Početkom maja oko 230.000 računara u više od 150 zemalja bilo je zaraženo virusom ransomware-a. Prije nego što su žrtve stigle da otklone posljedice ovog napada, uslijedio je novi, po imenu Petya. Najveći ukrajinski i ruske kompanije, kao i vladine agencije.
Ukrajinska sajber policija utvrdila je da je napad virusa započeo putem mehanizma ažuriranja računovodstva. softver M.E.Doc, koji se koristi za pripremu i podnošenje poresko izvještavanje. Tako je postalo poznato da mreže Bašnjefta, Rosnjefta, Zaporožjeoblenerga, Dnjeproenerga i Dnjeparskog elektroenergetskog sistema nisu izbegle zarazu. U Ukrajini je virus prodro u vladine kompjutere, računare kijevskog metroa, telekom operatere, pa čak i nuklearnu elektranu u Černobilu. U Rusiji su pogođeni Mondelez International, Mars i Nivea.
Petya virus iskorišćava EternalBlue ranjivost u operacijskoj sali Windows sistem. Stručnjaci iz Symanteca i F-Secure kažu da, iako Petya šifrira podatke poput WannaCrya, ipak se nešto razlikuje od drugih tipova virusa za šifriranje. „Virus Petya jeste nova vrsta iznuda sa zlonamjernom namjerom: ne samo šifrira datoteke na disku, već zaključava cijeli disk, čineći ga praktično neupotrebljivim, objašnjava F-Secure. - Konkretno, šifrira glavni tabela datoteka MFT."
Kako se to događa i može li se ovaj proces spriječiti?
Virus "Petya" - kako radi?
Petya virus je poznat i pod drugim nazivima: Petya.A, PetrWrap, NotPetya, ExPetr. Kada uđe u računar, preuzima ransomware sa Interneta i pokušava da napadne deo hard diska sa podacima potrebnim za pokretanje računara. Ako uspije, onda sistem pokvari Plavi ekran smrti (" plavi ekran smrti"). Nakon ponovnog pokretanja, pojavljuje se poruka o teško provjeravam disk sa zahtjevom da se ne isključuje napajanje. Dakle, ransomware se pretvara da jeste sistemski program za provjeru diska, šifriranje datoteka s određenim ekstenzijama u ovom trenutku. Na kraju procesa pojavljuje se poruka koja pokazuje da je računar blokiran i informacija o tome kako doći do digitalnog ključa za dešifriranje podataka. Petya virus traži otkupninu, obično u bitkoinima. Ako žrtva nema rezervnu kopiju svojih fajlova, suočava se sa izborom da plati 300 dolara ili da izgubi sve informacije. Prema nekim analitičarima, virus se samo maskira kao ransomware, dok je njegov pravi cilj da izazove ogromnu štetu.
Kako se riješiti Petye?
Stručnjaci su otkrili da Petya virus traži lokalni fajl i, ako datoteka već postoji na disku, izlazi iz procesa šifriranja. To znači da korisnici mogu zaštititi svoje računalo od ransomwarea tako što će kreirati ovu datoteku i postaviti je kao samo za čitanje.
Iako ova lukava šema sprječava pokretanje ransomware procesa, ovu metodu može se više smatrati „kompjuterskom vakcinacijom“. Stoga će korisnik morati sam kreirati datoteku. To možete učiniti na sljedeći način:
- Prvo morate razumjeti ekstenziju datoteke. U prozoru Folder Options, uvjerite se da je poništen potvrdni okvir Sakrij ekstenzije za poznate tipove datoteka.
- Otvorite fasciklu C:\Windows, skrolujte nadole dok ne vidite program notepad.exe.
- Kliknite lijevom tipkom miša na notepad.exe, zatim pritisnite Ctrl + C da kopirate, a zatim Ctrl + V da zalijepite datoteku. Primit ćete zahtjev u kojem se traži dozvola za kopiranje datoteke.
- Kliknite na dugme Nastavi i datoteka će biti kreirana kao notepad - Copy.exe. Kliknite levim tasterom miša na ovu datoteku i pritisnite F2, zatim obrišite naziv datoteke Copy.exe i unesite perfc.
- Nakon što promijenite naziv datoteke u perfc, pritisnite Enter. Potvrdite preimenovanje.
- Sada kada je perfc fajl kreiran, moramo ga učiniti samo za čitanje. Da biste to učinili, kliknite desni klik prijeđite mišem preko datoteke i odaberite "Svojstva".
- Otvoriće se meni svojstava za ovu datoteku. Na dnu ćete vidjeti "Samo za čitanje". Označite polje.
