Në fillim të majit, rreth 230,000 kompjuterë në më shumë se 150 vende u infektuan me një virus ransomware. Para se viktimat të kishin kohë për të eliminuar pasojat e këtij sulmi, pasoi një i ri - i quajtur Petya. Nga kjo vuajtën kompanitë më të mëdha ukrainase dhe ruse, si dhe institucionet shtetërore.
Policia kibernetike e Ukrainës zbuloi se sulmi i virusit filloi përmes mekanizmit për përditësimin e softuerit të kontabilitetit M.E.Doc, i cili përdoret për përgatitjen dhe dërgimin e raporteve tatimore. Kështu, u bë e ditur se rrjetet e Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo dhe sistemi i energjisë elektrike Dnieper nuk i shpëtuan kontaminimit. Në Ukrainë, virusi ka depërtuar në kompjuterët e qeverisë, PC-të në metronë e Kievit, operatorët e telekomit dhe madje edhe termocentralin bërthamor të Çernobilit. Mondelez International, Mars dhe Nivea vuajtën në Rusi.
Virusi Petya shfrytëzon cenueshmërinë EternalBlue në sistemin operativ Windows. Symantec dhe F-Secure argumentojnë se megjithëse Petya kodon të dhëna si WannaCry, ai është ende disi i ndryshëm nga llojet e tjera të viruseve ransomware. “Virusi Petya është një lloj i ri zhvatjeje me qëllim keqdashës: ai jo vetëm që kodon skedarët në disk, por bllokon të gjithë diskun, duke e bërë atë praktikisht të papërdorshëm”, shpjegon F-Secure. "Në veçanti, ai kodon tabelën kryesore të skedarëve të MFT."
Si ndodh kjo dhe a mund të parandalohet ky proces?
Virusi Petya - si funksionon?
Virusi Petya njihet edhe me emra të tjerë: Petya.A, PetrWrap, NotPetya, ExPetr. Pasi të jetë në një kompjuter, ai shkarkon një ransomware nga Interneti dhe përpiqet të infektojë një pjesë të diskut të ngurtë me të dhënat e nevojshme për të nisur kompjuterin. Nëse ai ia del, sistemi lëshon një ekran blu të vdekjes. Pas rindezjes, shfaqet një mesazh në lidhje me kontrollin e hard disku që ju kërkon të mos e fikni energjinë. Kështu, virusi ransomware pretendon të jetë një program sistemi për kontrollimin e diskut, duke enkriptuar skedarë me shtesa të caktuara në këtë kohë. Në fund të procesit, shfaqet një mesazh që thotë se kompjuteri është i kyçur dhe informacione se si të merrni një çelës dixhital për të deshifruar të dhënat. Virusi Petya kërkon një shpërblim, zakonisht në bitcoin. Nëse viktima nuk ka një kopje rezervë të skedarëve të tij, ai përballet me një zgjedhje - të paguajë 300 dollarë ose të humbasë të gjitha informacionet. Sipas disa analistëve, virusi është i maskuar vetëm si një ransomware, ndërsa qëllimi i tij i vërtetë është të shkaktojë dëme masive.
Si të shpëtojmë nga Petya?
Specialistët zbuluan se virusi Petya kërkon një skedar lokal dhe, nëse ky skedar tashmë ekziston në disk, del nga procesi i kriptimit. Kjo do të thotë që përdoruesit mund të mbrojnë kompjuterin e tyre nga ransomware duke krijuar këtë skedar dhe duke e instaluar atë si vetëm për lexim.
Pavarësisht se kjo skemë e zgjuar parandalon fillimin e procesit të zhvatjes, kjo metodë mund të shihet më shumë si "vaksinim i kompjuterit". Kështu, përdoruesi do të duhet të krijojë vetë skedarin. Ju mund ta bëni këtë si më poshtë:
- Së pari ju duhet të kuptoni shtrirjen e skedarit. Sigurohuni që të mos ketë asnjë shenjë në dritaren "Opsionet e dosjeve" në kutinë e kontrollit "Fshih shtesat për llojet e skedarëve të regjistruar".
- Hapni dosjen C: \ Windows, lëvizni poshtë derisa të shihni programin notepad.exe.
