כיום, וירוס כופר תקף מחשבים רבים במגזר הציבורי, המסחרי והפרטי של אוקראינה

מתקפת האקרים חסרת תקדים דפקה מחשבים ושרתים רבים בסוכנויות ממשלתיות וארגונים מסחריים ברחבי הארץ

מתקפת סייבר בקנה מידה גדול ומתוכננת בקפידה השביתה את התשתית הקריטית של מפעלים וחברות רבות בבעלות המדינה כיום. שירות הביטחון (SBU) דיווח על כך.

החל מארוחת הצהריים, הודעות על זיהום במחשבים במגזר הציבורי והפרטי החלו להופיע באינטרנט כמו כדור שלג. נציגי סוכנויות ממשלתיות הכריזו על התקפות האקרים על תשתית ה-IT שלהם.

לפי ה-SBU, ההדבקה התרחשה בעיקר כתוצאה מפתיחת קבצי וורד ו-PDF, אותם שלחו התוקפים במייל. וירוס הכופר Petya.A ניצל פגיעות רשת בחדר הניתוח מערכת Windows. כדי לפתוח נתונים מוצפנים, פושעי סייבר דרשו תשלום בביטקוין של 300 דולר.

מזכיר המועצה לביטחון לאומי ולהגנה, אלכסנדר טורצ'ינוב, אמר שסוכנויות ממשלתיות שנכללו במעגל המוגן - צומת אינטרנט מיוחד - לא ספגו נזק. ככל הנראה, קבינט השרים לא יישם כראוי את המלצות המרכז הלאומי לתיאום אבטחת סייבר מכיוון שמחשבי הממשלה הושפעו מ- Petya.A. משרד האוצר, תחנת הכוח הגרעינית בצ'רנוביל, אוקרנרגו, אוקרפוסטה, נובה פושטה ומספר בנקים לא יכלו להתנגד להתקפה של היום.

במשך זמן מה, דפי האינטרנט של ה-SBU, משטרת הסייבר והשירות הממלכתי לתקשורת והגנה מיוחדת (SSSSZI) אפילו לא נפתחו.

נכון לערב של יום שלישי, 27 ביוני, אף אחת מרשויות אכיפת החוק שאחריותן כוללת מאבק במתקפות סייבר לא דיווחה מהיכן הגיעה Petya.A או מי עומד מאחוריה. ה-SBU, משטרת הסייבר (שהאתר שלה היה מושבת כל היום), וה-SSSSI שמרו על שתיקה אולימפית בנוגע להיקף הנזק שנגרם על ידי וירוס הכופר.

מספר חברות רוסיות ואוקראיניות הותקפו על ידי וירוס - תוכנת כופר של Petya. אתר הפרסום המקוון שוחח עם מומחים ממעבדת קספרסקי והסוכנות האינטראקטיבית AGIMA וגילה כיצד להגן על מחשבים ארגוניים מפני וירוסים וכיצד פטיה דומה למוכרים לא פחות. וירוס תוכנת הכופר WannaCry.

וירוס "פטיה"

ברוסיה יש את Rosneft, Bashneft, Mars, Nivea ויצרנית השוקולד Alpen Gold Mondelez International. וירוס כופר של מערכת ניטור הקרינה של תחנת הכוח הגרעינית בצ'רנוביל. בנוסף, התקיפה פגעה במחשבים של ממשלת אוקראינה, Privatbank ומפעילי טלקום. הנגיף נועל מחשבים ודורש כופר של 300 דולר בביטקוין.

במיקרובלוג בטוויטר, שירות העיתונות של Rosneft דיבר על מתקפת האקרים על שרתי החברה. "התקפת האקרים חזקה בוצעה על שרתי החברה. אנו מקווים שאין לזה שום קשר להליכים המשפטיים הנוכחיים. החברה יצרה קשר עם רשויות אכיפת החוק בנוגע למתקפת הסייבר.

לדברי מזכיר העיתונות של החברה מיכאיל לאונטייב, רוסנפט וחברות הבנות שלה פועלות כרגיל. לאחר הפיגוע עברה החברה ל מערכת גיבויבקרה על תהליכי הייצור כדי שההפקה והטיפול בנפט לא יופסקו. כמו כן הותקפה מערכת הבנקאות הום קרדיט.

"פטיה" לא נדבק בלי "מישה"

לפי מנכ"ל AGIMA Evgeniy Lobanov, למעשה, המתקפה בוצעה על ידי שני וירוסי הצפנה: Petya ומישה.

"הם עובדים יחד "פטיה" לא מדביק בלי "מישה" הוא יכול להדביק, אבל ההתקפה של אתמול הייתה שני וירוסים: קודם פטיה, ואז מישה משכתבת את מכשיר האתחול (מאיפה המחשב מאתחל). - "מצפין קבצים באמצעות אלגוריתם ספציפי", הסביר המומחה "פטיה מצפין את סקטור האתחול של הדיסק (MBR) ומחליף אותו בעצמו, מישה כבר מצפין את כל הקבצים בדיסק (לא תמיד)."

הוא ציין כי וירוס ההצפנה WannaCry, שתקף חברות גלובליות גדולות במאי השנה, אינו דומה ל-Petya, זו גרסה חדשה.

"Petya.A הוא ממשפחת WannaCry (או יותר נכון WannaCrypt), אבל ההבדל העיקרי, מדוע זה לא אותו וירוס, הוא שהוא מוחלף ב-MBR עם סקטור אתחול משלו - זהו מוצר חדש עבור Ransomware. וירוס Petya הופיע לפני זמן רב, ב-GitHab (שירות מקוון לפרויקטי IT ותכנות משותף - אתר אינטרנט) https://github.com/leo-stone/hack-petya" target="_blank">היה מפענח עבור מוצפן זה, אך אף מפענח לא מתאים לשינוי החדש.

יבגני לובנוב הדגיש כי התקיפה פגעה באוקראינה יותר מרוסיה.

"אנחנו רגישים יותר להתקפות ממדינות מערביות אחרות. נהיה מוגנים מהגרסה הזו של הנגיף, אבל לא מהשינויים שלו. האינטרנט שלנו לא בטוח, באוקראינה אפילו פחות. בעיקר, חברות תחבורה, בנקים, מפעילי סלולר(Vodafone, Kyivstar) וחברות רפואיות, אותן תחנות דלק של פארמאג, Shell - כולן חברות חוצות יבשות גדולות מאוד", אמר בראיון לאתר.

מנכ"ל AGIMA ציין כי אין עדיין עובדות שיצביעו על מיקומו הגיאוגרפי של מפיץ הנגיף. לדעתו, הנגיף הופיע כביכול ברוסיה. למרבה הצער, אין הוכחה ישירה לכך.

"יש הנחה שמדובר בהאקרים שלנו, מאז שהשינוי הראשון הופיע ברוסיה, והווירוס עצמו, שאינו סוד לאף אחד, נקרא על שמו של פטרו פורושנקו, זה היה פיתוח של האקרים רוסים, אבל קשה לומר מי שינה את זה עוד יותר ברור שגם אם אתה ברוסיה, קל להחזיק מחשב עם מיקום גיאוגרפי, למשל, "הסביר המומחה.

"אם המחשב שלך "נדבק" לפתע, אסור לך לכבות את המחשב שלך.

"אם המחשב שלך "נגוע" פתאום, אתה לא יכול לכבות את המחשב, כי וירוס Petya מחליף את ה-MBR - סקטור האתחול הראשון שממנו נטענת מערכת ההפעלה. זה ינתק את נתיבי המילוט, גם אם זה נראה "טאבלט" זה לא יהיה אפשרי יותר להחזיר את הנתונים כבר שוחרר, הוא מספק ערבות אבטחה של 98 אחוז, למרבה הצער, עדיין לא 100 אחוז שינוי מסוים של הווירוס (שלושת החלקים שלהם) הוא עוקף לעת עתה. - עם זאת, אם אתה עושה אתחול מחדש ורואה את התחלת תהליך "בדוק דיסק", בשלב זה עליך לכבות מיד את המחשב והקבצים יישארו לא מוצפנים.

בנוסף, המומחה גם הסביר מדוע משתמשי מיקרוסופט מותקפים לרוב, ולא מערכות MacOSX (מערכת ההפעלה של אפל - אתר אינטרנט) ו-Unix.

"כאן יותר נכון לדבר לא רק על MacOSX, אלא גם על כל מערכות יוניקס (העיקרון זהה). הווירוס מתפשט רק למחשבים, בלי מכשירים ניידים. מערכת ההפעלה Windows רגישה להתקפה ומאיימת רק על המשתמשים שהשביתו את הפונקציה עדכון אוטומטימערכות. עדכונים זמינים כיוצא מן הכלל אפילו לבעלי ישן גרסאות ווינדוס, שאינם מעודכנים עוד: XP, Windows 8 ו Windows Server 2003", אמר המומחה.

"MacOSX ו-Unix אינם רגישים לווירוסים כאלה ברחבי העולם, כי תאגידים גדולים רבים משתמשים בתשתית של מיקרוסופט. MacOSX אינו רגיש כי הוא לא כל כך נפוץ בסוכנויות ממשלתיות. יש פחות וירוסים עבור זה, לא משתלם לייצר אותם, כי קטע התקיפה יהיה קטן יותר מאשר אם תתקוף את מיקרוסופט", סיכם המומחה.

"מספר המשתמשים המותקפים הגיע לאלפיים"

בשירות העיתונות של מעבדת קספרסקי, שמומחיו ממשיכים לחקור את גל הזיהומים האחרון, אמרו כי "תוכנת הכופר הזו אינה שייכת למשפחה ידועה כבר תוכנת כופר של Petya, למרות שהוא חולק איתו כמה שורות קוד."

המעבדה בטוחה בכך במקרה הזהאנחנו מדברים על משפחה חדשה של זדוניים תוֹכנָהעם פונקציונליות שונה משמעותית מ- Petya. מעבדת קספרסקי קראה לתוכנת הכופר החדשה שלה ExPetr.

"לפי מעבדת קספרסקי, מספר המשתמשים שהותקפו הגיע לאלפיים. רוב התקריות נרשמו ברוסיה ובאוקראינה; מקרי הדבקה נצפו גם בפולין, איטליה, בריטניה, גרמניה, צרפת, ארה"ב ומספר מדינות נוספות נכון לעכשיו, המומחים שלנו מציעים שנקבע כי תוכנה זדונית זו השתמשה במספר וקטורי תקיפה כדי להתפשט ברחבי העולם. רשתות ארגוניותנעשה שימוש בניצול EternalBlue שונה ובניצול EternalRomance", אמר שירות העיתונות.

מומחים גם בוחנים את האפשרות ליצור כלי פענוח שיוכל לשמש לפענוח הנתונים. המעבדה גם העלתה המלצות לכל הארגונים להימנע מהתקפת וירוסים בעתיד.

"אנו ממליצים לארגונים להתקין עדכוני Windows. עבור Windows XP ו-Windows 7, עליהם להתקין את עדכון האבטחה MS17-010 ולוודא שיש להם מערכת יעילה עותק שמורנתונים. גיבוי נתונים בזמן ומאובטח מאפשר לשחזר קבצים מקוריים, גם אם הם הוצפנו עם תוכנות זדוניות", יעצו מומחי מעבדת קספרסקי.

