Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о шифровальщике Petya (ExPetr). Вирус Petya: все, что вам нужно знать об этом вирусе
В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком . Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.
Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.
Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. - В частности, он шифрует главную файловую таблицу MFT».
Как это происходит и можно ли этот процесс предупредить?
Вирус «Петя» — как работает?
Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.
Как избавиться от Petya?
Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.
Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:
- Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
- Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe.
- Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
- Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
- После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
- Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
- Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
- Теперь нажмите кнопку «Применить», а затем кнопку «ОК».
Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.
Поздравляем, ваш компьютер защищен от NotPetya / Petya!
Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.
- Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
- Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
- Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
- Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
- Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
- Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.
Стоит ли ждать новых атак?
Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.
Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.
Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.
Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги - 300 долларов биткоинами, причём сумма удваивается через какое-то время.
Вирус Petya, обнаруженный в начале 2016 года, распространялся по точно такой же схеме, поэтому многие пользователи решили, что это он и есть. Но специалисты из компаний-разработчиков антивирусного ПО уже заявили, что в произошедшей атаке виноват какой-то другой, совершенно новый вирус, который они ещё будут изучать. Эксперты из «Лаборатории Касперского» уже дали неизвестному вирусу название - NotPetya.
По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.
Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.
Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.
Жертвы кибератаки
Больше всех от неизвестного вируса пострадали украинские компании. Заражены оказались компьютеры аэропорта «Борисполь», правительства Украины, магазинов, банков, СМИ и телекоммуникационных компаний. После этого вирус добрался и до России. Жертвами атаки стали «Роснефть», «Башнефть», Mondelеz International, Mars, Nivea.
О проблемах с IT-системами из-за вируса заявили даже некоторые зарубежные организации: британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие. Об этом в своём твиттере написал Костин Райю, глава международной исследовательской команды «Лаборатория Касперского».
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.
27 июня украинские государственные структуры и частные компании попали под удар "вируса-вымогателя" под названием Petya.A. Кибератаке подверглись Кабинет Министров, "Ощадбанк", "Укрэнерго", "Новая почта", аэропорт Борисполь, Чернобыльская АЭС и другие организации. "ГОРДОН" рассказывает, как работает вирус Petya.A и можно ли от него защититься.
Фото: Евгений Бородай / "ВКонтакте"
Денис КОНДАКЧто такое Petya.A?
Это "вирус-вымогатель", который зашифровывает данные на компьютере и требует $300 за ключ, позволяющий их расшифровать. Он начал инфицировать украинские компьютеры около полудня 27 июня, а затем распространился и на другие страны: Россию, Великобританию, Францию, Испанию, Литву и т.д. На сайте Microsoft вирус сейчас имеет "серьезный" уровень угрозы.
Заражение происходит благодаря той же уязвимости в Microsoft Windows, что и в случае с вирусом WannaCry, который в мае поразил тысячи компьютеров во всем мире и нанес компаниям около $1 млрд ущерба.
Вечером киберполиция сообщила, что вирусная атака , предназначенную для электронной отчетности и документооборота. По данным правоохранителей, в 10.30 вышло очередное обновление M.E.Doc, с помощью которого на компьютеры скачивалось вредоносное программное обеспечение.
Petya распространялся с помощью электронной почты, выдавая программу за резюме сотрудника. Если человек пытался открыть резюме, вирус просил предоставить ему права администратора. В случае согласия пользователя начиналась перезагрузка компьютера, затем жесткий диск шифровался и появлялось окно с требованием "выкупа".
ВИДЕО
Процесс заражения вирусом Petya. Видео: G DATA Software AG / YouTube
При этом сам вирус Petya имел уязвимость: получить ключ для расшифровки данных можно было с помощью специальной программы. Этот метод в апреле 2016-го описывал редактор Geektimes Максим Агаджанов.
Однако некоторые пользователи предпочитают платить "выкуп". Согласно данным одного из известных кошельков Bitcoin, создатели вируса получили 3,64 биткоина, что соответствует приблизительно $9100.
Кто попал под удар вируса?
В Украине жертвами Petya.A в основном стали корпоративные клиенты: госструктуры, банки, СМИ, энергетические компании и другие организации.