- Klikoni me të majtën në notepad.exe, më pas shtypni Ctrl + C për të kopjuar dhe më pas Ctrl + V për të ngjitur skedarin. Do t'ju kërkohet leje për të kopjuar skedarin.
- Klikoni butonin "Vazhdo" dhe skedari do të krijohet si një bllok shënimesh - Copy.exe. Klikoni butonin e majtë të miut në këtë skedar dhe shtypni tastin F2 dhe më pas fshini emrin e skedarit Copy.exe dhe futni perfc.
- Pas ndryshimit të emrit të skedarit në perfc, shtypni Enter. Konfirmo riemërtimin.
- Tani që skedari perfc është krijuar, duhet ta bëjmë atë vetëm për lexim. Për ta bërë këtë, klikoni me të djathtën në skedar dhe zgjidhni "Properties".
- Menyja e vetive për atë skedar do të hapet. Në fund do të shihni "Vetëm për lexim". Kontrolloni kutinë.
- Tani klikoni butonin Apliko dhe më pas butonin OK.
Përveç skedarit C: \ windows \ perfc, disa ekspertë të sigurisë sugjerojnë krijimin e skedarëve C: \ Windows \ perfc.dat dhe C: \ Windows \ perfc.dll për t'u mbrojtur më mirë nga virusi Petya. Ju mund të përsërisni hapat e mësipërm për këto skedarë.
Urime, kompjuteri juaj është i mbrojtur nga NotPetya / Petya!
Ekspertët e Symantec u japin disa këshilla përdoruesve të PC-ve për t'i paralajmëruar kundër veprimeve që mund të çojnë në bllokimin e skedarëve ose humbjen e parave.
- Mos u paguani para ndërhyrësve. Edhe nëse transferoni para në ransomware, nuk ka asnjë garanci se do të jeni në gjendje të rifitoni aksesin në skedarët tuaj. Dhe në rastin e NotPetya / Petya, kjo është në thelb e pakuptimtë, sepse qëllimi i ransomware është të shkatërrojë të dhënat, jo të marrë para.
- Sigurohuni që të kopjoni rregullisht të dhënat tuaja. Në këtë rast, edhe nëse kompjuteri juaj bëhet objektiv i një sulmi ransomware, mund të rikuperoni çdo skedar të fshirë.
- Mos hapni email me adresa të dyshimta. Sulmuesit do të përpiqen t'ju mashtrojnë për të instaluar malware ose do të përpiqen të marrin të dhëna të rëndësishme për sulme. Sigurohuni që të informoni profesionistët e IT-së për rastet nëse ju ose punonjësit tuaj merrni email, lidhje të dyshimta.
- Përdorni softuer të besueshëm. Përditësimi në kohë i softuerit antivirus luan një rol të rëndësishëm në mbrojtjen e kompjuterëve nga infeksionet. Dhe, sigurisht, ju duhet të përdorni produktet e kompanive me reputacion në këtë fushë.
- Përdorni mekanizma për të skanuar dhe bllokuar mesazhet e padëshiruara. Email-et në hyrje duhet të skanohen për kërcënime. Është e rëndësishme të bllokohen të gjitha llojet e mesazheve që përmbajnë lidhje ose fjalë kyçe tipike phishing në tekstin e tyre.
- Sigurohuni që të gjitha programet të jenë të përditësuara. Eliminimi i rregullt i dobësive të softuerit është thelbësor për të parandaluar infeksionet.
A duhet të presim sulme të reja?
Virusi Petya u shfaq për herë të parë në mars 2016 dhe sjellja e tij u vu re menjëherë nga ekspertët e sigurisë. Virusi i ri i Petya goditi kompjuterët në Ukrainë dhe Rusi në fund të qershorit 2017. Por kjo nuk ka gjasa të përfundojë. Sulmet e hakerëve duke përdorur viruse ransomware të ngjashme me Petya dhe WannaCry do të përsëriten, tha Stanislav Kuznetsov, Zëvendës Kryetar i Bordit të Sberbank. Në një intervistë për TASS, ai paralajmëroi se sulme të tilla do të ishin patjetër, por është e vështirë të parashikohet paraprakisht se në çfarë forme dhe formati mund të shfaqen.
