Virusi Petya i Misha ugrožavaju podatke korisnika. Novi enkripcijski virus Petya nazvan je po predsjedniku Ukrajine - stručnjaku za kopije knjiga u sjeni

Autorsko pravo na ilustraciju GODIŠNJE Naslov slike Prema riječima stručnjaka, borba protiv novog ransomwarea teža je od WannaCryja

Dana 27. lipnja, ransomware je zaključao računala i šifrirao datoteke u desecima tvrtki diljem svijeta.

Izvještava se da su najviše stradale ukrajinske tvrtke - virus je zarazio računala velikih tvrtki, vladinih agencija i infrastrukturnih objekata.

Virus traži 300 dolara u Bitcoinima od žrtava za dekriptiranje datoteka.

Ruska služba BBC-ja odgovara na glavna pitanja o novoj prijetnji.

Tko je ozlijeđen?

Širenje virusa počelo je u Ukrajini. Pogođena je zračna luka Boryspil, neki regionalni odjeli Ukrenerga, lanci trgovina, banke, medijske i telekomunikacijske tvrtke. Padala su i računala u ukrajinskoj vladi.

Nakon toga, na red su došle kompanije u Rusiji: Rosneft, Bashneft, Mondelez International, Mars, Nivea i druge također su postale žrtve virusa.

Kako djeluje virus?

Stručnjaci još nisu postigli konsenzus o podrijetlu novog virusa. Group-IB i Positive Technologies vide ga kao varijantu virusa Petya iz 2016.

“Ovaj ransomware koristi i hakerske metode i uslužne programe, kao i standardne uslužne programe za administraciju sustava,” komentira Elmar Nabigaev, voditelj odjela za odgovor na prijetnje informacijskoj sigurnosti u Positive Technologies, “Sve to jamči veliku brzinu širenja unutar mreže i masovnost epidemije u cjelini (ako je zaraženo barem jedno osobno računalo) rezultat je potpuna neoperativnost računala i šifriranje podataka."

Rumunjska tvrtka Bitdefender vidi više zajedničkog s virusom GoldenEye, u kojem se Petya kombinira s drugim zlonamjernim softverom koji se zove Misha. Prednost potonjeg je što ne zahtijeva administratorska prava od buduće žrtve za šifriranje datoteka, već ih samostalno izdvaja.

Brian Cambell iz Fujitsua i brojni drugi stručnjaci vjeruju da novi virus koristi modificirani program EternalBlue ukraden od američke Agencije za nacionalnu sigurnost.

Nakon objave ovog programa od strane hakera The Shadow Brokers u travnju 2017., ransomware virus WannaCry stvoren na njegovoj osnovi proširio se po cijelom svijetu.

Koristeći ranjivosti sustava Windows, ovaj program omogućuje širenje virusa na računala u cijeloj korporativnoj mreži. Originalna Petya poslana je e-poštom pod krinkom životopisa i mogla je zaraziti samo računalo na kojem je životopis otvoren.

Kaspersky Lab rekao je Interfaxu da ransomware virus ne pripada ranije poznatim obiteljima zlonamjernog softvera.

“Softverski proizvodi Kaspersky Laba detektiraju ovaj malware kao UDS:DangeroundObject.Multi.Generic,” istaknuo je Vyacheslav Zakorzhevsky, voditelj antivirusnog istraživačkog odjela u Kaspersky Labu.

Općenito, ako novi virus nazovete ruskim imenom, morate imati na umu da po izgledu više nalikuje Frankensteinovom čudovištu, budući da je sastavljen od nekoliko zlonamjernih programa. Pouzdano se zna da je virus rođen 18. lipnja 2017. godine.

Cooler od WannaCry?

WannaCryju je trebalo samo nekoliko dana u svibnju 2017. da postane najveći kibernetički napad te vrste u povijesti. Hoće li novi ransomware virus nadmašiti svog nedavnog prethodnika?

U manje od jednog dana napadači su od svojih žrtava primili 2,1 bitcoina - oko 5 tisuća dolara. WannaCry je prikupio 7 bitcoina u istom razdoblju.

U isto vrijeme, prema Elmaru Nabigaevu iz Positive Technologies, teže se boriti protiv novog ransomwarea.

