Головна  /  Телевізори  /  Вірус петя вражає тільки диск с. Вірус Petya: все, що вам потрібно знати про цей вірус

Вірус петя вражає тільки диск с. Вірус Petya: все, що вам потрібно знати про цей вірус

Телевізори
24.09.2020

Кілька місяців тому і ми та інші IT Security фахівці виявили новий шкідливий - Petya (Win32.Trojan-Ransom.Petya.A). У класичному розумінні він не був шифрувальником, вірус просто блокував доступ до певних типів файлів і вимагав викуп. Вірус модифікував завантажувальний запис на жорсткому диску, примусово перезавантажувати ПК і показував повідомлення про те що "дані зашифровані - женіть ваші гроші за розшифровку". Загалом стандартна схема вірусів-шифрувальників за винятком того що файли фактично НЕ зашифровувати. Більшість популярних антивірусів почали ідентифікувати і видаляти Win32.Trojan-Ransom.Petya.A через кілька тижнів після його появи. Крім того з'явилися інструкції по ручному видаленню. Чому ми вважаємо що Petya не класичний шифрувальник? Цей вірус вносить зміни в в Master Boot Record і перешкоджає завантаженні ОС, а також шифрує Master File Table (головну таблицю файлів). Він не шифрує самі файли.

Однак кілька тижнів тому з'явився більш витончений вірус Mischa, Судячи з усього написаний тими самими шахраями. Цей вірус шифрує файли і вимагає заплатити за розшифровку 500 - 875 $ (в різних версіях 1.5 - 1.8 біткоіни). Інструкції по "розшифровці" і оплаті за неї зберігаються в файлах YOUR_FILES_ARE_ENCRYPTED.HTML і YOUR_FILES_ARE_ENCRYPTED.TXT.

Вірус Mischa - вміст файлу YOUR_FILES_ARE_ENCRYPTED.HTML

Зараз фактично хакери заражають комп'ютери користувачів двома шкідливий: Petya і Mischa. Першому потрібні права адміністратора в системі. Тобто якщо користувач відмовляється видати Petya адмінських права або ж видалив цей зловредів вручну - в справу включається Mischa. Цьому вірусу не потрібні права адміністратора, він є класичним шифрувальником і дійсно шифрує файли по стійкому алгоритмом AES і не вносячи жодних змін в Master Boot Record і таблицю файлів на вінчестері жертви.

Шкідливий Mischa шифрує не тільки стандартні типи файлів (відео, картинки, презентації, документи), але також файли.exe. Вірус не зачіпає тільки директорії \\ Windows \\ $ Recycle.Bin, \\ Microsoft \\ Mozilla Firefox, \\ Opera, \\ Internet Explorer, \\ Temp, \\ Local, \\ LocalLow і \\ Chrome.

Зараження відбувається переважно через електронну пошту, куди приходить лист із вкладеним файлом - інсталятором вірусу. Воно може бути зашифровано під лист з Податкової, від Вашого бухгалтера, як вкладені квитанції і чеки про покупки і.т.д. Звертайте увагу на розширення файлів в таких листах - якщо це виконавчий файл (.exe), то з великою ймовірністю він може бути контейнером з вірусом Petya \\ Mischa. І якщо модифікація зловреда свіжа - Ваш антивірус може і не відреагувати.

Оновлення 30.06.2017: 27 червня модифікований варіант вірусу Petya (Petya.A) масово атакував користувачів в Україні. Ефект від даної атаки був колосальний і економічний збиток поки не підрахований. За один день була паралізована робота десятків банків, торговельних мереж, державних установ і підприємств різних форм власності. Вірус поширювався переважно через уразливість в українській системі подачі бухгалтерської звітності MeDoc з останнім автоматичним оновленням даного ПЗ. Крім того вірус торкнувся і такі країни як Росія, Іспанія, Великобританія, Франція, Литва.

Видалити вірус Petya і Mischa c допомогою автоматичного чистильника

Виключно ефективний метод роботи з шкідливим ПО взагалі і програмами-вимагачами зокрема. Використання зарекомендував себе захисного комплексу гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, мова йде про двох різних процесах: деінсталяції інфекції та відновлення файлів на Вашому ПК. Проте, загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців з її допомогою.

  1. . Після запуску програмного засобу, натисніть кнопку Start Computer Scan (Почати сканування).
  2. Встановлене ПЗ надасть звіт по виявленим в ході сканування загрозам. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats (Усунути загрози). Розглядається шкідливий ПО буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було відзначено, програма-вимагач Mischa блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу (іноді доходить до 1000 $). Але деякі методи дійсно можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитися.

Програма автоматичного відновлення файлів (дешифратор)

Відомо досить неординарне обставина. Дана інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою вимагання, таким чином, націлений на їх копії. Це надає можливість таким програмних засобів як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється в кожній точці відновлення. Важлива умова роботи даного методу: функція "Відновлення системи" повинна бути активована до моменту зараження. При цьому будь-які зміни в файл, внесені після точки відновлення, в відновленої версії файлу відображатися не будуть.

Резервне копіювання

Це найкращий серед всіх не пов'язаних з викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-здирника на Ваш комп'ютер, для відновлення зашифрованих файлів знадобитися просто увійти до відповідного інтерфейс, вибрати необхідні файли і запустити механізм відновлення даних з резерву. Перед виконанням операції необхідно упевнитися, що здирницькі ПО повністю видалено.

Перевірити можливу наявність залишкових компонентів вимагача Petya і Mischa

Очищення в ручному режимі чревата упущенням окремих фрагментів здирницькі ПО, які можуть уникнути видалення у вигляді укритті об'єктів операційної системи або елементів реєстру. Щоб виключити ризик часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на образами ПО.

Компанія «Роснефть» зазнала потужної хакерської атаки, про що повідомила в своєму твіттері.

«На сервери компанії здійснена потужна хакерська атака. Ми сподіваємося, що це ніяк не пов'язано з поточними судовими процедурами », - йдеться в повідомленні. Сайт «Роснефти» на момент публікації замітки був недоступний.

Нафтова компанія повідомила, що звернулася в правоохоронні органи у зв'язку з інцидентом. Через оперативних дій служби безпеки робота «Роснефти" не порушилася і триває в штатному режимі.

«Хакерська атака могла привести до серйозних наслідків, однак через те, що компанія перейшла на резервну систему управління виробничими процесами, ні видобуток, ні підготовка нафти не зупинені», - повідомили представники компанії кореспонденту «Газети.Ru».

Вони попередили, що всі, хто будуть поширювати недостовірні дані, «будуть розглядатися як спільники організаторів атаки і разом з ними нести відповідальність.»

Крім того, були заражені комп'ютери компанії «Башнефть», повідомили «Ведомости». Вірус-шифрувальник, як і сумнозвісний WannaCry, заблокував всі дані комп'ютера і вимагає перевести злочинцям викуп у біткоіни, еквівалентний $ 300.

На жаль, це не єдині постраждалі від масштабної хакерської атаки - Telegram-канал «Сайберсекьюріті і Ко.» повідомляє про кібервзломе Mondelez International (бренди Alpen Gold і Milka), Ощадбанку, Mars, Нової Пошти, Nivea, TESA і інших компаній.

Автор каналу Олександр Літреев заявив, що вірус має назву Petya.A і що він дійсно схожий на WannaCry, який вразив понад 300 тис. Комп'ютерів по всьому світу в травні цього року. Petya.A вражає жорсткий диск і шифрує головну таблицю файлів (MFT). За даними Літреева, вірус поширювався в фішингових листах із зараженими вкладеннями.

В блозі «Лабораторії Касперського» з'явилася публікація з інформацією про те, як відбувається зараження. За словами автора, вірус поширюється в основному через HR-менеджерів, так як листи маскуються під повідомлення від кандидата на ту чи іншу посаду.

«HR-фахівець отримує фальшивий лист з посиланням на Dropbox, по якій нібито можна перейти і завантажити« резюме ». Ось тільки файл за посиланням є не безневинним текстовим документом, а архіви з расшіреніем.EXE », - розповідає експерт.

Після відкриття файлу користувач бачить «синій екран смерті», після якого Petya.A блокує систему.

Фахівці компанії Group-IB розповіли «Газеті.Ru», що недавно шифрувальник Petya використовувала група Cobalt для приховування слідів цільової атаки на фінансові установи.

Знову російські хакери

Найбільш сильно від вірусу Petya.A постраждала Україна. Серед постраждалих - Запоріжжяобленерго, Дніпроенерго, Київський метрополітен, українські мобільні оператори Київстар, LifeCell і Укртелеком, магазин «Ашан», ПриватБанк, аеропорт Бориспіль та інші організації і структури.

Всього в цілому були атаковані понад 80 компаній в Росії і на Україні.

Депутат української Ради від «Народного фронту», член колегії МВС Антон Геращенко заявив, що в кібератаці винні російські спецслужби.

«За попередньою інформацією, це організована система з боку спецслужб РФ. Метою даної кібератаки є банки, ЗМІ, «Укрзалізниця», «Укртелеком». Вірус потрапляв на комп'ютери кілька днів, навіть тижнів у вигляді різного роду повідомлень на пошту, користувачі, які відкривали це повідомлення, дозволяли вірусу розійтися по всіх комп'ютерів. Це ще один приклад використання кібератак в гібридної війні проти нашої країни », - повідомив Геращенко.

Атака вірусом-здирником WannaCry трапилася в середині травня 2017 року та паралізувала роботу кількох міжнародних компаній по всьому світу. Збиток, нанесений світовому співтовариству масштабним вірусом WannaCry, оцінили в $ 1 млрд.

Зловредів використовував уразливість в операційній системі Windows, блокував комп'ютер і вимагав викуп. Поширення вірусу було зупинено випадково одним британським програмістом - він зареєстрував доменне ім'я, до якого зверталася програма.

Незважаючи на те що кібератака WannaCry мала планетарний масштаб, всього було зафіксовано тільки 302 випадки сплати викупу, в результаті чого хакери змогли заробити $ 116 тис.

Вірус Petya опис. Все, що нам потрібно знати про вірус Petya

Petya вірус - це черговий вимагач, який блокує файли користувача. Цей вимагач може бути дуже небезпечним і заразити будь-який ПК, але його основною метою є комп'ютери німецьких компаній. Ця шкідлива програма входить в комп'ютери жертви і таємно здійснює свою діяльність, і комп'ютер може опинитися під загрозою. Petya шифрує файли алгоритмами RSA-4096 і AES-256, він використовується навіть у військових цілях. Такий код неможливо розшифрувати без приватного ключа. Подібно до інших вімогателям, як Locky virus, CryptoWall virus, і CryptoLocker, цей приватний ключ зберігається на якомусь віддаленому сервері, доступ до якого можливий тільки заплативши викуп творцем вірусу.

На відміну від інших програм-вимагачів, після того як цей вірус запущений, він негайно перезапускає ваш комп'ютер, і коли він завантажується знову, на екрані з'являється повідомлення: "НЕ ВИМИКАЙТЕ ВАШ ПК! ЯКЩО ВИ ЗУПИНІТЬ ЦЕЙ ПРОЦЕС, ВИ МОЖЕТЕ ЗНИЩИТИ ВСЕ ВАШІ ДАНІ! БУДЬ ЛАСКА, ПЕРЕВІРТЕ, ЧИ ВАШ КОМП'ЮТЕР ПІД'ЄДНАНО до зарядки! ". Хоча це може виглядати як системна помилка, насправді, в даний момент Petya мовчки виконує шифрування в прихованому режимі. Якщо користувач намагається перезавантажити систему або зупинити шифрування файлів, на екрані з'являється миготливий червоний скелет разом з текстом "НАТИСНІТЬ БУДЬ-ЯКУ КЛАВІШУ!". Нарешті, після натискання клавіші, з'явиться нове вікно з запискою про викуп. У цій записці, жертву просять заплатити 0.9 біткойнов, що дорівнює приблизно $ 400. Проте, це ціна лише за один комп'ютер; тому, для компаній, які мають безліч комп'ютерів, сума може складати тисячі. Що також відрізняє цього вимагача, так це те, що він дає цілий тиждень щоб заплатити викуп, замість звичайних 12-72 годин які дають інші віруси цієї категорії.

Більш того, проблеми з Petya на цьому не закінчуються. Після того, як цей вірус потрапляє в систему, він буде намагатися переписати завантажувальні файли Windows, або так званий завантажувальний майстер записи, необхідний для завантаження операційної системи. Ви будете не в змозі видалити Petya вірус з вашого комп'ютера, якщо ви не відновите настройки завантажувального майстра записи (MBR). Навіть якщо вам вдасться виправити ці настройки і видалити вірус з вашої системи, на жаль, ваші файли будуть залишатися зашифрованими, тому що видалення вірусу не забезпечує розшифрування файлів, а просто видаляє інфекційні файли. Звичайно, видалення вірусу має важливе значення, якщо ви хочете продовжити роботу з комп'ютером. Ми рекомендуємо використовувати надійні антивірусні інструменти, як Reimage, щоб подбати про видаленні Petya.

Вірус Petya распросраненіе.

Як поширюється цей вірус і як він може увійти в комп'ютер?

Petya вірус зазвичай поширюється через спам повідомлення електронної пошти, які містять завантажувальні Dropbox посилання для файлу під назвою "додаток folder-gepackt.exe" прикріплені до них. Вірус активується, коли завантажений і відкритий певний файл. Так як ви вже знаєте, як поширюється цей вірус, ви повинні мати ідеї, як захистити свій комп'ютер від вірусної атаки. Звичайно, ви повинні бути обережні, з відкриттям електронних файлів, які відправлені підозрілими користувачами і невідомими джерелами, що представляють інформацію, що не ставитися до тієї, яку ви очікуєте. Ви також повинні уникати листи, які стосуються "спам" категорії, так як більшість постачальників послуг електронної пошти автоматично фільтрують листи, і поміщають їх в відповідні каталоги. Тим не менш, ви не повинні довіряти цим фільтрам, тому що, потенційні загрози можуть прослизнути через них. Також, переконайтеся, що ваша система забезпечена надійним антивірусним засобом. Нарешті, завжди рекомендується тримати резервні копії на якомусь зовнішньому диску, в разі виникнення небезпечних ситуацій.

Вірус Petya видалення.

Як я можу видалити вірус Petya з мого ПК?

Як ми вже згадували, видалення вірусу Petya має важливе значення для безпеки ваших майбутніх файлів. Також, відновлення даних з зовнішніх накопичувачів, може виконуватися тільки тоді, коли вірус і все його компоненти повністю видалені з ПК. В іншому випадку, Petya може проникнути і заразити ваші файли на зовнішніх накопичувачах.
Ви не можете видалити Petya з вашого комп'ютера за допомогою простої процедури видалення, тому що це не спрацює з цією шкідливою програмою. Це означає, що ви повинні видалити цей вірус автоматично. Автоматичне видалення вірусу Petya має здійснюватися за допомогою надійного антивірусного засобу, який виявить і видалить цей вірус з вашого комп'ютера. Проте, якщо ви зіткнулися з деякими проблемами видалення, наприклад, цей вірус може блокувати вашу антивірусну програму, ви завжди можете перевірити інструкцію видалення, наведену в кінці статті.

Керівництво по ручному видалення вірусу Petya:

  • Метод 1. Видаліть Petya, використовуючи Safe Mode with Networking
  • Метод 2. Видаліть Petya, використовуючи System Restore
  • Відновлення Ваших даних після вірусу Petya

Видаліть Petya, використовуючи Safe Mode with Networking


Якщо програма-вимагач блокує Safe Mode with Networking, спробуйте наступний метод.

Видаліть Petya, використовуючи System Restore

  • Крок 1: Перезавантажте комп'ютер для Safe Mode with Command Prompt


    Windows 7 / Vista / XP

    Windows 10 / Windows 8

  • Крок 2: Відновіть Ваші системні файли і настройки


    Після того, як ви відновите систему до попередньої датою, завантажте і проскануйте ваш комп'ютер з переконайтеся, що видалення рошло успішно.

Нарешті, Вам завжди слід подумати про захист від крипто-програм-вимагачів. Щоб захистити комп'ютер від Petya та інших подібних додатків, використовуйте надійну антишпигунську програму, таку як Reimage, Plumbytes Anti-Malware або Malwarebytes Anti Malware

Антивірусні програми коштують на комп'ютері практично кожного користувача, проте іноді з'являється троян або вірус, який здатний обійти найкращий захист і заразити ваш пристрій, а що ще гірше - зашифрувати ваші дані. Цього разу таким вірусом став троян-шифратор «Петя» або, як його ще називають, «Petya». Темпи поширення даний загрози дуже вражають: за пару днів він зміг «побувати» в Росії, Україні, Ізраїлі, Австралії, США, всіх великих країнах Європи і не тільки. В основному він вразив корпоративних користувачів (аеропорти, енергетичні станції, туристичну галузь), але постраждали і звичайні люди. За своїми масштабами і методам впливу він вкрай схожий на гучний недавно.

Ви безсумнівно повинні захистити свій комп'ютер, щоб не стати жертвою нового трояна-здирника «Петя». У цій статті я розповім вам про те, що це за вірус «Petya», як він поширюється, як захиститися від цієї небезпеки. Крім того ми торкнемося питання видалення трояна і дешифрування інформації.

Що таке вірус «Petya»?

Для початку нам варто зрозуміти, чим же є Petya. Вірус Петя - це шкідливе програмне забезпечення, яке є трояном типу «ransomware» (вимагач). Дані віруси призначені для шантажу власників заражених пристроїв з метою отримання від них викупу за зашифровані дані. На відміну від Wanna Cry, Petya не обтяжує себе шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий диск цілком.

Правильна назва нового вірусу - Petya.A. Крім того, Касперський називає його NotPetya / ExPetr.

Опис вірусу «Petya»

Після потрапляння на ваш комп'ютер під управлінням системи Windows, Petya практично миттєво зашифровує MFT (Master File Table - головна таблиця файлів). За що ж відповідає ця таблиця?

