Πώς εισέρχεται ο ιός Petya στον υπολογιστή. Ποιος βρίσκεται πίσω από τη μαζική μόλυνση της Ουκρανίας. Η Βρετανία, οι ΗΠΑ και η Αυστραλία κατηγόρησαν επίσημα τη Ρωσία για διάδοση του NotPetya

Εταιρείες σε όλο τον κόσμο επλήγησαν από μια μαζική κυβερνοεπίθεση από κακόβουλο λογισμικό ηλεκτρονικού ταχυδρομείου την Τρίτη 27 Ιουνίου. Ο ιός κρυπτογραφεί τα δεδομένα των χρηστών σε σκληρούς δίσκους και εκβιάζει χρήματα σε bitcoin. Πολλοί άνθρωποι αποφάσισαν αμέσως ότι επρόκειτο για τον ιό Petya, που περιγράφηκε την άνοιξη του 2016, αλλά οι προμηθευτές antivirus πιστεύουν ότι η επίθεση οφειλόταν σε κάποιο άλλο, νέο κακόβουλο πρόγραμμα.

Μια ισχυρή επίθεση χάκερ το απόγευμα της 27ης Ιουνίου έπληξε πρώτα την Ουκρανία και στη συνέχεια πολλές μεγάλες ρωσικές και ξένες εταιρείες. Ο ιός, τον οποίο πολλοί έχουν μπερδέψει με τον περσινό Petya, εξαπλώνεται σε υπολογιστές με Windows μέσω ενός spam email με έναν σύνδεσμο που ανοίγει ένα παράθυρο ζητώντας δικαιώματα διαχειριστή. Εάν ο χρήστης επιτρέπει στο πρόγραμμα να έχει πρόσβαση στον υπολογιστή του, τότε ο ιός αρχίζει να απαιτεί χρήματα από τον χρήστη - 300 $ σε bitcoins και το ποσό διπλασιάζεται μετά από κάποιο χρονικό διάστημα.

Ο ιός Petya, που ανακαλύφθηκε στις αρχές του 2016, εξαπλώθηκε με τον ίδιο ακριβώς τρόπο, οπότε πολλοί χρήστες υπέθεσαν ότι αυτό ήταν. Αλλά ειδικοί από εταιρείες λογισμικού προστασίας από ιούς έχουν ήδη δηλώσει ότι κάποιος άλλος, εντελώς νέος ιός, τον οποίο θα μελετήσουν ακόμη, ευθύνεται για την επίθεση. Οι ειδικοί της Kaspersky Lab έχουν ήδη έδωσεάγνωστο όνομα ιού - NotPetya.

Σύμφωνα με τα προκαταρκτικά μας δεδομένα, δεν πρόκειται για ιό Petya, όπως αναφέρθηκε προηγουμένως, αλλά για ένα νέο κακόβουλο λογισμικό άγνωστο σε εμάς. Ως εκ τούτου, το ονομάσαμε NotPetya.

Θα υπάρχουν δύο πεδία κειμένου με τίτλο Base64 κωδικοποιημένα 512 byte δεδομένα επαλήθευσης και Base64 κωδικοποιημένα 8 byte nonce. Για να λάβετε το κλειδί, πρέπει να εισαγάγετε τα δεδομένα που εξήχθησαν από το πρόγραμμα σε αυτά τα δύο πεδία.

Το πρόγραμμα θα εκδώσει κωδικό πρόσβασης. Θα χρειαστεί να εισαχθεί εισάγοντας το δίσκο και βλέποντας το παράθυρο του ιού.

Θύματα κυβερνοεπιθέσεων

Οι ουκρανικές εταιρείες υπέφεραν τα περισσότερα από τον άγνωστο ιό. Οι υπολογιστές του αεροδρομίου Boryspil, η ουκρανική κυβέρνηση, τα καταστήματα, οι τράπεζες, τα μέσα ενημέρωσης και οι εταιρείες τηλεπικοινωνιών μολύνθηκαν. Μετά από αυτό, ο ιός έφτασε στη Ρωσία. Τα θύματα της επίθεσης ήταν οι Rosneft, Bashneft, Mondelеz International, Mars, Nivea.

Ακόμη και ορισμένοι ξένοι οργανισμοί ανέφεραν προβλήματα με συστήματα πληροφορικής λόγω του ιού: η βρετανική διαφημιστική εταιρεία WPP, η αμερικανική φαρμακευτική εταιρεία Merck & Co, η μεγάλη δανική εταιρεία μεταφοράς εμπορευμάτων Maersk και άλλοι. Ο Kostin Raiu, επικεφαλής της διεθνούς ερευνητικής ομάδας της Kaspersky Lab, έγραψε σχετικά στο Twitter.

Παραλλαγή ransomware Petrwrap / Petya με επαφή [email προστατευμένο]εξαπλωθεί σε όλο τον κόσμο, μεγάλος αριθμός χωρών που επηρεάζονται.

Η Βρετανία, οι ΗΠΑ και η Αυστραλία κατηγόρησαν επίσημα τη Ρωσία για διάδοση του NotPetya

Στις 15 Φεβρουαρίου 2018, το Υπουργείο Εξωτερικών του Ηνωμένου Βασιλείου εξέδωσε επίσημη δήλωση κατηγορώντας τη Ρωσία ότι οργάνωσε μια κυβερνοεπίθεση χρησιμοποιώντας τον ιό ransomware NotPetya.

Σύμφωνα με τις βρετανικές αρχές, η επίθεση έδειξε περαιτέρω περιφρόνηση για την κυριαρχία της Ουκρανίας και ως αποτέλεσμα αυτών των απερίσκεπτων ενεργειών, το έργο πολλών οργανώσεων σε όλη την Ευρώπη διαταράχθηκε, με αποτέλεσμα ζημίες πολλών εκατομμυρίων δολαρίων.

Το υπουργείο σημείωσε ότι το συμπέρασμα για τη συμμετοχή της ρωσικής κυβέρνησης και του Κρεμλίνου στην κυβερνοεπίθεση έγινε με βάση το πόρισμα του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου, το οποίο «είναι σχεδόν απολύτως πεπεισμένο ότι ο ρωσικός στρατός βρίσκεται πίσω. την επίθεση NotPetya." Η δήλωση ανέφερε ότι οι σύμμαχοί της δεν θα ανεχθούν κακόβουλη δραστηριότητα στον κυβερνοχώρο.

Σύμφωνα με τον Υπουργό Επιβολής του Νόμου και Κυβερνοασφάλειας της Αυστραλίας Angus Taylor, με βάση στοιχεία από αυστραλιανές υπηρεσίες πληροφοριών, καθώς και διαβουλεύσεις με τις Ηνωμένες Πολιτείες και τη Μεγάλη Βρετανία, η αυστραλιανή κυβέρνηση κατέληξε στο συμπέρασμα ότι οι επιτιθέμενοι που υποστηρίζονται από τη ρωσική κυβέρνηση ήταν υπεύθυνοι για το περιστατικό. «Η αυστραλιανή κυβέρνηση καταδικάζει τη συμπεριφορά της Ρωσίας, η οποία εγκυμονεί σοβαρούς κινδύνους για την παγκόσμια οικονομία, τις κυβερνητικές λειτουργίες και υπηρεσίες, τις επιχειρηματικές δραστηριότητες, καθώς και την ασφάλεια και την ευημερία των ατόμων», - προκύπτει από τη δήλωση.

Το Κρεμλίνο, το οποίο έχει επανειλημμένα αρνηθεί οποιαδήποτε ανάμειξη των ρωσικών αρχών στις επιθέσεις χάκερ, χαρακτήρισε τη δήλωση του βρετανικού υπουργείου Εξωτερικών μέρος μιας «ρωσοφοβικής εκστρατείας».

Μνημείο "Εδώ βρίσκεται ο ιός υπολογιστή Petya, νικημένος από ανθρώπους στις 27/06/2017"

Ένα μνημείο για τον ιό υπολογιστών Petya ανεγέρθηκε τον Δεκέμβριο του 2017 κοντά στο Τεχνικό Πάρκο Skolkovo. Ένα μνημείο ύψους δύο μέτρων με την επιγραφή: "Εδώ βρίσκεται ο ιός υπολογιστή Petya, νικημένος από ανθρώπους στις 27/06/2017." κατασκευασμένο σε μορφή δαγκωμένου σκληρού δίσκου, δημιουργήθηκε με την υποστήριξη της εταιρείας INVITRO, μεταξύ άλλων εταιρειών που υπέστησαν τις συνέπειες μιας μαζικής κυβερνοεπίθεσης. Ένα ρομπότ ονόματι Nu, που εργάζεται στο Phystech Park και (MIT), ήρθε στην τελετή για να εκφωνήσει μια ομιλία.

