Համակարգչային վիրուսի մասին petya a. Apparat - ամսագիր նոր հասարակության մասին

Հունիսի 27-ին եվրոպական երկրները ենթարկվեցին փրկագին հարձակման, որը հայտնի է Petya անվնաս անունով (տարբեր աղբյուրներում կան նաև Petya.A, NotPetya և GoldenEye անունները): Կրիպտոգրաֆիկը բիթքոյններով փրկագին է պահանջում՝ 300 դոլարին համարժեք: Վարակվել են տասնյակ խոշոր ուկրաինական և ռուսական ընկերություններ, վիրուսի տարածում գրանցվել է նաև Իսպանիայում, Ֆրանսիայում և Դանիայում։

Ո՞վ է հարվածել:

Ուկրաինա

Ուկրաինան հարձակման ենթարկված առաջին երկրներից էր։ Ըստ նախնական գնահատականների՝ հարձակման են ենթարկվել մոտ 80 ընկերություններ և պետական ​​կառույցներ.

Այսօր վիրուսը ոչ միայն գաղտնագրում է առանձին ֆայլեր, այլ ամբողջությամբ խլում է օգտագործողի մուտքը կոշտ սկավառակ: Փրկագին վիրուսը օգտագործում է նաև Microsoft-ի կեղծ էլեկտրոնային ստորագրություն, որը օգտատերերին ցույց է տալիս, որ ծրագիրը մշակվել է վստահելի հեղինակի կողմից և երաշխավորում է անվտանգությունը։ Համակարգիչը վարակվելուց հետո վիրուսը փոփոխում է օպերացիոն համակարգը բեռնելու համար անհրաժեշտ հատուկ կոդը: Արդյունքում, երբ համակարգիչը գործարկվում է, բեռնված է ոչ թե օպերացիոն համակարգը, այլ վնասակար կոդը:

Ինչպե՞ս պաշտպանվել ինքներդ:

  1. Փակեք TCP 1024-1035, 135 և 445 պորտերը:
  2. Թարմացրեք ձեր հակավիրուսային արտադրանքների տվյալների բազաները:
  3. Քանի որ Petya-ն տարածվում է ֆիշինգի միջոցով, մի բացեք անհայտ աղբյուրներից նամակներ (եթե ուղարկողը հայտնի է, ստուգեք, թե արդյոք էլփոստը անվտանգ է), զգույշ եղեք ձեր ընկերների սոցիալական մեդիայի հաղորդագրություններից, քանի որ նրանց հաշիվները կարող են կոտրվել:
  4. Վիրուս Փնտրելֆայլ C:\Windows\perfc, իսկ եթե չի գտնում, ստեղծում է վարակը և սկսում։ Եթե ​​նման ֆայլ արդեն կա համակարգչում, ապա վիրուսն ավարտում է իր աշխատանքը առանց վարակվելու։ Դուք պետք է ստեղծեք դատարկ ֆայլ այդ անունով: Դիտարկենք այս գործընթացը ավելի մանրամասն:

— Hacker Fantastic (@hackerfantastic)

Բարի օր ընկերներ: Բոլորովին վերջերս մենք վերլուծեցինք վիրուսը WannaCry փրկագին, որը հաշված ժամերի ընթացքում տարածվել է աշխարհի շատ երկրներում ու վարակել բազմաթիվ համակարգիչներ։ Իսկ հունիսի վերջին հայտնվեց նոր նմանատիպ վիրուս՝ «Պետյա»։ Կամ, ինչպես այն ամենից հաճախ անվանում են «Պետյա»:

Այս վիրուսները պատկանում են ransomware Trojans-ին և բավականին նման են, թեև ունեն նաև իրենց տարբերությունները, ընդ որում՝ նշանակալի։ Պաշտոնական տվյալներով՝ «Պետյան» սկզբում վարակել է արժանապատիվ թվով համակարգիչներ Ուկրաինայում, իսկ հետո սկսել է իր ճանապարհորդությունը աշխարհով մեկ։

Տուժել են Իսրայելի, Սերբիայի, Ռումինիայի, Իտալիայի, Հունգարիայի, Լեհաստանի և այլ համակարգիչները, այս ցուցակում Ռուսաստանը 14-րդ տեղում է։ Այնուհետև վիրուսը տարածվեց այլ մայրցամաքներում:

Հիմնականում վիրուսի զոհ են դարձել խոշոր ընկերությունները (բավական հաճախ նավթային ընկերությունները), օդանավակայանները, բջջային կապի ընկերությունները և այլն, օրինակ՝ «Բաշնեֆտը», «Ռոսնեֆտը», «Մարսը», «Նեստլեն» և այլն։ Այսինքն՝ հարձակվողների թիրախը խոշոր ընկերություններն են, որոնցից կարելի է գումար վերցնել։

Ի՞նչ է «Պետյան»:

Petya-ն չարամիտ ծրագիր է, որը տրոյական փրկագին է: Նման վնասատուները ստեղծվել են վարակված համակարգիչների տերերին շանտաժի ենթարկելու համար՝ գաղտնագրելով ԱՀ-ում տեղակայված տեղեկատվությունը: Petya վիրուսը, ի տարբերություն WannaCry-ի, չի գաղտնագրում առանձին ֆայլեր: Այս տրոյան ամբողջությամբ ծածկագրում է ամբողջ սկավառակը: Սա ավելի մեծ վտանգ է, քան WannaCry վիրուսը:

