Компьютер. Радиоэлектроника. Блоки питания. Справочники. Источники питания. Радиосвязь

Главная Советы
Советы

Вирус петя какие файлы шифрует. Все, что нужно знать о Petna — вирусе-вымогателе семейства Petya. Продолжается ли распространение Petna

По данным компании Positive Technologies, в России и на Украине от действий Petya пострадали свыше 80 организаций. По сравнению с WannaCry этот вирус признан более разрушительным, так как распространяется несколькими методами — с помощью Windows Management Instrumentation, PsExec и эксплойта EternalBlue. Кроме того, в шифровальщик внедрена бесплатная утилита Mimikatz.

«Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен», — заявили в Positive Technologies.

Как рассказал «Газете.Ru» руководитель отдела реагирования на угрозы информационной безопасности компании Эльмар Набигаев,

если говорить о причинах возникновения сегодняшней ситуации, то проблема снова в небрежном отношении к проблемам информационной безопасности.

Руководитель вирусной лаборатории Avast Якуб Кроустек в беседе с «Газетой.Ru» заявил, что нельзя доподлинно установить, кто именно стоит за данной кибератакой, но уже известно, что вирус Petya распространяется в даркнете по бизнес-модели RaaS (вредоносное ПО как услуга).

«Так, доля распространителей программы достигает 85% с выкупа, 15% достается авторам вируса-вымогателя», — рассказал Кроустек. Он отметил, что авторы Petya предоставляют всю инфраструктуру, C&C-серверы и системы денежных переводов, что помогает привлекать людей для распространения вируса, даже если у них нет опыта в программировании.

Кроме того, в компании Avast рассказали, какие именно операционные системы пострадали от вируса больше всего.

На первом месте оказалась Windows 7 — 78% от всех зараженных компьютеров. Далее следу.т Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).

«Лаборатория Касперского» посчитала, что хоть вирус и похож на семейство Petya, но все же принадлежит к другой категории, и дала ему другое название — ExPetr, то есть «бывший Петр».

Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов объяснил корреспонденту «Газеты.Ru», что кибератаки вирусами WannaCry и Petya привели к тому, «о чем давно предупреждал », то есть к глобальной уязвимости используемых повсеместно информационных систем.

«Лазейки, оставленные американскими корпорациями спецслужбам, стали доступны хакерам и быстро были скрещены с традиционным арсеналом киберпреступников — шифровальщиками, ботнет-клиентами и сетевыми червями», — рассказал Хомутов.

Таким образом, WannaCry практически ничему не научил мировое сообщество — компьютеры так и остались незащищенными, системы не были обновлены, а усилия по выпуску патчей даже для устаревших систем просто пропали даром.

Эксперты призывают не платить требуемый выкуп в биткоинах, так как почтовый адрес, который хакеры оставили для связи, был заблокирован местным провайдером. Таким образом, даже в случае «честных и благих намерений» киберпреступников пользователь не только потеряет деньги, но и не получит инструкции для разблокировки своих данных.

Больше всего Petya навредил Украине. Среди пострадавших оказались «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие.

Украинские власти тут же обвинили в кибератаке Россию.

«Война в киберпространстве, сеющая страх и ужас среди миллионов пользователей персональных компьютеров и наносящая прямой материальный ущерб из-за дестабилизации работы бизнеса и госорганов, — это часть общей стратегии гибридной войны российской империи против Украины», — заявил , депутат Рады от «Народного фронта».

Украина могла пострадать сильнее других из-за изначального распространения Petya через автоматическое обновление M.E.doc — программы для бухгалтерской отчетности. Именно так были заражены украинские ведомства, объекты инфраструктуры и коммерческие компании — все они пользуются этим сервисом.

В пресс-службе ESET Russia «Газете.Ru» пояснили, что для заражения вирусом Petya корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Однако M.E.doc выступила с официальным опровержением этой версии.

«Обсуждение источников возникновения и распространения кибератаки активно проводится пользователями в соцсетях, форумах и других информационных ресурсах, в формулировках которых одной из причин указывается установка обновлений программы M.E.Doc. Команда разработки M.E.Doc опровергает данную информацию и заявляет, что подобные выводы — однозначно ошибочные, ведь разработчик M.E.Doc, как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода», — говорится в

Добрый день, друзья. Совсем недавно мы с вами разбирали вирус шифровальщик WannaCry , который в считанные часы распространился по многим странам мира и заразил много компьютеров. И вот в конце июня появился новый похожий вирус «Петя». Или, как его чаще всего называют «Petya».

Данные вирусы относятся к троянам вымогателям и довольно похожи, хотя имеют и свои отличия, притом существенные. По официальным данным «Петя» вначале заразил приличное число компьютеров в Украине, а затем начал своё путешествие по всему миру.

Пострадали компьютеры Израиля, Сербии, Румынии, Италии, Венгрии, Польши и др. Россия в этом списке на 14 – м месте. Затем, вирус перекинулся на другие континенты.

В основном, жертвами вируса стали крупные компании (довольно часто нефтяные), аэропорты, компании сотовой связи и т.д., например, пострадала компания «Башнефть», «Роснефть», «Марс», «Нестле» и прочие. Другими словами, целью злоумышленников являются крупные компании, с которых можно взять деньги.

Что представляет из себя «Петя»?

Petya – это вредоносное ПО, являющееся трояном вымогателем. Подобные вредители созданы с целью шантажа владельцев заражённых компьютеров посредством шифрования информации, расположенной на ПК. Вирус Петя, в отличие от WannaCry, не шифрует отдельные файлы. Данный троян шифрует весь диск полностью. В этом его большая опасность, чем у вируса WannaCry.

Когда Petya попадает на компьютер, он очень быстро зашифровывает таблицу MFT. Чтобы было понятнее, приведём аналогию. Если сравнить файлы с большой городской библиотекой, он убирает её каталог, и найти в таком случае нужную книгу очень трудно.

Даже, не просто каталог, а как бы перемешивает страницы (файлы) с разных книг. Разумеется, система в этом случае даёт сбой. Системе в таком хламе разобраться очень сложно. Как только вредитель попадает на компьютер, он перезагружает ПК и после загрузки появляется красный череп. Затем, при нажатии на любую кнопку появляется баннер с предложением заплатить 300$ на счет биткойн.

Вирус Петя как не Поймать

Кто мог создать Petya? На этот вопрос пока нет ответа. И вообще, не понятно, установят ли автора (скорее всего нет)? Но известно, что утечка произошла из США. Вирус, также, как и WannaCry, ищет дыру в операционной системе. Чтобы залатать эту дыру, достаточно установить обновление MS17-010 (вышло ещё несколько месяцев назад при атаке WannaCry). Скачать его можно по ссылке . Или, с официального сайта Microsoft.

На данный момент, данное обновление является самым оптимальным способом защиты компьютера. Также, не забывайте про хороший антивирус. Тем более, Лаборатория Касперского заявила, что у них есть обновление баз, блокирующее данный вирус.

Но, это не означает, что нужно устанавливать именно Касперский. Пользуйтесь своим антивирусом, только не забывайте обновлять его базы. Также, не забывайте про хороший файрволл.

Как распространяется вирус Петя


Чаще всего Petya попадает на компьютер через электронную почту. Поэтому, не стоит на время инкубации вируса Петя открывать различные ссылки в письмах, особенно, в незнакомых. Вообще, возьмите себе за правило, не открывать ссылки от незнакомых людей. Так вы обезопасите себя не только от этого вируса, но и от многих других.

Затем, попав на компьютер, троян проводит перезагрузку и имитирует проверку на . Далее, как я уже упоминал, на экране появляется красный череп, затем баннер, с предложением оплатить расшифровку файлов, переведя триста долларов на Биткоин кошелёк.

Скажу сразу, оплачивать ни в коем случае ни нужно! Вам всё равно его не расшифруют, только потратите деньги и сделаете взнос создателям трояна. Данный вирус не предназначен к дешифрованию.

Вирус Петя как защититься

Давайте подробнее рассмотрим защиту от вируса Petya:

  1. Я уже упоминал про обновления системы. Это самый важный момент. Даже если у вас система пиратская, необходимо обновление MS17-010 скачать и установить.
  2. В настройках Windows включите «Показывать расширения файлов». Благодаря чему, вы сможете видеть расширение файлов и удалять подозрительные. Файл вируса имеет расширение — exe.
  3. Вернёмся к письмам. Не проходите по ссылкам или вложениям от незнакомых людей. И вообще, на время карантина не проходите по ссылкам в почте (даже от знакомых людей).
  4. Желательно включить контроль учетных записей.
  5. Важные файлы скопируйте на сменные носители. Можно скопировать в «Облако». Этим вы уйдёте от многих проблем. Если Petya появится на вашем ПК, достаточно будет установить новую операционную систему, предварительно отформатировав винчестер.
  6. Установите хороший антивирус. Желательно, чтобы он был ещё и файрволлом. Обычно у подобных антивирусов на конце стоит надпись Security. Если у вас на компьютере есть важные данные, на антивирусе экономить не стоит.
  7. Установив приличные антивирус, не забывайте обновлять его базы данных.