Επίθεση στην κυβέρνηση της Σεβαστούπολης

Ειδικοί της Κεντρικής Διεύθυνσης Πληροφορικής και Επικοινωνιών της Σεβαστούπολης απέκρουσαν με επιτυχία την επίθεση του ransomware δικτύου Petya στους διακομιστές της περιφερειακής κυβέρνησης. Ο Denis Timofeev, επικεφαλής του τμήματος πληροφόρησης, το ανακοίνωσε στις 17 Ιουλίου 2017 σε μια συνεδρίαση του μηχανισμού της κυβέρνησης της Σεβαστούπολης.

Δήλωσε ότι το κακόβουλο λογισμικό Petya δεν επηρέασε με κανέναν τρόπο τα δεδομένα που είναι αποθηκευμένα σε υπολογιστές σε κυβερνητικά γραφεία στη Σεβαστούπολη.

Η εστίαση στη χρήση του ελεύθερου λογισμικού καθορίζεται στην έννοια της πληροφορικής της Σεβαστούπολης, η οποία εγκρίθηκε το 2015. Αναφέρει ότι κατά την προμήθεια και ανάπτυξη βασικού λογισμικού, καθώς και λογισμικού για πληροφοριακά συστήματα για αυτοματοποίηση, είναι σκόπιμο να αναλυθεί η δυνατότητα χρήσης δωρεάν προϊόντων που θα μειώσουν το δημοσιονομικό κόστος και θα μειώσουν την εξάρτηση από προμηθευτές και προγραμματιστές.

Νωρίτερα, στα τέλη Ιουνίου, στο πλαίσιο μεγάλης επίθεσης στην ιατρική εταιρεία «Invitro», υπέστη και το υποκατάστημά της που βρίσκεται στη Σεβαστούπολη. Λόγω βλάβης ιού δικτύου υπολογιστών, το υποκατάστημα ανέστειλε προσωρινά την έκδοση των αποτελεσμάτων των εξετάσεων μέχρι να εξαλειφθούν τα αίτια.

Το «Invitro» ανακοίνωσε την αναστολή λήψης τεστ λόγω κυβερνοεπίθεσης

Η ιατρική εταιρεία «Invitro» ανέστειλε τη συλλογή βιοϋλικού και την έκδοση των αποτελεσμάτων των εξετάσεων ασθενών λόγω επίθεσης χάκερ στις 27 Ιουνίου. Ο διευθυντής εταιρικών επικοινωνιών της εταιρείας Anton Bulanov είπε στο RBC σχετικά.

Σύμφωνα με το μήνυμα της εταιρείας, στο άμεσο μέλλον, το «Invitro» θα τεθεί σε κανονική λειτουργία. Τα αποτελέσματα των μελετών που θα πραγματοποιηθούν μετά από αυτό το χρονικό διάστημα θα παραδοθούν στους ασθενείς μετά την εξάλειψη της τεχνικής βλάβης. Αυτή τη στιγμή το εργαστηριακό πληροφοριακό σύστημα έχει αποκατασταθεί, η διαδικασία προσαρμογής του βρίσκεται σε εξέλιξη. «Λυπούμαστε για την τρέχουσα κατάσταση ανωτέρας βίας και ευχαριστούμε τους πελάτες μας για την κατανόησή τους», κατέληξε στο «Invitro».

Σύμφωνα με αυτές τις πληροφορίες, κλινικές στη Ρωσία, τη Λευκορωσία και το Καζακστάν δέχθηκαν επίθεση από ιό υπολογιστών.

Επίθεση στην Gazprom και σε άλλες εταιρείες πετρελαίου και φυσικού αερίου

Στις 29 Ιουνίου 2017 έγινε γνωστό για μια παγκόσμια κυβερνοεπίθεση στα υπολογιστικά συστήματα της Gazprom. Έτσι, άλλη μια ρωσική εταιρεία έχει υποφέρει από τον ιό Petya ransomware.

Σύμφωνα με το πρακτορείο ειδήσεων Reuters, επικαλούμενο πηγή στη ρωσική κυβέρνηση και άτομο που εμπλέκεται στην έρευνα του περιστατικού, η Gazprom υπέφερε από την εξάπλωση του κακόβουλου λογισμικού Petya, το οποίο επιτέθηκε σε υπολογιστές σε συνολικά περισσότερες από 60 χώρες σε όλο τον κόσμο.

Οι συνομιλητές της εφημερίδας δεν έδωσαν λεπτομέρειες για το πόσα και ποια συστήματα μολύνθηκαν στην Gazprom, καθώς και για το μέγεθος της ζημιάς που προκάλεσαν οι χάκερ. Η εταιρεία αρνήθηκε να σχολιάσει το αίτημα του Reuters.

Εν τω μεταξύ, υψηλόβαθμη πηγή του RBC στη Gazprom είπε στο δημοσίευμα ότι οι υπολογιστές στα κεντρικά γραφεία της εταιρείας λειτουργούσαν χωρίς διακοπή όταν ξεκίνησε η μαζική επίθεση χάκερ (27 Ιουνίου 2017) και συνεχίστηκαν δύο ημέρες αργότερα. Δύο ακόμη πηγές του RBC στη Gazprom διαβεβαίωσαν επίσης ότι «όλα είναι ήρεμα» στην εταιρεία και ότι δεν υπάρχουν ιοί.

Στον τομέα του πετρελαίου και του φυσικού αερίου, ο ιός Petya επηρέασε την Bashneft και τη Rosneft. Ο τελευταίος ανακοίνωσε στις 28 Ιουνίου ότι η εταιρεία λειτουργεί κανονικά και ότι «μεμονωμένα προβλήματα» επιλύονται άμεσα.

Τράπεζες και βιομηχανία

Έγινε γνωστό για τη μόλυνση των υπολογιστών στο Evraz, το ρωσικό τμήμα της Royal Canin (παράγει στολές για ζώα) και το ρωσικό τμήμα της Mondelez (κατασκευαστής σοκολάτας Alpen Gold και Milka).

Σύμφωνα με το Υπουργείο Εσωτερικών της Ουκρανίας, ο άνδρας δημοσίευσε ένα βίντεο σε ιστότοπους κοινής χρήσης αρχείων και σε κοινωνικά δίκτυα με λεπτομερή περιγραφή της διαδικασίας εκτόξευσης ransomware σε υπολογιστές. Στα σχόλια του βίντεο, ο άνδρας δημοσίευσε έναν σύνδεσμο προς τη σελίδα του στο κοινωνικό δίκτυο, στο οποίο ανέβασε το κακόβουλο λογισμικό. Κατά τη διάρκεια ερευνών στο διαμέρισμα του «χάκερ», οι αξιωματικοί επιβολής του νόμου κατέσχεσαν τον εξοπλισμό υπολογιστή που χρησιμοποιήθηκε για τη διανομή του NotPetya. Η αστυνομία βρήκε επίσης αρχεία με κακόβουλο λογισμικό, μετά από ανάλυση των οποίων επιβεβαιώθηκε ότι μοιάζει με το NotPetya ransomware. Όπως διαπιστώθηκε από τους αξιωματικούς της κυβερνοαστυνομίας, το πρόγραμμα ransomware, το σύνδεσμο του οποίου δημοσίευσε ο κάτοικος της Νικόπολης, κατέβηκε από χρήστες του κοινωνικού δικτύου 400 φορές.

Μεταξύ εκείνων που κατέβασαν το NotPetya, οι αξιωματικοί επιβολής του νόμου εντόπισαν εταιρείες που σκόπιμα μόλυναν τα συστήματά τους με ransomware για να αποκρύψουν εγκληματική δραστηριότητα και να αποφύγουν τις κυβερνητικές κυρώσεις. Αξίζει να σημειωθεί ότι η αστυνομία δεν συνδέει τις δραστηριότητες του άνδρα με τις επιθέσεις χάκερ στις 27 Ιουνίου του τρέχοντος έτους, δηλαδή δεν τίθεται θέμα εμπλοκής στους συντάκτες του NotPetya. Οι πράξεις που του καταλογίστηκαν αφορούν μόνο ενέργειες που διαπράχθηκαν τον Ιούλιο του τρέχοντος έτους - μετά από ένα κύμα κυβερνοεπιθέσεων μεγάλης κλίμακας.

Σε βάρος του άνδρα κινήθηκε ποινική υπόθεση σύμφωνα με το Μέρος 1 του άρθρου. 361 (μη εξουσιοδοτημένη παρέμβαση σε υπολογιστές) του Ποινικού Κώδικα της Ουκρανίας. Ο Nikopolchanin αντιμετωπίζει ποινή φυλάκισης έως και 3 ετών.

Διανομή στον κόσμο

Η εξάπλωση του ιού ransomware Petya καταγράφηκε στην Ισπανία, τη Γερμανία, τη Λιθουανία, την Κίνα και την Ινδία. Για παράδειγμα, λόγω κακόβουλου λογισμικού στην Ινδία, η τεχνολογία ελέγχου κυκλοφορίας του λιμένα εμπορευματοκιβωτίων Jawaharlal Nehru, που διαχειρίζεται η A.P. Moller-Maersk, σταμάτησε να αναγνωρίζει την ιδιοκτησία του φορτίου.

Η κυβερνοεπίθεση αναφέρθηκε από τον βρετανικό διαφημιστικό όμιλο WPP, το ισπανικό γραφείο μιας από τις μεγαλύτερες δικηγορικές εταιρείες στον κόσμο DLA Piper και τον γίγαντα τροφίμων Mondelez. Μεταξύ των θυμάτων ήταν και ο Γάλλος κατασκευαστής οικοδομικών υλικών Cie. de Saint-Gobain και η φαρμακευτική εταιρεία Merck & Co.

Merck

Ο αμερικανικός φαρμακευτικός κολοσσός Merck, που έχει πληγεί πολύ από την επίθεση ransomware του Ιουνίου NotPetya, εξακολουθεί να μην μπορεί να επαναφέρει όλα τα συστήματα και να επιστρέψει στην κανονική λειτουργία. Αυτό αναφέρθηκε στην έκθεση 8-K της εταιρείας που υποβλήθηκε στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) στα τέλη Ιουλίου 2017. Περισσότερες λεπτομέρειες.

Moller-Maersk και Rosneft

Στις 3 Ιουλίου 2017, έγινε γνωστό ότι ο δανικός ναυτιλιακός γίγαντας Moller-Maersk και Rosneft αποκατέστησαν συστήματα πληροφορικής που είχαν μολυνθεί με τον ιό Petya ransomware μόνο σχεδόν μια εβδομάδα μετά την επίθεση που έλαβε χώρα στις 27 Ιουνίου.

Η ναυτιλιακή Maersk, η οποία αντιπροσωπεύει ένα στα επτά εμπορευματοκιβώτια που αποστέλλονται παγκοσμίως, πρόσθεσε επίσης ότι και οι 1.500 εφαρμογές που επηρεάστηκαν από την κυβερνοεπίθεση θα επιστρέψουν στην κανονική λειτουργία έως τις 9 Ιουλίου 2017 το πολύ.

Το μεγαλύτερο μέρος της ζημιάς έγινε στα συστήματα πληροφορικής των τερματικών σταθμών APM της Maersk, που διαχειρίζονται δεκάδες λιμάνια φορτίου και τερματικά εμπορευματοκιβωτίων σε περισσότερες από 40 χώρες. Περισσότερα από 100 χιλιάδες εμπορευματοκιβώτια φορτίου την ημέρα διέρχονται από τα λιμάνια της APM Terminals, των οποίων η εργασία παρέλυσε εντελώς λόγω της εξάπλωσης του ιού. Ο τερματικός σταθμός Maasvlakte II στο Ρότερνταμ επανέλαβε τις παραδόσεις στις 3 Ιουλίου.

Στις 16 Αυγούστου 2017 ο Α.Π. Ο Moller-Maersk κατονόμασε το κατά προσέγγιση ύψος της ζημιάς από μια κυβερνοεπίθεση με χρήση του ιού Petya, η μόλυνση του οποίου, όπως σημειώνεται στην ευρωπαϊκή εταιρεία, πέρασε από το ουκρανικό πρόγραμμα. Σύμφωνα με προκαταρκτικούς υπολογισμούς της Maersk, οι οικονομικές απώλειες από τη λειτουργία του ransomware Petya το δεύτερο τρίμηνο του 2017 κυμάνθηκαν από 200 εκατομμύρια δολάρια έως 300 εκατομμύρια δολάρια.

Εν τω μεταξύ, χρειάστηκε επίσης η Rosneft σχεδόν μια εβδομάδα για να αποκαταστήσει τα συστήματα υπολογιστών από επίθεση χάκερ, όπως είπε η υπηρεσία Τύπου της εταιρείας στο Interfax στις 3 Ιουλίου:

Λίγες ημέρες νωρίτερα, η Rosneft τόνισε ότι δεν έχει αναλάβει ακόμη να αξιολογήσει τις συνέπειες της κυβερνοεπίθεσης, αλλά η παραγωγή δεν έχει υποστεί.

Πώς λειτουργεί η Petya

Πράγματι, τα θύματα του ιού δεν μπορούν να ξεκλειδώσουν τα αρχεία τους μετά τη μόλυνση. Γεγονός είναι ότι οι δημιουργοί του δεν προέβλεψαν καθόλου ένα τέτοιο ενδεχόμενο. Δηλαδή, ένας κρυπτογραφημένος δίσκος δεν μπορεί να αποκρυπτογραφηθεί εκ των προτέρων. Από το αναγνωριστικό κακόβουλου λογισμικού λείπουν οι πληροφορίες που απαιτούνται για την αποκρυπτογράφηση.

Αρχικά, οι ειδικοί κατέταξαν τον ιό που μόλυνε περίπου δύο χιλιάδες υπολογιστές στη Ρωσία, την Ουκρανία, την Πολωνία, την Ιταλία, τη Γερμανία, τη Γαλλία και άλλες χώρες, στην ήδη γνωστή οικογένεια ransomware Petya. Ωστόσο, αποδείχθηκε ότι μιλάμε για μια νέα οικογένεια κακόβουλου λογισμικού. Η Kaspersky Lab βάφτισε το νέο ransomware ExPetr.

Πώς να πολεμήσετε

Η καταπολέμηση των απειλών στον κυβερνοχώρο απαιτεί συνδυασμό των προσπαθειών των τραπεζών, των επιχειρήσεων πληροφορικής και της κυβέρνησης

Μέθοδος ανάκτησης δεδομένων από την Positive Technologies

Στις 7 Ιουλίου 2017, ο Dmitry Sklyarov, ειδικός στην Positive Technologies, παρουσίασε μια μέθοδο για την ανάκτηση δεδομένων κρυπτογραφημένων από τον ιό NotPetya. Σύμφωνα με τον ειδικό, η μέθοδος είναι εφαρμόσιμη εάν ο ιός NotPetya είχε δικαιώματα διαχειριστή και κρυπτογραφούσε ολόκληρο τον δίσκο.

Η δυνατότητα ανάκτησης δεδομένων σχετίζεται με σφάλματα στην εφαρμογή του αλγόριθμου κρυπτογράφησης Salsa20, που έγιναν από τους ίδιους τους εισβολείς. Η αποτελεσματικότητα της μεθόδου δοκιμάστηκε τόσο σε δοκιμαστικό μέσο όσο και σε έναν από τους κρυπτογραφημένους σκληρούς δίσκους μεγάλης εταιρείας που ήταν μεταξύ των θυμάτων της επιδημίας.

Οι εταιρείες ανάκτησης δεδομένων και οι ISV είναι ελεύθερες να χρησιμοποιούν και να αυτοματοποιούν το παρεχόμενο σενάριο αποκρυπτογράφησης.

Τα αποτελέσματα της έρευνας έχουν ήδη επιβεβαιώσει την ουκρανική αστυνομία στον κυβερνοχώρο. Η Juscutum σκοπεύει να χρησιμοποιήσει τα ευρήματα της έρευνας ως βασικά στοιχεία στη μελλοντική διαδικασία κατά της Intellect-Service.

Η διαδικασία θα είναι πολιτική. Ανεξάρτητη έρευνα διενεργείται από τις ουκρανικές υπηρεσίες επιβολής του νόμου. Οι εκπρόσωποί τους είχαν προαναγγείλει το ενδεχόμενο κίνησης δικογραφίας κατά των εργαζομένων της Intellect-Service.

Η ίδια η M.E.Doc δήλωσε ότι αυτό που συνέβαινε ήταν μια προσπάθεια έφοδος στην εταιρεία. Ο κατασκευαστής του μοναδικού δημοφιλούς ουκρανικού λογιστικού λογισμικού πιστεύει ότι η έρευνα στην εταιρεία, που πραγματοποιήθηκε από την ουκρανική αστυνομία στον κυβερνοχώρο, έγινε μέρος της εφαρμογής αυτού του σχεδίου.

Αρχικός φορέας μόλυνσης με τον κρυπτογράφηση Petya

Στις 17 Μαΐου, κυκλοφόρησε μια ενημέρωση M.E.Doc που δεν περιέχει την κακόβουλη μονάδα backdoor. Αυτό πιθανώς εξηγεί τον σχετικά χαμηλό αριθμό μολύνσεων XData, πιστεύει η εταιρεία. Οι εισβολείς δεν περίμεναν ότι η ενημέρωση θα κυκλοφορούσε στις 17 Μαΐου και κυκλοφόρησαν τον κρυπτογράφηση στις 18 Μαΐου, όταν οι περισσότεροι χρήστες είχαν ήδη εγκαταστήσει την ασφαλή ενημέρωση.

Το backdoor επιτρέπει τη λήψη και εκτέλεση άλλου κακόβουλου λογισμικού στο μολυσμένο σύστημα - έτσι πραγματοποιήθηκε η αρχική μόλυνση με τους κρυπτογραφητές Petya και XData. Επιπλέον, το πρόγραμμα συλλέγει ρυθμίσεις διακομιστή μεσολάβησης και e-mail, συμπεριλαμβανομένων των στοιχείων σύνδεσης και των κωδικών πρόσβασης από την εφαρμογή MEDoc, καθώς και κωδικούς εταιρειών σύμφωνα με το EDRPOU (Ενοποιημένο Κρατικό Μητρώο Επιχειρήσεων και Οργανισμών της Ουκρανίας), το οποίο επιτρέπει την αναγνώριση των θυμάτων .

«Έχουμε να απαντήσουμε σε ορισμένες ερωτήσεις», δήλωσε ο Anton Cherepanov, ανώτερος αναλυτής ιών στην Eset. - Πόσο καιρό χρησιμοποιείται η πίσω πόρτα; Ποιες εντολές και κακόβουλο λογισμικό εκτός από το Petya και το XData στάλθηκαν μέσω αυτού του καναλιού; Ποιες άλλες υποδομές έχουν παραβιαστεί αλλά δεν έχουν ακόμη αξιοποιηθεί από την κυβερνοομάδα πίσω από αυτήν την επίθεση;».

Με βάση ένα σύνολο ενδείξεων, συμπεριλαμβανομένων υποδομών, κακόβουλων εργαλείων, σχεδίων και στόχων επιθέσεων, οι ειδικοί της Eset έχουν δημιουργήσει μια σύνδεση μεταξύ της επιδημίας Diskcoder.C (Petya) και της ομάδας του κυβερνοχώρου Telebots. Δεν έχει καταστεί ακόμη δυνατό να προσδιοριστεί με αξιοπιστία ποιος βρίσκεται πίσω από τις δραστηριότητες αυτής της ομάδας.

Στις 27 Ιουνίου 2017, ο κόσμος αντιμετώπισε μια νέα επιδημία ransomware που προκλήθηκε από μια νέα έκδοση του Petya ransomware που είναι γνωστή στους ειδικούς από το 2016. Οι χειριστές του Malvari υιοθέτησαν ξεκάθαρα αρκετές τεχνικές από τους προγραμματιστές του εντυπωσιακού και κατάφεραν να προκαλέσουν νέο γύρο πανικού.
Σε αυτό το άρθρο, προσπαθήσαμε να συλλέξουμε όλες τις πληροφορίες που είναι γνωστές επί του παρόντος σχετικά με αυτήν την κακόβουλη καμπάνια.

Χαρακτηριστικά του Petya

Όπως αναφέρθηκε παραπάνω, το Petya ransomware ήταν πίσω τον Μάρτιο του 2016. Ωστόσο, η εκδοχή που αντιμετώπισε ο κόσμος στις 27 Ιουνίου 2017 είναι πολύ διαφορετική από αυτή του «Petit».

2016 Petya - Costin Raiu (@craiu) 27 Ιουνίου 2017

Όπως μπορείτε να δείτε στις παραπάνω εικόνες, η Ουκρανία προηγήθηκε με μεγάλη διαφορά μεταξύ των χωρών που επλήγησαν χθες.

Πίσω στις 27 Ιουνίου 2017, η ουκρανική αστυνομία στον κυβερνοχώρο έχουν αναφερθείότι σύμφωνα με προκαταρκτικά στοιχεία το ransomware εξαπλώθηκε στο έδαφος της Ουκρανίας τόσο γρήγορα «χάρη» στο λογισμικό της εταιρείας M.E.Doc. Παρόμοιες υποθέσεις εκφράστηκαν από ειδικούς σε θέματα ασφάλειας πληροφοριών, συμπεριλαμβανομένων ειδικών από τη Cisco Talos και τη Microsoft.

Για παράδειγμα, η αστυνομία του κυβερνοχώρου ανέφερε ότι η τελευταία ενημέρωση, η οποία διανεμήθηκε στις 22 Ιουνίου από τους διακομιστές της εταιρείας (upd.me-doc.com.ua), είχε μολυνθεί από το ransomware Petya.

Οι ειδικοί της Microsoft, με τη σειρά τους, γράφουν ότι στις 27 Ιουνίου, παρατήρησαν ότι η διαδικασία ενημέρωσης του M.E.Doc (EzVit.exe) άρχισε να εκτελεί κακόβουλες εντολές που οδήγησαν στην εγκατάσταση του Petya (δείτε την παρακάτω εικόνα).

Παράλληλα, στην επίσημη ιστοσελίδα του M.E.Doc εμφανίστηκε μήνυμα ότι «γίνεται επίθεση ιού στους διακομιστές», το οποίο σύντομα εξαφανίστηκε και είναι πλέον διαθέσιμο μόνο στην κρυφή μνήμη της Google.

Επίσης, η Microsoft λέει ότι έχει αποδείξεις ότι «μερικές ενεργές μολύνσεις» του Petya ξεκίνησαν αρχικά από τη νόμιμη διαδικασία ενημέρωσης MEDoc.

Σχεδόν κάθε χρήστης έχει προγράμματα προστασίας από ιούς στους υπολογιστές του, αλλά μερικές φορές εμφανίζεται ένας Trojan ή ένας ιός που μπορεί να παρακάμψει την καλύτερη προστασία και να μολύνει τη συσκευή σας ή ακόμα χειρότερα να κρυπτογραφήσει τα δεδομένα σας. Αυτή τη φορά, ένας τέτοιος ιός ήταν ο Petya Trojan encryptor ή, όπως ονομάζεται επίσης, Petya. Ο ρυθμός εξάπλωσης αυτής της απειλής είναι πολύ εντυπωσιακός: μέσα σε λίγες μέρες μπόρεσε να «επισκεφτεί» τη Ρωσία, την Ουκρανία, το Ισραήλ, την Αυστραλία, τις Ηνωμένες Πολιτείες, όλες τις μεγάλες ευρωπαϊκές χώρες και όχι μόνο. Έπληξε κυρίως εταιρικούς χρήστες (αεροδρόμια, σταθμούς παραγωγής ενέργειας, τουρισμός), αλλά υπέφεραν και οι απλοί άνθρωποι. Ως προς την κλίμακα και τις μεθόδους επιρροής του, μοιάζει εξαιρετικά με το συγκλονιστικό πρόσφατα.

Πρέπει αναμφίβολα να προστατεύσετε τον υπολογιστή σας για να μην πέσετε θύματα του νέου Trojan ransomware Petya. Σε αυτό το άρθρο θα σας πω για το τι είναι ο ιός Petya, πώς εξαπλώνεται και πώς να προστατευτείτε από αυτήν την απειλή. Επιπλέον, θα θίξουμε τα θέματα αφαίρεσης Trojan και αποκρυπτογράφησης πληροφοριών.

Τι είναι ο ιός Petya;

Πρώτα, πρέπει να καταλάβουμε τι είναι η Petya. Ο ιός Petya είναι ένα κακόβουλο λογισμικό που είναι ένα Trojan σαν ransomware (ransomware). Αυτοί οι ιοί έχουν σχεδιαστεί για να εκβιάζουν τους κατόχους μολυσμένων συσκευών προκειμένου να λάβουν λύτρα από αυτούς για κρυπτογραφημένα δεδομένα. Σε αντίθεση με το Wanna Cry, το Petya δεν ασχολείται με την κρυπτογράφηση μεμονωμένων αρχείων - σχεδόν αμέσως "αφαιρεί" ολόκληρο τον σκληρό σας δίσκο.

Το σωστό όνομα για τον νέο ιό είναι Petya.A. Επιπλέον, η Kaspersky το ονομάζει NotPetya / ExPetr.

Περιγραφή του ιού Petya

Μόλις εισέλθει στον υπολογιστή σας με Windows, ο Petya κρυπτογραφεί σχεδόν αμέσως MFT(Κύριος Πίνακας Αρχείων). Σε τι ευθύνεται αυτός ο πίνακας;

Φανταστείτε ότι ο σκληρός σας δίσκος είναι η μεγαλύτερη βιβλιοθήκη σε ολόκληρο το σύμπαν. Περιέχει δισεκατομμύρια βιβλία. Πώς βρίσκετε λοιπόν το βιβλίο που θέλετε; Χρησιμοποιώντας μόνο τον κατάλογο της βιβλιοθήκης. Είναι αυτός ο κατάλογος που καταστρέφει η Petya. Έτσι, χάνετε κάθε ευκαιρία να βρείτε οποιοδήποτε «αρχείο» στον υπολογιστή σας. Για να είμαστε πιο ακριβείς, μετά τη «δουλειά» του Petya, ο σκληρός δίσκος του υπολογιστή σας θα θυμίζει βιβλιοθήκη μετά από ανεμοστρόβιλο, με υπολείμματα βιβλίων να πετούν παντού.

