Вирус-вымогатель petya: как защититься или удалить?

Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry. Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».

Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)

По статистике всех пострадавших , вирус распространялся в фишинговых письмах с зараженными вложениями.

Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt.exe скрывается, а приоритетным является последнее расширения файла.

По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:

• Так что я рекомендую вам включить отображение расширений.
• В 8.1 в окне проводника (Вид Параметры папок Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
• В 7 в окне проводника (Alt Сервис Параметры папок Убираем галочку Скрывать расширения для зарегистрированных типов файлов)

И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.

После открытия файла пользователь видит «синий экран смерти».

После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.

В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”.

Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”.

Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи.

Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.

Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы.

Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR).

Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск — это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя.

Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК.

Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.

Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего.

Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС.

После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Единственный вариант, это если ранее у вас были теневые копии файлов.

Поэтому, если вы еще не стали жертвой вируса Petya.A — обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

— Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.

— Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)

— Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.

— Форматирование диска и установка операционной системы. Минус — все данные будут утеряны.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Разработка расширений Joomla

Все, что нужно знать о Petna — вирусе-вымогателе семейства Petya

Ответы на самые важные вопросы о вирусе-вымогателе Petna (NotPetya, ExPetr) — шифровальщике на основе Petya, заразившем множество компьютеров по всему миру.

В этом месяце мы стали свидетелями еще одной массированной атаки программы-вымогателя, которая произошла всего спустя несколько недель после киберэпидемии WannaCry.

За несколько дней данная модификация шифровальщика получила множество различных названий, включая Рetya (так называется оригинальный вирус), NotPetya, EternalPetya, Nyetya и прочие.

Изначально мы назвали его «вирусом семейства Petya», но для удобства будем называть просто Petna.

Вокруг Petna хватает неясностей и помимо названия. Это та же программа-вымогатель, что и Рetya, или другая версия? Следует ли рассматривать Petna в качестве шифровальщика, требующего выкуп или вируса, который просто уничтожает данные? Проясним некоторые аспекты прошедшей атаки.

Продолжается ли распространение Petna?

Пик активности наблюдался несколько дней назад. Распространение вируса началось утром 27 июня. В тот же день его активность достигла наивысшего уровня, каждый час происходили тысячи попыток атак. После этого их интенсивность значительно снизилась в течение того же дня, а в дальнейшем наблюдалось лишь небольшое количество заражений.

Можно ли сравнить данную атаку с WannaCry?

Нет, если судить по охвату нашей пользовательской базы. Мы наблюдали около 20 000 попыток атак по всему миру, что несоизмеримо меньше, чем 1,5 миллионов предотвращенных нами атак WannaCry.

Какие страны пострадали больше всего?

Данные нашей телеметрии показывают, что основной удар вируса был нанесен по Украине, где было обнаружено более 90% попыток атак. Также пострадали Россия, США, Литва, Беларусь, Бельгия и Бразилия. В каждой из этих стран отмечено от нескольких десятков до нескольких сотен попыток заражения.

Какие операционные системы подверглись заражению?

Наибольшее количество атак было зафиксировано на устройства под управлением Windows 7 (78 %) и Windows XP (14 %). Количество атак на более современные системы оказалось значительно меньше.

Каким образом вирус Рetna проникал на ПК?

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерским софтом M.E.Doc. Именно поэтому настолько серьезно пострадала Украина.

Горький парадокс: в целях безопасности пользователям всегда советуется обновлять программное обеспечение, однако в данном случае вирус начал масштабное распространение именно с обновлением ПО, выпущенного M.E.Doc.

Почему пострадали и компьютеры за пределами Украины?

Одна из причин состоит в том, что некоторые пострадавшие компании имеют украинские дочерние структуры. Как только вирус заражает компьютер, он распространяется внутри сети. Именно так ему удалось достичь компьютеров в других странах. Мы продолжаем исследовать другие возможные векторы заражения.

Что происходит после заражения?

После заражения устройства Реtnа пытается зашифровать файлы с определенными расширениями.

Список целевых файлов не так велик по сравнению со списками оригинального вируса Petya и других программ-вымогателей, однако он включает расширения фотографий, документов, исходных кодов, баз данных, образов дисков и прочие.

Кроме того, данное ПО не только шифрует файлы, но и как червь распространяется на другие устройства, подключенные к локальной сети.

Как было сказано ранее, вирус применяет три различных способа распространения: с использованием эксплойтов EternalBlue (известного по WannaCry) или EternalRomance, через общие сетевые ресурсы Windows с использованием украденных у жертвы учетных данных (с помощью утилит типа Mimikatz, которые могут извлекать пароли), а также благонадежных инструментов вроде PsExec и WMIC.

После шифрования файлов и распространения по сети, вирус пытается нарушить загрузку Windows (изменяя основную загрузочную запись, MBR), а после принудительной перезагрузки зашифровывает главную файловую таблицу (MFT) системного диска. Это не позволяет компьютеру более загрузить Windows и делает использование компьютера невозможным.

Может ли Реtnа заразить мой компьютер со всеми установленными обновлениями безопасности?

Да, это возможно за счет горизонтального распространения вредоносной программы, описанного выше. Даже если конкретное устройство защищено и от EternalBlue и EternalRomance, оно все же может быть заражено третьим способом.

Это Реtуа, WannaCry 2.0 или что-то еще?

Вирус-шифровальщик Petya: лечение и дешифратор файлов (апд. Июнь 17

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A). В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп.

Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались.

Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению.

Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в  в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Вредонос Petya. Экран с предупреждением

Однако несколько недель тому назад появился более изощренный вирус Mischa, судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе.

То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa.

 Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Реклама “пакета” вредоносов Mischa и Petya на одном из хакерских форумов

Вредонос Mischa шифрует не только стандартные типы файлов (видео, картинки, презентации, документы), но также файлы .exe. Вирус не затрагивает только директории Windows, $Recycle.Bin, Microsoft, Mozilla Firefox, Opera, Internet Explorer, Temp, Local, LocalLow и Chrome.

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д.

Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya  (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан.

За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО.

Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

“Украинский” вариант вируса Petya

Удалить вирус Petya и Mischa c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности.

Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши.

Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии.

Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Загрузить программу восстановелния данных
Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

• Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
• Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов.

Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Petya и Mischa

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра.

Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса
Mischa и Petya

Похожее

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты

27 июня страны Европы поразила атака вируса-вымогателя, известного под безобидным именем Petya (в различных источниках также можно встретить названия Petya.A, NotPetya и GoldenEye). Шифровальщик требует выкуп в биткоинах, эквивалентный 300 долларам. Заражены десятки крупных украинских и российских компаний, также фиксируется распространение вируса в Испании, Франции и Дании.

Кто попал под удар?

Украина

Украина стала одной из первых стран, подвергшихся атаке. По предварительным оценкам, атакованы около 80 компаний и госучреждений:

• аэропорты: «Борисполь», Международный Аэропорт Харькова (он, кстати, временно перешёл на регистрацию в ручном режиме);
• киевское метро: вирус заразил терминалы пополнения проездных билетов, оплата картами пока невозможна;
• банки: Национальный банк Украины, «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк»;
• операторы сотовой связи: «Киевстар», lifecell и «Укртелеком»;
• энергетические компании: «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровская электроэнергетическая система».

Атаке подверглись и компьютерные сети правительства Украины. Вирус-вымогатель распространился даже в кабинет министров. Сайт правительства оказался недоступен.

Советник министра внутренних дел Украины Антон Геращенко заявил:

Письмо, содержащее вирус, приходило в большинстве случаев по почте… Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали неопытные пользователи.

Россия

В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). «Роснефть» была первой российской компанией, заявившей об атаке вируса на сервера компании.

Шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович, а также компании Nivea, TESA, Royal Canin, «Новая Почта», и подразделения Damco в России и Европе.

Ситуация в Европе

Petya затронул и другие страны. Компании Испании, Дании, Франции, Нидерландов, Индии и других государств также сообщили об атаке на свои серверы.

По оценкам сотрудника «Лаборатории Касперского» Костина Райю, масштаб атаки меньше, чем во время активности вируса WannaCry, однако урон всё равно является «значительным». Он заявил, что компания наблюдает «несколько тысяч» попыток заражения по всему миру.

Эксперты из IT-компаний рассказывают, как вирусу-вымогателю удалось заразить компании по всему миру И что делать, чтобы защититься от вируса — Meduza

Данное сообщение (материал) создано и (или) распространено иностранным средством массовой информации, выполняющим функции иностранного агента, и (или) российским юридическим лицом, выполняющим функции иностранного агента.

???? ???? ???? ???? ???? Нам нужна ваша помощь. Пожалуйста, поддержите «Медузу»

Во вторник, 27 июня, в интернете начал распространятся новый вирус-вымогатель — при попадании в компьютер он шифрует данные и требует перевести злоумышленникам 300 долларов в обмен на ключ к шифру.

Заражение началось с Украины, в итоге вирусом оказались заражены компьютеры в 64 странах; программа поразила компьютеры крупных промышленных компаний — Maersk, Evraz и, по всей видимости, «Роснефти».

Новый вирус похож на вредоносную программу Petya, которая появилась год назад, и использует те же уязвимости, что и вирус WannaCry, поразивший тысячи компьютеров в мае 2017 года. «Медуза» с помощью специалистов из крупных российских IT-компаний отвечает на ключевые вопросы о работе вируса.

Как правильно называть новый вирус?

В СМИ распространившийся по миру 27 июня вирус называют Petya — по имени вируса-вымогателя, который появился год назад.

Новый вирус действительно немного похож на Petya, однако, как рассказали «Медузе» в «Лаборатории Касперского», от старого он отличается тем, что не только блокирует, но и шифрует данные на диске, а также имеет дополнительные механизмы распространения по локальной сети.

Канонического названия у нового вируса нет, в «Лаборатории Касперского» его называют ExPetr; другие компании, специализирующиеся на информационной безопасности, используют старое название.

Что делает вирус с компьютером?

Когда вирус попадает в компьютер, на котором установлена операционная система Windows, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска, где хранятся необходимые для загрузки компьютера данные (это часть называется MBR — master boot record, «главная загрузочная запись»). Если получается, система выдает «синий экран смерти», а после перезагрузки вместо запуска Windows появляется стандартное сообщение о проверке жесткого диска с просьбой не отключать питание.

На самом деле, это обман — вирус маскируется под системную программу по проверке диска, а в это время шифрует файлы с определенными расширениями (например, базы данных и другие файлы, необходимые для делопроизводства).

Когда шифрование заканчивается, пользователь видит сообщение о том, что он стал жертвой программы-вымогателя (ransomware).

Чтобы получить ключ для дешифровки данных, он должен перевести злоумышленникам 300 долларов биткоинами.

Кроме того, после попадания в компьютер вирус стремится заразить другие станции в локальной сети.

Что вирус уже заразил?

Заражение началось 27 июля 2017 года с Украины. Вирус поразил компьютеры правительства, «Украинских железных дорог», киевского метрополитена, нескольких банков, мобильных компаний, редакций ряда СМИ. Служба безопасности Украины почти сразу обвинила в атаке Россию.

В самой России под удар попали крупные промышленные компании — металлургическая Evraz, Mondelez (производит шоколадки Alpen Gold), «Роснефть» (при этом пресс-секретарь «Роснефти» Михаил Леонтьев заявил, что кибератака, затронувшая компьютеры «Роснефти» и принадлежащей ей «Башнефти», могла быть связана с текущими судебными процессами компании), «Татнефть», а также банк «Хоум кредит» и другие.

Затем вирус распространился в другие страны — в Великобритании пострадал рекламно-коммуникационный холдинг WPP Group, в Дании — логистическая компания Maersk, в Индии — крупнейший в стране контейнерный порт имени Джавахарлала Неру. Архитектор по информационной безопасности компании «Информзащита» Павел Таратынов в разговоре с «Медузой» сообщил, что к вечеру 28 июня заражению подверглись 12,5 тысячи компьютеров в 64 странах.

Руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников рассказал «Медузе», что вирус «заточен под бизнес» — и написан так, чтобы поражать корпоративные сети.