אליו ללקוחות תאגידייםהמעבדה ממליצה גם לוודא שכל מנגנוני ההגנה מופעלים, ובפרט לוודא שהחיבור לתשתית הענן קספרסקי אבטחהרשת, כאמצעי נוסף, מומלץ להשתמש ברכיב Application Privilege Control כדי למנוע מכל קבוצות היישומים גישה (ובהתאם, ביצוע) של קובץ בשם "perfc.dat" וכו'.

"אם אינך משתמש במוצרי מעבדת קספרסקי, אנו ממליצים להשבית את הביצוע של הקובץ שנקרא perfc.dat, וגם לחסום את ההשקה של כלי השירות PSExec מחבילת Sysinternals באמצעות פונקציית AppLocker הכלולה במערכת ההפעלה Windows (מערכת הפעלה) – אתר)", מומלץ במעבדה.

12 במאי 2017 רבים - מוצפן נתונים פועל כוננים קשיחיםמחשבים. הוא חוסם את המכשיר ודורש לשלם כופר.
הנגיף פגע בארגונים ומחלקות בעשרות מדינות ברחבי העולם, כולל רוסיה, שם הותקפו משרד הבריאות, משרד מצבי חירום, משרד הפנים ושרתים. מפעילי סלולרוכמה בנקים גדולים.

התפשטות הנגיף הופסקה בטעות ובאופן זמני: אם האקרים ישנו רק כמה שורות קוד, התוכנה הזדונית תתחיל לפעול שוב. הנזק מהתוכנית מוערך במיליארד דולר. לאחר ניתוח לשוני משפטי, מומחים קבעו כי WannaCry נוצר על ידי אנשים מסין או סינגפור.

בריטניה, ארה"ב ואוסטרליה האשימו רשמית את רוסיה בהפצת NotPetya

ב-15 בפברואר 2018, משרד החוץ הבריטי פרסם הצהרה רשמית המאשימה את רוסיה בארגון מתקפת סייבר באמצעות וירוס הכופר NotPetya.

הרשויות הבריטיות טוענות כי המתקפה הוכיחה התעלמות נוספת מריבונות אוקראינה והפעולות הפזיזות שיבשו ארגונים רבים ברחבי אירופה, וגרמו להפסדים של מיליוני דולרים.

המשרד ציין כי המסקנה בדבר מעורבות ממשלת רוסיה והקרמלין במתקפת הסייבר נעשתה על בסיס המסקנה. המרכז הלאומימרכז אבטחת הסייבר הלאומי של בריטניה, אשר "בטוח כמעט לחלוטין שהצבא הרוסי עומד מאחורי מתקפת NotPetya" בהצהרה נאמר גם שבעלי בריתו לא יסבלו פעילות סייבר זדונית.

לדברי שר אכיפת החוק ואבטחת הסייבר של אוסטרליה, אנגוס טיילור, בהתבסס על נתונים מסוכנויות ביון אוסטרליות, וכן התייעצויות עם ארצות הברית ובריטניה, ממשלת אוסטרליה הגיעה למסקנה שתוקפים שנתמכו על ידי ממשלת רוסיה היו אחראים לאירוע. "ממשלת אוסטרליה מגנה את ההתנהגות הרוסית המהווה סיכונים חמורים לכלכלה העולמית, לפעילות ושירותים ממשלתיים, לפעילות העסקית ולבטיחותם ולרווחתם של אנשים", נכתב בהודעה.

הקרמלין, שהכחיש בעבר שוב ושוב כל מעורבות של שלטונות רוסיה בהתקפות האקרים, כינה את ההצהרה של משרד החוץ הבריטי כחלק מ"קמפיין רוסיפובי".

אנדרטה "הנה טמון וירוס המחשב Petya, שהובס על ידי אנשים ב-27 ביוני 2017"

האנדרטה לווירוס המחשבים Petya הוקמה בדצמבר 2017 ליד בניין ה-Skolkovo Technopark. אנדרטה באורך שני מטרים עם הכיתוב: "הנה טמון וירוס המחשב Petya, שהובס על ידי אנשים ב-27 ביוני 2017". עשוי בצורת כונן קשיח נגוס, נוצר בתמיכת חברת INVITRO, בין יתר החברות שסבלו מההשלכות של מתקפת סייבר מסיבית. רובוט בשם נו, שעובד בפארק הפיזיקה והטכנולוגיה ו-(MIT) הגיע במיוחד לטקס כדי לשאת נאום חגיגי.

התקפה על ממשלת סבסטופול

מומחי המנהלת הראשית למידע ותקשורת של סבסטופול הדפו בהצלחה מתקפה של וירוס ההצפנה של רשת Petya על שרתי הממשלה האזורית. כך הוכרז ב-17 ביולי 2017 בישיבת צוות של ממשלת סבסטופול על ידי ראש מחלקת המידע דניס טימופייב.

הוא הצהיר שלתוכנה הזדונית Petya לא הייתה השפעה על נתונים המאוחסנים במחשבים בסוכנויות ממשלתיות בסבסטופול.

ההתמקדות בשימוש בתוכנה חופשית מוטמעת בתפיסת האינפורמטיזציה של סבסטופול, שאושרה ב-2015. נכתב כי בעת רכישה ופיתוח של תוכנות בסיסיות, וכן תוכנות למערכות מידע לאוטומציה, רצוי לנתח אפשרות של שימוש במוצרים חינמיים להוזלת עלויות התקציב והקטנת התלות בספקים ובמפתחים.

מוקדם יותר, בסוף יוני, במסגרת מתקפה נרחבת על חברת הרפואה אינביטרו, ניזוק גם הסניף שלה הממוקם בסבסטופול. בגלל הנגיף רשת מחשביםהסניף השהה זמנית את מתן תוצאות הבדיקה עד לביטול הסיבות.

אינביטרו הודיעה על השעיית קבלת הבדיקות עקב מתקפת סייבר

חברת הרפואה אינביטרו השעתה את איסוף החומרים הביולוגיים ואת הנפקת תוצאות בדיקות המטופלים עקב מתקפת האקרים ב-27 ביוני. אנטון בולאנוב, מנהל התקשורת הארגונית של החברה, סיפר על כך ל-RBC.

כפי שהחברה אמרה בהצהרה, Invitro תחזור בקרוב לפעולה רגילה. תוצאות המחקרים שנערכו לאחר זמן זה יימסרו למטופלים לאחר פתרון הכשל הטכני. כרגע מעבדה מערכת מידעמְשׁוּחזָר, התהליך בעיצומוההגדרות שלו. "אנו מצטערים על מצב הכוח עליון הנוכחי ומודים ללקוחותינו על ההבנה", סיכמה אינביטרו.

לפי נתונים אלה, מרפאות ברוסיה, בלארוס וקזחסטן הותקפו על ידי וירוס מחשב.

התקפה על גזפרום וחברות נפט וגז אחרות

ב-29 ביוני 2017 נודע על מתקפת סייבר עולמית על מערכות המחשב של גזפרום. כך, חברה רוסית אחרת סבלה מווירוס תוכנת הכופר Petya.

כפי שדיווחה סוכנות הידיעות רויטרס, תוך ציטוט של מקור בממשלת רוסיה ואדם המעורב בחקירת האירוע, גזפרום סבלה מהתפשטות תוכנה זדונית. תוכניות Petya, שתקף מחשבים בסך הכל ביותר מ-60 מדינות ברחבי העולם.

בני שיחו של הפרסום לא מסרו פרטים על כמה ואיזה מערכות נדבקו בגזפרום, וכן על היקף הנזק שגרמו ההאקרים. החברה סירבה להגיב כאשר פנתה רויטרס.

בינתיים, מקור RBC בכיר בגזפרום אמר לפרסום כי המחשבים במשרד המרכזי של החברה פעלו ללא הפרעה כשהחלה מתקפת ההאקרים בקנה מידה גדול (27 ביוני 2017), וממשיכים לעשות זאת יומיים לאחר מכן. עוד שני מקורות RBC בגזפרום הבטיחו כי "הכל רגוע" בחברה ואין וירוסים.

בגזרת הנפט והגז סבלו בשנפט ורוזנפט מנגיף הפטיה. האחרון הודיע ​​ב-28 ביוני כי החברה פועלת כרגיל, ו"בעיות פרטניות" נפתרות באופן מיידי.

בנקים ותעשייה

נודע כי מחשבים נדבקו ב-Evraz, הסניף הרוסי של רויאל קנין (מייצר מדים לבעלי חיים) והחטיבה הרוסית של מונדלז (מפיקת שוקולדים של אלפן גולד ומילקה).

לפי משרד הפנים של אוקראינה, אדם פרסם סרטון באתרי שיתוף קבצים ורשתות חברתיות עם תיאור מפורטתהליך הפעלת תוכנות כופר במחשבים. בתגובות לסרטון, האיש פרסם קישור לעמוד שלו ב- רשת חברתית, שאליו העליתי תוכנות זדוניות. במהלך חיפושים בדירת "ההאקר", שוטרי אכיפת החוק תפסו ציוד מחשבים המשמש להפצת NotPetya. המשטרה מצאה גם קבצים עם תוכנות זדוניות, שלאחר ניתוח שלהם אושר כי היא דומה לתוכנת הכופר NotPetya. כפי שקבעו שוטרי סייבר, תוכנת הכופר, שהקישור אליה פורסם על ידי תושב ניקופול, הורדה על ידי משתמשי הרשת החברתית 400 פעמים.

בין אלה שהורידו את NotPetya, קציני אכיפת החוק זיהו חברות שהדביקו בכוונה את המערכות שלהן בתוכנת כופר כדי להסתיר פעילויות פליליות ולהתחמק מתשלום עונשים למדינה. ראוי לציין שהמשטרה לא קושרת את פעילותו של האיש עם מתקפות ההאקרים ב-27 ביוני השנה, כלומר, אין דיבור על כל מעורבות עם מחברי NotPetya. המעשים בהם הוא מואשם מתייחסים רק לפעולות שבוצעו ביולי השנה - לאחר גל של מתקפות סייבר רחבות היקף.

נגד האיש נפתח תיק פלילי במסגרת חלק 1 של אמנות. 361 (התערבות בלתי מורשית בהפעלת מחשב) של החוק הפלילי של אוקראינה. תושב ניקופול צפוי לעד 3 שנות מאסר.

תפוצה בעולם

הפצת נגיף הכופר Petya תועדה בספרד, גרמניה, ליטא, סין והודו. לדוגמה, עקב תוכנית זדונית בהודו, הטכנולוגיה לניהול זרימת המטען של נמל המכולות Jawaharlal Nehru, המופעלת על ידי A.P. מולר-מארסק הפסיקה לזהות את זהות המטען.

מתקפת הסייבר דווחה על ידי קבוצת הפרסום הבריטית WPP, המשרד הספרדי של אחת מחברות עורכי הדין הגדולות בעולם DLA Piper וענקית המזון מונדלז. גם יצרנית חומרי הבנייה הצרפתית Cie היא בין הקורבנות. דה Saint-Gobain וחברת התרופות Merck & Co.

מרק

ענקית התרופות האמריקאית Merck, שסבלה מאוד כתוצאה ממתקפת יוני של וירוס הכופר NotPetya, עדיין לא יכולה לשחזר את כל המערכות ולחזור לפעולה רגילה. כך דווח בדו"ח החברה בטופס 8-K, שהוגש לרשות ניירות ערך האמריקאית (SEC) בסוף יולי 2017. קרא עוד.

