英国、米国、オーストラリアはロシアがNotPetyaを広めたとして公式に非難した

2018 年 2 月 15 日、英国外務省はロシアが NotPetya ランサムウェア ウイルスを使用したサイバー攻撃を組織したと非難する公式声明を発表しました。

英国当局は、今回の攻撃はウクライナの主権に対するさらなる軽視を示しており、無謀な行動により欧州各地の多くの組織が混乱し、数百万ドルの損失が発生したとしている。

同省は、サイバー攻撃へのロシア政府とクレムリンの関与に関する結論は、この結論に基づいてなされたと指摘した。 ナショナルセンター英国国家サイバーセキュリティセンターは「NotPetya攻撃の背後にロシア軍がいることをほぼ完全に確信している」とし、同盟国は悪意のあるサイバー活動を容認しないとも述べた。

オーストラリアのアンガス・テイラー法執行・サイバーセキュリティ大臣によると、オーストラリア情報機関からのデータや米国、英国との協議に基づき、オーストラリア政府はロシア政府の支援を受けた攻撃者が今回の事件の責任者であると結論づけたという。 声明には「オーストラリア政府は、世界経済、政府の運営とサービス、企業活動、個人の安全と幸福に深刻なリスクをもたらすロシアの行動を非難する」と書かれている。

クレムリンはこれまで、ハッカー攻撃へのロシア当局の関与を繰り返し否定してきたが、英国外務省の声明を「ロシア嫌悪キャンペーン」の一環と呼んだ。

記念碑「2017 年 6 月 27 日に人類に打ち負かされたコンピューター ウイルス Petya がここに眠る」

Petya コンピューター ウイルスの記念碑は、2017 年 12 月にスコルコボ テクノパークの建物の近くに建てられました。 「人々に打ち負かされたコンピューターがここにある 2017 年 6 月 27 日」と刻まれた 2 メートルの記念碑 ペティアウイルス」 噛まれたハードドライブの形で作られたこの製品は、大規模なサイバー攻撃の影響を受けた企業の中でも特に INVITRO 社の支援を受けて作成されました。 物理テクノロジーパークと（MIT）で働くヌーという名前のロボットが特別に式典に来て、厳粛なスピーチをしました。

セヴァストポリ政府への攻撃

セヴァストポリ情報通信総局の専門家は、地方政府のサーバーに対する Petya ネットワーク暗号化ウイルスによる攻撃を撃退することに成功しました。 情報化部門の責任者デニス・ティモフェエフ氏は2017年7月17日、セヴァストポリ政府の職員会議でこれを発表した。

彼は、Petya マルウェアはコンピュータに保存されているデータには影響を与えなかったと述べました。 政府機関セヴァストポリ。

フリー ソフトウェアの使用への重点は、2015 年に承認されたセヴァストポリの情報化の概念に組み込まれています。 基本ソフトウェアや自動化のための情報システムソフトウェアを購入・開発する際には、予算コストを削減し、サプライヤーや開発者への依存を減らすことができる無償製品の利用の可能性を分析することが望ましいとしている。

これに先立ち、6月末には医療会社インビトロに対する大規模攻撃の一環として、セヴァストポリにある同社の支店も被害を受けた。 ウイルスのせいで コンピュータネットワーク同支店は理由が解消されるまで検査結果の発行を一時停止している。

インビトロ、サイバー攻撃を受けて検査受け入れ停止を発表

医療会社インビトロは6月27日、ハッカー攻撃を受けて生体材料の収集と患者の検査結果の発行を一時停止した。 同社のコーポレートコミュニケーション部門ディレクター、アントン・ブラノフ氏がRBCにこの件について語った。

同社が声明で述べたように、Invitroは間もなく通常の稼働に戻る予定だ。 この期間以降に実施された研究の結果は、技術的欠陥が解決された後に患者に提供されます。 現在研究室 情報システム復元され、 プロセスが進行中ですその設定。 「現在の不可抗力の状況を遺憾に思い、お客様のご理解に感謝いたします」とインビトロは締めくくった。

これらのデータによると、ロシア、ベラルーシ、カザフスタンの診療所がコンピューターウイルスに攻撃された。

ガスプロムおよび他の石油・ガス会社に対する攻撃

2017 年 6 月 29 日、ガスプロムのコンピューター システムに対する世界的なサイバー攻撃について知られるようになりました。 このように、別のロシア企業も Petya ランサムウェア ウイルスの被害に遭いました。

ロイター通信がロシア政府関係者と事件捜査関係者の話として報じたところによると、ガスプロムは世界60カ国以上のコンピューターを攻撃するマルウェア「Petya」の蔓延に悩まされていた。

同誌の対談者は、ガスプロムでどのシステムが何台感染したか、またハッカーによる被害の程度については詳細を明らかにしなかった。 同社はロイターの取材に対しコメントを控えた。