- Sada kliknite na dugme Primeni, a zatim na dugme U redu.
Neki stručnjaci za sigurnost predlažu kreiranje datoteka C:\Windows\perfc.dat i C:\Windows\perfc.dll pored datoteke C:\windows\perfc kako bi se temeljitije zaštitili od Petya virusa. Možete ponoviti gornje korake za ove datoteke.
Čestitamo, vaš računar je zaštićen od NotPetya/Petya!
Symantecovi stručnjaci nude nekoliko savjeta korisnicima PC-a kako bi ih spriječili da rade stvari koje bi mogle dovesti do zaključanih datoteka ili gubitka novca.
- Ne plaćajte novac kriminalcima.Čak i ako prebacite novac na ransomware, nema garancije da ćete moći ponovo dobiti pristup svojim datotekama. A u slučaju NotPetya / Petya, ovo je u osnovi besmisleno, jer je cilj ransomwarea da uništi podatke, a ne da dobije novac.
- Pobrinite se da redovno pravite sigurnosnu kopiju svojih podataka. U tom slučaju, čak i ako vaš PC postane meta napada virusa ransomware-a, moći ćete oporaviti sve izbrisane datoteke.
- Ne otvarajte mejlove sa sumnjivih adresa. Napadači će vas pokušati prevariti da instalirate zlonamjerni softver ili pokušati doći do važnih podataka za napade. Obavezno obavijestite IT stručnjake ako vi ili vaši zaposlenici primite sumnjive e-poruke ili linkove.
- Koristite pouzdan softver. Pravovremeno ažuriranje antivirusnih programa igra važnu ulogu u zaštiti računara od infekcija. I, naravno, potrebno je koristiti proizvode renomiranih kompanija u ovoj oblasti.
- Koristite mehanizme za skeniranje i blokiranje neželjenih poruka. Dolazne e-poruke treba skenirati u potrazi za prijetnjama. Važno je da sve vrste poruka koje sadrže veze ili tipične ključne riječi phishing.
- Provjerite jesu li svi programi ažurirani. Redovna sanacija ranjivosti softvera je neophodna da bi se spriječile infekcije.
Treba li očekivati nove napade?
Petya virus se prvi put pojavio u martu 2016. godine, a stručnjaci za sigurnost odmah su primijetili njegovo ponašanje. Novi virus Petya zarazio je računare u Ukrajini i Rusiji krajem juna 2017. Ali malo je vjerovatno da će ovo biti kraj. Hakerski napadi korištenje ransomware virusa sličnih Petya i WannaCry će se ponoviti, rekao je Stanislav Kuznjecov, zamjenik predsjednika Uprave Sberbanke. On je u intervjuu za TASS upozorio da će se ovakvi napadi sigurno desiti, ali je teško unapred predvideti u kom obliku i formatu će se pojaviti.
Ako, nakon svih cyber napada koji su se dogodili, još niste poduzeli barem minimalne korake da zaštitite svoje računalo od ransomware virusa, onda je vrijeme da se ozbiljno pozabavite time.
Virus Petya/PetWrap/NotPetya u utorak je napao institucije i kompanije u Rusiji, Ukrajini, Evropi i Sjedinjenim Državama – ukupno oko dvije hiljade žrtava. Zlonamjerni softver je šifrirao podatke na računarima i tražio otkupninu u bitcoinima. Reći ćemo vam o kakvoj se vrsti virusa radi, ko je bolovao od njega i ko ga je stvorio.
Kakav je ovo virus?
Zlonamjerni program koji se maskira u priloge e-pošte. Ako ga je korisnik preuzeo i pokrenuo kao administrator, tada program ponovo pokreće računar i pokreće navodno funkciju provjere diska, ali u stvari prvo šifrira boot sektor, a zatim i ostale datoteke. Nakon toga, korisnik vidi poruku u kojoj se traži da plati iznos u bitcoinima ekvivalentan 300 dolara u zamjenu za kod za dešifriranje podataka.
❗️Petya virus na djelu. Budite oprezni, ažurirajte Windows, ne otvarajte nikakve veze poslate e-poštom - Pisma (@Bykvu)
Ovako funkcioniše virus
Ovako je radio Petya virus. Pronađena je i njegova prva verzija. Kaspersky Lab kaže da se podaci na šifrovanom disku mogu oporaviti. Recept za dešifrovanje tada je bio urednik Geektimesa Maxim Agadzhanov. Postoje također. Ne možemo potvrditi koliko su učinkoviti i jesu li prikladni za nove verzije virusa. Specijalista za sigurnost informacija Nikita Knysh na GitHubu, koji nisu prikladni. Sredstva za borbu protiv virusa nakon infekcije.
Nepoznato je s kojom verzijom virusa sada imamo posla. Štaviše, brojni stručnjaci smatraju da se ne bavimo Petom. Služba bezbednosti Ukrajine (SBU) saopštila je da su državne institucije i kompanije u zemlji napadnute virusom Petya.A i da je nemoguće vratiti šifrovane podatke. Kaspersky Lab je u utorak uveče rekao da "ovo nije Petya", već nova vrsta virusa, koju stručnjaci nazivaju NotPetya. Takođe na Doctor Webu. Yahoo News je, pozivajući se na neimenovane stručnjake, rekao da je ovo modifikacija Petya pod nazivom PetrWrap. Symantec kaže da još uvijek pričamo o Petyi.
Šef međunarodnog istraživačkog tima u Kaspersky Lab-u, Costin Raiu, rekao je da se virus širi pismima sa adrese, te da je Petya/PetWrap/NotPetya sastavljen 18. juna.
Jedna od opcija stranice sa zahtjevom za otkupninom (foto: Avast Blog)
Kaspersky Lab takođe kaže to novi virus iskoristio istu ranjivost Windowsa kao i WannaCry. Ovo malware 12. maja pogodio računare širom sveta. Takođe je šifrovala podatke na računaru i tražila otkupninu. Među žrtvama je bilo. Microsoft ranjivost još u martu: oni koji nisu ažurirali sistem patili su od WannaCry i Petya/PetrWrap/NotPetya.
Ko je patio od toga?
Fotografija iz harkovskog supermarketa ROST, čiji su računari takođe bili zahvaćeni virusom
Zvanični Twitter Ukrajine pokušava da razveseli građane uz pomoć
Velike kompanije „Kyivvodokanal”, „Novus”, „Epicenter”, „Arcellor Mittal”, „Arterium”, „Farmak”, klinika „Boris”, bolnica Feofanija, „Ukrtelecom”, „Ukrposhta”, Shell, WOG, Klo i TNK.
Mediji: “Observer”, “24 kanal”, STB, “Inter”, “ Novi kanal", "Maksimalno" i "Era-FM".
Računar u kabinetu ministara Ukrajine (foto: Pavel Rozenko)
Neobičan ransomware zlonamjerni softver. Petya ransomware je dobar stari ormarić koji je zamijenjen U poslednje vreme kriptografi su stigli. Ali Petya ne samo da blokira radnu površinu ili prozor pretraživača, već i sprečava da se operativni sistem učita. U poruci o otkupnini se navodi da zlonamjerni softver koristi "vojni algoritam za šifriranje" i šifrira sve teško disk odmah.
U nedavnoj prošlosti, ormarići (aka blokeri) bili su vrlo česta vrsta zlonamjernog softvera. Neki od njih su blokirali radnu površinu, drugi samo prozor pretraživača, ali su svi tražili otkupninu od žrtve kako bi vratili pristup. Ormari su zamijenjeni enkriptorima koji ne samo da blokiraju podatke, već ih i šifriraju, što značajno povećava vjerovatnoću plaćanja otkupnine.
Međutim, stručnjaci G DATA otkrili su svježi uzorak ormarića koji sebe naziva Petya. U poruci o otkupnini, zlonamjerni softver navodi da kombinira funkcije blokatora i enkriptora odjednom.
Phishing e-poruka za HR stručnjaka
Petya prvenstveno napada HR profesionalce. Da bi to učinili, napadači šalju visoko ciljane phishing emailove. Poruke su navodno biografije kandidata za bilo koju poziciju. Pisma je popraćena vezom do punog portfelja podnositelja zahtjeva, čiji se fajl nalazi na Dropboxu. Naravno, umjesto portfelja, link sadrži zlonamjerni softver - datoteku application_portfolio-packed.exe (prevedeno s njemačkog).
Lažni portfolio Pokretanje ove .exe datoteke uzrokuje da sistem padne na "plavi ekran smrti" i zatim se ponovo pokrene. Stručnjaci G DATA vjeruju da prije ponovnog pokretanja zlonamjerni softver ometa rad MBR-a kako bi preuzeo kontrolu nad procesom pokretanja.
Lažni CHKDSK Nakon ponovnog pokretanja računara, žrtva vidi imitaciju provjere diska (CHKDSK), nakon čega ekran računara uopće ne učitava operativni sistem, već zaključani ekran Petya. Ransomware obavještava žrtvu da se svi podaci nalaze na njemu tvrdi diskovi su šifrirani korištenjem "vojnog algoritma za šifriranje" i ne mogu se oporaviti.
Da bi vratila pristup sistemu i dešifrovala podatke, žrtva treba da plati otkupninu odlaskom na veb lokaciju napadača u zoni .onion. Ako se uplata ne izvrši u roku od 7 dana, iznos otkupnine se udvostručuje. Napadaču se nudi poseban „kod za dešifrovanje“ za „kupovinu“, koji se mora uneti direktno na ekran zaključavanja.
Stručnjaci za G DATA pišu da još nisu u potpunosti razumjeli kako Petya funkcionira, ali sumnjaju da zlonamjerni softver jednostavno laže o enkripciji podataka. Najvjerovatnije, zlonamjerni softver jednostavno blokira pristup datotekama i ne dozvoljava operativni sistem podizanje. Stručnjaci snažno savjetuju da ne plaćate otkupninu napadačima i obećavaju da će objaviti ažurirane informacije o prijetnji u bliskoj budućnosti.
"Petya" u akciji možete vidjeti u videu ispod.
Dana 27. juna, ukrajinske vladine agencije i privatne kompanije pogođene su virusom ransomware-a pod nazivom Petya.A. Kabinet ministara, Oschadbank, Ukrenergo, Nova pošta, aerodrom Borispil, nuklearna elektrana Černobil i druge organizacije bile su izložene sajber napadu. "GORDON" govori kako virus Petya.A djeluje i da li je moguće zaštititi se od njega.
Foto: Evgeny Borodai / VKontakte
Denis KONDAKŠta je Petya.A?
Ovo je "ransomware virus" koji šifrira podatke na računaru i traži 300 dolara za ključ da ih dešifruje. Počeo je da zarazi ukrajinske računare oko podneva 27. juna, a potom se proširio na druge zemlje: Rusiju, Veliku Britaniju, Francusku, Španiju, Litvaniju itd. Na sajtu Microsoft virus Sad Ima "ozbiljan" nivo prijetnje.
Do infekcije dolazi zbog iste ranjivosti u Microsoft Windows, kao u slučaju virusa WannaCry, koji je u maju zarazio hiljade računara širom svijeta i kompanijama nanio štetu od oko milijardu dolara.
U večernjim satima je to prijavila sajber policija napad virusa, namjenjeno za elektronsko izvještavanje i protok dokumenata. Prema riječima policijskih službenika, u 10.30 sati objavljeno je sljedeće ažuriranje M.E.Doc-a, uz pomoć kojeg je zlonamjerni softver preuzet na računare.
Petya je distribuirana pomoću Email, predstavljajući program kao biografiju zaposlenog. Ako je osoba pokušala otvoriti životopis, virus je tražio da mu da administratorska prava. Ako je korisnik pristao, onda se računar ponovo pokrenuo HDD je šifriran i pojavio se prozor sa zahtjevom za otkupninom.
VIDEO
Proces infekcije Petya virusom. Video: G DATA Software AG / YouTube
U isto vrijeme, sam virus Petya imao je ranjivost: bilo je moguće dobiti ključ za dešifriranje podataka pomoću poseban program. Ovu metodu je opisao urednik Geektimesa Maxim Agadzhanov u aprilu 2016.
Međutim, neki korisnici radije plaćaju otkupninu. Prema jednom od poznatih Bitcoin novčanici, kreatori virusa dobili su 3,64 bitcoina, što odgovara približno 9.100 dolara.
Ko je zahvaćen virusom?
U Ukrajini su uglavnom žrtve Petya.A korporativni klijenti: vladine agencije, banke, mediji, energetske kompanije i druge organizacije.
Između ostalih, pogođena su preduzeća" Nova pošta", "Ukrenergo", OTP banka, "Oshchadbank", DTEK, Rozetka, "Boris", "Ukrzaliznytsia", TNK, "Antonov", "Epicenter", "24 kanal", kao i aerodrom Borispil, Kabinet ministara Ukrajine, Državna fiskalna služba i drugi.
Napad se proširio i na regione. Na primjer, n a u nuklearnoj elektrani Černobil, zbog sajber napada, prestalo je sa radom elektronsko upravljanje dokumentima i stanica je prešla na ručno praćenje nivoa radijacije. Radovi su blokirani u Harkovu veliki supermarket"Rast", a na aerodromu je prijava za letove prebačena na ručni način rada.