Как распространяется вирус?

27 июня появилось предположение, что Petya/exPetr содержался в свежем обновлении программы M.E.Doc, широко используемой на Украине для ведения бухгалтерии. Разработчики ПО заявили, что это не так, но и Таратынов из «Информзащиты», и Наместников из «Лаборатории Касперского» утверждают, что заражение началось именно с обновлений M.E.Doc.

«Дальше он распространился очень просто. Вся экономика у нас транснациональная, и поэтому вирус из одних офисов перетек в другие, причем за несколько минут», — объясняет Наместников. Как вирус попал на компьютеры компаний, не работающих с M.E.Doc, эксперты не уточнили.

Как отметили оба специалиста, вирус распространяется либо с помощью уязвимостей в Windows, которые использовал вирус WannaCry (он заражал компьютеры по всему миру в мае), либо через встроенные в Windows (и вполне легитимные) утилиты PSexec и WMIC — в нормальных условиях они используются для администрирования компьютерной инфраструктуры. Специалисты сказали, что речь об использовании социальной инженерии в случае с Petya/exPetr, очевидно, не идет: для распространения вируса не применяют электронную почту или фишинговые ссылки.

Как защититься от вируса?

Прежде всего, надо обновить Windows. Если у вас старая версия операционной системы, установите обновления вручную (они есть здесь). Это спасет вас от распространения через уязвимости системы, потому что свежие обновления их починят. Если у вас есть антивирусное ПО, обновите сигнатуры. «Касперский» также советует скачать бесплатную утилиту для обнаружения вирусов-вымогателей.

Специалисты также рекомендуют запретить своему компьютеру связываться с некоторыми узлами в интернете — тогда Petya/exPetr не сможет скачать шифратор (список узлов здесь).

Еще один способ снизить риск заражения — сделать вид, что компьютер уже заражен; для этого понадобится обычный «Блокнот» (в «Лаборатории Касперского» этот прием назвали «лечением пневмонии чесноком», однако специалисты Symantec рекомендуют им воспользоваться).

Чтобы заражение не нарушило ваших планов (в случае, если оно произойдет), сделайте резервную копию данных. И ни в коем случае не отправляйте деньги злоумышленникам — очень часто это не помогает: почтовые ящики мошенников заблокированы, и получить ключ расшифровки вы просто не сможете.

Как защититься от вируса Petya

Опасный вирус Petya распространяется по всему миру. Сегодня вымогатель добрался до Азии. О том, как можно защититься от вирусной атаки, поясняют специалисты Group-IB

27 июня многие страны оказались жертвами масштабной кибератаки вируса Petya. Он заблокировал тысячи компьютеров и потребовал за возвращение данных $300 в биткоинах (виртуальная валюта).

Заразились сотни компаний по всему миру, включая российские «Роснефть» и «Башнефть», украинские («Приватбанк», «Борисполь», электроэнергетика, мобильные операторы и многие другие), а также ряд американских, индийских, австралийских и других компаний. Сегодня нападения продолжаются – Petya добрался и до Азии.

Сказать, что это опасно – ничего не сказать. Одно дело – блокировка данных простых пользователей, совсем другое – когда атакованы жизненно важные энергетические, телекоммуникационные и финансовые компании. От массовой кибератаки жизнь страны может попросту остановиться.

Как Petya это делает

Специалисты международной компании по предотвращению и расследованию киберпреступлений и мошенничеств Group-IB объясняют, что всё начинается с фишинговой рассылки на e-mail адреса сотрудников компаний. С момента открытия компьютер заражен, и происходит шифрование файлов. Говоря простым языком, доступ к вашим же данным блокируется.

Более того: вредоносный контент могут содержать любые вложения, включая форматы .doc, .docx, .xls, .xlsx, .rtf и другие файлы Microsoft Office. Если открыть вложение Petya, ваш компьютер автоматически захватывается вредителями.

Затем запускаются два потока.

Первый поток. Вредоносное ПО действует так, чтобы ваши антивирусы не срабатывали. Вирус использует уязвимость, известную как CVE-2017-0144. Это – инструмент АНБ США.