"Osim iskorištavanja [ranjivosti Windowsa], ova se prijetnja također širi preko računa operativnog sustava ukradenih korištenjem posebnih alata za hakiranje", primijetio je stručnjak.

Kako se boriti protiv virusa?

Kao preventivnu mjeru, stručnjaci savjetuju pravovremeno instaliranje ažuriranja za operativne sustave i provjeru datoteka primljenih e-poštom.

Naprednim administratorima savjetuje se da privremeno onemoguće mrežni prijenosni protokol Server Message Block (SMB).

Ako su vaša računala zaražena, ni pod kojim uvjetima ne plaćajte napadačima. Ne postoji jamstvo da će nakon što prime uplatu dešifrirati datoteke radije nego zahtijevati više.

Ostaje samo čekati program za dešifriranje: u slučaju WannaCry-a, Adrienu Guinieru, stručnjaku iz francuske tvrtke Quarkslab, trebalo je tjedan dana da ga izradi.

Prvi ransomware protiv AIDS-a (PC Cyborg) napisao je biolog Joseph Popp 1989. godine. Sakrila je imenike i šifrirane datoteke, zahtijevajući plaćanje 189 dolara za" Obnova licence" na račun u Panami. Popp je svoju zamisao distribuirao putem disketa redovnom poštom, što je ukupno iznosilo oko 20 tisućayachpošiljke. Popp je priveden dok je pokušavao unovčiti ček, ali je izbjegao suđenje - 1991. godine proglašen je neuračunljivim.

Početkom svibnja oko 230.000 računala u više od 150 zemalja bilo je zaraženo ransomware virusom. Prije nego što su žrtve imale vremena otkloniti posljedice ovog napada, uslijedio je novi, nazvan Petya. Od toga su stradale najveće ukrajinske i ruske tvrtke, kao i državne institucije.

Kibernetička policija Ukrajine utvrdila je da je virusni napad započeo preko mehanizma za ažuriranje računovodstvenog softvera M.E.Doc, koji se koristi za pripremu i slanje poreznih izvješća. Tako je postalo poznato da mreže Bashnefta, Rosnefta, Zaporozhyeoblenerga, Dneproenerga i Dnjeparskog elektroenergetskog sustava nisu izbjegle zarazu. U Ukrajini je virus prodro u vladina računala, računala kijevskog metroa, telekom operatere, pa čak i u nuklearnu elektranu Černobil. U Rusiji su pogođeni Mondelez International, Mars i Nivea.

Virus Petya iskorištava ranjivost EternalBlue u operativnom sustavu Windows. Stručnjaci Symanteca i F-Securea kažu da, iako Petya šifrira podatke poput WannaCryja, ipak se donekle razlikuje od drugih vrsta ransomware virusa. “Virus Petya nova je vrsta iznude sa zlonamjernim namjerama: on ne samo da šifrira datoteke na disku, već zaključava cijeli disk, čineći ga praktički neupotrebljivim”, objašnjavaju iz F-Securea. "Konkretno, šifrira MFT glavnu tablicu datoteka."

Kako se to događa i može li se taj proces spriječiti?

Virus "Petya" - kako radi?

Virus Petya poznat je i pod drugim imenima: Petya.A, PetrWrap, NotPetya, ExPetr. Nakon što uđe u računalo, preuzima ransomware s interneta i pokušava napasti dio tvrdog diska s podacima potrebnim za pokretanje računala. Ako uspije, sustav izdaje Blue Screen of Death ("plavi ekran smrti"). Nakon ponovnog pokretanja, pojavljuje se poruka o provjeri tvrdog diska s molbom da ne isključite napajanje. Stoga se virus za šifriranje pretvara da je program za skeniranje diska sustava, istovremeno šifrirajući datoteke s određenim ekstenzijama. Na kraju procesa pojavljuje se poruka da je računalo blokirano i informacije o tome kako dobiti digitalni ključ za dekriptiranje podataka. Virus Petya zahtijeva otkupninu, obično u bitcoinima. Ako žrtva nema sigurnosnu kopiju svojih datoteka, suočena je s izborom da plati 300 dolara ili da izgubi sve podatke. Prema nekim analitičarima, virus se samo maskira kao ransomware, dok mu je pravi cilj izazvati golemu štetu.

Kako se riješiti Petye?