Έτσι, σε αντίθεση με το Wanna Cry, το οποίο ανέφερα στην αρχή του άρθρου, το Petya.A δεν κρυπτογραφεί μεμονωμένα αρχεία, ξοδεύοντας εντυπωσιακό χρόνο σε αυτό - απλώς αφαιρεί κάθε πιθανότητα εύρεσης τους.

Μετά από όλους τους χειρισμούς του, απαιτεί λύτρα από τους χρήστες - 300 δολάρια, τα οποία πρέπει να μεταφερθούν σε λογαριασμό bitcoin.

Ποιος δημιούργησε τον ιό Petya;

Κατά τη δημιουργία του ιού, ο Petya χρησιμοποίησε ένα exploit ("τρύπα") στο λειτουργικό σύστημα των Windows που ονομάζεται "EternalBlue". Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα που "κλείνει" αυτήν την τρύπα πριν από λίγους μήνες, ωστόσο, δεν χρησιμοποιούν όλοι ένα αντίγραφο με άδεια χρήσης των Windows και εγκαθιστούν όλες τις ενημερώσεις συστήματος, σωστά;)

Ο δημιουργός του "Petit" μπόρεσε να χρησιμοποιήσει με σύνεση την απροσεξία εταιρικών και ιδιωτών χρηστών και να κερδίσει χρήματα από αυτό. Η ταυτότητά του είναι ακόμα άγνωστη (και είναι απίθανο να γίνει γνωστή)

Πώς εξαπλώνεται ο ιός της Petya;

Ο ιός Petya εξαπλώνεται συχνότερα με το πρόσχημα των συνημμένων σε e-mail και σε αρχεία με πειρατικό μολυσμένο λογισμικό. Το συνημμένο μπορεί να περιέχει απολύτως οποιοδήποτε αρχείο, συμπεριλαμβανομένης φωτογραφίας ή mp3 (όπως φαίνεται με την πρώτη ματιά). Αφού εκτελέσετε το αρχείο, ο υπολογιστής σας θα επανεκκινήσει και ο ιός θα προσομοιώσει έναν έλεγχο δίσκου για σφάλματα CHKDSK και εκείνη τη στιγμή θα τροποποιήσει την εγγραφή εκκίνησης του υπολογιστή σας (MBR). Μετά από αυτό, θα δείτε ένα κόκκινο κρανίο στην οθόνη του υπολογιστή σας. Κάνοντας κλικ σε οποιοδήποτε κουμπί, μπορείτε να αποκτήσετε πρόσβαση σε ένα κείμενο στο οποίο θα σας ζητηθεί να πληρώσετε για την αποκρυπτογράφηση των αρχείων σας και να μεταφέρετε το απαιτούμενο ποσό σε ένα πορτοφόλι bitcoin.

Πώς να προστατευτείτε από τον ιό Petya;

• Το πιο σημαντικό και βασικό πράγμα - κάντε κανόνα την εγκατάσταση ενημερώσεων για το λειτουργικό σας σύστημα! Αυτό είναι απίστευτα σημαντικό. Κάντε το τώρα, μην καθυστερείτε.
• Δώστε ιδιαίτερη προσοχή σε όλα τα συνημμένα που συνδέονται με γράμματα, ακόμα και αν γράμματα από άτομα που γνωρίζετε. Κατά τη διάρκεια της επιδημίας, είναι καλύτερο να χρησιμοποιείτε εναλλακτικές πηγές μετάδοσης δεδομένων.
• Ενεργοποιήστε την επιλογή "Εμφάνιση επεκτάσεων αρχείων" στις ρυθμίσεις του λειτουργικού συστήματος - με αυτόν τον τρόπο μπορείτε πάντα να βλέπετε την πραγματική επέκταση αρχείου.
• Ενεργοποιήστε τον "Έλεγχος λογαριασμού χρήστη" στις ρυθμίσεις των Windows.
• Πρέπει να εγκαταστήσετε ένα από αυτά για να αποφύγετε τη μόλυνση. Ξεκινήστε εγκαθιστώντας μια ενημέρωση λειτουργικού συστήματος και, στη συνέχεια, εγκαταστήστε ένα πρόγραμμα προστασίας από ιούς και θα είστε πολύ πιο ασφαλείς από πριν.
• Φροντίστε να δημιουργήσετε "αντίγραφα ασφαλείας" - αποθηκεύστε όλα τα σημαντικά δεδομένα σας σε έναν εξωτερικό σκληρό δίσκο ή στο cloud. Στη συνέχεια, εάν ο ιός Petya διεισδύσει στον υπολογιστή σας και κρυπτογραφήσει όλα τα δεδομένα, θα είναι πολύ εύκολο για εσάς να διαμορφώσετε τον σκληρό σας δίσκο και να εγκαταστήσετε ξανά το λειτουργικό σύστημα.
• Ελέγχετε πάντα τη συνάφεια των βάσεων δεδομένων προστασίας από ιούς. Όλα τα καλά προγράμματα προστασίας από ιούς παρακολουθούν τις απειλές και απαντούν σε αυτές έγκαιρα ενημερώνοντας τις υπογραφές απειλών.
• Εγκαταστήστε το δωρεάν βοηθητικό πρόγραμμα Kaspersky Anti-Ransomware. Θα σας προστατεύσει από ιούς κρυπτογράφησης. Η εγκατάσταση αυτού του λογισμικού δεν σας απαλλάσσει από την ανάγκη εγκατάστασης ενός προγράμματος προστασίας από ιούς.

Πώς να αφαιρέσετε τον ιό Petya;

Πώς να αφαιρέσετε τον ιό Petya.A από τον σκληρό σας δίσκο; Αυτή είναι μια εξαιρετικά ενδιαφέρουσα ερώτηση. Το γεγονός είναι ότι εάν ο ιός έχει ήδη μπλοκάρει τα δεδομένα σας, τότε, στην πραγματικότητα, δεν θα υπάρχει τίποτα για διαγραφή. Εάν δεν σκοπεύετε να πληρώσετε το ransomware (κάτι που δεν πρέπει να κάνετε) και δεν θα προσπαθήσετε να ανακτήσετε δεδομένα στο δίσκο στο μέλλον, πρέπει απλώς να μορφοποιήσετε το δίσκο και να εγκαταστήσετε ξανά το λειτουργικό σύστημα. Μετά από αυτό, δεν θα υπάρχει ίχνος του ιού.

Εάν υποψιάζεστε ότι υπάρχει ένα μολυσμένο αρχείο στο δίσκο σας, σαρώστε το δίσκο σας με ένα από αυτά ή εγκαταστήστε το Kaspersky Anti-Virus και εκτελέστε πλήρη σάρωση συστήματος. Ο προγραμματιστής διαβεβαίωσε ότι η βάση δεδομένων υπογραφής του περιέχει ήδη πληροφορίες σχετικά με αυτόν τον ιό.

Αποκωδικοποιητής Petya.A

Το Petya.A κρυπτογραφεί τα δεδομένα σας με έναν πολύ ισχυρό αλγόριθμο. Προς το παρόν, δεν υπάρχει λύση για την αποκρυπτογράφηση των κλειδωμένων πληροφοριών. Επιπλέον, δεν πρέπει να προσπαθήσετε να αποκτήσετε πρόσβαση σε δεδομένα στο σπίτι.

Αναμφίβολα, όλοι θα ονειρευόμασταν να αποκτήσουμε τον θαυματουργό αποκρυπτογραφητή Petya.A, αλλά απλά δεν υπάρχει τέτοια λύση. Ο ιός έπληξε τον κόσμο πριν από λίγους μήνες, αλλά δεν βρέθηκε θεραπεία για την αποκρυπτογράφηση των δεδομένων που κρυπτογραφούσε.

Επομένως, εάν δεν έχετε γίνει ακόμη θύμα του ιού Petya, ακούστε τις συμβουλές που έδωσα στην αρχή του άρθρου. Εάν παρόλα αυτά χάσατε τον έλεγχο των δεδομένων σας, τότε έχετε πολλούς τρόπους.

• Πληρώστε χρήματα. Δεν έχει νόημα να το κάνεις αυτό!Οι ειδικοί έχουν ήδη ανακαλύψει ότι ο δημιουργός του ιού δεν επαναφέρει δεδομένα, ούτε μπορεί να ανακτήσει, δεδομένης της μεθόδου κρυπτογράφησης.
• Αφαιρέστε τον σκληρό δίσκο από τη συσκευή σας, τοποθετήστε τον προσεκτικά στο περίβλημα και περιμένετε να εμφανιστεί ο αποκωδικοποιητής. Παρεμπιπτόντως, η Kaspersky Lab εργάζεται συνεχώς προς αυτή την κατεύθυνση. Υπάρχουν διαθέσιμοι αποκωδικοποιητές στον ιστότοπο No Ransom.
• Μορφοποίηση του δίσκου και εγκατάσταση του λειτουργικού συστήματος. Μείον - όλα τα δεδομένα θα χαθούν.

