Woher kam das Virus? Woher Petya kommt: M.E doc wurde eines Hackerangriffs beschuldigt. Wer ist Petya?

Unternehmen auf der ganzen Welt wurden am Dienstag, 27. Juni, von einem massiven Cyberangriff durch E-Mail-Malware getroffen. Der Virus verschlüsselt Benutzerdaten auf Festplatten und erpresst Geld in Bitcoins. Viele Leute entschieden sofort, dass es sich um den Petya-Virus handelte, der bereits im Frühjahr 2016 beschrieben wurde, aber Antiviren-Hersteller glauben, dass der Angriff auf ein anderes, neues Schadprogramm zurückzuführen war.

Ein mächtiger Hackerangriff traf am Nachmittag des 27. Juni zunächst in der Ukraine und dann auf mehrere große russische und ausländische Unternehmen. Der Virus, den viele mit Petya aus dem letzten Jahr verwechselt haben, verbreitet sich auf Computern mit Windows über eine Spam-E-Mail mit einem Link, der ein Fenster öffnet, in dem nach Administratorrechten gefragt wird. Wenn der Benutzer dem Programm den Zugriff auf seinen Computer erlaubt, beginnt der Virus, vom Benutzer Geld zu verlangen - 300 US-Dollar in Bitcoins, und der Betrag verdoppelt sich nach einiger Zeit.

Der Anfang 2016 entdeckte Petya-Virus verbreitete sich auf genau die gleiche Weise, so dass viele Benutzer davon ausgingen, dass es sich um dieses Virus handelt. Aber Experten von Antiviren-Softwarefirmen haben bereits erklärt, dass ein anderer, völlig neuer Virus, den sie noch untersuchen werden, für den Angriff verantwortlich ist. Die Experten von Kaspersky Lab haben bereits gab unbekannter Virusname - NotPetya.

Nach unseren vorläufigen Daten handelt es sich nicht, wie bereits erwähnt, um einen Petya-Virus, sondern um eine uns unbekannte neue Schadsoftware. Daher haben wir es NotPetya genannt.

Es gibt zwei Textfelder mit dem Titel Base64-codierte 512 Bytes Verifizierungsdaten und Base64-codierte 8 Bytes Nonce. Um den Schlüssel zu erhalten, müssen Sie die vom Programm extrahierten Daten in diese beiden Felder eingeben.

Das Programm wird ein Passwort vergeben. Es muss eingegeben werden, indem Sie die Disc einlegen und das Virenfenster sehen.

Opfer von Cyberangriffen

Ukrainische Unternehmen litten am meisten unter dem unbekannten Virus. Die Computer des Flughafens Boryspil, der ukrainischen Regierung, Geschäfte, Banken, Medien- und Telekommunikationsunternehmen wurden infiziert. Danach erreichte das Virus Russland. Die Opfer des Angriffs waren Rosneft, Bashneft, Mondelez International, Mars, Nivea.

Sogar einige ausländische Organisationen meldeten Probleme mit IT-Systemen aufgrund des Virus: das britische Werbeunternehmen WPP, der amerikanische Pharmakonzern Merck & Co, der große dänische Frachtführer Maersk und andere. Das schrieb Kostin Raiu, Leiter des internationalen Forschungsteams bei Kaspersky Lab, auf Twitter.

Petrwrap / Petya Ransomware-Variante mit Kontakt [E-Mail geschützt] weltweit verbreitet, viele Länder betroffen.

Laut Positive Technologies waren über 80 Organisationen in Russland und der Ukraine von Petyas Aktionen betroffen. Im Vergleich zu WannaCry wird dieser Virus als destruktiver erkannt, da er sich über mehrere Methoden verbreitet – mit Windows Management Instrumentation, PsExec und dem EternalBlue-Exploit. Außerdem ist das kostenlose Dienstprogramm Mimikatz in die Ransomware integriert.

„Dieses Tool-Set ermöglicht es Petya, auch in solchen Infrastrukturen einsatzbereit zu bleiben, in denen die WannaCry-Lektion berücksichtigt und die entsprechenden Sicherheitsupdates installiert wurden, weshalb die Verschlüsselungs-Ransomware so effektiv ist“, sagte Positive Technologies.

Elmar Nabigajew, Leiter der Abteilung für Bedrohungsreaktionen im Bereich Informationssicherheit des Unternehmens, sagte gegenüber Gazeta.Ru:

Wenn wir über die Gründe für die aktuelle Situation sprechen, dann liegt das Problem wieder in einer sorglosen Haltung gegenüber den Problemen der Informationssicherheit.

Der Leiter des Avast-Viruslabors, Jakub Kroustek, sagte in einem Interview mit Gazeta.Ru, dass es unmöglich sei, mit Sicherheit herauszufinden, wer genau hinter diesem Cyberangriff steckt, aber es ist bereits bekannt, dass sich der Petya-Virus laut Angaben im Darknet verbreitet das RaaS-Geschäftsmodell (Malware as a Service).

„So erreicht der Anteil der Vertreiber des Programms 85 % des Lösegelds, 15 % gehen an die Autoren des Ransomware-Virus“, sagte Kroustek. Er stellte fest, dass die Autoren von Petya die gesamte Infrastruktur, C&C-Server und Geldtransfersysteme bereitstellen, die dazu beitragen, Menschen zur Verbreitung des Virus zu bewegen, auch wenn sie keine Programmiererfahrung haben.

Darüber hinaus teilte Avast mit, welche Betriebssysteme am stärksten vom Virus betroffen waren.

Windows 7 belegte den ersten Platz – 78% aller infizierten Computer. Als nächstes folgen Windows XP (18%), Windows 10 (6%) und Windows 8.1 (2%).

Kaspersky Lab war der Ansicht, dass der Virus, obwohl er der Familie Petya ähnlich ist, immer noch zu einer anderen Kategorie gehört, und gab ihm einen anderen Namen - ExPetr, dh "ehemaliger Peter".

Dmitry Khomutov, stellvertretender Direktor für Entwicklung bei Aydeko, erklärte gegenüber dem Korrespondenten der Gazeta.Ru, dass die Cyberangriffe der Viren WannaCry und Petya zu dem führten, wovor er lange gewarnt hatte, nämlich zur globalen Verwundbarkeit von überall verwendeten Informationssystemen .

„Die Lücken, die amerikanische Konzerne den Geheimdiensten hinterlassen haben, wurden für Hacker zugänglich und wurden schnell mit dem traditionellen Arsenal von Cyberkriminellen – Ransomware, Botnet-Clients und Netzwerkwürmer – gekreuzt“, sagte Khomutov.

So hat WannaCry der Weltgemeinschaft praktisch nichts beigebracht - Computer blieben ungeschützt, Systeme wurden nicht aktualisiert und Bemühungen, auch für veraltete Systeme Patches zu veröffentlichen, waren einfach umsonst.

Experten drängen darauf, das geforderte Lösegeld nicht in Bitcoins zu zahlen, da die Postadresse, die die Hacker zur Kommunikation hinterlassen haben, von einem lokalen Anbieter gesperrt wurde. Somit verliert der Nutzer selbst bei „ehrlichen und guten Absichten“ von Cyberkriminellen nicht nur Geld, sondern erhält auch keine Anweisungen zum Entsperren seiner Daten.

Petya hat der Ukraine am meisten geschadet. Unter den Opfern waren Zaporozhyeoblenergo, Dneproenergo, die Metro Kiew, die ukrainischen Mobilfunkbetreiber Kyivstar, LifeCell und Ukrtelecom, das Geschäft Auchan, die Privatbank, der Flughafen Boryspil und andere.

Die ukrainischen Behörden machten sofort Russland für den Cyberangriff verantwortlich.

"Der Krieg im Cyberspace, der unter Millionen von PC-Benutzern Angst und Schrecken sät und durch die Destabilisierung von Unternehmen und Regierungsbehörden direkten materiellen Schaden anrichtet, ist Teil der Gesamtstrategie des hybriden Krieges des Russischen Reiches gegen die Ukraine", sagte ein Parlamentsmitglied von der Volksfront".

Die Ukraine war möglicherweise am stärksten von der anfänglichen Verbreitung von Petya durch die automatische Aktualisierung von M.E.doc, einer Buchhaltungssoftware, betroffen. So wurden ukrainische Ämter, Infrastruktureinrichtungen und Handelsunternehmen infiziert – sie alle nutzen diesen Service.

Der Pressedienst von ESET Russland erklärte gegenüber Gazeta.Ru, dass ein anfälliger Computer ohne Sicherheitsupdates ausreiche, um ein Unternehmensnetzwerk mit dem Petya-Virus zu infizieren. Mit seiner Hilfe gelangt das Schadprogramm ins Netzwerk, erlangt Administratorrechte und verbreitet sich auf anderen Geräten.

M.E.doc veröffentlichte jedoch eine offizielle Widerlegung dieser Version.

