Virüs nereden geldi? Petya'nın Nereden Geldiği: M.E doc bir hacker saldırısı ile suçlandı. Petya kimdir?
Dünyanın dört bir yanındaki şirketler, 27 Haziran Salı günü e-posta kötü amaçlı yazılımları tarafından büyük bir siber saldırıya uğradı. Virüs, sabit disklerdeki kullanıcı verilerini şifreler ve bitcoin cinsinden parayı zorlar. Birçok kişi hemen 2016 baharında açıklanan Petya virüsü olduğuna karar verdi, ancak antivirüs satıcıları saldırının başka bir kötü amaçlı programdan kaynaklandığına inanıyor.
27 Haziran öğleden sonra güçlü bir hacker saldırısı önce Ukrayna'da, ardından birkaç büyük Rus ve yabancı şirkette gerçekleşti. Birçoğunun geçen yılki Petya ile karıştırdığı virüs, Windows çalıştıran bilgisayarlara, yönetici hakları isteyen bir pencere açan bir bağlantı içeren bir spam e-posta yoluyla yayılıyor. Kullanıcı programın bilgisayarına erişmesine izin verirse, virüs kullanıcıdan 300 dolarlık bitcoins para talep etmeye başlar ve bir süre sonra miktar iki katına çıkar.
2016 yılının başlarında keşfedilen Petya virüsü de aynı şekilde yayıldı, pek çok kullanıcı bunun böyle olduğunu varsaydı. Ancak virüsten koruma yazılımı şirketlerinden uzmanlar, saldırının sorumlusunun yine de üzerinde çalışacakları tamamen yeni başka bir virüsün olduğunu zaten belirttiler. Kaspersky Lab uzmanları şimdiden verilmiş bilinmeyen virüs adı - NotPetya.
Ön verilerimize göre bu daha önce bahsettiğimiz bir Petya virüsü değil, bizim bilmediğimiz yeni bir kötü amaçlı yazılım. Bu nedenle adını NotPetya koyduk.
Base64 kodlu 512 bayt doğrulama verisi ve Base64 kodlu 8 bayt nonce başlıklı iki metin alanı olacaktır. Anahtarı almak için program tarafından çıkarılan verileri bu iki alana girmeniz gerekir.
Program bir şifre verecektir. Diski takarak ve virüs penceresini görerek girilmesi gerekecektir.
siber saldırı kurbanları
Bilinmeyen virüsten en çok Ukraynalı şirketler zarar gördü. Boryspil havaalanının bilgisayarlarına, Ukrayna hükümetine, mağazalara, bankalara, medya ve telekomünikasyon şirketlerine virüs bulaştı. Ondan sonra virüs Rusya'ya ulaştı. Saldırının kurbanları Rosneft, Bashneft, Mondelеz International, Mars, Nivea idi.
Bazı yabancı kuruluşlar bile virüs nedeniyle BT sistemlerinde sorunlar olduğunu bildirdi: İngiliz reklam şirketi WPP, Amerikan ilaç şirketi Merck & Co, büyük Danimarkalı kargo taşıyıcısı Maersk ve diğerleri. Kaspersky Lab'deki uluslararası araştırma ekibinin başkanı Kostin Raiu, bu konuda Twitter'da yazdı.
Temaslı Petrwrap / Petya fidye yazılımı varyantı [e-posta korumalı] dünya çapında yayılıyor, çok sayıda ülke etkilendi.
Positive Technologies'e göre Rusya ve Ukrayna'da 80'den fazla kuruluş Petya'nın eylemlerinden etkilendi. WannaCry ile karşılaştırıldığında, bu virüs, Windows Yönetim Araçları, PsExec ve EternalBlue istismarını kullanarak çeşitli yöntemlerle yayıldığı için daha yıkıcı olarak kabul edilir. Ayrıca ücretsiz yardımcı program Mimikatz fidye yazılımına entegre edilmiştir.
Positive Technologies, "Böyle bir araç seti, Petya'nın WannaCry dersinin dikkate alındığı ve ilgili güvenlik güncellemelerinin yüklendiği altyapılarda bile çalışır durumda kalmasını sağlıyor, bu yüzden fidye yazılımı bu kadar etkili" dedi.
Şirketin bilgi güvenliği tehdit müdahale departmanı başkanı Elmar Nabigayev Gazeta.Ru'ya şunları söyledi:
Mevcut durumun ortaya çıkmasının nedenlerinden bahsedersek, sorun yine bilgi güvenliği sorunlarına karşı dikkatsiz bir tutum içindedir.
