Новый вирус petya. Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты. Продолжается ли распространение Petna

Защиту от нового вируса придумывают всем миром, хотя он лезет через те же «дыры», что и WannaCry

После распространения шифровальщика WannaCry , компьютеры по всему миру вновь подверглись кибератакам. От вируса Petya пострадали устройства в различных странах Европы и США. Однако большая частью ущерба пришлась на компьютеры в России и Украине, где пострадало порядка 80 компаний. Вирус-вымогатель требовал от владельцев пораженных ПК деньги или криптовалюту, однако киберспециалисты нашли способ не попасть на удочку мошенников. О том, кто такой Petya и как избежать встречи с ним - в материале «Реального времени».

Жертвы «Пети»: от «Роснефти» до Чернобыльской АЭС

Массовое распространение вируса Petya началось 27 июня. Первой пострадала Украина: атаке подверглись компьютеры крупных энергетических компаний - «Укрэнерго», ДТЭК и «Киевэнерго», сообщили местные СМИ. Сотрудник одной из компаний рассказал журналистам, что утром 27 июня его рабочий компьютер перезагрузился, после чего система якобы начала проверку жесткого диска. Далее он увидел, что аналогичное происходит на всех компьютерах в офисе. Он выключил компьютер, однако после включения на экране устройства появилась надпись с требованием выкупа. Вирусом оказались поражены и ПК некоторых украинских банков, казначейства Украины, Кабмина, компании «Укртелеком» и аэропорта «Борисполь».

Petya напал и на компьютерную систему мониторинга радиационного фона на Чернобыльской АЭС. При этом все системы станции работали нормально, а радиационный фон не превышает контрольный, передает «Медуза» . Вечером 27 июня на официальной странице МВД Украины в Facebook появилось обращение к жителям страны с рекомендацией выключить компьютеры, до тех пор, пока не будет разработан способ борьбы с вирусом.

В России атаке вируса-вымогателя Petya подверглись серверы «Роснефти». Пресс-секретарь «Роснефти» Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском компании к АФК «Система». В эфире Business FM он назвал рациональной попытку использовать вирус для уничтожения данных об управлении «Башнефтью». Зафиксированы единичные случаи заражения объектов информационной инфраструктуры банковской системы России. Банк «Хоум кредит» прекратил проведение операций из-за кибератак, также была нарушена работа сайта кредитной организации. Отделения работали только в консультационном режиме, при этом банкоматы работали в штатном режиме, сообщает «Интерфакс» .

28 июня СМИ также сообщили об атаке на компьютеры в Великобритании, Голландии Дании, Испании, Индии, Литве, Франции и США.

Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском к АФК «Система». Фото polit.ru

Защита от WannaCry бессильна против «Пети»

Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись - первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies .

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.

Petya использует уязвимость Windows - эксплойт под кодовым названием EternalBlue. С помощью этой же уязвимости в компьютеры вторгался печально известный WannaCry. Благодаря эксплойту, Petya распространялся через Windows Management Instrumentation (инструмент для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows) и PsExec (позволяет выполнять процессы в удаленных системах), получая максимальные привилегии на уязвимой системе. Это и позволяло вирусу продолжать работу даже при установленных на компьютерах обновлениях против WannaCry.

Команда bootrec /fixMbr и запись в «Блокнот»

Известный французский хакер и разработчик программ Матье Суше в своем Twitter

Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, который к третьему дню своей «деятельности» поразил около 300 тысяч компьютеров в разных странах мира, и пока его никто не остановил.

Вирус Petya – как расшифровать, последние новости. Создатели шифровальщика «Петя» после нападения на компьютер требуют выкуп в 300 долларов (в биткоинах), но расшифровать вирус Petya, даже если пользователь заплатит деньги, возможности нет. Специалисты «Лаборатории Касперского», которые разглядели в новом вирусе отличия от «Пети» и назвали его ExPetr, утверждают – для расшифровки необходим уникальный идентификатор конкретной установки трояна.

В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал необходимую для этого информацию. В случае ExPetr этого идентификатора нет – пишет РИА Новости.

Вирус «Петя» – откуда взялся, последние новости. Немецкие специалисты по безопасности выдвинули первую версию, откуда взял свой путь этот шифровальщик. По их мнению, вирус Petya начал гулять по компьютерам с открытия файлов M.E.Doc. Это программа бухгалтерской отчетности, используемая на Украине после запрета 1С.