一方、ガスプロムの RBC 幹部は同誌に対し、大規模なハッカー攻撃が始まったとき（2017 年 6 月 27 日）、同社の本社のコンピュータは中断することなく稼働しており、その 2 日後も継続していたと語った。 ガスプロムのさらに 2 人の RBC 関係者も、社内は「すべてが平穏」であり、ウイルスは存在していないと断言した。

石油・ガス部門では、バシネフチとロスネフチがペティアウイルスの被害を受けた。 後者は6月28日、会社は通常通り営業しており、「個別の問題」は速やかに解決されていると発表した。

銀行と業界

ロイヤルカナンのロシア支店（動物用のユニフォームを生産）であるエヴラーズとモンデリーズのロシア部門（アルペンゴールドとミルカチョコレートの生産）でコンピューターが感染したことが判明した。

ウクライナ内務省によると、男性はファイル共有サイトやソーシャルネットワーク上で動画を公開した。 詳しい説明コンピューター上でランサムウェアを実行するプロセス。 動画へのコメントで、男性は自分のページへのリンクを投稿した。 ソーシャルネットワークにアップロードしました マルウェア。 「ハッカー」のアパートでの捜索中に、法執行官は NotPetya の配布に使用されたコンピューター機器を押収しました。 警察はマルウェアを含むファイルも発見し、分析の結果、NotPetya ランサムウェアに類似していることが確認されました。 サイバー警察が確立したように、ニコポールの居住者によってリンクが公開されたランサムウェア プログラムは、ソーシャル ネットワーク ユーザーによって 400 回ダウンロードされました。

法執行官は、NotPetya をダウンロードした企業の中から、犯罪行為を隠蔽し、国家への罰金の支払いを回避するためにシステムを意図的にランサムウェアに感染させた企業を特定しました。 警察がこの男の活動を今年6月27日のハッカー攻撃と結び付けていないこと、つまりNotPetyaの作者との関与についての話がないことは注目に値する。 同氏が起訴された行為は、大規模なサイバー攻撃が相次ぎ、今年7月に行われた行為にのみ関連する。

この男性に対して、第 1 条に基づいて刑事訴訟が開始されました。 ウクライナ刑法第 361 条 (コンピューターの操作に対する無許可の干渉)。 ニコポルの居住者には最長3年の懲役が科せられる可能性がある。

世界の分布

Petya ランサムウェア ウイルスの配布は、スペイン、ドイツ、リトアニア、中国、インドで記録されています。 たとえば、インドの悪意のあるプログラムにより、A.P. が運営するジャワハルラール ネルー コンテナ港の貨物の流れを管理する技術が使用できなくなりました。 モラー・マースクは貨物の正体を認識するのをやめた。

サイバー攻撃は英国によって報告された 広告グループ WPPは、世界最大手の法律事務所DLAパイパーと食品大手モンデリーズのスペイン子会社。 フランスの建材メーカーCieも被害者の中に含まれている。 ド・サンゴバンと製薬会社メルク・アンド・カンパニー

メルク

6 月の NotPetya ランサムウェア ウイルスによる攻撃で大きな被害を受けた米国の製薬大手メルクは、依然としてすべてのシステムを復旧して通常の業務に戻すことができていません。 これは、2017年7月末に米国証券取引委員会（SEC）に提出されたフォーム8-Kによる同社の報告書で報告された。 続きを読む。

モラー・マースクとロスネフチ

2017 年 7 月 3 日、デンマークの海運大手モラー・マースクとロスネフチが汚染された船を復旧したことが判明した。 Petya ランサムウェア ウイルス 6 月 27 日に発生した攻撃から、IT システムはわずか 1 週間近くしか経っていませんでした。

世界で出荷される貨物コンテナの7個に1個を占める海運会社マースクは、サイバー攻撃の影響を受けたすべての1,500のアプリケーションが最長2017年7月9日までに通常動作に戻ると付け加えた。

40カ国以上で数十の貨物港とコンテナターミナルを運営するマースク傘下のAPMターミナルのITシステムが主に影響を受けた。 APMターミナルの港には1日あたり10万本以上の貨物コンテナが通過するが、ウイルスの蔓延によりその業務が完全に麻痺した。 ロッテルダムのマースブラクテ II ターミナルは 7 月 3 日に供給を再開しました。

2017 年 8 月 16 日 A.P. Moller-Maersk は、Petya ウイルスを使用したサイバー攻撃によるおおよその被害額を発表しました。欧州の企業が指摘したように、このウイルスはウクライナのプログラムを通じて感染したものです。 Maersk の予備計算によると、2017 年第 2 四半期の Petya ランサムウェアによる経済的損失は 2 億ドルから 3 億ドルの範囲でした。

その間、回復まで約1週間 コンピュータシステム 7月3日に同社の報道機関が報じたように、ロスネフチもハッカー攻撃に見舞われているとインターファクスは次のように報じた。

