksdepartementet, servere til mobiloperatører og flere store banker ble angrepet.

Spredningen av viruset ble stoppet ved et uhell og midlertidig: Hvis hackere endret bare noen få linjer med kode, ville skadelig programvare begynne å fungere igjen. Skadene fra programmet er anslått til en milliard dollar. Etter rettsmedisinsk lingvistisk analyse fastslo eksperter at WannaCry ble opprettet av folk fra Kina eller Singapore.

Nesten alle brukere har antivirusprogrammer på datamaskinen, men noen ganger dukker det opp en trojaner eller virus som kan omgå den beste beskyttelsen og infisere enheten din, og enda verre, kryptere dataene dine. Denne gangen ble den krypterende trojaneren "Petya" eller, som det også kalles, "Petya", et slikt virus. Spredningshastigheten av denne trusselen er veldig imponerende: i løpet av et par dager var han i stand til å "besøke" Russland, Ukraina, Israel, Australia, USA, alle store europeiske land og mer. Det rammet hovedsakelig bedriftsbrukere (flyplasser, kraftverk, reiselivsnæring), men vanlige mennesker ble også rammet. Når det gjelder omfang og påvirkningsmetoder, er den ekstremt lik den nylig oppsiktsvekkende.

Du må definitivt beskytte datamaskinen din for å unngå å bli et offer for den nye Petya løsepenge-trojaneren. I denne artikkelen vil jeg fortelle deg hva slags Petya-virus dette er, hvordan det sprer seg og hvordan du kan beskytte deg mot denne trusselen. I tillegg vil vi komme inn på problemene med fjerning av trojanere og informasjonsdekryptering.

Hva er Petya-viruset?

Først bør vi forstå hva Petya er. Petya-viruset er ondsinnet programvare som er en ransomware-type trojaner (ransomware). Disse virusene er laget for å utpresse eiere av infiserte enheter for å få løsepenger fra dem for krypterte data. I motsetning til Wanna Cry, bryr ikke Petya seg selv med å kryptere individuelle filer - den "tar nesten umiddelbart bort" hele harddisken din.

Det riktige navnet på det nye viruset er Petya.A. I tillegg kaller Kaspersky det NotPetya/ExPetr.

Beskrivelse av Petya-viruset

En gang på Windows-datamaskinen krypterer Petya nesten umiddelbart MFT(Master File Table - hovedtabell over filer). Hva er dette bordet ansvarlig for?

Tenk deg at harddisken din er det største biblioteket i hele universet. Den inneholder milliarder av bøker. Så hvordan finner du riktig bok? Kun gjennom bibliotekets katalog. Det er denne katalogen Petya ødelegger. Dermed mister du enhver mulighet til å finne en "fil" på PC-en din. For å være enda mer presis, etter Petits "arbeid", vil datamaskinens harddisk ligne på et bibliotek etter en tornado, med utklipp av bøker som flyr overalt.

I motsetning til Wanna Cry, som jeg nevnte i begynnelsen av artikkelen, krypterer ikke Petya.A individuelle filer, og bruker en betydelig mengde tid på dette - det tar rett og slett bort enhver mulighet for deg å finne dem.

Etter alle manipulasjonene hans krever han løsepenger fra brukerne - 300 amerikanske dollar, som må overføres til en Bitcoin-konto.

Hvem skapte Petya-viruset?

Når du opprettet Petya-viruset, ble en utnyttelse ("hull") i Windows OS kalt "EternalBlue" brukt. Microsoft ga ut en oppdatering som "lukker" dette hullet for flere måneder siden, men ikke alle bruker en lisensiert kopi av Windows og installerer alle systemoppdateringer, ikke sant?)

Skaperen av "Petit" var i stand til klokt å bruke uforsiktigheten til bedrifts- og private brukere og tjene penger på det. Identiteten hans er fortsatt ukjent (og er neppe kjent)

Hvordan sprer Petya-viruset seg?

Petya-viruset sprer seg oftest under dekke av vedlegg til e-poster og i arkiver som inneholder piratkopiert infisert programvare. Vedlegget kan inneholde absolutt hvilken som helst fil, inkludert et bilde eller mp3 (som det ser ut ved første øyekast). Etter at du har kjørt filen, vil datamaskinen starte på nytt og viruset vil simulere en disksjekk for CHKDSK-feil, og for øyeblikket vil det endre datamaskinens oppstartsrekord (MBR). Etter dette vil du se en rød hodeskalle på dataskjermen. Ved å klikke på hvilken som helst knapp får du tilgang til en tekst der du blir bedt om å betale for å dekryptere filene dine og overføre det nødvendige beløpet til en bitcoin-lommebok.

Hvordan beskytte deg mot Petya-viruset?

• Det viktigste og grunnleggende er å gjøre det til en regel å installere oppdateringer for operativsystemet ditt! Dette er utrolig viktig. Gjør det akkurat nå, ikke utsett.
• Vær spesielt oppmerksom på alle vedlegg som er vedlagt brev, selv om brevene er fra personer du kjenner. Under epidemien er det bedre å bruke alternative kilder for dataoverføring.
• Aktiver alternativet "Vis filutvidelser" i OS-innstillingene - på denne måten kan du alltid se den sanne filtypen.
• Aktiver "Brukerkontokontroll" i Windows-innstillingene.
• Det er nødvendig å installere en av dem for å unngå infeksjon. Start med å installere en OS-oppdatering, installer deretter et antivirus - og du vil være mye tryggere enn før.
• Sørg for å lage "sikkerhetskopier" - lagre alle viktige data til en ekstern harddisk eller til skyen. Deretter, hvis Petya-viruset trenger inn på PC-en din og krypterer alle data, vil det være ganske enkelt for deg å formatere harddisken og installere operativsystemet på nytt.
• Sjekk alltid at antivirusdatabasen din er oppdatert. Alle gode antivirus overvåker trusler og reagerer raskt på dem ved å oppdatere trusselsignaturer.
• Installer det gratis Kaspersky Anti-Ransomware-verktøyet. Det vil beskytte deg mot kryptering av virus. Installering av denne programvaren fritar deg ikke for behovet for å installere et antivirusprogram.

Hvordan fjerne Petya-virus?

Hvordan fjerne Petya.A virus fra harddisken? Dette er et ekstremt interessant spørsmål. Faktum er at hvis viruset allerede har blokkert dataene dine, vil det faktisk ikke være noe å slette. Hvis du ikke planlegger å betale løsepengevare (som du ikke bør gjøre) og ikke vil prøve å gjenopprette data på disken i fremtiden, kan du ganske enkelt formatere disken og installere operativsystemet på nytt. Etter dette vil det ikke være spor etter viruset igjen.

Hvis du mistenker at det er en infisert fil på disken din, skann disken med en av dem, eller installer Kaspersky antivirus og foreta en fullstendig systemskanning. Utvikleren forsikret at signaturdatabasen hans allerede inneholder informasjon om dette viruset.

Petya.En dekryptering

Petya.A krypterer dataene dine med en veldig sterk algoritme. Det er foreløpig ingen løsning for å dekryptere blokkert informasjon. Dessuten bør du ikke prøve å få tilgang til data hjemme.

Utvilsomt ville vi alle drømme om å få den mirakuløse dekrypteringsmaskinen Petya.A, men det finnes rett og slett ingen slik løsning. Viruset traff verden for flere måneder siden, men en kur for å dekryptere dataene det krypterte har aldri blitt funnet.

Derfor, hvis du ennå ikke har blitt et offer for Petya-viruset, lytt til rådene jeg ga i begynnelsen av artikkelen. Hvis du fortsatt har mistet kontrollen over dataene dine, har du flere alternativer.

• Betale penger. Det er ingen vits i å gjøre dette! Eksperter har allerede funnet ut at skaperen av viruset ikke gjenoppretter dataene, og kan ikke gjenopprette dem, gitt krypteringsteknikken.
• Fjern harddisken fra enheten, plasser den forsiktig i kabinettet og trykk på dekrypteringsknappen for å vises. Forresten, Kaspersky Lab jobber hele tiden i denne retningen. Tilgjengelige dekrypteringer er tilgjengelige på nettstedet No Ransom.
• Formatere disken og installere operativsystemet. Minus - alle data vil gå tapt.