Avast virüs laboratuvarı başkanı Jakub Kroustek, Gazeta.Ru'ya bu siber saldırının arkasında tam olarak kimin olduğunu kesin olarak belirlemenin imkansız olduğunu, ancak Petya virüsünün RaaS iş modeline göre darknet'te yayıldığının zaten bilindiğini söyledi. (hizmet olarak kötü amaçlı yazılım).
Kroustek, "Böylece programın dağıtımcılarının payı fidyenin %85'ine ulaşıyor, %15'i fidye yazılımı virüsünün yazarlarına gidiyor" dedi. Petya'nın yazarlarının, programlama deneyimi olmasa bile insanları virüsü yaymaya çekmeye yardımcı olan tüm altyapıyı, C&C sunucularını ve para transfer sistemlerini sağladığını kaydetti.
Ayrıca Avast, virüsten en çok hangi işletim sistemlerinin etkilendiğini söyledi.
Windows 7, virüs bulaşan tüm bilgisayarların %78'inde ilk sırada yer aldı. Sıradaki Windows XP (%18), Windows 10 (%6) ve Windows 8.1 (%2).
Kaspersky Lab, virüsün Petya ailesine benzemesine rağmen hala farklı bir kategoriye ait olduğunu düşündü ve ona farklı bir isim verdi - ExPetr, yani "eski Peter".
Aydeko Geliştirme Direktör Yardımcısı Dmitry Khomutov, Gazeta.Ru muhabirine, WannaCry ve Petya virüslerinin yaptığı siber saldırıların uzun süredir uyarıda bulunduğu şeye, yani kullanılan bilgi sistemlerinin küresel güvenlik açığına yol açtığını açıkladı. her yerde.
Khomutov, "Amerikan şirketlerinin istihbarat servisleri için bıraktığı boşluklar bilgisayar korsanlarının kullanımına açıldı ve geleneksel siber suçlu cephaneliği - fidye yazılımı, botnet istemcileri ve ağ solucanları ile hızla aşıldı." Dedi.
Böylece, WannaCry dünya topluluğuna pratikte hiçbir şey öğretmedi - bilgisayarlar korumasız kaldı, sistemler güncellenmedi ve eski sistemler için bile yama yayınlama çabaları boşa gitti.
Uzmanlar, bilgisayar korsanlarının iletişim için bıraktıkları posta adresi yerel bir sağlayıcı tarafından engellendiğinden, gerekli fidyeyi bitcoin olarak ödememeye çağırıyor. Bu nedenle, siber suçluların "dürüst ve iyi niyetli" olması durumunda bile, kullanıcı yalnızca para kaybetmekle kalmayacak, aynı zamanda verilerinin kilidini açmak için talimatlar da almayacak.
Ukrayna'ya en çok Petya zarar verdi. Kurbanlar arasında Zaporozhyeoblenergo, Dneproenergo, Kiev Metrosu, Ukraynalı mobil operatörler Kyivstar, LifeCell ve Ukrtelecom, Auchan mağazası, Privatbank, Boryspil havaalanı ve diğerleri vardı.
Ukraynalı yetkililer siber saldırıdan hemen Rusya'yı sorumlu tuttu.
"Milyonlarca kişisel bilgisayar kullanıcısı arasında korku ve dehşet tohumları eken ve iş ve devlet kurumlarının istikrarsızlaşması nedeniyle doğrudan maddi hasara neden olan siber uzaydaki savaş, Rus imparatorluğunun Ukrayna'ya karşı hibrit savaşının genel stratejisinin bir parçasıdır" dedi. Halk Cephesi'nden bir milletvekili ".
Petya'nın bir muhasebe yazılımı olan M.E.doc'un otomatik güncellemesi yoluyla ilk yaygınlaşmasından en çok Ukrayna etkilenmiş olabilir. Ukrayna departmanlarına, altyapı tesislerine ve ticari şirketlere bu şekilde virüs bulaştı - hepsi bu hizmeti kullanıyor.
ESET Rusya'nın basın servisi Gazeta.Ru'ya, güvenlik güncellemeleri olmayan savunmasız bir bilgisayarın Petya virüsünü kurumsal bir ağa bulaştırmak için yeterli olduğunu açıkladı. Onun yardımıyla kötü amaçlı program ağa girer, yönetici hakları kazanır ve diğer cihazlara yayılır.
Ancak, M.E.doc bu versiyonun resmi bir reddi ile çıktı.