מולר-מארסק ורוזנפט

ב-3 ביולי 2017 נודע כי ענקית הספנות הדנית מולר-מארסק ו-Rosneft שיקמו מערכות IT שנגועות בנגיף Petya רק כמעט שבוע לאחר המתקפה, שהתרחשה ב-27 ביוני.

חברת הספנות Maersk, המהווה כל מכולת מטען שביעית שנשלחה בעולם, הוסיפה גם כי כל 1,500 היישומים שנפגעו ממתקפת הסייבר יחזרו לפעולה רגילה עד ה-9 ביולי 2017 לכל היותר.

מערכות ה-IT של APM Terminals בבעלות מארסק, המפעילה עשרות נמלי מטען ומסופי מכולות ביותר מ-40 מדינות, נפגעו בעיקר. מעל 100 אלף מכולות מטען ביום עוברות בנמלי APM Terminals, שעבודתם הייתה משותקת לחלוטין עקב התפשטות הנגיף. מסוף Maasvlakte II ברוטרדם חידש את האספקה ​​ב-3 ביולי.

16 באוגוסט 2017 א.פ. מולר-מארסק קבעה את כמות הנזק המשוערת ממתקפת סייבר באמצעות וירוס Petya, אשר, כפי שצוין בחברה האירופית, נדבק באמצעות תוכנית אוקראינית. לפי חישובים ראשוניים של מארסק, ההפסדים הכספיים מתוכנת הכופר Petya ברבעון השני של 2017 נעו בין 200 ל-300 מיליון דולר.

בינתיים, כמעט שבוע להתאושש מערכות מחשב Rosneft סבלה גם ממתקפת האקרים, כפי שדווח על ידי שירות העיתונות של החברה ב-3 ביולי, דיווח Interfax:

כמה ימים קודם לכן הדגישה רוזנפט כי היא עדיין לא מעריכה את ההשלכות של מתקפת הסייבר, אך הייצור לא הושפע.

איך פטיה עובדת

אכן, קורבנות הנגיף אינם יכולים לפתוח את הקבצים שלהם לאחר ההדבקה. העובדה היא שיוצריו כלל לא סיפקו אפשרות כזו. כלומר, לא ניתן לפענח דיסק מוצפן אפריורי. מזהה התוכנה הזדונית אינו מכיל מידע הדרוש לפענוח.

בתחילה סיווגו מומחים את הנגיף, שפגע בכאלפיים מחשבים ברוסיה, אוקראינה, פולין, איטליה, גרמניה, צרפת ומדינות נוספות, כחלק ממשפחת Petya המוכרת ממילא של תוכנות הכופר. עם זאת, התברר שאנחנו מדברים על משפחה חדשה של תוכנות זדוניות. מעבדת קספרסקי כינתה את תוכנת הכופר החדשה שלה ExPetr.

איך להילחם

המאבק באיומי סייבר דורש מאמצים משולבים של בנקים, עסקי IT והמדינה

שיטת שחזור נתונים מבית Positive Technologies

ב-7 ביולי 2017, מומחה טכנולוגיות חיוביות דמיטרי סקלירוב הציג שיטה לשחזור נתונים מוצפנים על ידי וירוס NotPetya. לדברי המומחה, השיטה ישימה אם לווירוס NotPetya היו הרשאות ניהול והצפין את כל הדיסק.

האפשרות לשחזור נתונים קשורה לשגיאות ביישום אלגוריתם ההצפנה Salsa20 שנעשו על ידי התוקפים עצמם. ביצועי השיטה נבדקו הן על מדיית בדיקה והן על אחת המוצפנות כוננים קשיחיםחברה גדולה שהייתה בין קורבנות המגיפה.

חברות ומפתחים עצמאיים המתמחים בשחזור נתונים חופשיים להשתמש ולהפוך את סקריפט הפענוח המוצג לאוטומטי.

תוצאות החקירה כבר אושרו על ידי משטרת הסייבר האוקראינית. Juscutum מתכוונת להשתמש בממצאי החקירה כראיות מרכזיות במשפט עתידי נגד Intellect-Service.

התהליך יהיה אזרחי באופיו. חקירה עצמאית מתנהלת על ידי רשויות אכיפת החוק האוקראיניות. נציגיהם הודיעו בעבר על אפשרות לפתוח בתיק נגד עובדי Intellect-Service.

מחברת M.E.Doc עצמה נמסר כי מה שהתרחש הוא ניסיון לפשוט על החברה. יצרנית תוכנת הנהלת החשבונות האוקראינית הפופולרית היחידה סבורה שהחיפוש בחברה שבוצעה על ידי משטרת הסייבר של אוקראינה היה חלק מיישום תוכנית זו.

וקטור ההדבקה הראשוני עבור מוצפן Petya

ב-17 במאי שוחרר עדכון M.E.Doc, שאינו מכיל את מודול הדלת האחורית הזדוני. זה כנראה מסביר את המספר הקטן יחסית של זיהומי XData, מאמינה החברה. התוקפים לא ציפו שהעדכון ישוחרר ב-17 במאי והשיקו את המוצפן ב-18 במאי, כאשר רוב המשתמשים כבר התקינו את העדכון המאובטח.

הדלת האחורית מאפשרת הורדה וביצוע של תוכנות זדוניות אחרות במערכת הנגועה - כך בוצעה ההדבקה הראשונית במצפנים Petya ו-XData. בנוסף, התוכנית אוספת הגדרות של שרת פרוקסי והודעות דואר אלקטרוני, לרבות כניסות וסיסמאות מאפליקציית M.E.Doc, וכן קודי חברה לפי ה-Unified State Register of Enterprises and Organizations of Ukraine, המאפשר זיהוי של קורבנות.

