Petya ή όχι Petya; Τι είδους ιός επιτέθηκε σε εταιρείες σε όλο τον κόσμο και τι πρέπει να κάνετε εάν ο υπολογιστής σας έχει μολυνθεί. Πώς εξαπλώνεται ο ιός (Not)Petya σε όλο τον κόσμο και τι να κάνετε γι 'αυτό

Στις αρχές Μαΐου, περίπου 230.000 υπολογιστές σε περισσότερες από 150 χώρες μολύνθηκαν από έναν ιό ransomware. Πριν προλάβουν τα θύματα να εξαλείψουν τις συνέπειες αυτής της επίθεσης, ακολούθησε μια νέα, που ονομάζεται Petya. Οι μεγαλύτερες ουκρανικές και ρωσικές εταιρείες, καθώς και κυβερνητικά ιδρύματα, υπέφεραν από αυτό.

Η αστυνομία του κυβερνοχώρου της Ουκρανίας διαπίστωσε ότι η επίθεση από τον ιό ξεκίνησε μέσω ενός μηχανισμού ενημέρωσης για το λογιστικό λογισμικό M.E.Doc, το οποίο χρησιμοποιείται για την προετοιμασία και αποστολή φορολογικών εκθέσεων. Έτσι, έγινε γνωστό ότι τα δίκτυα των Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo και του Dnieper Electric Power System δεν γλίτωσαν μόλυνση. Στην Ουκρανία, ο ιός διείσδυσε σε κυβερνητικούς υπολογιστές, υπολογιστές του μετρό του Κιέβου, τηλεπικοινωνιακούς φορείς ακόμη και στον πυρηνικό σταθμό του Τσερνομπίλ. Στη Ρωσία, η Mondelez International, η Mars και η Nivea επηρεάστηκαν.

Ο ιός Petya εκμεταλλεύεται την ευπάθεια EternalBlue στο λειτουργικό σύστημα Windows. Οι ειδικοί της Symantec και της F-Secure λένε ότι παρόλο που η Petya κρυπτογραφεί δεδομένα όπως το WannaCry, εξακολουθεί να είναι κάπως διαφορετικό από άλλους τύπους ιών κρυπτογράφησης. «Ο ιός Petya είναι ένας νέος τύπος εκβιασμού με κακόβουλη πρόθεση: δεν κρυπτογραφεί απλώς αρχεία στο δίσκο, αλλά κλειδώνει ολόκληρο τον δίσκο, καθιστώντας τον πρακτικά άχρηστο», εξηγεί η F-Secure. "Συγκεκριμένα, κρυπτογραφεί τον κύριο πίνακα αρχείων MFT."

Πώς συμβαίνει αυτό και μπορεί να αποτραπεί αυτή η διαδικασία;

Ιός "Petya" - πώς λειτουργεί;

Ο ιός Petya είναι επίσης γνωστός με άλλα ονόματα: Petya.A, PetrWrap, NotPetya, ExPetr. Μόλις στον υπολογιστή, κατεβάζει ransomware από το Διαδίκτυο και προσπαθεί να επιτεθεί σε μέρος του σκληρού δίσκου με τα δεδομένα που είναι απαραίτητα για την εκκίνηση του υπολογιστή. Εάν τα καταφέρει, το σύστημα εκδίδει μια μπλε οθόνη θανάτου ("μπλε οθόνη θανάτου"). Μετά την επανεκκίνηση, εμφανίζεται ένα μήνυμα σχετικά με τον έλεγχο του σκληρού δίσκου που σας ζητά να μην απενεργοποιήσετε την τροφοδοσία. Έτσι, ο ιός κρυπτογράφησης υποδύεται ένα πρόγραμμα σάρωσης δίσκου συστήματος, κρυπτογραφώντας ταυτόχρονα αρχεία με ορισμένες επεκτάσεις. Στο τέλος της διαδικασίας, εμφανίζεται ένα μήνυμα που υποδεικνύει ότι ο υπολογιστής είναι μπλοκαρισμένος και πληροφορίες σχετικά με τον τρόπο απόκτησης ενός ψηφιακού κλειδιού για την αποκρυπτογράφηση των δεδομένων. Ο ιός Petya απαιτεί λύτρα, συνήθως σε Bitcoin. Εάν το θύμα δεν έχει αντίγραφο ασφαλείας των αρχείων του, βρίσκεται αντιμέτωπο με την επιλογή να πληρώσει 300 $ ή να χάσει όλες τις πληροφορίες. Σύμφωνα με ορισμένους αναλυτές, ο ιός μεταμφιέζεται μόνο σε ransomware, ενώ ο πραγματικός του στόχος είναι να προκαλέσει τεράστια ζημιά.

Πώς να απαλλαγείτε από την Petya;

Οι ειδικοί ανακάλυψαν ότι ο ιός Petya αναζητά ένα τοπικό αρχείο και, εάν αυτό το αρχείο υπάρχει ήδη στο δίσκο, βγαίνει από τη διαδικασία κρυπτογράφησης. Αυτό σημαίνει ότι οι χρήστες μπορούν να προστατεύσουν τον υπολογιστή τους από ransomware δημιουργώντας αυτό το αρχείο και ορίζοντας το ως μόνο για ανάγνωση.

Παρόλο που αυτό το πονηρό σχέδιο εμποδίζει την έναρξη της διαδικασίας εκβιασμού, αυτή η μέθοδος μπορεί να θεωρηθεί περισσότερο σαν «εμβόλιο υπολογιστή». Έτσι, ο χρήστης θα πρέπει να δημιουργήσει μόνος του το αρχείο. Μπορείτε να το κάνετε ως εξής:

• Πρώτα πρέπει να κατανοήσετε την επέκταση αρχείου. Στο παράθυρο Επιλογές φακέλου, βεβαιωθείτε ότι το πλαίσιο ελέγχου Απόκρυψη επεκτάσεων για γνωστούς τύπους αρχείων δεν είναι επιλεγμένο.
• Ανοίξτε το φάκελο C:\Windows, μετακινηθείτε προς τα κάτω μέχρι να δείτε το πρόγραμμα notepad.exe.
• Κάντε αριστερό κλικ στο notepad.exe, μετά πατήστε Ctrl + C για αντιγραφή και μετά Ctrl + V για επικόλληση του αρχείου. Θα λάβετε ένα αίτημα που θα σας ζητά άδεια για την αντιγραφή του αρχείου.
• Κάντε κλικ στο κουμπί Συνέχεια και το αρχείο θα δημιουργηθεί ως σημειωματάριο - Copy.exe. Κάντε αριστερό κλικ σε αυτό το αρχείο και πατήστε F2, μετά διαγράψτε το όνομα αρχείου Copy.exe και πληκτρολογήστε perfc.
• Αφού αλλάξετε το όνομα του αρχείου σε perfc, πατήστε Enter. Επιβεβαιώστε τη μετονομασία.
• Τώρα που δημιουργήθηκε το αρχείο perfc, πρέπει να το κάνουμε μόνο για ανάγνωση. Για να το κάνετε αυτό, κάντε δεξί κλικ στο αρχείο και επιλέξτε "Ιδιότητες".
• Θα ανοίξει το μενού ιδιοτήτων για αυτό το αρχείο. Στο κάτω μέρος θα δείτε "Μόνο για ανάγνωση". Επιλέξτε το πλαίσιο.
• Τώρα κάντε κλικ στο κουμπί Εφαρμογή και μετά στο κουμπί OK.

Ορισμένοι ειδικοί σε θέματα ασφάλειας προτείνουν τη δημιουργία αρχείων C:\Windows\perfc.dat και C:\Windows\perfc.dll εκτός από το αρχείο C:\windows\perfc, προκειμένου να προστατευτείτε καλύτερα από τον ιό Petya. Μπορείτε να επαναλάβετε τα παραπάνω βήματα για αυτά τα αρχεία.

Συγχαρητήρια, ο υπολογιστής σας προστατεύεται από το NotPetya/Petya!

Οι ειδικοί της Symantec προσφέρουν μερικές συμβουλές στους χρήστες υπολογιστών για να τους αποτρέψουν από το να κάνουν πράγματα που θα μπορούσαν να οδηγήσουν σε κλειδωμένα αρχεία ή απώλεια χρημάτων.

1. Μην πληρώνετε χρήματα σε εγκληματίες.Ακόμα κι αν μεταφέρετε χρήματα στο ransomware, δεν υπάρχει καμία εγγύηση ότι θα μπορέσετε να ανακτήσετε την πρόσβαση στα αρχεία σας. Και στην περίπτωση του NotPetya / Petya, αυτό είναι βασικά χωρίς νόημα, επειδή ο στόχος του ransomware είναι να καταστρέψει δεδομένα και όχι να πάρει χρήματα.
2. Φροντίστε να δημιουργείτε αντίγραφα ασφαλείας των δεδομένων σας τακτικά.Σε αυτήν την περίπτωση, ακόμα κι αν ο υπολογιστής σας γίνει στόχος επίθεσης από ιούς ransomware, θα μπορείτε να ανακτήσετε τυχόν διαγραμμένα αρχεία.
3. Μην ανοίγετε email από αμφισβητούμενες διευθύνσεις.Οι εισβολείς θα προσπαθήσουν να σας ξεγελάσουν ώστε να εγκαταστήσετε κακόβουλο λογισμικό ή θα προσπαθήσουν να αποκτήσουν σημαντικά δεδομένα για επιθέσεις. Φροντίστε να ενημερώσετε τους ειδικούς πληροφορικής εάν εσείς ή οι υπάλληλοί σας λαμβάνετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή συνδέσμους.
4. Χρησιμοποιήστε αξιόπιστο λογισμικό.Η έγκαιρη ενημέρωση των προγραμμάτων προστασίας από ιούς παίζει σημαντικό ρόλο στην προστασία των υπολογιστών από μολύνσεις. Και, φυσικά, πρέπει να χρησιμοποιείτε προϊόντα από αξιόπιστες εταιρείες σε αυτόν τον τομέα.
5. Χρησιμοποιήστε μηχανισμούς για σάρωση και αποκλεισμό ανεπιθύμητων μηνυμάτων.Τα εισερχόμενα email θα πρέπει να σαρώνονται για απειλές. Είναι σημαντικό να αποκλείσετε κάθε τύπο μηνυμάτων που περιέχουν συνδέσμους ή τυπικές λέξεις-κλειδιά ηλεκτρονικού ψαρέματος στο κείμενό τους.
6. Βεβαιωθείτε ότι όλα τα προγράμματα είναι ενημερωμένα.Η τακτική αποκατάσταση των τρωτών σημείων του λογισμικού είναι απαραίτητη για την πρόληψη λοιμώξεων.

Να περιμένουμε νέες επιθέσεις;

Ο ιός Petya εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2016 και οι ειδικοί ασφαλείας παρατήρησαν αμέσως τη συμπεριφορά του. Ο νέος ιός Petya μόλυνε υπολογιστές στην Ουκρανία και τη Ρωσία στα τέλη Ιουνίου 2017. Αλλά αυτό είναι απίθανο να είναι το τέλος. Οι επιθέσεις χάκερ που χρησιμοποιούν ιούς ransomware παρόμοιους με τους Petya και WannaCry θα επαναληφθούν, δήλωσε ο Stanislav Kuznetsov, αντιπρόεδρος του διοικητικού συμβουλίου της Sberbank. Σε συνέντευξή του στο TASS, προειδοποίησε ότι τέτοιες επιθέσεις θα συμβούν σίγουρα, αλλά είναι δύσκολο να προβλεφθεί εκ των προτέρων σε ποια μορφή και μορφή μπορεί να εμφανιστούν.

Εάν, μετά από όλες τις επιθέσεις στον κυβερνοχώρο που έχουν περάσει, δεν έχετε λάβει ακόμη τουλάχιστον τα ελάχιστα βήματα για να προστατεύσετε τον υπολογιστή σας από έναν ιό ransomware, τότε είναι καιρός να το αντιμετωπίσετε σοβαρά.

Το ransomware εμφανίστηκε τον Οκτώβριο του 2017. Σύμφωνα με τις τρέχουσες αναφορές, η τελευταία έκδοση του ransomware επηρεάζει κυρίως ρωσικούς και ουκρανικούς οργανισμούς.

Αυτό το κακόβουλο λογισμικό εισέρχεται στους υπολογιστές του θύματος και εκτελεί τις δραστηριότητές του κρυφά και ο υπολογιστής μπορεί να βρίσκεται σε κίνδυνο. Το Petya κρυπτογραφεί αρχεία με αλγόριθμους RSA-4096 και AES-256, χρησιμοποιείται ακόμη και για στρατιωτικούς σκοπούς. Ένας τέτοιος κωδικός δεν μπορεί να αποκρυπτογραφηθεί χωρίς ιδιωτικό κλειδί.

Όπως και άλλα ransomware όπως ο ιός Locky, ο ιός CryptoWall και ο ιός CryptoLocker, αυτό το ιδιωτικό κλειδί αποθηκεύεται σε κάποιον απομακρυσμένο διακομιστή, στον οποίο μπορείτε να έχετε πρόσβαση μόνο με την καταβολή λύτρων στον δημιουργό του ιού.

Σε αντίθεση με άλλα ransomware, μόλις εκκινηθεί αυτός ο ιός, επανεκκινεί αμέσως τον υπολογιστή σας και όταν εκκινηθεί ξανά, εμφανίζεται ένα μήνυμα στην οθόνη:

«ΜΗΝ ΚΛΕΙΣΤΕ ΤΟΝ Η/Υ ΣΑΣ! ΑΝ ΣΤΑΜΑΤΗΣΕΤΕ ΑΥΤΗ ΤΗ ΔΙΑΔΙΚΑΣΙΑ, ΜΠΟΡΕΙ ΝΑ ΚΑΤΑΣΤΡΕΨΕΤΕ ΟΛΑ ΤΑ ΔΕΔΟΜΕΝΑ ΣΑΣ! ΠΑΡΑΚΑΛΩ Βεβαιωθείτε ότι ο υπολογιστής σας είναι συνδεδεμένος με τη φόρτιση!»

Αν και αυτό μπορεί να μοιάζει με σφάλμα συστήματος, ο Petya εκτελεί πραγματικά αθόρυβα κρυπτογράφηση σε λειτουργία μυστικότητας.

Εάν ο χρήστης προσπαθήσει να επανεκκινήσει το σύστημα ή να διακόψει την κρυπτογράφηση του αρχείου, εμφανίζεται ένας κόκκινος σκελετός που αναβοσβήνει στην οθόνη μαζί με το κείμενο "PRESS ANY KEY!" Τέλος, αφού πατήσετε το πλήκτρο, θα εμφανιστεί ένα νέο παράθυρο με ένα σημείωμα λύτρων. Σε αυτό το σημείωμα, το θύμα καλείται να πληρώσει 0,9 bitcoin, που είναι περίπου 400 $.

Ωστόσο, αυτή η τιμή είναι μόνο για έναν υπολογιστή. Επομένως, για εταιρείες που διαθέτουν πολλούς υπολογιστές, το ποσό μπορεί να είναι χιλιάδες. Αυτό που επίσης ξεχωρίζει αυτό το ransomware είναι ότι σας δίνει μια ολόκληρη εβδομάδα για να πληρώσετε τα λύτρα, αντί για τις συνηθισμένες 12-72 ώρες που δίνουν άλλοι ιοί αυτής της κατηγορίας.

Επιπλέον, τα προβλήματα με την Petya δεν τελειώνουν εκεί. Μόλις αυτός ο ιός εισέλθει στο σύστημα, θα προσπαθήσει να ξαναγράψει τα αρχεία εκκίνησης των Windows, ή το λεγόμενο Boot Writer, που απαιτείται για την εκκίνηση του λειτουργικού συστήματος.

Δεν θα μπορείτε να αφαιρέσετε τον ιό Petya από τον υπολογιστή σας, εκτός εάν επαναφέρετε τις ρυθμίσεις του Master Boot Recorder (MBR).

Ακόμα κι αν καταφέρετε να διορθώσετε αυτές τις ρυθμίσεις και να αφαιρέσετε τον ιό από το σύστημά σας, δυστυχώς, τα αρχεία σας θα παραμείνουν κρυπτογραφημένα επειδή η αφαίρεση του ιού δεν αποκρυπτογραφεί τα αρχεία, αλλά απλώς αφαιρεί τα μολυσματικά αρχεία.

Φυσικά, η αφαίρεση του ιού είναι σημαντική εάν θέλετε να συνεχίσετε να εργάζεστε με τον υπολογιστή σας. Συνιστούμε τη χρήση αξιόπιστων εργαλείων προστασίας από ιούς όπως το , για τη φροντίδα της αφαίρεσης του Petya.

Ένας ιός που ονομάζεται NotPetya διακόπτει το εργοστάσιο παραγωγής ηλεκτρικής ενέργειας του Τσερνομπίλ

Στις 27 Ιουνίου 2017, ένας ιός που ονομάζεται NotPetya μιμείται τον Petya εισήλθε στα συστήματα υπολογιστών εταιρειών και διεθνών κρατικών υπηρεσιών. Εξαιτίας αυτού, τα συστήματα δεν μπορούσαν να ξεκινήσουν κανονικά. Απαιτείται χρέωση 300 $ σε αντάλλαγμα για την πρόσβαση. Περαιτέρω ανάλυση έδειξε ότι ο ιός δεν είναι πραγματικός Petya. .

Έχοντας δει το μέγεθος της επίθεσης, η Ουκρανία υπέφερε κυρίως. Λόγω αστοχιών του συστήματος, το αεροδρόμιο του Κιέβου αναγκάστηκε να ακυρώσει ορισμένες πτήσεις. Επιπλέον, οι εργαζόμενοι στο εργοστάσιο παραγωγής ενέργειας του Τσερνομπίλ έπρεπε να προσαρμόσουν χειροκίνητα τα επίπεδα ακτινοβολίας.

Είναι ενδιαφέρον ότι ορισμένοι ειδικοί πληροφορικής ανακάλυψαν ότι ο ιός εξαπλώνεται μέσω κατεστραμμένων ενημερώσεων που σχετίζονται με τον κατασκευαστή λογισμικού υπολογιστών MeDoc στην Ουκρανία. Ωστόσο, τέτοιες κατηγορίες απαιτούν περαιτέρω στοιχεία.

Ευτυχώς, άλλοι ειδικοί στον κυβερνοχώρο έχουν βρει μια προσωρινή λύση για να αποτρέψουν την επίθεση NotPetya/Petya.a.

Η παραπάνω εικόνα δείχνει το σημείωμα λύτρων του Petya.
Μέθοδος 1. (Ασφαλής λειτουργία)
Επιλέξτε "Safe Mode with Networking" Μέθοδος 1. (Ασφαλής λειτουργία)
Επιλέξτε "Ενεργοποίηση ασφαλούς λειτουργίας με δικτύωση"

Επιλέξτε "Ασφαλής λειτουργία με γραμμή εντολών" Μέθοδος 2. (Επαναφορά Συστήματος)
Επιλέξτε "Ενεργοποίηση ασφαλούς λειτουργίας με γραμμή εντολών"
Μέθοδος 2. (Επαναφορά Συστήματος)
Πληκτρολογήστε "cd restore" χωρίς εισαγωγικά και πατήστε "Enter"
Μέθοδος 2. (Επαναφορά Συστήματος)
Πληκτρολογήστε "rstrui.exe" χωρίς εισαγωγικά και πατήστε "Enter"
Μέθοδος 2. (Επαναφορά Συστήματος)
Στο παράθυρο "Επαναφορά Συστήματος" που εμφανίζεται, επιλέξτε "Επόμενο"
Μέθοδος 2. (Επαναφορά Συστήματος)
Επιλέξτε το σημείο επαναφοράς και κάντε κλικ στο "Επόμενο"
Μέθοδος 2. (Επαναφορά Συστήματος)
Κάντε κλικ στο «Ναι» και ξεκινήστε την αποκατάσταση συστήματος ⇦ ⇨

Ολίσθηση 1 από 10

Πώς εξαπλώνεται αυτός ο ιός και πώς μπορεί να εισέλθει σε έναν υπολογιστή;

Ο ιός Petya μεταδίδεται συνήθως μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν συνδέσμους λήψης Dropbox για ένα αρχείο που ονομάζεται "εφαρμογή φάκελο-gepackt.exe" που είναι συνδεδεμένο σε αυτά. Ο ιός ενεργοποιείται όταν γίνεται λήψη και άνοιγμα ενός συγκεκριμένου αρχείου. Εφόσον γνωρίζετε ήδη πώς εξαπλώνεται αυτός ο ιός, θα πρέπει να έχετε μερικές ιδέες για το πώς να προστατεύσετε τον υπολογιστή σας από επιθέσεις ιών.

Φυσικά, θα πρέπει να είστε προσεκτικοί σχετικά με το άνοιγμα ηλεκτρονικών αρχείων που αποστέλλονται από ύποπτους χρήστες και άγνωστες πηγές που παρουσιάζουν πληροφορίες που δεν είναι αυτό που περιμένετε. Θα πρέπει επίσης να αποφύγετε τα μηνύματα ηλεκτρονικού ταχυδρομείου που εμπίπτουν στην κατηγορία "spam", καθώς οι περισσότεροι πάροχοι υπηρεσιών email φιλτράρουν αυτόματα τα email και τα τοποθετούν στους κατάλληλους καταλόγους.

Ωστόσο, δεν πρέπει να εμπιστεύεστε αυτά τα φίλτρα, επειδή ενδέχεται να περάσουν από μέσα τους πιθανές απειλές. Επίσης, βεβαιωθείτε ότι το σύστημά σας διαθέτει ένα αξιόπιστο εργαλείο προστασίας από ιούς. Τέλος, συνιστάται πάντα να διατηρείτε αντίγραφα ασφαλείας σε κάποια εξωτερική μονάδα δίσκου σε περίπτωση επικίνδυνων καταστάσεων.

Πώς μπορώ να αφαιρέσω τον ιό Petya από τον υπολογιστή μου;

Όπως έχουμε ήδη αναφέρει, η αφαίρεση του ιού Petya είναι απαραίτητη για την ασφάλεια των μελλοντικών αρχείων σας. Επίσης, η ανάκτηση δεδομένων από εξωτερικές μονάδες δίσκου μπορεί να πραγματοποιηθεί μόνο όταν ο ιός και όλα τα στοιχεία του έχουν αφαιρεθεί πλήρως από τον υπολογιστή. Διαφορετικά, το Petya μπορεί να διεισδύσει και να μολύνει τα αρχεία σας σε εξωτερικές μονάδες δίσκου.
Δεν μπορείτε να αφαιρέσετε το Petya από τον υπολογιστή σας χρησιμοποιώντας μια απλή διαδικασία απεγκατάστασης, επειδή δεν θα λειτουργήσει με αυτό το κακόβουλο λογισμικό. Αυτό σημαίνει ότι θα πρέπει να αφαιρέσετε αυτόματα αυτόν τον ιό.

Μια επιδημία ιού ransomware έχει ξεκινήσει. Οι ειδικοί δεν έχουν ξεκάθαρη άποψη για την προέλευση και τη φύση του κακόβουλου λογισμικού. Σημειώνουν ότι είναι παρόμοιος με τον ιό Petya, ο οποίος είναι γνωστός από τις αρχές του περασμένου έτους, και τον Απρίλιο ήταν ήδη έτοιμος ένας αποκρυπτογραφητής. Ωστόσο, για να διαδοθεί, μια νέα τροποποίηση - ονομάζεται NonPetya, ExPetya, Petya.A - χρησιμοποιεί «φρέσκα» τρωτά σημεία. Συμπεριλαμβανομένου αυτού μέσω του οποίου το WannaCry εισήλθε στους υπολογιστές τον Μάιο.

Το νέο "Petya" μπαίνει στον υπολογιστή, κρυπτογραφεί αρχεία, προσπαθεί να εισβάλει σε γειτονικές μηχανές και στη συνέχεια επανεκκινεί το σύστημα. Κατά τη φόρτωση, μιμείται τη λειτουργία ενός βοηθητικού προγράμματος επαλήθευσης σκληρού δίσκου και, στη συνέχεια, αποκαλύπτει τις κάρτες του: τα αρχεία είναι κρυπτογραφημένα, απαιτούνται λύτρα. Ζητούν χρήματα 300 δολαρίων, αλλά πρέπει να είναι σε Bitcoin. Δεδομένου ότι το Bitcoin σάς επιτρέπει να βλέπετε όλες τις συναλλαγές και τα υπόλοιπα, γνωρίζοντας μόνο τη διεύθυνση του πορτοφολιού, ανακαλύψαμε ότι την πρώτη ημέρα της επίθεσης το ransomware έλαβε περίπου 10 χιλιάδες δολάρια.

Πληροφορίες για το πορτοφόλι Bitcoin του ransomware (τη στιγμή της δημοσίευσης)

Χαρακτηριστική εικόνα σε πολλά ρωσικά γραφεία χθες

Πώς μολύνει η Petya

Υπάρχουν δύο εντελώς διαφορετικά στάδια: η είσοδος σε ένα δίκτυο και η εξάπλωση μέσω αυτού.

Για να φτάσει το "Petya" σε κάποιον υπολογιστή στο δίκτυο του οργανισμού, αποστέλλεται απλώς μέσω email. Συμβαίνει έτσι. Ένας υπάλληλος λαμβάνει μια επιστολή με έγγραφο γραφείου. Όταν ανοίγετε το Word (ή το Excel ή άλλη εφαρμογή από το πακέτο), προειδοποιεί τον χρήστη ότι το έγγραφο περιέχει δείκτη σε ένα εξωτερικό αρχείο. Εάν αυτή η προειδοποίηση αγνοηθεί, θα γίνει λήψη και εκκίνηση του ίδιου του ιού. Και αν το MS Office δεν έχει ενημερωθεί στον υπολογιστή σας για μεγάλο χρονικό διάστημα, η προειδοποίηση δεν θα εμφανιστεί καν.

Μετά από αυτό, αρχίζει η δεύτερη ζωή του "Petya". Κρυπτογραφώντας αρχεία και αντικαθιστώντας την περιοχή εκκίνησης του σκληρού δίσκου, προσπαθεί να εισέλθει σε άλλους υπολογιστές στο ίδιο δίκτυο. Έχει δύο μεθόδους για αυτό. Το πρώτο είναι μια ευπάθεια στην υπηρεσία δικτύου SMBv1. Είναι υπεύθυνο για τη "Γειτονιά του Δικτύου", αλλά αυτή η ίδια έκδοση με αριθμό 1 δεν έχει χρησιμοποιηθεί στην πράξη για μεγάλο χρονικό διάστημα. Ωστόσο, είναι ενεργοποιημένο από προεπιλογή ακόμη και σε σύγχρονες εκδόσεις των Windows. Αυτή η ευπάθεια έγινε δημόσια τον Μάρτιο, όταν ο κώδικας που το εκμεταλλευόταν διέρρευσε από την NSA και χρησιμοποιήθηκε επίσης από τον ιό WannaCry που μόλυνε χιλιάδες υπολογιστές τον Μάιο. Μετά από εκείνη την επιδημία, μόνο οι πιο τεμπέληδες ή οι πιο γενναίοι δεν εγκατέστησαν ενημερώσεις κώδικα για τα Windows.

Υπάρχει όμως και δεύτερος τρόπος. Το "Petya", εάν εκκινηθεί από χρήστη με δικαιώματα διαχειριστή, λαμβάνει πληροφορίες για όλους τους λογαριασμούς στον υπολογιστή, συμπεριλαμβανομένων των λογαριασμών τομέα - δικτύου που χρησιμοποιούνται σε αυτόν τον οργανισμό. Οπλισμένος με αυτές τις πληροφορίες, ο ιός μπορεί να αποκτήσει πρόσβαση σε άλλους υπολογιστές του δικτύου και να τους μολύνει.

Τι να κάνετε εάν μολυνθείτε

Πρώτον, μην μεταφέρετε ποτέ χρήματα σε πορτοφόλι Bitcoin. Ο οικοδεσπότης έχει ήδη μπλοκάρει το γραμματοκιβώτιο στο οποίο, σύμφωνα με τις οδηγίες του ιού, το θύμα πρέπει να στείλει απόδειξη πληρωμής. Ακόμα κι αν οι δημιουργοί του κακόβουλου λογισμικού επρόκειτο να κρατήσουν τον λόγο τους και, έχοντας λάβει τα χρήματα, να δώσουν κλειδιά ξεκλειδώματος, δεν θα μπορούν πλέον να το κάνουν αυτό.

Δεύτερον, αποδεχτείτε ότι πιθανότατα δεν θα μπορείτε να αποκρυπτογραφήσετε τα δεδομένα σε αυτόν τον υπολογιστή. Οι ειδικοί σε θέματα ασφάλειας πληροφοριών συμβουλεύουν απλώς να μορφοποιήσετε τον σκληρό δίσκο αμέσως και να ξεκινήσετε την επαναφορά αρχείων από αντίγραφα ασφαλείας.

Τι να κάνετε εάν δεν έχετε ακόμη μολυνθεί

Δημιουργία στον κατάλογο C:\Windowsαρχείο με όνομα perfc(χωρίς επέκταση, αλλά υπάρχουν πληροφορίες ότι το όνομα είναι επίσης κατάλληλο perfc.dat) και στις ιδιότητες αρχείου επιλέξτε το πλαίσιο ελέγχου "Μόνο για ανάγνωση". Ο ιός ελέγχει για την παρουσία αυτού του αρχείου και, αν το δει, θεωρεί ότι ο υπολογιστής είναι ήδη "σε λειτουργία".

Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας σε εξωτερικό χώρο αποθήκευσης. Αυτό θα μπορούσε να είναι απλώς μια εξωτερική μονάδα δίσκου (αλλά δεν χρειάζεται να είναι μόνιμα συνδεδεμένη) ή μια υπηρεσία δικτύου που δεν παρέχει άμεση πρόσβαση στα αρχεία αντιγραφής ή στο cloud - και πάλι με δυνατότητα επιστροφής σε προηγούμενες εκδόσεις αρχείων.

Ιός "Petya":πώς να μην το πιάσετε, πώς να αποκρυπτογραφήσετε από πού προήλθε - τα τελευταία νέα για τον ιό Petya ransomware, ο οποίος την τρίτη ημέρα της «δραστηριότητάς του» είχε μολύνει περίπου 300 χιλιάδες υπολογιστές σε διάφορες χώρες του κόσμου και μέχρι στιγμής όχι κάποιος το σταμάτησε.

Ιός Petya - πώς να αποκρυπτογραφήσετε, τελευταία νέα.Μετά από μια επίθεση σε υπολογιστή, οι δημιουργοί του ransomware «Petya» απαιτούν λύτρα 300 $ (σε bitcoins), αλλά δεν υπάρχει τρόπος να αποκρυπτογραφηθεί ο ιός Petya, ακόμα κι αν ο χρήστης πληρώσει χρήματα. Οι ειδικοί της Kaspersky Lab, που είδαν διαφορές στον νέο ιό από το Petit και τον ονόμασαν ExPetr, ισχυρίζονται ότι η αποκρυπτογράφηση απαιτεί ένα μοναδικό αναγνωριστικό για μια συγκεκριμένη εγκατάσταση Trojan.

Σε παλαιότερα γνωστές εκδόσεις παρόμοιων κρυπτογραφητών Petya/Mischa/GoldenEye, το αναγνωριστικό εγκατάστασης περιείχε τις απαραίτητες πληροφορίες για αυτό. Στην περίπτωση του ExPetr, αυτό το αναγνωριστικό δεν υπάρχει, γράφει το RIA Novosti.

Ο ιός "Petya" - από πού προήλθε, τα τελευταία νέα.Γερμανοί εμπειρογνώμονες ασφαλείας έχουν παρουσιάσει την πρώτη έκδοση για το από πού προήλθε αυτό το ransomware. Κατά τη γνώμη τους, ο ιός Petya άρχισε να εξαπλώνεται μέσω των υπολογιστών όταν άνοιξαν τα αρχεία M.E.Doc. Αυτό είναι ένα λογιστικό πρόγραμμα που χρησιμοποιείται στην Ουκρανία μετά την απαγόρευση του 1C.

Εν τω μεταξύ, η Kaspersky Lab λέει ότι είναι πολύ νωρίς για να εξαχθούν συμπεράσματα σχετικά με την προέλευση και την πηγή εξάπλωσης του ιού ExPetr. Είναι πιθανό οι επιτιθέμενοι να είχαν εκτενή στοιχεία. Για παράδειγμα, διευθύνσεις ηλεκτρονικού ταχυδρομείου από προηγούμενο ενημερωτικό δελτίο ή κάποιες άλλες αποτελεσματικές μεθόδους διείσδυσης σε υπολογιστές.

Με τη βοήθειά τους, ο ιός «Petya» έπληξε με όλη του τη δύναμη την Ουκρανία και τη Ρωσία, καθώς και άλλες χώρες. Αλλά το πραγματικό μέγεθος αυτής της επίθεσης χάκερ θα γίνει σαφές σε λίγες μέρες, αναφέρει.

Ιός "Petya": πώς να μην τον κολλήσετε, πώς να τον αποκρυπτογραφήσετε, από πού προήλθε - τελευταία νέασχετικά με τον ιό Petya ransomware, ο οποίος έχει ήδη λάβει νέο όνομα από το Kaspersky Lab – ExPetr.

Ο ιός Petya είναι ένας ταχέως αναπτυσσόμενος ιός που επηρέασε σχεδόν όλες τις μεγάλες επιχειρήσεις στην Ουκρανία στις 27 Ιουνίου 2017. Ο ιός Petya κρυπτογραφεί τα αρχεία σας και στη συνέχεια προσφέρει λύτρα για αυτά.

Ο νέος ιός μολύνει τον σκληρό δίσκο του υπολογιστή και λειτουργεί ως ιός κρυπτογράφησης αρχείων. Μετά από ένα ορισμένο χρονικό διάστημα, ο ιός Petya "τρώει" τα αρχεία στον υπολογιστή σας και κρυπτογραφούνται (σαν να είχαν αρχειοθετηθεί τα αρχεία και να ορίστηκε ένας βαρύς κωδικός πρόσβασης)
Τα αρχεία που έχουν επηρεαστεί από τον ιό Petya ransomware δεν μπορούν να αποκατασταθούν αργότερα (υπάρχει ένα ποσοστό που μπορείτε να τα επαναφέρετε, αλλά είναι πολύ μικρό)
ΔΕΝ υπάρχει αλγόριθμος που να επαναφέρει αρχεία που έχουν επηρεαστεί από τον ιό Petya
Με τη βοήθεια αυτού του σύντομου και ΜΕΓΙΣΤΟΣ χρήσιμου άρθρου μπορείτε να προστατευθείτε από τον #virusPetya

Πώς να ΑΝΑΓΝΩΡΙΣΕΤΕ τον ιό Petya ή WannaCry και να ΜΗΝ μολυνθείτε από τον ιό

Κατά τη λήψη ενός αρχείου μέσω Διαδικτύου, ελέγξτε το με ένα διαδικτυακό πρόγραμμα προστασίας από ιούς. Τα διαδικτυακά antivirus μπορούν να εντοπίσουν έναν ιό σε ένα αρχείο εκ των προτέρων και να αποτρέψουν τη μόλυνση από τον ιό Petya. Το μόνο που έχετε να κάνετε είναι να ελέγξετε το ληφθέν αρχείο χρησιμοποιώντας το VirusTotal και, στη συνέχεια, να το εκτελέσετε. Ακόμα κι αν ΚΑΤΕΒΑΣΑΤΕ τον ιό PETYA, αλλά ΔΕΝ εκτελέσατε το αρχείο του ιού, ο ιός ΔΕΝ είναι ενεργός και δεν προκαλεί βλάβη. Μόνο μετά την εκτέλεση ενός επιβλαβούς αρχείου ξεκινάτε έναν ιό, θυμηθείτε αυτό

Η ΧΡΗΣΗ ΑΥΤΗΣ ΤΗΣ ΜΕΘΟΔΟΥ ΣΑΣ ΔΙΝΕΙ ΚΑΘΕ ΕΥΚΑΙΡΙΑ ΝΑ ΜΗΝ ΜΟΛΥΝΘΕΙΤΕ ΑΠΟ ΤΟΝ ΙΟ PETYA
Ο ιός Petya μοιάζει με αυτό:

Πώς να προστατεύσετε τον εαυτό σας από τον ιό Petya

Εταιρεία Symantecπρότεινε μια λύση που σας επιτρέπει να προστατευθείτε από τον ιό Petya προσποιούμενος ότι τον έχετε ήδη εγκαταστήσει.
Ο ιός Petya, όταν εισέρχεται σε έναν υπολογιστή, δημιουργείται στο φάκελο C:\Windows\perfcαρχείο perfcή perfc.dll
Για να κάνετε τον ιό να πιστεύει ότι είναι ήδη εγκατεστημένος και να μην συνεχίσει τη δραστηριότητά του, δημιουργήστε στον φάκελο C:\Windows\perfcαρχείο με κενό περιεχόμενο και αποθηκεύστε το ρυθμίζοντας τη λειτουργία επεξεργασίας σε "Μόνο για ανάγνωση"
Ή κάντε λήψη του virus-petya-perfc.zip και αποσυμπιέστε το φάκελο perfcσε ένα φάκελο C:\Windows\και ορίστε τη λειτουργία αλλαγής σε "Μόνο για ανάγνωση"
Κατεβάστε το virus-petya-perfc.zip

Τι να κάνετε εάν ο υπολογιστής σας έχει ήδη μολυνθεί από τον ιό Petya

Μην ενεργοποιείτε έναν υπολογιστή που σας έχει ήδη μολύνει με τον ιό Petya. Ο ιός Petya λειτουργεί με τέτοιο τρόπο ώστε ενώ ο μολυσμένος υπολογιστής είναι ενεργοποιημένος, κρυπτογραφεί τα αρχεία. Δηλαδή, όσο διατηρείτε τον υπολογιστή σας μολυσμένο με τον ιό Petya ενεργοποιημένο, όλο και περισσότερα αρχεία μπορούν να μολυνθούν και να κρυπτογραφηθούν.
Αξίζει να ελέγξετε τον σκληρό δίσκο αυτού του υπολογιστή. Μπορείτε να το ελέγξετε χρησιμοποιώντας LIVECD ή LIVEUSB με προστασία από ιούς
Μονάδα flash USB με δυνατότητα εκκίνησης με Kaspersky Rescue Disk 10
Μονάδα flash με δυνατότητα εκκίνησης Dr.Web LiveDisk

Ποιοι εξάπλωσαν τον ιό Petya σε όλη την Ουκρανία

Η Microsoft έχει εκφράσει την άποψή της σχετικά με τη μόλυνση του παγκόσμιου δικτύου σε μεγάλες εταιρείες της Ουκρανίας. Ο λόγος ήταν μια ενημέρωση του προγράμματος M.E.Doc. Το M.E.Doc είναι ένα δημοφιλές λογιστικό πρόγραμμα, γι' αυτό η εταιρεία έκανε ένα τόσο μεγάλο λάθος όταν ένας ιός μπήκε στην ενημέρωση και εγκατέστησε τον ιό Petya σε χιλιάδες υπολογιστές στους οποίους ήταν εγκατεστημένο το πρόγραμμα M.E.Doc. Και δεδομένου ότι ο ιός επηρεάζει τους υπολογιστές στο ίδιο δίκτυο, εξαπλώθηκε με αστραπιαία ταχύτητα.
#: Ο ιός Petya επηρεάζει το android, ο ιός Petya, πώς να ανιχνεύσετε και να αφαιρέσετε τον ιό Petya, πώς να θεραπεύσετε τον ιό petya, M.E.Doc, Microsoft, δημιουργήστε έναν φάκελο Petya virus