Από πού προήλθε ο ιός; Από πού προέρχεται η Petya: Ο M.E doc έχει κατηγορηθεί για επίθεση χάκερ. Ποια είναι η Petya
Εταιρείες σε όλο τον κόσμο επλήγησαν από μια μαζική κυβερνοεπίθεση από κακόβουλο λογισμικό ηλεκτρονικού ταχυδρομείου την Τρίτη 27 Ιουνίου. Ο ιός κρυπτογραφεί τα δεδομένα των χρηστών σε σκληρούς δίσκους και εκβιάζει χρήματα σε bitcoin. Πολλοί άνθρωποι αποφάσισαν αμέσως ότι επρόκειτο για τον ιό Petya, που περιγράφηκε την άνοιξη του 2016, αλλά οι προμηθευτές antivirus πιστεύουν ότι η επίθεση οφειλόταν σε κάποιο άλλο, νέο κακόβουλο πρόγραμμα.
Μια ισχυρή επίθεση χάκερ το απόγευμα της 27ης Ιουνίου έπληξε πρώτα την Ουκρανία και στη συνέχεια πολλές μεγάλες ρωσικές και ξένες εταιρείες. Ο ιός, τον οποίο πολλοί έχουν μπερδέψει με τον περσινό Petya, εξαπλώνεται σε υπολογιστές με Windows μέσω ενός spam email με έναν σύνδεσμο που ανοίγει ένα παράθυρο ζητώντας δικαιώματα διαχειριστή. Εάν ο χρήστης επιτρέπει στο πρόγραμμα να έχει πρόσβαση στον υπολογιστή του, τότε ο ιός αρχίζει να απαιτεί χρήματα από τον χρήστη - 300 $ σε bitcoins και το ποσό διπλασιάζεται μετά από κάποιο χρονικό διάστημα.
Ο ιός Petya, που ανακαλύφθηκε στις αρχές του 2016, εξαπλώθηκε με τον ίδιο ακριβώς τρόπο, οπότε πολλοί χρήστες υπέθεσαν ότι αυτό ήταν. Αλλά ειδικοί από εταιρείες λογισμικού προστασίας από ιούς έχουν ήδη δηλώσει ότι κάποιος άλλος, εντελώς νέος ιός, τον οποίο θα μελετήσουν ακόμη, ευθύνεται για την επίθεση. Οι ειδικοί της Kaspersky Lab έχουν ήδη έδωσεάγνωστο όνομα ιού - NotPetya.
Σύμφωνα με τα προκαταρκτικά μας δεδομένα, δεν πρόκειται για ιό Petya, όπως αναφέρθηκε προηγουμένως, αλλά για ένα νέο κακόβουλο λογισμικό άγνωστο σε εμάς. Ως εκ τούτου, το ονομάσαμε NotPetya.
Θα υπάρχουν δύο πεδία κειμένου με τίτλο Base64 κωδικοποιημένα 512 byte δεδομένα επαλήθευσης και Base64 κωδικοποιημένα 8 byte nonce. Για να λάβετε το κλειδί, πρέπει να εισαγάγετε τα δεδομένα που εξήχθησαν από το πρόγραμμα σε αυτά τα δύο πεδία.
Το πρόγραμμα θα εκδώσει κωδικό πρόσβασης. Θα χρειαστεί να εισαχθεί εισάγοντας το δίσκο και βλέποντας το παράθυρο του ιού.
Θύματα κυβερνοεπιθέσεων
Οι ουκρανικές εταιρείες υπέφεραν τα περισσότερα από τον άγνωστο ιό. Οι υπολογιστές του αεροδρομίου Boryspil, η ουκρανική κυβέρνηση, τα καταστήματα, οι τράπεζες, τα μέσα ενημέρωσης και οι εταιρείες τηλεπικοινωνιών μολύνθηκαν. Μετά από αυτό, ο ιός έφτασε στη Ρωσία. Τα θύματα της επίθεσης ήταν οι Rosneft, Bashneft, Mondelеz International, Mars, Nivea.
Ακόμη και ορισμένοι ξένοι οργανισμοί ανέφεραν προβλήματα με συστήματα πληροφορικής λόγω του ιού: η βρετανική διαφημιστική εταιρεία WPP, η αμερικανική φαρμακευτική εταιρεία Merck & Co, η μεγάλη δανική εταιρεία μεταφοράς εμπορευμάτων Maersk και άλλοι. Ο Kostin Raiu, επικεφαλής της διεθνούς ερευνητικής ομάδας της Kaspersky Lab, έγραψε σχετικά στο Twitter.
Παραλλαγή ransomware Petrwrap / Petya με επαφή [email προστατευμένο]εξαπλωθεί σε όλο τον κόσμο, μεγάλος αριθμός χωρών που επηρεάζονται.
Σύμφωνα με την Positive Technologies, πάνω από 80 οργανισμοί στη Ρωσία και την Ουκρανία επηρεάστηκαν από τις ενέργειες του Petya. Σε σύγκριση με το WannaCry, αυτός ο ιός αναγνωρίζεται ως πιο καταστροφικός, καθώς εξαπλώνεται μέσω πολλών μεθόδων - χρησιμοποιώντας τα Windows Management Instrumentation, το PsExec και την εκμετάλλευση EternalBlue. Επιπλέον, το δωρεάν βοηθητικό πρόγραμμα Mimikatz είναι ενσωματωμένο στο ransomware.
"Αυτό το σύνολο εργαλείων επιτρέπει στο Petya να παραμένει λειτουργικό ακόμη και σε εκείνες τις υποδομές όπου ελήφθη υπόψη το μάθημα WannaCry και εγκαταστάθηκαν οι αντίστοιχες ενημερώσεις ασφαλείας, γι' αυτό το ransomware κρυπτογράφησης είναι τόσο αποτελεσματικό", δήλωσε η Positive Technologies.
Ο Elmar Nabigayev, επικεφαλής του τμήματος αντιμετώπισης απειλών για την ασφάλεια πληροφοριών της εταιρείας, δήλωσε στη Gazeta.Ru,
αν μιλάμε για τους λόγους της τρέχουσας κατάστασης, τότε το πρόβλημα είναι και πάλι σε μια απρόσεκτη στάση απέναντι στα προβλήματα της ασφάλειας των πληροφοριών.
Ο επικεφαλής του εργαστηρίου ιών Avast, Jakub Kroustek, δήλωσε στη Gazeta.Ru ότι είναι αδύνατο να εξακριβωθεί με βεβαιότητα ποιος ακριβώς βρίσκεται πίσω από αυτήν την επίθεση στον κυβερνοχώρο, αλλά είναι ήδη γνωστό ότι ο ιός Petya εξαπλώνεται στο σκοτεινό δίκτυο σύμφωνα με το επιχειρηματικό μοντέλο RaaS. (κακόβουλο λογισμικό ως υπηρεσία).
«Έτσι, το μερίδιο των διανομέων του προγράμματος φτάνει το 85% των λύτρων, το 15% πηγαίνει στους δημιουργούς του ιού ransomware», δήλωσε ο Kroustek. Σημείωσε ότι οι συντάκτες του Petya παρέχουν όλη την υποδομή, διακομιστές C&C και συστήματα μεταφοράς χρημάτων, τα οποία βοηθούν στην προσέλκυση ανθρώπων να διαδώσουν τον ιό, ακόμη κι αν δεν έχουν εμπειρία προγραμματισμού.
Επιπλέον, η Avast είπε ποια λειτουργικά συστήματα επηρεάστηκαν περισσότερο από τον ιό.
Τα Windows 7 κατέλαβαν την πρώτη θέση - 78% όλων των μολυσμένων υπολογιστών. Ακολουθούν τα Windows XP (18%), τα Windows 10 (6%) και τα Windows 8.1 (2%).
Η Kaspersky Lab θεώρησε ότι αν και ο ιός είναι παρόμοιος με την οικογένεια Petya, εξακολουθεί να ανήκει σε διαφορετική κατηγορία και του έδωσε ένα διαφορετικό όνομα - ExPetr, δηλαδή "πρώην Peter".
Ο Ντμίτρι Χομούτοφ, Αναπληρωτής Διευθυντής Ανάπτυξης στην Aydeko, εξήγησε στον ανταποκριτή της Gazeta.Ru ότι οι κυβερνοεπιθέσεις από τους ιούς WannaCry και Petya οδήγησαν σε αυτό για το οποίο είχε προειδοποιήσει εδώ και πολύ καιρό, δηλαδή στην παγκόσμια ευπάθεια των συστημάτων πληροφοριών που χρησιμοποιούνται. παντού.
«Τα κενά που άφησαν οι αμερικανικές εταιρείες για τις υπηρεσίες πληροφοριών έγιναν διαθέσιμα στους χάκερ και γρήγορα διασταυρώθηκαν με το παραδοσιακό οπλοστάσιο των εγκληματιών του κυβερνοχώρου - ransomware, πελάτες botnet και σκουλήκια δικτύου», είπε ο Khomutov.
Έτσι, το WannaCry δεν δίδαξε στην παγκόσμια κοινότητα σχεδόν τίποτα - οι υπολογιστές παρέμειναν απροστάτευτοι, τα συστήματα δεν ενημερώθηκαν και οι προσπάθειες για την έκδοση ενημερώσεων κώδικα ακόμα και για παλιά συστήματα απλώς χάθηκαν.
Οι ειδικοί προτρέπουν να μην πληρώσουν τα απαιτούμενα λύτρα σε bitcoin, καθώς η ταχυδρομική διεύθυνση που άφησαν οι χάκερ για επικοινωνία μπλοκαρίστηκε από τοπικό πάροχο. Έτσι, ακόμη και στην περίπτωση «τίμιων και καλών προθέσεων» των εγκληματιών του κυβερνοχώρου, ο χρήστης όχι μόνο θα χάσει χρήματα, αλλά δεν θα λάβει οδηγίες για να ξεκλειδώσει τα δεδομένα του.
Ο Petya έβλαψε περισσότερο την Ουκρανία. Μεταξύ των θυμάτων ήταν οι Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, οι ουκρανικές εταιρείες κινητής τηλεφωνίας Kyivstar, LifeCell και Ukrtelecom, το κατάστημα Auchan, η Privatbank, το αεροδρόμιο Boryspil και άλλοι.
Οι ουκρανικές αρχές κατηγόρησαν αμέσως τη Ρωσία για την κυβερνοεπίθεση.
«Ο πόλεμος στον κυβερνοχώρο, σπέρνοντας φόβο και φρίκη σε εκατομμύρια χρήστες προσωπικών υπολογιστών και προκαλώντας άμεσες υλικές ζημιές λόγω της αποσταθεροποίησης επιχειρήσεων και κυβερνητικών υπηρεσιών, είναι μέρος της συνολικής στρατηγικής του υβριδικού πολέμου της ρωσικής αυτοκρατορίας εναντίον της Ουκρανίας», είπε. βουλευτής του Λαϊκού Μετώπου».
Η Ουκρανία μπορεί να έχει πληγεί περισσότερο από την αρχική εξάπλωση του Petya μέσω της αυτόματης ενημέρωσης του M.E.doc, ενός λογιστικού λογισμικού. Έτσι μολύνθηκαν τα ουκρανικά τμήματα, οι εγκαταστάσεις υποδομής και οι εμπορικές εταιρείες - όλοι χρησιμοποιούν αυτήν την υπηρεσία.
Η υπηρεσία Τύπου της ESET Ρωσίας εξήγησε στη Gazeta.Ru ότι ένας ευάλωτος υπολογιστής χωρίς ενημερώσεις ασφαλείας είναι αρκετός για να μολύνει ένα εταιρικό δίκτυο με τον ιό Petya. Με τη βοήθειά του, το κακόβουλο πρόγραμμα μπαίνει στο δίκτυο, αποκτά δικαιώματα διαχειριστή και εξαπλώνεται σε άλλες συσκευές.
Ωστόσο, το M.E.doc βγήκε με επίσημη διάψευση αυτής της εκδοχής.