Ιός Petya.A στη Ρωσία

Περισσότερες από 80 εταιρείες έχουν δεχθεί επίθεση και μολυνθεί στη Ρωσία και την Ουκρανία τη στιγμή που γράφονται αυτές οι γραμμές, συμπεριλαμβανομένων τόσο μεγάλων όπως η Bashneft και η Rosneft. Η μόλυνση των υποδομών τέτοιων μεγάλων εταιρειών υποδηλώνει τη σοβαρότητα του ιού Petya.A. Δεν υπάρχει αμφιβολία ότι το Trojan ransomware θα συνεχίσει να εξαπλώνεται σε ολόκληρη τη Ρωσία, επομένως θα πρέπει να φροντίσετε για την ασφάλεια των δεδομένων σας και να ακολουθήσετε τις συμβουλές που δίνονται στο άρθρο.

Petya.A και Android, iOS, Mac, Linux

Πολλοί χρήστες ανησυχούν - «αλλά αν ο ιός Petya μπορεί να μολύνει τις συσκευές τους με Android και iOS. Θα σπεύσω να τους ηρεμήσω - όχι, δεν μπορεί. Προορίζεται μόνο για χρήστες Windows. Το ίδιο ισχύει και για τους θαυμαστές Linux και Mac - μπορείτε να κοιμάστε ήσυχοι, τίποτα δεν σας απειλεί.

συμπέρασμα

Έτσι, σήμερα συζητήσαμε λεπτομερώς τον νέο ιό Petya.A. Καταλάβαμε τι είναι αυτό το Trojan και πώς λειτουργεί, μάθαμε πώς να προστατευτούμε από μόλυνση και να αφαιρέσουμε τον ιό και πού να αποκτήσουμε τον αποκρυπτογραφητή Petya. Ελπίζω ότι αυτό το άρθρο και οι συμβουλές μου ήταν χρήσιμες για εσάς.

Ο ιός Petya είναι ένας ταχέως αναπτυσσόμενος ιός που έπληξε σχεδόν όλες τις μεγάλες επιχειρήσεις στην Ουκρανία στις 27 Ιουνίου 2017. Ο ιός Petya κρυπτογραφεί τα αρχεία σας και στη συνέχεια προσφέρει λύτρα για αυτά.

Ο νέος ιός μολύνει τον σκληρό δίσκο του υπολογιστή και λειτουργεί ως ιός κρυπτογράφησης αρχείων. Μετά από ένα ορισμένο χρονικό διάστημα, ο ιός Petya "τρώει" αρχεία στον υπολογιστή σας και γίνονται κρυπτογραφημένα (σαν να αρχειοθετήθηκαν τα αρχεία και να οριστεί ένας βαρύς κωδικός πρόσβασης)
Τα αρχεία που έχουν υποστεί τον ιό Petya ransomware δεν μπορούν να ανακτηθούν αργότερα (υπάρχει ένα ποσοστό που θα τα ανακτήσετε, αλλά είναι πολύ μικρό)
ΔΕΝ υπάρχει αλγόριθμος που να επαναφέρει αρχεία που έχουν επηρεαστεί από τον ιό Petya
Με τη βοήθεια αυτού του σύντομου και ΠΙΟ χρήσιμου άρθρου, μπορείτε να προστατευθείτε από τον ιό #Petya

Πώς να ΑΝΙΧΝΕΥΕΤΕ τον ιό Petya ή WannaCry και να μην μολυνθείτε

Κατά τη μεταφόρτωση ενός αρχείου μέσω του Διαδικτύου, ελέγξτε το με ένα διαδικτυακό πρόγραμμα προστασίας από ιούς. Τα διαδικτυακά antivirus μπορούν να προ-ανιχνεύσουν τον ιό στο αρχείο και να αποτρέψουν τη μόλυνση από τον ιό Petya. Το μόνο που έχετε να κάνετε είναι να ελέγξετε το ληφθέν αρχείο με το VirusTotal και, στη συνέχεια, να το εκτελέσετε. Ακόμα κι αν ΚΑΤΕΒΑΣΑΤΕ ΤΟΝ ιό PETYA, αλλά ΔΕΝ εκτελέσατε το αρχείο του ιού, ο ιός ΔΕΝ είναι ενεργός και δεν βλάπτει. Μόνο μετά την εκκίνηση ενός επιβλαβούς αρχείου ξεκινάτε έναν ιό, θυμηθείτε αυτό

Η ΧΡΗΣΗ ΑΚΟΜΑ ΚΑΙ ΜΟΝΟ ΑΥΤΗΣ ΤΗΣ ΜΕΘΟΔΟΣ ΣΑΣ ΔΙΝΕΙ ΟΛΕΣ ΤΗΝ ΕΥΚΑΙΡΙΑ ΝΑ ΜΗΝ εμπλακείτε με τον ιό PETYA
Ο ιός Petya μοιάζει με αυτό:

Πώς να προστατεύσετε τον εαυτό σας από τον ιό Petya

Εταιρία Symantecπρόσφερε μια λύση που σας επιτρέπει να προστατευτείτε από τον ιό Petya, προσποιούμενος ότι τον έχετε ήδη εγκαταστήσει.
Όταν ο ιός Petya εισέλθει στον υπολογιστή, δημιουργείται στον φάκελο C: \ Windows \ perfcαρχείο perfcή perfc.dll
Για να κάνετε τον ιό να πιστεύει ότι είναι ήδη εγκατεστημένος και να μην συνεχίσει τη δραστηριότητά του, δημιουργήστε στον φάκελο C: \ Windows \ perfcαρχείο με κενό περιεχόμενο και αποθηκεύστε το ρυθμίζοντας τη λειτουργία αλλαγής σε "Μόνο για ανάγνωση"
Ή κάντε λήψη του virus-petya-perfc.zip και αποσυμπιέστε το φάκελο perfcσε φάκελο C: \ Windows \και ορίστε τη λειτουργία αλλαγής σε "Μόνο για ανάγνωση"
Λήψη virus-petya-perfc.zip

ΕΝΗΜΕΡΩΣΗ 29/06/2017
Συνιστώ επίσης να ανεβάσετε και τα δύο αρχεία απλά στο φάκελο των Windows. Πολλές πηγές γράφουν ότι το αρχείο perfcή perfc.dllπρέπει να είναι στο φάκελο C: \ Windows \

Τι να κάνετε εάν ο υπολογιστής σας έχει ήδη μολυνθεί από τον ιό Petya

Μην ενεργοποιείτε έναν υπολογιστή που σας έχει ήδη μολύνει με τον ιό Petya. Ο ιός Petya λειτουργεί με τέτοιο τρόπο ώστε ενώ ο μολυσμένος υπολογιστής είναι ενεργοποιημένος, κρυπτογραφεί τα αρχεία. Δηλαδή, όσο διατηρείτε τον υπολογιστή που έχει προσβληθεί από τον ιό Petya ενεργοποιημένο, νέα και νέα αρχεία μπορούν να μολυνθούν και να κρυπτογραφηθούν.
Το Winchester αυτού του υπολογιστή αξίζει να το ελέγξετε. Μπορείτε να το ελέγξετε χρησιμοποιώντας LIVECD ή LIVEUSB με προστασία από ιούς
Μονάδα flash USB με δυνατότητα εκκίνησης με Kaspersky Rescue Disk 10
Μονάδα flash USB με δυνατότητα εκκίνησης Dr.Web LiveDisk

Ποιος εξέδωσε τον ιό του Petya σε όλη την Ουκρανία

Η Microsoft εξέφρασε την άποψή της για τη μόλυνση του παγκόσμιου δικτύου σε μεγάλες εταιρείες της Ουκρανίας. Αφορμή ήταν η ενημέρωση του προγράμματος M.E.Doc. Το M.E.Doc είναι ένα δημοφιλές λογιστικό πρόγραμμα, γι' αυτό και μια τόσο μεγάλη παρακέντηση της εταιρείας, όπως η λήψη ενός ιού σε μια ενημέρωση και η εγκατάσταση του ιού Petya σε χιλιάδες υπολογιστές που εκτελούν το πρόγραμμα M.E.Doc. Και αφού ο ιός μολύνει τους υπολογιστές στο ίδιο δίκτυο, εξαπλώθηκε με αστραπιαία ταχύτητα.
#: Ο ιός Petya μολύνει το Android, τον ιό Petya, πώς να ανιχνεύσετε και να αφαιρέσετε τον ιό Petya, πώς να θεραπεύσετε τον ιό Petya, M.E.Doc, Microsoft, δημιουργήστε έναν φάκελο Petya virus

Σήμερα ο ιός ransomware επιτέθηκε σε πολλούς υπολογιστές στο δημόσιο, εμπορικό και ιδιωτικό τομέα της Ουκρανίας

Μια άνευ προηγουμένου επίθεση χάκερ κατέστρεψε πολλούς υπολογιστές και διακομιστές σε κυβερνητικές υπηρεσίες και εμπορικούς οργανισμούς σε όλη τη χώρα

Σήμερα, μια μεγάλης κλίμακας και προσεκτικά σχεδιασμένη επίθεση στον κυβερνοχώρο έχει απενεργοποιήσει την κρίσιμη υποδομή πολλών κρατικών επιχειρήσεων και εταιρειών. Αυτό ανέφερε η Υπηρεσία Ασφαλείας (SBU).

