All'inizio di maggio, circa 230.000 computer in più di 150 paesi sono stati infettati da un virus ransomware. Prima che le vittime avessero il tempo di eliminare le conseguenze di questo attacco, ne seguì uno nuovo, chiamato Petya. Le più grandi aziende ucraine e russe, così come le istituzioni statali, ne hanno sofferto.
La polizia informatica dell'Ucraina ha scoperto che l'attacco del virus è iniziato attraverso il meccanismo di aggiornamento del software di contabilità M.E.Doc, utilizzato per preparare e inviare i rapporti fiscali. Pertanto, si è saputo che le reti di Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo e il sistema di alimentazione elettrica di Dnieper non sono sfuggite alla contaminazione. In Ucraina, il virus si è infiltrato nei computer del governo, nei PC della metropolitana di Kiev, negli operatori di telecomunicazioni e persino nella centrale nucleare di Chernobyl. Mondelez International, Mars e Nivea hanno sofferto in Russia.
Il virus Petya sfrutta la vulnerabilità EternalBlue nel sistema operativo Windows. Symantec e F-Secure sostengono che, sebbene Petya crittografi i dati come WannaCry, è ancora in qualche modo diverso dagli altri tipi di virus ransomware. "Il virus Petya è un nuovo tipo di estorsione con intenti dannosi: non solo crittografa i file sul disco, ma blocca l'intero disco, rendendolo praticamente inutilizzabile", spiega F-Secure. "In particolare, crittografa la tabella dei file master della MFT".
Come si verifica e si può prevenire questo processo?
Virus Petya: come funziona?
Il virus Petya è conosciuto anche con altri nomi: Petya.A, PetrWrap, NotPetya, ExPetr. Una volta in un computer, scarica un ransomware da Internet e cerca di infettare una parte del disco rigido con i dati necessari per avviare il computer. Se ci riesce, il sistema emette una schermata blu della morte. Dopo il riavvio, viene visualizzato un messaggio sul controllo del disco rigido che chiede di non spegnere l'unità. Pertanto, il virus ransomware finge di essere un programma di sistema per controllare il disco, crittografando i file con determinate estensioni in questo momento. Al termine del processo, viene visualizzato un messaggio che informa che il computer è bloccato e informazioni su come ottenere una chiave digitale per decrittografare i dati. Il virus Petya richiede un riscatto, solitamente in bitcoin. Se la vittima non ha una copia di backup dei suoi file, si trova di fronte a una scelta: pagare $ 300 o perdere tutte le informazioni. Secondo alcuni analisti, il virus è solo travestito da ransomware, mentre il suo vero obiettivo è causare danni ingenti.
Come sbarazzarsi di Petya?
Gli specialisti hanno scoperto che il virus Petya cerca un file locale e, se questo file esiste già sul disco, esce dal processo di crittografia. Ciò significa che gli utenti possono proteggere il proprio computer dal ransomware creando questo file e installandolo in sola lettura.
Nonostante il fatto che questo schema intelligente impedisca l'avvio del processo di estorsione, questo metodo può essere visto più come "vaccinazione del computer". Pertanto, l'utente dovrà creare il file da solo. Puoi farlo come segue:
- Per prima cosa devi capire l'estensione del file. Assicurati che non ci sia alcun segno di spunta nella finestra "Opzioni cartella" nella casella di controllo "Nascondi le estensioni per i tipi di file registrati".
- Apri la cartella C:\Windows, scorri verso il basso fino a visualizzare il programma notepad.exe.
- Fare clic con il pulsante sinistro del mouse su notepad.exe, quindi premere Ctrl + C per copiare, quindi Ctrl + V per incollare il file. Ti verrà chiesto il permesso di copiare il file.
- Fare clic sul pulsante "Continua" e il file verrà creato come blocco note - Copy.exe. Fare clic con il pulsante sinistro del mouse su questo file e premere il tasto F2, quindi eliminare il nome del file Copy.exe e immettere perfc.
- Dopo aver cambiato il nome del file in perfc, premi Invio. Conferma ridenominazione.
- Ora che il file perfc è stato creato, dobbiamo renderlo di sola lettura. Per fare ciò, fare clic con il tasto destro del mouse sul file e selezionare "Proprietà".
- Si aprirà il menu delle proprietà per quel file. In fondo vedrai "Sola lettura". Selezionare la casella.
- Ora fai clic sul pulsante Applica e quindi sul pulsante OK.
Oltre al file C:\windows\perfc, alcuni esperti di sicurezza suggeriscono di creare i file C:\Windows\perfc.dat e C:\Windows\perfc.dll per proteggersi meglio dal virus Petya. Puoi ripetere i passaggi precedenti per questi file.
Congratulazioni, il tuo computer è protetto da NotPetya / Petya!
Gli esperti di Symantec forniscono alcuni consigli agli utenti di PC per metterli in guardia contro azioni che potrebbero portare al blocco dei file o alla perdita di denaro.
- Non pagare soldi agli intrusi. Anche se trasferisci denaro al ransomware, non c'è alcuna garanzia che sarai in grado di riottenere l'accesso ai tuoi file. E nel caso di NotPetya / Petya, questo è fondamentalmente privo di significato, perché l'obiettivo del ransomware è distruggere i dati, non ottenere denaro.
- Assicurati di eseguire regolarmente il backup dei dati. In questo caso, anche se il tuo PC diventa il bersaglio di un attacco ransomware, puoi recuperare tutti i file cancellati.
- Non aprire email con indirizzi discutibili. Gli aggressori cercheranno di indurti con l'inganno a installare malware o di ottenere dati importanti per gli attacchi. Assicurati di informare i professionisti IT dei casi se tu o i tuoi dipendenti ricevete e-mail e collegamenti sospetti.
- Usa un software affidabile. L'aggiornamento tempestivo del software antivirus svolge un ruolo importante nella protezione dei computer dalle infezioni. E, naturalmente, è necessario utilizzare i prodotti di aziende rispettabili in questo settore.
- Utilizzare meccanismi per scansionare e bloccare i messaggi di spam. Le e-mail in arrivo devono essere scansionate per rilevare eventuali minacce. È importante bloccare tutti i tipi di messaggi che contengono link o tipiche parole chiave di phishing nel loro testo.
- Assicurati che tutti i programmi siano aggiornati. L'eliminazione regolare delle vulnerabilità del software è essenziale per prevenire le infezioni.
Dobbiamo aspettarci nuovi attacchi?
Il virus Petya è apparso per la prima volta a marzo 2016 e il suo comportamento è stato immediatamente notato dagli esperti di sicurezza. Il nuovo virus di Petya ha colpito i computer in Ucraina e Russia alla fine di giugno 2017. Ma è improbabile che questo finisca. Gli attacchi degli hacker che utilizzano virus ransomware simili a Petya e WannaCry verranno ripetuti, ha affermato Stanislav Kuznetsov, vicepresidente del consiglio di amministrazione di Sberbank. In un'intervista con TASS, ha avvertito che tali attacchi sarebbero sicuramente stati, ma è difficile prevedere in anticipo in quale forma e formato potrebbero apparire.
Se, dopo tutti gli attacchi informatici passati, non hai ancora adottato almeno misure minime per proteggere il tuo computer dal virus ransomware, allora è il momento di affrontarlo da vicino.
Martedì, il virus Petya / PetWrap / NotPetya ha attaccato istituzioni e aziende in Russia, Ucraina, Europa e Stati Uniti, solo circa duemila vittime. Il malware ha crittografato i dati sui computer e ha chiesto un riscatto in bitcoin. Vi diremo che tipo di virus è, chi ne ha sofferto e chi lo ha creato.
Cos'è questo virus?
Malware che si maschera da allegati di posta elettronica. Se l'utente lo ha scaricato e lanciato come amministratore, il programma riavvia il computer e avvia la funzione di controllo del disco apparentemente, ma in realtà crittografa prima il settore di avvio e poi il resto dei file. Successivamente, l'utente vede un messaggio che chiede di pagare un importo in bitcoin equivalente a $ 300 in cambio del codice di decrittazione dei dati.
❗️Virus "Petya" in azione. Fai attenzione, aggiorna Windows, non aprire nessun collegamento inviato per posta - Lettere (@Bykvu)
Ecco come funziona un virus
Ecco come ha funzionato il virus Petya. La sua prima versione è stata ancora trovata. Nel "Kaspersky Lab" è possibile recuperare i dati sul disco crittografato. La ricetta per la decrittazione era allora l'editore di Geektimes Maxim Agadzhanov. C'è anche. Non possiamo confermare quanto siano efficaci e se siano adatti alle nuove versioni del virus. Specialista della sicurezza delle informazioni Nikita Knysh su GitHub, che non è adatto. Mezzi per combattere il virus dopo l'infezione.
Non è noto con quale versione del virus abbiamo a che fare ora. Inoltre, un certo numero di esperti ritiene che non abbiamo a che fare con Petya. Il servizio di sicurezza dell'Ucraina (SBU) che le istituzioni statali e le aziende del paese sono state attaccate dal virus Petya.A ed è impossibile recuperare i dati crittografati. Martedì sera al Kaspersky Lab che "questo non è Petya", ma un nuovo tipo di virus chiamato esperti di NotPetya. Anche a Doctor Web. Yahoo News citando esperti senza nome che si tratta di una modifica di Petya chiamata PetrWrap. In Symantec, stiamo parlando di Petya.
Il capo del team di ricerca internazionale di Kaspersky Lab Kostin Raiu afferma che il virus si diffonde tramite lettere dall'indirizzo Ha anche compilato che Petya / PetWrap / NotPetya è stato compilato il 18 giugno.
Una delle varianti della pagina del riscatto (foto: Avast Blog)
Kaspersky Lab ha anche affermato che il nuovo virus ha sfruttato la stessa vulnerabilità in Windows di WannaCry. Questo malware ha colpito i computer di tutto il mondo il 12 maggio. Ha anche crittografato i dati sul computer e ha chiesto un riscatto. Tra le vittime c'erano. Vulnerabilità Microsoft a marzo: WannaCry e Petya / PetrWrap / NotPetya hanno colpito coloro che non hanno aggiornato il sistema.
Chi ne ha sofferto?
Foto dal supermercato ROST di Kharkov, i cui computer sono stati anche infettati da un virus
Il Twitter ufficiale dell'Ucraina cerca di rallegrare i cittadini con l'aiuto di
Grandi aziende Kievvodokanal, Novus, Epicenter, Arsellor Mittal, Arterium, Farmak, clinica Boris, ospedale Feofaniya, Ukrtelecom, Ukrposhta, Shell, WOG, Klo e TNK.
Media: Observer, 24 Channel, STB, Inter, Novy Kanal, Maximum ed Era-FM.
Computer nel gabinetto dei ministri dell'Ucraina (foto: Pavel Rosenko)
Malware ransomware insolito. Il ransomware Petya è un buon vecchio armadietto, che è stato recentemente sostituito dal ransomware. Ma Petya non solo blocca il desktop o la finestra del browser, ma impedisce il caricamento totale del sistema operativo. Il messaggio di riscatto dice che il malware utilizza un "algoritmo di crittografia militare" e crittografa l'intero disco rigido contemporaneamente.
Nel recente passato, gli armadietti (detti anche bloccanti) erano un tipo di malware molto comune. Alcuni di loro hanno bloccato il desktop, altri solo la finestra del browser, ma tutti hanno chiesto un riscatto alla vittima per ripristinare l'accesso. Gli armadietti sono stati sostituiti da ransomware che non solo bloccano i dati, ma li crittografano anche, il che aumenta significativamente la probabilità di pagare un riscatto.
Tuttavia, gli specialisti della società G DATA hanno trovato un nuovo campione dell'armadietto, che si chiama Petya. In un messaggio di riscatto, il malware afferma di combinare le funzioni di un blocco e di un ransomware allo stesso tempo.
Email di phishing a uno specialista delle risorse umane
Petya attacca principalmente gli specialisti delle risorse umane. Per fare ciò, i criminali informatici inviano e-mail di phishing mirate. I messaggi sono presumibilmente riprende da candidati per qualsiasi posizione. In allegato alle e-mail c'è un link al portfolio completo del richiedente, che è ospitato su Dropbox. Ovviamente, invece di portoflio, il collegamento contiene malware: il file application_portfolio-packed.exe (tradotto dal tedesco).
Portafoglio falso L'esecuzione del file this.exe causa l'arresto anomalo del sistema in una "schermata blu della morte" e quindi il riavvio. Gli esperti di G DATA ritengono che prima del riavvio, il malware interferisca con l'MBR per intercettare il controllo del processo di avvio.
CHKDSK . falso Dopo aver riavviato il computer, la vittima vede un controllo del disco simulato (CHKDSK), dopo il quale non è il sistema operativo che viene caricato sullo schermo del computer, ma la schermata di blocco di Petya. Il ransomware informa la vittima che tutti i dati sui suoi dischi rigidi sono stati crittografati utilizzando un "algoritmo di crittografia militare" e non possono essere recuperati.
Per ripristinare l'accesso al sistema e decrittografare i dati, la vittima deve pagare un riscatto visitando il sito Web dell'aggressore nella zona .onion. Se il pagamento non viene effettuato entro 7 giorni, l'importo del riscatto viene raddoppiato. "Acquista" dall'attaccante viene offerto uno speciale "codice di decrittazione", che deve essere inserito direttamente nella schermata dell'armadietto.
Gli esperti di G DATA scrivono di non aver ancora capito fino in fondo come funziona Petya, ma sospettano che il malware stia semplicemente mentendo sulla crittografia dei dati. Molto probabilmente, il malware blocca semplicemente l'accesso ai file e impedisce l'avvio del sistema operativo. Gli esperti scoraggiano fortemente il pagamento di un riscatto ai criminali informatici e promettono di pubblicare informazioni aggiornate sulla minaccia nel prossimo futuro.
Puoi vedere Petya in azione nel video qui sotto.
Il 27 giugno, agenzie governative e società private ucraine sono state attaccate da un virus ransomware chiamato Petya.A. Il Gabinetto dei ministri, Oschadbank, Ukrenergo, Novaya Pochta, l'aeroporto di Boryspil, la centrale nucleare di Chernobyl e altre organizzazioni sono stati oggetto di un attacco informatico. "GORDON" racconta come funziona il virus Petya.A e se è possibile proteggersi da esso.
Foto: Evgeny Boroday / "VKontakte"
Denis KONDAKCos'è Petya.A?
È un virus ransomware che crittografa i dati su un computer e addebita $ 300 per una chiave per decrittografarli. Ha iniziato a infettare i computer ucraini intorno a mezzogiorno del 27 giugno, per poi diffondersi in altri paesi: Russia, Gran Bretagna, Francia, Spagna, Lituania, ecc. C'è un virus sul sito Microsoft ora Esso ha livello di minaccia "grave".
L'infezione è dovuta alla stessa vulnerabilità di Microsoft Windows del caso del virus WannaCry, che a maggio ha colpito migliaia di computer in tutto il mondo e causato circa 1 miliardo di dollari di danni alle aziende.
In serata, la polizia informatica ha annunciato un attacco di virus destinato alla segnalazione elettronica e al flusso di lavoro. Secondo le forze dell'ordine, alle 10:30 è stato rilasciato un altro aggiornamento M.E.Doc, con l'aiuto del quale è stato scaricato software dannoso sui computer.
Petya è stato distribuito via e-mail, spacciandosi per il curriculum di un dipendente. Se una persona tentava di aprire un curriculum, il virus richiedeva i diritti di amministratore. Se l'utente è d'accordo, il computer inizia a riavviarsi, quindi il disco rigido viene crittografato e viene visualizzata una finestra di riscatto.
VIDEO
Il processo di infezione del virus Petya. Video: G DATA Software AG / YouTube
Allo stesso tempo, il virus Petya stesso aveva una vulnerabilità: era possibile ottenere una chiave per decifrare i dati utilizzando un programma speciale. Questo metodo è stato descritto nell'aprile 2016 dall'editore di Geektimes Maxim Agadzhanov.
Tuttavia, alcuni utenti scelgono di pagare un "riscatto". Secondo uno dei famosi portafogli Bitcoin, i creatori del virus hanno ricevuto 3,64 bitcoin, che corrispondono a circa $ 9100.
Chi è stato colpito dal virus?
In Ucraina, le vittime di Petya.A erano principalmente clienti aziendali: agenzie governative, banche, media, società energetiche e altre organizzazioni.
Tra le altre, imprese come Novaya Pochta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsya, TNK, Antonov, Epicenter, 24 Kanal e anche l'aeroporto di Boryspil, il Gabinetto dei ministri dell'Ucraina, il servizio fiscale statale e altri.
L'attacco si è esteso anche alle regioni. Ad esempio, n e presso la centrale nucleare di Chernobyl, a causa di un attacco informatico, la gestione elettronica dei documenti ha smesso di funzionare e la stazione è passata al monitoraggio manuale del livello di radiazione. A Kharkov, il lavoro di un grande supermercato "Rost" è stato bloccato e all'aeroporto il check-in per i voli è stato trasferito in modalità manuale.
A causa del virus Petya.A, i registratori di cassa del supermercato Rost hanno smesso di funzionare. Foto: Х ... evy Kharkov / "VKontakte"
Secondo il quotidiano, in Russia le società Rosneft, Bashneft, Mars, Nivea e altre erano sotto attacco.
Come proteggersi da Petya.A?
Le istruzioni su come proteggersi da Petya.A sono state pubblicate dal Servizio di sicurezza dell'Ucraina e dalla polizia informatica.
La polizia informatica consiglia agli utenti di installare gli aggiornamenti di Windows dal sito Web ufficiale di Microsoft, aggiornare o installare antivirus, non scaricare file sospetti dalle e-mail e disconnettere immediatamente il computer dalla rete se viene rilevato un malfunzionamento.
La SBU ha sottolineato che in caso di sospetto, il computer non può essere riavviato, poiché i file vengono crittografati proprio durante il riavvio. Il servizio segreto ha raccomandato agli ucraini di salvare file importanti su un supporto separato e di fare una copia di backup del sistema operativo.
Esperto di sicurezza informatica Vlad Styran ha scritto su Facebook che la diffusione del virus sulla rete locale può essere bloccata bloccando le porte TCP 1024-1035, 135, 139 e 445 in Windows. Ci sono istruzioni su Internet su come farlo.
Specialisti dell'azienda americana Symantec
TALLINN, 28 giugno - RIA Novosti, Nikolay Adashkevich. Il virus ransomware Petya ha attaccato i computer in Estonia e Polonia.
Tutti gli 11 negozi di costruzioni della catena Ehituse ABC, di proprietà della società francese Saint-Gobain, sono stati chiusi in Estonia, ha affermato Anton Kutser, membro del consiglio di amministrazione della società.
"Ora stiamo lavorando per risolvere il problema. Abbiamo sistemi informatici localizzati per proteggere i dati. Non appena il problema sarà risolto, ne informeremo i nostri clienti. Ora tutti i negozi Ehituse ABC sono chiusi", ha citato il portale estone Delfi. come dire.
In Polonia, il problema ha colpito le aziende del settore della logistica. Piccole imprese e centri di servizi e commerciali sono stati attaccati. Nel messaggio del portale niebezpiecznik.pl è stato notato che "quindi nessuno dovrebbe sentirsi al sicuro". Le informazioni sugli attacchi sono state confermate dal direttore dell'ufficio di gestione della sicurezza di Exatel, Yakub Syta. Secondo lui, la portata dell'incidente non è ancora chiara. Il primo ministro Beata Shidlo ha convocato mercoledì un quartier generale di crisi in relazione agli attacchi informatici.
Come notato da Kaspersky Lab, più di duemila utenti sono stati colpiti dal nuovo virus. Casi di infezione sono stati osservati anche in Italia, Gran Bretagna, Germania, Francia, USA e alcuni altri paesi.
In Russia, non sono state registrate gravi interruzioni dopo gli attacchi informatici, ha affermato il segretario stampa presidenziale Dmitry Peskov. "I sistemi di protezione funzionano in modo abbastanza efficace sia a livello statale che a livello aziendale. La risorsa Internet del presidente funziona costantemente", ha affermato.
Microsoft sta indagando sulla diffusione di un nuovo virus, i team di supporto in tutto il mondo sono pronti ad aiutare prontamente gli utenti colpiti, ha detto a RIA Novosti Kristina Davydova, addetta stampa della società in Russia.
Martedì un attacco ransomware globale ha colpito i sistemi IT di aziende in diversi paesi del mondo, colpendo principalmente l'Ucraina. I computer di petrolio, energia, telecomunicazioni, aziende farmaceutiche e agenzie governative sono stati attaccati.
Il virus blocca i computer e richiede $ 300 in bitcoin, ha detto Group-IB a RIA Novosti. L'attacco è iniziato intorno alle 11:00. Il metodo di diffusione nella rete locale è simile al virus WannaCry. Secondo i media, alle 18:00, il portafoglio bitcoin, che era indicato per trasferire fondi agli estorsori, ha ricevuto nove trasferimenti, tenendo conto della commissione per i trasferimenti, le vittime hanno inviato circa 2,7 mila dollari agli hacker.
Secondo la società di antivirus ESET, l'attacco è iniziato in Ucraina, che ne ha sofferto più di altri paesi. Secondo la classifica dei Paesi colpiti dal virus, l'Italia è al secondo posto dopo l'Ucraina e Israele è al terzo. La top ten comprende anche Serbia, Ungheria, Romania, Polonia, Argentina, Repubblica Ceca e Germania. La Russia occupa solo il 14° posto in questa lista.
