Petyaウイルスはどのようにしてコンピュータに侵入しますか。 ウクライナの大規模な感染の背後にいるのは誰ですか。 英国、米国、オーストラリアは、ロシアがNotPetyaを広めたとして公式に非難しました
6月27日火曜日、世界中の企業が電子メールマルウェアによる大規模なサイバー攻撃に見舞われました。 このウイルスは、ハードドライブ上のユーザーデータを暗号化し、ビットコインでお金を引き出します。 多くの人々は、2016年の春に説明されたPetyaウイルスであるとすぐに判断しましたが、ウイルス対策ベンダーは、攻撃が他の新しい悪意のあるプログラムによるものであると信じています。
6月27日の午後、強力なハッカー攻撃が最初にウクライナで発生し、次にいくつかのロシアおよび外国の大手企業が攻撃されました。 多くの人が昨年のPetyaと間違えたこのウイルスは、管理者権限を求めるウィンドウを開くリンクが記載されたスパムメールを介してWindowsを実行しているコンピューターに拡散します。 ユーザーがプログラムに自分のコンピューターへのアクセスを許可すると、ウイルスはユーザーにお金を要求し始めます-ビットコインで300ドル、しばらくすると金額は2倍になります。
2016年初頭に発見されたPetyaウイルスもまったく同じように拡散したため、多くのユーザーがこれを想定していました。 しかし、ウイルス対策ソフトウェア会社の専門家は、他のまったく新しいウイルスが攻撃の原因であるとすでに述べています。 カスペルスキーの専門家はすでに 与えた未知のウイルス名-NotPetya。
予備データによると、これは前述のようにPetyaウイルスではなく、未知の新しいマルウェアです。 したがって、私たちはそれをNotPetyaと名付けました。
Base64でエンコードされた512バイトの検証データとBase64でエンコードされた8バイトのナンスというタイトルの2つのテキストフィールドがあります。 キーを取得するには、プログラムによって抽出されたデータをこれら2つのフィールドに入力する必要があります。
プログラムはパスワードを発行します。 ディスクを挿入し、ウイルスウィンドウを確認して入力する必要があります。
サイバー攻撃の犠牲者
ウクライナの企業は、未知のウイルスに最も苦しんでいました。 ボルィースピリ空港、ウクライナ政府、商店、銀行、メディア、通信会社のコンピューターが感染しました。 その後、ウイルスはロシアに到達しました。 攻撃の犠牲者は、ロスネフチ、バシネフチ、モンデレスインターナショナル、火星、ニベアでした。
ウイルスによるITシステムの問題を報告した外国の組織もあります。英国の広告会社WPP、米国の製薬会社Merck&Co、デンマークの大手貨物運送業者Maerskなどです。 KasperskyLabの国際研究チームの責任者であるKostinRaiuは、これについてTwitterで書いています。
Petrwrap / Petyaランサムウェアの亜種と連絡先 [メール保護]世界中に広がり、多くの国が影響を受けました。
英国、米国、オーストラリアは、ロシアがNotPetyaを広めたとして公式に非難しました
2018年2月15日、英国外務省は、ロシアがNotPetyaランサムウェアウイルスを使用してサイバー攻撃を仕掛けたと非難する公式声明を発表しました。
英国当局によると、攻撃はウクライナの主権をさらに無視していることを示し、これらの無謀な行動の結果として、ヨーロッパ中の多くの組織の活動が中断され、数百万ドルの損失が発生しました。
省は、サイバー攻撃へのロシア政府とクレムリンの関与についての結論は、「ロシア軍が遅れているとほぼ完全に確信している英国国立サイバーセキュリティセンターの結論に基づいて行われたと述べたNotPetya攻撃。」声明は、その同盟国が悪意のあるサイバー活動を容認しないだろうと述べました。
オーストラリアの法執行およびサイバーセキュリティ大臣のAngusTaylorによると、オーストラリアの諜報機関からのデータ、および米国と英国との協議に基づいて、オーストラリア政府は、ロシア政府の支援を受けた攻撃者が事件の原因であると結論付けました。 「オーストラリア政府は、世界経済、政府の運営とサービス、事業活動、そして個人の安全と福祉に深刻なリスクをもたらすロシアの行動を非難している」と声明は述べている。 以前にハッカー攻撃へのロシア当局の関与を繰り返し否定してきたクレムリンは、英国外務省の声明を「嫌悪キャンペーン」の一部と呼んだ。
モニュメント「2017年6月27日に人々に敗北したコンピューターウイルスPetyaがここにあります」
ペティアコンピュータウイルスの記念碑は、2017年12月にスコルコボテクノパークの近くに建てられました。 高さ2メートルの記念碑には、「2017年6月27日に人々に敗北したPetyaコンピュータウイルスがあります。」と書かれています。 かまれたハードドライブの形で作られたものは、大規模なサイバー攻撃の結果に苦しんでいる他の企業の中でも、INVITRO企業の支援を受けて作成されました。 フィステックパークと(MIT)で働くNuという名前のロボットが式典に来てスピーチをしました。
セヴァストポリ政府への攻撃
セヴァストポリの情報通信本部の専門家は、地方政府のサーバーに対するネットワークランサムウェアPetyaの攻撃を撃退することに成功しました。 情報化部門の責任者であるDenisTimofeevは、2017年7月17日、セヴァストポリ政府の装置会議でこれを発表しました。