Ξεκινώντας από το μεσημέρι, οι αναφορές για μολύνσεις υπολογιστών στον δημόσιο και ιδιωτικό τομέα άρχισαν να εμφανίζονται σαν χιονόμπαλα στο Διαδίκτυο. Εκπρόσωποι κυβερνητικών υπηρεσιών ανακοίνωσαν επιθέσεις χάκερ στην υποδομή πληροφορικής τους.

Σύμφωνα με την SBU, η μόλυνση οφειλόταν κυρίως στο άνοιγμα αρχείων word και pdf που έστειλαν οι επιτιθέμενοι με e-mail. Το ransomware Petya.A εκμεταλλεύτηκε μια ευπάθεια δικτύου στο λειτουργικό σύστημα Windows. Οι εγκληματίες του κυβερνοχώρου ζήτησαν πληρωμή σε bitcoins ύψους 300 δολαρίων για το ξεκλείδωμα των κρυπτογραφημένων δεδομένων.

Ο Γραμματέας του Συμβουλίου Εθνικής Ασφάλειας και Άμυνας Αλεξάντερ Τουρτσίνοφ δήλωσε ότι οι κρατικοί φορείς που συμπεριλήφθηκαν στο προστατευμένο κύκλωμα -ένας ειδικός κόμβος Διαδικτύου- δεν υπέστησαν ζημιές. Προφανώς, το Υπουργικό Συμβούλιο δεν εφάρμοσε σωστά τις συστάσεις του Εθνικού Κέντρου Συντονισμού για την Ασφάλεια στον Κυβερνοχώρο επειδή οι κυβερνητικοί υπολογιστές επηρεάστηκαν από το Petya.A. Το Υπουργείο Οικονομικών, ο πυρηνικός σταθμός Chernobyl, Ukrenergo, Ukrposhta, Novaya Pochta και ορισμένες τράπεζες δεν μπόρεσαν να αντισταθούν στη σημερινή επίθεση.

Για κάποιο χρονικό διάστημα, οι σελίδες του Διαδικτύου της SBU, της αστυνομίας στον κυβερνοχώρο και της Κρατικής Υπηρεσίας Ειδικών Επικοινωνιών και Προστασίας Πληροφοριών (SCSSZI) δεν άνοιξαν καν.

Από το απόγευμα της Τρίτης, 27 Ιουνίου, καμία από τις υπηρεσίες επιβολής του νόμου που είναι επιφορτισμένες με την αντιμετώπιση επιθέσεων στον κυβερνοχώρο δεν έχει αποκαλύψει από πού προέρχεται το Petya.A ή ποιος βρίσκεται πίσω από αυτό. Η SBU, η Cyberpolice (της οποίας ο ιστότοπος δεν λειτούργησε για μια ολόκληρη μέρα), η SSSSZI τήρησε Ολυμπιακή σιωπή σχετικά με την έκταση της ζημίας που προκάλεσε ο ιός ransomware.

Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστή (CERT-UA, μέρος του GSSNZI) δημοσίευσε συμβουλές για την εξάλειψη των συνεπειών του Petya Ransomware. Για αυτό, οι τεχνικοί ειδικοί συνέστησαν τη χρήση του λογισμικού ESET. Αργότερα, η SBU μίλησε επίσης για τον τρόπο προστασίας ή μείωσης της βλάβης από τον ιό.

Ιός Petya:πώς να μην πιάσετε, πώς να αποκρυπτογραφήσετε, από πού προήλθε - τα τελευταία νέα για το ransomware Petya, το οποίο μέχρι την τρίτη ημέρα της "δραστηριότητάς" του χτύπησε περίπου 300 χιλιάδες υπολογιστές σε διάφορες χώρες του κόσμου και μέχρι στιγμής κανείς δεν έχει το σταμάτησε.

Ιός Petya - πώς να αποκρυπτογραφήσετε, έκτακτες ειδήσεις.Μετά την επίθεση στον υπολογιστή, οι δημιουργοί του ransomware Petya απαιτούν λύτρα 300 δολαρίων (σε bitcoins), αλλά δεν υπάρχει τρόπος να αποκρυπτογραφηθεί ο ιός Petya ακόμα κι αν ο χρήστης πληρώσει χρήματα. Οι ειδικοί στο Kaspersky Lab, οι οποίοι διέκριναν τις διαφορές στον νέο ιό από το Petya και τον ονόμασαν ExPetr, υποστηρίζουν ότι απαιτείται ένα μοναδικό αναγνωριστικό για μια συγκεκριμένη εγκατάσταση Trojan για την αποκρυπτογράφηση του.

Σε παλαιότερα γνωστές εκδόσεις παρόμοιου ransomware Petya / Mischa / GoldenEye, το αναγνωριστικό εγκατάστασης περιείχε τις πληροφορίες που απαιτούνται για αυτό. Στην περίπτωση του ExPetr, αυτό το αναγνωριστικό απουσιάζει, γράφει το RIA Novosti.

Ιός Petya - από πού προήλθε, τα τελευταία νέα.Γερμανοί ειδικοί ασφαλείας έχουν παρουσιάσει την πρώτη έκδοση για το πού βρήκε αυτό το ransomware. Κατά τη γνώμη τους, ο ιός Petya άρχισε να περιφέρεται στους υπολογιστές ανοίγοντας αρχεία M.E.Doc. Αυτό είναι ένα λογιστικό πρόγραμμα που χρησιμοποιείται στην Ουκρανία μετά την απαγόρευση του 1C.

Εν τω μεταξύ, η Kaspersky Lab λέει ότι είναι πολύ νωρίς για να εξαχθούν συμπεράσματα σχετικά με την προέλευση και την πηγή του ιού ExPetr. Είναι πιθανό οι επιτιθέμενοι να είχαν εκτενή στοιχεία. Για παράδειγμα, διευθύνσεις e-mail από την προηγούμενη λίστα αλληλογραφίας ή κάποιες άλλες αποτελεσματικές μεθόδους διείσδυσης σε υπολογιστές.

Με τη βοήθειά τους, ο ιός Petya επιτέθηκε στην Ουκρανία και τη Ρωσία με όλη της τη δύναμη, καθώς και σε άλλες χώρες. Αλλά το πραγματικό μέγεθος αυτής της επίθεσης χάκερ θα είναι ξεκάθαρο σε λίγες μέρες - αναφορές.

Ιός Petya: πώς να μην τον κολλήσετε, πώς να τον αποκρυπτογραφήσετε, από πού προήλθε - τελευταία νέασχετικά με το ransomware Petya, το οποίο έχει ήδη λάβει νέο όνομα από το Kaspersky Lab - ExPetr.

Μια σύντομη εκδρομή στην ιστορία της ονομασίας κακόβουλου λογισμικού.

Σε σελιδοδείκτες

Λογότυπο ιού Petya.A

Στις 27 Ιουνίου, τουλάχιστον 80 ρωσικές και ουκρανικές εταιρείες δέχθηκαν επίθεση από τον ιό Petya.A. Το πρόγραμμα απέκλεισε πληροφορίες στους υπολογιστές των τμημάτων και των επιχειρήσεων και, όπως ο γνωστός ιός ransomware, απαιτούσε bitcoin από τους χρήστες.

Τα κακόβουλα προγράμματα ονομάζονται συνήθως από υπαλλήλους εταιρειών προστασίας από ιούς. Οι εξαιρέσεις είναι εκείνα τα ransomware, ransomware, καταστροφείς και κλέφτες ταυτότητας που, εκτός από μολύνσεις υπολογιστών, προκαλούν επιδημίες μέσων - αυξημένη διαφημιστική εκστρατεία μέσων και ενεργή συζήτηση στο Διαδίκτυο.

Ωστόσο, ο ιός Petya.A είναι εκπρόσωπος μιας νέας γενιάς. Το όνομα με το οποίο αυτοσυστήνεται είναι μέρος της στρατηγικής μάρκετινγκ των προγραμματιστών με στόχο την αύξηση της ευαισθητοποίησής του και την αυξανόμενη δημοτικότητά του στην αγορά του σκοτεινού δικτύου.

Υποπολιτισμικό φαινόμενο

Εκείνες τις μέρες, όταν οι υπολογιστές ήταν λίγοι και μακριά από όλους ήταν διασυνδεδεμένοι, υπήρχαν ήδη προγράμματα αυτοδιαδόσεως (όχι ακόμα ιοί). Ένας από τους πρώτους από αυτούς ήταν αυτός που χαιρέτησε αστειευόμενος τον χρήστη και προσφέρθηκε να τον πιάσει και να τον διαγράψει. Επόμενος ήταν ο Cookie Monster, ο οποίος απαίτησε να «του δώσει ένα μπισκότο» πληκτρολογώντας τη λέξη «cookie».

