Что за вирус петя в украине

Обновлено: 27.03.2024

Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.

Petya использует другую быстро распространяющуюся атаку, которая аналогично WannaCry эксплуатирует уязвимость ENTERNALBLUE по классификации АНБ. В отличие от WannaCry, вирус Petya также может распространятся через инструментарий управления Windows (WMI) и PsExec (подробнее об этом ниже). Несколько пугающих фактов об этой новой вредоносной программе:

  • у нее нет удаленного аварийного выключателя, как в WannaCry;
  • она гораздо сложнее и обладает разнообразными автоматическими способами распространения;
  • она делает компьютеры полностью непригодными для использования.

Как распространяется вирус Petya?

Хотя фишинг часто используется для атак, в этом случае одним из основных источников стала MeDoc, фирма финансового программного обеспечения, располагающаяся на Украине. Функция обновления программного обеспечения MeDoc была взломана, и злоумышленники использовали ее для распространения программы-шантажиста Petya (источник). Это объясняет, почему Украина пострадала больше всех.

После заражения одного компьютера вирус Petya распространялся по одноранговой сети на другие компьютеры и серверы под управлением Windows с незакрытой уязвимостью MS17-010 (это уязвимость SMB, которую всем рекомендовали устранить во время атаки WannaCry). Он также может распространяться через механизм PsExec в ресурсы admin$ даже на компьютерах с установленными исправлениями. Мы недавно написали подробное руководство о PsExec и об отключении PowerShell. Здесь это будет полезным.

Позитивным моментом, по крайней мере при таком положении дел, является то, что заражение по одноранговой сети, похоже, не выходит за пределы локальной сети. Вирус Petya может достаточно эффективно перемещаться по всей локальной сети, вряд ли может переходить в другие сети. Как утверждает @MalwareTechBlog, любящий пиццу пользователь Интернета, который прославился тем, что обнаружил аварийный выключатель WannaCry:

Порядок обнаружения PsExec с помощью DatAlert

Если у вас DatAlert версии 6.3.150 или более поздней версии, вы можете обнаружить файл PsExec.exe на файловых серверах Windows следующим образом:

1. Выберите Tools –> DatAlert –> DatAlert


2. Выполните поиск строки system admin


3. Для каждого из выбранных правил (разверните группы для просмотра), нажмите Edit Rule и установите флажок Enabled


В случае обнаружения PsExec программа DatAlert создаст предупреждения средств системного администратора в категории оповещений Reconnaissance, например System administration tool created or modified (Средство системного администратора создано или изменено) или An operation on a tool commonly used by system administrators failed (Сбой операции в средстве, которое обычно используется системными администраторами).

Это должно помочь обнаружить, использует ли вирус Petya механизм PsExec для распространения на файловые серверы. Продолжайте читать эту статью, потому что это еще не все действия, которые помогут предотвратить первоначальное заражение и остановить распространение вируса Petya по вашим конечным точкам.

Что вирус Petya делает?

После появления на компьютере вирус NotPetya выжидает полтора часа перед началом атаки, вероятнее всего, это время выделяется для заражения других машин и затруднения обнаружения точки входа.

По окончании времени ожидания происходит следующее.

— Мигир (Mihir, @mihirmodi) 27 июня 2017 г.

Если процессы удаленной загрузки или создания образов отсутствуют, и восстановить зараженные компьютеры нельзя, то для исправления ситуации может понадобиться восстанавливать рабочие станции вручную. Хотя в большинстве случаев это возможно, компаниям с множеством удаленных установок сделать это будет очень трудно и займет много времени. Для транспортных компаний, у которых в каждый момент времени 600 и более грузовых судов находятся в рейсе, это практически невозможно.


Он не добавляет уникальное расширение к зашифрованным файлам (например, .locky) — он шифрует содержимое и сохраняет исходное имя файла и расширение.

Что делать?

Предотвращение заражения вирусом Petya очень похоже на действия, которые могли быть предприняты ранее в отношении атаки WannaCry:

  • отключение SMBv1 во время установки исправлений;
  • блокировка порта TCP 445 от внешних подключений (или подключений между сегментами, если возможно);
  • установка исправлений!

Локальный аварийный выключатель

Существует также некоторое подобие локального аварийного выключателя. Если на данном компьютере существует файл %WINDIR%\perfc (без расширения), программа-шантажист не будет выполнена. Можно проявить изобретательность в вариантах развертывания этого файла на всех рабочих станциях в вашей среде.

Кроме того, можно посмотреть, какие антивирусные продукты для конечных точек могут обнаружить вирус Petya, в результатах проверки VirusTotal.

Образец вируса Petya, полученный исследователями, был скомпилирован 18 июня.


Следует ли платить?

Они сделали следующее.

1. Заблокировали эту учетную запись.
2. Подтвердили, что с учетной записи не отправлялись ключи для расшифровки.
3. Обратились в органы власти с предложением помощи всеми доступными средствами.

Все это приводит нас к выводу, что не следует платить требуемую сумму, поскольку вы не получите необходимые ключи расшифровки.

История продолжает развиваться, и мы будем обновлять эту заметку по мере появления новой информации.

Марина Крицкая

Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Как это происходит и можно ли этот процесс предупредить?

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

Предотвратим потерю информации

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

image

Что случилось? И о развитии ситуации под катом.

То, о чем все кибер эксперты, включая меня, говорили днями и ночами! Украина не защищена от кибератак, но сейчас не об этом.

На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Не отрицаю что некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Ситуация динамически развивается и мы будем освещать. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…

Теперь о технических деталях

В интренете уже были попытки написания дешифровщиков которые подходят только к старым версиям Petya.

Однако, их работоспособность не подтверждена.

Личные предположения:

UPD1: Дешифровальщиков пока нет, те что выложены в интернете (тут), подходят только к старым версиям. Внимание дешифратора на данный момент не существует!

UPD2: Сайт министерства внутренних дел Украины отключен. Силовики переходят в экстренный режим.

image

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat

В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно вот тут на сайте Microsoft.

UPD7: Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)

UPD8: В сети уже появился бот, который мониторит выкупы за дешифрование файлов, зараженных Petya

UPD9: Согласно информации из фейсбука Киберполиции Украины и ряда крупных ИБ компаний, а так же MicroSoft, одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

UPD11: MicroSoft наконец то выложили все детали и разбор вируса Petya на своем сайте с рекомендациями и патчами.


Миллиардные убытки

27 июня 2017 года компании по всему миру были атакованы модифицированной версией вируса Petya. В дальнейшем он получит несколько названий — NotPetya, Petya.A, ExPetr и несколько других. Зловред изначально причислили к семейству шифровальщиков-вымогателей — якобы он шифровал данные на компьютерах, требуя выкуп в биткоинах за разблокировку документов.

Впоследствии оказалось, что угроза серьезнее, чем предполагалось — NotPetya оказался вирусом-стирателем, который просто зачищал жесткий диск, не оставляя никаких возможностей для восстановления.

Вирусом Petya оказались заражены компьютеры корпоративных сетей компаний Дании, США, Австралии, Индии, Испании, Франции и других стран. При этом пострадали такие крупные международные корпорации, как Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser и многие другие. В России о заражении NotPetya сообщили Роснефть и Башнефть.

В США потери от кибератаки с помощью вируса-стирателя оценили в $10 млрд — для сравнения, последствия вируса WannaCry, распространившегося несколькими месяцами ранее, оценивали в $4-8 млрд.

Больше всех от NotPetya пострадала Украина. Сообщается, что вирус так или иначе нарушил работу по меньшей мере 300 украинских компаний. При этом портал WIRED со ссылкой на одного из высокопоставленных чиновников страны указывал, что память 10% всех компьютеров на Украине оказалась стерта.

Фокусировка вируса на Украине неслучайна — считается, что именно там началось заражение, которое впоследствии охватило весь мир. Дело в том, что Украина пострадала сильнее других из-за изначального распространения Petya через автоматическое обновление M.E.doc — программы для бухгалтерской отчетности, которая широко распространена в стране.

Однако заражение с помощью M.E.doc — всего лишь один из векторов атаки, для распространения вируса также использовалась фишинговая рассылка.

В письмах, направленных в основном на адрес HR-служб пострадавших организаций, содержался зараженный exe-файл, замаскированный под резюме, после открытия которого вирус NotPetya проникал в систему и блокировал данные пользователя.

В основе NotPetya лежал эксплойт EternalBlue, также использовавшийся в WannaCry, а также бесплатная утилита Mimikatz, комбинация которых делала вирус практически неуязвимым. EternalBlue является разработкой Агентства национальной безопасности США — эта программа эксплуатирует уязвимости в операционной системе Windows. Эксплойт стал достоянием общественности, когда хакерская группировка Shadow Brokers выложила его в интернет.

Однако это не отменяет возможную киберпандемию в будущем, считает эксперт.

Еще одна серьезная вспышка вредоносного ПО –– это лишь вопрос времени, соглашается руководитель группы угроз Avast Якуб Крустек.

«Как и когда это произойдет, насколько массовой будет атака –– все это зависит от множества факторов, включая доступность высококачественного эксплойта, такого как EternalBlue, и мотивацию злоумышленников. Microsoft хорошо поработала над исправлением EternalBlue, и уязвимость в настоящее время в основном присутствует только в старых системах, таких как Windows 7 и Windows XP.

Из компьютеров, просканированных Avast с 23 мая по 22 июня 2020 года в России, 10,5% работают с EternalBlue.

С помощью методов социального инжиниринга и фишинговых писем преступники пытаются получить доступ к корпоративным сетям компаний, а затем выставляют добытые данные на витрины черного рынка или шантажируют руководство компаний, вымогая деньги.

По словам Крустека, чтобы защититься от подобных атак, необходимо предусмотреть основные риски. Компании должны удостовериться, что у них есть несколько уровней защиты, включая антивирус, брандмауэр, систему обнаружения вторжений, регулярное обновление микропрограммного и программного обеспечения, а также использование соответствующих прав доступа для своих сотрудников.

Кроме того, при построении защиты компаниям очень важно учитывать человеческий фактор.

Люди могут совершать ошибки, поэтому необходимо, чтобы ИБ-команда делилась передовыми методами защиты со своими сотрудниками.

Кроме того, предприятия должны хранить резервные копии своих данных. Существует много различных решений для резервного копирования: от облачного хранилища до внешних жестких дисков, от сетевого хранилища до USB или флэш-накопителей.

Читайте также: