27 червня вірус-вимагач Petya, модифікація гучного в 2016 році шифрувальника Petya.A / Petya.C., атакував компанії по всьому світу. На думку фахівців, для захисту комп'ютера потрібно робити вигляд, що він вже заражений.
Читати далі...
Вірус-вимагач Petya атакував комп'ютери по всьому світу: постраждали нафтові, телекомунікаційні, фінансові компанії.
за даними компанії ESET, найбільшої шкоди зазнали підприємства України (наприклад, аеропорт Харкова був повністю паралізований, Чорнобильська АЕС перейшла на ручний контроль радіаційної обстановки). На другому місці опинилася Італія, на третьому - Ізраїль. В першу десятку також увійшли Сербія, Румунія, Угорщина, Аргентина, Чехія і Німеччина. Росія зайняла 14-е місце. Тільки що поява вірусу зафіксовано в Азії: в Індії вийшла з ладу система управління вантажопотоком найбільшого в країні контейнерного порту. У США вірус дістався до шпиталів.
Всього заблоковано близько 300 тисяч комп'ютерів, користувач повинен заплатити $ 300 за розблокування даних. На даний момент хакерам виплачено близько $ 9000, повідомляє Business Insider.
Поштова адреса, який використовували вимагачі, вже заблокований , Що робить переклад грошей марним.
Вночі департамент кіберполіції Національної поліції України повідомив у себе на сторінці в Facebook, що атака на Україну здійснювалася через бухгалтерську програму «MEdoc» після її поновлення. творці програми запевняють , Що це не так, оскільки останнє оновлення було розіслано ще 22 червня - за п'ять днів до атаки.
Принцип дії вірусу заснований на шифруванні головного завантажувального запису (MBR) завантажувального сектора диска і заміні його своїм власним, відзначає hi-tech.mail.ru.
Навіть після того, як комп'ютер був заражений, у користувача залишається 1-2 години. За цей час можна встигнути запустити команду bootrec / fixMbr для відновлення MBR і відновити працездатність ОС, однак розшифрувати файли не вдасться.
Крім того, Petya уміє обходити оновлення безпеки системи, які були встановлені після атаки WannaCry, тому він настільки ефективний і поширюється на інші комп'ютери лавиноподібно. Він бореться за контроль над усіма вузлами домену, що еквівалентно повній компрометації інфраструктури.
Вивчивши програмний код вірусу, експерти «Лабораторії» прийшли до висновку , Що у власників комп'ютерів, заражених вірусом-здирником, немає шансів повернути заблоковані файли.
«Для розшифровки необхідний унікальний ідентифікатор конкретної установки трояна. В раніше відомих версіях схожих шифрувальників Petya / Mischa / GoldenEye ідентифікатор установки містив інформацію, необхідну для розшифровки. У разі Expetr (aka NotPetya) цього ідентифікатора немає », - відзначили експерти компанії.
Атака торкнулася і білорусів, відзначає TUT.by. У групі компаній «АЛЮТЕХ» підтвердили, що вірус заблокував всі комп'ютери. За непідтвердженими даними, такий же вірус помітили на екрані комп'ютера ВАТ «Бобруйський машинобудівний завод».
«Звернення, що стосуються подібних заражень, в нашу адресу поодинокі, - повідомили в Національному центрі реагування на комп'ютерні інциденти. - Хвилі зараження даним шифрувальником на території нашої країни ми не спостерігаємо ».
Цю інформацію подвердить білоруське МВС. Як відзначили в управлінні «К», із заявами в міліцію вже звернулися представники деяких великих білоруських компаній. Заражені файли надсилають під виглядом резюме, фінансових звітів, іншої вхідної документації або маскують під архів з документами.
- Вірус-шифрувальник «Petya» є новим не тільки для білоруських правоохоронців, а й для всього світу. Він вивчається фахівцями, і деякі антивірусні програми розпізнають шкідливі файли, - зазначив начальник управління з розкриття злочинів у сфері високих технологій МВС полковник міліції Вадим Устинович. - Оскільки збір даних, їх аналіз та заходи щодо встановлення розробників вимагають часу, ми настійно рекомендуємо громадянам не вживати ніяких дій, а при появі на моніторі комп'ютера вимоги «викупу» за дешифрування звертатися в міліцію.
Кілька років тому в МВС вже були зареєстровані звернення жертв кібершахраїв, які спеціалізувалися на розробці подібних вірусів-вимагачів. Постраждалими були як фізичні, так і юридичні особи, які після завантаження заражених файлів отримували повідомлення про блокування операційної системи і вимога заплатити гроші. Принцип діяльності прототипів вірусу «Petya» грунтувався на скануванні відкритого RDP-порту, потім методом підбору паролів хакери отримували доступ до комп'ютера і надсилали вимогу «викупу».
Експерти з «Лабораторії Касперського» рекомендують повністю оновити систему і антивіруси, а також за допомогою функції AppLocker можна заборонити виконання файлу з назвою perfc.dat, а також заблокувати запуск утиліти PSExec з пакету Sysinternals.
Крім того, рекомендується відключити протокол SMBv1. Як це зробити, можна знайти на офіційному сайті компанії «Microsoft». Рекомендується, по можливості, заблокувати на мережевому обладнанні або в налаштуваннях брандмауера (брандмауера) порти 137, 138, 139 і 445, які використовуються зловредів для поширення в локальних мережах.
Також має сенс встановити програмне забезпечення для захисту головного завантажувального запису (MBR) від внесення несанкціонованих змін.
У момент атаки Petya шукає файл C: \ Windows \ perfc, і якщо такий файл на комп'ютері вже є, то вірус закінчує роботу без зараження, повідомляє Symantec.
Щоб створити такий файл для захисту від Petya можна використовувати звичайний «Блокнот». Причому різні джерела радять створювати або файл perfc (без розширення), або perfc.dll. фахівці також радять зробити файл доступним лише для читання, щоб вірус не міг внести в нього зміни.
Рекомендаціями поділилося і білоруське МВС. «Щоб не стати жертвою кібер-атак, слід використовувати складні паролі, користуватися тільки ліцензійним програмним і антивірусним забезпеченням і постійно їх оновлювати, - радять правоохоронці. -Бдітельность при отриманні повідомлень по електронній пошті з незнайомих і підозрілих джерел також допоможе уникнути зараження комп'ютера і мережі ».
Нагадаємо, місяць тому, використовуючи аналогічний механізм поширення, шкідлива хакерська програма-вимагач WannaCry атакувала більше 200 тисяч комп'ютерів в 150 країнах. Під удар потрапили урядові мережі, госпіталі і великі компанії.
Того разу поширення WannaCry вдалося швидко звести до мінімуму зусиллями всього одного незалежного ІБ-фахівця. Британський дослідник MalwareTech виявив в коді малварі своєрідний «аварійний рубильник»: перед початком роботи вимагач звертався до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, перевіряючи, чи існує він. Якщо домен не зареєстрований, малваре починала шифрувати файли. Дослідник поспішив зареєструвати цей домен, загальмувавши епідемію.