Το πρώιμο κακόβουλο λογισμικό είχε επίσης αίσθηση του χιούμορ, αν και δεν είχε πάντα σχέση με το όνομά του. Έτσι, ο Richard Scrant, σχεδιασμένος για τον υπολογιστή Apple-2, διάβαζε μια ομοιοκαταληξία στο θύμα κάθε 50 λήψεις του υπολογιστή και τα ονόματα των ιών, που συχνά κρύβονται στον κώδικα και δεν εμφανίζονται, αναφέρονταν σε αστεία και υποπολιτισμικές λέξεις κοινές μεταξύ τα geeks εκείνης της εποχής. Θα μπορούσαν να συσχετιστούν με ονόματα συγκροτημάτων metal, δημοφιλή λογοτεχνία και RPG.

Στα τέλη του 20ου αιώνα, οι δημιουργοί ιών δεν έκρυβαν πολλά - επιπλέον, συχνά, όταν το πρόγραμμα έβγαινε εκτός ελέγχου, προσπάθησαν να συμμετάσχουν στην εξάλειψη της βλάβης που προκλήθηκε σε αυτό. Έτσι έγινε με το Πακιστανικό και καταστροφικό, που δημιουργήθηκε από τον μελλοντικό συνιδρυτή της θερμοκοιτίδας επιχειρήσεων Y-Combinator.

Ένας από τους Ρώσους ιούς που αναφέρει ο Evgeny Kaspersky στο βιβλίο του "Computer Viruses in MS-DOS" το 1992 παρουσίασε επίσης ποίηση. Το πρόγραμμα Condom-1581 κατά καιρούς επιδείκνυε στο θύμα αφιερωμένο στα προβλήματα της μόλυνσης των ωκεανών του κόσμου με ανθρώπινα απόβλητα.

Γεωγραφία και ημερολόγιο

Το 1987, ο ιός της Ιερουσαλήμ, γνωστός και ως ιός του Ισραήλ, πήρε το όνομά του από τον τόπο της πρώτης ανίχνευσης και η εναλλακτική του ονομασία Black Friday οφειλόταν στο γεγονός ότι ενεργοποιούνταν και διέγραφαν εκτελέσιμα αρχεία εάν έπεφτε η 13η του μήνα. την Παρασκευή.

Σύμφωνα με την αρχή του ημερολογίου, ονομάστηκε ο ιός Michelangelo, ο οποίος προκάλεσε πανικό στα μέσα ενημέρωσης την άνοιξη του 1992. Στη συνέχεια, ο John McAfee, ο οποίος αργότερα έγινε διάσημος για τη δημιουργία ενός από τα πιο ενοχλητικά antivirus, κατά τη διάρκεια ενός συνεδρίου στο Σίδνεϊ για την ασφάλεια στον κυβερνοχώρο, τους δημοσιογράφους και το κοινό: «Εάν εκκινήσετε ένα μολυσμένο σύστημα στις 6 Μαρτίου, όλα τα δεδομένα στον σκληρό σας δίσκο θα καταστραφούν. " Τι σχέση έχει ο Μιχαήλ Άγγελος; Ο Ιταλός καλλιτέχνης είχε τα γενέθλιά του στις 6 Μαρτίου. Ωστόσο, οι φρίκη που προέβλεψε ο McAfee είναι τελικά υπερβολικά υπερβολικοί.

Λειτουργικότητα

Οι δυνατότητες του ιού και η ιδιαιτερότητά του αποτελούν συχνά τη βάση του ονόματος. Το 1990, ένας από τους πρώτους πολυμορφικούς ιούς έλαβε το όνομα Χαμαιλέοντας και η εξαιρετικά κρυφή παρουσία του (που σημαίνει ότι ανήκει στην κατηγορία των ιών stealth) ονομάστηκε Frodo, παραπέμποντας στον ήρωα του Άρχοντα των Δαχτυλιδιών και του Δαχτυλιδιού που κρύβεται από τα μάτια των άλλων.... Και, για παράδειγμα, ο ιός OneHalf του 1994 πήρε το όνομά του λόγω του γεγονότος ότι έδειξε επιθετικότητα μόνο μολύνοντας το ήμισυ του δίσκου της συσκευής που επιτέθηκε.

Τίτλοι υπηρεσιών

Οι περισσότεροι ιοί έχουν ονομαστεί εδώ και πολύ καιρό σε εργαστήρια, όπου αφαιρούνται από την ανάλυση.

Συνήθως αυτά είναι βαρετά τακτικά ονόματα και κοινά "οικογενειακά" ονόματα που περιγράφουν την κατηγορία του ιού, τα συστήματα που επιτίθεται και τι κάνει με αυτά (όπως το Win32.HLLP.DeTroie). Ωστόσο, μερικές φορές, όταν στον κώδικα του προγράμματος είναι δυνατό να αποκαλυφθούν οι υποδείξεις που αφήνουν οι προγραμματιστές, οι ιοί αποκτούν μια μικρή προσωπικότητα. Έτσι εμφανίστηκαν, για παράδειγμα, οι ιοί MyDoom και KooKoo.

Ωστόσο, αυτός ο κανόνας δεν λειτουργεί πάντα - για παράδειγμα, ο ιός Stuxnet, ο οποίος σταμάτησε τις φυγόκεντρες εμπλουτισμού ουρανίου στο Ιράν, δεν αποκαλούσε τον εαυτό του Myrtus, αν και αυτή η λέξη («μυρτιά») στον κώδικα ήταν σχεδόν μια άμεση νύξη για το συμμετοχή των ισραηλινών ειδικών υπηρεσιών στην ανάπτυξή του. Σε αυτή την περίπτωση, κέρδισε το όνομα που δόθηκε στον ιό στα πρώτα στάδια της ανίχνευσής του, το οποίο έχει ήδη γίνει γνωστό στο ευρύ κοινό.

Καθήκοντα

Συμβαίνει συχνά οι ιοί που απαιτούν πολλή προσοχή και προσπάθεια για τη μελέτη τους να λαμβάνουν από εταιρείες προστασίας από ιούς όμορφα ονόματα που είναι πιο εύκολο να ειπωθούν και να γραφτούν - αυτό συνέβη με τον Red October, τη διπλωματική αλληλογραφία και τα δεδομένα που μπορούν να επηρεάσουν τις διεθνείς σχέσεις, καθώς και IceFog, μεγάλης κλίμακας βιομηχανική κατασκοπεία.

Επέκταση αρχείου

Ένας άλλος δημοφιλής τρόπος ονομασίας του είναι με την επέκταση που εκχωρεί ο ιός σε μολυσμένα αρχεία. Έτσι, ένας από τους «στρατιωτικούς» ιούς Duqu, ονομάστηκε έτσι όχι λόγω του Count Dooku από το Star Wars, αλλά λόγω του προθέματος ~ DQ, το οποίο σήμανε τα αρχεία που δημιούργησε.

Ο ιός WannaCry, ο οποίος έκανε θραύση αυτή την άνοιξη, πήρε επίσης το όνομά του και σηματοδοτεί τα δεδομένα που κρυπτογραφούνται από αυτόν με την επέκταση .wncry.

Το παλαιότερο όνομα του ιού Wanna Decrypt0r δεν έγινε αντιληπτό - ακουγόταν χειρότερο και είχε ασυνέπειες στη γραφή. Δεν μπήκαν όλοι στον κόπο να βάλουν "0" για "ο".

"Είστε θύμα του ιού Petya ransomware"

Αυτός είναι ο τρόπος με τον οποίο το πιο πολυσυζητημένο κακόβουλο λογισμικό σήμερα φαίνεται να έχει ολοκληρώσει την κρυπτογράφηση των αρχείων στον υπολογιστή που δέχεται επίθεση. Ο ιός Petya A. δεν έχει μόνο ένα αναγνωρίσιμο όνομα, αλλά και ένα λογότυπο σε μορφή πειρατικού κρανίου με κόκαλα και μια ολόκληρη προώθηση μάρκετινγκ. Βλέποντας μαζί με τον αδερφό του "Misha", ο ιός τράβηξε την προσοχή των αναλυτών ακριβώς γι' αυτό.

Από ένα υποπολιτισμικό φαινόμενο, έχοντας περάσει από μια περίοδο που απαιτούνταν αρκετά σοβαρές τεχνικές γνώσεις για αυτού του είδους το «hacking», οι ιοί έχουν μετατραπεί σε εργαλείο cyber-hop-stop. Τώρα πρέπει να παίζουν σύμφωνα με τους κανόνες της αγοράς - και ποιος τραβάει περισσότερη προσοχή φέρνει στους προγραμματιστές του μεγάλα κέρδη.