Nëse, pas të gjitha sulmeve kibernetike të kaluara, nuk keni ndërmarrë ende të paktën hapa minimalë për të mbrojtur kompjuterin tuaj nga virusi ransomware, atëherë është koha ta trajtoni këtë nga afër.
Të martën, virusi Petya / PetWrap / NotPetya sulmoi institucionet dhe firmat në Rusi, Ukrainë, Evropë dhe Shtetet e Bashkuara - vetëm rreth dy mijë viktima. Malware kodonte të dhënat në kompjuterë dhe kërkoi një shpërblim në bitcoin. Ne do t'ju tregojmë se çfarë lloj virusi është, kush e ka vuajtur dhe kush e ka krijuar.
Çfarë është ky virus?
Malware që maskohet si bashkëngjitje emaili. Nëse përdoruesi e ka shkarkuar dhe e ka nisur si administrator, atëherë programi rinis kompjuterin dhe nis funksionin e gjoja të kontrollit të diskut, por në fakt kodon fillimisht sektorin e nisjes dhe më pas pjesën tjetër të skedarëve. Pas kësaj, përdoruesi sheh një mesazh që kërkon të paguajë një shumë në bitcoin ekuivalente me 300 dollarë në këmbim të kodit të deshifrimit të të dhënave.
❗️Virusi "Petya" në veprim. Kini kujdes, përditësoni Windows, mos hapni asnjë lidhje të dërguar me postë - Letrat (@Bykvu)
Kështu funksionon një virus
Kështu funksionoi virusi Petya. Versioni i tij i parë është gjetur ende. Në "Kaspersky Lab" mund të rikuperohen të dhënat në diskun e koduar. Receta e deshifrimit ishte atëherë redaktori i Geektimes, Maxim Agadzhanov. Ka edhe. Nuk mund të konfirmojmë se sa efektive janë dhe nëse janë të përshtatshme për versionet e reja të virusit. Specialisti i sigurisë së informacionit Nikita Knysh në GitHub, i cili nuk është i përshtatshëm. Mjetet për të luftuar virusin pas infektimit.
Nuk dihet se me cilin version të virusit kemi të bëjmë tani. Për më tepër, një numër ekspertësh besojnë se nuk kemi të bëjmë me Petya. Shërbimi i Sigurisë së Ukrainës (SBU) se institucionet shtetërore dhe kompanitë e vendit u sulmuan nga virusi Petya.A dhe është e pamundur të rikuperohen të dhënat e koduara. Në Kaspersky Lab të martën në mbrëmje se "ky nuk është Petya", por një lloj i ri virusi i quajtur ekspertët NotPetya. Gjithashtu në Doctor Web. Yahoo News duke cituar ekspertë të paidentifikuar se është një modifikim i Petya i quajtur PetrWrap. Në Symantec, ne po flasim për Petya.
Kreu i ekipit ndërkombëtar të kërkimit të Kaspersky Lab Kostin Raiu thotë se virusi përhapet përmes letrave nga adresa Ai gjithashtu përpiloi se Petya / PetWrap / NotPetya u përpilua më 18 qershor.
Një nga variantet e faqes së shpërblesës (foto: Avast Blog)
Kaspersky Lab tha gjithashtu se virusi i ri shfrytëzoi të njëjtën dobësi në Windows si WannaCry. Ky malware goditi kompjuterët në mbarë botën më 12 maj. Ajo gjithashtu kodoi të dhënat në kompjuter dhe kërkoi një shpërblim. Mes viktimave ishin. Dobësia e Microsoft në mars: WannaCry dhe Petya / PetrWrap / NotPetya preku ata që nuk e përditësuan sistemin.
Kush e vuajti atë?
Foto nga supermarketi Kharkov ROST, kompjuterët e të cilit gjithashtu u infektuan nga një virus
Twitter-i zyrtar i Ukrainës po përpiqet të gëzojë qytetarët me ndihmën e
Kompanitë e mëdha Kievvodokanal, Novus, Epiqendra, Arsellor Mittal, Arterium, Farmak, klinika Boris, spitali Feofaniya, Ukrtelecom, Ukrposhta, Shell, WOG, Klo dhe TNK.
Media: Observer, 24 Channel, STB, Inter, Novy Kanal, Maximum dhe Era-FM.
Kompjuter në Kabinetin e Ministrave të Ukrainës (foto: Pavel Rosenko)
Malware i pazakontë ransomware. ransomware Petya është një dollap me kyç i vjetër i mirë, i cili kohët e fundit është zëvendësuar nga ransomware. Por Petya jo vetëm që bllokon dritaren e desktopit ose të shfletuesit, por parandalon që sistemi operativ të ngarkohet plotësisht. Mesazhi i shpërblesës thotë se malware përdor një "algoritëm të enkriptimit ushtarak" dhe kodon të gjithë hard diskun menjëherë.
Në të kaluarën e afërt, dollapët (aka bllokuesit) ishin një lloj malware shumë i zakonshëm. Disa prej tyre bllokuan desktopin, të tjerët vetëm dritaren e shfletuesit, por të gjithë kërkuan një shpërblim nga viktima për të rivendosur aksesin. Dollapët janë zëvendësuar nga ransomware që jo vetëm bllokojnë të dhënat, por edhe i kodojnë ato, gjë që rrit ndjeshëm gjasat për të paguar një shpërblim.
Sidoqoftë, specialistët nga kompania G DATA kanë gjetur një mostër të freskët të dollapit, i cili e quan veten Petya. Në një mesazh shpërblyese, malware pretendon se kombinon funksionet e një bllokuesi dhe ransomware në të njëjtën kohë.
Email phishing tek një specialist i burimeve njerëzore
Petya sulmon kryesisht specialistët e HR. Për ta bërë këtë, kriminelët kibernetikë dërgojnë email të synuar phishing. Mesazhet supozohet se janë rifillime nga kandidatët për çdo pozicion. E-mail-eve i është bashkangjitur një lidhje me portofolin e plotë të aplikantit, i cili gjendet në Dropbox. Sigurisht, në vend të portoflios, lidhja përmban malware - skedarin application_portfolio-packed.exe (përkthyer nga gjermanishtja).
Portofoli i rremë Ekzekutimi i këtij skedari.exe bën që sistemi të përplaset në një "ekran blu të vdekjes" dhe më pas të rindizet. Ekspertët e G DATA besojnë se para rindezjes, malware ndërhyn me MBR në mënyrë që të përgjojë kontrollin e procesit të nisjes.
CHKDSK e rreme Pas rinisjes së kompjuterit, viktima sheh një kontroll të simuluar të diskut (CHKDSK), pas së cilës nuk është sistemi operativ që ngarkon në ekranin e kompjuterit, por ekrani i kyçjes Petya. ransomware informon viktimën se të gjitha të dhënat në hard disqet e tij janë koduar duke përdorur një "algoritëm të enkriptimit ushtarak" dhe nuk mund të rikuperohen.
Për të rivendosur aksesin në sistem dhe për të deshifruar të dhënat, viktima duhet të paguajë një shpërblim duke shkuar në faqen e internetit të sulmuesit në zonën .onion. Nëse pagesa nuk është bërë brenda 7 ditëve, shuma e shpërblimit dyfishohet. "Blej" nga sulmuesi ofrohet një "kod deshifrues" i veçantë, i cili duhet të futet drejtpërdrejt në ekranin e dollapit.
Ekspertët e G DATA shkruajnë se nuk e kanë kuptuar ende se si funksionon Petya, por dyshojnë se malware thjesht gënjen për enkriptimin e të dhënave. Me shumë mundësi, malware thjesht bllokon aksesin në skedarë dhe parandalon nisjen e sistemit operativ. Ekspertët dekurajojnë fuqimisht pagesën e shpërblimit për kriminelët kibernetikë dhe premtojnë të publikojnë informacione të përditësuara mbi kërcënimin në të ardhmen e afërt.
Ju mund ta shihni Petya në veprim në videon më poshtë.
Më 27 qershor, agjencitë qeveritare të Ukrainës dhe kompanitë private u sulmuan nga një virus ransomware i quajtur Petya.A. Kabineti i Ministrave, Oschadbank, Ukrenergo, Novaya Pochta, aeroporti Boryspil, termocentrali bërthamor i Çernobilit dhe organizata të tjera iu nënshtruan një sulmi kibernetik. "GORDON" tregon se si funksionon virusi Petya.A dhe nëse është e mundur të mbrohemi kundër tij.
Foto: Evgeny Boroday / "VKontakte"
Denis KONDAKÇfarë është Petya.A?
Është një virus ransomware që kodon të dhënat në një kompjuter dhe kërkon 300 dollarë për një çelës për dekriptimin e tij. Filloi të infektonte kompjuterët ukrainas rreth mesditës së 27 qershorit dhe më pas u përhap në vende të tjera: Rusi, Britani e Madhe, Francë, Spanjë, Lituani etj. Tani ka një virus në faqen e Microsoft Ajo ka niveli i kërcënimit "serioz".
Infeksioni është për shkak të të njëjtit cenueshmëri në Microsoft Windows si në rastin e virusit WannaCry, i cili në maj preku mijëra kompjuterë në mbarë botën dhe shkaktoi rreth 1 miliard dollarë dëme për kompanitë.
Në mbrëmje, policia kibernetike njoftoi se një sulm virusi kishte për qëllim raportimin elektronik dhe rrjedhën e punës. Sipas oficerëve të rendit, në orën 10.30 u publikua një tjetër përditësim i M.E.Doc, me ndihmën e të cilit u shkarkua softueri me qëllim të keq në kompjuter.
Petya u shpërnda me postë elektronike, duke u paraqitur si rezyme e një punonjësi. Nëse një person u përpoq të hapte një rezyme, virusi kërkonte të drejtat e administratorit. Nëse përdoruesi pajtohet, kompjuteri fillon të rindizet, atëherë hard disku është i koduar dhe shfaqet një dritare shpërblimi.
VIDEO
Procesi i infektimit me virusin Petya. Video: G DATA Software AG / YouTube
Në të njëjtën kohë, vetë virusi Petya kishte një dobësi: ishte e mundur të merrej një çelës për të deshifruar të dhënat duke përdorur një program të veçantë. Kjo metodë u përshkrua në prill 2016 nga redaktori i Geektimes, Maxim Agadzhanov.
Megjithatë, disa përdorues zgjedhin të paguajnë një "shpërblim". Sipas një prej kuletave të njohura të Bitcoin, krijuesit e virusit morën 3.64 bitcoin, që korrespondon me afërsisht 9100 dollarë.
Kush u godit nga virusi?
Në Ukrainë, viktimat e Petya.A ishin kryesisht klientë të korporatave: agjenci qeveritare, banka, media, kompani energjetike dhe organizata të tjera.
Ndër të tjera, ndërmarrje si Novaya Pochta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsya, TNK, Antonov, Epicenter, 24 Kanal, si dhe aeroporti Boryspil, Kabineti i Ministrave të Ukrainës, Shërbimi Fiskal Shtetëror etj.
Sulmi u përhap edhe në rajone. Për shembull, n dhe në termocentralin bërthamor të Çernobilit, për shkak të një sulmi kibernetik, menaxhimi elektronik i dokumenteve pushoi së punuari dhe stacioni kaloi në monitorimin manual të nivelit të rrezatimit. Në Kharkov, puna e një supermarketi të madh "Rost" u bllokua, dhe në aeroport, kontrolli për fluturimet u transferua në modalitetin manual.
Për shkak të virusit Petya.A, arkat në supermarketin Rost pushuan së funksionuari. Foto: Х ... evy Kharkov / "VKontakte"
Sipas gazetës, në Rusi kompanitë Rosneft, Bashneft, Mars, Nivea dhe të tjera ishin nën sulm.
Si të mbroheni nga Petya.A?
Udhëzimet se si të mbroheni nga Petya.A u publikuan nga Shërbimi i Sigurisë së Ukrainës dhe policia kibernetike.
Policia kibernetike këshillon përdoruesit të instalojnë përditësimet e Windows nga faqja zyrtare e Microsoft-it, të përditësojnë ose instalojnë antivirus, të mos shkarkojnë skedarë të dyshimtë nga emailet dhe të shkëputin menjëherë kompjuterin nga rrjeti nëse vërehet një mosfunksionim.
SBU theksoi se në rast dyshimi, kompjuteri nuk mund të rindizet, pasi skedarët janë të koduar pikërisht gjatë rindezjes. Shërbimi sekret rekomandoi që ukrainasit të ruanin skedarë të vlefshëm në një medium të veçantë dhe të bënin një kopje rezervë të sistemit operativ.