Petya.A-virus i Russland

I Russland og Ukraina ble over 80 selskaper angrepet og infisert i skrivende stund, inkludert så store som Bashneft og Rosneft. Infeksjon av infrastrukturen til slike store selskaper indikerer alvoret til Petya.A-viruset. Det er ingen tvil om at løsepenge-trojaneren vil fortsette å spre seg over hele Russland, så du bør ta vare på sikkerheten til dataene dine og følge rådene gitt i artikkelen.

Petya.A og Android, iOS, Mac, Linux

Mange brukere er bekymret for om Petya-viruset kan infisere deres Android- og iOS-enheter. Jeg skynder meg å berolige dem - nei, det kan det ikke. Den er kun beregnet på Windows OS-brukere. Det samme gjelder for fans av Linux og Mac - du kan sove rolig, ingenting truer deg.

Konklusjon

Så i dag diskuterte vi i detalj det nye Petya.A-viruset. Vi forsto hva denne trojaneren er og hvordan den fungerer, vi lærte hvordan vi beskytter oss mot infeksjon og fjerner viruset, og hvor vi kan få tak i Petya-dekryptøren. Jeg håper at artikkelen og tipsene mine var nyttige for deg.

Petya-viruset er et raskt voksende virus som rammet nesten alle store bedrifter i Ukraina 27. juni 2017. Petya-viruset krypterer filene dine og tilbyr deretter løsepenger for dem.

Det nye viruset infiserer datamaskinens harddisk og fungerer som et filkrypteringsvirus. Etter en viss tid "spiser" Petya-viruset filene på datamaskinen din og de blir kryptert (som om filene ble arkivert og et tungt passord ble satt)
Filer som har blitt påvirket av Petya løsepengevirus kan ikke gjenopprettes senere (det er en prosentandel du kan gjenopprette dem, men den er veldig liten)
Det er INGEN algoritme som gjenoppretter filer som er berørt av Petya-viruset
Ved hjelp av denne korte og MAKSIMUM nyttige artikkelen kan du beskytte deg mot #virusPetya

Hvordan IDENTIFISERE Petya- eller WannaCry-viruset og IKKE bli infisert med viruset

Når du laster ned en fil via Internett, sjekk den med et online antivirus. Online antivirus kan oppdage et virus i en fil på forhånd og forhindre infeksjon med Petya-viruset. Alt du trenger å gjøre er å sjekke den nedlastede filen ved hjelp av VirusTotal, og deretter kjøre den. Selv om du LASTEDE NED PETYA VIRUS, men IKKE kjørte virusfilen, er viruset IKKE aktivt og forårsaker ikke skade. Først etter å ha kjørt en skadelig fil starter du et virus, husk dette

Å BRUKE DENNE METODEN GIR DEG BARE ALL SJANSE TIL IKKE Å BLI SMITTET AV PETYA-VIRUSET
Petya-viruset ser slik ut:

Hvordan beskytte deg mot Petya-viruset

Selskap Symantec foreslått en løsning som lar deg beskytte deg mot Petya-viruset ved å late som om du allerede har det installert.
Petya-viruset, når det kommer inn i en datamaskin, opprettes i mappen C:\Windows\perfc fil perfc eller perfc.dll
For å få viruset til å tro at det allerede er installert og ikke fortsette aktiviteten, oppretter du i mappen C:\Windows\perfc fil med tomt innhold og lagre den ved å sette redigeringsmodusen til "Read Only"
Eller last ned virus-petya-perfc.zip og pakk ut mappen perfc til en mappe C:\Windows\ og sett endringsmodusen til "Skrivebeskyttet"
Last ned virus-petya-perfc.zip

OPPDATERT 29.06.2017
Jeg anbefaler også å laste ned begge filene ganske enkelt til Windows-mappen. Mange kilder skriver at filen perfc eller perfc.dll må være i mappen C:\Windows\