“Siber saldırıların kökenleri ve dağılımının tartışılması, kullanıcılar tarafından sosyal ağlarda, forumlarda ve diğer bilgi kaynaklarında aktif olarak yürütülür; ifadesinde, nedenlerinden biri M.E.Doc programında güncellemelerin yüklenmesini gösterir. M.E.Doc geliştirme ekibi bu bilgiyi reddediyor ve bu tür sonuçların kesinlikle hatalı olduğunu beyan ediyor, çünkü M.E.Doc geliştiricisi, bir yazılım ürününün sorumlu tedarikçisi olarak kendi kodunun güvenliğini ve saflığını izliyor, "- dedi.
Bir dizi Rus ve Ukraynalı şirket, Petya fidye yazılımı virüsü tarafından saldırıya uğradı. Sitenin ağ sürümü, etkileşimli AGIMA ajansı olan Kaspersky Lab'den uzmanlarla konuştu ve kurumsal bilgisayarların bir virüsten nasıl korunacağını ve Petya'nın aynı derecede iyi bilinen WannaCry fidye yazılımı virüsüne nasıl benzediğini öğrendi.
Petya virüsü
Rusya'da Rosneft, Bashneft, Mars, Nivea şirketleri ve çikolata üreticisi Alpen Gold Mondelez International. Çernobil nükleer santralinin bir fidye yazılımı virüsü radyasyon izleme sistemi. Ayrıca saldırı, Ukrayna hükümeti, Privatbank ve telekom operatörlerinin bilgisayarlarını da etkiledi. Virüs bilgisayarları engelliyor ve bitcoin olarak 300 dolarlık bir fidye talep ediyor.
Twitter'daki bir mikroblogda, Rosneft'in basın servisi, şirketin sunucularına yönelik bir hacker saldırısından bahsetti. Mesajda, "Şirketin sunucularına güçlü bir hacker saldırısı gerçekleştirildi. Bunun mevcut adli prosedürlerle bir ilgisi olmadığını umuyoruz. Aslında şirket siber saldırı gerçeği üzerine kolluk kuvvetlerine başvurdu" diyor.
Şirketin basın sekreteri Mikhail Leontyev'e göre, Rosneft ve yan kuruluşları normal şekilde çalışıyor. Saldırıdan sonra şirket, petrol üretimi ve işlenmesinin durmaması için üretim süreçleri için bir yedek kontrol sistemine geçti. Ev Kredisi banka sistemi de saldırıya uğradı.
"Petya", "Misha" olmadan bulaşmaz
Buna göre AGIMA İcra Direktörü Evgeny Lobanova, aslında saldırı iki fidye yazılımı virüsü tarafından gerçekleştirildi: Petya ve Misha.
"Birlikte çalışırlar. Petya, Misha olmadan bulaşmaz. Bulaşabilir, ancak dünkü saldırı iki virüstü: önce Petya, sonra Misha. Petya, önyükleme aygıtını (bilgisayarın önyükleme yaptığı yer) yeniden yazar ve Misha - dosyaları buna göre şifreler. belirli bir algoritma, - uzman açıkladı. - Petya, disk önyükleme sektörünü (MBR) şifreler ve kendi ile değiştirir, Misha zaten diskteki tüm dosyaları şifreler (her zaman değil). "
Bu yıl Mayıs ayında büyük küresel şirketlere saldıran WannaCry fidye yazılımı virüsünün Petya'ya benzemediğini, bunun yeni bir versiyon olduğunu kaydetti.
"Petya.A, WannaCry ailesindendir (veya daha doğrusu WannaCrypt), ancak asıl fark, neden aynı virüs olmadığıdır, MBR'nin yerini kendi önyükleme sektörü ile değiştirmiştir - bu, Fidye Yazılımı için bir yeniliktir. Petya virüs uzun zaman önce ortaya çıktı, GitHab'da (BT projeleri ve ortak programlama için çevrimiçi bir hizmet - site) https://github.com/leo-stone/hack-petya "target =" _blank "> bunun için bir şifre çözücü vardı şifreleyici, ancak yeni değişiklik için hiçbir şifre çözücü uygun değil.
Yevgeny Lobanov, saldırının Ukrayna'yı Rusya'dan daha sert vurduğunu vurguladı.
"Diğer Batılı ülkelere göre saldırılara karşı daha duyarlıyız. Virüsün bu versiyonundan korunacağız, ancak değişikliklerinden korunmayacağız. İnternetimiz güvensiz, Ukrayna'da daha da az. Temel olarak nakliye şirketleri, bankalar, mobil operatörler ( Vodafone, Kyivstar) ve tıp şirketleri, aynı Farmmag, Shell benzin istasyonları - hepsi çok büyük kıtalararası şirketler "dedi.
AGIMA'nın genel müdürü, şimdiye kadar virüsün dağıtıcısının coğrafi konumunu gösterecek hiçbir gerçek olmadığını kaydetti. Ona göre, virüs muhtemelen Rusya'da ortaya çıktı. Ne yazık ki, bunun doğrudan bir kanıtı yoktur.
"İlk değişiklik Rusya'da ortaya çıktığından ve kimsenin sırrı olmayan virüsün kendisinin adını Petro Poroshenko'dan aldığından, bunların bizim bilgisayar korsanlarımız olduğuna dair bir varsayım var. Bu, Rus bilgisayar korsanlarının bir gelişimiydi, ancak kim daha da değiştirdi? Rusya'da bile, örneğin Amerika Birleşik Devletleri'nde coğrafi konumu olan bir bilgisayarı ele geçirmenin kolay olduğunu söylemek zor, "diye açıkladı uzman.
"Bilgisayarınıza aniden virüs bulaşırsa bilgisayarı kapatamazsınız. Yeniden başlatırsanız sisteme bir daha asla giremezsiniz."
"Bir bilgisayara aniden virüs bulaşırsa, bilgisayarı kapatamazsınız, çünkü Petya virüsü, işletim sisteminin yüklendiği ilk önyükleme sektörü olan MBR'nin yerini alır. Yeniden başlatırsanız, sisteme bir daha asla giremezsiniz. tablet "bu verileri iade etmek imkansız olacak.Sonra, bilgisayarın çevrimiçi olmaması için hemen İnternet bağlantısını kesmeniz gerekiyor.Microsoft'tan resmi bir yama zaten yayınlandı, yüzde 98 güvenlik garantisi sağlıyor.Ne yazık ki, henüz 100 değil yüzde. Virüsün belirli bir modifikasyonunu (üç parça), şimdiye kadar atlıyor, "diye önerdi Lobanov. - Bununla birlikte, yine de yeniden başlattıysanız ve "diski kontrol et" işleminin başladığını gördüyseniz, şu anda bilgisayarınızı hemen kapatmanız gerekir ve dosyalar şifrelenmemiş kalacaktır ..
Ayrıca uzman, neden en sık MacOSX (Apple'ın işletim sistemi - sitesi) ve Unix sistemlerine değil de Microsoft kullanıcılarının saldırıya uğradığına değindi.
"Burada sadece MacOSX'ten değil, tüm unix sistemlerinden bahsetmek daha doğru olur (ilke aynıdır). Virüs mobil cihazlar olmadan sadece bilgisayarlara yayılır. Saldırı Windows işletim sistemini etkiler ve sadece bu kullanıcıları tehdit eder. otomatik sistem güncelleme işlevini devre dışı bırakanlar. Güncellemeler istisna olarak, Windows'un artık güncellenmeyen eski sürümlerinin sahipleri için bile kullanılabilir: XP, Windows 8 ve Windows Server 2003, "dedi uzman.
"MacOSX ve Unix küresel olarak bu tür virüslere maruz kalmıyor, çünkü birçok büyük şirket Microsoft altyapısını kullanıyor. MacOSX, devlet kurumlarında çok yaygın olmadığı için hassas değil. Microsoft'a saldırın, "dedi uzman.
"Saldırıya uğrayan kullanıcı sayısı iki bine ulaştı"
Kaspersky Lab basın servisinde Uzmanları en son enfeksiyon dalgasını araştırmaya devam eden , "bu fidye yazılımı, birçok ortak kod satırına sahip olmasına rağmen, zaten iyi bilinen Petya fidye yazılımı ailesine ait değil" dedi.
Laboratuvar, bu durumda Petya'dan önemli ölçüde farklı işlevselliğe sahip yeni bir kötü amaçlı yazılım ailesinden bahsettiğimizden emindir. Kaspersky Lab, yeni fidye yazılımına ExPetr adını verdi.
"Kaspersky Lab'e göre saldırıya uğrayan kullanıcı sayısı iki bine ulaştı. Olayların çoğu Rusya ve Ukrayna'da kaydedildi ve enfeksiyon vakaları Polonya, İtalya, İngiltere, Almanya, Fransa, Amerika Birleşik Devletleri'nde gözlemlendi. ve diğer birkaç ülke. Şu anda uzmanlarımız, kötü amaçlı yazılımın birkaç saldırı vektörü kullandığını öne sürüyor. Şirket ağlarına yayılmak için değiştirilmiş bir EternalBlue ve bir EternalRomance istismarının kullanıldığı tespit edildi, "dedi.
Uzmanlar ayrıca verilerin şifresini çözmek için kullanılabilecek bir kod çözücü aracı oluşturma olasılığını da araştırıyorlar. Laboratuvar ayrıca gelecekte bir virüs saldırısından kaçınmak için tüm kuruluşlara önerilerde bulundu.
"Kuruluşların Windows güncellemelerini yüklemelerini öneririz. Windows XP ve Windows 7, MS17-010 güvenlik güncellemesini yüklemeli ve etkili bir yedekleme sistemine sahip olmalarını sağlamalıdır. Zamanında ve güvenli veri yedeklemeleri, kötü amaçlı yazılım tarafından şifrelenmiş olsalar bile orijinal dosyaları geri yüklemenizi sağlar. , "Kaspersky Lab uzmanları tavsiye etti.
Laboratuvar ayrıca kurumsal müşterilerinin tüm koruma mekanizmalarının etkinleştirildiğinden, özellikle Kaspersky Security Network'ün bulut altyapısına bağlı olduklarından emin olmalarını tavsiye eder; ek bir önlem olarak Uygulama Ayrıcalığı Kontrolü bileşeninin kullanılması önerilir. tüm uygulama gruplarının yürütülmesine erişimi reddetmek için) "perfc.dat" vb. adlı bir dosya.
"Kaspersky Lab ürünlerini kullanmıyorsanız, işletim sisteminde bulunan AppLocker işlevini kullanarak (işletim sistemi - web sitesi) Sysinternals paketinden PSExec yardımcı programının başlatılmasını engellemenin yanı sıra perfc.dat adlı dosyanın yürütülmesini engellemenizi öneririz. ) Pencereler", laboratuvarda önerilir.
12 Mayıs 2017'de, birçoğu - bilgisayarların sabit disklerindeki verilerin şifreleyicisi. Cihazı kilitler ve fidyeyi ödemeyi talep eder.
Virüs, Sağlık Bakanlığı, Acil Durumlar Bakanlığı, İçişleri Bakanlığı, mobil operatörlerin sunucuları ve birkaç büyük bankanın saldırıya uğradığı Rusya da dahil olmak üzere dünya çapında düzinelerce ülkedeki kuruluşları ve departmanları etkiledi.Virüsün yayılması yanlışlıkla ve geçici olarak durduruldu: Bilgisayar korsanları yalnızca birkaç satır kod değiştirirse, kötü amaçlı yazılım yeniden çalışmaya başlar. Programdan kaynaklanan hasarın 1 milyar dolar olduğu tahmin ediliyor. Dilbilimsel bir adli analizden sonra uzmanlar, WannaCry'nin Çin veya Singapur'dan gelen göçmenler tarafından oluşturulduğunu buldu.
WannaCry ile aynı "deliklerden" geçse de, tüm dünya yeni virüse karşı koruma sağlıyor
WannaCry fidye yazılımının yayılmasından sonra, dünyadaki bilgisayarlar yeniden siber saldırılara maruz kaldı. Petya virüsü, Avrupa ve Amerika Birleşik Devletleri'ndeki çeşitli ülkelerdeki cihazları etkiledi. Ancak hasarın çoğu, yaklaşık 80 şirketin etkilendiği Rusya ve Ukrayna'daki bilgisayarlarda meydana geldi. Fidye yazılımı virüsü, etkilenen bilgisayarların sahiplerinden para veya kripto para talep etti, ancak siber uzmanlar dolandırıcılara kanmamanın bir yolunu buldu. Petya'nın kim olduğu ve onunla tanışmaktan nasıl kaçınılacağı hakkında - Realnoe Vremya materyalinde.
Petit Kurbanları: Rosneft'ten Çernobil Nükleer Santraline
Petya virüsünün kitlesel yayılması 27 Haziran'da başladı. İlk zarar gören Ukrayna oldu: Yerel basında çıkan haberlere göre, büyük enerji şirketlerinin bilgisayarları - Ukrenergo, DTEK ve Kyivenergo saldırıya uğradı. Şirketlerden birinin çalışanı gazetecilere verdiği demeçte, 27 Haziran sabahı iş bilgisayarının yeniden başlatıldığını ve ardından sistemin iddiaya göre sabit sürücüyü kontrol etmeye başladığını söyledi. Sonra aynı şeyin ofisteki tüm bilgisayarlarda olduğunu gördü. Bilgisayarı kapattı ama cihazı açtıktan sonra ekranda fidye mesajı belirdi. Virüs ayrıca bazı Ukrayna bankalarının bilgisayarlarını, Ukrayna Hazinesini, Bakanlar Kurulunu, Ukrtelecom şirketini ve Boryspil havalimanını da etkiledi.