Երբ Պետյան միանում է համակարգչին, այն շատ արագ կոդավորում է MFT աղյուսակը: Ավելի պարզ դարձնելու համար օգտագործենք անալոգիա: Եթե ​​համեմատում եք ֆայլերը մեծ քաղաքային գրադարանի հետ, նա հանում է դրա կատալոգը, և այս դեպքում շատ դժվար է ճիշտ գիրք գտնելը։

Նույնիսկ, ոչ միայն կատալոգ, այլ մի տեսակ խառնում է էջերը (ֆայլերը) տարբեր գրքերից: Իհարկե, այս դեպքում համակարգը ձախողվում է։ Նման աղբի մեջ շատ դժվար է հասկանալ համակարգը։ Հենց որ վնասատուն մտնում է համակարգիչ, այն վերագործարկում է համակարգիչը և բեռնելուց հետո հայտնվում է կարմիր գանգ։ Այնուհետև, երբ սեղմում եք որևէ կոճակի վրա, հայտնվում է բաններ՝ բիթքոյնի հաշվին 300 դոլար վճարելու առաջարկով։

Վիրուսը Petya ինչպես չբռնել

Ո՞վ կարող էր ստեղծել Պետյա: Այս հարցի պատասխանը դեռ չկա։ Իսկ ընդհանրապես պարզ չէ՝ հեղինակը կտեղադրվի՞ (ամենայն հավանականությամբ՝ ոչ)։ Բայց հայտնի է, որ արտահոսքը եղել է ԱՄՆ-ից։ Վիրուսը, ինչպես WannaCry-ն, անցք է փնտրում օպերացիոն համակարգում։ Այս անցքը կարկատելու համար բավական է տեղադրել MS17-010 թարմացումը (թողարկվել է մի քանի ամիս առաջ WannaCry հարձակման ժամանակ)։ Այն կարող եք ներբեռնել հղումից։ Կամ Microsoft-ի պաշտոնական կայքից:

Ներկա պահին այս թարմացումը ձեր համակարգիչը պաշտպանելու լավագույն միջոցն է: Նաև մի մոռացեք լավ հակավիրուսի մասին: Ավելին, «Կասպերսկու լաբորատորիան» հայտարարել է, որ իրենք ունեն տվյալների բազայի թարմացում, որն արգելափակում է այս վիրուսը։

Բայց դա չի նշանակում, որ պետք է տեղադրել Kaspersky։ Օգտագործեք ձեր հակավիրուսը, բայց մի մոռացեք թարմացնել դրա տվյալների բազաները: Բացի այդ, մի մոռացեք լավ firewall-ի մասին:

Ինչպես է տարածվում Պետյա վիրուսը


Ամենից հաճախ Պետյան էլեկտրոնային փոստով հասնում է համակարգչին: Ուստի Պետյա վիրուսի ինկուբացիայի ժամանակ չարժե տարբեր հղումներ բացել տառերով, հատկապես անծանոթներով։ Ընդհանրապես, կանոն դարձրեք անծանոթներից հղումներ չբացելը։ Այսպիսով, դուք ձեզ պաշտպանում եք ոչ միայն այս վիրուսից, այլև շատ ուրիշներից:

Այնուհետև, երբ միանում է համակարգչին, Trojan-ը վերագործարկում է և ընդօրինակում է ստուգումը: Այնուհետև, ինչպես արդեն նշեցի, էկրանին հայտնվում է կարմիր գանգ, այնուհետև պաստառ, որն առաջարկում է վճարել ֆայլերի վերծանման համար՝ երեք հարյուր դոլար փոխանցելով Bitcoin դրամապանակին:

Անմիջապես կասեմ, որ ոչ մի դեպքում պետք չէ վճարել։ Դուք դեռ չեք վերծանի այն, պարզապես ծախսեք գումարը և ներդրում կատարեք տրոյականի ստեղծողների համար: Այս վիրուսը նախատեսված չէ վերծանման համար:

Petya վիրուսը ինչպես պաշտպանվել ինքներդ

Եկեք ավելի սերտ նայենք Petya վիրուսից պաշտպանությանը.

  1. Ես արդեն նշեցի համակարգի թարմացումները: Սա ամենակարևոր կետն է։ Նույնիսկ եթե ձեր համակարգը ծովահեն է, դուք պետք է ներբեռնեք և տեղադրեք MS17-010 թարմացումը:
  2. Windows-ի կարգավորումներում միացրեք «Ցույց տալ ֆայլերի ընդլայնումները»: Դրա շնորհիվ դուք կարող եք տեսնել ֆայլի ընդլայնումը և ջնջել կասկածելիները: Վիրուսի ֆայլն ունի .exe ընդլայնում:
  3. Վերադառնանք նամակներին։ Մի սեղմեք ձեզ անծանոթ մարդկանց հղումների կամ հավելվածների վրա: Իսկ ընդհանրապես, կարանտինի ժամանակ մի հետևեք փոստի հղումներին (նույնիսկ ձեզ ծանոթ մարդկանցից):
  4. Ցանկալի է միացնել Օգտագործողի հաշվի վերահսկողությունը:
  5. Պատճենեք կարևոր ֆայլերը շարժական մեդիա: Կարող է պատճենվել Cloud-ում: Սա ձեզ կազատի շատ խնդիրներից։ Եթե ​​Petya-ն հայտնվի ձեր համակարգչի վրա, ապա կոշտ սկավառակը ֆորմատավորելուց հետո բավական կլինի տեղադրել նոր օպերացիոն համակարգ:
  6. Տեղադրեք լավ հակավիրուս: Ցանկալի է, որ դա նաեւ firewall լիներ։ Սովորաբար, նման հակավիրուսները վերջում ունեն Security մակագրություն: Եթե ​​ձեր համակարգչում կարևոր տվյալներ ունեք, ապա չպետք է խնայեք հակավիրուսային:
  7. Տեղադրելով պատշաճ հակավիրուս, մի ​​մոռացեք թարմացնել դրա տվյալների բազաները:

Ինչպես հեռացնել Petya վիրուսը

Սա բարդ հարց է։ Եթե ​​Պետյան աշխատանք է կատարել ձեր համակարգչում, ըստ էության, ջնջելու բան չի լինի: Համակարգում բոլոր ֆայլերը ցրված կլինեն: Ամենայն հավանականությամբ, դուք այլևս չեք կարող կազմակերպել դրանք: Պետք չէ գողերին վճարել. Մնում է սկավառակը ֆորմատավորել և համակարգը նորից տեղադրել։ Համակարգը ֆորմատավորելուց և նորից տեղադրելուց հետո վիրուսը կվերանա:

Նաև ուզում եմ ավելացնել, որ այս վնասատուը վտանգ է ներկայացնում Windows համակարգի համար: Եթե ​​դուք ունեք որևէ այլ համակարգ, օրինակ՝ ռուսական Rosa համակարգը, ապա չպետք է վախենաք այս փրկագին վիրուսից։ Նույնը վերաբերում է հեռախոսի սեփականատերերին: Դրանց մեծ մասում տեղադրված են Android, IOS եւ այլն։ Հետեւաբար, բջիջների սեփականատերերը անհանգստանալու ոչինչ չունեն:

Բացի այդ, եթե դուք պարզ մարդ եք, և ոչ թե խոշոր ընկերության սեփականատեր, ապա, ամենայն հավանականությամբ, հարձակվողները ձեզնով չեն հետաքրքրվում: Նրանց պետք են խոշոր ընկերություններ, որոնց համար 300 դոլարը ոչինչ չի նշանակում, և ով կարող է իրականում վճարել նրանց այս գումարը։ Բայց դա չի նշանակում, որ վիրուսը չի կարող հայտնվել ձեր համակարգչում: Ավելի լավ է համոզվեք:

Այնուամենայնիվ, եկեք հուսանք, որ Petya վիրուսը շրջանցում է ձեզ: Հոգ տանել ձեր համակարգչի մասին տեղեկատվության մասին: Հաջողություն!

, 18 հուլիսի, 2017 թ

Petna ransomware վիրուսի (NotPetya, ExPetr) մասին ամենակարևոր հարցերի պատասխանները՝ Petya-ի վրա հիմնված փրկագին, որը վարակել է բազմաթիվ համակարգիչներ ամբողջ աշխարհում:

Այս ամիս մենք ականատես եղանք ևս մեկ խոշոր փրկագին հարձակման, որը տեղի ունեցավ ընդամենը մի քանի շաբաթ անց: Մի քանի օրվա ընթացքում փրկագինի այս փոփոխությունը ստացավ բազմաթիվ տարբեր անուններ, այդ թվում՝ Petya (բնօրինակ վիրուսի անունը), NotPetya, EternalPetya, Nyetya և այլն: Սկզբում այն ​​անվանել էինք «Պետյա ընտանիքի վիրուս», բայց հարմարության համար պարզապես կանվանենք Պետնա։

Պետնայի շուրջ անունից բացի բավական երկիմաստություններ կան։ Սա նույն փրկագի՞րն է, ինչպիսին Petya-ն է, թե՞ այլ տարբերակ: Արդյո՞ք Petna-ն պետք է համարվի փրկագին կամ վիրուս, որը պարզապես ոչնչացնում է տվյալները: Եկեք պարզաբանենք անցյալ հարձակման որոշ ասպեկտներ:

Petna-ի բաշխումը դեռ շարունակվո՞ւմ է:

Մի քանի օր առաջ ակտիվության գագաթնակետը. Վիրուսի տարածումը սկսվել է հունիսի 27-ի առավոտյան։ Նույն օրը նրա ակտիվությունը հասավ իր ամենաբարձր մակարդակին՝ ամեն ժամ հազարավոր հարձակման փորձերով։ Դրանից հետո նույն օրվա ընթացքում դրանց ինտենսիվությունը զգալիորեն նվազել է, և դրանից հետո նկատվել են միայն սակավաթիվ վարակներ։

Կարո՞ղ է այս հարձակումը համեմատվել WannaCry-ի հետ:

Ոչ, դատելով մեր օգտվողների բազայի հասանելիությունից: Մենք ամբողջ աշխարհում դիտել ենք մոտ 20,000 հարձակման փորձ, ինչը անհամեմատ քիչ է, քան 1,5 միլիոն WannaCry հարձակումները, որոնք մենք կանխել ենք:

Ո՞ր երկրներն են ամենաշատը տուժել:

Հեռուստաչափության մեր տվյալները ցույց են տալիս, որ վիրուսի հիմնական ազդեցությունը եղել է Ուկրաինայում, որտեղ հայտնաբերվել են հարձակման փորձերի ավելի քան 90%-ը։ Տուժել են նաև Ռուսաստանը, ԱՄՆ-ը, Լիտվան, Բելառուսը, Բելգիան և Բրազիլիան։ Այս երկրներից յուրաքանչյուրում գրանցվել են վարակման մի քանի տասնյակից մինչև մի քանի հարյուր փորձ։

Ի՞նչ օպերացիոն համակարգեր են վարակվել:

Ամենաշատ հարձակումները գրանցվել են Windows 7 (78%) և Windows XP (14%) աշխատող սարքերի վրա։ Պարզվեց, որ ավելի ժամանակակից համակարգերի վրա հարձակումների թիվը շատ ավելի քիչ է։

Ինչպե՞ս է Petna վիրուսը հայտնվել համակարգչի վրա:

Կիբեր համաճարակի զարգացման ուղիները վերլուծելուց հետո մենք գտանք վարակի առաջնային վեկտորը, որը կապված է ուկրաինական M.E.Doc հաշվապահական ծրագրաշարի թարմացման հետ: Այդ իսկ պատճառով Ուկրաինան այդքան լուրջ տուժել է։

Դառը պարադոքս. անվտանգության նկատառումներից ելնելով օգտատերերին միշտ խորհուրդ է տրվում թարմացնել իրենց ծրագրակազմը, սակայն այս դեպքում վիրուսը սկսեց լայնածավալ տարածվել M.E.Doc-ի կողմից թողարկված ծրագրային թարմացման միջոցով:

Ինչո՞ւ են տուժել նաև Ուկրաինայի սահմաններից դուրս համակարգիչները։

Պատճառներից մեկն այն է, որ տուժած ընկերություններից մի քանիսն ունեն ուկրաինական դուստր ձեռնարկություններ: Երբ վիրուսը վարակում է համակարգիչը, այն տարածվում է ցանցի ներսում: Այդպես նրան հաջողվեց հասնել այլ երկրների համակարգիչներին։ Մենք շարունակում ենք ուսումնասիրել վարակի այլ հնարավոր վեկտորները:

Ինչ է տեղի ունենում վարակվելուց հետո:

Երբ սարքը վարակվում է, Petna-ն փորձում է գաղտնագրել որոշակի ընդլայնումներով ֆայլեր: Թիրախային ֆայլերի ցանկն այնքան մեծ չէ, որքան սկզբնական Petya վիրուսի և այլ փրկագինների ցուցակները, սակայն այն ներառում է լուսանկարների, փաստաթղթերի, սկզբնական կոդերի, տվյալների բազաների, սկավառակի պատկերների և այլ ընդլայնումներ: Բացի այդ, այս ծրագիրը ոչ միայն գաղտնագրում է ֆայլերը, այլև այն, թե ինչպես է որդը տարածվում տեղական ցանցին միացված այլ սարքերի վրա:

Ինչպես , վիրուսը տարածման երեք տարբեր եղանակներ է օգտագործում՝ օգտագործելով EternalBlue (հայտնի WannaCry-ից) կամ EternalRomance-ի շահագործումները, Windows ցանցի բաժնետոմսերի միջոցով՝ օգտագործելով զոհից գողացված հավատարմագրերը (օգտագործելով Mimikatz-ի նման, որոնք կարող են գաղտնաբառեր հանել), ինչպես նաև վստահելի գործիքներ, ինչպիսիք են PsExec-ը: և WMIC:

Ֆայլերը գաղտնագրելուց և ցանցում տարածվելուց հետո վիրուսը փորձում է կոտրել Windows-ի բեռնումը (փոխելով հիմնական բեռնման ռեկորդը՝ MBR), իսկ հարկադիր վերագործարկումից հետո այն կոդավորում է համակարգի սկավառակի հիմնական ֆայլերի աղյուսակը (MFT): Սա թույլ չի տալիս համակարգիչը բեռնել Windows-ը և այն դարձնում է անօգտագործելի:

Կարո՞ղ է արդյոք Petna-ն վարակել իմ համակարգիչը տեղադրված անվտանգության բոլոր պատչերով:

Այո, դա հնարավոր է վերը նկարագրված չարամիտ ծրագրերի հորիզոնական բաշխման շնորհիվ: Նույնիսկ եթե որոշակի սարքը պաշտպանված է և՛ EternalBlue-ից, և՛ EternalRomance-ից, այն դեռ կարող է վարակվել երրորդ եղանակով:

Դա Retua, WannaCry 2.0 կամ այլ բան է:

Petna վիրուսը, անկասկած, հիմնված է օրիգինալ Petna ransomware-ի վրա: Օրինակ՝ հիմնական ֆայլի աղյուսակի կոդավորման համար պատասխանատու մասում այն ​​գրեթե նույնական է նախկինում հանդիպած սպառնալիքին։ Այնուամենայնիվ, այն լիովին նույնական չէ փրկագինի հին տարբերակներին: Ենթադրվում է, որ վիրուսը մոդիֆիկացված է երրորդ կողմի կողմից, և ոչ թե սկզբնական տարբերակի հեղինակը, որը հայտնի է որպես Յանուս, ով այս մասին խոսել է նաև ս. Twitter, և ավելի ուշ հրապարակեց ծրագրի բոլոր նախորդ տարբերակների հիմնական վերծանման բանալի:

Petna-ի և WannaCry-ի հիմնական նմանությունն այն է, որ նրանք օգտագործել են EternalBlue-ի շահագործումը տարածելու համար:

Ճի՞շտ է, որ վիրուսը ոչինչ չի գաղտնագրում, այլ պարզապես ոչնչացնում է սկավառակների տվյալները:

Դա ճիշտ չէ։ Այս չարամիտ ծրագիրը կոդավորում է միայն ֆայլերը և հիմնական ֆայլերի աղյուսակը (MFT): Այլ հարց է, թե արդյոք այս ֆայլերը կարող են վերծանվել:

Կա՞ արդյոք անվճար գաղտնազերծման գործիք:

Ցավոք, ոչ. Վիրուսը օգտագործում է բավականին հզոր կոդավորման ալգորիթմ, որը հնարավոր չէ հաղթահարել: Այն կոդավորում է ոչ միայն ֆայլերը, այլև հիմնական ֆայլերի աղյուսակը (MFT), ինչը մեծապես բարդացնում է վերծանման գործընթացը:

Պե՞տք է վճարեմ փրկագինը։

Ոչ Մենք երբեք խորհուրդ չենք տալիս փրկագին վճարել, քանի որ դա միայն խրախուսում է հանցագործներին և խրախուսում է նրանց շարունակել նման գործունեությունը: Ավելին, հավանական է, որ դուք չեք ստանա ձեր տվյալները նույնիսկ վճարելուց հետո: Այս դեպքում դա ավելի ակնհայտ է, քան երբևէ։ Եվ ահա թե ինչու։

    Փրկագնի պատուհանում նշված պաշտոնական էլ.փոստի հասցեն [էլփոստը պաշտպանված է], որին զոհերից խնդրել են փրկագին ուղարկել, էլփոստի ծառայության մատակարարը փակել է վիրուսի հարձակումից անմիջապես հետո: Հետևաբար, փրկագին ստեղծողները չեն կարող պարզել, թե ով է վճարել, ով ոչ։

    MFT բաժանման գաղտնազերծումը հիմնականում անհնար է, քանի որ բանալին կորել է այն բանից հետո, երբ փրկագինը կոդավորում է այն: Վիրուսի նախորդ տարբերակներում այս բանալին պահվում էր զոհի ID-ում, սակայն վերջին փոփոխության դեպքում դա պարզապես պատահական տող է։

    Բացի այդ, ֆայլերի վրա կիրառվող կոդավորումը բավականին քաոսային է։ Ինչպես

Այս եզրակացությունը միանգամից երկու ընկերությունների՝ Comae Technologies-ի և Kaspersky Lab-ի ուսումնասիրության արդյունքն էր:

2016 թվականին հայտնաբերված Petya-ի սկզբնական չարամիտ ծրագիրը փող աշխատելու մեքենա էր: Այս նմուշը հաստատ գումար վաստակելու համար չէ։ Սպառնալիքը նախատեսված է արագ տարածվելու և վնաս պատճառելու համար և քողարկվում է որպես փրկագին:

NotPetya-ն սկավառակը մաքրող չէ: Սպառնալիքը չի ջնջում տվյալները, այլ պարզապես դրանք դարձնում է անօգտագործելի՝ կողպելով ֆայլերը և դեն նետելով վերծանման բանալիները:

«Կասպերսկու լաբորատորիայի» ավագ գիտաշխատող Խուան Անդրե Գերերո-Սաադեն իրավիճակը մեկնաբանել է.

Իմ գրքում փրկագին վարակը առանց վերծանման հնարավոր մեխանիզմի համարժեք է սկավառակի մաքրմանը: Անտեսելով կենսունակ ապակոդավորման մեխանիզմը՝ հարձակվողները բացարձակ անտեսում են երկարաժամկետ դրամական շահույթը:

Օրիգինալ Petya ransomware-ի հեղինակը թվիթերում գրել է, որ ինքը ոչ մի կապ չունի NotPetya-ի զարգացման հետ: Նա արդեն դարձել է երկրորդ կիբերհանցագործը, ով հերքում է իր մասնակցությունը նոր նմանատիպ սպառնալիքի ստեղծմանը։ Ավելի վաղ AES-NI ransomware-ի հեղինակը հայտարարել էր, որ ինքը ոչ մի առնչություն չունի XData-ի հետ, որն օգտագործվել է նաև Ուկրաինայի դեմ ուղղված հարձակումների ժամանակ։ Բացի այդ, XData-ն, ինչպես NotPetya-ն, օգտագործել է բաշխման նույնական վեկտոր՝ ուկրաինական հաշվապահական ծրագրեր արտադրողի թարմացման սերվերներ:

Շատ անուղղակի ցուցումներ հաստատում են այն տեսությունը, որ ինչ-որ մեկը կոտրում է հայտնի փրկագին և օգտագործում է փոփոխված տարբերակները ուկրաինացի օգտատերերի վրա հարձակվելու համար:

Արդյո՞ք կործանարար մոդուլները քողարկված որպես փրկագին արդեն սովորական պրակտիկա են:

Նման դեպքեր նախկինում արդեն եղել են։ Վնասակար մոդուլների օգտագործումը սովորական փրկագինների քողի տակ ֆայլերը մշտապես վնասելու համար հեռու է նոր մարտավարությունից: Ժամանակակից աշխարհում սա արդեն միտում է դառնում:

Անցյալ տարի Shamoon և KillDisk չարամիտ ծրագրերի ընտանիքները ներառում էին «փրկագին բաղադրիչներ» և օգտագործեցին նմանատիպ տեխնիկա՝ տվյալների ոչնչացման համար: Այժմ նույնիսկ արդյունաբերական չարամիտ ծրագրերը ստանում են սկավառակի մաքրման գործառույթներ:

NotPetya-ն որպես տվյալների ոչնչացման գործիք դասակարգելը կարող է հեշտությամբ չարամիտ ծրագրերը վերածել կիբերզենքի: Այս դեպքում սպառնալիքի հետեւանքների վերլուծությունը պետք է դիտարկել այլ տեսանկյունից։

Հաշվի առնելով վարակի մեկնարկային կետը և զոհերի թիվը՝ ակնհայտ է դառնում, որ հաքերային հարձակման թիրախը եղել է Ուկրաինան։ Այս պահին հարձակվողի վրա մատնացույց անող հստակ ապացույցներ չկան, սակայն ուկրաինացի պաշտոնյաներն արդեն մեղադրել են Ռուսաստանին, որին մեղադրում են նաև անցյալ կիբեր միջադեպերի համար՝ սկսած 2014 թվականից։

NotPetya-ն կարող է հավասարվել չարամիտ ծրագրերի հայտնի Stuxnet և BlackEnergy ընտանիքներին, որոնք օգտագործվել են քաղաքական նպատակներով և կործանարար ազդեցությունների համար: Ապացույցները հստակ ցույց են տալիս, որ NotPetya-ն կիբերզենք է և ոչ միայն շատ ագրեսիվ փրկագին:

Ռուսական և ուկրաինական մի շարք ընկերություններ ենթարկվել են Petya ծածկագրման վիրուսի հարձակմանը։ Կայքի առցանց հրատարակությունը զրուցել է «Կասպերսկու լաբորատորիայի»՝ AGIMA ինտերակտիվ գործակալության փորձագետների հետ և պարզել, թե ինչպես պաշտպանել կորպորատիվ համակարգիչները վիրուսից և ինչպես է Petya-ն նման նույնքան հայտնի WannaCry կոդավորման վիրուսին:

«Պետյա» վիրուս

Ռուսաստանում՝ Rosneft, Bashneft, Mars, Nivea ընկերությունները և շոկոլադ արտադրող Alpen Gold Mondelez International։ Փրկագին վիրուս Չեռնոբիլի ատոմակայանի ճառագայթման մոնիտորինգի համակարգում։ Բացի այդ, հարձակումն ազդել է Ուկրաինայի կառավարության, Պրիվատբանկի և հեռահաղորդակցության օպերատորների համակարգիչների վրա։ Վիրուսը արգելափակում է համակարգիչները և պահանջում է 300 դոլար փրկագին բիթքոյններով:

Twitter-ի միկրոբլոգում Rosneft-ի մամուլի ծառայությունը խոսել է ընկերության սերվերների վրա հաքերային հարձակման մասին։ «Ընկերության սերվերների վրա իրականացվել է հզոր հաքերային հարձակում։ Հուսով ենք, որ դա որևէ կապ չունի ներկայիս դատական ​​ընթացակարգերի հետ։ Ընկերությունը դիմել է իրավապահ մարմիններին՝ կապված կիբերհարձակման հետ», - ասվում է հաղորդագրության մեջ։

Ինչպես հայտնել է ընկերության մամուլի քարտուղար Միխայիլ Լեոնտևը, «Ռոսնեֆտը» և նրա դուստր ձեռնարկությունները աշխատում են սովորական ռեժիմով։ Հարձակումից հետո ընկերությունն անցել է պահեստային գործընթացի կառավարման համակարգի, որպեսզի նավթի արդյունահանումն ու պատրաստումը չդադարեցվի։ Հարձակման է ենթարկվել նաև Home Credit բանկի համակարգը։

«Պետյան» առանց «Միշայի» չի վարակվում.

Համաձայն AGIMA-ի գործադիր տնօրեն Եվգենի Լոբանով, փաստորեն, հարձակումն իրականացվել է փրկագնի երկու վիրուսով՝ Պետյա և Միշա։

«Նրանք աշխատում են համատեղ։ «Պետյան» առանց «Միշայի» չի վարակվում։ Այն կարող է վարակել, բայց երեկվա հարձակումը երկու վիրուս էր՝ սկզբում Պետյա, հետո Միշան։ Միշա - գաղտնագրում է ֆայլերը որոշակի ալգորիթմի համաձայն», - բացատրեց մասնագետը, «Պետյան գաղտնագրում է սկավառակի բեռնման հատվածը (MBR) և փոխարինում այն ​​իրով, Միշան արդեն գաղտնագրում է սկավառակի բոլոր ֆայլերը (ոչ միշտ):

Նա նշել է, որ WannaCry ծածկագրման վիրուսը, որը հարձակվել է համաշխարհային խոշոր ընկերությունների վրա այս տարվա մայիսին, նման չէ Petya-ին, սա նոր տարբերակ է։

«Petya.A-ն WannaCry (WannaCrypt) ընտանիքից է, բայց հիմնական տարբերությունն այն է, թե ինչու դա նույն վիրուսը չէ, այն է, որ MBR-ը փոխարինվում է իր սեփական բեռնախցիկի սեկտորով. սա նորություն է Ransomware-ի համար: Հայտնվեց Petya վիրուսը: վաղուց GitHab-ում (ՏՏ նախագծերի և համատեղ ծրագրավորման առցանց ծառայություն - կայք) https://github.com/leo-stone/hack-petya" target="_blank"> կար այս ծածկագրիչի ապակոդավորիչ, բայց ոչ մի ապակոդավորիչ հարմար չէ նոր փոփոխության համար:

Եվգենի Լոբանովն ընդգծել է, որ հարձակումն Ուկրաինային ավելի ուժեղ է հարվածել, քան Ռուսաստանը։

«Մենք ավելի ենթակա ենք հարձակումների, քան արևմտյան մյուս երկրները: Մենք պաշտպանված կլինենք վիրուսի այս տարբերակից, բայց ոչ դրա փոփոխություններից: Մեր ինտերնետն անվտանգ է, Ուկրաինայում՝ ավելի քիչ: Հիմնականում տրանսպորտային ընկերությունները, բանկերը, բջջային օպերատորները: Հարձակման են ենթարկվել (Vodafone, Kyivstar) և բժշկական ընկերությունները, նույն Pharmmag, Shell բենզալցակայանները՝ բոլոր շատ խոշոր անդրմայրցամաքային ընկերությունները»,- ասել է նա կայքին տված հարցազրույցում։

AGIMA-ի գործադիր տնօրենը նշել է, որ առայժմ չկան փաստեր, որոնք կմատնանշեն վիրուսը տարածողի աշխարհագրական դիրքը։ Նրա կարծիքով՝ վիրուսը իբր հայտնվել է Ռուսաստանում։ Ցավոք սրտի, դրա համար ուղղակի ապացույց չկա:

«Ենթադրություն կա, որ սրանք մեր հաքերներն են, քանի որ առաջին մոդիֆիկացիան հայտնվեց Ռուսաստանում, իսկ ինքը՝ վիրուսը, որը ոչ մեկի համար գաղտնիք չէ, անվանակոչվել է Պյոտր Պորոշենկոյի անունով։ Դա ռուս հաքերների զարգացումն էր, բայց դժվար է ասել։ ով էլ դա փոխեց, որ նույնիսկ Ռուսաստանում լինելով, օրինակ՝ ԱՄՆ-ում հեշտ է ձեռք բերել գեոլոկացիա ունեցող համակարգիչ»,- պարզաբանեց փորձագետը։

«Եթե հանկարծ համակարգչի «վարակ» է եղել, դուք չեք կարող անջատել համակարգիչը: Եթե վերաբեռնեք, դուք այլևս երբեք մուտք չեք գործի:

«Եթե համակարգիչը հանկարծ «վարակվի», դուք չեք կարող անջատել համակարգիչը, քանի որ Petya վիրուսը փոխարինում է MBR-ին՝ առաջին բեռնման հատվածը, որտեղից բեռնված է օպերացիոն համակարգը: Եթե վերագործարկեք, դուք այլևս չեք մտնի համակարգ: կտրում է թափոնների ուղիները, նույնիսկ եթե այն հայտնվում է «պլանշետ», այլևս հնարավոր չի լինի վերադարձնել տվյալները: Այնուհետև անհրաժեշտ է անհապաղ անջատել ինտերնետից, որպեսզի համակարգիչը չմիանա առցանց: Microsoft-ի պաշտոնական կարկատումն արդեն կա: թողարկված, այն ապահովում է 98 տոկոս անվտանգության երաշխիք: Ցավոք, դեռ ոչ 100 տոկոս: Վիրուսի որոշակի մոդիֆիկացիան (դրանց երեք կտորները) առայժմ շրջանցում է»,- խորհուրդ է տվել Լոբանովը: - Այնուամենայնիվ, եթե դուք վերաբեռնել եք և տեսել եք «ստուգման սկավառակի» գործընթացի սկիզբը, այս պահին անհրաժեշտ է անմիջապես անջատել համակարգիչը, և ֆայլերը կմնան չգաղտնագրված:

Բացի այդ, փորձագետը բացատրել է նաև, թե ինչու են ամենից հաճախ հարձակման ենթարկվում Microsoft-ի օգտատերերը, այլ ոչ թե MacOSX (Apple-ի օպերացիոն համակարգ - կայք) և Unix համակարգերը։

«Այստեղ ավելի ճիշտ է խոսել ոչ միայն MacOSX-ի, այլ նաև բոլոր unix համակարգերի մասին (սկզբունքը նույնն է): Վիրուսը ազդում է միայն համակարգիչների վրա՝ առանց շարժական սարքերի: Հարձակումն ազդում է Windows օպերացիոն համակարգի վրա և սպառնում է միայն այն օգտվողներին, ովքեր անջատել են համակարգի ավտոմատ թարմացման գործառույթը: Թարմացումները, որպես բացառություն, հասանելի են նույնիսկ Windows-ի հին տարբերակների սեփականատերերի համար, որոնք այլևս չեն թարմացվում՝ XP, Windows 8 և Windows Server 2003»,- ասաց փորձագետը:

«MacOSX-ը և Unix-ը համաշխարհային մասշտաբով չեն ենթարկվում նման վիրուսների, քանի որ շատ խոշոր կորպորացիաներ օգտվում են Microsoft-ի ենթակառուցվածքից: MacOSX-ը չի տուժում, քանի որ այն այնքան էլ տարածված չէ պետական ​​կառույցներում: Դրա տակ ավելի քիչ վիրուսներ կան, դրանք պատրաստելը ձեռնտու չէ: , քանի որ հարձակման հատվածն ավելի փոքր կլինի, քան Microsoft-ի հարձակման դեպքում»,- եզրափակեց փորձագետը։

«Հարձակման ենթարկված օգտատերերի թիվը հասել է երկու հազարի».

