Признаки заражения компьютера вирусом petya. Petya, NotPetya или Petna? Все, что нужно знать о новой эпидемии. Что происходит после заражения
Атака вируса «Петя» стала неприятной неожиданностью для жителей многих стран. Тысячи компьютеров подверглись заражению, вследствие которого пользователи потеряли важные данные, хранившиеся на их жестких дисках.
Конечно же, сейчас ажиотаж вокруг данного инцидента спал, но никто не может гарантировать, что подобное не повторится вновь. Именно поэтому очень важно защитить свой компьютер от возможной угрозы и не рисковать понапрасну. О том, как сделать это наиболее эффективно, и пойдет речь ниже.
Последствия атаки
Для начала следует вспомнить, к каким последствиям привела недолгая активность Petya.A. Всего за несколько часов пострадали десятки украинских и российских компаний. На Украине, к слову, была практически полностью парализована работа компьютерных отделов таких учреждений, как «Днепрэнерго», «Новая Почта» и «Киевский метрополитен». Более того, не убереглись от вируса «Петя» некоторые государственные организации, банки и операторы мобильной связи.
В странах Европейского союза шифровальщик также успел наделать немало бед. Французские, датские, английские и международные компании сообщили о временных неполадках в работе, связанных с атакой компьютерного вируса «Петя».
Как видите, угроза действительно серьезная. И даже несмотря на то, что злоумышленники выбрали в качестве своих жертв крупные финансовые организации, обычные пользователи пострадали не меньше.
Как работает «Петя»
Чтобы понять, как защититься от вируса «Петя», нужно сначала разобраться, как он работает. Итак, попав на компьютер, вредоносная программа скачивает из интернета специальный шифровальщик, который поражает Master Boot Record. Это отдельная область на жестком диске, скрытая от глаз пользователя и предназначенная для загрузки операционной системы.
Для пользователя этот процесс выглядит как стандартная работа программы Check Disk после внезапного падения системы. Компьютер резко перезагружается, а на экране возникает сообщение о проверке жесткого диска на наличие ошибок и просьба не выключать питание.
Как только этот процесс подходит к концу, появляется заставка с информацией о блокировке компьютера. Создателя вируса «Петя» требуют от пользователя заплатить выкуп в размере 300$ (больше 17,5 тыс. руб.), обещая взамен выслать ключ, необходимый для возобновления работы ПК.
Профилактика
Логично, что намного проще предупредить заражение компьютерным вирусом «Петя», чем потом бороться с его последствиями. Чтобы обезопасить свой ПК:
- Всегда устанавливайте свежие обновления для операционной системы. Это же, в принципе, касается и всего программного обеспечения, установленного на вашем ПК. Кстати, «Петя» не может навредить компьютерам под управлением MacOS и Linux.
- Используйте актуальные версии антивируса и не забывайте обновлять его базы. Да, совет банальный, но далеко не все ему следуют.
- Не открывайте подозрительные файлы, присланные вам на почту. Кроме того, всегда проверяйте приложения, скачанные из сомнительных источников.
- Регулярно делайте резервные копии важных документов и файлов. Лучше всего хранить их на отдельном носителе или в «облаке» (Google Drive, "Яндекс. Диск" и т. д.). Благодаря этому, даже если с вашим компьютером что-то случится, ценная информация не пострадает.
Создание стоп-файла
Разработчики ведущих антивирусных программ выяснили, как удалить вирус «Петя». Точнее, благодаря проведенным исследованиям, им удалось понять, что шифровальщик на начальных этапах заражения пытается найти на компьютере локальный файл. Если ему это удается, вирус прекращает свою работу и не наносит вред ПК.
Проще говоря, вы можете вручную создать своего рода стоп-файл и таким образом защитить компьютер. Для этого:
- Откройте настройки параметров папок и снимите галочку с пункта «Скрывать расширения для зарегистрированных типов файлов».
- Создайте при помощи блокнота новый файл и поместите его в директорию C:/Windows.
- Переименуйте созданный документ, назвав его «perfc». Затем зайдите в и включите опцию «Только для чтения».