«Η συζήτηση για την προέλευση και την εξάπλωση των επιθέσεων στον κυβερνοχώρο διεξάγεται ενεργά από χρήστες σε κοινωνικά δίκτυα, φόρουμ και άλλους πόρους πληροφοριών, στη διατύπωση των οποίων ένας από τους λόγους υποδηλώνει την εγκατάσταση ενημερώσεων στο πρόγραμμα M.E.Doc. Η ομάδα ανάπτυξης του M.E.Doc αρνείται αυτές τις πληροφορίες και δηλώνει ότι τέτοια συμπεράσματα είναι σίγουρα λανθασμένα, επειδή ο προγραμματιστής του M.E.Doc, ως υπεύθυνος προμηθευτής ενός προϊόντος λογισμικού, παρακολουθεί την ασφάλεια και την καθαρότητα του δικού του κώδικα "- είπε στο
Μια σειρά από ρωσικές και ουκρανικές εταιρείες δέχθηκαν επίθεση από τον ιό ransomware Petya. Η έκδοση δικτύου του ιστότοπου μίλησε με ειδικούς από το Kaspersky Lab, το διαδραστικό πρακτορείο AGIMA και ανακάλυψε πώς να προστατεύει τους εταιρικούς υπολογιστές από τον ιό και πώς το Petya είναι παρόμοιο με τον εξίσου γνωστό ιό ransomware WannaCry.
Ιός Petya
Στη Ρωσία, οι εταιρείες Rosneft, Bashneft, Mars, Nivea και ο κατασκευαστής σοκολάτας Alpen Gold Mondelez International. Ένα σύστημα παρακολούθησης της ακτινοβολίας ιού ransomware του πυρηνικού σταθμού του Τσερνομπίλ. Επιπλέον, η επίθεση επηρέασε τους υπολογιστές της ουκρανικής κυβέρνησης, της Privatbank και των τηλεπικοινωνιακών φορέων. Ο ιός μπλοκάρει τους υπολογιστές και απαιτεί λύτρα 300 δολαρίων σε bitcoins.
Σε μικρομπλόγκ στο Twitter, η υπηρεσία Τύπου της Rosneft έκανε λόγο για επίθεση χάκερ στους διακομιστές της εταιρείας. "Μια ισχυρή επίθεση χάκερ πραγματοποιήθηκε στους διακομιστές της εταιρείας. Ελπίζουμε ότι αυτό δεν έχει καμία σχέση με τις τρέχουσες δικαστικές διαδικασίες. Στην πραγματικότητα, η εταιρεία στράφηκε στις αρχές επιβολής του νόμου σε σχέση με την κυβερνοεπίθεση", αναφέρει το μήνυμα.
Σύμφωνα με τον γραμματέα Τύπου της εταιρείας Μιχαήλ Λεοντίεφ, η Rosneft και οι θυγατρικές της λειτουργούν κανονικά. Μετά την επίθεση, η εταιρεία πέρασε σε εφεδρικό σύστημα ελέγχου για τις παραγωγικές διαδικασίες, ώστε να μην σταματήσει η παραγωγή και η επεξεργασία του λαδιού. Επίθεση δέχθηκε και το τραπεζικό σύστημα Home Credit.
Το "Petya" δεν μολύνει χωρίς τον "Misha"
Σύμφωνα με Εκτελεστικός Διευθυντής της AGIMA Evgeny Lobanova, στην πραγματικότητα, η επίθεση πραγματοποιήθηκε από δύο ιούς ransomware: τον Petya και τον Misha.
"Δουλεύουν παράλληλα. Ο Petya δεν μολύνει χωρίς τον Misha. Μπορεί να μολύνει, αλλά η χθεσινή επίθεση ήταν δύο ιοί: πρώτα ο Petya, μετά ο Misha. Ο Petya ξαναγράφει τη συσκευή εκκίνησης (από όπου ξεκινά ο υπολογιστής) και ο Misha - κρυπτογραφεί αρχεία σύμφωνα με ένας συγκεκριμένος αλγόριθμος, - εξήγησε ο ειδικός. - Ο Petya κρυπτογραφεί τον τομέα εκκίνησης του δίσκου (MBR) και τον αντικαθιστά με τον δικό του, ο Misha κρυπτογραφεί ήδη όλα τα αρχεία στο δίσκο (όχι πάντα).
Σημείωσε ότι ο ιός ransomware WannaCry που επιτέθηκε σε μεγάλες παγκόσμιες εταιρείες τον Μάιο του τρέχοντος έτους δεν μοιάζει με το Petya, είναι μια νέα έκδοση.
"Το Petya.A είναι από την οικογένεια WannaCry (ή μάλλον WannaCrypt), αλλά η κύρια διαφορά είναι γιατί δεν είναι ο ίδιος ιός, είναι ότι το MBR αντικαθίσταται από τον δικό του τομέα εκκίνησης - αυτό είναι μια καινοτομία για το Ransomware. Το Petya ιός εμφανίστηκε πριν από πολύ καιρό, στο GitHab (μια ηλεκτρονική υπηρεσία για έργα πληροφορικής και κοινό προγραμματισμό - ιστότοπος) https://github.com/leo-stone/hack-petya "target =" _blank"> υπήρχε ένας αποκρυπτογραφητής για αυτό encryptor, αλλά κανένας αποκρυπτογραφητής δεν είναι κατάλληλος για τη νέα τροποποίηση.
Ο Yevgeny Lobanov τόνισε ότι η επίθεση έπληξε την Ουκρανία πιο σκληρά από τη Ρωσία.
"Είμαστε πιο επιρρεπείς σε επιθέσεις από άλλες δυτικές χώρες. Θα προστατευτούμε από αυτήν την έκδοση του ιού, αλλά δεν θα προστατευτούμε από τις τροποποιήσεις του. Το Διαδίκτυό μας δεν είναι ασφαλές, στην Ουκρανία είναι ακόμη λιγότερο. Βασικά, οι εταιρείες μεταφορών, τράπεζες, εταιρείες κινητής τηλεφωνίας ( Vodafone, Kyivstar) και ιατρικές εταιρείες, τα ίδια πρατήρια καυσίμων Farmmag, Shell - όλα πολύ μεγάλες διηπειρωτικές εταιρείες», είπε σε συνέντευξή του στο site.
Ο εκτελεστικός διευθυντής του AGIMA σημείωσε ότι μέχρι στιγμής δεν υπάρχουν στοιχεία που να υποδεικνύουν τη γεωγραφική θέση του διανομέα του ιού. Κατά τη γνώμη του, ο ιός προέρχεται πιθανώς από τη Ρωσία. Δυστυχώς, δεν υπάρχει άμεση απόδειξη γι' αυτό.
"Υπάρχει μια υπόθεση ότι αυτοί είναι οι χάκερ μας, αφού η πρώτη τροποποίηση εμφανίστηκε στη Ρωσία και ο ίδιος ο ιός, που δεν είναι μυστικό για κανέναν, ονομάστηκε από τον Πέτρο Ποροσένκο. Ήταν μια ανάπτυξη Ρώσων χάκερ, αλλά ποιος τον άλλαξε περαιτέρω - Είναι δύσκολο να πούμε. ότι ακόμη και στη Ρωσία, είναι εύκολο να αποκτήσεις έναν υπολογιστή με γεωγραφική θέση στις Ηνωμένες Πολιτείες, για παράδειγμα», εξήγησε ο ειδικός.
"Εάν ο υπολογιστής σας μολυνθεί ξαφνικά, δεν μπορείτε να απενεργοποιήσετε τον υπολογιστή. Εάν κάνετε επανεκκίνηση, δεν θα εισέλθετε ποτέ ξανά στο σύστημα."
"Εάν ένας υπολογιστής μολυνθεί ξαφνικά, δεν μπορείτε να απενεργοποιήσετε τον υπολογιστή, επειδή ο ιός Petya αντικαθιστά τον MBR - τον πρώτο τομέα εκκίνησης από τον οποίο φορτώνεται το λειτουργικό σύστημα. Εάν κάνετε επανεκκίνηση, δεν θα μπείτε ποτέ ξανά στο σύστημα. tablet "it θα είναι αδύνατη η επιστροφή των δεδομένων. Στη συνέχεια, πρέπει να αποσυνδεθείτε αμέσως από το Διαδίκτυο για να μην συνδεθεί ο υπολογιστής στο διαδίκτυο. Έχει ήδη κυκλοφορήσει μια επίσημη ενημέρωση κώδικα από τη Microsoft, παρέχει εγγύηση ασφαλείας 98 τοις εκατό. Δυστυχώς, όχι ακόμη 100 Τοις εκατό. Μια ορισμένη τροποποίηση του ιού (τα τρία κομμάτια τους), παρακάμπτει μέχρι στιγμής», συνέστησε ο Lobanov. - Ωστόσο, εάν παρόλα αυτά επανεκκινήσατε και είδατε την έναρξη της διαδικασίας "έλεγχος δίσκου", αυτή τη στιγμή πρέπει να απενεργοποιήσετε αμέσως τον υπολογιστή σας και τα αρχεία θα παραμείνουν μη κρυπτογραφημένα..
Επιπλέον, ο ειδικός μίλησε επίσης για το γιατί οι χρήστες της Microsoft δέχονται τις περισσότερες επιθέσεις και όχι τα συστήματα MacOSX (λειτουργικό σύστημα - ιστότοπος της Apple) και Unix.
"Εδώ είναι πιο σωστό να μιλάμε όχι μόνο για το MacOSX, αλλά και για όλα τα συστήματα unix (η αρχή είναι η ίδια). Ο ιός εξαπλώνεται μόνο σε υπολογιστές, χωρίς κινητές συσκευές. Η επίθεση επηρεάζει το λειτουργικό σύστημα Windows και απειλεί μόνο αυτούς τους χρήστες που έχουν απενεργοποιήσει τη λειτουργία αυτόματης ενημέρωσης συστήματος. Ενημερώσεις κατ' εξαίρεση, είναι διαθέσιμες ακόμη και για κατόχους παλαιότερων εκδόσεων των Windows που δεν είναι πλέον ενημερωμένες: XP, Windows 8 και Windows Server 2003», είπε ο ειδικός.
"Το MacOSX και το Unix δεν εκτίθενται παγκοσμίως σε τέτοιους ιούς, επειδή πολλές μεγάλες εταιρείες χρησιμοποιούν την υποδομή της Microsoft. Το MacOSX δεν είναι ευαίσθητο, επειδή δεν είναι τόσο διαδεδομένο στις κρατικές υπηρεσίες. επιτεθείτε στη Microsoft ", κατέληξε ο ειδικός.
«Ο αριθμός των χρηστών που δέχθηκαν επίθεση έφτασε τις δύο χιλιάδες»
Στην υπηρεσία Τύπου της Kaspersky Lab, οι ειδικοί της οποίας συνεχίζουν να ερευνούν το τελευταίο κύμα μολύνσεων, ανέφεραν ότι "αυτό το ransomware δεν ανήκει στην ήδη γνωστή οικογένεια ransomware Petya, αν και έχει πολλές κοινές γραμμές κώδικα με αυτό."
Το Εργαστήριο είναι βέβαιο ότι σε αυτή την περίπτωση μιλάμε για μια νέα οικογένεια κακόβουλου λογισμικού με λειτουργικότητα σημαντικά διαφορετική από την Petya. Η Kaspersky Lab ονόμασε το νέο ransomware ExPetr.
«Σύμφωνα με την Kaspersky Lab, ο αριθμός των χρηστών που δέχθηκαν επίθεση έφτασε τις δύο χιλιάδες. Τα περισσότερα περιστατικά καταγράφηκαν στη Ρωσία και την Ουκρανία, καθώς και κρούσματα μόλυνσης στην Πολωνία, την Ιταλία, τη Μεγάλη Βρετανία, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες. Προς το παρόν, οι ειδικοί μας προτείνουν ότι το κακόβουλο λογισμικό χρησιμοποιούσε πολλούς φορείς επίθεσης. Διαπιστώθηκε ότι ένα τροποποιημένο exploit EternalBlue και ένα exploit EternalRomance χρησιμοποιήθηκαν για εξάπλωση σε εταιρικά δίκτυα ", ανέφερε η υπηρεσία Τύπου.
Οι ειδικοί διερευνούν επίσης τη δυνατότητα δημιουργίας ενός εργαλείου αποκωδικοποιητή που θα μπορούσε να χρησιμοποιηθεί για την αποκρυπτογράφηση των δεδομένων. Το Εργαστήριο έκανε επίσης συστάσεις σε όλους τους οργανισμούς για την αποφυγή επίθεσης ιού στο μέλλον.
"Συνιστούμε στους οργανισμούς να εγκαταστήσουν ενημερώσεις των Windows. Τα Windows XP και τα Windows 7 θα πρέπει να εγκαταστήσουν την ενημερωμένη έκδοση ασφαλείας MS17-010 και να διασφαλίσουν ότι διαθέτουν ένα αποτελεσματικό σύστημα δημιουργίας αντιγράφων ασφαλείας. Τα έγκαιρα και ασφαλή αντίγραφα ασφαλείας σας επιτρέπουν να επαναφέρετε τα αρχικά αρχεία, ακόμη και αν ήταν κρυπτογραφημένα από κακόβουλο λογισμικό », συμβουλεύουν οι ειδικοί της Kaspersky Lab.
Το Εργαστήριο συνιστά επίσης στους εταιρικούς πελάτες του να βεβαιωθούν ότι είναι ενεργοποιημένοι όλοι οι μηχανισμοί προστασίας, ιδίως ότι είναι συνδεδεμένοι με την υποδομή cloud του Kaspersky Security Network. Ως πρόσθετο μέτρο, συνιστάται η χρήση του στοιχείου Application Privilege Control για να αρνηθεί την πρόσβαση σε όλες τις ομάδες εφαρμογών εκτέλεση) ένα αρχείο με το όνομα "perfc.dat", κ.λπ.
"Εάν δεν χρησιμοποιείτε προϊόντα της Kaspersky Lab, συνιστούμε να αποκλείσετε την εκτέλεση του αρχείου με το όνομα perfc.dat, καθώς και να αποκλείσετε την εκκίνηση του βοηθητικού προγράμματος PSExec από το πακέτο Sysinternals χρησιμοποιώντας τη λειτουργία AppLocker που περιλαμβάνεται στο λειτουργικό σύστημα (λειτουργικό σύστημα - ιστότοπος ) Παράθυρα», συνιστάται στο εργαστήριο.
Στις 12 Μαΐου 2017, πολλοί - ένας κρυπτογραφητής δεδομένων σε σκληρούς δίσκους υπολογιστών. Κλειδώνει τη συσκευή και απαιτεί να πληρώσει τα λύτρα.
Ο ιός επηρέασε οργανισμούς και τμήματα σε δεκάδες χώρες σε όλο τον κόσμο, συμπεριλαμβανομένης της Ρωσίας, όπου δέχθηκαν επίθεση το Υπουργείο Υγείας, το Υπουργείο Έκτακτης Ανάγκης, το Υπουργείο Εσωτερικών, οι διακομιστές κινητής τηλεφωνίας και πολλές μεγάλες τράπεζες.Η εξάπλωση του ιού σταμάτησε τυχαία και προσωρινά: εάν οι χάκερ αλλάξουν μερικές μόνο γραμμές κώδικα, το κακόβουλο λογισμικό θα αρχίσει να λειτουργεί ξανά. Η ζημιά από το πρόγραμμα υπολογίζεται σε 1 δισεκατομμύριο δολάρια. Μετά από μια γλωσσολογική εγκληματολογική ανάλυση, οι ειδικοί διαπίστωσαν ότι το WannaCry δημιουργήθηκε από μετανάστες από την Κίνα ή τη Σιγκαπούρη.
Όλος ο κόσμος έρχεται με προστασία από τον νέο ιό, αν και σέρνεται από τις ίδιες «τρύπες» με το WannaCry
Μετά την εξάπλωση του ransomware WannaCry, οι υπολογιστές σε όλο τον κόσμο δέχθηκαν ξανά κυβερνοεπιθέσεις. Ο ιός Petya έχει επηρεάσει συσκευές σε διάφορες χώρες της Ευρώπης και των Ηνωμένων Πολιτειών. Ωστόσο, οι περισσότερες ζημιές σημειώθηκαν σε υπολογιστές στη Ρωσία και την Ουκρανία, όπου επλήγησαν περίπου 80 εταιρείες. Ο ιός ransomware απαιτούσε χρήματα ή κρυπτονομίσματα από τους κατόχους των υπολογιστών που επηρεάζονταν, αλλά οι ειδικοί στον κυβερνοχώρο βρήκαν έναν τρόπο να μην πέφτουν στα χέρια των απατεώνων. Σχετικά με το ποιος είναι ο Petya και πώς να αποφύγετε να τον συναντήσετε - στο υλικό του Realnoe Vremya.
Θύματα του Petit: από τη Rosneft στον πυρηνικό σταθμό του Τσερνομπίλ
Η μαζική εξάπλωση του ιού Petya ξεκίνησε στις 27 Ιουνίου. Η Ουκρανία ήταν η πρώτη που υπέφερε: υπολογιστές μεγάλων ενεργειακών εταιρειών - Ukrenergo, DTEK και Kyivenergo δέχθηκαν επίθεση, ανέφεραν τοπικά μέσα ενημέρωσης. Ένας υπάλληλος μιας από τις εταιρείες είπε στους δημοσιογράφους ότι το πρωί της 27ης Ιουνίου, ο υπολογιστής της εργασίας του επανεκκινήθηκε, μετά την οποία το σύστημα φέρεται να άρχισε να ελέγχει τον σκληρό δίσκο. Μετά είδε ότι το ίδιο συμβαίνει σε όλους τους υπολογιστές του γραφείου. Έκλεισε τον υπολογιστή, αλλά μετά την ενεργοποίηση της συσκευής εμφανίστηκε στην οθόνη ένα μήνυμα λύτρων. Ο ιός επηρέασε επίσης τους υπολογιστές ορισμένων ουκρανικών τραπεζών, το Υπουργείο Οικονομικών της Ουκρανίας, το Υπουργικό Συμβούλιο, την εταιρεία Ukrtelecom και το αεροδρόμιο Boryspil.
Ο Petya επιτέθηκε επίσης στο σύστημα υπολογιστή για την παρακολούθηση της ακτινοβολίας υποβάθρου στον πυρηνικό σταθμό του Τσερνομπίλ. Ταυτόχρονα, όλα τα συστήματα του σταθμού λειτούργησαν κανονικά και το υπόβαθρο ακτινοβολίας δεν ξεπερνά το έλεγχο, αναφέρει η Meduza. Το βράδυ της 27ης Ιουνίου, στην επίσημη σελίδα του Υπουργείου Εσωτερικών της Ουκρανίας στο Facebook έφεσησε κατοίκους της χώρας με σύσταση να απενεργοποιήσουν τους υπολογιστές μέχρι να αναπτυχθεί τρόπος καταπολέμησης του ιού.
Στη Ρωσία, οι διακομιστές της Rosneft δέχθηκαν επίθεση από τον ιό ransomware Petya. Ο εκπρόσωπος της Rosneft Μιχαήλ Λεοντίεφ είδε τη σχέση μεταξύ των επιθέσεων χάκερ του ιού Petya και της αξίωσης της εταιρείας κατά της AFK Sistema. Στον αέρα του Business FM, χαρακτήρισε ορθολογική την απόπειρα χρήσης ιού για την καταστροφή δεδομένων σχετικά με τη διαχείριση της Bashneft. Καταγράφηκαν μεμονωμένες περιπτώσεις μόλυνσης αντικειμένων πληροφορικής υποδομής του ρωσικού τραπεζικού συστήματος. Η Home Credit Bank σταμάτησε να εκτελεί λειτουργίες λόγω επιθέσεων στον κυβερνοχώρο, ενώ διακόπηκε και η εργασία της ιστοσελίδας του πιστωτικού ιδρύματος. Τα υποκαταστήματα λειτουργούσαν μόνο με συμβουλευτικό τρόπο, ενώ τα ΑΤΜ λειτουργούσαν κανονικά, αναφέρει το Interfax.
Στις 28 Ιουνίου, τα μέσα ενημέρωσης ανέφεραν επίσης επίθεση σε υπολογιστές στο Ηνωμένο Βασίλειο, την Ολλανδία, τη Δανία, την Ισπανία, την Ινδία, τη Λιθουανία, τη Γαλλία και τις Ηνωμένες Πολιτείες.
Ο Μιχαήλ Λεοντίεφ είδε τη σύνδεση μεταξύ των επιθέσεων χάκερ του ιού Petya και της αγωγής κατά της AFK Sistema. Φωτογραφία polit.ru
Η προστασία από το WannaCry είναι ανίσχυρη ενάντια στο "Petit"
Ο τρόπος λειτουργίας του Petya βασίζεται στην κρυπτογράφηση του Master Boot Record (MBR) του τομέα εκκίνησης του δίσκου. Αυτή η εγγραφή είναι ο πρώτος τομέας στον σκληρό δίσκο· περιέχει τον πίνακα διαμερισμάτων και το πρόγραμμα φόρτωσης που διαβάζει από αυτόν τον πίνακα πληροφορίες σχετικά με το διαμέρισμα από το οποίο θα εκκινήσει το σύστημα στον σκληρό δίσκο. Το αρχικό MBR αποθηκεύεται στον τομέα 0x22 του δίσκου και κρυπτογραφείται χρησιμοποιώντας μια λειτουργία XOR byte με 0x07. Ως αποτέλεσμα, οι πληροφορίες στον δίσκο του υπολογιστή θα αντικατασταθούν από τα δεδομένα του ιού, σύμφωνα με ειδικούς της Positive Technologies.
Μετά την εκκίνηση του κακόβουλου αρχείου, δημιουργείται μια εργασία επανεκκίνησης του υπολογιστή, με καθυστέρηση 1-2 ώρες. Εάν ο δίσκος κρυπτογραφήθηκε επιτυχώς μετά από επανεκκίνηση, εμφανίζεται ένα μήνυμα στην οθόνη με αίτημα να πληρώσετε λύτρα 300 $ (ή να τα δώσετε σε κρυπτονομίσματα) για να αποκτήσετε ένα κλειδί ξεκλειδώματος αρχείου. Παρεμπιπτόντως, η ταχυδρομική διεύθυνση που χρησιμοποιείται από το ransomware έχει ήδη αποκλειστεί, γεγονός που καθιστά τη μεταφορά χρημάτων άχρηστη.
Ο Petya εκμεταλλεύεται ένα exploit των Windows με την κωδική ονομασία EternalBlue. Το διαβόητο WannaCry εισέβαλε στους υπολογιστές χρησιμοποιώντας την ίδια ευπάθεια. Χάρη στο exploit, το Petya εξαπλώθηκε μέσω του Windows Management Instrumentation (ένα εργαλείο για κεντρική διαχείριση και παρακολούθηση διαφόρων τμημάτων της υποδομής υπολογιστή που εκτελείται στην πλατφόρμα των Windows) και PsExec (σας επιτρέπει να εκτελείτε διαδικασίες σε απομακρυσμένα συστήματα), αποκτώντας μέγιστα προνόμια στο ευάλωτο σύστημα. Αυτό επέτρεψε στον ιό να συνεχίσει να λειτουργεί ακόμα κι αν οι ενημερώσεις anti-WannaCry ήταν εγκατεστημένες στους υπολογιστές.
Εντολή Bootrec / fixMbr και εγγραφή στο Σημειωματάριο
Ο διάσημος Γάλλος χάκερ και προγραμματιστής λογισμικού Mathieu Suchet στο Twitter του
Ίσως γνωρίζετε ήδη την απειλή χάκερ που καταγράφηκε στις 27 Ιουνίου 2017 στις χώρες της Ρωσίας και της Ουκρανίας, οι οποίες υποβλήθηκαν σε επίθεση μεγάλης κλίμακας παρόμοια με το WannaCry. Ο ιός μπλοκάρει τους υπολογιστές και απαιτεί λύτρα σε bitcoin για την αποκρυπτογράφηση αρχείων. Συνολικά, περισσότερες από 80 εταιρείες και στις δύο χώρες επλήγησαν, συμπεριλαμβανομένων των ρωσικών Rosneft και Bashneft.
Ο ιός ransomware, όπως και ο περιβόητος WannaCry, έχει μπλοκάρει όλα τα δεδομένα υπολογιστών και απαιτεί να μεταφερθούν στους εγκληματίες λύτρα σε bitcoins, που ισοδυναμούν με $300. Αλλά σε αντίθεση με το Wanna Cry, το Petya δεν ασχολείται με την κρυπτογράφηση μεμονωμένων αρχείων - σχεδόν αμέσως "αφαιρεί" ολόκληρο τον σκληρό σας δίσκο.
Το σωστό όνομα για αυτόν τον ιό είναι Petya.A. Η αναφορά της ESET αποκαλύπτει ορισμένες από τις δυνατότητες του Diskcoder.C (γνωστός και ως ExPetr, PetrWrap, Petya ή NotPetya)
Σύμφωνα με τα στατιστικά όλων των θυμάτων, ο ιός εξαπλώθηκε σε μηνύματα ηλεκτρονικού ψαρέματος με μολυσμένα συνημμένα. Συνήθως μια επιστολή συνοδεύεται από αίτημα για άνοιγμα ενός εγγράφου κειμένου, αλλά όπως γνωρίζουμε η δεύτερη επέκταση αρχείου κείμενο.exeείναι κρυφό και η τελευταία επέκταση αρχείου έχει προτεραιότητα. Από προεπιλογή, το λειτουργικό σύστημα Windows δεν εμφανίζει επεκτάσεις αρχείων και μοιάζουν με αυτό:
Στην 8.1 στο παράθυρο του εξερευνητή (Προβολή \ Επιλογές φακέλου \ Αποεπιλέξτε το πλαίσιο ελέγχου Απόκρυψη επεκτάσεων για καταχωρημένους τύπους αρχείων)
Στο 7 στο παράθυρο του εξερευνητή (Alt \ Εργαλεία \ Επιλογές φακέλου \ Αποεπιλέξτε το πλαίσιο ελέγχου Απόκρυψη επεκτάσεων για καταχωρημένους τύπους αρχείων)
Και το χειρότερο είναι ότι οι χρήστες δεν ντρέπονται καν που έρχονται γράμματα από άγνωστους χρήστες και ζητούν να ανοίξουν ακατανόητα αρχεία.
Μετά το άνοιγμα του αρχείου, ο χρήστης βλέπει μια "μπλε οθόνη θανάτου".
Μετά την επανεκκίνηση, φαίνεται ότι εκκινείται το "Scan Disk", στην πραγματικότητα, ο ιός κρυπτογραφεί αρχεία.
Σε αντίθεση με άλλα ransomware, μόλις εκκινηθεί αυτός ο ιός, κάνει αμέσως επανεκκίνηση του υπολογιστή σας και όταν εκκινηθεί ξανά, εμφανίζεται ένα μήνυμα στην οθόνη: «ΜΗΝ ΑΠΕΝΕΡΓΟΠΟΙΗΣΕΤΕ ΤΟΝ Η/Υ ΣΑΣ! ΑΝ ΣΤΑΜΑΤΗΣΕΤΕ ΑΥΤΗ ΤΗ ΔΙΑΔΙΚΑΣΙΑ, ΜΠΟΡΕΙ ΝΑ ΚΑΤΑΣΤΡΕΨΕΤΕ ΟΛΑ ΤΑ ΔΕΔΟΜΕΝΑ ΣΑΣ! ΠΑΡΑΚΑΛΩ ΒΕΒΑΙΩΘΕΙΤΕ Ο ΥΠΟΛΟΓΙΣΤΗΣ ΣΑΣ ΕΙΝΑΙ ΣΥΝΔΕΔΕΜΕΝΟΣ ΣΤΟΝ ΦΟΡΤΙΣΤΗ!”. Αν και αυτό μπορεί να μοιάζει με σφάλμα συστήματος, στην πραγματικότητα, η Petya εκτελεί αθόρυβα κρυπτογράφηση σε λειτουργία μυστικότητας αυτή τη στιγμή. Εάν ο χρήστης προσπαθήσει να επανεκκινήσει το σύστημα ή να σταματήσει την κρυπτογράφηση αρχείων, εμφανίζεται ένας κόκκινος σκελετός που αναβοσβήνει στην οθόνη μαζί με το κείμενο "ΠΙΕΣΤΕ ΟΠΟΙΟΔΗΠΟΤΕ ΚΛΕΙΔΙ!". Τέλος, αφού πατήσετε το πλήκτρο, θα εμφανιστεί ένα νέο παράθυρο με το σημείωμα λύτρων. Σε αυτό το σημείωμα, το θύμα καλείται να πληρώσει 0,9 bitcoin, που είναι περίπου 400 $. Ωστόσο, αυτή είναι η τιμή για έναν μόνο υπολογιστή. Επομένως, για εταιρείες που διαθέτουν πολλούς υπολογιστές, το ποσό μπορεί να είναι χιλιάδες. Αυτό που επίσης διακρίνει αυτό το ransomware είναι ότι σας δίνει μια ολόκληρη εβδομάδα για να πληρώσετε τα λύτρα, αντί για τις συνηθισμένες 12-72 ώρες που δίνουν άλλοι ιοί αυτής της κατηγορίας.
Επιπλέον, τα προβλήματα με την Petya δεν σταματούν εκεί. Μόλις αυτός ο ιός εισέλθει στο σύστημα, θα προσπαθήσει να αντικαταστήσει τα αρχεία εκκίνησης των Windows ή τον λεγόμενο οδηγό εκκίνησης, ο οποίος απαιτείται για την εκκίνηση του λειτουργικού συστήματος. Δεν θα μπορείτε να αφαιρέσετε τον ιό Petya από τον υπολογιστή σας εάν δεν επαναφέρετε τις ρυθμίσεις της κύριας εγγραφής με δυνατότητα εκκίνησης (MBR). Ακόμα κι αν καταφέρετε να διορθώσετε αυτές τις ρυθμίσεις και να αφαιρέσετε τον ιό από το σύστημά σας, δυστυχώς, τα αρχεία σας θα παραμείνουν κρυπτογραφημένα, επειδή η κατάργηση του ιού δεν αποκρυπτογραφεί αρχεία, αλλά απλώς διαγράφει τα μολυσμένα αρχεία. Φυσικά, η αφαίρεση ιών είναι απαραίτητη εάν θέλετε να συνεχίσετε να εργάζεστε με τον υπολογιστή σας
Μόλις μπείτε στον υπολογιστή σας με Windows, ο Petya κρυπτογραφεί το MFT (Master File Table) σχεδόν αμέσως. Σε τι ευθύνεται αυτός ο πίνακας;
Φανταστείτε ότι ο σκληρός σας δίσκος είναι η μεγαλύτερη βιβλιοθήκη σε ολόκληρο το σύμπαν. Περιέχει δισεκατομμύρια βιβλία. Πώς βρίσκετε λοιπόν το βιβλίο που θέλετε; Χρησιμοποιώντας μόνο τον κατάλογο της βιβλιοθήκης. Είναι αυτός ο κατάλογος που καταστρέφει η Petya. Έτσι, χάνετε κάθε ευκαιρία να βρείτε οποιοδήποτε «αρχείο» στον υπολογιστή σας. Για να είμαστε πιο ακριβείς, αφού η Petya «δουλέψει» ο σκληρός δίσκος του υπολογιστή σας θα μοιάζει με βιβλιοθήκη μετά από ανεμοστρόβιλο, με υπολείμματα βιβλίων να πετούν παντού.