彼は、Petyaマルウェアは、セヴァストポリの政府機関のコンピューターに保存されているデータにはまったく影響を与えなかったと述べました。
自由ソフトウェアの使用に焦点を当てているのは、2015年に承認されたセバストポリの情報化の概念です。 基本的なソフトウェアや自動化のための情報システム用のソフトウェアの調達と開発では、予算コストを削減し、サプライヤーと開発者への依存を減らす無料の製品を使用する可能性を分析することをお勧めします。
以前、6月末に、医療会社「Invitro」への大規模な攻撃の一環として、セヴァストポリにあるその支店も被害を受けました。 コンピュータネットワークウイルスの敗北により、支部は原因がなくなるまでテスト結果の発行を一時的に停止しました。
「Invitro」は、サイバー攻撃による受験停止を発表しました
医療会社「Invitro」は、6月27日のハッカー攻撃により、生体材料の収集と患者検査結果の発行を停止した。 アントン・ブラノフ社のコーポレートコミュニケーション担当ディレクターはRBCにこれについて語った。
同社のメッセージによると、近い将来、「Invitro」は通常の運用に入る予定です。 この時間以降に実施された研究の結果は、技術的な失敗が解消された後に患者に提供されます。 現在、検査情報システムは復旧しており、調整の過程にあります。 「現在の不可抗力の状況を後悔し、クライアントの理解に感謝します」と「Invitro」で締めくくりました。
この情報によると、ロシア、ベラルーシ、カザフスタンの診療所がコンピューターウイルスに攻撃されました。
ガスプロムやその他の石油・ガス会社への攻撃
2017年6月29日、ガスプロムのコンピューターシステムに対する世界的なサイバー攻撃について知られるようになりました。 したがって、別のロシアの会社がPetyaランサムウェアウイルスに苦しんでいます。
ロイター通信社によると、ロシア政府の情報源と事件の調査に関与した人物を引用して、ガスプロムは合計60か国以上のコンピューターを攻撃したPetyaマルウェアの拡散に苦しんでいました。
新聞の対話者は、ガスプロムで感染したシステムの数と種類、およびハッカーによって引き起こされた被害の量についての詳細を提供しませんでした。 同社はロイターの要請についてコメントを控えた。
一方、ガスプロムの上位RBC筋は、大規模なハッカー攻撃が始まったとき(2017年6月27日)、本社のコンピューターは中断することなく動作しており、2日後も継続していると出版物に語った。 ガスプロムのRBCのさらに2つの情報源は、会社の「すべてが穏やか」であり、ウイルスがないことも保証しました。
石油およびガス部門では、Petyaウイルスがバシネフチとロスネフチに影響を及ぼしました。 後者は6月28日、同社は正常に稼働しており、「個別の問題」は迅速に解決されていると発表した。
銀行と業界
エブラズ、ロイヤルカニンのロシア部門(動物用のユニフォームを製造)、モンデレスのロシア部門(アルペンゴールドとミルカチョコレートのメーカー)でのコンピューターの感染について知られるようになりました。
ウクライナ内務省によると、この男性はファイル共有サイトやソーシャルネットワークに、コンピューターでランサムウェアを起動するプロセスの詳細を説明したビデオを投稿しました。 ビデオへのコメントで、男性はソーシャルネットワーク上の自分のページへのリンクを投稿し、そこにマルウェアをアップロードしました。 「ハッカーの」アパートでの捜索中に、法執行官はNotPetyaの配布に使用されたコンピューター機器を押収しました。 警察はまた、マルウェアを含むファイルを発見しました。その分析の結果、NotPetyaランサムウェアに類似していることが確認されました。 サイバー警察官によって確立されたように、Nikopolの居住者によって公開されたリンクであるランサムウェアプログラムは、ソーシャルネットワークのユーザーによって400回ダウンロードされました。
NotPetyaをダウンロードした人々の中で、法執行官は、犯罪行為を隠蔽し、政府の罰則を回避するために、システムをランサムウェアに故意に感染させた企業を特定しました。 警察が今年の6月27日のハッカー攻撃と男性の活動を関連付けていないことは注目に値します。つまり、NotPetyaの作者が関与していることに疑問の余地はありません。 彼に課せられた行為は、大規模なサイバー攻撃の波の後、今年の7月に行われた行為にのみ関連しています。
アートのパート1に基づいて男性に対して刑事訴訟が開始されました。 ウクライナ刑法の361(コンピューターへの不正な干渉)。 ニコポルチャニンは最大3年の懲役に直面しています。
世界での流通
Petyaランサムウェアウイルスの蔓延は、スペイン、ドイツ、リトアニア、中国、インドで記録されました。 たとえば、インドのマルウェアが原因で、A.P。が運営するジャワハルラールネルーコンテナ港の交通管制技術 Moller-Maerskは、貨物の所有権の認識を停止しました。
サイバー攻撃は、英国の広告グループWPP、世界最大の法律事務所の1つであるDLA Piperのスペイン事務所、および食品大手のMondelezによって報告されました。 フランスの建材メーカーCieも犠牲者の一人でした。 de Saint-Gobainと製薬会社Merck&Co。
メルク
6月のNotPetyaランサムウェア攻撃の影響を大きく受けたアメリカの製薬大手Merckは、まだすべてのシステムを復元して通常の運用に戻すことができません。 これは、2017年7月末に米国証券取引委員会(SEC)に提出された同社の8-Kレポートで報告されました。 詳細。