„Die Diskussion über die Ursprünge und Verbreitung von Cyberangriffen wird von Nutzern in sozialen Netzwerken, Foren und anderen Informationsquellen aktiv geführt, in deren Wortlaut einer der Gründe auf die Installation von Updates des M.E.Doc-Programms hinweist. Das M.E.Doc-Entwicklungsteam bestreitet diese Informationen und erklärt, dass solche Schlussfolgerungen definitiv falsch sind, da der M.E.Doc-Entwickler als verantwortungsvoller Lieferant eines Softwareprodukts die Sicherheit und Reinheit seines eigenen Codes überwacht“, sagte in

Mehrere russische und ukrainische Unternehmen wurden von dem Petya-Ransomware-Virus angegriffen. Die Netzwerkausgabe der Site sprach mit Experten von Kaspersky Lab, der interaktiven Agentur AGIMA und erfuhr, wie man Firmencomputer vor einem Virus schützt und wie Petya dem ebenso bekannten Ransomware-Virus WannaCry ähnelt.

Petya-Virus

In Russland die Unternehmen Rosneft, Bashneft, Mars, Nivea und der Schokoladenhersteller Alpen Gold Mondelez International. Ein Ransomware-Virus-Strahlungsüberwachungssystem des Kernkraftwerks Tschernobyl. Darüber hinaus betraf der Angriff die Computer der ukrainischen Regierung, der Privatbank und der Telekommunikationsbetreiber. Der Virus blockiert Computer und verlangt ein Lösegeld von 300 Dollar in Bitcoins.

In einem Microblog auf Twitter sprach der Pressedienst von Rosneft von einem Hackerangriff auf die Server des Unternehmens. "Auf den Servern des Unternehmens wurde ein mächtiger Hackerangriff durchgeführt. Wir hoffen, dass dies nichts mit den aktuellen Gerichtsverfahren zu tun hat. Tatsächlich hat sich das Unternehmen wegen des Cyberangriffs an die Strafverfolgungsbehörden gewandt", heißt es in der Mitteilung.

Laut dem Pressesprecher des Unternehmens, Mikhail Leontyev, arbeiten Rosneft und seine Tochtergesellschaften normal. Nach dem Angriff stellte das Unternehmen auf ein Backup-Steuerungssystem für Produktionsprozesse um, damit die Förderung und Verarbeitung von Öl nicht gestoppt wird. Auch das Banksystem Home Credit wurde angegriffen.

"Petya" infiziert nicht ohne "Misha"

Gemäß Geschäftsführer der AGIMA Evgeny Lobanova Tatsächlich wurde der Angriff von zwei Ransomware-Viren ausgeführt: Petya und Misha.

"Sie arbeiten zusammen. Petya infiziert nicht ohne Misha. Er kann infizieren, aber der gestrige Angriff bestand aus zwei Viren: zuerst Petya, dann Misha. Petya schreibt das Boot-Gerät (von dem der Computer bootet) neu und Misha - verschlüsselt Dateien entsprechend einen bestimmten Algorithmus, - erklärte der Spezialist. - Petya verschlüsselt den Disk-Boot-Sektor (MBR) und ersetzt ihn durch seinen eigenen, Misha verschlüsselt bereits alle Dateien auf der Festplatte (nicht immer).

Er stellte fest, dass der Ransomware-Virus WannaCry, der im Mai dieses Jahres große globale Unternehmen angriff, nicht wie Petya aussieht, sondern eine neue Version ist.

"Petya.A stammt aus der WannaCry-Familie (oder besser WannaCrypt), aber der Hauptunterschied besteht darin, warum es nicht derselbe Virus ist, sondern dass der MBR durch einen eigenen Bootsektor ersetzt wird - dies ist eine Neuheit für Ransomware. Der Petya Virus ist vor langer Zeit aufgetaucht, auf GitHab (einem Online-Dienst für IT-Projekte und gemeinsame Programmierung - Site) https://github.com/leo-stone/hack-petya "target =" _blank "> gab es dafür einen Entschlüsseler Encryptor, aber kein Decryptor ist für die neue Modifikation geeignet.

Jewgeni Lobanow betonte, dass der Angriff die Ukraine härter getroffen habe als Russland.

"Wir sind anfälliger für Angriffe als andere westliche Länder. Wir werden vor dieser Version des Virus geschützt, aber wir werden nicht vor seinen Modifikationen geschützt. Unser Internet ist unsicher, in der Ukraine ist es noch weniger. Grundsätzlich Transportunternehmen, Banken, Mobilfunkanbieter (Vodafone, Kyivstar) und Medizinunternehmen, dasselbe Farmmag, Shell-Tankstellen – alles sehr große transkontinentale Unternehmen“, sagte er in einem Interview mit der Website.