Έτσι, σε αντίθεση με το Wanna Cry, το Petya.A δεν κρυπτογραφεί μεμονωμένα αρχεία, χάνοντας έναν εντυπωσιακό χρόνο - απλώς αφαιρεί κάθε ευκαιρία που έχετε να τα βρείτε.
Ποιος δημιούργησε τον ιό Petya;
Κατά τη δημιουργία του ιού, ο Petya χρησιμοποίησε ένα exploit ("τρύπα") στο λειτουργικό σύστημα των Windows που ονομάζεται "EternalBlue". Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα kb4012598(από τα προηγούμενα σεμινάρια WannaCry που κυκλοφόρησαν, έχουμε ήδη μιλήσει για αυτήν την ενημέρωση, η οποία "κλείνει" αυτήν την τρύπα.
Ο δημιουργός του "Petya" μπόρεσε να χρησιμοποιήσει με σύνεση την απροσεξία εταιρικών και ιδιωτών χρηστών και να κερδίσει χρήματα από αυτό. Η ταυτότητά του είναι ακόμα άγνωστη (και είναι απίθανο να γίνει γνωστή)
Πώς να αφαιρέσετε τον ιό Petya;
Πώς να αφαιρέσετε τον ιό Petya.A από τον σκληρό σας δίσκο; Αυτή είναι μια εξαιρετικά ενδιαφέρουσα ερώτηση. Το γεγονός είναι ότι εάν ο ιός έχει ήδη μπλοκάρει τα δεδομένα σας, τότε, στην πραγματικότητα, δεν θα υπάρχει τίποτα για διαγραφή. Εάν δεν σκοπεύετε να πληρώσετε το ransomware (κάτι που δεν πρέπει να κάνετε) και δεν θα προσπαθήσετε να ανακτήσετε δεδομένα στο δίσκο στο μέλλον, πρέπει απλώς να μορφοποιήσετε το δίσκο και να εγκαταστήσετε ξανά το λειτουργικό σύστημα. Μετά από αυτό, δεν θα υπάρχει ίχνος του ιού.
Εάν υποψιάζεστε ότι υπάρχει ένα μολυσμένο αρχείο στο δίσκο σας, σαρώστε τον δίσκο σας με το πρόγραμμα προστασίας από ιούς ESET Nod 32 και εκτελέστε πλήρη σάρωση συστήματος. Το NOD 32 έχει διαβεβαιώσει ότι η βάση δεδομένων υπογραφών του περιέχει ήδη πληροφορίες σχετικά με αυτόν τον ιό.
Αποκωδικοποιητής Petya.A
Το Petya.A κρυπτογραφεί τα δεδομένα σας με έναν πολύ ισχυρό αλγόριθμο κρυπτογράφησης. Προς το παρόν, δεν υπάρχει λύση για την αποκρυπτογράφηση των κλειδωμένων πληροφοριών.
Αναμφίβολα, όλοι θα ονειρευόμασταν να αποκτήσουμε τον θαυματουργό αποκρυπτογραφητή Petya.A, αλλά απλά δεν υπάρχει τέτοια λύση. Ο ιός WannaCry έπληξε τον κόσμο πριν από λίγους μήνες, αλλά δεν βρέθηκε θεραπεία για την αποκρυπτογράφηση των δεδομένων που κρυπτογραφούσε.
Η μόνη επιλογή είναι εάν είχατε προηγουμένως σκιώδη αντίγραφα αρχείων.
Επομένως, εάν δεν έχετε γίνει ακόμη θύμα του ιού Petya.A - ενημερώστε το σύστημα του λειτουργικού σας συστήματος, εγκαταστήστε ένα πρόγραμμα προστασίας από ιούς από το ESET NOD 32. Εάν εξακολουθείτε να χάσετε τον έλεγχο των δεδομένων σας, τότε έχετε πολλούς τρόπους.
Πληρώστε χρήματα. Δεν έχει νόημα να το κάνεις αυτό!Οι ειδικοί έχουν ήδη ανακαλύψει ότι ο δημιουργός του ιού δεν επαναφέρει δεδομένα, ούτε μπορεί να ανακτήσει, δεδομένης της μεθόδου κρυπτογράφησης.
Προσπαθήστε να αφαιρέσετε τον ιό από τον υπολογιστή και προσπαθήστε να επαναφέρετε τα αρχεία σας χρησιμοποιώντας ένα σκιερό αντίγραφο (ο ιός δεν τα μολύνει)
Αφαιρέστε τον σκληρό δίσκο από τη συσκευή σας, τοποθετήστε τον προσεκτικά στο περίβλημα και περιμένετε να εμφανιστεί ο αποκωδικοποιητής.
Μορφοποίηση του δίσκου και εγκατάσταση του λειτουργικού συστήματος. Μείον - όλα τα δεδομένα θα χαθούν.
Petya.A και Android, iOS, Mac, Linux
Πολλοί χρήστες ανησυχούν - «αλλά αν ο ιός Petya μπορεί να μολύνει τις συσκευές τους με Android και iOS. Θα σπεύσω να τους ηρεμήσω - όχι, δεν μπορεί. Προορίζεται μόνο για χρήστες Windows. Το ίδιο ισχύει και για τους θαυμαστές Linux και Mac - μπορείτε να κοιμάστε ήσυχοι, τίποτα δεν σας απειλεί.