Moller-MaerskとRosneft
2017年7月3日、デンマークの海運大手Moller-MaerskとRosneftが、6月27日に発生した攻撃からわずか1週間後にPetyaランサムウェアウイルスに感染したITシステムを復元したことが判明しました。
世界中に出荷された貨物コンテナの7分の1を占める海運会社Maerskも、サイバー攻撃の影響を受けた1,500のアプリケーションすべてが最大で2017年7月9日までに通常の運用に戻ると付け加えました。
被害の大部分は、40か国以上で数十の貨物港とコンテナターミナルを運営しているマースクのAPMターミナルのITシステムに発生しました。 1日あたり10万個以上の貨物コンテナが、ウイルスの拡散により作業が完全に麻痺したAPMターミナルの港を通過します。 ロッテルダムのMaasvlakteIIターミナルは、7月3日に配達を再開しました。
2017年8月16日A.P. Moller-Maerskは、Petyaウイルスを使用したサイバー攻撃による被害のおおよその量を挙げました。このウイルスの感染は、ヨーロッパの企業で指摘されているように、ウクライナのプログラムを通過しました。 Maerskによる予備計算によると、2017年第2四半期のPetyaランサムウェアの運用による経済的損失は、2億ドルから3億ドルの範囲でした。
一方、ロスネフチは、ハッカーの攻撃からコンピューターシステムを復元するのに、ほぼ1週間かかりました。これは、同社の報道機関が7月3日にInterfaxに報告したとおりです。
数日前、ロスネフチはサイバー攻撃の結果を評価することはまだ約束されていないことを強調しましたが、生産は苦しんでいません。
Petyaのしくみ
実際、ウイルスの被害者は、感染後にファイルのロックを解除することはできません。 事実、その作成者はそのような可能性をまったく予見していませんでした。 つまり、暗号化されたディスクを事前に復号化することはできません。 マルウェア識別子に、復号化に必要な情報がありません。
当初、専門家は、ロシア、ウクライナ、ポーランド、イタリア、ドイツ、フランス、およびその他の国の約2,000台のコンピューターに感染したウイルスを、すでによく知られているPetyaランサムウェアファミリーにランク付けしました。 しかし、マルウェアの新しいファミリーについて話していることが判明しました。 Kaspersky Labは、新しいランサムウェアExPetrを命名しました。
戦う方法
サイバー脅威との戦いには、銀行、IT企業、および政府の取り組みを組み合わせる必要があります
ポジティブテクノロジーズからのデータ回復方法
2017年7月7日、PositiveTechnologiesの専門家であるDmitrySklyarovが、NotPetyaウイルスによって暗号化されたデータを回復する方法を発表しました。 専門家によると、この方法は、NotPetyaウイルスが管理者権限を持ち、ディスク全体を暗号化した場合に適用できます。
データ回復の可能性は、攻撃者自身によって行われたSalsa20暗号化アルゴリズムの実装におけるエラーに関連しています。 この方法の効率は、テスト媒体と、流行の犠牲者の1人である大企業の暗号化されたハードドライブの1つでテストされました。
データリカバリ会社とISVは、提供されている復号化スクリプトを自由に使用および自動化できます。
調査の結果は、ウクライナのサイバー警察をすでに確認しています。 Juscutumは、調査結果をIntellect-Serviceに対する将来のプロセスの重要な証拠として使用する予定です。
プロセスは土木になります。 ウクライナの法執行機関によって独立した調査が行われています。 彼らの代表者は以前、Intellect-Serviceの従業員に対して訴訟を起こす可能性を発表しました。
M.E.Doc自体は、起こっていたのは会社を襲撃する試みであると述べました。 唯一人気のあるウクライナの会計ソフトウェアのメーカーは、ウクライナのサイバー警察によって行われた会社での検索がこの計画の実施の一部になったと信じています。
Petya暗号化を使用した初期感染ベクトル
5月17日、悪意のあるバックドアモジュールを含まないM.E.Docアップデートがリリースされました。 これはおそらく、XData感染の数が比較的少ないことを説明していると同社は考えています。 攻撃者は、アップデートが5月17日にリリースされることを予期せず、ほとんどのユーザーがすでに安全なアップデートをインストールしていた5月18日に暗号化を開始しました。
バックドアを使用すると、感染したシステムに他のマルウェアをダウンロードして実行できます。これにより、PetyaおよびXData暗号化装置による最初の感染が実行されました。 さらに、このプログラムは、M.E.Docアプリケーションからのログインとパスワード、および被害者を特定できるEDRPOU(Unified State Register of Enterprises and Organizations of Ukraine)に準拠した会社コードを含む、プロキシサーバーの設定と電子メールを収集します。
EsetのシニアウイルスアナリストであるAntonCherepanovは、次のように述べています。 -バックドアはどのくらい使用されていますか? PetyaとXData以外のどのコマンドとマルウェアがこのチャネルを介して送信されましたか? この攻撃の背後にあるサイバーグループによって侵害されたが、まだ悪用されていない他のインフラストラクチャは何ですか?」