Hva du skal gjøre hvis datamaskinen din allerede er infisert med Petya-viruset

Ikke slå på en datamaskin som allerede har infisert deg med Petya-viruset. Petya-viruset fungerer på en slik måte at mens den infiserte datamaskinen er slått på, krypterer den filer. Det vil si at så lenge du holder datamaskinen infisert med Petya-viruset slått på, kan flere og flere filer bli infisert og kryptert.
Harddisken til denne datamaskinen er verdt å sjekke. Du kan sjekke det ved å bruke LIVECD eller LIVEUSB med antivirus
Oppstartbar USB-flash-stasjon med Kaspersky Rescue Disk 10
Dr.Web LiveDisk oppstartbar flash-stasjon

Hvem spredte Petya-viruset over hele Ukraina

Microsoft har uttrykt sitt synspunkt angående global nettverksinfeksjon i store ukrainske selskaper. Årsaken var oppdateringen til M.E.Doc-programmet. M.E.Doc er et populært regnskapsprogram, og derfor gjorde selskapet en så stor feil da et virus kom inn i oppdateringen og installerte Petya-viruset på tusenvis av PC-er som M.E.Doc-programmet var installert på. Og siden viruset rammer datamaskiner på samme nettverk, spredte det seg med lynets hastighet.
#: Petya-virus påvirker Android, Petya-virus, hvordan oppdage og fjerne Petya-virus, hvordan behandle petya-virus, M.E.Doc, Microsoft, opprett en mappe Petya-virus

I dag angrep et løsepengevirus mange datamaskiner i offentlig, kommersiell og privat sektor i Ukraina

Et enestående hackerangrep slo ut mange datamaskiner og servere i offentlige etater og kommersielle organisasjoner over hele landet

Et storstilt og nøye planlagt cyberangrep har deaktivert den kritiske infrastrukturen til mange statseide virksomheter og selskaper i dag. Det melder Sikkerhetstjenesten (SBU).

Fra lunsj begynte meldinger om infeksjon av datamaskiner i offentlig og privat sektor å dukke opp på Internett som en snøball. Representanter for offentlige etater annonserte hackerangrep på IT-infrastrukturen deres.

Ifølge SBU skjedde infeksjonen hovedsakelig som et resultat av åpning av Word- og PDF-filer, som angriperne sendte på e-post. Petya.A løsepengeviruset utnyttet et nettverkssårbarhet i Windows-operativsystemet. For å låse opp krypterte data krevde nettkriminelle betaling i bitcoins på $300.

Sekretær for det nasjonale sikkerhets- og forsvarsrådet Alexander Turchynov sa at offentlige etater som var inkludert i den beskyttede kretsen - en spesiell Internett-node - ikke led noen skade. Tilsynelatende implementerte ikke ministerkabinettet anbefalingene fra National Cyber ​​​​Security Coordination Center på riktig måte fordi regjeringens datamaskiner ble påvirket av Petya.A. Finansdepartementet, Tsjernobyl kjernekraftverk, Ukrenergo, Ukrposhta, Nova Poshta og en rekke banker kunne ikke motstå dagens angrep.

I noen tid åpnet ikke internettsidene til SBU, cyberpolitiet og Statens tjeneste for spesiell kommunikasjon og informasjonsbeskyttelse (SSSSZI) engang.

Fra og med kvelden tirsdag 27. juni har ingen av de rettshåndhevende byråene som har ansvar for å bekjempe cyberangrep rapportert hvor Petya.A kom fra eller hvem som står bak. SBU, Cyber ​​​​Police (hvis nettside var nede hele dagen), og SSSSZI opprettholdt en olympisk stillhet angående omfanget av skaden forårsaket av løsepengeviruset.

Computer Emergency Response Team (CERT-UA, en del av SSSSZI) har gitt ut tips for å dempe konsekvensene av Petya Ransomware. For å gjøre dette anbefalte teknikere å bruke ESET-programvare. Senere snakket SBU også om hvordan du kan beskytte deg selv eller redusere skade fra viruset.

Virus "Petya": hvordan ikke fange det, hvordan dechiffrere hvor det kom fra - de siste nyhetene om Petya ransomware-viruset, som på den tredje dagen av sin "aktivitet" hadde infisert rundt 300 tusen datamaskiner i forskjellige land i verden, og så langt ingen en har stoppet det.

Petya-virus - hvordan dekrypteres, siste nytt. Etter et angrep på en datamaskin krever skaperne av Petya løsepengevare en løsepenge på $300 (i bitcoins), men det er ingen måte å dekryptere Petya-viruset på, selv om brukeren betaler penger. Kaspersky Lab-spesialister, som så forskjeller i det nye viruset fra Petit og kalte det ExPetr, hevder at dekryptering krever en unik identifikator for en spesifikk trojansk installasjon.

I tidligere kjente versjoner av lignende krypteringer Petya/Mischa/GoldenEye, inneholdt installasjonsidentifikatoren nødvendig informasjon for dette. I tilfellet med ExPetr eksisterer ikke denne identifikatoren, skriver RIA Novosti.

"Petya"-viruset – hvor det kom fra, siste nytt. Tyske sikkerhetseksperter har lagt frem den første versjonen av hvor denne løsepengevaren kom fra. Etter deres mening begynte Petya-viruset å spre seg gjennom datamaskiner da M.E.Doc-filer ble åpnet. Dette er et regnskapsprogram som brukes i Ukraina etter forbudet mot 1C.

I mellomtiden sier Kaspersky Lab at det er for tidlig å trekke konklusjoner om opprinnelsen og kilden til spredning av ExPetr-viruset. Det er mulig at angriperne hadde omfattende data. For eksempel e-postadresser fra et tidligere nyhetsbrev eller andre effektive metoder for å infiltrere datamaskiner.

Med deres hjelp traff "Petya"-viruset Ukraina og Russland, så vel som andre land, med sin fulle kraft. Men det virkelige omfanget av dette hackerangrepet vil bli klart om noen dager, melder.

"Petya" virus: hvordan ikke fange det, hvordan dechiffrere det, hvor det kom fra - siste nytt om Petya løsepengevirus, som allerede har fått et nytt navn fra Kaspersky Lab - ExPetr.

En kort utflukt i historien til navngiving av skadelig programvare.

Til bokmerker

Petya.A viruslogo

27. juni ble minst 80 russiske og ukrainske selskaper angrepet av Petya.A-viruset. Programmet blokkerte informasjon på datamaskinene til avdelinger og bedrifter og krevde, i likhet med det velkjente løsepengeviruset, bitcoins fra brukerne.

Ondsinnede programmer navngis vanligvis av ansatte i antivirusselskaper. Unntakene er krypteringer, løsepenger, ødeleggere og identitetstyver, som i tillegg til datainfeksjoner forårsaker medieepidemier – økt hype i media og aktiv diskusjon på nettverket.

Imidlertid er Petya.A-viruset en representant for en ny generasjon. Navnet han introduserer seg med er en del av utviklerens markedsføringsstrategi som tar sikte på å øke hans anerkjennelse og popularitet på darknet-markedet.

Subkulturelt fenomen

I de dager da det var få datamaskiner og ikke alle var koblet til hverandre, eksisterte allerede selvforplantende programmer (ennå ikke virus). En av de første av disse var en som på spøk hilste brukeren og tilbød seg å fange ham og slette ham. Neste opp var Cookie Monster, som krevde å "gi ham en informasjonskapsel" ved å skrive inn ordet "cookie."

Tidlig malware hadde også en sans for humor, selv om det ikke alltid var i navnene deres. Dermed leste Richard Scrant, designet for Apple-2-datamaskinen, et dikt til offeret hver 50. datamaskinoppstart, og navnene på virusene, ofte skjult i koden og ikke vist, refererte til vitser og subkulturelle ord som er vanlige blant nerder. av den tiden. De kan assosieres med metallbandnavn, populærlitteratur og rollespill på bord.

På slutten av 1900-tallet gjemte skaperne av virus ikke mye - dessuten, når et program kom ut av kontroll, prøvde de ofte å ta del i å eliminere skaden påført det. Dette var tilfellet med den pakistanske og destruktive, skapt av den fremtidige medgründeren av virksomhetsinkubatoren Y-Combinator.

Et av de russiske virusene nevnt av Evgeniy Kaspersky i sin bok fra 1992 "Datavirus i MS-DOS" demonstrerte også poetiske evner. Condom-1581-programmet fra tid til annen demonstrert for offeret, dedikert til problemene med å tette verdenshavene med menneskelige avfallsprodukter.

Geografi og kalender

I 1987 ble Jerusalem-viruset, også kjent som det israelske viruset, oppkalt etter stedet der det først ble oppdaget, og det alternative navnet Black Friday skyldtes det faktum at det ville aktivere og slette kjørbare filer hvis den 13. i måneden falt på en fredag.

Michelangelo-viruset, som skapte panikk i media våren 1992, ble også navngitt etter kalenderprinsippet. Så fortalte John McAfee, senere kjent for å lage et av de mest påtrengende antivirusene, under en cybersikkerhetskonferanse i Sydney til journalister og offentligheten: "Hvis du starter opp et infisert system 6. mars, vil all data på harddisken bli ødelagt." Hva har Michelangelo med dette å gjøre? 6. mars var den italienske artistens bursdag. Men grusomhetene som McAfee spådde, endte opp med å bli voldsomt overdrevet.

Funksjonalitet

Virusets evner og dets spesifisitet tjener ofte som grunnlaget for navnet. I 1990 ble et av de første polymorfe virusene kalt Chameleon, og det, som har omfattende evner til å skjule sin tilstedeværelse (og derfor tilhører kategorien stealth-virus), ble kalt Frodo, og antydet helten til "The Lord of the Ringer» og Ringen som skjuler seg for andres øyne . Og, for eksempel, OneHalf-viruset fra 1994 fikk navnet sitt på grunn av det faktum at det viste aggresjon bare ved å infisere halvparten av disken til den angrepne enheten.

Tjenestetitler

De fleste virus har lenge vært navngitt i laboratorier, hvor de analyseres i deler av analytikere.

Vanligvis er dette kjedelige serienavn og generelle "familienavn" som beskriver kategorien til viruset, hvilke systemer det angriper og hva det gjør med dem (som Win32.HLLP.DeTroie). Men noen ganger, når hint fra utviklerne blir avslørt i programkoden, får virus litt personlighet. Slik dukket for eksempel MyDoom- og KooKoo-virusene opp.

Denne regelen fungerer imidlertid ikke alltid - for eksempel ble Stuxnet-viruset, som stoppet sentrifuger for anrikning av uran i Iran, ikke kalt Myrtus, selv om dette ordet ("myrten") i koden var nesten et direkte hint om deltakelsen til israelere etterretningstjenester i sin utvikling. I dette tilfellet vant navnet som allerede hadde blitt kjent for allmennheten, tildelt viruset i de første stadiene av oppdagelsen.

Oppgaver

Det hender ofte at virus som krever mye oppmerksomhet og krefter å studere får vakre navn fra antivirusselskaper som er lettere å si og skrive ned - dette skjedde med Red October, diplomatisk korrespondanse og data som kan påvirke internasjonale relasjoner, samt med IceFog , storstilt industrispionasje.

Filutvidelse

En annen populær måte å navngi på er ved utvidelsen som viruset tildeler infiserte filer. Dermed ble et av de "militære" virusene, Duqu, navngitt ikke på grunn av grev Dooku fra Star Wars, men på grunn av ~DQ-prefikset, som markerte filene den opprettet.

WannaCry-viruset, som slo til i vår, fikk også navnet sitt, og markerte dataene kryptert av det med utvidelsen .wncry.

Det tidligere navnet på viruset, Wanna Decrypt0r, fanget ikke opp – det hørtes verre ut og hadde forskjellige stavemåter. Ikke alle gadd å sette «0» som «o».

"Du har blitt et offer for Petya løsepengevirus"

Det er akkurat slik den mest omtalte skadevare i dag introduserer seg selv etter at den har fullført kryptering av filer på den angrepne datamaskinen. Petya A.-viruset har ikke bare et gjenkjennelig navn, men også en logo i form av en pirathodeskalle og korsben, og en hel markedsføringskampanje. Viruset ble oppdaget sammen med broren "Misha", og vakte oppmerksomhet fra analytikere nettopp på grunn av dette.

Fra et subkulturelt fenomen, etter å ha gått gjennom en periode da denne typen "hacking" krevde ganske seriøs teknisk kunnskap, ble virus til et våpen for en cyber-gop-stopp. Nå må de spille etter markedets regler – og den som får mer oppmerksomhet gir store overskudd til utviklerne sine.