Petya, Çernobil nükleer santralindeki arka plan radyasyonunu izlemek için bilgisayar sistemine de saldırdı. Meduza, aynı zamanda istasyonun tüm sistemlerinin normal çalıştığını ve radyasyon arka planının kontrol sistemini geçmediğini bildirdi. 27 Haziran akşamı, Ukrayna İçişleri Bakanlığı'nın resmi Facebook sayfasında temyiz virüsle mücadele için bir yol geliştirilene kadar bilgisayarları kapatma önerisiyle ülke sakinlerine.
Rusya'da, Rosneft'in sunucuları Petya fidye yazılımı virüsü tarafından saldırıya uğradı. Rosneft sözcüsü Mikhail Leontyev, Petya virüsünün hacker saldırıları ile şirketin AFK Sistema'ya yönelik iddiası arasındaki bağlantıyı gördü. Business FM yayınında, Bashneft'in yönetimi hakkındaki verileri rasyonel olarak yok etmek için bir virüs kullanma girişimini çağırdı. Rus bankacılık sisteminin bilgi altyapısı nesnelerinin izole enfeksiyon vakaları kaydedildi. Konut Kredisi Bankası siber saldırılar nedeniyle faaliyetlerini durdurdu ve kredi kuruluşunun internet sitesinin çalışması da aksadı. Interfax'a göre şubeler yalnızca danışmanlık modunda çalışırken ATM'ler normal modda çalıştı.
28 Haziran'da medya ayrıca İngiltere, Hollanda, Danimarka, İspanya, Hindistan, Litvanya, Fransa ve Amerika Birleşik Devletleri'ndeki bilgisayarlara yönelik bir saldırı olduğunu bildirdi.
Mikhail Leontyev, Petya virüsünün hacker saldırıları ile AFK Sistema'ya açılan dava arasındaki bağlantıyı gördü. Fotoğraf polit.ru
WannaCry'a karşı koruma "Petit"e karşı güçsüzdür
Petya'nın nasıl çalıştığı, diskin önyükleme sektörünün Ana Önyükleme Kaydının (MBR) şifrelenmesine dayanır. Bu kayıt, sabit diskteki ilk sektördür; bölüm tablosunu ve bu tablodan sistemin sabit diskteki hangi bölümden önyükleme yapacağına ilişkin bilgileri okuyan yükleyici programı içerir. Orijinal MBR, diskin 0x22 sektöründe depolanır ve 0x07 ile bir bayt XOR işlemi kullanılarak şifrelenir. Sonuç olarak, Positive Technologies uzmanlarına göre bilgisayar diskindeki bilgiler virüs verileriyle değiştirilecek.
Kötü amaçlı dosya başlatıldıktan sonra bilgisayarı yeniden başlatmak için 1-2 saat gecikmeli bir görev oluşturulur. Yeniden başlatmanın ardından disk başarıyla şifrelendiyse, ekranda bir dosya kilit açma anahtarı elde etmek için 300 dolarlık bir fidye ödemesi (veya kripto para biriminde vermesi) talebiyle bir mesaj görüntülenir. Bu arada, fidye yazılımı tarafından kullanılan posta adresi zaten bloke edildi ve bu da para transferini işe yaramaz hale getiriyor.
Petya, EternalBlue kod adlı bir Windows açığından yararlanır. Kötü şöhretli WannaCry, aynı güvenlik açığını kullanarak bilgisayarları istila etti. İstismar sayesinde Petya, Windows Yönetim Araçları (Windows platformunda çalışan bilgisayar altyapısının çeşitli bölümlerinin merkezi yönetimi ve izlenmesi için bir araç) ve PsExec (uzak sistemlerde işlem yürütmenizi sağlar) aracılığıyla yayıldı ve maksimum ayrıcalıklar elde etti. savunmasız sistem. Bu, bilgisayarlarda WannaCry karşıtı güncellemeler yüklü olsa bile virüsün çalışmaya devam etmesine izin verdi.
Bootrec / fixMbr komutu ve Not Defteri'ne yazma
Ünlü Fransız bilgisayar korsanı ve yazılım geliştiricisi Mathieu Suchet Twitter'da
WannaCry benzeri büyük çaplı bir saldırıya maruz kalan Rusya ve Ukrayna ülkelerinde 27 Haziran 2017 tarihinde kaydedilen hacker tehdidinden belki de haberdarsınızdır. Virüs bilgisayarları engelliyor ve dosyaların şifresini çözmek için bitcoin cinsinden bir fidye talep ediyor. Toplamda, Rus Rosneft ve Bashneft dahil olmak üzere her iki ülkede de 80'den fazla şirket etkilendi.
Kötü şöhretli WannaCry gibi fidye yazılımı virüsü, tüm bilgisayar verilerini engelledi ve 300 dolara eşdeğer bitcoin cinsinden bir fidyenin suçlulara aktarılmasını talep ediyor. Ancak Wanna Cry'den farklı olarak Petya, tek tek dosyaları şifrelemekle uğraşmaz - neredeyse anında tüm sabit sürücünüzü "alır".
Bu virüsün doğru adı Petya.A. ESET raporu, Diskcoder.C'nin (diğer adıyla ExPetr, PetrWrap, Petya veya NotPetya) bazı özelliklerini ortaya koyuyor
Tüm kurbanların istatistiklerine göre, virüs, virüslü ekleri olan kimlik avı e-postalarında yayıldı. Genellikle bir mektup, bir metin belgesini açma talebiyle birlikte gelir, ancak bildiğimiz gibi ikinci dosya uzantısı txt.exe gizlidir ve son dosya uzantısı önceliklidir. Varsayılan olarak, Windows işletim sistemi dosya uzantılarını görüntülemez ve şöyle görünürler:
8.1'de gezgin penceresinde (Görünüm\Klasör Seçenekleri\Kayıtlı dosya türleri için uzantıları gizle onay kutusunun işaretini kaldırın)
Gezgin penceresinde 7'de (Alt \ Araçlar \ Klasör seçenekleri \ Kayıtlı dosya türleri için uzantıları gizle onay kutusunun işaretini kaldırın)
Ve en kötüsü, kullanıcıların bilinmeyen kullanıcılardan gelen mektuplardan ve anlaşılmaz dosyaları açmalarını istemelerinden utanmamasıdır.
Dosyayı açtıktan sonra, kullanıcı bir "mavi ölüm ekranı" görür.
Yeniden başlatmanın ardından, "Diski Tara" başlatılıyor gibi görünüyor, aslında virüs dosyaları şifreliyor.
Diğer fidye yazılımlarından farklı olarak, bu virüs başlatıldığında, bilgisayarınızı hemen yeniden başlatır ve yeniden başlatıldığında ekranda bir mesaj belirir: “PC'NİZİ KAPATMAYIN! BU İŞLEMİ DURDURDUĞUNUZDA TÜM VERİLERİNİZİ YOK EDEBİLİRSİNİZ! LÜTFEN BİLGİSAYARINIZIN ŞARJ CİHAZINA BAĞLI OLDUĞUNDAN EMİN OLUN! ”. Bu bir sistem hatası gibi görünse de aslında Petya şu anda gizli modda sessizce şifreleme yapıyor. Kullanıcı sistemi yeniden başlatmaya veya dosyaları şifrelemeyi durdurmaya çalışırsa, ekranda “HERHANGİ BİR TUŞA BASIN!” metniyle birlikte yanıp sönen kırmızı bir iskelet belirir. Son olarak, tuşa bastıktan sonra fidye notu ile yeni bir pencere açılacaktır. Bu notta kurbandan yaklaşık 400 dolar olan 0,9 bitcoin ödemesi isteniyor. Ancak, bu sadece bir bilgisayar için fiyattır. Bu nedenle, çok bilgisayarı olan şirketler için miktar binlerce olabilir. Bu fidye yazılımını diğerlerinden ayıran şey, bu kategorideki diğer virüslerin verdiği normal 12-72 saat yerine, fidyeyi ödemeniz için size tam bir hafta vermesidir.
Üstelik Petya'nın sorunları bununla da bitmiyor. Bu virüs sisteme girdiğinde, işletim sistemini başlatmak için gerekli olan Windows önyükleme dosyalarının veya sözde önyükleme sihirbazının üzerine yazmaya çalışacaktır. Önyüklenebilir ana kayıt (MBR) ayarlarını geri yüklemezseniz, Petya virüsünü bilgisayarınızdan kaldıramazsınız. Bu ayarları düzeltmeyi ve virüsü sisteminizden kaldırmayı başarsanız bile, ne yazık ki dosyalarınız şifreli kalacaktır, çünkü virüsün kaldırılması dosyaların şifresini çözmez, sadece bulaşıcı dosyaları siler. Bilgisayarınızla çalışmaya devam etmek istiyorsanız, elbette, virüs temizleme çok önemlidir.