Esetの専門家は、インフラストラクチャ、悪意のあるツール、スキーム、攻撃の標的などの一連の兆候に基づいて、Diskcoder.C(Petya)の流行とTelebotsサイバーグループとの関係を確立しました。 このグループの活動の背後にいるのは誰かを確実に特定することはまだできていません。
2017年6月27日、世界は2016年以来専門家に知られているPetyaランサムウェアの新しいバージョンによって引き起こされた新しいランサムウェアの流行に直面しました。 Malvariのオペレーターは、センセーショナルな開発者からのいくつかの手法を明確に採用し、パニックの新たなラウンドを引き起こすことができました。
この記事では、この悪意のあるキャンペーンについて現在知られているすべての情報を収集しようとしました。Petyaの特徴
前述のように、Petyaランサムウェアは2016年3月に戻ってきました。 しかし、2017年6月27日に世界が直面したバージョンは「プチ」のバージョンとは大きく異なります。
2016 Petya-Costin Raiu(@craiu) 2017年6月27日
上の図でわかるように、昨日、ウクライナは影響を受けた国の中でかなりの差でリードしていました。
2017年6月27日、ウクライナのサイバー警察 報告予備的なデータによると、ランサムウェアはウクライナの領土に急速に広がり、M.E.Doc社のソフトウェアに「感謝」しました。 同様の仮定は、CiscoTalosやMicrosoftの専門家を含む情報セキュリティの専門家によって表明されました。
たとえば、サイバー警察は、6月22日に会社のサーバー(upd.me-doc.com.ua)から配布された最新のアップデートがランサムウェアPetyaに感染したと報告しました。
次に、Microsoftの専門家は、6月27日に、M.E.Doc更新プロセス(EzVit.exe)が悪意のあるコマンドの実行を開始し、Petyaのインストールにつながったことに気づいたと書いています(下の図を参照)。
同時に、M.E.Docの公式ウェブサイトに「サーバー上でウイルス攻撃が行われている」というメッセージが表示されましたが、すぐに消えて、Googleのキャッシュでのみ利用できるようになりました。
また、Microsoftは、Petyaの「いくつかのアクティブな感染」が最初は正当なMEDocアップデータプロセスから始まったという証拠があると述べています。
ほとんどすべてのユーザーが自分のコンピューターにウイルス対策プログラムを持っていますが、最高の保護を迂回してデバイスに感染したり、さらに悪いことにデータを暗号化したりする可能性のあるトロイの木馬やウイルスが現れることがあります。 今回、そのようなウイルスは、Petya Trojan暗号化機能、またはPetyaとも呼ばれます。 この脅威の拡散率は非常に印象的です。数日で、ロシア、ウクライナ、イスラエル、オーストラリア、米国、すべての主要なヨーロッパ諸国だけでなく、それを「訪問」することができました。 それは主に企業ユーザー(空港、発電所、観光)を襲ったが、一般の人々も苦しんだ。 その規模と影響力の点で、それは最近のセンセーショナルなものと非常に似ています。
新しいPetyaランサムウェアトロイの木馬の餌食にならないようにするには、間違いなくコンピュータを保護する必要があります。 この記事では、Petyaウイルスとは何か、それがどのように広がるか、そしてこの脅威から身を守る方法について説明します。 さらに、トロイの木馬の削除と情報の復号化の問題についても触れます。
Petyaウイルスとは何ですか?
まず、Petyaとは何かを理解する必要があります。 Petyaウイルスは、ランサムウェア(ランサムウェア)のようなトロイの木馬である悪意のあるソフトウェアです。 これらのウイルスは、暗号化されたデータの身代金を取得するために、感染したデバイスの所有者を脅迫するように設計されています。 Wanna Cryとは異なり、Petyaは個々のファイルを暗号化する必要はありません。ハードドライブ全体をほぼ瞬時に「奪う」のです。
新しいウイルスの正しい名前はPetya.Aです。 さらに、KasperskyはそれをNotPetya / ExPetrと呼んでいます。
Petyaウイルスの説明
Windowsコンピュータに入ると、Petyaはほぼ瞬時に暗号化します MFT(マスターファイルテーブル)。 このテーブルは何を担当していますか?
あなたのハードドライブが宇宙全体で最大のライブラリであると想像してみてください。 何十億冊もの本が含まれています。 では、どのようにして欲しい本を見つけますか? ライブラリカタログのみを使用します。 Petyaが破棄するのはこのディレクトリです。 したがって、PC上で「ファイル」を見つける機会が失われます。 より正確に言えば、Petyaの「作業」の後、コンピュータのハードドライブは竜巻の後の図書館のようになり、本の切れ端がいたるところに飛んでいきます。
したがって、記事の冒頭で述べたWanna Cryとは異なり、Petya.Aは個々のファイルを暗号化せず、それにかなりの時間を費やします。つまり、ファイルを見つける機会がなくなるだけです。
すべての操作の後、彼はユーザーに身代金を要求します-300ドル、これはビットコインアカウントに転送する必要があります。
Petyaウイルスを作成したのは誰ですか?
ウイルスを作成するとき、Petyaは「EternalBlue」と呼ばれるWindows OSのエクスプロイト(「穴」)を使用しました。 マイクロソフトは数か月前にこの穴を「閉じる」パッチをリリースしましたが、すべての人がライセンスされたWindowsのコピーを使用し、すべてのシステムアップデートをインストールするわけではありませんよね?)
「プチ」の作者は、企業や個人のユーザーの不注意を上手に利用してお金を稼ぐことができました。 彼の身元はまだ不明です(そして、知られている可能性は低いです)
Petyaのウイルスはどのように広がりますか?
Petyaウイルスは、ほとんどの場合、電子メールの添付ファイルや海賊版の感染したソフトウェアを含むアーカイブを装って拡散します。 添付ファイルには、写真やmp3を含むすべてのファイルを含めることができます(一見するとそう見えます)。 ファイルを実行すると、コンピューターが再起動し、ウイルスがCHKDSKエラーのディスクチェックをシミュレートします。その時点で、コンピューターのブートレコード(MBR)が変更されます。 その後、コンピュータの画面に赤い頭蓋骨が表示されます。 いずれかのボタンをクリックすると、ファイルの復号化と必要な金額をビットコインウォレットに転送するための支払いを求められるテキストにアクセスできます。
Petyaウイルスから身を守る方法は?
- 最も重要で基本的なこと-オペレーティングシステムのアップデートをインストールすることをルールにしてください! これは非常に重要です。 今それをしなさい、遅れないでください。
- たとえあなたが知っている人からの手紙であっても、手紙に添付されているすべての添付ファイルに細心の注意を払ってください。 流行の間は、データ送信の代替ソースを使用することをお勧めします。
- OS設定で[ファイル拡張子を表示]オプションを有効にします。これにより、常に実際のファイル拡張子を確認できます。
- Windowsの設定で「ユーザーアカウント制御」をオンにします。
- 感染を防ぐために、そのうちの1つをインストールする必要があります。 OSアップデートをインストールすることから始め、次にアンチウイルスをインストールすると、以前よりもはるかに安全になります。
- 必ず「バックアップ」を作成してください。重要なデータはすべて外付けハードドライブまたはクラウドに保存してください。 次に、PetyaウイルスがPCに侵入してすべてのデータを暗号化すると、ハードドライブのフォーマットとOSの再インストールが非常に簡単になります。
- ウイルス対策データベースの関連性を常に確認してください。 すべての優れたウイルス対策ソフトウェアは脅威を監視し、脅威のシグネチャを更新することでタイムリーに対応します。
- 無料のKasperskyAnti-Ransomwareユーティリティをインストールします。 暗号化ウイルスからあなたを守ります。 このソフトウェアをインストールしても、アンチウイルスをインストールする必要はありません。
Petyaウイルスを削除する方法は?
Petya.Aウイルスをハードドライブから削除する方法は? これは非常に興味深い質問です。 事実、ウイルスがすでにデータをブロックしている場合、実際には、削除するものは何もありません。 ランサムウェアの支払いを計画しておらず(これはすべきではありません)、将来ディスク上のデータを回復しようとしない場合は、ディスクをフォーマットしてOSを再インストールするだけです。 その後、ウイルスの痕跡はありません。
感染したファイルがディスクに存在する疑いがある場合は、それらの1つでディスクをスキャンするか、KasperskyAnti-Virusをインストールしてシステム全体のスキャンを実行します。 開発者は、自分の署名データベースにこのウイルスに関する情報がすでに含まれていることを確認しました。
デコーダーPetya.A
Petya.Aは、非常に強力なアルゴリズムを使用してデータを暗号化します。 現時点では、ロックされた情報を復号化するソリューションはありません。 さらに、自宅でデータにアクセスしようとしないでください。
間違いなく、私たちは皆、奇跡的な復号化ツールPetya.Aを手に入れることを夢見ていますが、そのような解決策はありません。 このウイルスは数か月前に世界を襲ったが、暗号化したデータを解読するための治療法は見つかっていない。
したがって、まだPetyaウイルスの被害者になっていない場合は、記事の冒頭で私が行ったアドバイスを聞いてください。 それでもデータの制御を失った場合は、いくつかの方法があります。
- お金を払う。 これを行うのは意味がありません!専門家は、暗号化方式を考えると、ウイルスの作成者がデータを復元したり、回復したりできないことをすでに知っています。
- デバイスからハードドライブを取り外し、慎重にキャビネットに入れて、デコーダーが表示されるのを待ちます。 ちなみに、カスペルスキーは常にこの方向に取り組んでいます。 No RansomWebサイトで利用可能なデコーダーがあります。
- ディスクのフォーマットとオペレーティングシステムのインストール。 マイナス-すべてのデータが失われます。
Petya。ロシアのウイルス
この記事の執筆時点で、ロシアとウクライナでは、バシネフチやロスネフチなどの大企業を含め、80を超える企業が攻撃および感染しています。 このような大企業のインフラストラクチャの感染は、Petya.Aウイルスの深刻さを示しています。 ランサムウェア型トロイの木馬がロシア全土に広がり続けることは間違いありません。そのため、データのセキュリティに注意を払い、記事に記載されているアドバイスに従う必要があります。
Petya.AおよびAndroid、iOS、Mac、Linux
多くのユーザーが心配しています。「しかし、PetyaウイルスがAndroidとiOSを実行しているデバイスに感染する可能性があるかどうか。 私は彼らを落ち着かせます-いいえ、それはできません。 これは、Windowsユーザーのみを対象としています。 LinuxとMacのファンにも同じことが言えます。ぐっすり眠ることができ、何も脅かすことはありません。
結論
そこで、本日、新しいPetya.Aウイルスについて詳しく説明しました。 このトロイの木馬とは何か、どのように機能するかを理解し、感染から身を守り、ウイルスを除去する方法と、Petya復号化ツールを入手する場所を学びました。 この記事と私のヒントがお役に立てば幸いです。
Petyaウイルスは急速に成長しているウイルスであり、2017年6月27日にウクライナのほぼすべての大企業を感染させました。 Petyaウイルスはファイルを暗号化し、身代金を提供します。
新しいウイルスはコンピュータのハードドライブに感染し、ファイル暗号化ウイルスとして機能します。 一定時間後、Petyaウイルスはコンピューター上のファイルを「食べ」、暗号化されます(ファイルがアーカイブされ、重いパスワードが設定されているかのように)
Petyaランサムウェアウイルスに感染したファイルは後で回復できません(回復する割合はありますが、非常に小さいです)
Petyaウイルスの影響を受けたファイルを復元するアルゴリズムはありません
この短くて最も役立つ記事の助けを借りて、#Petyaウイルスから身を守ることができますPetyaまたはWannaCryウイルスを検出し、感染しないようにする方法
インターネット経由でファイルをアップロードする場合は、オンラインのウイルス対策ソフトウェアで確認してください。 オンラインアンチウイルスは、ファイル内のウイルスを事前に検出し、Petyaウイルス感染を防ぐことができます。 ダウンロードしたファイルをVirusTotalで確認して実行するだけです。 PETYA VIRUSをダウンロードしたが、ウイルスファイルを実行しなかった場合でも、ウイルスはアクティブではなく、害はありません。 有害なファイルを起動した後でのみウイルスを起動します。これを覚えておいてください
この方法だけを使用すると、PETYAウイルスに関与しない可能性がすべてあります。
Petyaウイルスは次のようになります。Petyaウイルスから身を守る方法
会社 Symantecすでにインストールされているふりをして、Petyaウイルスから身を守ることができるソリューションを提供しました。
Petyaウイルスがコンピューターに侵入すると、フォルダー内に作成されます C:\ Windows \ perfcファイル perfcまた perfc.dll
ウイルスがすでにインストールされていると見なし、活動を継続しないようにするには、フォルダに作成します C:\ Windows \ perfc空のコンテンツを含むファイルを作成し、変更モードを「読み取り専用」に設定して保存します
または、virus-petya-perfc.zipをダウンロードして、フォルダを解凍します perfcフォルダに C:\ Windows \変更モードを「読み取り専用」に設定します
ウイルスをダウンロード-petya-perfc.zip
2017年6月29日更新
また、両方のファイルをWindowsフォルダーにアップロードすることをお勧めします。 多くの情報源がそのファイルを書いています perfcまた perfc.dllフォルダにある必要があります C:\ Windows \コンピュータがすでにPetyaウイルスに感染している場合の対処方法
すでにPetyaウイルスに感染しているコンピュータの電源を入れないでください。 Petyaウイルスは、感染したコンピューターの電源を入れている間、ファイルを暗号化するように機能します。 つまり、Petyaウイルスの影響を受けるコンピューターの電源を入れたままにしておく限り、新しいファイルや新しいファイルが感染して暗号化される可能性があります。
このコンピューターのウィンチェスターはチェックする価値があります。 LIVECDまたはLIVEUSBとウイルス対策を使用して確認できます
Kaspersky Rescue Disk10を搭載した起動可能なUSBフラッシュドライブ
Dr.WebLiveDiskブータブルUSBフラッシュドライブウクライナ全土にペティアのウイルスを広める人
マイクロソフトは、ウクライナの大企業におけるグローバルネットワーク感染についての見解を表明しています。 その理由は、M.E.Docプログラムの更新でした。 M.E.Docは人気のある会計プログラムです。そのため、アップデートでウイルスを取得したり、M.E.Docプログラムを実行している数千台のPCにPetyaウイルスをインストールしたりするなど、会社に大きな穴が開いています。 また、このウイルスは同じネットワーク上のコンピューターに感染するため、非常に高速に拡散します。
#:PetyaウイルスはAndroidに感染します、Petyaウイルス、Petyaウイルスを検出して削除する方法、Petyaウイルスの処理方法、M.E.Doc、Microsoft、フォルダPetyaウイルスを作成します今日、ランサムウェアウイルスは、ウクライナの公共、商業、民間部門の多くのコンピューターを攻撃しました
前例のないハッカー攻撃により、全国の政府機関や商業組織の多くのコンピューターやサーバーがノックアウトされました