Der Geschäftsführer von AGIMA stellte fest, dass es bisher keine Fakten gebe, die auf den geografischen Standort des Virus-Vertreibers hinweisen würden. Seiner Meinung nach stammt das Virus vermutlich aus Russland. Leider gibt es dafür keine direkten Beweise.

"Es wird vermutet, dass dies unsere Hacker sind, da die erste Modifikation in Russland auftauchte und der Virus selbst, der für niemanden ein Geheimnis ist, nach Petro Poroschenko benannt wurde. Es war eine Entwicklung russischer Hacker, die es jedoch weiter verändert haben." - Es ist schwer zu sagen, dass es selbst in Russland leicht ist, zum Beispiel in den Vereinigten Staaten einen Computer mit Geolokalisierung zu bekommen ", erklärte der Experte.

"Wenn Ihr Computer plötzlich infiziert ist, können Sie den Computer nicht ausschalten. Wenn Sie neu starten, werden Sie das System nie wieder betreten."

"Wenn ein Computer plötzlich infiziert ist, können Sie den Computer nicht ausschalten, da der Petya-Virus den MBR ersetzt - den ersten Bootsektor, von dem das Betriebssystem geladen wird. Wenn Sie neu starten, werden Sie das System nie wieder betreten. tablet "it Die Daten können nicht zurückgegeben werden. Als nächstes müssen Sie sofort die Verbindung zum Internet trennen, damit der Computer nicht online geht. Ein offizieller Patch von Microsoft wurde bereits veröffentlicht, er bietet eine 98-prozentige Sicherheitsgarantie. Leider noch nicht 100 Prozent. Eine gewisse Modifikation des Virus (deren drei Teile) umgeht er bisher ", empfahl Lobanov. - Wenn Sie jedoch trotzdem neu gestartet haben und den Beginn des Prozesses "Disk überprüfen" gesehen haben, müssen Sie Ihren Computer in diesem Moment sofort ausschalten, und die Dateien bleiben unverschlüsselt.

Darüber hinaus sprach der Experte auch darüber, warum Microsoft-Benutzer am häufigsten angegriffen werden, nicht MacOSX (Apples Betriebssystem - Site) und Unix-Systeme.

"Hier ist es richtiger, nicht nur von MacOSX, sondern von allen Unix-Systemen zu sprechen (das Prinzip ist das gleiche). Der Virus verbreitet sich nur auf Computern, ohne mobile Geräte. Der Angriff betrifft das Windows-Betriebssystem und bedroht nur diese Benutzer." die die automatische System-Update-Funktion deaktiviert haben. Updates sind ausnahmsweise auch für Besitzer älterer Windows-Versionen verfügbar, die nicht mehr aktualisiert werden: XP, Windows 8 und Windows Server 2003", so der Experte.

„MacOSX und Unix sind solchen Viren weltweit nicht ausgesetzt, weil viele Großkonzerne die Microsoft-Infrastruktur nutzen. MacOSX ist nicht anfällig, weil es bei Behörden nicht so weit verbreitet ist. Microsoft angreifen“, schloss der Spezialist.

"Die Zahl der angegriffenen Benutzer hat zweitausend erreicht"

Beim Pressedienst von Kaspersky Lab, deren Experten weiterhin die neueste Infektionswelle untersuchen, sagte, dass "diese Ransomware nicht zur bereits bekannten Petya-Ransomware-Familie gehört, obwohl sie mehrere Codezeilen mit ihr gemeinsam hat."

Das Labor ist zuversichtlich, dass es sich in diesem Fall um eine neue Familie von Schadsoftware handelt, deren Funktionalität sich deutlich von Petya unterscheidet. Kaspersky Lab hat die neue Ransomware ExPetr genannt.

"Laut Kaspersky Lab hat sich die Zahl der angegriffenen Nutzer auf zweitausend erhöht. Die meisten Vorfälle wurden in Russland und der Ukraine registriert, außerdem wurden Infektionsfälle in Polen, Italien, Großbritannien, Deutschland, Frankreich und den USA beobachtet." und mehreren anderen Ländern. Derzeit vermuten unsere Experten, dass die Malware mehrere Angriffsvektoren verwendet. Es wurde festgestellt, dass ein modifizierter EternalBlue-Exploit und ein EternalRomance-Exploit verwendet wurden, um sich in Unternehmensnetzwerken zu verbreiten", sagte der Pressedienst.

Experten untersuchen auch die Möglichkeit, ein Decoder-Tool zu erstellen, mit dem die Daten entschlüsselt werden könnten. Das Lab hat allen Organisationen auch Empfehlungen gegeben, um einen Virusangriff in Zukunft zu vermeiden.

„Wir empfehlen Organisationen, Windows-Updates zu installieren. Windows XP und Windows 7 sollten das Sicherheitsupdate MS17-010 installieren und sicherstellen, dass sie über ein effektives Backup-System verfügen. Rechtzeitige und sichere Datensicherungen ermöglichen Ihnen, die Originaldateien wiederherzustellen, selbst wenn sie durch Malware verschlüsselt wurden ," raten Experten von Kaspersky Lab.

Das Labor empfiehlt seinen Firmenkunden außerdem sicherzustellen, dass alle Schutzmechanismen aktiviert sind, insbesondere die Verbindung zur Cloud-Infrastruktur von Kaspersky Security Network; als zusätzliche Maßnahme wird empfohlen, die Komponente Application Privilege Control zu verwenden um den Zugriff auf die Ausführung aller Anwendungsgruppen zu verweigern) eine Datei namens "perfc.dat" usw.

"Wenn Sie keine Produkte von Kaspersky Lab verwenden, empfehlen wir, die Ausführung der Datei perfc.dat zu blockieren sowie den Start des Dienstprogramms PSExec aus dem Sysinternals-Paket mit der im Betriebssystem enthaltenen AppLocker-Funktion zu blockieren (Betriebssystem - Website ) Windows", im Labor empfohlen.

Am 12. Mai 2017 viele - ein Verschlüsseler von Daten auf Festplatten von Computern. Er sperrt das Gerät und verlangt die Zahlung des Lösegelds.
Das Virus betraf Organisationen und Abteilungen in Dutzenden von Ländern auf der ganzen Welt, darunter Russland, wo das Gesundheitsministerium, das Ministerium für Notfälle, das Innenministerium, die Server von Mobilfunkbetreibern und mehrere große Banken angegriffen wurden.

Die Verbreitung des Virus wurde versehentlich und vorübergehend gestoppt: Wenn Hacker nur wenige Codezeilen ändern, funktioniert die Malware wieder. Der Schaden durch das Programm wird auf 1 Milliarde Dollar geschätzt. Nach einer linguistischen forensischen Analyse stellten Experten fest, dass WannaCry von Einwanderern aus China oder Singapur erstellt wurde.

Die ganze Welt entwickelt Schutz gegen das neue Virus, obwohl es durch die gleichen "Löcher" wie WannaCry kriecht

Nach der Verbreitung der Ransomware WannaCry waren Computer auf der ganzen Welt erneut Cyberangriffen ausgesetzt. Das Petya-Virus hat Geräte in verschiedenen Ländern in Europa und den USA befallen. Die meisten Schäden ereigneten sich jedoch an Computern in Russland und der Ukraine, wo etwa 80 Unternehmen betroffen waren. Der Ransomware-Virus verlangte von den Besitzern der betroffenen PCs Geld oder Kryptowährung, doch Cyber-Experten fanden einen Weg, nicht auf die Betrüger hereinzufallen. Darüber, wer Petya ist und wie man es vermeiden kann, ihn zu treffen - im Material von Realnoe Vremya.

Opfer von Petit: Von Rosneft zum Kernkraftwerk Tschernobyl

Die Massenausbreitung des Petya-Virus begann am 27. Juni. Die Ukraine war die erste, die darunter litt: Computer großer Energiekonzerne - Ukrenergo, DTEK und Kyivenergo - wurden angegriffen, berichteten lokale Medien. Ein Mitarbeiter eines der Unternehmen sagte Reportern, dass sein Arbeitscomputer am Morgen des 27. Juni neu gestartet wurde, woraufhin das System angeblich mit der Überprüfung der Festplatte begann. Dann sah er, dass auf allen Computern im Büro dasselbe passiert. Er schaltete den Computer aus, aber nach dem Einschalten des Geräts erschien eine Lösegeldforderung auf dem Bildschirm. Das Virus betraf auch die PCs einiger ukrainischer Banken, des Finanzministeriums der Ukraine, des Ministerkabinetts, des Unternehmens Ukrtelecom und des Flughafens Boryspil.

Petya griff auch das Computersystem zur Überwachung der Hintergrundstrahlung im Kernkraftwerk Tschernobyl an. Gleichzeitig arbeiteten alle Systeme der Station normal, und der Strahlungshintergrund überschreitet nicht den Kontrollhintergrund, berichtet Meduza. Am Abend des 27. Juni auf der offiziellen Facebook-Seite des Innenministeriums der Ukraine appellieren an Einwohner des Landes mit der Empfehlung, Computer auszuschalten, bis ein Weg zur Bekämpfung des Virus entwickelt ist.

In Russland wurden die Server von Rosneft vom Ransomware-Virus Petya angegriffen. Rosneft-Sprecher Mikhail Leontyev sah den Zusammenhang zwischen den Hackerangriffen des Petya-Virus und der Klage des Unternehmens gegen AFK Sistema. In der Sendung von Business FM bezeichnete er den Versuch, mit einem Virus Daten über das Management von Bashneft zu zerstören, als rational. Es wurden vereinzelte Fälle von Infektionen von Ides russischen Bankensystems registriert. Die Home Credit Bank stellte den Betrieb aufgrund von Cyberangriffen ein, auch die Arbeit der Website des Kreditinstituts wurde gestört. Die Filialen arbeiteten nur im Beratungsmodus, während die Geldautomaten im regulären Modus arbeiteten, berichtet Interfax.

Am 28. Juni berichteten die Medien auch über einen Angriff auf Computer in Großbritannien, Holland, Dänemark, Spanien, Indien, Litauen, Frankreich und den USA.

Mikhail Leontyev sah den Zusammenhang zwischen den Hackerangriffen des Petya-Virus und der Klage gegen AFK Sistema. Foto polit.ru

Der Schutz vor WannaCry ist machtlos gegen "Petit"

Die Funktionsweise von Petya basiert auf der Verschlüsselung des Master Boot Record (MBR) des Bootsektors der Festplatte. Dieser Datensatz ist der erste Sektor auf der Festplatte, er enthält die Partitionstabelle und das Ladeprogramm, das aus dieser Tabelle Informationen darüber liest, von welcher Partition auf der Festplatte das System bootet. Der ursprüngliche MBR wird im Sektor 0x22 der Platte gespeichert und mit einer Byte-XOR-Operation mit 0x07 verschlüsselt. Infolgedessen werden die Informationen auf der Computerdiskette durch die Virendaten ersetzt, so die Experten von Positive Technologies.

Nachdem die bösartige Datei gestartet wurde, wird eine Aufgabe zum Neustart des Computers mit einer Verzögerung von 1-2 Stunden erstellt. Wenn die Festplatte nach einem Neustart erfolgreich verschlüsselt wurde, wird auf dem Bildschirm eine Meldung mit der Aufforderung angezeigt, ein Lösegeld von 300 US-Dollar (oder in Kryptowährung) zu zahlen, um einen Datei-Entsperrschlüssel zu erhalten. Die von der Ransomware verwendete Postadresse wurde übrigens bereits gesperrt, was die Geldüberweisung nutzlos macht.

Petya nutzt einen Windows-Exploit mit dem Codenamen EternalBlue aus. Der berüchtigte WannaCry drang mit derselben Schwachstelle in Computer ein. Dank des Exploits verbreitete sich Petya über die Windows Management Instrumentation (ein Tool zur zentralen Verwaltung und Überwachung verschiedener Teile der Computerinfrastruktur, die auf der Windows-Plattform ausgeführt wird) und PsExec (ermöglicht die Ausführung von Prozessen auf Remote-Systemen) und erlangte maximale Berechtigungen auf dem verwundbares System. Dadurch konnte der Virus auch dann weiterarbeiten, wenn die Anti-WannaCry-Updates auf den Computern installiert waren.

Bootrec / fixMbr-Befehl und Schreiben in Notepad

Der berühmte französische Hacker und Softwareentwickler Mathieu Suchet auf seinem Twitter

Vielleicht kennen Sie bereits die am 27. Juni 2017 registrierte Hacker-Bedrohung in den Ländern Russland und Ukraine, die einem groß angelegten Angriff ähnlich wie WannaCry ausgesetzt waren. Der Virus blockiert Computer und verlangt ein Lösegeld in Bitcoins für die Entschlüsselung von Dateien. Insgesamt waren mehr als 80 Unternehmen in beiden Ländern betroffen, darunter auch die russischen Unternehmen Rosneft und Bashneft.

Der Ransomware-Virus hat wie der berüchtigte WannaCry alle Computerdaten blockiert und verlangt, dass ein Lösegeld in Bitcoins in Höhe von 300 Dollar an die Kriminellen überwiesen wird. Aber im Gegensatz zu Wanna Cry macht sich Petya nicht die Mühe, einzelne Dateien zu verschlüsseln - es "nimmt" fast sofort Ihre gesamte Festplatte weg.

Der korrekte Name für dieses Virus ist Petya.A. Der ESET-Bericht enthüllt einige der Funktionen von Diskcoder.C (auch bekannt als ExPetr, PetrWrap, Petya oder NotPetya).

Laut Statistik aller Opfer wurde der Virus in Phishing-E-Mails mit infizierten Anhängen verbreitet. Normalerweise kommt ein Brief mit der Aufforderung, ein Textdokument zu öffnen, aber wie wir wissen, ist die zweite Dateiendung TXT.exe ist ausgeblendet und die letzte Dateierweiterung hat Vorrang. Standardmäßig zeigt das Windows-Betriebssystem keine Dateierweiterungen an und sie sehen so aus:

In 8.1 im Explorer-Fenster (Ansicht \ Ordneroptionen \ Deaktivieren Sie das Kontrollkästchen Erweiterungen für registrierte Dateitypen ausblenden)

In 7 im Explorer-Fenster (Alt \ Tools \ Ordneroptionen \ Deaktivieren Sie das Kontrollkästchen Erweiterungen für registrierte Dateitypen ausblenden)

Und das Schlimmste ist, dass es den Nutzern nicht einmal peinlich ist, dass Briefe von unbekannten Nutzern kommen und darum bitten, unverständliche Dateien zu öffnen.

Nach dem Öffnen der Datei sieht der Benutzer einen "Bluescreen of Death".

Nach dem Neustart sieht es so aus, als ob die "Scan Disk" gestartet wird, tatsächlich verschlüsselt der Virus Dateien.

Im Gegensatz zu anderer Ransomware startet dieser Virus, sobald er gestartet wird, Ihren Computer sofort neu, und wenn er wieder hochfährt, erscheint eine Meldung auf dem Bildschirm: „SCHALTEN SIE IHREN PC NICHT AUS! WENN SIE DIESEN PROZESS BEENDEN, KÖNNEN SIE ALLE IHRE DATEN ZERSTÖREN! BITTE STELLEN SIE SICHER, DASS IHR COMPUTER AN DAS LADEGERÄT ANGESCHLOSSEN IST! ”. Obwohl dies wie ein Systemfehler aussehen mag, führt Petya derzeit die Verschlüsselung im Stealth-Modus im Hintergrund durch. Wenn der Benutzer versucht, das System neu zu starten oder die Verschlüsselung von Dateien zu stoppen, erscheint auf dem Bildschirm ein blinkendes rotes Skelett zusammen mit dem Text „PRESS ANY KEY!“. Schließlich erscheint nach dem Drücken der Taste ein neues Fenster mit der Lösegeldforderung. In dieser Notiz wird das Opfer aufgefordert, 0,9 Bitcoins zu zahlen, was etwa 400 US-Dollar entspricht. Dies ist jedoch der Preis für nur einen Computer. Daher kann der Betrag für Unternehmen mit vielen Computern Tausende betragen. Was diese Ransomware auch auszeichnet, ist, dass Sie eine ganze Woche Zeit haben, um das Lösegeld zu zahlen, anstatt der üblichen 12-72 Stunden, die andere Viren dieser Kategorie bieten.

Außerdem enden die Probleme mit Petya damit noch nicht. Sobald dieser Virus in das System eindringt, versucht er, die Windows-Boot-Dateien oder den sogenannten Boot-Assistenten zu überschreiben, der zum Booten des Betriebssystems erforderlich ist. Sie können den Petya-Virus nicht von Ihrem Computer entfernen, wenn Sie die Einstellungen des bootfähigen Master-Datensatzes (MBR) nicht wiederherstellen. Selbst wenn Sie es schaffen, diese Einstellungen zu korrigieren und den Virus von Ihrem System zu entfernen, bleiben Ihre Dateien leider verschlüsselt, da das Entfernen des Virus keine Dateien entschlüsselt, sondern nur die infizierten Dateien löscht. Natürlich ist die Entfernung von Viren unerlässlich, wenn Sie weiterhin mit Ihrem Computer arbeiten möchten

Auf Ihrem Windows-Computer verschlüsselt Petya MFT (Master File Table) fast sofort. Wofür ist diese Tabelle verantwortlich?