Уявіть, що ваш жорсткий диск - це найбільша бібліотека у всьому всесвіті. У ній містяться мільярди книг. Так як же знайти потрібну книгу? Тільки за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-якої «файл» на вашому ПК. Якщо бути ще точніше, то після «роботи» Петі жорсткий диск вашого комп'ютера буде нагадувати бібліотеку після торнадо, з обривками книг, літаючими всюди.

Таким чином, на відміну від Wanna Cry, який я згадував на початку статті, Petya.A не шифрується окремі файли, витрачаючи на це значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Після всіх своїх маніпуляцій він вимагає від користувачів викуп - 300 доларів США, які потрібно перерахувати на біткойн рахунок.

Хто створив вірус Петя?

При створенні вірусу Петя був задіяний експлойт ( «діра») в ОС Windows під назвою «EternalBlue». Microsoft випустив патч, який «закриває» цю діру кілька місяців тому, проте, не всі ж користуються ліцензійною копією Windows і встановлює всі оновлення системи, адже правда?)

Творець «Петі» зміг з розумом використовувати безпечність корпоративних і приватних користувачів і заробити на цьому. Його особа поки що невідома (та й навряд чи буде відома)

Як поширюється вірус Петя?

Вірус Petya найчастіше поширюється під виглядом вкладень до електронних листів і в архівах з піратським зараженим ПО. У вкладенні може перебувати абсолютно будь-який файл, в тому числі фото або mp3 (так здається з першого погляду). Після того, як ви запустите файл, ваш комп'ютер перезавантажиться і вірус зімітує перевірку диска на помилки CHKDSK, а сам в цей момент видоизменит завантажувальний запис вашого комп'ютера (MBR). Після цього ви побачите червоний череп на екрані вашого комп'ютера. Натиснувши на будь-яку кнопку, ви зможете отримати доступ до тексту, в якому вам запропонують заплатити за розшифровку ваших файлів і перевести необхідну суму на bitcoin гаманець.

Як захиститися від вірусу Petya?

  • Найголовніше і найбільше - візьміть за правило ставити поновлення для вашої операційної системи! Це неймовірно важливо. Зробіть це прямо зараз, не відкладайте.
  • Поставтеся з підвищеною увагою до всіх вкладень, які включені до листів, навіть якщо листи від знайомих людей. На час епідемії краще користуватися альтернативними джерелами передачі даних.
  • Активуйте опцію «Показувати розширення файлів» в настройках ОС - так ви завжди зможете побачити справжнє розширення файлів.
  • Увімкніть «Керування обліковими записами користувачів» в настройках Windows.
  • Необхідно встановити один з, щоб уникнути зараження. Почніть з установки оновлення для ОС, потім встановіть антивірус - і ви вже будете в набагато більшій безпеці, ніж раніше.
  • Обов'язково робіть «бекапи» - зберігайте всі важливі дані на зовнішній жорсткий диск або в хмару. Тоді, якщо вірус Petya проникне на ваш ПК і зашифрує всі дані - вам буде досить простий провести форматування вашого жорсткого диска і встановити ОС заново.
  • Завжди перевіряйте актуальність антивірусних баз вашого антивіруса. Всі хороші антивіруси стежать за погрозами і своєчасно реагують на них, оновлюючи сигнатури погроз.
  • Встановіть безкоштовну утиліту Kaspersky Anti-Ransomware. Вона буде захищати вас від вірусів-шифраторів. Установка даного ПЗ не позбавляє вас від необхідності встановити антивірус.

Як видалити вірус Petya?

Як видалити вірус Petya.A з вашого жорсткого диска? Це вкрай цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то і видаляти буде, фактично, нічого. Якщо ви не планує платити здирникам (чого робити не варто) і не будете пробувати відновлювати дані на диску в подальшому, вам досить просто провести форматування диска і заново встановити ОС. Після цього від вірусу не залишиться і сліду.

Якщо ж ви підозрюєте, що на вашому диску присутній заражений файл - проскануйте ваш диск однієї з або ж встановіть антивірус Касперського і проведіть повне сканування системи. Розробник запевнив, що в його основі сигнатур вже є відомості про даний вірус.

дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом. На даний момент не існує рішення для розшифровки заблокованих відомостей. Тим більше не варто намагатися отримати доступ до даних в домашніх умовах.

Безсумнівно, ми б все мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус вразив світ кілька місяців тому, але ліки для розшифровки даних, які він зашифрував, так і не знайдено.

Тому, якщо ви ще не стали жертвою вірусу Петя - прислухайтеся до порад, які я дав на початку статті. Якщо ви все ж втратили контроль над своїми даними - то у вас є кілька шляхів.