Stručnjaci su otkrili da virus Petya traži lokalnu datoteku i, ako ta datoteka već postoji na disku, izlazi iz procesa enkripcije. To znači da korisnici mogu zaštititi svoje računalo od ransomwarea stvaranjem ove datoteke i postavljanjem samo za čitanje.

Iako ova lukava shema sprječava pokretanje procesa iznuđivanja, ova se metoda više može smatrati "cijepljenjem računalom". Stoga će korisnik sam morati izraditi datoteku. To možete učiniti na sljedeći način:

• Prvo morate razumjeti ekstenziju datoteke. U prozoru Mogućnosti mape provjerite je li potvrdni okvir Sakrij proširenja za poznate vrste datoteka poništen.
• Otvorite mapu C:\Windows, pomaknite se prema dolje dok ne vidite program notepad.exe.
• Kliknite lijevom tipkom miša na notepad.exe, zatim pritisnite Ctrl + C za kopiranje i zatim Ctrl + V za lijepljenje datoteke. Primit ćete zahtjev za dopuštenje za kopiranje datoteke.
• Pritisnite gumb Nastavi i datoteka će biti kreirana kao notepad - Copy.exe. Kliknite lijevom tipkom miša na ovu datoteku i pritisnite F2, zatim obrišite naziv datoteke Copy.exe i unesite perfc.
• Nakon što promijenite naziv datoteke u perfc, pritisnite Enter. Potvrdite preimenovanje.
• Sada kada je perfc datoteka stvorena, moramo je postaviti samo za čitanje. Da biste to učinili, desnom tipkom miša kliknite datoteku i odaberite "Svojstva".
• Otvorit će se izbornik svojstava za ovu datoteku. Na dnu ćete vidjeti "Samo za čitanje". Označite kućicu.
• Sada kliknite gumb Primijeni, a zatim gumb U redu.

Neki sigurnosni stručnjaci predlažu stvaranje datoteka C:\Windows\perfc.dat i C:\Windows\perfc.dll uz datoteku C:\windows\perfc kako bi se temeljitije zaštitili od virusa Petya. Možete ponoviti gornje korake za ove datoteke.

Čestitamo, vaše je računalo zaštićeno od NotPetya/Petya!

Symantecovi stručnjaci nude nekoliko savjeta korisnicima osobnih računala kako bi ih spriječili da rade stvari koje bi mogle dovesti do zaključanih datoteka ili gubitka novca.

1. Ne plaćajte novac kriminalcima.Čak i ako prebacite novac na ransomware, nema jamstva da ćete moći ponovno dobiti pristup svojim datotekama. A u slučaju NotPetya / Petya, to je u biti besmisleno, jer je cilj ransomwarea uništiti podatke, a ne dobiti novac.
2. Redovito sigurnosno kopirajte svoje podatke. U tom slučaju, čak i ako vaše računalo postane meta napada ransomware virusa, moći ćete vratiti sve izbrisane datoteke.
3. Ne otvarajte e-poštu sa upitnih adresa. Napadači će vas pokušati na prijevaru navesti da instalirate zlonamjerni softver ili pokušati doći do važnih podataka za napade. Obavezno obavijestite IT stručnjake ako vi ili vaši zaposlenici primite sumnjivu e-poštu ili poveznice.
4. Koristite pouzdan softver. Pravovremeno ažuriranje antivirusnih programa igra važnu ulogu u zaštiti računala od infekcija. I, naravno, trebate koristiti proizvode renomiranih tvrtki u ovom području.
5. Koristite mehanizme za skeniranje i blokiranje spam poruka. Dolazne e-poruke treba skenirati u potrazi za prijetnjama. Važno je blokirati sve vrste poruka koje sadrže poveznice ili tipične ključne riječi za krađu identiteta u svom tekstu.
6. Provjerite jesu li svi programi ažurni. Redovito uklanjanje ranjivosti softvera potrebno je za sprječavanje infekcija.

Treba li očekivati ​​nove napade?

Virus Petya prvi put se pojavio u ožujku 2016., a stručnjaci za sigurnost odmah su primijetili njegovo ponašanje. Novi virus Petya zarazio je računala u Ukrajini i Rusiji krajem lipnja 2017. godine. Ali malo je vjerojatno da će ovo biti kraj. Hakerski napadi korištenjem ransomware virusa sličnih Petyi i WannaCryju bit će ponovljeni, rekao je Stanislav Kuznetsov, zamjenik predsjednika uprave Sberbanka. U intervjuu za TASS upozorio je da će se takvi napadi sigurno dogoditi, ali je teško unaprijed predvidjeti u kakvom će se obliku i formatu pojaviti.

Ako nakon svih kibernetičkih napada koji su prošli još niste poduzeli barem minimalne korake da zaštitite svoje računalo od ransomware virusa, onda je vrijeme da se ozbiljno pozabavite time.

Virusi su sastavni dio ekosustava operativnog sustava. U većini slučajeva govorimo o Windowsima i Androidu, a ako baš nemate sreće, o OS X-u i Linuxu. Štoviše, ako su ranije masovni virusi bili usmjereni samo na krađu osobnih podataka, au većini slučajeva jednostavno na oštećivanje datoteka, sada enkriptori "vladaju".

I to ne čudi - računalna snaga i računala i pametnih telefona rasla je poput lavine, što znači da hardver za takve "podvale" postaje sve moćniji.

Prije nekog vremena stručnjaci su otkrili virus Petya. G DATA SecurityLabs otkrio je da virus zahtijeva administrativni pristup sustavu, a ne šifrira datoteke, već samo blokira pristup njima. Danas već postoje lijekovi iz Petye (Win32.Trojan-Ransom.Petya.A‘). Sam virus mijenja zapis pokretanja na pogonu sustava i uzrokuje pad računala, prikazujući poruku o oštećenju podataka na disku. Zapravo, ovo je samo enkripcija.

Programeri zlonamjernog softvera zahtijevali su plaćanje kako bi vratili pristup.

No, danas se osim virusa Petya pojavio i jedan još sofisticiraniji - Misha. Ne zahtijeva administratorska prava i kriptira podatke poput klasičnog Ransomwarea, stvarajući YOUR_FILES_ARE_ENCRYPTED.HTML i YOUR_FILES_ARE_ENCRYPTED.TXT datoteke na disku ili mapi s kriptiranim podacima. Sadrže upute o tome kako nabaviti ključ, koji košta otprilike 875 dolara.

Važno je napomenuti da se infekcija događa putem e-pošte, koja prima exe datoteku s virusima, maskiranu kao pdf dokument. I ovdje ostaje da se ponovno podsjetimo - pažljivo provjerite pisma s priloženim datotekama, a također pokušajte ne preuzimati dokumente s Interneta, jer sada virus ili zlonamjerni makro mogu biti ugrađeni u datoteku dokumenta ili web stranicu.

Također napominjemo da do sada nema pomoćnih programa za dešifriranje "rada" virusa Misha.

U utorak, 27. lipnja, ukrajinske i ruske tvrtke prijavile su masivni virusni napad: računala u poduzećima prikazala su poruku o otkupnini. Shvatio sam tko je još jednom stradao zbog hakera i kako se zaštititi od krađe važnih podataka.

Petja, dosta je

Energetski sektor bio je prvi na udaru: ukrajinske tvrtke Ukrenergo i Kyivenergo požalile su se na virus. Napadači su im paralizirali računalne sustave, ali to nije utjecalo na stabilnost elektrana.

Ukrajinci su počeli objavljivati ​​posljedice zaraze na internetu: sudeći prema brojnim slikama, računala je napao ransomware virus. Na zaslonu pogođenih uređaja pojavila se poruka da su svi podaci šifrirani i da vlasnici uređaja moraju platiti otkupninu od 300 dolara u Bitcoinima. No, hakeri nisu rekli što će se dogoditi s informacijama u slučaju neaktivnosti, a nisu ni postavili odbrojavanje dok se podaci ne unište, kao što je to bio slučaj s napadom virusa WannaCry.

Nacionalna banka Ukrajine (NBU) izvijestila je da je rad nekoliko banaka djelomično paraliziran zbog virusa. Prema ukrajinskim medijima, napad je pogodio urede Oschadbank, Ukrsotsbank, Ukrgasbank i PrivatBank.

Zaražene su računalne mreže Ukrtelecoma, zračne luke Boryspil, Ukrposhte, Nove pošte, Kievvodokanala i kijevskog metroa. Osim toga, virus je pogodio ukrajinske mobilne operatere - Kyivstar, Vodafone i Lifecell.

Kasnije su ukrajinski mediji pojasnili da je riječ o zlonamjernom softveru Petya.A. Distribuira se prema uobičajenoj shemi za hakere: žrtvama se šalju lažne e-poruke za krađu identiteta tražeći od njih da otvore priloženu poveznicu. Nakon toga virus prodire u računalo, šifrira datoteke i traži otkupninu za njihovo dešifriranje.

Hakeri su naznačili broj svog Bitcoin novčanika na koji je novac trebao biti prebačen. Sudeći prema informacijama o transakciji, žrtve su već prebacile 1,2 bitcoina (više od 168 tisuća rubalja).

Prema stručnjacima za informacijsku sigurnost iz Group-IB-a, napadom je pogođeno više od 80 tvrtki. Voditelj njihovog kriminalističkog laboratorija primijetio je da virus nije povezan s WannaCryjem. Kako bi riješio problem, savjetovao je zatvaranje TCP portova 1024–1035, 135 i 445.

Tko je kriv

Požurila je pretpostaviti da je napad organiziran s teritorija Rusije ili Donbasa, ali nije pružila nikakve dokaze. Ministar infrastrukture Ukrajine pila trag u riječi "virus" i napisao na svom Facebooku da "nije slučajnost što završava na RUS", dodajući emotikon koji namiguje svojoj pretpostavci.

U međuvremenu, on tvrdi da napad nije ni na koji način povezan s postojećim "malwareom" poznatim kao Petya i Mischa. Sigurnosni stručnjaci tvrde da je novi val zahvatio ne samo ukrajinske i ruske tvrtke, već i poduzeća u drugim zemljama.

Međutim, sučelje sadašnjeg "zlonamjernog softvera" nalikuje dobro poznatom virusu Petya koji se prije nekoliko godina distribuirao putem phishing veza. Krajem prosinca nepoznati haker odgovoran za stvaranje ransomwarea Petya i Mischa počeo je slati zaražene e-poruke s priloženim virusom pod nazivom GoldenEye, koji je bio identičan prethodnim verzijama ransomwarea.

U prilogu redovnog dopisa, koji su zaposlenici kadrovske službe često dobivali, nalazile su se informacije o lažnom kandidatu. U jednoj od datoteka zapravo se mogao naći životopis, au sljedećoj - program za instaliranje virusa. Tada su glavne mete napadača bile tvrtke u Njemačkoj. Tijekom 24 sata više od 160 zaposlenika njemačke tvrtke upalo je u zamku.

Hakera nije bilo moguće identificirati, no očito je da se radi o obožavatelju Bonda. Programi Petya i Mischa imena su ruskih satelita "Petya" i "Misha" iz filma "Golden Eye", koji su u radnji bili elektromagnetsko oružje.

Izvorna verzija Petya počela se aktivno distribuirati u travnju 2016. Vješto se kamuflirao na računala i predstavljao kao legitimne programe, tražeći proširena administratorska prava. Nakon aktivacije program se ponašao izrazito agresivno: postavio je striktan rok za plaćanje otkupnine, tražeći 1,3 bitcoina, a nakon isteka roka udvostručio je novčanu naknadu.

No, tada je jedan od korisnika Twittera brzo pronašao slabosti ransomwarea i napravio jednostavan program koji je u sedam sekundi generirao ključ koji vam je omogućio otključavanje računala i dekriptiranje svih podataka bez ikakvih posljedica.

Ne prvi put

Sredinom svibnja računala diljem svijeta napala je sličan ransomware virus, WannaCrypt0r 2.0, poznat i kao WannaCry. U samo nekoliko sati paralizirao je stotine tisuća Windows uređaja u više od 70 zemalja. Među žrtvama su bile ruske snage sigurnosti, banke i mobilni operateri. Jednom kada je došao na žrtvino računalo, virus je šifrirao tvrdi disk i zahtijevao od napadača da pošalju 300 dolara u bitcoinima. Za razmišljanje su dodijeljena tri dana, nakon čega je iznos udvostručen, a nakon tjedan dana datoteke su zauvijek šifrirane.

Međutim, žrtve nisu žurile platiti otkupninu, a kreatori malwarea