Eksperti i sigurisë kibernetike Vlad Styran ka shkruar në Facebook se përhapja e virusit në rrjetin lokal mund të ndalet duke bllokuar portat TCP 1024-1035, 135, 139 dhe 445 në Windows. Në internet ka udhëzime se si ta bëni këtë.
Specialistët e kompanisë amerikane Symantec
TALLIN, 28 qershor - RIA Novosti, Nikolay Adashkevich. Virusi ransomware Petya sulmoi kompjuterët në Estoni dhe Poloni.
Të 11 dyqanet e ndërtimit të zinxhirit Ehituse ABC, në pronësi të koncernit francez Saint-Gobain, janë mbyllur në Estoni, tha Anton Kutser, një anëtar i bordit të kompanisë.
"Tani po punojmë për zgjidhjen e problemit. Ne kemi lokalizuar sisteme kompjuterike për të mbrojtur të dhënat. Sapo të zgjidhet problemi, ne do të informojmë klientët tanë për të. Tani të gjitha dyqanet Ehituse ABC janë mbyllur," citoi portali estonez Delfi Kutser. siç thotë.
Në Poloni, problemi ka prekur kompanitë në industrinë e logjistikës. U sulmuan firma të vogla dhe qendra shërbimi dhe tregtare. Në mesazhin e portalit niebezpiecznik.pl theksohej se “prandaj askush nuk duhet të ndihet i sigurt”. Informacioni për sulmet u konfirmua nga drejtori i zyrës së menaxhimit të sigurisë në Exatel, Yakub Syta. Sipas tij, shkalla e incidentit ende nuk është e qartë. Kryeministrja Beata Shidlo mbledh një shtab të krizës të mërkurën në lidhje me sulmet kibernetike.
Siç vërehet nga Kaspersky Lab, më shumë se dy mijë përdorues u prekën nga virusi i ri. Raste të infektimit janë vërejtur edhe në Itali, Britani të Madhe, Gjermani, Francë, SHBA dhe disa vende të tjera.
Në Rusi, nuk u regjistruan asnjë ndërprerje serioze pas sulmeve kibernetike, tha sekretari i shtypit presidencial Dmitry Peskov. "Sistemet e mbrojtjes funksionojnë mjaft efektivisht si në nivel shtetëror ashtu edhe në nivel të korporatës. Burimi i internetit i Presidentit po funksionon në mënyrë të qëndrueshme," tha ai.
Microsoft po heton përhapjen e një virusi të ri, ekipet mbështetëse në mbarë botën janë të gatshme të ndihmojnë menjëherë përdoruesit e prekur, tha për RIA Novosti Kristina Davydova, sekretare e shtypit e kompanisë në Rusi.
Një sulm global ransomware të martën goditi sistemet IT të kompanive në disa vende të botës, duke prekur më së shumti Ukrainën. U sulmuan kompjuterë të naftës, energjisë, telekomunikacionit, kompanive farmaceutike dhe agjencive qeveritare.
Virusi bllokon kompjuterët dhe kërkon 300 dollarë në bitcoin, tha Group-IB për RIA Novosti. Sulmi filloi rreth orës 11:00. Metoda e përhapjes në rrjetin lokal është e ngjashme me virusin WannaCry. Sipas raportimeve të mediave, në orën 18:00, portofoli i bitcoin, i cili tregohej për transferimin e fondeve te zhvatësit, mori nëntë transferta, duke marrë parasysh komisionin për transfertat, viktimat u dërguan hakerëve rreth 2.7 mijë dollarë.
Sipas kompanisë antivirus ESET, sulmi filloi në Ukrainë, e cila vuajti prej tij më shumë se vendet e tjera. Sipas renditjes sipas vendeve të prekura nga virusi, Italia është në vendin e dytë pas Ukrainës dhe Izraeli në vendin e tretë. Në dhjetëshen e parë përfshihen gjithashtu Serbia, Hungaria, Rumania, Polonia, Argjentina, Republika Çeke dhe Gjermania. Rusia zë vetëm vendin e 14-të në këtë listë.