  • Заплатити гроші. Робити цього безглуздо!Фахівці вже з'ясували, що дані творець вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.
  • Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і жати появи дешифратора. До речі, Лабораторія Касперського постійно працює в цьому напрямку. Доступні дешифратори є на сайті No Ransom.
  • Форматування диска і установка операційної системи. Мінус - всі дані будуть втрачені.

Вірус Petya.A в Россі

У Росії і Україні було атаковано і заражене понад 80 компаній на момент написання статті, в тому числі такі великі, як «Башнефть» і «Роснефть». Зараження інфраструктури таких великих компаній говорить про всю серйозність вірусу Petya.A. Безсумнівно, що троян-здирник буде і далі поширюватися по території Росії, тому вам варто подбати про безпеку своїх даних і послухатися поради, які були дані в статті.

Petya.A і Android, iOS, Mac, Linux

Багато користувачів турбуються - «а чи може вірус Petya заразити їх пристрої під управлінням Android і iOS. Поспішу їх заспокоїти - ні, не може. Він розрахований тільки на користувачів ОС Windows. Те ж саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.

висновок

Отже, сьогодні ми детально обговорили новий вірус Petya.A. Ми зрозуміли, чим є цей троян і як він працює, дізналися як уберегтися від зараження і видалити вірус, де взяти дешифратор (decryptor) Petya. Сподіваюся, що стаття і мої поради виявилися корисні для вас.

  • Інформаційна безпека

    • Слідом за нашумілої кампанією вірусу-шифрувальника WannaCry, яка була зафіксована в травні цього року 27 червня більше 80 компаній Росії і України стали жертвою нової атаки з використанням шифрувальника-здирника Petya. І ця кампанія виявилася зовсім не пов'язана з WannaCry. Експерти Positive Technologies представили детальний розбір нового зловредів і дали рекомендації по боротьбі з ним.

    Жертвами вимагача вже стали українські, російські та міжнародні компанії, зокрема, Нова Пошта, Запоріжжяобленерго, Дніпроенерго, Ощадбанк, медіахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, оператори LifeCell, Укртелеком, Київстар та багато інших організацій. У Києві виявилися заражені в тому числі деякі банкомати та касові термінали в магазинах. Саме на Україні зафіксовані перші атаки.

    Аналіз зразка вимагача, проведений нашими експертами, показав, що принцип дії Petya заснований на шифруванні головного завантажувального запису (MBR) завантажувального сектора диска і заміні його своїм власним. Цей запис - перший сектор на жорсткому диску, в ньому розташована таблиця розділів і програма-завантажувач, що зчитує з цієї таблиці інформацію про те, з якого розділу жорсткого диска буде відбуватися завантаження системи. Вихідний MBR зберігається в 0x22-му секторі диска і зашифрований за допомогою побайтовой операції XOR з 0x07.

    Після запуску шкідливого файлу створюється завдання на перезапуск комп'ютера, відкладена на 1-2 години, в цей час можна встигнути запустити команду bootrec / fixMbr для відновлення MBR і відновити працездатність ОС. Таким чином, запустити систему навіть після її компрометації можливо, однак розшифрувати файли не вдасться. Для кожного диска генерується свій ключ AES, який існує в пам'яті до завершення шифрування. Він шифрується на відкритому ключі RSA і віддаляється. Відновлення вмісту після завершення вимагає знання закритого ключа, таким чином, не повідомляючи ключа дані відновити неможливо. Імовірно, зловредів шифрує файли максимум на глибину 15 директорій. Тобто файли, вкладені на велику глибину, знаходяться в безпеці (принаймні для даної модифікації шифрувальника).

    У разі, якщо диски виявилися успішно зашифровані після перезавантаження, на екран виводиться вікно з повідомленням про вимогу заплатити викуп $ 300 (на 27 червня 2017 - приблизно 0,123 біткойнов) для отримання ключа розблокування файлів. Для переказу грошей вказано біткоіни-гаманець 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через кілька годин після початку атаки на гаманець вже надходять транзакції, кратні запитаної сумі - деякі жертви віддали перевагу заплатити викуп, не чекаючи, поки дослідники вивчать зловредів і спробують знайти засіб відновлення файлів.

    На даний момент число транзакцій збільшилася до 45.

    Petya використовує 135, 139, 445 TCP-порти для поширення (з використанням служб SMB і WMI). Поширення всередині мережі на інші вузли відбувається кількома методами: за допомогою Windows Management Instrumentation (WMI) і PsExec, а також за допомогою експлойта, що використовує уразливість MS17-010 (EternalBlue). WMI - це технологія для централізованого управління і стеження за роботою різних частин комп'ютерної інфраструктури під управлінням платформи Windows. PsExec широко використовується для адміністрування Windows і дозволяє виконувати процеси в віддалених системах. Однак для використання даних утиліт необхідно володіти привілеями локального адміністратора на комп'ютері жертви, а значить, шифрувальник може продовжити своє поширення тільки з тих пристроїв, користувач яких володіє максимальними привілеями ОС. Експлойт EternalBlue дозволяє отримати максимальні привілеї на вразливою системі. Також шифрувальник використовує загальнодоступну утиліту Mimikatz для отримання у відкритому вигляді облікових даних всіх користувачів ОС Windows, в тому числі локальних адміністраторів і доменних користувачів. Такий набір інструментарію дозволяє Petya зберігати працездатність навіть в тих інфраструктурах, де було враховано урок WannaCry і встановлені відповідні оновлення безпеки, саме тому шифрувальник настільки ефективний.

    В рамках тестувань на проникнення сучасних корпоративних інфраструктур експерти Positive Technologies регулярно демонструють можливість застосування експлойта EternalBlue (в 44% робіт у 2017 році), а також успішне застосування утиліти Mimikatz для розвитку вектора атаки до отримання повного контролю над доменом (в кожному проекті).

    Таким чином, Petya володіє функціональністю, що дозволяє йому поширюватися на інші комп'ютери, причому цей процес лавиноподібний. Це дозволяє шифрувальником скомпрометувати в тому числі контролер домену і розвинути атаку до отримання контролю над усіма вузлами домену, що еквівалентно повній компрометації інфраструктури.

    Про існуючу загрозу компрометації ми повідомляли понад місяць тому в оповіщеннях про атаку WannaCry і давали рекомендації, яким чином визначити вразливі системи, як їх захистити і що робити, якщо атака вже сталася. Додаткові рекомендації ми дамо і в даній статті. Крім того, наша компанія розробила безкоштовну утиліту WannaCry_Petya_FastDetect для автоматизованого виявлення уразливості в інфраструктурі. Система MaxPatrol виявляє дану уразливість як в режимі Audit, так і в режимі Pentest. Детальна інструкція вказана в наших рекомендаціях. Крім того, в MaxPatrol SIEM заведені відповідні правила кореляції для виявлення атаки Petya.

    Експерти Positive Technologies виявили "Kill-switch" - можливість локально відключити шифрувальник. Якщо процес має адміністративні привілеї в ОС, то перед підміною MBR шифрувальник перевіряє наявність файлу perfc (Або іншого порожнього файлу з іншою назвою) без розширення в директорії C: \\ Windows\\ (Директорія жорстко задана в коді). Цей файл носить те ж ім'я, що і бібліотека dll даного шифрувальника (але без розширення).

    Наявність такого файлу у вказаній директорії може бути одним з індикаторів компрометації. Якщо файл присутній в даній директорії, то процес виконання ВПО завершується, таким чином, створення файлу з правильним ім'ям може запобігти підміну MBR і подальше шифрування.

    Якщо шифрувальник при перевірці не виявить такий файл, то файл створюється і стартує процес виконання ВПО. Імовірно, це відбувається для того, щоб повторно не запустився процес підміни MBR.

    З іншого боку, якщо процес з самого початку не володіє адміністративними привілеями, то шифрувальник не зможе виконати перевірку наявності порожнього файлу в директорії C: \\ Windows \\, \u200b\u200bі процес шифрування файлів все ж запуститься, але без підміни MBR і перезапуску комп'ютера.
    Для того, щоб не стати жертвою подібної атаки, необхідно в першу чергу оновити використовуване ПЗ до актуальних версій, зокрема, встановити всі актуальні поновлення MS Windows. Крім того, необхідно мінімізувати привілеї користувачів на робочих станціях.

    Якщо зараження вже сталося, ми не рекомендуємо платити гроші зловмисникам. Поштова адреса порушників [Email protected] був заблокований, і навіть у разі оплати викупу ключ для розшифрування файлів напевно не буде отриманий. Для запобігання поширенню шифрувальника в мережі рекомендується вимкнути інші комп'ютери, що не були заражені, відключити від мережі заражені вузли і зняти образи скомпрометованих систем. У разі, якщо дослідники знайдуть спосіб розшифрування файлів, заблоковані дані можуть бути відновлені в майбутньому. Крім того, даний спосіб може бути використаний для проведення аналізу шифрувальника, що допоможе дослідникам в їх роботі.