Между тем, в «Лаборатории Касперского» говорят о том, что выводы о происхождении и источнике распространения вируса ExPetr делать пока рано. Не исключено, что у злоумышленников были обширные данные. Например, е-майл адреса с предыдущей рассылки или какие-то другие эффективные способы проникновения в компьютеры.

С их помощью вирус «Петя» и обрушился всей мощностью на Украину и Россию, а также другие страны. Но реальный масштаб этой хакерской атаки будет понятен через несколько дней – сообщает .

Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, уже получившим в «Лаборатории Касперского» новое имя – ExPetr.

Атака вируса «Петя» стала неприятной неожиданностью для жителей многих стран. Тысячи компьютеров подверглись заражению, вследствие которого пользователи потеряли важные данные, хранившиеся на их жестких дисках.

Конечно же, сейчас ажиотаж вокруг данного инцидента спал, но никто не может гарантировать, что подобное не повторится вновь. Именно поэтому очень важно защитить свой компьютер от возможной угрозы и не рисковать понапрасну. О том, как сделать это наиболее эффективно, и пойдет речь ниже.

Последствия атаки

Для начала следует вспомнить, к каким последствиям привела недолгая активность Petya.A. Всего за несколько часов пострадали десятки украинских и российских компаний. На Украине, к слову, была практически полностью парализована работа компьютерных отделов таких учреждений, как «Днепрэнерго», «Новая Почта» и «Киевский метрополитен». Более того, не убереглись от вируса «Петя» некоторые государственные организации, банки и операторы мобильной связи.

В странах Европейского союза шифровальщик также успел наделать немало бед. Французские, датские, английские и международные компании сообщили о временных неполадках в работе, связанных с атакой компьютерного вируса «Петя».

Как видите, угроза действительно серьезная. И даже несмотря на то, что злоумышленники выбрали в качестве своих жертв крупные финансовые организации, обычные пользователи пострадали не меньше.

Как работает «Петя»

Чтобы понять, как защититься от вируса «Петя», нужно сначала разобраться, как он работает. Итак, попав на компьютер, вредоносная программа скачивает из интернета специальный шифровальщик, который поражает Master Boot Record. Это отдельная область на жестком диске, скрытая от глаз пользователя и предназначенная для загрузки операционной системы.

Для пользователя этот процесс выглядит как стандартная работа программы Check Disk после внезапного падения системы. Компьютер резко перезагружается, а на экране возникает сообщение о проверке жесткого диска на наличие ошибок и просьба не выключать питание.

Как только этот процесс подходит к концу, появляется заставка с информацией о блокировке компьютера. Создателя вируса «Петя» требуют от пользователя заплатить выкуп в размере 300$ (больше 17,5 тыс. руб.), обещая взамен выслать ключ, необходимый для возобновления работы ПК.

Профилактика

Логично, что намного проще предупредить заражение компьютерным вирусом «Петя», чем потом бороться с его последствиями. Чтобы обезопасить свой ПК:

• Всегда устанавливайте свежие обновления для операционной системы. Это же, в принципе, касается и всего программного обеспечения, установленного на вашем ПК. Кстати, «Петя» не может навредить компьютерам под управлением MacOS и Linux.
• Используйте актуальные версии антивируса и не забывайте обновлять его базы. Да, совет банальный, но далеко не все ему следуют.
• Не открывайте подозрительные файлы, присланные вам на почту. Кроме того, всегда проверяйте приложения, скачанные из сомнительных источников.
• Регулярно делайте резервные копии важных документов и файлов. Лучше всего хранить их на отдельном носителе или в «облаке» (Google Drive, "Яндекс. Диск" и т. д.). Благодаря этому, даже если с вашим компьютером что-то случится, ценная информация не пострадает.

Создание стоп-файла

Разработчики ведущих антивирусных программ выяснили, как удалить вирус «Петя». Точнее, благодаря проведенным исследованиям, им удалось понять, что шифровальщик на начальных этапах заражения пытается найти на компьютере локальный файл. Если ему это удается, вирус прекращает свою работу и не наносит вред ПК.

Проще говоря, вы можете вручную создать своего рода стоп-файл и таким образом защитить компьютер. Для этого:

• Откройте настройки параметров папок и снимите галочку с пункта «Скрывать расширения для зарегистрированных типов файлов».
• Создайте при помощи блокнота новый файл и поместите его в директорию C:/Windows.
• Переименуйте созданный документ, назвав его «perfc». Затем зайдите в и включите опцию «Только для чтения».