Zbog virusa Petya.A prestale su da rade kase u supermarketu Rost. Foto: Kh...evy Kharkov / VKontakte
Prema navodima publikacije, u Rusiji su na udaru kompanije Rosnjeft, Bashneft, Mars, Nivea i druge.
Kako se zaštititi od Petya.A?
Upute kako da se zaštitite od Petya.A objavili su Služba sigurnosti Ukrajine i sajber policija.
Cyber policija savjetuje korisnike da instaliraju Windows ažuriranja sa službene Microsoft web stranice, ažurirajte ili instalirajte antivirus, nemojte preuzimati sumnjive datoteke od emails i odmah isključite računar iz mreže ako primetite probleme.
Iz SBU su naglasili da se u slučaju sumnje računar ne može ponovo pokrenuti, jer se šifriranje fajla dešava upravo tokom ponovnog pokretanja. Obavještajna služba je preporučila Ukrajincima da sačuvaju vrijedne datoteke na posebnom mediju i naprave rezervna kopija operativni sistem.
Stručnjak za sajber sigurnost Vlad Styran napisao na Facebooku da je širenje virusa u lokalna mreža može se zaustaviti blokiranjem TCP portova 1024-1035, 135, 139 i 445 u Windows-u. Na internetu postoje uputstva kako to učiniti.
Specijalisti Američka kompanija Symantec
TALIN, 28. juna - RIA Novosti, Nikolaj Adaškevič. Računarski virus ransomware Petya je napao kompjutere u Estoniji i Poljskoj.
Svih 11 je zatvoreno u Estoniji građevinske radnje mreže Ehituse ABC, u vlasništvu francuskog koncerna Saint-Gobain, rekao je član uprave kompanije Anton Kutser.
“Trenutno radimo na rješavanju problema. Lokalizirali smo kompjuterski sistemi za zaštitu podataka. Čim problem bude riješen, obavijestit ćemo kupce o tome. Sada su sve prodavnice Ehituse ABC zatvorene”, rekao je Kutser, prenosi estonski portal Delfi.
U Poljskoj je problem pogodio kompanije u logističkoj industriji. Bili napadnuti male firme i uslužnih i trgovačkih centara. U poruci portala niebezpiecznik.pl navodi se da se “niko stoga ne bi trebao osjećati sigurnim”. Informaciju o napadima potvrdio je Jakub Syta, direktor biroa za upravljanje sigurnošću u Exatelu. Prema njegovim riječima, razmjeri incidenta još uvijek nisu jasni. Premijerka Beata Szydlo saziva u srijedu krizni štab u vezi sa sajber napadima.
Kako primećuje Kaspersky Lab, više od dve hiljade korisnika je pogođeno novim virusom. Slučajevi zaraze zabilježeni su i u Italiji, Velikoj Britaniji, Njemačkoj, Francuskoj, SAD-u i nekim drugim zemljama.
U Rusiji nisu zabilježeni ozbiljni poremećaji nakon sajber napada, rekao je predsjednički sekretar za štampu Dmitrij Peskov. “Sistemi zaštite funkcionišu prilično efikasno i na državnom i na nivou korporativnom nivou. Predsjednički internet resurs stabilno radi”, istakao je on.
Majkrosoft sprovodi istragu o širenju novog virusa, a timovi za podršku širom sveta spremni su da brzo pomognu pogođenim korisnicima, rekla je za RIA Novosti sekretar za štampu kompanije u Rusiji Kristina Davidova.
Globalni napad na ransomware u utorak je pogodio IT sisteme kompanija u nekoliko zemalja širom svijeta, najviše pogađajući Ukrajinu. Napadnuti su kompjuteri naftnih, energetskih, telekomunikacijskih, farmaceutskih kompanija, kao i vladinih agencija.
Virus blokira računare i traži 300 dolara u bitkoinima, rekao je Group-IB za RIA Novosti. Napad je počeo oko 11 sati. Način distribucije na lokalnoj mreži je sličan WannaCry virus. Prema pisanju medija, od 18:00 sati Bitcoin novčanik koji je određen za transfer sredstava iznuđivačima primio je devet transfera, a s obzirom na proviziju za transfere, žrtve su hakerima poslale oko 2,7 hiljada dolara.
Prema antivirusna kompanija ESET, napad je počeo u Ukrajini, koja je stradala više od drugih zemalja. Prema rangiranju zemalja zahvaćenih virusom, Italija je na drugom mjestu nakon Ukrajine, a Izrael na trećem mjestu. U prvih deset našle su se i Srbija, Mađarska, Rumunija, Poljska, Argentina, Češka i Nemačka. Rusija u ovu listu zauzima tek 14. mjesto.