今日、大規模で慎重に計画されたサイバー攻撃により、多くの国有企業や企業の重要なインフラストラクチャが無効になっています。 これは、セキュリティサービス(SBU)によって報告されました。
昼食時から、公共部門と民間部門でのコンピュータ感染の報告がインターネット上で雪だるまのように見え始めました。 政府機関の代表者は、ITインフラストラクチャに対するハッカー攻撃を発表しました。
SBUによると、感染は主に、攻撃者が電子メールで送信したWordファイルとPDFファイルのオープンによるものでした。 ランサムウェアPetya.Aは、Windowsオペレーティングシステムのネットワークの脆弱性を悪用しました。 サイバー犯罪者は、暗号化されたデータのロックを解除するために、ビットコインで300ドルの支払いを要求しました。
国家安全保障防衛評議会のアレクサンドル・トゥルチノフ長官は、保護された回路に含まれていた国家機関(特別なインターネットノード)は被害を受けていないと述べた。 明らかに、政府のコンピューターがPetya.Aの影響を受けたため、内閣はNational Cyber Security CoordinationCenterの推奨事項を適切に実装していませんでした。 財務省、チェルノブイリ原子力発電所、Ukrenergo、Ukrposhta、Novaya Pochta、および多くの銀行は、今日の攻撃に抵抗できませんでした。
しばらくの間、SBU、サイバー警察、および国家特別通信情報保護サービス(SCSSZI)のインターネットページは開かれていませんでした。
6月27日火曜日の夜の時点で、サイバー攻撃に対抗する責任を負っている法執行機関は、Petya.Aがどこから来たのか、誰がその背後にいるのかを明らかにしていません。 SBU、Cyberpolice(そのWebサイトは1日中機能しませんでした)、SSSSZIは、ランサムウェアウイルスによって引き起こされた被害の範囲についてオリンピックの沈黙を維持しました。
Computer Emergency Response Team(CERT-UA、GSSNZIの一部)は、Petyaランサムウェアの影響を排除するためのヒントをリリースしました。 このため、技術専門家はESETソフトウェアの使用を推奨しました。 その後、SBUは、ウイルスからの害を保護または軽減する方法についても話しました。
Petyaウイルス:捕まえない方法、解読する方法、どこから来たのか-ランサムウェアPetyaに関する最新ニュースは、その「活動」の3日目までに、世界のさまざまな国で約30万台のコンピューターにヒットしましたが、これまでのところ誰も持っていません。それを止めた。
Petyaウイルス-ニュース速報を解読する方法。コンピューターへの攻撃後、ランサムウェアPetyaの作成者は300ドル(ビットコイン)の身代金を要求しますが、ユーザーがお金を払ってもPetyaウイルスを解読する方法はありません。 Petyaとの新しいウイルスの違いを認識し、ExPetrと名付けたKaspersky Labの専門家は、特定のトロイの木馬インストールの一意の識別子がそれを復号化するために必要であると主張しています。
同様のランサムウェアPetya / Mischa / GoldenEyeの既知のバージョンでは、インストールIDにこれに必要な情報が含まれていました。 ExPetrの場合、この識別子は存在しない、とRIANovostiは書いています。
Petyaウイルス-それはどこから来たのか、最新のニュース。ドイツのセキュリティスペシャリストは、このランサムウェアが登場した最初のバージョンを提案しました。 彼らの意見では、PetyaウイルスはM.E.Docファイルを開くことによってコンピューターをローミングし始めました。 これは、1C禁止後にウクライナで使用された会計プログラムです。
一方、Kaspersky Labは、ExPetrウイルスの起源と発生源について結論を出すのは時期尚早であると述べています。 攻撃者が大量のデータを持っていた可能性があります。 たとえば、以前のメーリングリストの電子メールアドレスや、コンピュータに侵入する他の効果的な方法などです。
彼らの助けを借りて、ペティアウイルスはウクライナとロシア、そして他の国々を全力で攻撃しました。 しかし、このハッカー攻撃の実際の規模は、数日で明らかになるでしょう-レポート。
Petyaウイルス:それを捕まえない方法、それを解読する方法、それがどこから来たのか-最新ニュース KasperskyLabから新しい名前をすでに受け取っているランサムウェアPetyaについて-ExPetr。
マルウェアの命名の歴史について簡単に説明します。
ブックマークするには
Petya.Aウイルスのロゴ
6月27日、少なくとも80のロシアとウクライナの企業がPetya.Aウイルスに攻撃されました。 このプログラムは、部門や企業のコンピューター上の情報をブロックし、よく知られているランサムウェアウイルスのように、ユーザーにビットコインを要求しました。
悪意のあるプログラムは通常、ウイルス対策会社の従業員によって名前が付けられています。 例外は、ランサムウェア、ランサムウェア、駆逐艦、なりすまし犯罪者で、コンピューター感染に加えて、メディアの大流行を引き起こします。メディアの誇大宣伝が増え、インターネット上で活発な議論が行われています。
ただし、Petya.Aウイルスは新世代の代表です。 彼が自己紹介する名前は、ダークネット市場での彼の認識を高め、人気を高めることを目的とした開発者のマーケティング戦略の一部です。
サブカルチャー現象
当時、コンピューターが少なく、すべてのコンピューターが相互接続されていなかったとき、自己増殖プログラム(まだウイルスではない)がすでに存在していました。 これらの最初の1つは、冗談めかしてユーザーに挨拶し、彼を捕まえて削除することを申し出た人でした。 次は、「クッキー」という単語を入力して「彼にクッキーを与える」ことを要求したクッキーモンスターでした。
初期のマルウェアにもユーモアのセンスがありましたが、その名前とは必ずしも関係がありませんでした。 そのため、Apple-2コンピューター用に設計されたRichard Scrantは、コンピューターを50回ダウンロードするたびに被害者にリズムを読み、ウイルスの名前はコードに隠されていて表示されないことが多く、ジョークや異文化間の言葉に言及していました。その時のオタク。 それらは、メタルバンドの名前、人気のある文学、ボードRPGに関連付けることができます。
20世紀の終わりには、ウイルスの作成者はあまり隠れていませんでした。さらに、プログラムが制御不能になったとき、彼らはプログラムに引き起こされた害を排除することに参加しようとしました。 つまり、Y-Combinatorビジネスインキュベーターの将来の共同創設者によって作成された、パキスタンの破壊的なものでした。
Evgeny Kasperskyが1992年の著書「MS-DOSのコンピュータウイルス」で言及したロシアのウイルスの1つも、詩を示しています。 コンドーム-1581プログラムは、人間の排泄物による世界の海洋の汚染の問題に専念している犠牲者に時々示されました。
地理とカレンダー
1987年、イスラエルウイルスとしても知られるエルサレムウイルスは、最初に検出された場所にちなんで名付けられました。その別名であるブラックフライデーは、月の13日が過ぎた場合に実行可能ファイルがアクティブ化され、削除されたためです。金曜日に。
カレンダーの原則に従って、ミケランジェロウイルスが命名され、1992年の春にメディアでパニックを引き起こしました。 その後、サイバーセキュリティ、ジャーナリスト、一般市民に関するシドニーの会議で、後に最も厄介なウイルス対策の1つを作成したことで有名になったジョン・マカフィーは、次のように述べています。 「」 ミケランジェロはそれと何の関係がありますか? イタリアの芸術家は3月6日に誕生日を迎えました。 ただし、マカフィーが予測した恐怖は、最終的には過度に誇張されています。
機能性
ウイルスの機能とその特異性は、多くの場合、名前の基礎になっています。 1990年に、最初のポリモーフィックウイルスの1つにカメレオンという名前が付けられ、その非常に隠された存在(つまり、ステルスウイルスのカテゴリに属する)はフロドと名付けられました。他の人の目... そして、たとえば、1994年のOneHalfウイルスは、攻撃されたデバイスのディスクの半分に感染するだけで攻撃性を示したという事実からその名前が付けられました。
サービスタイトル
ほとんどのウイルスは、分析によって分解される研究所で長い間名前が付けられてきました。
通常、これらは退屈な序数の名前と、ウイルスのカテゴリ、ウイルスが攻撃するシステム、およびウイルスがそれらを使用して行うことを説明する一般的な「家族」の名前です(Win32.HLLP.DeTroieなど)。 ただし、プログラムコードで開発者が残したヒントを明らかにできる場合は、ウイルスに少し個性が出ることがあります。 これは、たとえば、MyDoomおよびKooKooウイルスが出現した方法です。
ただし、このルールは常に機能するとは限りません。たとえば、イランでウラン濃縮遠心分離機を停止させたStuxnetウイルスは、コード内のこの単語(「マートル」)はほとんど直接の言及でしたが、それ自体をマータスとは呼びませんでした。その開発へのイスラエルの特別サービスの参加。 この場合、すでに一般に知られている、検出の初期段階でウイルスに付けられた名前が勝ちました。
タスク
研究に多くの注意と努力を必要とするウイルスが、ウイルス対策会社から、話しやすく、書き留めやすい美しい名前を受け取ることがよくあります。これは、レッドオクトーバー、外交文書、国際関係に影響を与える可能性のあるデータ、およびIceFog、大規模な産業スパイ。
ファイル拡張子
ウイルスに名前を付けるもう1つの一般的な方法は、ウイルスが感染したファイルに割り当てる拡張子です。 したがって、「軍事」ウイルスの1つであるDuquは、スターウォーズのドゥークー伯爵のためではなく、彼が作成したファイルをマークした〜DQプレフィックスのためにそのように名付けられました。
今年の春に流行したWannaCryウイルスにもその名前が付けられ、暗号化されたデータに.wncry拡張子が付けられています。
Wanna Decrypt0rウイルスの以前の名前は理解できませんでした-それはより悪く聞こえ、書面で矛盾がありました。 誰もが「o」に「0」を付けるのに苦労したわけではありません。
「あなたはPetyaランサムウェアウイルスの犠牲者です」
これが、今日最も話題になっているマルウェアが、攻撃されたコンピューター上のファイルの暗号化を完了したように見える方法です。 Petya A.ウイルスには、わかりやすい名前だけでなく、骨付きの海賊の頭蓋骨の形をしたロゴや、マーケティング全体の宣伝もあります。 兄の「こぐまのミーシャ」と一緒に見られたこのウイルスは、まさにそのせいでアナリストの注目を集めました。
サブカルチャーの現象から、この種の「ハッキング」にはかなり深刻な技術的知識が必要とされていた時期を経て、ウイルスはサイバーホップストップツールに変わりました。 今、彼らは市場のルールに従わなければなりません-そして誰がもっと注目を集めるかは彼らの開発者に大きな利益をもたらします。