Теперь вирус «Петя», попав на ваш компьютер, не сможет нанести ему вред. Но имейте в виду, что злоумышленники могут в будущем модифицировать вредоносную программу и способ с созданием стоп-файла станет неэффективным.

Если заражение уже произошло

Когда компьютер самостоятельно уходит на перезагрузку и запускается работа Check Disk, вирус только начинает шифровать файлы. В этом случае вы еще можете успеть спасти свои данные, выполнив следующие действия:

• Сразу же отключите питание ПК. Только так вы можете предотвратить распространение вируса.
• Далее следует подключить свой жесткий диск к другому ПК (только не в качестве загрузочного!) и скопировать с него важную информацию.
• После этого необходимо полностью отформатировать зараженный винчестер. Естественно, что потом вам придется заново устанавливать на него операционную систему и прочее программное обеспечение.

Кроме того, вы можете попытаться использовать специальный загрузочный диск, чтобы вылечить вирус «Петя». Антивирус Касперского, например, предоставляет для этих целей программу Kaspersky Rescue Disk, которая работает в обход операционной системы.

Стоит ли платить вымогателям

Как уже было сказано ранее, создатели «Пети» требуют от пользователей, чьи компьютеры были заражены, выкуп в размере 300$. По словам вымогателей, пострадавшим после оплаты указанной суммы будет выслан ключ, устраняющий блокировку информации.

Проблема в том, что пользователю, желающему вернуть свой компьютер в нормальное состояние, необходимо написать злоумышленникам на электронную почту. Однако все E-Mail вымогателей оперативно блокируются уполномоченными службами, поэтому связаться с ними попросту невозможно.

Более того, многие ведущие разработчики антивирусного программного обеспечения уверены, что разблокировать каким-либо кодом компьютер, подвергшийся заражению «Петей», и вовсе невозможно.

Как вы наверняка поняли, платить вымогателям не стоит. Иначе вы не только останетесь с нерабочим ПК, но еще и потеряете крупную сумму денег.

Будут ли новые атаки

Впервые вирус Petya был обнаружен еще в марте 2016 года. Тогда специалисты по безопасности быстро заметили угрозу и не допустили ее массового распространения. Но уже в конце июня 2017 года атака повторилась вновь, что привело к весьма серьезным последствиям.

Вряд ли все закончится на этом. Атаки с использованием вирусов-вымогателей - явление нередкое, поэтому очень важно постоянно поддерживать свой компьютер в защищенном состоянии. Проблема заключается в том, что никто не может предугадать, в каком формате произойдет следующее заражение. Как бы там ни было, всегда стоит следовать нехитрым рекомендациям, приведенным в данной статье, чтобы сократить таким образом риски до минимума.

Британия, США и Австралия официально обвинили Россию в распространении NotPetya

15 февраля 2018 года Министерство иностранных дел Великобритании выступило с официальным заявлением, в котором обвинило Россию в организации кибератаки с использованием вируса-шифровальщика NotPetya.

По утверждению британских властей, данная атака продемонстрировала дальнейшее пренебрежение по отношению к суверенитету Украины, и в результате этих безрассудных действий была нарушена работа множества организацией по всей Европе, что привело к многомиллионным убыткам.

В Министерстве отметили, что вывод о причастности к кибератаке российского правительства и Кремля был сделан на основании заключения Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre), который «практически полностью уверен в том, что за атакой NotPetya стоят российские военные».Также в заявлении сказано, что и ее союзники не потерпят вредоносной киберактивности.

Кремль, ранее уже неоднократно отрицавший всякую причастность российских властей к хакерским атакам, назвал заявление британского МИДа частью «русофобской кампании»

Памятник "Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya"

Памятник компьютерному вирусу Petya установили в декабре 2017 года возле здания Технопарка Сколково . Двухметровый монумент, с надписью: «Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya». выполненный в виде надкусанного жесткого диска , был создан при поддержке компании ИНВИТРО , в числе других компаний пострадавшей от последствий массированной кибератаки . Робот по имени Ню, который работает в Физтехпарке и (МТИ) специально приехал на церемонию, чтобы произнести торжественную речь.

Атака на правительство Севастополя

Специалисты Главного управления информатизации и связи Севастополя успешно отразили атаку сетевого вируса-шифровальщика Petya на серверы регионального правительства. Об этом 17 июля 2017 года на аппаратном совещании правительства Севастополя сообщил начальник управления информатизации Денис Тимофеев .

Он заявил, что вредоносная программа Petya никак не повлияла на данные, хранящиеся на компьютерах в государственных учреждениях Севастополя.

Ориентированность на использование свободного ПО заложена в концепции информатизации Севастополя, утвержденной в 2015 году. В ней указывается, что при закупках и разработке базового ПО, а также ПО информационных систем для автоматизации целесообразно анализировать возможность использования свободных продуктов, позволяющих сократить бюджетные расходы и снизить зависимость от поставщиков и разработчиков.

Ранее, в конце июня, в рамках масштабной атаки на медицинскую компанию «Инвитро» пострадал и филиал ее филиал, расположенный в Севастополе. Из-за поражения вируса компьютерной сети филиал временно приостановил выдачу результатов анализов до устранения причин.

«Инвитро» заявила о приостановке приема анализов из-за кибератаки

Медицинская компания «Инвитро» приостановила сбор биоматериала и выдачу результатов анализов пациентов из-за хакерской атаки 27 июня. Об этом РБК заявил директор по корпоративным коммуникациям компании Антон Буланов.

Как говорится в сообщении компании, в ближайшее время «Инвитро» перейдет в штатный режим работы. Результаты исследований, проведенных позже этого времени, будут доставлены пациентам после устранения технического сбоя. На данный момент лабораторная информационная система восстановлена, идет процесс ее настройки. ​«Мы сожалеем о сложившейся форс-мажорной ситуации и благодарим наших клиентов за понимание», - заключили в «Инвитро».

По этим данным, атаке компьютерного вируса подверглись клиники в России , Белоруссии и Казахстане .

Атака на «Газпром» и другие нефтегазовые компании

29 июня 2017 года стало известно о глобальной кибератаке на компьютерные системы «Газпрома» . Таким образом, еще одна российская компания пострадала от вируса-вымогателя Petya.

Как сообщает информационное агентство Reuters со ссылкой на источник в российском правительстве и человека, участвовавшего в расследовании инцидента, «Газпром» пострадал от распространения вредоносной программы Petya, которая атаковала компьютеры в общей сложности более чем в 60 странах мира.

Собеседники издания не предоставили подробностей о том, сколько и какие системы были заражены в «Газпроме», а также о размере ущерба, нанесенного хакерами. В компании отказались от комментариев по запросу Reuters.

Между тем, высокопоставленный источник РБК в «Газпроме» сообщил изданию, что компьютеры в центральном офисе компании работали без перебоев, когда началась масштабная хакерская атака (27 июня 2017 года), и продолжают два дня спустя. Еще два источника РБК в «Газпроме» также заверили, что в компании «все спокойно» и никаких вирусов нет.

В нефтегазовом секторе от вируса Petya пострадали «Башнефть» и «Роснефть». Последняя заявила 28 июня о том, что компания работает в в штатном режиме, а «отдельные проблемы» оперативно решаются.

Банки и промышленность

Стало известно о заражении компьютеров в «Евраз» , российском отделении фирмы Royal Canin (производит форма для животных) и российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka).

Согласно сообщению Министерства внутренних дел Украины, мужчина на файлообменных площадках и в социальных сетях опубликовал видео с подробным описанием процесса запуска вымогательского ПО на компьютерах. В комментариях к ролику мужчина разместил ссылку на свою страницу в социальной сети, на которую загрузил вредоносную программу. В ходе обысков в квартире «хакера» правоохранители изъяли компьютерную технику, использовавшуюся для распространения NotPetya. Также полицейские обнаружили файлы с вредоносным ПО, после анализа которых было подтверждено его сходство с вымогателем NotPetya. Как установили сотрудники киберполиции, вымогательская программа, ссылку на которую опубликовал никопольчанин, была загружена пользователями соцсети 400 раз.

В числе загрузивших NotPetya правоохранители выявили компании, намеренно заражавшие свои системы вымогательским ПО для сокрытия преступной деятельности и уклонения от уплаты штрафных санкций государству. Стоит отметить, что полиция не связывает деятельность мужчины с хакерскими атаками 27 июня нынешнего года, то есть, о какой-либо его причастности к авторам NotPetya речь не идет. Вменяемые ему деяния касаются только действий, совершенных в июле текущего года - после волны масштабных кибератак.

