Вымогателя-Petya ищут в России и на Украине и хотят записать в «Блокнот. Вирус Petya. Что это такое и как защититься? Новый вирус вымогатель petya
Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry . Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».
Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.
Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)
По статистике всех пострадавших, вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt. exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:
В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.
После открытия файла пользователь видит «синий экран смерти».
После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером
После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?
Представьте, что ваш жесткий диск - это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.
Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.
Кто создал вирус Петя?
При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.
Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)
Как удалить вирус Petya?
Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.
Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.
Дешифратор Petya.A
Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.
Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.
Единственный вариант, это если ранее у вас были теневые копии файлов.
Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.
Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)
Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.
Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.
Petya.A и Android, iOS, Mac, Linux
Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.
, 18 июля 2017Ответы на самые важные вопросы о вирусе-вымогателе Petna (NotPetya, ExPetr) - шифровальщике на основе Petya, заразившем множество компьютеров по всему миру.
В этом месяце мы стали свидетелями еще одной массированной атаки программы-вымогателя, которая произошла всего спустя несколько недель после . За несколько дней данная модификация шифровальщика получила множество различных названий, включая Рetya (так называется оригинальный вирус), NotPetya, EternalPetya, Nyetya и прочие. Изначально мы назвали его «вирусом семейства Petya», но для удобства будем называть просто Petna.
Вокруг Petna хватает неясностей и помимо названия. Это та же программа-вымогатель, что и Рetya, или другая версия? Следует ли рассматривать Petna в качестве шифровальщика, требующего выкуп или вируса, который просто уничтожает данные? Проясним некоторые аспекты прошедшей атаки.
Продолжается ли распространение Petna?
Пик активности несколько дней назад. Распространение вируса началось утром 27 июня. В тот же день его активность достигла наивысшего уровня, каждый час происходили тысячи попыток атак. После этого их интенсивность значительно снизилась в течение того же дня, а в дальнейшем наблюдалось лишь небольшое количество заражений.
Можно ли сравнить данную атаку с WannaCry?
Нет, если судить по охвату нашей пользовательской базы. Мы наблюдали около 20 000 попыток атак по всему миру, что несоизмеримо меньше, чем 1,5 миллионов предотвращенных нами атак WannaCry.
Какие страны пострадали больше всего?
Данные нашей телеметрии показывают, что основной удар вируса был нанесен по Украине, где было обнаружено более 90% попыток атак. Также пострадали Россия, США, Литва, Беларусь, Бельгия и Бразилия. В каждой из этих стран отмечено от нескольких десятков до нескольких сотен попыток заражения.
Какие операционные системы подверглись заражению?
Наибольшее количество атак было зафиксировано на устройства под управлением Windows 7 (78 %) и Windows XP (14 %). Количество атак на более современные системы оказалось значительно меньше.
Каким образом вирус Рetna проникал на ПК?
Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерским софтом M.E.Doc. Именно поэтому настолько серьезно пострадала Украина.
Горький парадокс: в целях безопасности пользователям всегда советуется обновлять программное обеспечение, однако в данном случае вирус начал масштабное распространение именно с обновлением ПО, выпущенного M.E.Doc.
Почему пострадали и компьютеры за пределами Украины?
Одна из причин состоит в том, что некоторые пострадавшие компании имеют украинские дочерние структуры. Как только вирус заражает компьютер, он распространяется внутри сети. Именно так ему удалось достичь компьютеров в других странах. Мы продолжаем исследовать другие возможные векторы заражения.
Что происходит после заражения?
После заражения устройства Реtnа пытается зашифровать файлы с определенными расширениями. Список целевых файлов не так велик по сравнению со списками оригинального вируса Petya и других программ-вымогателей, однако он включает расширения фотографий, документов, исходных кодов, баз данных, образов дисков и прочие. Кроме того, данное ПО не только шифрует файлы, но и как червь распространяется на другие устройства, подключенные к локальной сети.
Как , вирус применяет три различных способа распространения: с использованием эксплойтов EternalBlue (известного по WannaCry) или EternalRomance, через общие сетевые ресурсы Windows с использованием украденных у жертвы учетных данных (с помощью утилит типа Mimikatz, которые могут извлекать пароли), а также благонадежных инструментов вроде PsExec и WMIC.
После шифрования файлов и распространения по сети, вирус пытается нарушить загрузку Windows (изменяя основную загрузочную запись, MBR), а после принудительной перезагрузки зашифровывает главную файловую таблицу (MFT) системного диска. Это не позволяет компьютеру более загрузить Windows и делает использование компьютера невозможным.
Может ли Реtnа заразить мой компьютер со всеми установленными обновлениями безопасности?
Да, это возможно за счет горизонтального распространения вредоносной программы, описанного выше. Даже если конкретное устройство защищено и от EternalBlue и EternalRomance, оно все же может быть заражено третьим способом.
Это Реtуа, WannaCry 2.0 или что-то еще?
Вирус Реtnа определенно основан на исходном вымогателе Реtуа. Например, в части, отвечающей за шифрование главной файловой таблицы, он практически идентичен встречавшейся ранее угрозе . Однако он не полностью идентичен старым версиям вымогателя. Предполагается, что вирус изменила третья сторона, а не автор исходной версии, известный как Janus, который также высказался по этому поводу в Twitter , а позже опубликовал мастер-ключ дешифрования для всех прошлых версий программы.
Основное сходство между Pеtnа и WannaCry состоит в том, что для распространения они использовали эксплойт EternalBlue.
Правда ли, что вирус ничего не шифрует, а просто уничтожает данные на дисках?
Это не правда. Данное вредоносное ПО лишь зашифровывает файлы и главную файловую таблицу (MFT). Другой вопрос - можно ли расшифровать эти файлы.
Имеется ли бесплатное средство дешифровки?
К сожалению, нет. Вирус использует достаточно мощный алгоритм шифрования, который не удается преодолеть. Он шифрует не только файлы, но и главную файловую таблицу (MFT), что сильно усложняет процесс расшифровки.
Стоит ли платить выкуп?
Нет! Мы никогда не советуем платить выкуп, поскольку это лишь поддерживает преступников и стимулирует их к продолжению подобной деятельности. Более того, вполне вероятно, что вы не получите свои данные обратно, даже заплатив. В данном случае это очевиднее, чем когда-либо ранее. И вот почему.
Указанный в окне с требованием выкупа официальный адрес электронной почты [email protected], на который жертв просили отправлять выкуп, был закрыт поставщиком услуг электронной почты вскоре после вирусной атаки. Поэтому создатели шифровальщика не могут узнать, кто заплатил, а кто нет.
Дешифровка раздела MFT невозможна в принципе, поскольку ключ теряется после того, как вымогатель его зашифровывает. В предыдущих версиях вируса этот ключ хранился в идентификаторе жертвы, но в случае с последней модификацией - это просто случайная строка.
К тому же примененное к файлам шифрование весьма хаотично. Как
Защиту от нового вируса придумывают всем миром, хотя он лезет через те же «дыры», что и WannaCry
После распространения шифровальщика WannaCry , компьютеры по всему миру вновь подверглись кибератакам. От вируса Petya пострадали устройства в различных странах Европы и США. Однако большая частью ущерба пришлась на компьютеры в России и Украине, где пострадало порядка 80 компаний. Вирус-вымогатель требовал от владельцев пораженных ПК деньги или криптовалюту, однако киберспециалисты нашли способ не попасть на удочку мошенников. О том, кто такой Petya и как избежать встречи с ним - в материале «Реального времени».
Жертвы «Пети»: от «Роснефти» до Чернобыльской АЭС
Массовое распространение вируса Petya началось 27 июня. Первой пострадала Украина: атаке подверглись компьютеры крупных энергетических компаний - «Укрэнерго», ДТЭК и «Киевэнерго», сообщили местные СМИ. Сотрудник одной из компаний рассказал журналистам, что утром 27 июня его рабочий компьютер перезагрузился, после чего система якобы начала проверку жесткого диска. Далее он увидел, что аналогичное происходит на всех компьютерах в офисе. Он выключил компьютер, однако после включения на экране устройства появилась надпись с требованием выкупа. Вирусом оказались поражены и ПК некоторых украинских банков, казначейства Украины, Кабмина, компании «Укртелеком» и аэропорта «Борисполь».
Petya напал и на компьютерную систему мониторинга радиационного фона на Чернобыльской АЭС. При этом все системы станции работали нормально, а радиационный фон не превышает контрольный, передает «Медуза» . Вечером 27 июня на официальной странице МВД Украины в Facebook появилось обращение к жителям страны с рекомендацией выключить компьютеры, до тех пор, пока не будет разработан способ борьбы с вирусом.
В России атаке вируса-вымогателя Petya подверглись серверы «Роснефти». Пресс-секретарь «Роснефти» Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском компании к АФК «Система». В эфире Business FM он назвал рациональной попытку использовать вирус для уничтожения данных об управлении «Башнефтью». Зафиксированы единичные случаи заражения объектов информационной инфраструктуры банковской системы России. Банк «Хоум кредит» прекратил проведение операций из-за кибератак, также была нарушена работа сайта кредитной организации. Отделения работали только в консультационном режиме, при этом банкоматы работали в штатном режиме, сообщает «Интерфакс» .
28 июня СМИ также сообщили об атаке на компьютеры в Великобритании, Голландии Дании, Испании, Индии, Литве, Франции и США.
Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском к АФК «Система». Фото polit.ru
Защита от WannaCry бессильна против «Пети»
Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись - первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies .
После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.
Petya использует уязвимость Windows - эксплойт под кодовым названием EternalBlue. С помощью этой же уязвимости в компьютеры вторгался печально известный WannaCry. Благодаря эксплойту, Petya распространялся через Windows Management Instrumentation (инструмент для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows) и PsExec (позволяет выполнять процессы в удаленных системах), получая максимальные привилегии на уязвимой системе. Это и позволяло вирусу продолжать работу даже при установленных на компьютерах обновлениях против WannaCry.
Команда bootrec /fixMbr и запись в «Блокнот»
Известный французский хакер и разработчик программ Матье Суше в своем Twitter
По данным компании Positive Technologies, в России и на Украине от действий Petya пострадали свыше 80 организаций. По сравнению с WannaCry этот вирус признан более разрушительным, так как распространяется несколькими методами — с помощью Windows Management Instrumentation, PsExec и эксплойта EternalBlue. Кроме того, в шифровальщик внедрена бесплатная утилита Mimikatz.
«Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен», — заявили в Positive Technologies.
Как рассказал «Газете.Ru» руководитель отдела реагирования на угрозы информационной безопасности компании Эльмар Набигаев,
если говорить о причинах возникновения сегодняшней ситуации, то проблема снова в небрежном отношении к проблемам информационной безопасности.
Руководитель вирусной лаборатории Avast Якуб Кроустек в беседе с «Газетой.Ru» заявил, что нельзя доподлинно установить, кто именно стоит за данной кибератакой, но уже известно, что вирус Petya распространяется в даркнете по бизнес-модели RaaS (вредоносное ПО как услуга).
«Так, доля распространителей программы достигает 85% с выкупа, 15% достается авторам вируса-вымогателя», — рассказал Кроустек. Он отметил, что авторы Petya предоставляют всю инфраструктуру, C&C-серверы и системы денежных переводов, что помогает привлекать людей для распространения вируса, даже если у них нет опыта в программировании.
Кроме того, в компании Avast рассказали, какие именно операционные системы пострадали от вируса больше всего.
На первом месте оказалась Windows 7 — 78% от всех зараженных компьютеров. Далее следу.т Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).
«Лаборатория Касперского» посчитала, что хоть вирус и похож на семейство Petya, но все же принадлежит к другой категории, и дала ему другое название — ExPetr, то есть «бывший Петр».
Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов объяснил корреспонденту «Газеты.Ru», что кибератаки вирусами WannaCry и Petya привели к тому, «о чем давно предупреждал », то есть к глобальной уязвимости используемых повсеместно информационных систем.
«Лазейки, оставленные американскими корпорациями спецслужбам, стали доступны хакерам и быстро были скрещены с традиционным арсеналом киберпреступников — шифровальщиками, ботнет-клиентами и сетевыми червями», — рассказал Хомутов.
Таким образом, WannaCry практически ничему не научил мировое сообщество — компьютеры так и остались незащищенными, системы не были обновлены, а усилия по выпуску патчей даже для устаревших систем просто пропали даром.
Эксперты призывают не платить требуемый выкуп в биткоинах, так как почтовый адрес, который хакеры оставили для связи, был заблокирован местным провайдером. Таким образом, даже в случае «честных и благих намерений» киберпреступников пользователь не только потеряет деньги, но и не получит инструкции для разблокировки своих данных.
Больше всего Petya навредил Украине. Среди пострадавших оказались «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие.
Украинские власти тут же обвинили в кибератаке Россию.
«Война в киберпространстве, сеющая страх и ужас среди миллионов пользователей персональных компьютеров и наносящая прямой материальный ущерб из-за дестабилизации работы бизнеса и госорганов, — это часть общей стратегии гибридной войны российской империи против Украины», — заявил , депутат Рады от «Народного фронта».
Украина могла пострадать сильнее других из-за изначального распространения Petya через автоматическое обновление M.E.doc — программы для бухгалтерской отчетности. Именно так были заражены украинские ведомства, объекты инфраструктуры и коммерческие компании — все они пользуются этим сервисом.
В пресс-службе ESET Russia «Газете.Ru» пояснили, что для заражения вирусом Petya корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.
Однако M.E.doc выступила с официальным опровержением этой версии.
«Обсуждение источников возникновения и распространения кибератаки активно проводится пользователями в соцсетях, форумах и других информационных ресурсах, в формулировках которых одной из причин указывается установка обновлений программы M.E.Doc. Команда разработки M.E.Doc опровергает данную информацию и заявляет, что подобные выводы — однозначно ошибочные, ведь разработчик M.E.Doc, как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода», — говорится в