"עלינו לענות על מספר שאלות", אמר אנטון צ'רפונוב, מנתח וירוסים בכיר ב-Eset. - כמה זמן הדלת האחורית בשימוש? אילו פקודות ותוכנות זדוניות, מלבד Petya ו-XData, נשלחו דרך הערוץ הזה? אילו עוד תשתיות נפגעו אך עדיין לא נוצלו על ידי קבוצת הסייבר מאחורי המתקפה הזו?"

בהתבסס על שילוב של סימנים, כולל תשתית, כלים זדוניים, תוכניות ומטרות תקיפה, מומחי Eset יצרו קשר בין מגיפת Diskcoder.C (Petya) לבין קבוצת הסייבר של Telebots. טרם ניתן היה לקבוע באופן אמין מי עומד מאחורי פעילותה של קבוצה זו.

צהריים טובים חברים. די לאחרונה ניתחנו את הנגיף תוכנת כופר WannaCry, שהתפשט במדינות רבות ברחבי העולם תוך שעות ספורות והדביק מחשבים רבים. ואז בסוף יוני הופיע וירוס דומה חדש "פטיה". או, כפי שזה נקרא לרוב "פטיה".

וירוסים אלה מסווגים כסוסים טרויאניים של תוכנות כופר והם די דומים, אם כי יש להם גם הבדלים משלהם, משמעותיים. על פי נתונים רשמיים, "פטיה" הדביק לראשונה מספר הגון של מחשבים באוקראינה, ולאחר מכן החל את מסעו מסביב לעולם.

מחשבים בישראל, סרביה, רומניה, איטליה, הונגריה, פולין ואחרות נפגעו במקום ה-14 ברשימה זו. לאחר מכן, הנגיף התפשט ליבשות אחרות.

בעיקרון, קורבנות הנגיף היו חברות גדולות (לעיתים קרובות חברות נפט), שדות תעופה, תקשורת סלולריתוכו', למשל, החברות בשנפט, רוסנפט, מארס, נסטלה ואחרות סבלו. במילים אחרות, התוקפים מכוונים לחברות גדולות מהן הם יכולים לקחת כסף.

מה זה "פטיה"?

Petya היא תוכנת זדונית שהיא תוכנת כופר טרויאנית. מזיקים כאלה נוצרים במטרה לסחוט בעלים של מחשבים נגועים על ידי הצפנת מידע הממוקם במחשב האישי. וירוס Petya, בניגוד ל-WannaCry, אינו מצפין קבצים בודדים. טרויאני זה מצפין את כל הדיסק. זו הסיבה שהוא מסוכן יותר מווירוס WannaCry.

כאשר Petya פוגע במחשב, הוא מצפין מהר מאוד את טבלת MFT. כדי להבהיר את זה, בואו ניתן אנלוגיה. אם משווים את הקבצים לספרייה עירונית גדולה, הוא מסיר את הקטלוג שלה, ובמקרה הזה קשה מאוד למצוא את הספר המתאים.

אפילו, לא רק ספרייה, אלא סוג של ערבוב דפים (קבצים) מספרים שונים. כמובן, המערכת נכשלת במקרה זה. קשה מאוד למערכת למיין זבל כזה. ברגע שהמזיק מגיע למחשב, הוא מאתחל את המחשב ולאחר האתחול מופיעה גולגולת אדומה. לאחר מכן, כאשר אתה לוחץ על כפתור כלשהו, ​​מופיע באנר המבקש ממך לשלם 300 $ לחשבון הביטקוין שלך.

וירוס Petya איך לא לתפוס את זה

מי יכול ליצור את פטיה? אין עדיין תשובה לשאלה הזו. ובכלל, לא ברור אם המחבר יזוהה (סביר להניח שלא)? אבל ידוע שהדליפה מקורה בארה"ב. הנגיף, בדיוק כמו WannaCry, מחפש חור במערכת ההפעלה. כדי לתקן את החור הזה, פשוט התקן את עדכון MS17-010 (שפורסם לפני מספר חודשים במהלך מתקפת WannaCry). אתה יכול להוריד אותו מהקישור. או, מהאתר הרשמי של מיקרוסופט.

נכון לעכשיו, עדכון זה הוא הדרך האופטימלית ביותר להגן על המחשב שלך. כמו כן, אל תשכח אנטי וירוס טוב. יתרה מכך, מעבדת קספרסקי הצהירה שיש להם עדכון מסד נתונים שחוסם את הווירוס הזה.

אבל זה לא אומר שאתה צריך להתקין את קספרסקי. השתמש באנטי וירוס שלך, רק אל תשכח לעדכן את מסד הנתונים שלו. כמו כן, אל תשכח חומת אש טובה.

כיצד מתפשט נגיף הפטיה?

לרוב, Petya נכנסת למחשב שלך דרך אימייל. לכן, אין לפתוח קישורים שונים באותיות, במיוחד באותיות לא מוכרות, בזמן שהנגיף Petya דוגר. באופן כללי, הקפד לא לפתוח קישורים מזרים. כך תוכלו להגן על עצמכם לא רק מפני וירוס זה, אלא גם מפני רבים אחרים.

לאחר מכן, פעם אחת על המחשב, הטרויאני מאתחל מחדש ומדמה בדיקה של . לאחר מכן, כפי שכבר ציינתי, מופיעה גולגולת אדומה על המסך, ולאחר מכן באנר המציע לשלם עבור פענוח קבצים על ידי העברת שלוש מאות דולר לארנק ביטקוין.

אני אגיד מיד שאתה לא צריך לשלם בשום פנים ואופן! בכל מקרה הם לא יפענחו את זה בשבילך, פשוט תוציא את הכסף שלך ותרומה ליוצרי הטרויאני. וירוס זה אינו מיועד לפענוח.

וירוס Petya איך להגן על עצמך

בואו נסתכל מקרוב על הגנה מפני וירוס Petya:

1. כבר הזכרתי עדכוני מערכת. זה הכי הרבה נקודה חשובה. גם אם יש לך מערכת פיראטית, עליך להוריד ולהתקין את העדכון MS17-010.
2. IN הגדרות Windowsהפעל את "הצג סיומות קבצים". הודות לכך, אתה יכול לראות את סיומת הקובץ ולמחוק חשודים. לקובץ הווירוס יש את הסיומת - exe.
3. נחזור לאותיות. אל תלחץ על קישורים או קבצים מצורפים מאנשים זרים. ובכלל, במהלך ההסגר, אל תעקבו אחר קישורים בדואר (אפילו מאנשים שאתם מכירים).
4. רצוי להפעיל בקרת חשבון משתמש.
5. העתק קבצים חשובים למדיה נשלפת. ניתן להעתיק לענן. זה יעזור לך להימנע מבעיות רבות. אם Petya מופיעה במחשב שלך, כל מה שאתה צריך לעשות הוא להתקין אחד חדש מערכת הפעלה, לאחר שפירמט בעבר את הכונן הקשיח.
6. התקן אנטי וירוס טוב. רצוי שזה יהיה גם חומת אש. בדרך כלל, לאנטי וירוסים כאלה יש את המילים "אבטחה" בסוף. אם יש לך נתונים חשובים במחשב שלך, אתה לא צריך לחסוך באנטי וירוס.
7. לאחר שהתקנת אנטי וירוס הגון, אל תשכח לעדכן את מסד הנתונים שלו.

וירוס Petya כיצד להסיר

זו שאלה קשה. אם Petya ביצעה עבודה במחשב שלך, בעצם לא יהיה מה למחוק. כל הקבצים יהיו מפוזרים במערכת. סביר להניח שלא תוכל יותר לארגן אותם. אין טעם לשלם לתוקפים. כל מה שנותר הוא לפרמט את הדיסק ולהתקין מחדש את המערכת. לאחר פירמוט והתקנה מחדש של המערכת, הווירוס ייעלם.

כמו כן, אני רוצה להוסיף שמזיק זה מהווה איום ספציפית למערכת Windows. אם יש לך מערכת אחרת, למשל, מערכת רוזה הרוסית, אתה לא צריך לפחד מווירוס הכופר הזה. כך גם לגבי בעלי טלפונים. לרובם יש מערכת אנדרואיד, iOS וכו'. לכן, לבעלי טלפונים סלולריים אין מה לדאוג.

כמו כן, אם אתה אדם פשוט ולא הבעלים של חברה גדולה, סביר להניח שהתוקפים לא מעוניינים בך. הם זקוקים לחברות גדולות ש-300$ לא אומר כלום עבורן ושיכולות לשלם להן את הכסף הזה. אבל זה לא אומר שהווירוס לא יכול להיכנס למחשב שלך. עדיף להיות בטוח!

ובכל זאת, בוא נקווה שוירוס Petya יעקוף אותך! שמור על המידע שלך במחשב שלך. בהצלחה!

מתקפת נגיף הפטיה באה בהפתעה לא נעימה לתושבי מדינות רבות. אלפי מחשבים נדבקו, מה שגרם למשתמשים לאבד נתונים חשובים המאוחסנים בכוננים הקשיחים שלהם.

כמובן שעכשיו ההייפ סביב התקרית הזו נרגע, אבל אף אחד לא יכול להבטיח שזה לא יקרה שוב. לכן חשוב מאוד להגן על המחשב מפני איומים אפשריים ולא לקחת סיכונים מיותרים. כיצד לעשות זאת בצורה היעילה ביותר יידונו להלן.

תוצאות הפיגוע

מלכתחילה, עלינו לזכור לאילו השלכות הובילה הפעילות קצרת המועד של Petya.A. בתוך שעות ספורות בלבד נפגעו עשרות חברות אוקראיניות ורוסיות. באוקראינה, אגב, העבודה של מחלקות המחשב של מוסדות כמו "Dneprenergo", " נובה פושטה" ו"מטרו קייב". יתרה מכך, כמה ארגונים ממשלתיים, בנקים ומפעילי סלולר לא היו מוגנים מפני וירוס Petya.

גם במדינות האיחוד האירופי, תוכנת הכופר הצליחה לעשות הרבה צרות. צרפתית, דנית, אנגלית ו חברות בינלאומיותדיווח על בעיות תפעוליות זמניות הקשורות להתקפת וירוס המחשב Petya.

כפי שאתה יכול לראות, האיום הוא באמת רציני. ולמרות שהתוקפים בחרו בארגונים פיננסיים גדולים כקורבנותיהם, משתמשים קבועיםסבל לא פחות.

איך פטיה עובדת?

כדי להבין כיצד להגן על עצמך מפני וירוס Petya, ראשית עליך להבין כיצד זה עובד. אז, פעם אחת על המחשב, התוכנה הזדונית מורידה תוכנת כופר מיוחדת מהאינטרנט, שמדביקה את רשומת האתחול הראשית. זהו אזור נפרד בכונן הקשיח, נסתר מעיני המשתמש ומיועד לטעינת מערכת ההפעלה.

עבור המשתמש, תהליך זה נראה כמו הפעולה הרגילה של תוכנית Check Disk לאחר קריסת מערכת פתאומית. המחשב מאתחל לפתע, ומופיעה הודעה על המסך בודק חזקדיסק לאיתור שגיאות ובבקשה אל תכבה את החשמל.

ברגע שתהליך זה מגיע לסיומו, מופיע שומר מסך עם מידע על המחשב הנחסם. היוצר של וירוס Petya דורש מהמשתמש לשלם כופר של $300 (יותר מ-17.5 אלף רובל), ומבטיח בתמורה לשלוח את המפתח הדרוש לחידוש פעולת המחשב האישי.

מְנִיעָה

זה הגיוני שהרבה יותר קל למנוע זיהום וירוס מחשב"פטיה", מאשר להתמודד עם ההשלכות שלה מאוחר יותר. כדי לאבטח את המחשב האישי שלך:

• התקן תמיד את העדכונים האחרונים עבור מערכת ההפעלה שלך. אותו דבר, באופן עקרוני, חל על כל התוכנות המותקנות במחשב האישי שלך. אגב, "Petya" לא יכול להזיק למחשבים המריצים MacOS ולינוקס.
• להשתמש גרסאות עדכניותאנטי וירוס ואל תשכח לעדכן את מסד הנתונים שלו. כן, העצה בנאלית, אבל לא כולם עוקבים אחריה.
• אל תפתחו קבצים חשודים שנשלחו אליכם באימייל. כמו כן, בדוק תמיד אפליקציות שהורדו ממקורות מפוקפקים.
• עשה זאת באופן קבוע גיבוייםמסמכים וקבצים חשובים. עדיף לאחסן אותם על מדיום נפרד או בענן ( גוגל דרייב, "Yandex. דיסק" וכו'). הודות לכך, גם אם יקרה משהו למחשב שלך, מידע יקר ערך לא ייפגע.

יצירת קובץ עצירה

מפתחים מובילים תוכניות אנטי וירוסגילה כיצד להסיר את וירוס Petya. ליתר דיוק, הודות למחקר שלהם, הם הצליחו להבין מה תוכנת הכופר מנסה למצוא במחשב בשלבים הראשונים של ההדבקה קובץ מקומי. אם הוא מצליח, הווירוס מפסיק לעבוד ואינו פוגע במחשב.

במילים פשוטות, ניתן ליצור באופן ידני מעין קובץ עצירה וכך להגן על המחשב. לזה:

• פתח את הגדרות אפשרויות התיקיה ובטל את הסימון של "הסתר סיומות עבור סוגי קבצים ידועים".
• צור קובץ חדש באמצעות Notepad והצב אותו בספריית C:/Windows.
• שנה את שם המסמך שנוצר, קורא לו "perfc". לאחר מכן עבור אל האפשרות לקריאה בלבד והפעל אותה.

כעת וירוס Petya, פעם אחת על המחשב שלך, לא יוכל להזיק לו. אבל זכור שתוקפים עשויים לשנות את התוכנה הזדונית בעתיד ושיטת ה-stop file תהפוך ללא יעילה.

אם כבר התרחש זיהום

כאשר המחשב מאתחל בעצמו ו- Check Disk מופעל, הווירוס פשוט מתחיל להצפין קבצים. במקרה זה, עדיין תוכל לשמור את הנתונים שלך על ידי ביצוע השלבים הבאים:

• כבה מיד את החשמל למחשב. רק כך תוכל למנוע את התפשטות הנגיף.
• בשלב הבא אתה צריך לחבר את שלך HDDלמחשב אחר (לא בתור אתחול!) ולהעתיק ממנו מידע חשוב.
• לאחר מכן, עליך לאתחל לחלוטין את הכונן הקשיח הנגוע. באופן טבעי, אז תצטרך להתקין מחדש את מערכת ההפעלה ותוכנות אחרות עליה.

לחלופין, אתה יכול לנסות להשתמש במיוחד דיסק אתחוללרפא את וירוס Petya. Kaspersky Anti-Virus, למשל, מספקת למטרות אלו את תוכנית Kaspersky Rescue Disk, אשר עוקפת את מערכת ההפעלה.

האם כדאי לשלם לסחטנים?

כפי שהוזכר קודם לכן, יוצרי Petya דורשים כופר בסך 300 דולר ממשתמשים שהמחשבים שלהם נדבקו. לטענת הסוחטים, לאחר תשלום הסכום הנקוב, יישלח לקורבנות מפתח שיבטל את חסימת המידע.

הבעיה היא שמשתמש שרוצה להחזיר את המחשב שלו לקדמותו צריך לכתוב לתוקפים במייל. עם זאת, כל הודעות האימייל של תוכנות הכופר נחסמות במהירות על ידי שירותים מורשים, כך שפשוט אי אפשר ליצור איתם קשר.

יתרה מכך, מפתחי תוכנות אנטי-וירוס מובילים רבים בטוחים שזה בלתי אפשרי לחלוטין לפתוח מחשב שנדבק ב-Petya באמצעות קוד כלשהו.

כפי שאתה בוודאי מבין, אתה לא צריך לשלם לסחטנים. אחרת, אתה לא רק תישאר עם מחשב לא עובד, אלא גם תפסיד כמות גדולה של כסף.

האם יהיו התקפות חדשות?

נגיף הפטיה התגלה לראשונה במרץ 2016. ואז מומחי אבטחה הבחינו במהירות באיום ומנעו את התפשטותו ההמונית. אך כבר בסוף יוני 2017 התקיפה חזרה על עצמה, מה שהוביל לתוצאות חמורות ביותר.

לא סביר שהכל יסתיים שם. התקפות כופר אינן נדירות, לכן חשוב לשמור על המחשב שלך מוגן בכל עת. הבעיה היא שאף אחד לא יכול לחזות באיזה פורמט יתרחש ההדבקה הבאה. כך או כך, תמיד כדאי לעקוב אחר ההמלצות הפשוטות המופיעות במאמר זה על מנת לצמצם את הסיכונים למינימום.