В отношении мужчины возбуждено уголовное дело по ч.1 ст. 361 (несанкционированное вмешательство в работу ЭВМ) УК Украины. Никопольчанину грозит до 3 лет лишения свободы.

Распространение в мире

Распространение вируса-вымогателя Petya зафиксировано в Испании , Германии , Литве, Китае и Индии. К примеру, из-за вредоносной программы в Индии технологии управления грузопотоком контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk, перестали распознавать принадлежность грузов.

О кибератаке сообщили британская рекламная группа WPP , испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez. В числе пострадавших также французский производитель строительных материалов Cie. de Saint-Gobain и фармкомпания Merck & Co.

Merck

Американский фармацевтический гигант Merck , сильно пострадавший в результате июньской атаки вируса-шифровальщика NotPetya , до сих пор не может восстановить все системы и вернуться в нормальный режим работы. Об этом сообщается в отчете компании по форме 8-K, представленном в Комиссию по ценным бумагам и биржам США (SEC) в конце июля 2017 года. Подробнее .

Moller-Maersk и «Роснефть»

3 июля 2017 года стало известно о том, что датский судоходный гигант Moller-Maersk и «Роснефть» восстановили зараженные вирусом-вымогателем Petya ИТ-системы лишь спустя почти неделю после атаки, которая произошла 27 июня.

В судоходной компании Maersk, на долю которой приходится каждый седьмой отправляемый в мире грузовой контейнер, также добавили, что все 1500 приложений, пострадавших в результате кибератаки, вернутся к штатной работе максимум к 9 июля 2017 года.

Пострадали преимущественно ИТ-системы принадлежащей Maersk компании APM Terminals, которая управляет работой десятков грузовых портов и контейнерных терминалов в более чем 40 странах. В сутки свыше 100 тыс. грузовых контейнеров, проходят через порты APM Terminals, их работа которых была полностью парализована из-за распространения вируса. Терминал Maasvlakte II в Роттердаме восстановил поставки 3 июля.

16 августа 2017 года A.P. Moller-Maersk назвала примерную сумму ущерба от кибернападения при помощи вируса Petya, заражение которым, как отметили в европейской компании, проходило через украинскую программу. Согласно предварительным расчетам Maersk, финансовые потери от действия шифровальщика Petya во второй четверти 2017 года составили от 200 до 300 млн долларов .

Между тем, почти неделя на восстановление компьютерных систем от хакерской атаки потребовалось также «Роснефти», о чем 3 июля сообщили в пресс-службе компании сообщили «Интерфаксу» :

Несколькими днями ранее «Роснефть» подчеркивала, что пока не берется оценивать последствия кибератаки, но производство не пострадало.

Принцип действия Petya

Действительно, жертвы вируса не могут разблокировать свои файлы после заражения. Дело в том, что его создатели не предусмотрели такой возможности вообще. То есть зашифрованный диск априори не поддается дешифровке. В идентификаторе вредоносной программы отсутствует информация, необходимая для расшифровки.

Изначально эксперты причислили вирус, поразивший около двух тысяч компьютеров в России , Украине, Польше, Италии, Германии , Франции, и других странах, к уже известному семейству вымогателей Petya. Однако оказалось, что речь идет о новом семействе вредоносного ПО. "Лаборатория Касперского" окрестила новый шифровальщик ExPetr.

Как бороться

Борьба с киберугрозами требует объединения усилий банков, ИТ-бизнеса и государства

Метод восстановления данных от Positive Technologies

7 июля 2017 года эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya. По словам эксперта, метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.

Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованных жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.

Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.

Результаты расследования уже подтвердили украинские киберполицейские. Выводы следствия «Юскутум» собирается использовать как ключевое доказательство в будущем процессе против Intellect-Service.

Процесс будет носить гражданский характер. Независимое расследование проводят правоохранительные органы Украины. Их представители ранее уже заявляли о возможности возбуждения дела против сотрудников Intellect-Service.

В самой компании M.E.Doc заявили о том, что происходящее - попытка рейдерского захвата компании. Производитель единственного популярного украинского бухгалтерского ПО считает, что прошедший в компании обыск, проведенный киберполицией Украины, стал частью по реализации этого плана.

Начальный вектор заражения шифратором Petya

17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData, полагают в компании. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО - так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и e-mail , включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, - рассказал Антон Черепанов , старший вирусный аналитик Eset. - Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты Eset установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, пока не удалось.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком . Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. - В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

• Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
• Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe.
• Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
• Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
• После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
• Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
• Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
• Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.