Теперь вирус «Петя», попав на ваш компьютер, не сможет нанести ему вред. Но имейте в виду, что злоумышленники могут в будущем модифицировать вредоносную программу и способ с созданием стоп-файла станет неэффективным.
Если заражение уже произошло
Когда компьютер самостоятельно уходит на перезагрузку и запускается работа Check Disk, вирус только начинает шифровать файлы. В этом случае вы еще можете успеть спасти свои данные, выполнив следующие действия:
- Сразу же отключите питание ПК. Только так вы можете предотвратить распространение вируса.
- Далее следует подключить свой жесткий диск к другому ПК (только не в качестве загрузочного!) и скопировать с него важную информацию.
- После этого необходимо полностью отформатировать зараженный винчестер. Естественно, что потом вам придется заново устанавливать на него операционную систему и прочее программное обеспечение.
Кроме того, вы можете попытаться использовать специальный загрузочный диск, чтобы вылечить вирус «Петя». Антивирус Касперского, например, предоставляет для этих целей программу Kaspersky Rescue Disk, которая работает в обход операционной системы.
Стоит ли платить вымогателям
Как уже было сказано ранее, создатели «Пети» требуют от пользователей, чьи компьютеры были заражены, выкуп в размере 300$. По словам вымогателей, пострадавшим после оплаты указанной суммы будет выслан ключ, устраняющий блокировку информации.
Проблема в том, что пользователю, желающему вернуть свой компьютер в нормальное состояние, необходимо написать злоумышленникам на электронную почту. Однако все E-Mail вымогателей оперативно блокируются уполномоченными службами, поэтому связаться с ними попросту невозможно.
Более того, многие ведущие разработчики антивирусного программного обеспечения уверены, что разблокировать каким-либо кодом компьютер, подвергшийся заражению «Петей», и вовсе невозможно.
Как вы наверняка поняли, платить вымогателям не стоит. Иначе вы не только останетесь с нерабочим ПК, но еще и потеряете крупную сумму денег.
Будут ли новые атаки
Впервые вирус Petya был обнаружен еще в марте 2016 года. Тогда специалисты по безопасности быстро заметили угрозу и не допустили ее массового распространения. Но уже в конце июня 2017 года атака повторилась вновь, что привело к весьма серьезным последствиям.
Вряд ли все закончится на этом. Атаки с использованием вирусов-вымогателей - явление нередкое, поэтому очень важно постоянно поддерживать свой компьютер в защищенном состоянии. Проблема заключается в том, что никто не может предугадать, в каком формате произойдет следующее заражение. Как бы там ни было, всегда стоит следовать нехитрым рекомендациям, приведенным в данной статье, чтобы сократить таким образом риски до минимума.
Атака вируса на компьютеры украинских государственных и частных компаний началась в 11:30. Под ударом оказались крупные банки, торговые сети, операторы сотовой связи, государственные компании, объекты инфраструктуры и предприятия сферы услуг.
Вирус охватил всю территорию Украины, к 17:00 появилась информация о том, что атака зафиксирована и на самом западе страны, в Закарпатье: здесь в связи с вирусом были закрыты отделения банка «ОТР» и Укрсоцбанка.
«Не работает популярный на Украине сайт Korrespondent.net и телеканал «24». Количество компаний, которые пострадали от атаки, увеличивается с каждым часом. В настоящее время на Украине не работает большая часть банковских отделений. Например, в офисах Укрсоцбанка компьютеры просто не загружаются. Нельзя получить или отправить деньги, оплатить квитанции и проч. В то же время в ПриватБанке проблем не наблюдается», — сообщает киевский корреспондент RT.
Вирус поражает только компьютеры, которые работают на операционной системе Windows. Он шифрует главную таблицу файлов жёсткого диска и вымогает у пользователей деньги за расшифровку. В этом он схож с вирусом-вымогателем WannaCry, атакам которого подверглось множество компаний по всему миру. При этом уже появились результаты проверки заражённых компьютеров, показавшие, что вирус уничтожает всю или большую часть информации на заражённых дисках.
В настоящий момент вирус идентифицирован как mbr locker 256, но в СМИ получило распространение другое название — Petya.
От Киева до Чернобыля
Вирус поразил и киевское метро, где в настоящее время возникают затруднения с оплатой банковскими картами.
Поражены многие крупные объекты инфраструктуры, такие как государственный железнодорожный оператор «Укрзализница», аэропорт Борисполь. Впрочем, пока они работают в штатном режиме, системы аэронавигации вирус не затронул, хотя Борисполь уже опубликовал предупреждение о возможных изменениях в расписании, а в самом аэропорту не работает табло прилёта.
В связи с атакой испытывают трудности в работе два крупнейших почтовых оператора страны: государственная «Укрпочта» и частная «Новая почта». Последняя заявила о том, что сегодня не будет взиматься плата за хранение посылок, а Укрпочта пытается минимизировать последствия атаки при помощи СБУ.
В связи с риском заражения не работают и сайты тех организаций, которые вирус не затронул. По этой причине отключены, к примеру, сервера сайта Киевской городской государственной администрации, а также сайт Министерства внутренних дел Украины.
Украинские официальные лица вполне предсказуемо заявляют, что атаки совершаются из России. Об этом сказал секретарь Совета национальной безопасности и обороны Украины Александр Турчинов. «Уже сейчас, проведя первичный анализ вируса, можно говорить про российский след», — цитирует его официальный сайт ведомства.
К 17:30 вирус добрался даже до Чернобыльской АЭС. Об этом изданию «Украинская правда» сообщил начальник смены ЧАЭС Владимир Ильчук.
«Есть предварительная информация, что некоторые компьютеры были заражены вирусом. Поэтому, как только эта хакерская атака началась, была дана персональная команда компьютерным рабочим на местах персонала компьютеры отключить», — сказал Ильчук.
Атака на сладости и нефтегаз
Хакерской атаке во вторник, 27 июня, также подверглись некоторые российские компании, включая нефтегазовые гиганты «Роснефть» и «Башнефть», металлургическую компанию Evraz, «Банк Хоум Кредит», отделения которого приостановили работу, а также российские представительства Mars, Nivea, Mondelez International, TESA и ряда других зарубежных компаний.
- Reuters
- MAXIM SHEMETOV
Около 14:30 мск в «Роснефти» заявили о проведении мощной хакерской атаки на серверы компании. При этом в микроблоге компании в Twitter отмечается, что атака могла привести к серьёзным последствиям, но благодаря переходу на резервную систему управления производственными процессами ни добыча, ни подготовка нефти не были остановлены.
После кибератаки сайты компаний «Роснефть» и «Башнефть» на некоторое время стали недоступны. В «Роснефти» также заявили о недопустимости распространения лживой информации по поводу произошедшей атаки.
Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.
— ПАО «НК «Роснефть» (@RosneftRu) 27 июня 2017 г.
«Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность», — сообщили в компании.
При этом в «Роснефти» отметили, что по факту кибератаки компания обратилась в правоохранительные органы, и выразили надежду, что инцидент никак не связан «с текущими судебными процедурами». Во вторник, 27 июня, арбитражный суд Башкирии начал рассмотрение по существу иска «Роснефти», «Башнефти» и Башкирии к АФК «Система» на сумму 170,6 млрд рублей.
WannaCry-младший
При этом хакерская атака не затронула работу компьютерных систем администрации президента России и официальный сайт Кремля, который, как сообщил ТАСС пресс-секретарь президента Дмитрий Песков, «работает стабильно».
Хакерская атака также никак не отразилась на работе российских АЭС, отметили в концерне «Росэнергоатом».
Компания Dr. Web на своём сайте заявила, что, несмотря на внешнее сходство, нынешняя атака была совершена с использованием вируса, отличающегося от уже известной вредоносной программы-вымогателя Petya, в частности, механизмом распространения угрозы.
«Среди жертв кибератаки оказались сети «Башнефти», «Роснефти», Mondelez International, Mars, Nivea, TESA и другие», — цитирует агентство сообщение компании. При этом в пресс-службе Mars в России рассказали, что кибератака вызвала проблемы с IT-системами только у бренда Royal Canin, производителя кормов для животных, а не у всей компании.
Последняя крупная хакерская атака на российские компании и государственные учреждения произошла 12 мая в рамках масштабной операции неизвестных хакеров, атаковавших компьютеры с ОС Windows в 74 странах мира при помощи вируса-шифровальщика WannaCry.
Во вторник глава международного комитета Совета Федерации Константин Косачёв, выступая на заседании комиссии Совфеда по защите государственного суверенитета, заявил, что около 30% всех кибератак на Россию совершается с территории США.
«С российской территории на американские компьютеры совершается не более 2% от общего числа кибератак, при этом с территории США на российскую электронную инфраструктуру — 28—29%», — приводит слова Косачёва РИА Новости.
По сообщению руководителя международной исследовательской команды «Лаборатория Касперского» Костина Райю, вирус Petya распространился на многие страны мира.
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.
, 18 июля 2017Ответы на самые важные вопросы о вирусе-вымогателе Petna (NotPetya, ExPetr) - шифровальщике на основе Petya, заразившем множество компьютеров по всему миру.
В этом месяце мы стали свидетелями еще одной массированной атаки программы-вымогателя, которая произошла всего спустя несколько недель после . За несколько дней данная модификация шифровальщика получила множество различных названий, включая Рetya (так называется оригинальный вирус), NotPetya, EternalPetya, Nyetya и прочие. Изначально мы назвали его «вирусом семейства Petya», но для удобства будем называть просто Petna.
Вокруг Petna хватает неясностей и помимо названия. Это та же программа-вымогатель, что и Рetya, или другая версия? Следует ли рассматривать Petna в качестве шифровальщика, требующего выкуп или вируса, который просто уничтожает данные? Проясним некоторые аспекты прошедшей атаки.
Продолжается ли распространение Petna?
Пик активности несколько дней назад. Распространение вируса началось утром 27 июня. В тот же день его активность достигла наивысшего уровня, каждый час происходили тысячи попыток атак. После этого их интенсивность значительно снизилась в течение того же дня, а в дальнейшем наблюдалось лишь небольшое количество заражений.
Можно ли сравнить данную атаку с WannaCry?
Нет, если судить по охвату нашей пользовательской базы. Мы наблюдали около 20 000 попыток атак по всему миру, что несоизмеримо меньше, чем 1,5 миллионов предотвращенных нами атак WannaCry.
Какие страны пострадали больше всего?
Данные нашей телеметрии показывают, что основной удар вируса был нанесен по Украине, где было обнаружено более 90% попыток атак. Также пострадали Россия, США, Литва, Беларусь, Бельгия и Бразилия. В каждой из этих стран отмечено от нескольких десятков до нескольких сотен попыток заражения.
Какие операционные системы подверглись заражению?
Наибольшее количество атак было зафиксировано на устройства под управлением Windows 7 (78 %) и Windows XP (14 %). Количество атак на более современные системы оказалось значительно меньше.
Каким образом вирус Рetna проникал на ПК?
Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерским софтом M.E.Doc. Именно поэтому настолько серьезно пострадала Украина.
Горький парадокс: в целях безопасности пользователям всегда советуется обновлять программное обеспечение, однако в данном случае вирус начал масштабное распространение именно с обновлением ПО, выпущенного M.E.Doc.
Почему пострадали и компьютеры за пределами Украины?
Одна из причин состоит в том, что некоторые пострадавшие компании имеют украинские дочерние структуры. Как только вирус заражает компьютер, он распространяется внутри сети. Именно так ему удалось достичь компьютеров в других странах. Мы продолжаем исследовать другие возможные векторы заражения.
Что происходит после заражения?
После заражения устройства Реtnа пытается зашифровать файлы с определенными расширениями. Список целевых файлов не так велик по сравнению со списками оригинального вируса Petya и других программ-вымогателей, однако он включает расширения фотографий, документов, исходных кодов, баз данных, образов дисков и прочие. Кроме того, данное ПО не только шифрует файлы, но и как червь распространяется на другие устройства, подключенные к локальной сети.
Как , вирус применяет три различных способа распространения: с использованием эксплойтов EternalBlue (известного по WannaCry) или EternalRomance, через общие сетевые ресурсы Windows с использованием украденных у жертвы учетных данных (с помощью утилит типа Mimikatz, которые могут извлекать пароли), а также благонадежных инструментов вроде PsExec и WMIC.
После шифрования файлов и распространения по сети, вирус пытается нарушить загрузку Windows (изменяя основную загрузочную запись, MBR), а после принудительной перезагрузки зашифровывает главную файловую таблицу (MFT) системного диска. Это не позволяет компьютеру более загрузить Windows и делает использование компьютера невозможным.
Может ли Реtnа заразить мой компьютер со всеми установленными обновлениями безопасности?
Да, это возможно за счет горизонтального распространения вредоносной программы, описанного выше. Даже если конкретное устройство защищено и от EternalBlue и EternalRomance, оно все же может быть заражено третьим способом.
Это Реtуа, WannaCry 2.0 или что-то еще?
Вирус Реtnа определенно основан на исходном вымогателе Реtуа. Например, в части, отвечающей за шифрование главной файловой таблицы, он практически идентичен встречавшейся ранее угрозе . Однако он не полностью идентичен старым версиям вымогателя. Предполагается, что вирус изменила третья сторона, а не автор исходной версии, известный как Janus, который также высказался по этому поводу в Twitter , а позже опубликовал мастер-ключ дешифрования для всех прошлых версий программы.
Основное сходство между Pеtnа и WannaCry состоит в том, что для распространения они использовали эксплойт EternalBlue.
Правда ли, что вирус ничего не шифрует, а просто уничтожает данные на дисках?
Это не правда. Данное вредоносное ПО лишь зашифровывает файлы и главную файловую таблицу (MFT). Другой вопрос - можно ли расшифровать эти файлы.
Имеется ли бесплатное средство дешифровки?
К сожалению, нет. Вирус использует достаточно мощный алгоритм шифрования, который не удается преодолеть. Он шифрует не только файлы, но и главную файловую таблицу (MFT), что сильно усложняет процесс расшифровки.
Стоит ли платить выкуп?
Нет! Мы никогда не советуем платить выкуп, поскольку это лишь поддерживает преступников и стимулирует их к продолжению подобной деятельности. Более того, вполне вероятно, что вы не получите свои данные обратно, даже заплатив. В данном случае это очевиднее, чем когда-либо ранее. И вот почему.
Указанный в окне с требованием выкупа официальный адрес электронной почты [email protected], на который жертв просили отправлять выкуп, был закрыт поставщиком услуг электронной почты вскоре после вирусной атаки. Поэтому создатели шифровальщика не могут узнать, кто заплатил, а кто нет.
Дешифровка раздела MFT невозможна в принципе, поскольку ключ теряется после того, как вымогатель его зашифровывает. В предыдущих версиях вируса этот ключ хранился в идентификаторе жертвы, но в случае с последней модификацией - это просто случайная строка.
К тому же примененное к файлам шифрование весьма хаотично. Как
Добрый день, друзья. Совсем недавно мы с вами разбирали вирус шифровальщик WannaCry , который в считанные часы распространился по многим странам мира и заразил много компьютеров. И вот в конце июня появился новый похожий вирус «Петя». Или, как его чаще всего называют «Petya».
Данные вирусы относятся к троянам вымогателям и довольно похожи, хотя имеют и свои отличия, притом существенные. По официальным данным «Петя» вначале заразил приличное число компьютеров в Украине, а затем начал своё путешествие по всему миру.
Пострадали компьютеры Израиля, Сербии, Румынии, Италии, Венгрии, Польши и др. Россия в этом списке на 14 – м месте. Затем, вирус перекинулся на другие континенты.
В основном, жертвами вируса стали крупные компании (довольно часто нефтяные), аэропорты, компании сотовой связи и т.д., например, пострадала компания «Башнефть», «Роснефть», «Марс», «Нестле» и прочие. Другими словами, целью злоумышленников являются крупные компании, с которых можно взять деньги.
Что представляет из себя «Петя»?
Petya – это вредоносное ПО, являющееся трояном вымогателем. Подобные вредители созданы с целью шантажа владельцев заражённых компьютеров посредством шифрования информации, расположенной на ПК. Вирус Петя, в отличие от WannaCry, не шифрует отдельные файлы. Данный троян шифрует весь диск полностью. В этом его большая опасность, чем у вируса WannaCry.
Когда Petya попадает на компьютер, он очень быстро зашифровывает таблицу MFT. Чтобы было понятнее, приведём аналогию. Если сравнить файлы с большой городской библиотекой, он убирает её каталог, и найти в таком случае нужную книгу очень трудно.
Даже, не просто каталог, а как бы перемешивает страницы (файлы) с разных книг. Разумеется, система в этом случае даёт сбой. Системе в таком хламе разобраться очень сложно. Как только вредитель попадает на компьютер, он перезагружает ПК и после загрузки появляется красный череп. Затем, при нажатии на любую кнопку появляется баннер с предложением заплатить 300$ на счет биткойн.
Вирус Петя как не Поймать
Кто мог создать Petya? На этот вопрос пока нет ответа. И вообще, не понятно, установят ли автора (скорее всего нет)? Но известно, что утечка произошла из США. Вирус, также, как и WannaCry, ищет дыру в операционной системе. Чтобы залатать эту дыру, достаточно установить обновление MS17-010 (вышло ещё несколько месяцев назад при атаке WannaCry). Скачать его можно по ссылке . Или, с официального сайта Microsoft.
На данный момент, данное обновление является самым оптимальным способом защиты компьютера. Также, не забывайте про хороший антивирус. Тем более, Лаборатория Касперского заявила, что у них есть обновление баз, блокирующее данный вирус.
Но, это не означает, что нужно устанавливать именно Касперский. Пользуйтесь своим антивирусом, только не забывайте обновлять его базы. Также, не забывайте про хороший файрволл.
Как распространяется вирус Петя
Чаще всего Petya попадает на компьютер через электронную почту. Поэтому, не стоит на время инкубации вируса Петя открывать различные ссылки в письмах, особенно, в незнакомых. Вообще, возьмите себе за правило, не открывать ссылки от незнакомых людей. Так вы обезопасите себя не только от этого вируса, но и от многих других.
Затем, попав на компьютер, троян проводит перезагрузку и имитирует проверку на . Далее, как я уже упоминал, на экране появляется красный череп, затем баннер, с предложением оплатить расшифровку файлов, переведя триста долларов на Биткоин кошелёк.
Скажу сразу, оплачивать ни в коем случае ни нужно! Вам всё равно его не расшифруют, только потратите деньги и сделаете взнос создателям трояна. Данный вирус не предназначен к дешифрованию.
Вирус Петя как защититься
Давайте подробнее рассмотрим защиту от вируса Petya:
- Я уже упоминал про обновления системы. Это самый важный момент. Даже если у вас система пиратская, необходимо обновление MS17-010 скачать и установить.
- В настройках Windows включите «Показывать расширения файлов». Благодаря чему, вы сможете видеть расширение файлов и удалять подозрительные. Файл вируса имеет расширение — exe.
- Вернёмся к письмам. Не проходите по ссылкам или вложениям от незнакомых людей. И вообще, на время карантина не проходите по ссылкам в почте (даже от знакомых людей).
- Желательно включить контроль учетных записей.
- Важные файлы скопируйте на сменные носители. Можно скопировать в «Облако». Этим вы уйдёте от многих проблем. Если Petya появится на вашем ПК, достаточно будет установить новую операционную систему, предварительно отформатировав винчестер.
- Установите хороший антивирус. Желательно, чтобы он был ещё и файрволлом. Обычно у подобных антивирусов на конце стоит надпись Security. Если у вас на компьютере есть важные данные, на антивирусе экономить не стоит.
- Установив приличные антивирус, не забывайте обновлять его базы данных.
Вирус Петя как удалить
Это сложный вопрос. Если Petya провёл работу на вашем компьютере, удалять по сути будет нечего. В системе все файлы будут разбросаны. Скорее всего, упорядочить их вы уже не сможете. Платить злоумышленникам не стоит. Остаётся отформатировать диск и переустановить систему. После форматирования и переустановки системы вирус исчезнет.
Также, хочу добавить – данный вредитель представляет угрозу именно системе Windows. Если у вас любая другая система, например, Российская система Роса, бояться данного вируса вымогателя вам не стоит. Это же относится и к владельцам телефонов. На большинстве из них установлена система Android, IOS и т.д. Поэтому, владельцам сотовых беспокоиться особо нечего.
Также, если вы простой человек, а не владелец крупной компании, скорее всего злоумышленникам вы не интересны. Им нужны именно крупные компании, для которых 300$ ничего не значат и которые им реально могут заплатить данные деньги. Но, это не значит, что вирус не может попасть и на ваш компьютер. Лучше подстраховаться!
Всё же, будем надеяться, что вирус Petya вас минует! Берегите вашу информацию на компьютере. Успехов!
Во вторник, 27 июня, украинские и российские компании сообщили о массовой вирусной атаке: компьютеры на предприятиях отображали сообщение с требованием о выкупе. разобралась, кто в очередной раз пострадал из-за хакеров и как уберечься от кражи важных данных.
Петя, хватит
Первым атаке подвергся энергетический сектор: на вирус пожаловались украинские компании «Укрэнерго» и «Киевэнерго». Злоумышленники парализовали их компьютерные системы, но на стабильности работы электростанций это не отразилось.
Украинцы начали публиковать последствия заражения в сети: судя по многочисленным снимкам, компьютеры атаковал вирус-вымогатель. На экране пораженных устройств выскакивало сообщение о том, что все данные зашифрованы, и владельцам устройств нужно заплатить 300 долларов выкупа в биткоинах. При этом хакеры не сообщили, что произойдет с информацией в случае бездействия, и даже не установили таймер обратного отсчета до уничтожения данных, как это было с атакой вируса WannaCry.
Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, и ПриватБанка.
Заражению подверглись компьютерные сети «Укртелекома», аэропорта «Борисполь», «Укрпочты», «Новой почты», «Киевводоканала» и Киевского метрополитена. Кроме того, вирус ударил по украинским мобильным операторам - «Киевстару», Vodafone и Lifecell.
Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.
Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).
По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории отметил , что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.
Кто виноват
Поспешила предположить, что атака организована с территории России или Донбасса, но никаких доказательств не предоставила. Министр инфраструктуры Украины увидел подсказку в слове «вирус» и написал в своем Facebook, что «не случайно оно заканчивается на RUS», снабдив свое предположение подмигивающим смайликом.
Между тем утверждает, что атака никак не связана с существующими «зловредами», известными под названием Petya и Mischa. Безопасники утверждают, что новая волна поразила не только украинские и российские компании, но и предприятия в других странах.
Тем не менее нынешний «зловред» по интерфейсу напоминает известный вирус Petya, который еще несколько лет назад распространялся посредством фишинговых ссылок. В конце декабря неизвестный хакер, ответственный за создание вымогателей Petya и Mischa, начал рассылать зараженные письма с вложенным вирусом под названием GoldenEye, который был идентичен предыдущим версиям шифровальщиков.
Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем - установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.
Вычислить хакера не удалось, но очевидно, что он является поклонником бондианы. Программы Petya и Mischa - названия российских спутников «Петя» и «Миша» из фильма «Золотой глаз» (Golden Eye), по сюжету представлявших собой электромагнитное оружие.
Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.
Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.
Не в первый раз
В середине мая компьютеры по всему миру атаковал похожий вирус-вымогатель WannaCrypt0r 2.0, также известный как WannaCry. Всего за несколько часов он парализовал работу сотен тысяч работавших на Windows устройств в более чем 70 странах. В числе пострадавших оказались и российские силовые структуры, банки и мобильные операторы. Попав на компьютер жертвы, вирус шифровал жесткий диск и требовал отправить злоумышленникам 300 долларов в биткоинах. На размышление отводилось три дня, после чего сумма увеличивалась вдвое, а через неделю файлы зашифровывались навсегда.
Однако жертвы не торопились перечислять выкуп, и создатели «вредоноса»