    У довгостроковій перспективі рекомендується розробити систему регулярних тренінгів співробітників з метою підвищення їх обізнаності в питаннях інформаційної безпеки, засновану на демонстрації практичних прикладів потенційно можливих атак на інфраструктуру компанії з використанням методів соціальної інженерії. Необхідно проводити регулярну перевірку ефективності таких тренінгів. Також необхідно на всі комп'ютери встановити антивірусне ПЗ з функцією самозахисту, яка передбачає введення спеціального пароля для відключення або зміни налаштувань. Крім того, необхідно забезпечити регулярне оновлення ПЗ і ОС на всіх вузлах корпоративної інфраструктури, а також ефективний процес управління уразливими і оновленнями. Регулярне проведення аудитів ІБ і тестувань на проникнення дозволить своєчасно виявляти існуючі недоліки захисту і уразливості систем. Регулярний моніторинг периметра корпоративної мережі дозволить контролювати доступні з мережі Інтернет інтерфейси мережевих служб і вчасно вносити коригування в конфігурацію міжмережевих екранів. Для своєчасного виявлення та припинення вже трапилася атаки необхідно здійснювати моніторинг внутрішньої мережевої інфраструктури, для чого рекомендується застосовувати систему класу SIEM.

    Для виявлення атаки Petya в інфраструктурі можуть бути використані наступні індикатори:

    • C: \\ Windows \\ perfс
    • Завдання за розкладом Windows з порожнім ім'ям і дією (перезавантаження)
    • "% WINDIR% \\ system32 \\ shutdown.exe / r / f"
    Спрацьовування правил IDS / IPS:
    • msg: "Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
    • msg: "ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
    • msg: "Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
    • msg: "Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
    • msg: "SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev: 1
    сигнатури:

    Сьогодні, 27 червня, Україна атакував. Від нього вже, а також Кабінет Міністрів. Однак від вірусу можна «вилікуватися».

    Як вилікуватися від вірусу-шифрувальника?

    1. Коли користувач бачить синій екран смерті, його дані ще не зашифровані, тобто «Петя» ще не дістався до головної таблиці файлів. Якщо ви бачите, що комп'ютер показує вам синій екран, перезавантажується і запускає Check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп'ютера (тільки не в якості завантажувального тому!) І скопіювати свої файли.

    2. «Петя» шифрує тільки таблицю, не чіпаючи самі файли. Фахівці з відновлення даних можуть їх повернути. Це тривала і дорога процедура, але цілком реальна. Та годі здійснити її самостійно - через випадкову помилку ваші файли можуть зникнути назавжди.

    3. Щоб видалити вірус, вам необхідно завантажити зі здорового комп'ютера завантажувальний диск з антивірусом, який здатний вилікувати комп'ютер від «Петі». Це вміють наприклад ESET NOD32 LiveCD або Kaspersky Rescue Disk.

    Після завантаження, за інструкцією запишіть завантажувальний диск на флешку і завантажте комп'ютер з нього. Далі антивірус все зробить сам.

    Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для жителів країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від російськомовних розробників.

    Ці способи не гарантують повного відновлення файлів.

    Є і більш складний спосіб, проте користуватися ним стоїть на свій страх і ризик.

    Так, щоб використовувати інструмент дешифрування Leostone, доведеться зняти вінчестер з комп'ютера і підключити його до іншого ПК, що працює під управлінням ОС Windows. Дані, які треба зробити, складають 512 байт, починаючи з сектора 55 (0x37h). Потім ці дані необхідно перетворити в кодування Base64 і використовувати на сайті https://petya-pay-no-ransom.herokuapp.com/ для генерації ключа.

    Щоб зняти інформацію з пошкоджених дисків, можна скористатися інструментом Petya Sector Extractor для вилучення необхідної інформації з диска.

    Після того як користувач підключить зашифрований диск з зараженого комп'ютера до іншого ПК, потрібно запустити інструмент Fabric Wosar's Petya Sector Extractor, який виявить уражені шифрувальником області.

    Як тільки Petya Sector Extractor завершить свою роботу, користувачеві потрібно натиснути першу кнопку Copy Sector ( «Скопіювати сектор») і перейти на сайти Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ або https: // petya-pay-no-ransom-mirror1.herokuapp.com /), вставивши скопійовані дані через Ctrl + V в поле введення тексту (Base64 encoded 512 bytes verification data).

    Потім повернутися до утиліти, натиснути другу кнопку Copy Sector і знову скопіювати дані на сайт Стоуна, вставивши їх в інше поле введення (Base64 encoded 8 bytes nonce).

    Після заповнення обох полів користувач може натискати Submit і запускати роботу алгоритму.