Среди прочих под удар попали предприятия "Новая почта", "Укрэнерго", OTP Bank, "Ощадбанк", ДТЭК, Rozetka, "Борис", "Укрзалізниця", ТНК, "Антонов", "Эпицентр", "24 канал", а также аэропорт Борисполь, Кабинет Министров Украины, Госфискальная служба и другие.
Атака распространилась и на регионы. К примеру, н а Чернобыльской АЭС из-за кибератаки перестал работать электронный документооборот и станция перешла на ручной мониторинг уровня радиации. В Харькове оказалась заблокированной работа крупного супермаркета "Рост", а в аэропорту регистрацию на рейсы перевели в ручной режим.
Из-за вируса Petya.A в супермаркете "Рост" перестали работать кассы. Фото: Х...евый Харьков / "ВКонтакте"
По данным издания , в России под удар попали компании "Роснефть", "Башнефть", Mars, Nivea и другие.
Как защититься от Petya.A?
Инструкции о том, как защититься от Petya.A, опубликовали Служба безопасности Украины и киберполиция.
Киберполиция советует пользователям установить обновления Windows с официального сайта Microsoft, обновить или установить антивирус, не загружать подозрительные файлы из электронных писем и немедленно отсоединять компьютер от сети, если замечены нарушения в работе.
СБУ подчеркнула, что в случае подозрений компьютер нельзя перезагружать, поскольку шифрование файлов происходит именно при перезагрузке. Спецслужба порекомендовала украинцам сохранить ценные файлы на отдельный носитель и сделать резервную копию операционной системы.
Эксперт по кибербезопасности Влад Стыран писал в Facebook, что распространение вируса в локальной сети можно остановить, заблокировав в Windows TCP-порты 1024-1035, 135, 139 и 445. В интернете есть инструкции о том, как это сделать.
Специалисты американской компании Symantec
Вымогателя появилась в октябре 2017 года. Согласно текущим отчетам, последняя версия вымогателя в основном затрагивает российские и украинские организации.
Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа.
Подобно другим вимогателям, как Locky virus , CryptoWall virus , и CryptoLocker , этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение:
“НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”
Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме.
Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400.
Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы.
Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR).
Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы.
Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как , чтобы позаботиться о удалении Petya.
Вирус под названием NotPetya нарушает деятельность Чернобыльской электростанции
В июне 27 2017 года вирус под названием NotPetya имитируюзщий Petya проникнул в компьютерные системына корпораций и международных правительственных учреждений. В связи с этим системы не могли запускаться нормально. В обмен на доступ требуються 300 долларов. Дальнейший анализ показал, что вирус не настоящий Petya. .
Наблюдая масштабы нападения, Украина в основном пострадала. Из-за неисправности систем Киевскому аэропорту пришлось отменить некоторые полеты. Кроме того, работники Чернобыльской электростанцией должны были срегулировать уровень радиации вручную.
Интересно, что некоторые IT специалисты обнаружили, что вирус распространяться через поврежденные обновления, связанные с производителeм компьютерных программ «MeDoc» в Украине. Однако такие обвинения по-прежнему нуждаются в дополнительных доказательствах.
К счастью, другие специалисты по кибербезопасности нашли временное решение как предотвратить NotPetya/Petya.a атаку.
На приведенном выше изображении отображается Petya примечания о выкупе.
Метод 1. (Безопасный режим)
Выберите "Safe Mode with Networking" Метод 1. (Безопасный режим)
Выберите "Enable Safe Mode with Networking"
Выберите "Safe Mode with Command Prompt" Метод 2. (Системное восстановление)
Выберите "Enable Safe Mode with Command Prompt"
Метод 2. (Системное восстановление)
Введите "cd restore" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
Введите "rstrui.exe" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
В появившемся окне "System Restore" выберите "Next"
Метод 2. (Системное восстановление)
Выберите Вашу точку восстановления и щелкните "Next"
Метод 2. (Системное восстановление)
Щелкните "Yes" и начните восстановление системы ⇦ ⇨Слайд 1 из 10
Как распространяется этот вирус и как он может войти в компьютер?
Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки.
Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете. Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги.
Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.
Как я могу удалить вирус Petya с моего ПК?
Как ми уже упоминали, удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов. Также, восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК. В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.
Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически.