Mai alguses oli lunavaraviirusega nakatunud umbes 230 000 arvutit enam kui 150 riigis. Enne kui ohvrid jõudsid selle rünnaku tagajärjed likvideerida, järgnes uus, Petya. Sellest said kannatada suurimad Ukraina ja Venemaa ettevõtted ning valitsusasutused.
Ukraina küberpolitsei tuvastas, et viirusrünnak sai alguse raamatupidamistarkvara M.E.Doc uuendamise mehhanismist, mida kasutatakse maksuaruannete koostamiseks ja saatmiseks. Nii sai teatavaks, et Bašnefti, Rosnefti, Zaporožjeoblenergo, Dneproenergo ja Dnepri elektrisüsteemi võrgud ei pääsenud nakatumisest. Ukrainas tungis viirus valitsuse arvutitesse, Kiievi metroo personaalarvutitesse, sideoperaatoritesse ja isegi Tšernobõli tuumaelektrijaama. Venemaal mõjutasid Mondelez International, Mars ja Nivea.
Petya viirus kasutab ära Windowsi operatsioonisüsteemi haavatavust EternalBlue. Symanteci ja F-Secure'i eksperdid ütlevad, et kuigi Petya krüpteerib andmeid nagu WannaCry, erineb see siiski mõnevõrra teist tüüpi krüpteerimisviirustest. "Petya viirus on uut tüüpi väljapressimine pahatahtliku kavatsusega: see mitte ainult ei krüpti kettal olevaid faile, vaid lukustab kogu ketta, muutes selle praktiliselt kasutuskõlbmatuks," selgitab F-Secure. "Täpsemalt krüpteerib see MFT põhifailitabeli."
Kuidas see juhtub ja kas seda protsessi saab ära hoida?
Viirus "Petya" - kuidas see töötab?
Petya viirust tuntakse ka teiste nimede all: Petya.A, PetrWrap, NotPetya, ExPetr. Kui see arvutisse jõuab, laadib see Internetist alla lunavara ja proovib rünnata osa kõvakettast arvuti käivitamiseks vajalike andmetega. Kui tal see õnnestub, väljastab süsteem Blue Screen of Death („surma sinine ekraan”). Pärast taaskäivitamist kuvatakse teade kõvaketta kontrollimise kohta, milles palutakse teil toidet mitte välja lülitada. Seega teeskleb krüpteerimisviirus süsteemi ketta skaneerimise programmina, krüptides samal ajal teatud laienditega faile. Protsessi lõpus kuvatakse teade, mis näitab, et arvuti on blokeeritud, ja teave selle kohta, kuidas hankida andmete dekrüpteerimiseks digitaalne võti. Petya viirus nõuab lunaraha, tavaliselt Bitcoinis. Kui ohvril ei ole oma failidest varukoopiat, seisab ta valiku ees, kas maksta 300 dollarit või kaotada kogu teave. Mõnede analüütikute sõnul maskeerub viirus vaid lunavaraks, samas kui selle tegelik eesmärk on tekitada tohutut kahju.
Kuidas Petyast lahti saada?
Eksperdid on avastanud, et Petya viirus otsib kohalikku faili ja kui see fail on kettal juba olemas, väljub krüpteerimisprotsessist. See tähendab, et kasutajad saavad kaitsta oma arvutit lunavara eest, luues selle faili ja määrates selle kirjutuskaitstuks.
Kuigi see kaval skeem takistab väljapressimisprotsessi alustamist, võib seda meetodit pidada pigem "arvutiga vaktsineerimiseks". Seega peab kasutaja faili ise looma. Seda saate teha järgmiselt.
- Kõigepealt peate mõistma faililaiendit. Veenduge, et aknas Folder Options (Kaustasuvandid) märkeruut Peida teadaolevate failitüüpide laiendid on märkimata.
- Avage kaust C:\Windows, kerige alla, kuni näete programmi notepad.exe.
- Vasakklõpsake failil notepad.exe, seejärel vajutage kopeerimiseks Ctrl + C ja seejärel faili kleepimiseks Ctrl + V. Teile saadetakse taotlus, milles küsitakse luba faili kopeerimiseks.
- Klõpsake nuppu Jätka ja fail luuakse märkmikuna - Copy.exe. Vasakklõpsake sellel failil ja vajutage F2, seejärel kustutage faili nimi Copy.exe ja sisestage perfc.
- Pärast failinime muutmist perfc-ks vajutage sisestusklahvi. Kinnitage ümbernimetamine.
- Nüüd, kui perfc-fail on loodud, peame muutma selle kirjutuskaitstuks. Selleks paremklõpsake failil ja valige "Atribuudid".
- Avaneb selle faili atribuutide menüü. Allosas näete "Ainult lugemiseks". Märkige ruut.
- Nüüd klõpsake nuppu Rakenda ja seejärel nuppu OK.
Mõned turvaeksperdid soovitavad Petya viiruse vastu põhjalikumaks kaitseks lisaks failile C:\windows\perfc luua ka failid C:\Windows\perfc.dat ja C:\Windows\perfc.dll. Nende failide puhul saate ülaltoodud samme korrata.
Õnnitleme, teie arvuti on NotPetya/Petya eest kaitstud!
Symanteci eksperdid annavad arvutikasutajatele mõningaid nõuandeid, et takistada neil tegemast asju, mis võivad viia failide lukustamiseni või rahakaotuseni.
- Ära maksa kurjategijatele raha. Isegi kui kannate lunavarale raha üle, pole mingit garantiid, et saate oma failidele tagasi juurdepääsu. Ja NotPetya / Petya puhul on see põhimõtteliselt mõttetu, sest lunavara eesmärk on hävitada andmeid, mitte saada raha.
- Varundage kindlasti oma andmeid regulaarselt. Sel juhul, isegi kui teie arvuti saab lunavaraviiruse rünnaku sihtmärgiks, saate kõik kustutatud failid taastada.
- Ärge avage kirju küsitavatelt aadressidelt. Ründajad püüavad meelitada teid pahavara installima või hankida rünnakute jaoks olulisi andmeid. Informeerige kindlasti IT-spetsialiste, kui teie või teie töötajad saavad kahtlaseid e-kirju või linke.
- Kasutage usaldusväärset tarkvara. Viirusetõrjeprogrammide õigeaegne värskendamine mängib olulist rolli arvutite kaitsmisel nakkuste eest. Ja loomulikult peate kasutama selle valdkonna mainekate ettevõtete tooteid.
- Kasutage rämpsposti kontrollimiseks ja blokeerimiseks mehhanisme. Sissetulevad meilid tuleks ohtude suhtes skannida. Oluline on blokeerida igat tüüpi kirjad, mille tekstis on linke või tüüpilisi andmepüügimärksõnu.
- Veenduge, et kõik programmid oleksid ajakohased. Tarkvara haavatavuste regulaarne parandamine on vajalik nakkuste vältimiseks.
Kas peaksime ootama uusi rünnakuid?
Petya viirus ilmus esmakordselt 2016. aasta märtsis ja turvaspetsialistid märkasid selle käitumist koheselt. Uus Petya viirus nakatas 2017. aasta juuni lõpus arvuteid Ukrainas ja Venemaal. Kuid see pole tõenäoliselt lõpp. Petya ja WannaCryga sarnaseid lunavaraviirusi kasutavad häkkerite rünnakud korduvad, ütles Sberbanki juhatuse aseesimees Stanislav Kuznetsov. Ta hoiatas TASSile antud intervjuus, et selliseid rünnakuid tuleb kindlasti ette, kuid raske on ette ennustada, millisel kujul ja formaadis need ilmneda võivad.
Kui te pole peale kõiki juhtunud küberrünnakuid veel astunud vähemalt minimaalseid samme, et kaitsta oma arvutit lunavaraviiruse eest, siis on aeg sellega tõsiselt tegeleda.
Kohutav arvutiviirus osutus veelgi hullemaks - mis on uuel lunavaraga troojalasel viga, miks seda kutsuti Petyaks ja kuidas see nii kiiresti terveid mainekate ettevõtete võrke nakatas? Sellest kohe Vesti.net programmis.