Կասպերսկու լաբորատորիայի մամուլի ծառայություն, որի փորձագետները շարունակում են հետաքննել վարակների վերջին ալիքը, ասել են, որ «այս փրկագին չի պատկանում արդեն հայտնի Petya փրկագինների ընտանիքին, թեև դրա հետ կիսում է կոդերի մի քանի տող»:

Լաբորատորիայում վստահ են, որ այս դեպքում խոսքը գնում է վնասակար ծրագրերի նոր ընտանիքի մասին՝ ֆունկցիոնալությամբ, որը զգալիորեն տարբերվում է Petya-ից։ Կասպերսկու լաբորատորիան նոր կոդավորիչ է անվանել ExPetr:

«Կասպերսկու լաբորատորիայի տվյալների համաձայն՝ հարձակման ենթարկված օգտատերերի թիվը հասել է երկու հազարի: Միջադեպերի մեծ մասը գրանցվել է Ռուսաստանում և Ուկրաինայում, վարակման դեպքեր գրանցվել են նաև Լեհաստանում, Իտալիայում, Մեծ Բրիտանիայում, Գերմանիայում, Ֆրանսիայում, ԱՄՆ-ում և մի շարք այլ երկրներ: Այս պահին մեր փորձագետներն առաջարկում են «Այս չարամիտ ծրագիրն օգտագործել է մի քանի հարձակման վեկտորներ: Պարզվել է, որ փոփոխված EternalBlue-ի և EternalRomance-ի շահագործումը օգտագործվել է կորպորատիվ ցանցերում տարածվելու համար», - հայտնել են մամուլի ծառայությունում:

Փորձագետները նաև ուսումնասիրում են գաղտնազերծող գործիք ստեղծելու հնարավորությունը, որով կարող են վերծանել տվյալները: Լաբորատորիան նաև առաջարկություններ է արել բոլոր կազմակերպություններին՝ ապագայում վիրուսային հարձակումից խուսափելու համար:

«Կազմակերպություններին խորհուրդ ենք տալիս թարմացնել իրենց Windows օպերացիոն համակարգը: Windows XP-ի և Windows 7-ի համար տեղադրել MS17-010 անվտանգության թարմացումը և ապահովել տվյալների կրկնօրինակման արդյունավետ համակարգ: Ժամանակին և անվտանգ տվյալների կրկնօրինակումը թույլ է տալիս վերականգնել բնօրինակ ֆայլերը, նույնիսկ եթե դրանք գաղտնագրված էին չարամիտ ծրագրերով»,- խորհուրդ են տվել «Կասպերսկի լաբորատորիայի» փորձագետները։

Լաբորատորիան նաև խորհուրդ է տալիս իր կորպորատիվ հաճախորդներին համոզվել, որ պաշտպանական բոլոր մեխանիզմներն ակտիվացված են, մասնավորապես, համոզվել, որ միացումը Kaspersky Security Network-ի ամպային ենթակառուցվածքին, որպես լրացուցիչ միջոց, խորհուրդ է տրվում օգտագործել Application Privilege Control բաղադրիչը: մերժել բոլոր հավելվածների խմբերի մուտքը (և, համապատասխանաբար, կատարումը) «perfc.dat» անունով ֆայլին և այլն:

«Եթե դուք չեք օգտագործում «Կասպերսկու լաբորատորիայի» արտադրանքը, խորհուրդ ենք տալիս անջատել perfc.dat կոչվող ֆայլի կատարումը, ինչպես նաև արգելափակել «PSExec» ծրագրի գործարկումը Sysinternals փաթեթից՝ օգտագործելով «AppLocker» գործառույթը, որը ՕՀ-ի մի մասն է (գործող): համակարգ - կայք) Windows», խորհուրդ է տրվում լաբորատորիայում:

2017 թվականի մայիսի 12-ին շատերը տվյալների կոդավորում են համակարգչային կոշտ սկավառակների վրա: Նա արգելափակում է սարքը և փրկագին պահանջում։
Վիրուսը ազդել է աշխարհի տասնյակ երկրների կազմակերպությունների և գերատեսչությունների վրա, այդ թվում՝ Ռուսաստանում, որտեղ հարձակման են ենթարկվել Առողջապահության նախարարությունը, Արտակարգ իրավիճակների նախարարությունը, Ներքին գործերի նախարարությունը, բջջային օպերատորների սերվերները և մի քանի խոշոր բանկերը։

Վիրուսի տարածումը կասեցվել է պատահաբար և ժամանակավորապես. եթե հաքերները փոխեն ընդամենը մի քանի տող կոդ, ապա չարամիտ ծրագիրը նորից կսկսի աշխատել։ Ծրագրի վնասը գնահատվում է մեկ միլիարդ դոլար։ Լեզվաբանական դատաբժշկական վերլուծությունից հետո փորձագետները պարզել են, որ WannaCry-ն ստեղծվել է Չինաստանից կամ Սինգապուրից եկած մարդկանց կողմից:

ՀԱՐԱԿԻՑ ՀՈԴՎԱԾՆԵՐ