Petya, Windows bilgisayarınızda bir kez MFT'yi (Ana Dosya Tablosu) neredeyse anında şifreler. Bu tablo neden sorumludur?
Sabit sürücünüzün tüm evrendeki en büyük kitaplık olduğunu hayal edin. Milyarlarca kitap içerir. Peki istediğiniz kitabı nasıl bulacaksınız? Sadece kütüphane kataloğunu kullanarak. Petya'nın yok ettiği bu dizin. Böylece, PC'nizde herhangi bir "dosya" bulma fırsatını kaybedersiniz. Daha kesin olmak gerekirse, Petya "çalıştıktan" sonra, bilgisayarınızın sabit diski bir kasırgadan sonra her yerde kitap parçaları uçuşan bir kütüphaneye benzeyecektir.
Böylece, Wanna Cry'den farklı olarak Petya.A, tek tek dosyaları şifrelemez, etkileyici bir zaman kaybı sağlar - onları bulmak için her şansınızı ortadan kaldırır.
Petya virüsünü kim yarattı?
Petya, virüsü oluştururken Windows işletim sisteminde "EternalBlue" adlı bir açık ("delik") kullandı. Microsoft bir yama yayınladı kb4012598(Daha önce yayınlanan WannaCry eğitimlerinden, bu açığı "kapatan" bu güncellemeden zaten bahsetmiştik.
"Petya" nın yaratıcısı, kurumsal ve özel kullanıcıların dikkatsizliğinden akıllıca yararlanarak para kazanmayı başardı. Kimliği hala bilinmiyor (ve bilinmesi pek mümkün değil)
Petya virüsü nasıl kaldırılır?
Petya.A virüsü sabit diskinizden nasıl kaldırılır? Bu son derece ilginç bir soru. Gerçek şu ki, virüs verilerinizi zaten engellediyse, aslında silinecek hiçbir şey olmayacaktır. Fidye yazılımını ödemeyi planlamıyorsanız (ki bunu yapmamalısınız) ve gelecekte diskteki verileri kurtarmaya çalışmayacaksanız, diski biçimlendirmeniz ve işletim sistemini yeniden yüklemeniz yeterlidir. Bundan sonra virüsten eser kalmayacak.
Diskinizde virüslü bir dosya olduğundan şüpheleniyorsanız, diskinizi ESET Nod 32 antivirüs ile tarayın ve tam sistem taraması yapın. NOD 32, imza veritabanının zaten bu virüs hakkında bilgi içerdiğini garanti etti.
Dekoder Petya.A
Petya.A, verilerinizi çok güçlü bir şifreleme algoritması ile şifreler. Şu anda, kilitli bilgilerin şifresini çözmek için bir çözüm yok.
Şüphesiz hepimiz mucizevi şifre çözücü Petya.A'ya sahip olmayı hayal ederdik, ancak böyle bir çözüm yok. WannaCry virüsü birkaç ay önce dünyayı vurdu, ancak şifrelediği verilerin şifresini çözecek bir tedavi bulunamadı.
Tek seçenek, daha önce dosyaların gölge kopyalarına sahip olmanızdır.
Bu nedenle, henüz Petya.A virüsünün kurbanı olmadıysanız - işletim sisteminizi güncelleyin, ESET NOD 32'den bir antivirüs yükleyin. Verilerinizin kontrolünü hala kaybettiyseniz, birkaç yolunuz vardır.
Parayı öde. Bunu yapmanın bir anlamı yok! Uzmanlar, şifreleme yöntemi göz önüne alındığında, virüsün yaratıcısının verileri geri yüklemediğini ve kurtaramayacağını zaten öğrendiler.
Virüsü bilgisayardan kaldırmayı ve gölge kopya kullanarak dosyalarınızı geri yüklemeyi deneyin (virüs onlara bulaşmaz)
Sabit sürücüyü cihazınızdan çıkarın, dikkatlice kabine koyun ve kod çözücünün görünmesini bekleyin.
Diski biçimlendirme ve işletim sistemini yükleme. Eksi - tüm veriler kaybolacak.
Petya.A ve Android, iOS, Mac, Linux
Pek çok kullanıcı endişeli - “ancak Petya virüsünün Android ve iOS çalıştıran cihazlarına bulaşıp bulaşamayacağı. Onları sakinleştirmek için acele edeceğim - hayır, olamaz. Yalnızca Windows kullanıcıları için tasarlanmıştır. Aynı şey Linux ve Mac hayranları için de geçerli - rahatça uyuyabilirsiniz, hiçbir şey sizi tehdit etmez.