Petya lunavaraviirusega nakatumise epideemiline puhang osutus seni arvatust palju tõsisemaks löögiks. Suure tõenäosusega mõjutatud süsteemide funktsionaalsust ei taastata. Ei lunaraha maksmist ega spetsialistide otsust ootamas.
"Troojalane krüpteerib failid; kui tal on piisavalt õigusi, saab ta krüpteerida ketta peamise alglaadimisala. Ja üksikasjalikul analüüsil selgus, et ketta peamist alglaadimisala on võimatu dekrüpteerida. Kuna sellist funktsionaalsust lihtsalt pole.Võti, millega dekrüpteerida saab, on teadmata.Miks see tehtud on, pole täpselt teada.
See võis olla lihtne viga, sest mingil põhjusel kiirustasid nad rünnakut läbi viima ja ei testinud seda või võib-olla oli see teine võimalus - segav manööver, et näidata kõigile, et see on krüpteerija, teine WannaCry , et kõik mõistaksid dekrüpteerimise üle, maksa / ei maksa. Kuid seal oli tõeline eesmärk. Võib-olla oli paljudest ohvritest sihikule võetud vaid üks organisatsioon. Kõik ülejäänud olid lihtsalt kõrvalepõiked.
Ja Petya viirus ise osutus mitte Petyaks. Ja mitte kuu aega tagasi palju müra tekitanud WannaCry pahavara modifikatsioon, nagu algselt arvati. Nagu pärast pahavara koodi üksikasjalikku uurimist selgus, maskeeriti uus viirus ainult ekspertidele tuntud Petya troojalaseks, nii et see sai nimeks ExPetya. Ja mis sellel juba kuulsa WannaCryga ühist on, on NSA varastatud ja salastatust kustutatud arsenali haavatavuse kasutamine.
Vjatšeslav Zakorževski, Kaspersky Labi viirusetõrjeuuringute osakonna juhataja:
"ExPetya kasutab EternalBlue'i. Veidi muudetud. Aga ka teine haavatavus samast komplektist, mille avaldas The Shadow Brokers. See tähendab, et nad ei kasutanud mitte ainult seda, mida WannaCry, vaid tõid meelde ka teise haavatavuse, mida me pole kelleltki näinud krüptograafNäeme, et kasutati mitmeid täiustatud kirjutamistehnikaid, sealhulgas ründajad said muuta Eternalromance'i, EternalBlue'i ja lisada mitmeid tööriistu sisselogimisparoolide varandamiseks ja kaugkäivitamiseks ettevõtte võrgu kaudu. Ilmselgelt ei ole tegemist koolilaste ega üliõpilastega. Need peaksid olema professionaalsed programmeerijad, kes teavad, mida nad teevad. Ja pigem polnud see üks inimene, vaid mitu, igaühel oma spetsialiseerumine."
Nii nagu Eternal, tekitas ka ExPetya suurettevõtetele kõige rohkem probleeme. Kuu aega tagasi sattusid lunavara ohvriks näiteks ainult Venemaal õiguskaitsesüsteemid, aga ka Megafoni operaator. Seekord olid nakatumise ulatus ja ohvrite staatus sarnased: Rosneft ja Bašneft Venemaal, Ukrainas kohalikud energiavõrgud, Borõspili lennujaam, postkontor, ministrite kabineti võrk. siis sai selle ka Euroopa.
Kuid viiruse leviku viis osutus teistsuguseks. Näiteks õnnestus ründajatel nakatada Ukraina raamatupidamisprogrammi M.E.Doc. See tähendab, et kõigi ametliku M.E.Doc värskenduse installinud inimeste ettevõttevõrgud nakatati ja blokeeriti kohe.
