Вирус Петя: кто ты и откуда взялся. Новый вирус-шифровальщик Petya назван в честь президента Украины – эксперт Кто создал петю

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже – зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор “Петя” или, как его еще называют, “Petya”. Темпы распространения данный угрозы очень впечатляют: за пару дней он смог “побывать” в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя “Петя”. В этой статье я расскажу вам о том, что это за вирус “Petya”, как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус “Petya”?

Для начала нам стоит понять, чем же является Petya. Вирус Петя – это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно “отбирает” у вас весь жесткий диск целиком.

Правильное название нового вируса – Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса “Petya”

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table – главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск – это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо “файл” на вашем ПК. Если быть еще точнее, то после “работы” Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время – он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп – 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт (“дыра”) в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который “закрывает” эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель “Пети” смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

• Самое главное и основное – возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
• Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
• Активируйте опцию “Показывать расширения файлов” в настройках ОС – так вы всегда сможете увидеть истинное расширение файлов.
• Включите “Контроль учетных записей пользователя” в настройках Windows.
• Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус – и вы уже будете в гораздо большей безопасности, чем раньше.
• Обязательно делайте “бэкапы” – сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные – вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
• Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
• Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл – просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя – прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными – то у вас есть несколько путей.

• Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
• Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
• Форматирование диска и установка операционной системы. Минус – все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как “Башнефть” и “Роснефть”. Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся – “а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить – нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac – можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.

Во вторник вирус Petya/PetWrap/NotPetya атаковал учреждения и фирмы в России, Украине, Европе и США — всего около двух тысяч жертв. Вредоносная программа шифровала данные на компьютерах и просила выкуп в биткоинах. Рассказываем, что это за вирус, кто от него пострадал и кто его создал.

Что это за вирус?

Вредоносная программа, которая маскируется под вложения в электронной почте. Если пользователь скачивал его и запускал от имени администратора, то программа перезагружает компьютер и запускает якобы функцию проверки диска, а на самом деле шифрует сперва загрузочный сектор, а потом и остальные файлы. После этого пользователь видит сообщение с требованием оплатить сумму в биткоинах эквивалентную $300 взамен на код расшифровки данных.

❗️Вирус "Petya" в действии. Будьте осторожны, обновите Windows, не открывайте никаких ссылок, присланных на почту pic.twitter.com/v2z7BAbdZx

— Буквы (@Bykvu) June 27, 2017

Так работает вирус

Так работал вирус Petya. Его первую версию нашли ещё весной 2016 года . В «Лаборатории Касперского» заявляли , что данные на зашифрованном диске можно восстановить. Рецепт дешифровки тогда публиковал редактор Geektimes Максим Агаджанов. Есть и другие версии дешифровальщиков . Насколько они эффективны и подходят ли к новым версиям вируса, мы подтвердить не можем. Специалист по информационной безопасности Никита Кныш пишет на GitHub, что не подходят. Средства борьбы с вирусом после заражения на данный момент нет .

С какой версией вируса мы имеем дело сейчас, неизвестно. Более того, ряд экспертов считает, что мы имеем дело не с Petya. Служба безопасности Украины (СБУ) заявила , что госучреждения и фирмы страны атаковал вирус Petya.A и восстановить зашифрованные данные невозможно. В «Лаборатории Касперского» вечером во вторник сообщили , что «это не Petya», а некий новый вид вируса, названный экспертами NotPetya. Так же считают в компании «Доктор Веб». Yahoo News со ссылкой на неназванных экспертов пишет , что речь идёт о модификации Petya под названием PetrWrap. В компании Symantec заявили , что речь всё-таки идёт о Petya.

Глава международной исследовательской команды «Лаборатории Касперского» Костин Райю пишет , что вирус распространяется через письма с адреса Также он сообщил , что Petya/PetWrap/NotPetya скомпилировали 18 июня.

Один из вариантов страницы с требованием выкупа (фото: Avast Blog)

В «Лаборатории Касперского» также считают , что новый вирус использовал ту же уязвимость в Windows, что и WannaCry. Эта вредоносная программа поразила компьютеры по всему миру 12 мая. Она также шифровала данные на компьютере и требовала выкупа. Среди пострадавших были МВД России и мобильный оператор «Мегафон» . Microsoft ликвидировал уязвимость ещё в марте: от WannaCry и Petya/PetrWrap/NotPetya пострадали те, кто не обновил систему.

Кто от него пострадал?

Украина

Фото из харьковского супермаркета РОСТ, компьютеры которого тоже поразил вирус

— Ukraine / Україна (@Ukraine) June 27, 2017

Официальный твиттер Украины пытается приободрить граждан при помощи мема «This is fine»

Крупные компании «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Артериум», «Фармак», клиника «Борис», больница Феофания, «Укртелеком», «Укрпочта», украинский филиал сети супермаркетов «Ашан» , автозаправки Shell, WOG, Klo и ТНК.

СМИ: «Корреспондент.нет», «КП в Украине» «Обозреватель», «24 Канал», СТБ, «Интер», «Новый канал», ATR, радио «Люкс» , «Максимум» и «Эра-FM».

Компьютер в кабинете министров Украины (фото: Павел Розенко)

Добрый день, друзья. Совсем недавно мы с вами разбирали вирус шифровальщик WannaCry , который в считанные часы распространился по многим странам мира и заразил много компьютеров. И вот в конце июня появился новый похожий вирус «Петя». Или, как его чаще всего называют «Petya».

Данные вирусы относятся к троянам вымогателям и довольно похожи, хотя имеют и свои отличия, притом существенные. По официальным данным «Петя» вначале заразил приличное число компьютеров в Украине, а затем начал своё путешествие по всему миру.

Пострадали компьютеры Израиля, Сербии, Румынии, Италии, Венгрии, Польши и др. Россия в этом списке на 14 – м месте. Затем, вирус перекинулся на другие континенты.

В основном, жертвами вируса стали крупные компании (довольно часто нефтяные), аэропорты, компании сотовой связи и т.д., например, пострадала компания «Башнефть», «Роснефть», «Марс», «Нестле» и прочие. Другими словами, целью злоумышленников являются крупные компании, с которых можно взять деньги.

Что представляет из себя «Петя»?

Petya – это вредоносное ПО, являющееся трояном вымогателем. Подобные вредители созданы с целью шантажа владельцев заражённых компьютеров посредством шифрования информации, расположенной на ПК. Вирус Петя, в отличие от WannaCry, не шифрует отдельные файлы. Данный троян шифрует весь диск полностью. В этом его большая опасность, чем у вируса WannaCry.

Когда Petya попадает на компьютер, он очень быстро зашифровывает таблицу MFT. Чтобы было понятнее, приведём аналогию. Если сравнить файлы с большой городской библиотекой, он убирает её каталог, и найти в таком случае нужную книгу очень трудно.

Даже, не просто каталог, а как бы перемешивает страницы (файлы) с разных книг. Разумеется, система в этом случае даёт сбой. Системе в таком хламе разобраться очень сложно. Как только вредитель попадает на компьютер, он перезагружает ПК и после загрузки появляется красный череп. Затем, при нажатии на любую кнопку появляется баннер с предложением заплатить 300$ на счет биткойн.

Вирус Петя как не Поймать

Кто мог создать Petya? На этот вопрос пока нет ответа. И вообще, не понятно, установят ли автора (скорее всего нет)? Но известно, что утечка произошла из США. Вирус, также, как и WannaCry, ищет дыру в операционной системе. Чтобы залатать эту дыру, достаточно установить обновление MS17-010 (вышло ещё несколько месяцев назад при атаке WannaCry). Скачать его можно по ссылке . Или, с официального сайта Microsoft.

На данный момент, данное обновление является самым оптимальным способом защиты компьютера. Также, не забывайте про хороший антивирус. Тем более, Лаборатория Касперского заявила, что у них есть обновление баз, блокирующее данный вирус.

Но, это не означает, что нужно устанавливать именно Касперский. Пользуйтесь своим антивирусом, только не забывайте обновлять его базы. Также, не забывайте про хороший файрволл.

Как распространяется вирус Петя

Чаще всего Petya попадает на компьютер через электронную почту. Поэтому, не стоит на время инкубации вируса Петя открывать различные ссылки в письмах, особенно, в незнакомых. Вообще, возьмите себе за правило, не открывать ссылки от незнакомых людей. Так вы обезопасите себя не только от этого вируса, но и от многих других.

Затем, попав на компьютер, троян проводит перезагрузку и имитирует проверку на . Далее, как я уже упоминал, на экране появляется красный череп, затем баннер, с предложением оплатить расшифровку файлов, переведя триста долларов на Биткоин кошелёк.

Скажу сразу, оплачивать ни в коем случае ни нужно! Вам всё равно его не расшифруют, только потратите деньги и сделаете взнос создателям трояна. Данный вирус не предназначен к дешифрованию.

Вирус Петя как защититься

Давайте подробнее рассмотрим защиту от вируса Petya:

1. Я уже упоминал про обновления системы. Это самый важный момент. Даже если у вас система пиратская, необходимо обновление MS17-010 скачать и установить.
2. В настройках Windows включите «Показывать расширения файлов». Благодаря чему, вы сможете видеть расширение файлов и удалять подозрительные. Файл вируса имеет расширение — exe.
3. Вернёмся к письмам. Не проходите по ссылкам или вложениям от незнакомых людей. И вообще, на время карантина не проходите по ссылкам в почте (даже от знакомых людей).
4. Желательно включить контроль учетных записей.
5. Важные файлы скопируйте на сменные носители. Можно скопировать в «Облако». Этим вы уйдёте от многих проблем. Если Petya появится на вашем ПК, достаточно будет установить новую операционную систему, предварительно отформатировав винчестер.
6. Установите хороший антивирус. Желательно, чтобы он был ещё и файрволлом. Обычно у подобных антивирусов на конце стоит надпись Security. Если у вас на компьютере есть важные данные, на антивирусе экономить не стоит.
7. Установив приличные антивирус, не забывайте обновлять его базы данных.

Вирус Петя как удалить

Это сложный вопрос. Если Petya провёл работу на вашем компьютере, удалять по сути будет нечего. В системе все файлы будут разбросаны. Скорее всего, упорядочить их вы уже не сможете. Платить злоумышленникам не стоит. Остаётся отформатировать диск и переустановить систему. После форматирования и переустановки системы вирус исчезнет.

Также, хочу добавить – данный вредитель представляет угрозу именно системе Windows. Если у вас любая другая система, например, Российская система Роса, бояться данного вируса вымогателя вам не стоит. Это же относится и к владельцам телефонов. На большинстве из них установлена система Android, IOS и т.д. Поэтому, владельцам сотовых беспокоиться особо нечего.

Также, если вы простой человек, а не владелец крупной компании, скорее всего злоумышленникам вы не интересны. Им нужны именно крупные компании, для которых 300$ ничего не значат и которые им реально могут заплатить данные деньги. Но, это не значит, что вирус не может попасть и на ваш компьютер. Лучше подстраховаться!

Всё же, будем надеяться, что вирус Petya вас минует! Берегите вашу информацию на компьютере. Успехов!

Британия, США и Австралия официально обвинили Россию в распространении NotPetya

15 февраля 2018 года Министерство иностранных дел Великобритании выступило с официальным заявлением, в котором обвинило Россию в организации кибератаки с использованием вируса-шифровальщика NotPetya.

По утверждению британских властей, данная атака продемонстрировала дальнейшее пренебрежение по отношению к суверенитету Украины, и в результате этих безрассудных действий была нарушена работа множества организацией по всей Европе, что привело к многомиллионным убыткам.

В Министерстве отметили, что вывод о причастности к кибератаке российского правительства и Кремля был сделан на основании заключения Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre), который «практически полностью уверен в том, что за атакой NotPetya стоят российские военные».Также в заявлении сказано, что и ее союзники не потерпят вредоносной киберактивности.

По словам Министра по делам правоохранительных органов и кибербезопасности Австралии Энгуса Тэйлора (Angus Taylor), на основе данных австралийских спецслужб, а также консультаций с США и Великобританией, австралийское правительство заключило, что ответственность за инцидент несут злоумышленники, поддерживаемые правительством РФ. «Австралийское правительство осуждает поведение России, которое создает серьезные риски для мировой экономики, правительственных операций и услуг, деловой активности, а также безопасности и благополучия отдельных лиц», - следует из заявления.

Кремль, ранее уже неоднократно отрицавший всякую причастность российских властей к хакерским атакам, назвал заявление британского МИДа частью «русофобской кампании»

Памятник "Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya"

Памятник компьютерному вирусу Petya установили в декабре 2017 года возле здания Технопарка Сколково . Двухметровый монумент, с надписью: «Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya». выполненный в виде надкусанного жесткого диска , был создан при поддержке компании ИНВИТРО , в числе других компаний пострадавшей от последствий массированной кибератаки . Робот по имени Ню, который работает в Физтехпарке и (МТИ) специально приехал на церемонию, чтобы произнести торжественную речь.

Атака на правительство Севастополя

Специалисты Главного управления информатизации и связи Севастополя успешно отразили атаку сетевого вируса-шифровальщика Petya на серверы регионального правительства. Об этом 17 июля 2017 года на аппаратном совещании правительства Севастополя сообщил начальник управления информатизации Денис Тимофеев .

Он заявил, что вредоносная программа Petya никак не повлияла на данные, хранящиеся на компьютерах в государственных учреждениях Севастополя.

Ориентированность на использование свободного ПО заложена в концепции информатизации Севастополя, утвержденной в 2015 году. В ней указывается, что при закупках и разработке базового ПО, а также ПО информационных систем для автоматизации целесообразно анализировать возможность использования свободных продуктов, позволяющих сократить бюджетные расходы и снизить зависимость от поставщиков и разработчиков.

Ранее, в конце июня, в рамках масштабной атаки на медицинскую компанию «Инвитро» пострадал и филиал ее филиал, расположенный в Севастополе. Из-за поражения вируса компьютерной сети филиал временно приостановил выдачу результатов анализов до устранения причин.

«Инвитро» заявила о приостановке приема анализов из-за кибератаки

Медицинская компания «Инвитро» приостановила сбор биоматериала и выдачу результатов анализов пациентов из-за хакерской атаки 27 июня. Об этом РБК заявил директор по корпоративным коммуникациям компании Антон Буланов.

Как говорится в сообщении компании, в ближайшее время «Инвитро» перейдет в штатный режим работы. Результаты исследований, проведенных позже этого времени, будут доставлены пациентам после устранения технического сбоя. На данный момент лабораторная информационная система восстановлена, идет процесс ее настройки. ​«Мы сожалеем о сложившейся форс-мажорной ситуации и благодарим наших клиентов за понимание», - заключили в «Инвитро».

По этим данным, атаке компьютерного вируса подверглись клиники в России , Белоруссии и Казахстане .

Атака на «Газпром» и другие нефтегазовые компании

29 июня 2017 года стало известно о глобальной кибератаке на компьютерные системы «Газпрома» . Таким образом, еще одна российская компания пострадала от вируса-вымогателя Petya.

Как сообщает информационное агентство Reuters со ссылкой на источник в российском правительстве и человека, участвовавшего в расследовании инцидента, «Газпром» пострадал от распространения вредоносной программы Petya, которая атаковала компьютеры в общей сложности более чем в 60 странах мира.

Собеседники издания не предоставили подробностей о том, сколько и какие системы были заражены в «Газпроме», а также о размере ущерба, нанесенного хакерами. В компании отказались от комментариев по запросу Reuters.

Между тем, высокопоставленный источник РБК в «Газпроме» сообщил изданию, что компьютеры в центральном офисе компании работали без перебоев, когда началась масштабная хакерская атака (27 июня 2017 года), и продолжают два дня спустя. Еще два источника РБК в «Газпроме» также заверили, что в компании «все спокойно» и никаких вирусов нет.

В нефтегазовом секторе от вируса Petya пострадали «Башнефть» и «Роснефть». Последняя заявила 28 июня о том, что компания работает в в штатном режиме, а «отдельные проблемы» оперативно решаются.

Банки и промышленность

Стало известно о заражении компьютеров в «Евраз» , российском отделении фирмы Royal Canin (производит форма для животных) и российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka).

Согласно сообщению Министерства внутренних дел Украины, мужчина на файлообменных площадках и в социальных сетях опубликовал видео с подробным описанием процесса запуска вымогательского ПО на компьютерах. В комментариях к ролику мужчина разместил ссылку на свою страницу в социальной сети, на которую загрузил вредоносную программу. В ходе обысков в квартире «хакера» правоохранители изъяли компьютерную технику, использовавшуюся для распространения NotPetya. Также полицейские обнаружили файлы с вредоносным ПО, после анализа которых было подтверждено его сходство с вымогателем NotPetya. Как установили сотрудники киберполиции, вымогательская программа, ссылку на которую опубликовал никопольчанин, была загружена пользователями соцсети 400 раз.

В числе загрузивших NotPetya правоохранители выявили компании, намеренно заражавшие свои системы вымогательским ПО для сокрытия преступной деятельности и уклонения от уплаты штрафных санкций государству. Стоит отметить, что полиция не связывает деятельность мужчины с хакерскими атаками 27 июня нынешнего года, то есть, о какой-либо его причастности к авторам NotPetya речь не идет. Вменяемые ему деяния касаются только действий, совершенных в июле текущего года - после волны масштабных кибератак.

В отношении мужчины возбуждено уголовное дело по ч.1 ст. 361 (несанкционированное вмешательство в работу ЭВМ) УК Украины. Никопольчанину грозит до 3 лет лишения свободы.

Распространение в мире

Распространение вируса-вымогателя Petya зафиксировано в Испании , Германии , Литве, Китае и Индии. К примеру, из-за вредоносной программы в Индии технологии управления грузопотоком контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk, перестали распознавать принадлежность грузов.

О кибератаке сообщили британская рекламная группа WPP , испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez. В числе пострадавших также французский производитель строительных материалов Cie. de Saint-Gobain и фармкомпания Merck & Co.

Merck

Американский фармацевтический гигант Merck , сильно пострадавший в результате июньской атаки вируса-шифровальщика NotPetya , до сих пор не может восстановить все системы и вернуться в нормальный режим работы. Об этом сообщается в отчете компании по форме 8-K, представленном в Комиссию по ценным бумагам и биржам США (SEC) в конце июля 2017 года. Подробнее .

Moller-Maersk и «Роснефть»

3 июля 2017 года стало известно о том, что датский судоходный гигант Moller-Maersk и «Роснефть» восстановили зараженные вирусом-вымогателем Petya ИТ-системы лишь спустя почти неделю после атаки, которая произошла 27 июня.

В судоходной компании Maersk, на долю которой приходится каждый седьмой отправляемый в мире грузовой контейнер, также добавили, что все 1500 приложений, пострадавших в результате кибератаки, вернутся к штатной работе максимум к 9 июля 2017 года.

Пострадали преимущественно ИТ-системы принадлежащей Maersk компании APM Terminals, которая управляет работой десятков грузовых портов и контейнерных терминалов в более чем 40 странах. В сутки свыше 100 тыс. грузовых контейнеров, проходят через порты APM Terminals, их работа которых была полностью парализована из-за распространения вируса. Терминал Maasvlakte II в Роттердаме восстановил поставки 3 июля.

16 августа 2017 года A.P. Moller-Maersk назвала примерную сумму ущерба от кибернападения при помощи вируса Petya, заражение которым, как отметили в европейской компании, проходило через украинскую программу. Согласно предварительным расчетам Maersk, финансовые потери от действия шифровальщика Petya во второй четверти 2017 года составили от 200 до 300 млн долларов .

Между тем, почти неделя на восстановление компьютерных систем от хакерской атаки потребовалось также «Роснефти», о чем 3 июля сообщили в пресс-службе компании сообщили «Интерфаксу» :

Несколькими днями ранее «Роснефть» подчеркивала, что пока не берется оценивать последствия кибератаки, но производство не пострадало.

Принцип действия Petya

Действительно, жертвы вируса не могут разблокировать свои файлы после заражения. Дело в том, что его создатели не предусмотрели такой возможности вообще. То есть зашифрованный диск априори не поддается дешифровке. В идентификаторе вредоносной программы отсутствует информация, необходимая для расшифровки.

Изначально эксперты причислили вирус, поразивший около двух тысяч компьютеров в России , Украине, Польше, Италии, Германии , Франции, и других странах, к уже известному семейству вымогателей Petya. Однако оказалось, что речь идет о новом семействе вредоносного ПО. "Лаборатория Касперского" окрестила новый шифровальщик ExPetr.

Как бороться

Борьба с киберугрозами требует объединения усилий банков, ИТ-бизнеса и государства

Метод восстановления данных от Positive Technologies

7 июля 2017 года эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya. По словам эксперта, метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.

Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованных жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.

Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.

Результаты расследования уже подтвердили украинские киберполицейские. Выводы следствия «Юскутум» собирается использовать как ключевое доказательство в будущем процессе против Intellect-Service.

Процесс будет носить гражданский характер. Независимое расследование проводят правоохранительные органы Украины. Их представители ранее уже заявляли о возможности возбуждения дела против сотрудников Intellect-Service.

В самой компании M.E.Doc заявили о том, что происходящее - попытка рейдерского захвата компании. Производитель единственного популярного украинского бухгалтерского ПО считает, что прошедший в компании обыск, проведенный киберполицией Украины, стал частью по реализации этого плана.

Начальный вектор заражения шифратором Petya

17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData, полагают в компании. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО - так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и e-mail , включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, - рассказал Антон Черепанов , старший вирусный аналитик Eset. - Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты Eset установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, пока не удалось.

, 18 июля 2017

Ответы на самые важные вопросы о вирусе-вымогателе Petna (NotPetya, ExPetr) - шифровальщике на основе Petya, заразившем множество компьютеров по всему миру.

В этом месяце мы стали свидетелями еще одной массированной атаки программы-вымогателя, которая произошла всего спустя несколько недель после . За несколько дней данная модификация шифровальщика получила множество различных названий, включая Рetya (так называется оригинальный вирус), NotPetya, EternalPetya, Nyetya и прочие. Изначально мы назвали его «вирусом семейства Petya», но для удобства будем называть просто Petna.

Вокруг Petna хватает неясностей и помимо названия. Это та же программа-вымогатель, что и Рetya, или другая версия? Следует ли рассматривать Petna в качестве шифровальщика, требующего выкуп или вируса, который просто уничтожает данные? Проясним некоторые аспекты прошедшей атаки.

Продолжается ли распространение Petna?

Пик активности несколько дней назад. Распространение вируса началось утром 27 июня. В тот же день его активность достигла наивысшего уровня, каждый час происходили тысячи попыток атак. После этого их интенсивность значительно снизилась в течение того же дня, а в дальнейшем наблюдалось лишь небольшое количество заражений.

Можно ли сравнить данную атаку с WannaCry?

Нет, если судить по охвату нашей пользовательской базы. Мы наблюдали около 20 000 попыток атак по всему миру, что несоизмеримо меньше, чем 1,5 миллионов предотвращенных нами атак WannaCry.

Какие страны пострадали больше всего?

Данные нашей телеметрии показывают, что основной удар вируса был нанесен по Украине, где было обнаружено более 90% попыток атак. Также пострадали Россия, США, Литва, Беларусь, Бельгия и Бразилия. В каждой из этих стран отмечено от нескольких десятков до нескольких сотен попыток заражения.

Какие операционные системы подверглись заражению?

Наибольшее количество атак было зафиксировано на устройства под управлением Windows 7 (78 %) и Windows XP (14 %). Количество атак на более современные системы оказалось значительно меньше.

Каким образом вирус Рetna проникал на ПК?

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерским софтом M.E.Doc. Именно поэтому настолько серьезно пострадала Украина.

Горький парадокс: в целях безопасности пользователям всегда советуется обновлять программное обеспечение, однако в данном случае вирус начал масштабное распространение именно с обновлением ПО, выпущенного M.E.Doc.

Почему пострадали и компьютеры за пределами Украины?

Одна из причин состоит в том, что некоторые пострадавшие компании имеют украинские дочерние структуры. Как только вирус заражает компьютер, он распространяется внутри сети. Именно так ему удалось достичь компьютеров в других странах. Мы продолжаем исследовать другие возможные векторы заражения.

Что происходит после заражения?

После заражения устройства Реtnа пытается зашифровать файлы с определенными расширениями. Список целевых файлов не так велик по сравнению со списками оригинального вируса Petya и других программ-вымогателей, однако он включает расширения фотографий, документов, исходных кодов, баз данных, образов дисков и прочие. Кроме того, данное ПО не только шифрует файлы, но и как червь распространяется на другие устройства, подключенные к локальной сети.

Как , вирус применяет три различных способа распространения: с использованием эксплойтов EternalBlue (известного по WannaCry) или EternalRomance, через общие сетевые ресурсы Windows с использованием украденных у жертвы учетных данных (с помощью утилит типа Mimikatz, которые могут извлекать пароли), а также благонадежных инструментов вроде PsExec и WMIC.

После шифрования файлов и распространения по сети, вирус пытается нарушить загрузку Windows (изменяя основную загрузочную запись, MBR), а после принудительной перезагрузки зашифровывает главную файловую таблицу (MFT) системного диска. Это не позволяет компьютеру более загрузить Windows и делает использование компьютера невозможным.

Может ли Реtnа заразить мой компьютер со всеми установленными обновлениями безопасности?

Да, это возможно за счет горизонтального распространения вредоносной программы, описанного выше. Даже если конкретное устройство защищено и от EternalBlue и EternalRomance, оно все же может быть заражено третьим способом.

Это Реtуа, WannaCry 2.0 или что-то еще?

Вирус Реtnа определенно основан на исходном вымогателе Реtуа. Например, в части, отвечающей за шифрование главной файловой таблицы, он практически идентичен встречавшейся ранее угрозе . Однако он не полностью идентичен старым версиям вымогателя. Предполагается, что вирус изменила третья сторона, а не автор исходной версии, известный как Janus, который также высказался по этому поводу в Twitter , а позже опубликовал мастер-ключ дешифрования для всех прошлых версий программы.

Основное сходство между Pеtnа и WannaCry состоит в том, что для распространения они использовали эксплойт EternalBlue.

Правда ли, что вирус ничего не шифрует, а просто уничтожает данные на дисках?

Это не правда. Данное вредоносное ПО лишь зашифровывает файлы и главную файловую таблицу (MFT). Другой вопрос - можно ли расшифровать эти файлы.

Имеется ли бесплатное средство дешифровки?

К сожалению, нет. Вирус использует достаточно мощный алгоритм шифрования, который не удается преодолеть. Он шифрует не только файлы, но и главную файловую таблицу (MFT), что сильно усложняет процесс расшифровки.

Стоит ли платить выкуп?

Нет! Мы никогда не советуем платить выкуп, поскольку это лишь поддерживает преступников и стимулирует их к продолжению подобной деятельности. Более того, вполне вероятно, что вы не получите свои данные обратно, даже заплатив. В данном случае это очевиднее, чем когда-либо ранее. И вот почему.

Указанный в окне с требованием выкупа официальный адрес электронной почты wowsmith123456@posteo.net, на который жертв просили отправлять выкуп, был закрыт поставщиком услуг электронной почты вскоре после вирусной атаки. Поэтому создатели шифровальщика не могут узнать, кто заплатил, а кто нет.

Дешифровка раздела MFT невозможна в принципе, поскольку ключ теряется после того, как вымогатель его зашифровывает. В предыдущих версиях вируса этот ключ хранился в идентификаторе жертвы, но в случае с последней модификацией - это просто случайная строка.

К тому же примененное к файлам шифрование весьма хаотично. Как