Stellen Sie sich vor, Ihre Festplatte ist die größte Bibliothek im gesamten Universum. Es enthält Milliarden von Büchern. Wie finden Sie das gewünschte Buch? Nur über den Bibliothekskatalog. Es ist dieses Verzeichnis, das Petya zerstört. Somit verlieren Sie jede Gelegenheit, irgendeine "Datei" auf Ihrem PC zu finden. Genauer gesagt, nachdem Petya "funktioniert" hat, ähnelt Ihre Computerfestplatte einer Bibliothek nach einem Tornado, in der Bücherfetzen überall herumfliegen.

Im Gegensatz zu Wanna Cry verschlüsselt Petya.A daher keine einzelnen Dateien, was eine beeindruckende Menge an Zeit verschwendet - es nimmt Ihnen einfach jede Chance, sie zu finden.

Wer hat den Petya-Virus erfunden?

Bei der Erstellung des Virus nutzte Petya einen Exploit ("Loch") im Windows-Betriebssystem namens "EternalBlue". Microsoft hat einen Patch veröffentlicht kb4012598(aus den früher veröffentlichten WannaCry-Tutorials haben wir bereits über dieses Update gesprochen, das diese Lücke "schließt".

Der Schöpfer von "Petya" konnte die Nachlässigkeit von Firmen- und Privatnutzern sinnvoll nutzen und damit Geld verdienen. Seine Identität ist noch unbekannt (und wird wahrscheinlich nicht bekannt sein)

Wie entfernt man den Petya-Virus?

Wie entferne ich den Petya.A-Virus von Ihrer Festplatte? Dies ist eine äußerst interessante Frage. Tatsache ist, dass, wenn der Virus Ihre Daten bereits blockiert hat, tatsächlich nichts zu löschen ist. Wenn Sie nicht vorhaben, die Ransomware zu bezahlen (was Sie nicht tun sollten) und in Zukunft nicht versuchen, Daten auf der Festplatte wiederherzustellen, müssen Sie nur die Festplatte formatieren und das Betriebssystem neu installieren. Danach ist von dem Virus keine Spur mehr zu sehen.

Wenn Sie vermuten, dass sich auf Ihrer Festplatte eine infizierte Datei befindet, scannen Sie Ihre Festplatte mit ESET Nod 32 Antivirus und führen Sie eine vollständige Systemprüfung durch. NOD 32 hat versichert, dass seine Signaturdatenbank bereits Informationen zu diesem Virus enthält.

Dekoder Petya.A

Petya.A verschlüsselt Ihre Daten mit einem sehr starken Verschlüsselungsalgorithmus. Im Moment gibt es keine Lösung, um die gesperrten Informationen zu entschlüsseln.

Zweifellos würden wir alle davon träumen, den wundersamen Entschlüsseler Petya.A zu bekommen, aber es gibt einfach keine solche Lösung. Der WannaCry-Virus hat vor einigen Monaten die Welt erreicht, aber es wurde kein Heilmittel gefunden, um die verschlüsselten Daten zu entschlüsseln.

Die einzige Option ist, wenn Sie zuvor Schattenkopien von Dateien hatten.

Wenn Sie also noch kein Opfer des Petya.A-Virus geworden sind, aktualisieren Sie Ihr Betriebssystem, installieren Sie ein Antivirenprogramm von ESET NOD 32. Wenn Sie immer noch die Kontrolle über Ihre Daten verloren haben, haben Sie mehrere Möglichkeiten.

Geld zahlen. Es macht keinen Sinn, dies zu tun! Experten haben bereits herausgefunden, dass der Ersteller des Virus keine Daten wiederherstellt und aufgrund der Verschlüsselungsmethode auch nicht wiederherstellen kann.

Versuchen Sie, den Virus vom Computer zu entfernen, und versuchen Sie, Ihre Dateien mit einer Schattenkopie wiederherzustellen (der Virus infiziert sie nicht).

Entfernen Sie die Festplatte aus Ihrem Gerät, legen Sie sie vorsichtig in den Schrank und warten Sie, bis der Decoder erscheint.

Formatieren der Festplatte und Installieren des Betriebssystems. Minus - alle Daten gehen verloren.

Petya.A und Android, iOS, Mac, Linux

Viele Benutzer machen sich Sorgen – „aber ob der Petya-Virus ihre Geräte mit Android und iOS infizieren kann. Ich werde mich beeilen, sie zu beruhigen – nein, das kann es nicht. Es ist nur für Windows-Benutzer bestimmt. Das gleiche gilt für Linux- und Mac-Fans - Sie können ruhig schlafen, nichts bedroht Sie.