Vjatšeslav Zakorževski, Kaspersky Labi viirusetõrjeuuringute osakonna juhataja:
"Fakt on see, et sellel troojal on võime levida üle ettevõtte võrgu ja seda ka kodus ilma turvaauke ära kasutamata. Selgitan: piisab ühest haavatavast arvutist võrgus. Kui lunavara sinna satub, võib see varastada kasutajanime ja parooli ja levida üle võrgu ilma haavatavust. See tähendab, et kui suur masinapark on ühendatud üheks võrguks ja vähemalt üks arvuti pole kaitstud ega värskendatud, avab see tee troojalasele. See on vastupidine WannaCry, mis kasutas ainult ühte EternalBlue'i haavatavust.
ExPetya (muide, Petya pole vihje vene päritolule, vaid viide Bondi sõjaväesatelliidi nimele) on teine ulatuslik rünnak, mis kasutab NSA küberarsenali. See tähendab, et need tööriistad, mis on suunatud Windowsi vanematele versioonidele, ei ole aegunud, nagu paljud on väitnud. See tähendab, et Windows 7, Vista ja XP on paljude ettevõtete jaoks endiselt üsna asjakohased ja mingil põhjusel nad isegi ei värskenda neid.
Positive Technologiesi andmetel mõjutas Petya tegevus enam kui 80 organisatsiooni Venemaal ja Ukrainas. Võrreldes WannaCryga peetakse seda viirust hävitavamaks, kuna see levib mitmel meetodil – kasutades Windows Management Instrumentationit, PsExeci ja EternalBlue exploiti. Lisaks sisaldab lunavara tasuta utiliiti Mimikatz.
"See tööriistade komplekt võimaldab Petyal töötada ka nendes infrastruktuurides, kus võeti arvesse WannaCry õppetundi ja installiti sobivad turvavärskendused, mistõttu on krüpteerija nii tõhus," ütles Positive Technologies.
Nagu ütles ettevõtte infoturbeohtudele reageerimise osakonna juht Elmar Nabigajev Gazeta.Ru-le,
Kui rääkida praeguse olukorra põhjustest, siis probleemiks on jällegi hoolimatu suhtumine infoturbe probleemidesse.
Avast viiruslabori juht Jakub Kroustek ütles intervjuus Gazeta.Ru-le, et on võimatu täpselt kindlaks teha, kes täpselt selle küberrünnaku taga on, kuid Petya viiruse levik on juba praegu teada. darknet, mis kasutab RaaS (malware as a service) ärimudelit.
"Seega ulatub programmide levitajate osa lunarahast 85%ni, 15% läheb lunavaraviiruse autoritele," ütles Kroustek. Ta märkis, et Petya autorid pakuvad kogu infrastruktuuri, C&C-servereid ja rahaülekandesüsteeme, mis aitavad inimesi viirust levitama meelitada, isegi kui neil pole programmeerimiskogemust.
Lisaks ütles Avast, milliseid operatsioonisüsteeme viirus kõige enam mõjutas.
Esikohal oli Windows 7 – 78% kõigist nakatunud arvutitest. Järgmiseks tulevad Windows XP (18%), Windows 10 (6%) ja Windows 8.1 (2%).
Kaspersky Lab leidis, et kuigi viirus sarnanes Petya perekonnaga, kuulus see siiski teise kategooriasse ja andis sellele teise nime - ExPetr, see tähendab "endine Peter".
Ettevõtte Aydeko arendusdirektori asetäitja Dmitri Khomutov selgitas Gazeta.Ru korrespondendile, et küberrünnakud WannaCry ja Petya viirustega viisid selleni, mille eest olin juba pikka aega hoiatanud, st teabe ülemaailmse haavatavuseni. kõikjal kasutatavad süsteemid.
"Ameeriklaste korporatsioonide luureagentuuridele jätnud lüngad said häkkeritele kättesaadavaks ja ühendati kiiresti traditsioonilise küberkurjategijate arsenaliga - lunavara, botneti klientide ja võrguussidega," ütles Khomutov.
Seega ei õpetanud WannaCry globaalsele kogukonnale praktiliselt mitte midagi – arvutid jäid kaitseta, süsteeme ei uuendatud ning pingutused plaastrite vabastamiseks ka aegunud süsteemidele läksid lihtsalt asjatuks.
Eksperdid soovitavad mitte maksta nõutavat lunaraha bitcoinides, kuna kohalik teenusepakkuja blokeeris häkkerite suhtluseks lahkunud e-posti aadressi. Seega isegi küberkurjategijate “ausate ja heade kavatsuste” korral ei kaota kasutaja mitte ainult raha, vaid ei saa ka juhiseid oma andmete avamiseks.
Petja tegi kõige rohkem kahju Ukrainale. Ohvrite hulgas olid Zaporozhyeoblenergo, Dneproenergo, Kiievi metroo, Ukraina mobiilioperaatorid Kyivstar, LifeCell ja Ukrtelecom, Auchani kauplus, Privatbank, Borõspili lennujaam jt.
Ukraina võimud süüdistasid küberrünnakus kohe Venemaad.
"Sõda küberruumis, mis levitab hirmu ja õudust miljonite personaalarvutite kasutajate seas ning põhjustab otsest materiaalset kahju äri- ja valitsusasutuste destabiliseerimise tõttu, on osa Venemaa impeeriumi Ukraina-vastase hübriidsõja üldisest strateegiast," ütles Rada saadik Rahvarindest."
Ukrainat võis tabada rohkem kui teisi Petya esmase leviku tõttu raamatupidamistarkvara M.E.doc automaatse värskenduse kaudu. Nii nakatusid Ukraina osakonnad, infrastruktuurirajatised ja äriettevõtted – nad kõik kasutavad seda teenust.
ESET Venemaa pressiteenistus selgitas Gazeta.Ru-le, et ettevõtte võrgu Petya viirusega nakatamiseks piisab ühest haavatavast arvutist, kuhu pole installitud turvavärskendusi. Selle abiga siseneb pahatahtlik programm võrku, omandab administraatori õigused ja levib teistesse seadmetesse.
Kuid M.E.doc andis selle versiooni ametliku ümberlükkamise.
«Küberrünnete toimumise ja leviku allikate arutelu käivad kasutajad aktiivselt sotsiaalvõrgustikes, foorumites ja muudes infoallikates, mille sõnastamisel on üheks põhjuseks M.E.Doc programmi uuenduste installimine. M.E.Doci arendusmeeskond lükkab selle info ümber ja nendib, et sellised järeldused on selgelt ekslikud, sest M.E.Doci arendaja kui tarkvaratoote vastutav tarnija jälgib oma koodi ohutust ja puhtust,” seisab avalduses.
Ettevõtted üle maailma kannatasid teisipäeval, 27. juunil e-posti teel levitatava pahavara ulatusliku küberrünnaku all. Viirus krüpteerib kõvaketastel olevaid kasutajaandmeid ja pressib raha välja bitcoinides. Paljud otsustasid kohe, et tegu on juba 2016. aasta kevadel kirjeldatud Petya viirusega, kuid viirusetõrjetootjad usuvad, et rünnak toimus mõne muu, uue pahavara tõttu.
Võimas häkkerite rünnak 27. juuni pärastlõunal tabas esmalt Ukrainat ning seejärel mitut suurt Venemaa ja välismaist ettevõtet. Viirus, mida paljud pidasid eelmise aasta Petyaks, levib Windowsi operatsioonisüsteemiga arvutites rämpsposti kaudu, millel on link, millele klõpsates avaneb administraatoriõigusi taotlev aken. Kui kasutaja lubab programmil ligipääsu oma arvutile, hakkab viirus kasutajalt raha nõudma – 300 dollarit bitcoinides ning summa kahekordistub mõne aja pärast.
2016. aasta alguses avastatud Petya viirus levis täpselt sama mustri järgi, mistõttu paljud kasutajad otsustasid, et see oligi kõik. Kuid viirusetõrjetarkvara arendusettevõtete eksperdid on juba väitnud, et toimunud rünnakus on süüdi mõni teine, täiesti uus viirus, mida nad veel uurivad. Kaspersky Labi eksperdid on seda juba teinud antud tundmatu viiruse nimi - NotPetya.
Meie esialgsetel andmetel pole tegu Petya viirusega, nagu varem mainitud, vaid uue, meile tundmatu pahavaraga. Sellepärast nimetasime seda NotPetyaks.
Firma Dr.Web kirjutab ka, et kuigi välimuselt sarnaneb viirus Petyale, siis tegelikult pole selle pahavaraga spetsialistid kunagi kokku puutunud ja erineb põhimõtteliselt Petyast, kuid mis täpselt, jääb veel kindlaks teha.
Analüütikud uurivad praegu uut troojalast; üksikasju anname hiljem. Mõned meediaallikad tõmbavad lunavara väliste ilmingute tõttu paralleele Petya lunavaraga (mida Dr.Web tuvastas eelkõige kui Trojan.Ransom.369), kuid uue ohu levitamise meetod erineb Petya kasutatavast standardskeemist. .
Dr.Web ja Kaspersky Lab tuletasid kasutajatele meelde ka lihtsaid reegleid, mis aitaksid vältida paljude arvutite viirusega nakatamist. Viirusetõrjetarkvara ettevõtted on neist rääkinud, kuid mitte kõik inimesed ei järgi neid endiselt.
Dr.Web kutsub kõiki kasutajaid üles olema ettevaatlikud ja mitte avama kahtlasi kirju (see meede on vajalik, kuid mitte piisav). Samuti peaksite oma kriitilistest andmetest varundama ja installima kõik oma tarkvara turvavärskendused. Samuti on vajalik viirusetõrje olemasolu süsteemis.
Kui teie arvuti on juba nakatunud, siis on ka lahendus leitud. Veel aprillis avaldas portaal Geektimes juhised, kuidas viirusest lahti saada. Esimene (keeruline) meetod on sisestada nakatunud meedium teise arvutisse ja "kinnitada teatud andmed nakatunud kõvaketta teatud sektoritest" ning seejärel edastada need "läbi Base64 dekoodri ja saata saidile töötlemiseks".
Viirus "Petya": kuidas seda mitte tabada, kuidas dešifreerida, kust see pärineb - viimased uudised Petya lunavaraviiruse kohta, mis oli kolmandaks "tegevuspäevaks" nakatanud erinevates maailma riikides umbes 300 tuhat arvutit ja siiani mitte. üks on selle peatanud.
Petya viirus - kuidas dekrüpteerida, viimased uudised. Pärast arvutirünnakut nõuavad Petya lunavara loojad 300 dollari suurust lunaraha (bitcoinides), kuid Petya viirust pole kuidagi võimalik lahti krüpteerida, isegi kui kasutaja raha maksab. Kaspersky Labi spetsialistid, kes nägid Petiti uue viiruse erinevusi ja andsid sellele nimeks ExPetr, väidavad, et dekrüpteerimiseks on vaja konkreetse trooja installi jaoks unikaalset identifikaatorit.
Varem tuntud sarnaste krüpteerijate Petya/Mischa/GoldenEye versioonides sisaldas installiidentifikaator selleks vajalikku teavet. ExPetri puhul seda tunnust ei eksisteeri, kirjutab RIA Novosti.
Petya viirus – kust see tuli, viimased uudised. Saksa turvaeksperdid on esitanud esimese versiooni selle lunavara päritolu kohta. Nende arvates hakkas Petya viirus arvutite kaudu levima siis, kui M.E.Doc faile avati. See on raamatupidamisprogramm, mida kasutati Ukrainas pärast 1C keelustamist.
Vahepeal ütleb Kaspersky Lab, et ExPetr viiruse päritolu ja leviku allika kohta on veel vara järeldusi teha. Võimalik, et ründajatel olid ulatuslikud andmed. Näiteks e-posti aadressid eelmisest uudiskirjast või mõni muu tõhus meetod arvutitesse imbumiseks.
Nende abiga tabas Petya viirus täie jõuga Ukrainat ja Venemaad, aga ka teisi riike. Kuid selle häkkerirünnaku tegelik ulatus selgub mõne päeva pärast, teatab.
"Petya" viirus: kuidas seda mitte püüda, kuidas seda dešifreerida, kust see tuli - viimased uudised Petya lunavaraviiruse kohta, mis on Kaspersky Labilt juba saanud uue nime – ExPetr.