ロスネフチは数日前、サイバー攻撃の影響はまだ評価していないと強調したが、生産には影響はなかった。

Petya の仕組み

実際、ウイルスの被害者は感染後にファイルのロックを解除できません。 実際のところ、その作成者はそのような可能性をまったく提供していませんでした。 つまり、暗号化されたディスクを復号化することはアプリオリに不可能です。 マルウェアIDには復号化に必要な情報が含まれていません。

専門家は当初、ロシア、ウクライナ、ポーランド、イタリア、ドイツ、フランスなどの国々の約2000台のコンピュータに影響を与えたこのウイルスを、すでによく知られているランサムウェア「Petya」ファミリーの一部として分類した。 しかし、それがマルウェアの新しいファミリーについて話していることが判明しました。 Kaspersky Labは、新しいランサムウェアをExPetrと名付けました。

戦い方

サイバー脅威との戦いには、銀行、IT 企業、国家の協力が必要です

Positive Technologiesのデータ復旧方法

2017 年 7 月 7 日、Positive Technologies の専門家である Dmitry Sklyarov 氏は、NotPetya ウイルスによって暗号化されたデータを回復する方法を発表しました。 専門家によると、この方法は、NotPetya ウイルスが管理者権限を持ち、ディスク全体を暗号化している場合に適用可能だという。

データ回復の可能性は、攻撃者自身が作成した Salsa20 暗号化アルゴリズムの実装エラーに関連しています。 このメソッドのパフォーマンスは、テスト メディアと暗号化されたメディアの 1 つの両方でテストされました。 ハードドライブ疫病の犠牲者の中には大企業も含まれていた。

データ回復を専門とする企業および独立系開発者は、提示された復号化スクリプトを自由に使用および自動化できます。

捜査結果はすでにウクライナのサイバー警察によって確認されている。 ジャスキュータムは、調査結果を今後の Intellect-Service に対する裁判の重要な証拠として使用する予定です。

このプロセスは民事的な性質のものとなります。 ウクライナの法執行機関によって独立した捜査が行われている。 彼らの代表者は以前、Intellect-Service の従業員に対して訴訟を起こす可能性を発表しました。

M.E.Doc社自体は、起こっていることは同社への襲撃の試みであると述べた。 ウクライナで唯一人気のある会計ソフトウェアのメーカーは、ウクライナのサイバー警察が行った同社の捜索はこの計画の実施の一環だったと考えている。

Petya 暗号化プログラムの最初の感染ベクトル

5 月 17 日に、悪意のあるバックドア モジュールが含まれていない M.E.Doc アップデートがリリースされました。 おそらくこれが、XData 感染の数が比較的少ないことを説明していると同社は考えています。 攻撃者は、このアップデートが 5 月 17 日にリリースされるとは予想しておらず、ほとんどのユーザーがすでに安全なアップデートをインストールしていた 5 月 18 日に暗号化プログラムを起動しました。

バックドアにより、感染したシステム上で他のマルウェアがダウンロードされ、実行されることが可能になります。これが、Petya および XData 暗号化プログラムを使用した最初の感染方法です。 さらに、このプログラムは、M.E.Doc アプリケーションからのログインとパスワードを含むプロキシ サーバーと電子メール設定、および被害者の特定を可能にするウクライナ企業組織統一国家登録簿に基づく企業コードを収集します。

Esetのシニアウイルスアナリスト、アントン・チェレパノフ氏は「われわれは多くの疑問に答えなければならない」と述べた。 - バックドアはどれくらい前から使用されていますか? Petya と XData 以外に、どのようなコマンドやマルウェアがこのチャネルを通じて送信されましたか? 他にどのようなインフラストラクチャが侵害されているが、この攻撃の背後にいるサイバー グループによってまだ悪用されていないものはありますか?」

Eset の専門家は、インフラストラクチャ、悪意のあるツール、パターン、攻撃ターゲットなどの兆候の組み合わせに基づいて、Diskcoder.C (Petya) の蔓延と Telebots サイバー グループとの関係を確立しました。 このグループの活動の背後に誰がいるのかを確実に特定することはまだ不可能です。

Petya.A とは何ですか?

これは、コンピュータ上のデータを暗号化し、復号化するためのキーとして 300 ドルを要求する「ランサムウェア ウイルス」です。 6月27日の正午頃からウクライナのコンピュータに感染し始め、その後ロシア、イギリス、フランス、スペイン、リトアニアなど他の国に感染が広がった。 Microsoft の Web サイトにウイルスが存在しますもっている 「深刻な」脅威レベル。

同じ脆弱性により感染が発生します。 マイクロソフト Windowsの場合と同様に、 WannaCry ウイルス、5月に世界中の数千台のコンピュータに影響を及ぼし、企業に約10億ドルの損害を与えた。

夕方、サイバー警察は、ウイルス攻撃は電子報告と文書管理を目的としたものだったと報告した。 法執行当局によると、午前10時30分に次のM.E.Docアップデートがリリースされ、これを利用して悪意のあるソフトウェアがコンピュータにダウンロードされたという。

Petya は従業員の履歴書を装って電子メールで配布されました。 誰かが履歴書を開こうとすると、ウイルスはその人に管理者権限を与えるよう要求します。 ユーザーが同意すると、コンピュータが再起動され、 ハードドライブが暗号化され、身代金を要求するウィンドウが表示されました。

ビデオ

Petya ウイルスの感染プロセス。 動画：G DATA Software AG / YouTube

同時に、Petya ウイルス自体にも脆弱性がありました。 特別番組。 この方法は、2016 年 4 月に Geektimes 編集者の Maxim Agadzhanov によって説明されました。

ただし、身代金の支払いを希望するユーザーもいます。 有名なビットコイン ウォレットの 1 つによると、ウイルスの作成者は 3.64 ビットコイン (約 9,100 ドルに相当) を受け取りました。

誰がウイルスの影響を受けますか?

ウクライナでは、Petya.A の被害者は主に 法人顧客: 政府機関、銀行、メディア、 エネルギー会社およびその他の組織。

とりわけ、以下の企業が被害を受けた：ノヴァ・ポシュタ、ウクレネルゴ、OTP銀行、オシャドバンク、DTEK、ロジェトカ、ボリス、ウクルザリズニツャ、TNK、アントノフ、エピセンター、チャンネル24、さらにボルィースピリ空港、ウクライナ閣僚内閣、国家財政サービスなど。

攻撃は地域にも広がった。 たとえば、nチェルノブイリ原子力発電所では、サイバー攻撃により電子文書管理が機能しなくなり、放射線レベルの手動監視に切り替わりました。 ハリコフでは大型スーパーマーケット「ロスト」の営業が遮断され、空港では飛行機のチェックインが手動モードに切り替わった。

Petya.A ウイルスの影響で、Rost スーパーマーケットのレジが機能しなくなりました。 写真：Kh...evy Kharkov / VKontakte

同紙によると、ロシアではロスネフチ、バシネフチ、マース、ニベアなどが攻撃を受けた。

Petya.A から身を守るにはどうすればよいですか?

Petya.A から身を守る方法に関する説明書が、ウクライナ保安局とサイバー警察によって公開されました。

サイバー警察はユーザーにインストールするよう勧告 Windows アップデート Microsoft の公式 Web サイトからダウンロードし、ウイルス対策ソフトウェアを更新またはインストールし、電子メールから不審なファイルをダウンロードしないでください。問題に気付いた場合は、直ちにコンピュータをネットワークから切断してください。

SBU は、ファイルの暗号化は再起動中に正確に行われるため、疑わしい場合にはコンピュータを再起動することはできないと強調しました。 諜報機関は、ウクライナ国民に対し、貴重なファイルを別の媒体に保存し、オペレーティングシステムのバックアップコピーを作成することを推奨した。

サイバーセキュリティ専門家 ヴラド・スティラン 書きましたフェイスブックでウイルスの蔓延について ローカルネットワーク Windows で TCP ポート 1024 ～ 1035、135、139、および 445 をブロックすることで停止できます。これを行う方法については、インターネット上に説明があります。

米国シマンテック社のスペシャリスト

5 月初旬、150 か国以上の約 230,000 台のコンピュータがランサムウェア ウイルスに感染しました。 被害者がこの攻撃の影響を排除する間もなく、Petya と呼ばれる新たな攻撃が続きました。 ウクライナとロシアの最大手企業や政府機関も被害を受けた。

ウクライナのサイバー警察は、ウイルス攻撃が会計更新メカニズムを通じて始まったと立証した。 ソフトウェア M.E.Doc は、税務報告書の作成と送信に使用されます。 したがって、バシネフチ、ロスネフチ、ザポリージョブレネルゴ、ドネプロエネルゴ、ドニエプル電力システムのネットワークは感染を免れないことが知られるようになりました。 ウクライナでは、ウイルスが政府のコンピューター、キエフ地下鉄のコンピューター、通信事業者、さらにはチェルノブイリ原子力発電所にまで侵入した。 ロシアでは、モンデリーズ・インターナショナル、マース、ニベアが影響を受けた。

Petya ウイルスは手術室の EternalBlue の脆弱性を悪用します Windowsシステム。 シマンテックとエフセキュアの専門家らは、Petya は WannaCry と同様にデータを暗号化するものの、それでも他の種類の暗号化ウイルスとは多少異なると述べています。 「Petyaウイルスは、 新しい外観悪意を持った恐喝。ディスク上のファイルを暗号化するだけでなく、ディスク全体をロックして事実上使用不能にするものだとエフセキュアは説明する。 「具体的には、MFT マスター ファイル テーブルを暗号化します。」

これはどのようにして起こるのでしょうか?また、このプロセスは防止できるのでしょうか?

ウイルス「Petya」 - どのように機能するのですか?

Petya ウイルスは、Petya.A、PetrWrap、NotPetya、ExPetr という別名でも知られています。 コンピュータに侵入すると、インターネットからランサムウェアをダウンロードし、一部のコンピュータに感染しようとします。 ハードドライブコンピューターの起動に必要なデータが含まれています。 彼が成功すると、システムは死のブルー スクリーンを発行します (「 ブルースクリーン死"）。 再起動後、次のメッセージが表示されます 一生懸命チェックする電源を切らないように要求するディスク。 したがって、ランサムウェアは次のふりをします。 システムプログラムディスクをチェックし、この時点で特定の拡張子のファイルを暗号化します。 プロセスの最後に、コンピューターがブロックされていることを示すメッセージと、データを復号化するためのデジタル キーの取得方法に関する情報が表示されます。 Petya ウイルスは、通常はビットコインで身代金を要求します。 被害者がファイルのバックアップ コピーを持っていない場合、300 ドルを支払うか、すべての情報を失うかの選択を迫られます。 一部のアナリストによると、このウイルスはランサムウェアを装っているだけで、真の目的は大規模な損害を引き起こすことです。

Petyaを取り除くにはどうすればよいですか？

専門家は、Petya ウイルスが探しているものを発見しました。 ローカルファイルファイルがすでにディスク上に存在する場合は、暗号化プロセスを終了します。 つまり、ユーザーはこのファイルを作成し、読み取り専用に設定することで、コンピューターをランサムウェアから保護できます。

この狡猾なスキームによりランサムウェア プロセスの開始は阻止されますが、 この方法これは「コンピュータワクチン接種」に似ていると考えることができます。 したがって、ユーザーは自分でファイルを作成する必要があります。 これは次のようにして実行できます。

• まず、ファイル拡張子を理解する必要があります。 [フォルダー オプション] ウィンドウで、[既知のファイル タイプの拡張子を非表示にする] チェックボックスがオフになっていることを確認します。
• C:\Windows フォルダーを開き、notepad.exe プログラムが表示されるまで下にスクロールします。
• notepad.exe を左クリックし、Ctrl + C を押してコピーし、Ctrl + V を押してファイルを貼り付けます。 ファイルをコピーする許可を求めるリクエストを受け取ります。
• [続行] ボタンをクリックすると、ファイルがメモ帳 (Copy.exe) として作成されます。 このファイルを左クリックして F2 キーを押し、ファイル名 Copy.exe を消去して「perfc」と入力します。
• ファイル名を perfc に変更した後、Enter キーを押します。 名前の変更を確認します。
• perfc ファイルが作成されたので、それを読み取り専用にする必要があります。 これを行うには、ファイルを右クリックして「プロパティ」を選択します。
• このファイルのプロパティ メニューが開きます。 一番下に「読み取り専用」と表示されます。 チェックボックスをオンにします。
• 次に、「適用」ボタンをクリックしてから、「OK」ボタンをクリックします。

一部のセキュリティ専門家は、Petya ウイルスからより徹底的に保護するために、C:\windows\perfc ファイルに加えて C:\Windows\perfc.dat および C:\Windows\perfc.dll ファイルを作成することを提案しています。 これらのファイルに対して上記の手順を繰り返すことができます。

おめでとうございます。お使いのコンピューターは NotPetya/Petya から保護されています。

シマンテックの専門家は、ファイルのロックや金銭の損失につながる可能性のある行為を PC ユーザーが行わないようにするためのアドバイスをいくつか提供しています。

1. 犯罪者に金を払うな。ランサムウェアに送金したとしても、ファイルに再びアクセスできるという保証はありません。 NotPetya / Petya の場合、ランサムウェアの目的はデータを破壊することであり、金銭を得ることではないため、これは基本的に無意味です。
2. 定期的に作成するようにしてください バックアップデータ。この場合、PC がランサムウェア ウイルス攻撃のターゲットになった場合でも、削除されたファイルを復元することができます。
3. 開けないでください 電子メール怪しいアドレスで。攻撃者は、ユーザーをだましてマルウェアをインストールさせたり、攻撃用の重要なデータを取得しようとします。 あなたまたはあなたの従業員が不審な電子メールやリンクを受け取った場合は、必ず IT スペシャリストに知らせてください。
4. 信頼できるソフトウェアを使用してください。ウイルス対策プログラムをタイムリーに更新することは、コンピュータを感染から保護する上で重要な役割を果たします。 そしてもちろん、この分野で評判の良い企業の製品を使用する必要があります。
5. スパム メッセージをスキャンしてブロックするメカニズムを使用します。受信メールは脅威をスキャンする必要があります。 リンクや典型的なメッセージを含むあらゆる種類のメッセージは、 キーワードフィッシング。
6. すべてのプログラムが最新であることを確認してください。感染を防ぐには、ソフトウェアの脆弱性を定期的に修正する必要があります。

新たな攻撃を予期すべきでしょうか?