Массовая атака WannaCry, из-за которой пострадали полмиллиона компьютеров в 150 государствах, была основана на той же уязвимости. 14 апреля кибербандиты из ShadowBrokers выложили этот опасный инструмент в открытый доступ.

Второй поток. Вирус захватывает пароли администраторских учетных записей.

«Чтобы заразить всю сеть, нужен хотя бы один инфицированный компьютер, содержащий учетную запись администратора в LSA (доменную или локальную, если ее пароль одинаковый для других компьютеров в сети)», — подчеркнули специалисты Group-IB.

Достаточно всего 30-40 минут с момента заражения, чтобы Petya взялся за шифрования локальных файлов. Вымогатель пытается подменить MBR и MFT и уйти в перезагрузку.

• Вирус очень хитрый: при перезагрузке шифровальщик притворяется сканированием системы, а затем довершает свои грязные дела на компьютере.
• И вот оно – страшное сообщение на ваших мониторах с требованием прислать биткоины.
• Защищайтесь, сударь

Как защититься от злобного Petya? Прежде всего – не платить вымогателям. Таким образом вы лишь спонсируете их, а гарантий восстановления данных нет. Лучше всего, конечно, подстраховываться и самые важные данные при возможности держать на внешних дисках.

Но можно потратить немного времени и обезопасить свой компьютер от вымогателей.

Group-IB предлагает следующие шаги:

1. Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows;
2. Установить патч KB2871997;
3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0;
4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные;
5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах;
6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010);
7. Экстренно отбирать администраторские права у всех, кому они не нужны;
8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети;
9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях;
10. Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников;
11. Отключите SMBv1 в сети;
12. Подпишитесь на Microsoft Technical Security Notifications.

1. Читайте по теме:
2. Вирус Petya добрался до Индии и Китая
3. Ох и Петя: реакция пользователей соцсетей на вирус, атаковавший укранское киберпространство

Кто пострадал от вируса-вымогателя Petya.A и как от него защититься — Офтоп на TJ

Атаке подверглись более 80 компаний из России и Украины.

{«id»:45808}

Вышедший из строя компьютер в кабинете министров Украины. Фото вице-премьера Павла Розенко

27 июня сети многих российских и украинских компаний поразил вирус-шифровщик, похожий на Petya.A. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).

Сайты многих ведомств, предприятий и подразделений оказались недоступны. По оценкам cпециалистов по кибербезопасности, речь идёт минимум о 80 пострадавших компаниях.

Продолжение (18:47): Компании по всему миру, в том числе из Испании, Франции и Дании, сообщили об атаке Petya.A.

Вирус атаковал киевский аэропорт Борисполь, в руководстве которого предупредили о возможных задержках рейсов. Обновлено (28 июня 9:40): Международный Аэропорт Харькова временно перешёл на регистрацию в ручном режиме.

Шифровальщик добрался до киевского метро, где заразил терминалы пополнения проездных билетов. Оплату банковскими картами временно приостановили.

Атаке подверглись компьютерные сети правительства Украины. Вирус-вымогатель распространился в кабинет министров. Сайт правительства оказался недоступен.

Энергетические компании также столкнулись с вирусом-вымогателем: cообщалось об атаках на «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровскую электроэнергетическую систему». В компании-операторе энергосистемы «Укрэнерго» заявили, что энергосистема работает в штатном режиме, а реальных угроз для производства вирус не нёс.

Вирус затронул Национальный банк Украины, в котором предупредили клиентов о сложностях с обслуживанием и банковскими операциями.

Он также распространился на некоторые украинские банки, в том числе «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк».

«Проминвестбанк» (украинская «дочерняя» компания ВЭБ) заявил, что ущерба для систем нет, а сотрудники «вовремя успели отключили все компьютеры от сети».

Шифровальщик попал на компьютеры в офисы украинских мобильных операторов «Киевстар», lifecell и «Укртелеком».

СМИ сообщили о том, что атака на Чернобыльскую атомную электростанцию привела к отключению сайта. Позже эту информацию подтвердили в Агентстве по управлению зоной отчуждения. Все компьютеры временно отключали, а систему мониторинга перевели в ручной режим. О превышении радиационного фона не сообщалось.

Одной из первых о «мощной хакерской атаке» на свои серверы объявила «Роснефть». В компании избежали серьёзных последствий, перейдя на резервную систему управления. Сообщения о сбоях при добыче и подготовке нефти в «Роснефти» опровергли, а заодно заподозрили в причастности к кибератаке тех, кто распространяет слухи.

По данным СМИ, атаке подверглась «Башнефть», включая управление и структуру, отвечающую за добычу нефти. Все компьютеры компании «единомоментно перезагрузились», скачали неустановленное программное обеспечение и вывели на экран заставку вируса».

Центральный банк России выявил единичные случаи заражения вирусом информационной инфраструктуры российских кредитных организаций. ЦБ заявил, что «работа систем банков и предоставление сервисов клиентам» не нарушались. При этом атака обрушилась на банк «Хоум Кредит». Все отделения кредитной организации приостановили работу и начали проверку безопасности.

Также шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович. На предприятии отметили, что угрозы безопасности нет, а работу не прекращали.

Специалисты по кибербезопасности из компании Group-IB сообщили, что вирус затронул компанию Mars. В компании пояснили, что «сложности с IT-системами» возникли только у бренда корма для животных Royal Canin.

Среди жертв вируса, по данным Group-IB, оказались Nivea, TESA и производитель шоколада Alpen Gold — Mondelez International. Атаке подверглись «Новая Почта», а также подразделения логистической компании Damco в России и Европе.

На работе систем Кремля и администрации президента России атака не сказалась.

Для того, чтобы прекратить распространение вируса, необходимо закрыть TCP-порты 1024–1035, 135 и 445, объяснил руководитель криминалистической лаборатории Group-IB Валерий Баулин. Подробные инструкции о том, как это сделать, размещены на специализированных сайтах.

Обновлено (18:50): В «Лаборатории Касперского» сообщили TJ, что пользователям сервиса необходимо убедиться, что защита включена и использует актуальную вирусную базу.

Необходимо удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher). В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.

Программные продукты «Лаборатории Касперского» детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.

Обновлено (28 июня 9:40): Рекомендации по борьбе с шифровщиком выпустил производитель антивирусного программного обеспечения Symantec. Пользователям посоветовали имитировать ситуацию с заражением компьютера.

Вирус ищет файл в директории C:Windowsperfc. Для того, чтобы имитировать ситуацию с заражением, следует создать, например, в программе «Блокнот» файл perfc и разместить его в указанной папке на этом диске.

Файл должен быть без расширения. При его наличии вирус не будет заражать компьютер.

В Group-IB заявили, что атака Petya.A не связана с вирусом-вымогателем WannaCry, поразившим компьютеры по всему миру в мае 2017 года. По данным специалистов, относительно недавно шифровальщик использовала группа Cobalt, которая хотела скрыть следы целевой атаки на финансовые учреждения.

В новой версии Petya от 18 июня этого года есть поддельная цифровая подпись Microsoft, заявил глава международного исследовательского подразделения «Лаборатории Касперского» Костин Райю. По его словам, вирус начал распространяться по всему миру.

Гендиректор ГК InfoWatch Наталья Касперская подтвердила, что Petya.A обнаружили ещё год назад (точнее — в апреле 2016 года). Первый вариант, по её словам, был бессильным, если ему не давались права администратора.

Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик.

В «Лаборатории Касперского» сообщили о начале расследования. Пока известно, что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения, а следовательно, является новой модификацией. В компании подтвердили, что больше всего заражений произошло в России и Украине. При этом появилась информация о появлении вируса в других странах.

Несмотря на отсутствие прямой связи Petya.A с WannaCry, похоже, что он также заражает компьютеры через фишинговые сообщения и вредоносные вложения, открытые с помощью электронной почты. WannaCry пользовался уязвимостью, для защиты от которой достаточно было обновиться и скачать патч.

{«contentId»:45808,»count»:0,»isReposted»:false}

{«id»:45808}