Вирус Петя как удалить

Это сложный вопрос. Если Petya провёл работу на вашем компьютере, удалять по сути будет нечего. В системе все файлы будут разбросаны. Скорее всего, упорядочить их вы уже не сможете. Платить злоумышленникам не стоит. Остаётся отформатировать диск и переустановить систему. После форматирования и переустановки системы вирус исчезнет.

Также, хочу добавить – данный вредитель представляет угрозу именно системе Windows. Если у вас любая другая система, например, Российская система Роса, бояться данного вируса вымогателя вам не стоит. Это же относится и к владельцам телефонов. На большинстве из них установлена система Android, IOS и т.д. Поэтому, владельцам сотовых беспокоиться особо нечего.

Также, если вы простой человек, а не владелец крупной компании, скорее всего злоумышленникам вы не интересны. Им нужны именно крупные компании, для которых 300$ ничего не значат и которые им реально могут заплатить данные деньги. Но, это не значит, что вирус не может попасть и на ваш компьютер. Лучше подстраховаться!

Всё же, будем надеяться, что вирус Petya вас минует! Берегите вашу информацию на компьютере. Успехов!

Защиту от нового вируса придумывают всем миром, хотя он лезет через те же «дыры», что и WannaCry

После распространения шифровальщика WannaCry , компьютеры по всему миру вновь подверглись кибератакам. От вируса Petya пострадали устройства в различных странах Европы и США. Однако большая частью ущерба пришлась на компьютеры в России и Украине, где пострадало порядка 80 компаний. Вирус-вымогатель требовал от владельцев пораженных ПК деньги или криптовалюту, однако киберспециалисты нашли способ не попасть на удочку мошенников. О том, кто такой Petya и как избежать встречи с ним - в материале «Реального времени».

Жертвы «Пети»: от «Роснефти» до Чернобыльской АЭС

Массовое распространение вируса Petya началось 27 июня. Первой пострадала Украина: атаке подверглись компьютеры крупных энергетических компаний - «Укрэнерго», ДТЭК и «Киевэнерго», сообщили местные СМИ. Сотрудник одной из компаний рассказал журналистам, что утром 27 июня его рабочий компьютер перезагрузился, после чего система якобы начала проверку жесткого диска. Далее он увидел, что аналогичное происходит на всех компьютерах в офисе. Он выключил компьютер, однако после включения на экране устройства появилась надпись с требованием выкупа. Вирусом оказались поражены и ПК некоторых украинских банков, казначейства Украины, Кабмина, компании «Укртелеком» и аэропорта «Борисполь».

Petya напал и на компьютерную систему мониторинга радиационного фона на Чернобыльской АЭС. При этом все системы станции работали нормально, а радиационный фон не превышает контрольный, передает «Медуза» . Вечером 27 июня на официальной странице МВД Украины в Facebook появилось обращение к жителям страны с рекомендацией выключить компьютеры, до тех пор, пока не будет разработан способ борьбы с вирусом.

В России атаке вируса-вымогателя Petya подверглись серверы «Роснефти». Пресс-секретарь «Роснефти» Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском компании к АФК «Система». В эфире Business FM он назвал рациональной попытку использовать вирус для уничтожения данных об управлении «Башнефтью». Зафиксированы единичные случаи заражения объектов информационной инфраструктуры банковской системы России. Банк «Хоум кредит» прекратил проведение операций из-за кибератак, также была нарушена работа сайта кредитной организации. Отделения работали только в консультационном режиме, при этом банкоматы работали в штатном режиме, сообщает «Интерфакс» .

28 июня СМИ также сообщили об атаке на компьютеры в Великобритании, Голландии Дании, Испании, Индии, Литве, Франции и США.

Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском к АФК «Система». Фото polit.ru

Защита от WannaCry бессильна против «Пети»

Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись - первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies .

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.

Petya использует уязвимость Windows - эксплойт под кодовым названием EternalBlue. С помощью этой же уязвимости в компьютеры вторгался печально известный WannaCry. Благодаря эксплойту, Petya распространялся через Windows Management Instrumentation (инструмент для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows) и PsExec (позволяет выполнять процессы в удаленных системах), получая максимальные привилегии на уязвимой системе. Это и позволяло вирусу продолжать работу даже при установленных на компьютерах обновлениях против WannaCry.

Команда bootrec /fixMbr и запись в «Блокнот»

Известный французский хакер и разработчик программ Матье Суше в своем Twitter

Данное заключение стало результатом исследования сразу двух компаний - Comae Technologies и “Лаборатории Касперского”.

Оригинальный зловред Petya, обнаруженный в 2016 году, был машиной для зарабатывания денег. Данный образец определенно не предназначен для заработка. Угроза создана для быстрого распространения и нанесения ущерба и маскируется под шифровальщик.

NotPetya не является средством очистки диска. Угроза не удаляет данные, а просто делает их непригодными для использования, блокируя файлы и “выкидывая” ключи для расшифровки.

Старший исследователь из “Лаборатории Касперского” Хуан Андре Герреро-Сааде прокомментировал ситуацию:

В моей книге заражение программой-вымогателем без возможного механизма дешифрования эквивалентно очистке диска. Не обращая внимания на жизнеспособный механизм расшифровки, злоумышленники проявили полное пренебрежение к долгосрочной денежной выгоде.

Автор оригинального шифровальщика Petya написал в твиттере, что он никак не связан с разработкой NotPetya. Он стал уже вторым киберпреступником, который отрицает причастность к созданию новой схожей угрозы. Ранее автор шифровальщика AES-NI заявил, что не имеет никакого отношения к XData, который также использовался в таргетированных атаках на Украину. Кроме того, XData, также, как и NotPetya, использовал идентичный вектор распространения - серверы обновлений украинского производителя программного обеспечения для бухгалтерского учета.

Многие косвенные признаки подтверждают теорию о том, что кто-то взламывает известные шифровальщики и использует модифицированные версии для атаки на украинских пользователей.

Деструктивные модули под видом шифровальщика - уже обычная практика?

Подобные случаи уже встречались раньше. Применение вредоносных модулей для необратимого повреждения файлов под видом обычных шифровальщиков является далеко не новой тактикой. В современном мире это уже становится тенденцией.

В прошлом году семейства вредоносных программ Shamoon и KillDisk включали “компоненты шифровальщиков” и использовали похожие техники для уничтожения данных. Сейчас даже промышленные вредоносные программы получают функции очистки диска.

Классификация NotPetya в качестве средства уничтожения данных может легко перевести вредоносную программу в категорию кибероружия. В этом случае анализ последствий угрозы следует рассматривать с другой перспективы.

Учитывая, исходную точку заражения и количество жертв, становится очевидно, что целью хакерской атаки была Украина. На данный момент нет никаких очевидных доказательств, указывающих пальцем на атакующего, но украинские официальные лица уже обвинили Россию, которую они обвиняли также в прошлых кибер-инцидентах, начиная с 2014 года.

NotPetya может оказаться на одном уровне с хорошо известными семействами вредоносных программ Stuxnet и BlackEnergy, которые использовались в политических целях и для разрушительных эффектов. Свидетельства ясно показывают, что NotPetya - это кибероружие, а не просто очень агрессивный вид шифровальщика.

Понравилась статья? Поделитесь с друзьями!
Twitter
распечатать
Была ли эта статья полезной?
Да
Нет
Спасибо, за Ваш отзыв!
Что-то пошло не так и Ваш голос не был учтен.
Спасибо. Ваше сообщение отправлено
Нашли в тексте ошибку?
Выделите её, нажмите Ctrl + Enter и мы всё исправим!
Похожие советы
История создания первых аккумуляторов
История создания первых аккумуляторов
Тачскрин (сенсор) работает сам по себе, срабатывает через некоторое время после нажатия, тупит, лагает, работает не правильно
Тачскрин (сенсор) работает сам по себе, срабатывает через некоторое время после нажатия, тупит, лагает, работает не правильно
Как проверить микрофон подключенный к компьютеру
Как проверить микрофон подключенный к компьютеру
Добавить одну звезду в уровень розыска для Нико
Добавить одну звезду в уровень розыска для Нико
Как архивировать документы Как заархивировать эксель файл
Как архивировать документы Как заархивировать эксель файл
Как Заархивировать Файл в Windows Как архивировать документы в компьютере
Как Заархивировать Файл в Windows Как архивировать документы в компьютере