Petya ウイルスは 2016 年 3 月に初めて出現し、セキュリティ専門家はすぐにその動作に気づきました。 新型ウイルス Petya は 2017 年 6 月末にウクライナとロシアのコンピューターを攻撃しました。 しかし、これで終わりではなさそうです。 ズベルバンク取締役会の副会長スタニスラフ・クズネツォフ氏は、「Petya」や「WannaCry」に似たランサムウェアウイルスを使ったハッカー攻撃は今後も繰り返されるだろうと述べた。 同氏はタス通信とのインタビューで、このような攻撃は間違いなく起こるが、どのような形で現れるかを事前に予測するのは難しいと警告した。

すべてのサイバー攻撃が去った後も、コンピュータをランサムウェア ウイルスから保護するための最低限の手順をまだ講じていない場合は、真剣に取り組む時期が来ています。

こんにちは、友達。 ごく最近、私たちはウイルスを分析しました WannaCry ランサムウェア 、数時間のうちに世界中の多くの国に広がり、多くのコンピュータに感染しました。 そして6月末には新たな類似ウイルス「Petya」が出現した。 または、最も一般的には「Petya」と呼ばれます。

これらのウイルスはランサムウェア トロイの木馬として分類されており、非常によく似ていますが、それぞれに重要な違いもあります。 公式データによると、「Petya」は最初にウクライナでかなりの数のコンピューターに感染し、その後世界中を旅し始めました。

イスラエル、セルビア、ルーマニア、イタリア、ハンガリー、ポーランドなどのコンピューターが影響を受けており、ロシアはこのリストの14位に入っている。 その後、ウイルスは他の大陸に広がりました。

基本的に、ウイルスの犠牲者は大企業（多くの場合、石油会社）、空港、 携帯電話通信たとえば、バシネフチ、ロスネフチ、マース、ネスレなどの企業が被害を受けました。 言い換えれば、攻撃者は資金を搾取できる大企業をターゲットにしているということです。

「ペティア」とは何ですか？

Petya は、トロイの木馬型ランサムウェアであるマルウェアです。 このような害虫は、PC 上の情報を暗号化することで、感染したコンピュータの所有者を脅迫することを目的として作成されます。 Petya ウイルスは、WannaCry とは異なり、個々のファイルを暗号化しません。 このトロイの木馬はディスク全体を暗号化します。 これが、WannaCry ウイルスよりも危険である理由です。

Petya がコンピュータにアクセスすると、すぐに MFT テーブルが暗号化されます。 わかりやすくするために、たとえ話をしてみましょう。 ファイルを都市の大規模図書館と比較する場合、彼はそのカタログを削除します。この場合、適切な本を見つけるのは非常に困難です。

単なるディレクトリではなく、さまざまな本のページ (ファイル) が混在しているようなものもあります。 もちろん、この場合、システムは失敗します。 システムがそのようなゴミを選別することは非常に困難です。 害虫がコンピュータに侵入すると、PC が再起動され、起動後に赤い頭蓋骨が表示されます。 次に、いずれかのボタンをクリックすると、ビットコイン アカウントに 300 ドルを支払うように求めるバナーが表示されます。

ウイルス Petya に感染しない方法

Petya を作成できるのは誰ですか? この質問に対する答えはまだありません。 そして一般的に、作者が特定されるかどうかは明らかではありません（おそらくそうではないでしょう）？ しかし、漏洩元は米国であることが知られている。 このウイルスは、WannaCry と同様に、オペレーティング システムの穴を探します。 このホールにパッチを適用するには、MS17-010 アップデート (数か月前の WannaCry 攻撃時にリリースされました) をインストールするだけで十分です。 リンクからダウンロードできます。 または、Microsoft の公式 Web サイトから。

現時点では、このアップデートはコンピュータを保護する最も最適な方法です。 また、忘れないでください 優れたウイルス対策。 さらに、Kaspersky Lab は、このウイルスをブロックするデータベースのアップデートがあると述べました。

ただし、これは Kaspersky をインストールする必要があるという意味ではありません。 ウイルス対策ソフトを使用してください。データベースを更新することを忘れないでください。 また、優れたファイアウォールも忘れないでください。

Petya ウイルスはどのように広がるのでしょうか?

ほとんどの場合、Petya は次の方法でコンピュータに侵入します。 電子メール。 したがって、Petya ウイルスが潜伏している間は、手紙内のさまざまなリンク、特に見慣れないリンクを開かないでください。 一般に、見知らぬ人からのリンクを開かないようにしてください。 こうすることで、このウイルスだけでなく、他の多くのウイルスからも身を守ることができます。

次に、トロイの木馬はコンピュータに到達すると再起動し、 のチェックをシミュレートします。 次に、すでに述べたように、画面に赤い頭蓋骨が表示され、ファイル復号化の費用として 300 ドルをビットコイン ウォレットに送金することを提案するバナーが表示されます。

いかなる状況であっても支払う必要はないとすぐに言います。 いずれにせよ、彼らはあなたのためにそれを解読しません、あなたのお金を使ってトロイの木馬の作成者に貢献するだけです。 このウイルスは復号化を目的としたものではありません。

Petya ウイルスから身を守る方法

Petya ウイルスに対する保護について詳しく見てみましょう。

1. システムアップデートについてはすでに述べました。 これが一番 重要な点。 海賊版システムを使用している場合でも、MS17-010 アップデートをダウンロードしてインストールする必要があります。
2. で Windowsの設定「ファイル拡張子の表示」を有効にします。 これのおかげで、ファイル拡張子を確認し、疑わしいものを削除することができます。 ウイルスファイルの拡張子は「exe」です。
3. 手紙の話に戻りましょう。 見知らぬ人からのリンクや添付ファイルをクリックしないでください。 また、一般に、隔離中はメール内のリンクをたどらないでください（たとえ知り合いからのものであっても）。
4. ユーザー アカウント制御を有効にすることをお勧めします。
5. 重要なファイルをリムーバブル メディアにコピーします。 クラウドにコピー可能。 これは多くの問題を回避するのに役立ちます。 Petya が PC に表示された場合は、新しいものをインストールするだけです オペレーティング·システム、以前にハードドライブをフォーマットしたことがある。
6. 優れたウイルス対策ソフトをインストールしてください。 ファイアウォールでもあることが望ましいです。 通常、このようなウイルス対策製品には最後に「セキュリティ」という言葉が付いています。 コンピュータ上に重要なデータがある場合は、ウイルス対策を軽視すべきではありません。
7. 適切なウイルス対策ソフトウェアをインストールしたら、データベースを更新することを忘れないでください。

Petya ウイルスの除去方法

これは難しい質問です。 Petya がコンピュータ上で作業を行った場合、基本的に削除するものは何もありません。 すべてのファイルはシステム全体に分散されます。 おそらく、それらを整理できなくなります。 攻撃者に金を払う意味はない。 残っているのは、ディスクをフォーマットしてシステムを再インストールすることだけです。 システムをフォーマットして再インストールすると、ウイルスは消えます。

また、この害虫は特に Windows システムに対して脅威をもたらすことも付け加えておきたいと思います。 ロシアの Rosa システムなど、他のシステムをお持ちの場合は、このランサムウェア ウイルスを恐れる必要はありません。 携帯電話の所有者にも同じことが当てはまります。 彼らのほとんどは、 アンドロイドシステム、iOSなど。 したがって、携帯電話の所有者は心配する必要はありません。

また、あなたが大企業の経営者ではなく一般人であれば、おそらく攻撃者はあなたに興味を持っていません。 彼らは、300 ドルには何の意味もなく、実際にこのお金を支払える大企業を必要としています。 しかし、これはウイルスがコンピュータに侵入できないという意味ではありません。 安全なほうがいいですよ！

それでも、Petya ウイルスがあなたを回避してくれることを祈りましょう。 コンピュータ上の情報を管理してください。 幸運を！

Petya ウイルスの攻撃は、多くの国の住民にとって不快な驚きでした。 数千台のコンピュータが感染し、ユーザーはハードドライブに保存されている重要なデータを失いました。

もちろん、現在ではこの事件に関する誇大宣伝は沈静化していますが、この事件が再び起こらないとは誰も保証できません。 そのため、コンピューターを潜在的な脅威から保護し、不必要なリスクを冒さないことが非常に重要です。 これを最も効果的に行う方法については、以下で説明します。

攻撃の結果

まず、Petya.A の短命な活動がもたらした影響を覚えておく必要があります。 わずか数時間で、数十のウクライナとロシアの企業が影響を受けた。 ちなみに、ウクライナでは、「Dneprenergo」、「 ノヴァ・ポシュタ」と「キエフ地下鉄」。 さらに、一部の政府機関、銀行、携帯電話事業者は Petya ウイルスから保護されていませんでした。

欧州連合諸国でも、このランサムウェアは多くの問題を引き起こしました。 フランス語、デンマーク語、英語、 国際企業 Petya コンピュータ ウイルスの攻撃に関連した一時的な運用上の問題を報告しました。

ご覧のとおり、脅威は非常に深刻です。 攻撃者は大手金融機関を被害者として選んだにもかかわらず、 一般ユーザー少なからず苦しみました。

Petya はどのように機能しますか?

Petya ウイルスから身を守る方法を理解するには、まずそれがどのように機能するかを理解する必要があります。 そのため、マルウェアがコンピュータに侵入すると、インターネットから特別なランサムウェアをダウンロードし、マスター ブート レコードに感染します。 これはハード ドライブ上の別個の領域であり、ユーザーの目から隠されており、オペレーティング システムをロードするためのものです。

ユーザーにとって、このプロセスは、突然のシステムクラッシュ後のチェックディスクプログラムの標準的な動作のように見えます。 コンピュータが突然再起動し、ハード ドライブのエラーをチェックし、電源を切らないように求めるメッセージが画面に表示されます。

このプロセスが終了するとすぐに、ブロックされているコンピュータに関する情報を含むスクリーンセーバーが表示されます。 「Petya」ウイルスの作成者は、ユーザーに 300 ドル (17.5 千ルーブル以上) の身代金を支払うよう要求し、代わりに PC の動作を再開するために必要なキーを送ることを約束しました。

防止

感染を防ぐのがはるかに簡単であることは論理的です コンピュータウイルス「Petya」、その結果に後で対処するよりも。 PC を保護するには:

• オペレーティング システムの最新のアップデートを常にインストールしてください。 原則として、PC にインストールされているすべてのソフトウェアに同じことが当てはまります。 ちなみに、「Petya」は、MacOS や Linux を実行しているコンピュータに害を及ぼすことはできません。
• 使用 現在のバージョンデータベースを更新することを忘れないでください。 確かに、そのアドバイスはありきたりなものですが、誰もが従うわけではありません。
• 電子メールで送信された不審なファイルを開かないでください。 また、疑わしいソースからダウンロードしたアプリを常に確認してください。
• 重要な文書やファイルを定期的にバックアップしてください。 それらを別のメディアまたはクラウドに保存するのが最善です ( Googleドライブ、「Yandex.Disk」など）。 これにより、万が一パソコンに何かが起こっても、大切な情報が損なわれることはありません。

停止ファイルの作成

主要な開発者 ウイルス対策プログラム Petya ウイルスを削除する方法を見つけました。 より正確に言えば、調査のおかげで、ランサムウェアは感染の初期段階でコンピュータ上のローカル ファイルを見つけようとすることが理解できました。 成功すると、ウイルスは動作を停止し、PC に害を及ぼすことはありません。

簡単に言えば、一種の停止ファイルを手動で作成してコンピュータを保護することができます。 これを行うには:

• フォルダー オプション設定を開き、「既知のファイル タイプの拡張子を非表示にする」のチェックを外します。
• メモ帳を使用して新しいファイルを作成し、C:/Windows ディレクトリに配置します。
• 作成したドキュメントの名前を「perfc」に変更します。 次に、「読み取り専用」オプションに移動して有効にします。

Petya ウイルスがコンピュータに侵入すると、コンピュータに害を及ぼすことはできなくなります。 ただし、攻撃者が将来的にマルウェアを変更する可能性があり、ファイルを停止する方法は無効になることに注意してください。

すでに感染が発生している場合

コンピュータが自動的に再起動し、チェック ディスクが開始されると、ウイルスはファイルの暗号化を開始します。 この場合、次の手順に従ってデータを保存する時間がまだあります。

• すぐに PC の電源を切ります。 これがウイルスの蔓延を防ぐ唯一の方法です。
• 次に、ハード ドライブを別の PC (ブート ドライブとしてではなく) に接続し、そこから重要な情報をコピーする必要があります。
• この後、感染したハードドライブを完全にフォーマットする必要があります。 当然のことながら、オペレーティング システムとその他のソフトウェアを再インストールする必要があります。

あるいは、特別なツールを使用してみることもできます。 ブートディスク Petya ウイルスを治すために。 たとえば、Kaspersky Anti-Virus は、オペレーティング システムをバイパスするこれらの目的のために、Kaspersky Rescue Disk プログラムを提供しています。

恐喝者に金を払う価値はあるのか？

前述したように、Petya の作成者は、コンピュータが感染したユーザーに 300 ドルの身代金を要求しています。 恐喝者らによると、指定された金額を支払った後、被害者には情報の遮断を解除するキーが送られるという。

問題は、コンピュータを通常の状態に戻したいユーザーが電子メールで攻撃者に連絡する必要があることです。 ただし、すべてのランサムウェア電子メールは承認されたサービスによってすぐにブロックされるため、それらに連絡することはまったく不可能です。

さらに、多くの主要なウイルス対策ソフトウェア開発者は、いかなるコードを使用しても Petya に感染したコンピュータのロックを解除することは完全に不可能であると確信しています。

おそらくおわかりかと思いますが、恐喝者にお金を支払うべきではありません。 そうしないと、動作しない PC が残るだけでなく、多額の損失を被ることになります。

新たな攻撃はあるのか？

Petya ウイルスは 2016 年 3 月に初めて発見されました。 その後、セキュリティの専門家がすぐに脅威に気づき、その大規模な拡散を阻止しました。 しかし、すでに 2017 年 6 月末に攻撃が再び繰り返され、非常に深刻な結果をもたらしました。

すべてがそこで終わる可能性は低いです。 ランサムウェア攻撃は珍しいことではないため、コンピュータを常に保護しておくことが重要です。 問題は、次の感染がどのような形で発生するかを誰も予測できないことです。 いずれにしても、リスクを最小限に抑えるために、この記事に記載されている簡単な推奨事項に従うことは常に価値があります。