Вірус Петя. Аеропорт Одеси і метро Києва піддалися атакам хакерів

1. Осіння атака ...
2. Творець використаного для потужної кібератаки вірусу Petya вирішив допомогти зі зломом свого винаходу
3. Як працює страшний вірус Petya
4. Як боротися з вірусом Petya
5. У "Лабораторії Касперського" з'ясували, що виплата викупу творцям вірусу ExPetr не допоможе...
6. Вірусом Petya.A вже заражені тисячі комп'ютерів
7. Вірус Petya захоплює світ
8. Сильно постраждала і Україна
9. До Petya був WannaCry
10. Як відбулося зараження перших комп'ютерів

оновлено 24 жовтня 2017 о 17:22

Осіння атака ...

Інформаційна система міжнародного аеропорту Одеси і комп'ютерна мережа метро Києва зазнали 24 жовтня хакерській атаці. Про атаку на мережу аеропорту повідомляється на його сторінці в Facebook.

У повідомленні наголошується, що всі служби аеропорту працюють в посиленому режимі, і приносяться вибачення пасажирам за вимушене збільшення часу обслуговування.

Як повідомляє одеське видання Timer, кібератака вплинула на роботу внутрішніх служб аеропорту, що відповідають за оформлення пасажирів, яке тепер займає більше часу.

Атаці піддалася і комп'ютерна система київського метро, ​​через що там не працюють банківські сервіси. "Метро працює в звичайному режимі, крім банківських сервісів (оплата безконтактними банківськими картками на жовтому турнікеті або MasterPass)", - йдеться в повідомленні київського метрополітену в Facebook.

За даними джерел видання Frontnews, мова може йти про одну з модифікацій вірусу Petya.A, який використовувався в червневій атаці.

Також не працює сайт Державної авіаційної служби України, передає агентство "Інтерфакс-Україна".

Міністерство інфраструктури України повідомило, що в зв'язку з отриманням ряду повідомлень про зростання кіберзагрози вживаються заходи щодо підвищення інформаційної безпеки. Повідомлялося, що атакований і сайт самого міністерства близько 13:10 і незабаром був відключений. "Мінінфраструктури вживає заходів щодо підвищення інформаційної безпеки", - сказала прес-секретар міністра інфраструктури Марина Томко.

Нагадаємо, що за останні півроку по світу прокотилися вже дві хвилі атак вірусів-шифрувальників: 12 травня сталася атака вірусу WannaCry, а 27 червня вірус-вимагач Petya вразив мережі близько 80 організацій в Росії і урядову мережу на Україні.

Обидва віруси проникали на комп'ютери, що працюють на базі Windows, шифрували вміст жорстких дисків і вимагали викуп за відновлення даних. Атака вірусу WannaCry торкнулася сотні тисяч комп'ютерів більш ніж в 150 країнах, а атака Petya - понад 10 тисяч комп'ютерів в 65 країнах. Від вірусів постраждав ряд російських компаній, включаючи "Мегафон" і "Роснефть", а в результаті атаки Petya були зафіксовані поодинокі випадки зараження комп'ютерів в банках.

Вірус-вимагач, який блокує доступ до даних і вимагає 300 доларів в біткоіни за розблокування, відомий в різних модифікаціях ще з 2016 року.

Шкідлива програма розповсюджується через спам-лист. Зокрема, перші версії Petya маскувалися під резюме. Коли користувач відкривав заражене лист, на екрані з'являлася Windows-програма, яка вимагала прав адміністратора.

_________________________________________________________________________________

Новий вірус-шифрувальник Petya продовжує брудну справу свого попередника WannaCry і масово заражає комп'ютери користувачів.

Вдень 27 червня "Петя" атакував близько 80 організацій в Україні і в Росії. Пізніше повідомлення про хакерські атаки надійшли з Європи та Індії. За попередніми даними, аналогічним вірусом-здирником були заражені комп'ютерні мережі в Нідерландах, Франції та Іспанії.

Творець використаного для потужної кібератаки вірусу Petya вирішив допомогти зі зломом свого винаходу

На наступний день після початку масштабної атаки вірусу-шифрувальника Petya вперше за півроку дав про себе знати його творець. Розробник шкідливого ПО, який називає себе Янусом, з'явився в Twitter з припущенням, що його винахід вдасться зламати. Раніше серед експертів поширилося припущення, що під охопила планету вірусну атаку могло бути замасковано тестування кіберзброї або спроба вивести з ладу інфраструктуру конкретного государства.По даними The Daily Beast, рано вранці в середу, коли глобальна атака Petya вже була припинена, розробник вірусу написав в Twitter : "Ми повернулися і розглядаємо NotPetya. Можливо, його вдасться зламати нашим особистим ключем?" Видання зазначає, що продавати вірус іншим хакерам його розробник почав в березні 2016 року. З грудня він не подавав про себе ніяких вестей.По даними експерта з безпеки, відомої під псевдонімом Hasherezade, Янус - єдиний володар вихідного коду Petya, відзначається в статті. "Исходник так нікуди і не просочився. Його могли продати, але я так не вважаю", - вважає співрозмовниця видання, статтю якого перевела InoPressa.По думку автора статті, запис Януса в Twitter побічно доводить його непричетність до відбулася 27 червня атаці. Раніше експерти висловили припущення, що під кібератаку з використанням Petya насправді могло бути замасковано тестування кіберзброї спецслужбами будь-якої страни.Также передбачалося, що за діями розповсюджувачів вірусу могла ховатися спроба вивести з ладу критичну інфраструктуру України, яка найбільшою мірою постраждала від вірусної атаки. Цієї думки дотримується засновник провайдера кібербезпеки Comae Technologies Маттье Суше. "Це хтось, хто хоче відключити Україну і створити видимість того, що попрацював вірус-вимагач. Мотив політичний - так само, як в грудні з електромережею", - упевнений експерт.Ранее стало відомо, що на Україні, яка першою постраждала від поширення шкідливої ​​програми, вірус Petya спочатку поширювався через програму ME Doc, яка прийшла на заміну російського софта для бухгалтерії "1С", після того як президент Петро Порошенко ввів санкції проти російських IT-компаній.Программа ME Doc була встановлена ​​в сотнях державних установ платіжні дження і комерційних організацій на Україні, і саме тому, на думку експертів, кібератака мала такий масштабний характер. В результаті зараження шифрувальником на Україні з ладу вийшли комп'ютерні мережі аеропортів, залізничних вокзалів, банків, операторів стільникового зв'язку, енергетичних компаній, АЕС і госучрежденій.Кроме того, головний експерт ООН з кіберзлочинності Ніл Уолш припускав, що головним мотивом розповсюджувачів вірусу були не гроші. Фахівець не виключив, що вірусна атака могла бути організована на рівні государства.Прі цьому вірус, який використовували в ході атаки, був заснований на Petya, але сильно модифікований. У "Лабораторії Касперського" нову версію шифрувальника назвали NotPetya.Также експерти компанії з'ясували, що жертви вірусу не зможуть повернути доступ до зашифрованих даних на своєму комп'ютері навіть після виплати викупу здирникам. Платити зловмисникам безглуздо, оскільки у них все одно немає можливості розшифрувати дані.

Як працює страшний вірус Petya

Вірус-вимагач, який блокує доступ до даних і вимагає 300 доларів в біткоіни за розблокування, відомий в різних модифікаціях ще з 2016 року.

Шкідлива програма розповсюджується через спам-лист. Зокрема, перші версії Petya маскувалися під резюме. Коли користувач відкривав заражене лист, на екрані з'являлася Windows-програма, яка вимагала прав адміністратора.

Якщо неуважний користувач погоджувався надати програмі відповідні права, то вірус переписував завантажувальний область жорсткого диска і показував "синій екран смерті", що пропонує в терміновому порядку перезавантажити комп'ютер.

Як відзначають експерти Malwarebytes Labs, на цьому етапі жорсткий диск ще не зашифрований і дані можна врятувати, вимкнувши комп'ютер і підключивши жорсткий диск до іншого комп'ютера, щоб скопіювати інформацію без втрати.

Після перезавантаження Petya автоматично запускає програму, що маскується під утиліту CHKDSK, яка, втім, не перевіряє жорсткий диск на предмет помилок, а шифрує його.

Після шифрування комп'ютер показує чорний екран з повідомленням про те, що користувач став жертвою вірусу-здирника Petya. Хакери вимагають 300 доларів в біткоіни за відновлення доступу до даних.

Як боротися з вірусом Petya

У разі підозри на зараження фахівці радять не перезавантажувати комп'ютер (вірус спрацьовує при перезавантаженні і зашифровує всі файли, що містяться на комп'ютері). Потрібно завантажити «патч» з сайту Microsоft (програму, яка «латає» код: усуває уразливості, які дозволяли вірусу вносити зміни в роботу програми) і зробити резервні копії важливих даних.

У "Лабораторії Касперського" з'ясували, що виплата викупу творцям вірусу ExPetr не допоможе повернути зашифровані дані

Виплата необхідного викупу творцям вірусу-шифрувальника ExPetr не допоможе постраждалим від його атаки користувачам повернути свої файли. До такого висновку прийшла компанія "Лабораторія Касперського".

Як наголошується в повідомленні компанії, дослідники проаналізували ту частину коду зловреда, яка пов'язана з шифруванням файлів, і з'ясували що після шифрування файлів на зараженому комп'ютері у творців вірусу вже немає можливості розшифрувати дані.

"Для розшифровки необхідний унікальний ідентифікатор конкретної установки трояна. У раніше відомих версіях схожих шифрувальників Petya / Mischa / GoldenEye ідентифікатор установки містив інформацію, необхідну для розшифровки. У разі ExPetr (aka NotPetya) цього ідентифікатора немає. Це означає, що творці зловреда не можуть отримувати інформацію, яка потрібна для розшифровки файлів. Іншими словами, жертви вимагача не мають можливості повернути свої дані ", - йдеться в повідомленні компанії.

У зв'язку з цією обставиною експерти "Лабораторії Касперського" попередили про безглуздість виплати викупу хакерам, оскільки це не допоможе користувачам повернути свої файли.

Вірусом Petya.A вже заражені тисячі комп'ютерів

В Україні була вражена урядова мережу, в Росії - компанії "Роснефть", Mars, Nivea і інші. У Кремлі заявили, що їх вірус не торкнувся. Тим часом Київ поклав відповідальність за атаку на російські спецслужби, назвавши те, що відбувається елементом гібридної війни.

За даними Group-IB, вірус Petya.A блокує комп'ютери і не дає запустити операційну систему. За відновлення роботи і розшифровку файлів він вимагає викуп у розмірі 300 доларів в біткоіни. Масштабна атака на нафтові, телекомунікаційні та фінансові компанії в Росії і в Україні була зафіксована в районі 14:00 за Москві, передає ТАСС.

За даними "Лабораторії Касперського", шифрувальник використовує підроблену електронний підпис Microsoft. Технологія електронного підпису коду використовується для того, щоб показати користувачам, що програма розроблена довіреною автором і гарантує, що не завдасть шкоди. У "Лабораторії Касперського" вважають, що вірус був створений 18 червня 2017 року.

Для припинення поширення вірусу в Group - IB рекомендують негайно закрити TCP-порти 1024-1035, 135 і 445.

Вірус Petya захоплює світ

Експерти вже повідомили, що новий вірус-вимагач Petya поширився за межі СНД і вразив комп'ютерні мережі по всьому світу.

"Вірус Petya з контактною адресою [email protected] поширюється у всьому світі, величезна кількість країн порушено", - написав на своїй сторінці в Twitter керівник міжнародної дослідницької команди "Лабораторії Касперського" Костін Райю.

Він уточнив, що Petya використовує підроблену цифровий підпис компанії Microsoft. За даними Райю, хакери-вимагачі вже отримали щонайменше сім платежів в якості викупу за повернення доступу до комп'ютерів, атакований вірусом.

Журналісти агентства Reuters повідомляють, що хакерська атака поширилася і на країни Європи. Вірус-вимагач проник, зокрема, в комп'ютерні мережі Великобританії і Норвегії. Крім того, сліди Petya були виявлені і в Індії.

За інформацією BNS, вірус дістався і до Литви. "Ми отримали кілька повідомлень і проводимо їх розслідування", - заявив офіційний представник Служби регулювання зв'язку Рітіс Райніс, відмовившись при цьому назвати підприємства, які могли постраждати від вірусу.

Про атаках на свої системи повідомила британська рекламна фірма WPP. Голландська транспортна компанія APM також заявила, що її комп'ютери заражені вірусом-здирником . При цьому знімок екрана зараженого комп'ютера нагадує сліди атаки, яка почалася в Україні.

Сильно постраждала і Україна

В Україні серед інших атаці піддалися банки "Ощадбанк", "Південний", ОТП, "Приватбанк"; аеропорт Бориспіль, "Укрпошта", Київський метрополітен, "Нова пошта", "Укренерго", "Київенерго", мережа заправок ТНК, канал ATR, "Київводоканал", офіційний сайт уряду, ДП "Антонов", ДП "Документ", повідомляє " 112.Украіна ".

Національний банк України (НБУ) уже попередив банки та інших учасників фінансового сектора про зовнішню хакерській атаці невідомого вірусу. У НБУ також зазначили, що в зв'язку з кібератаками в фінансовому секторі України були посилені заходи безпеки і протидії атакам хакерів, повідомляється в прес-релізі регулятора.

В "Укртелекомі" заявили, що компанія продовжує надавати послуги доступу в інтернет і телефонії, а комп'ютерні системи, які супроводжують колл-центру та центрів обслуговування абонентів, не працюють.

В аеропорту Бориспіль, у свою чергу, попередили, що "у зв'язку з позаштатної ситуацією можливі затримки рейсів". В даний час на офіційному сайті аеропорту пасажирам недоступно онлайн-розклад рейсів.

У Київському метрополітені заявили, що в результаті атаки була заблокована функція оплати банківськими картками. "Безконтактні картки метро працюють в звичайному режимі", - зазначили в столичній підземці.

В "Укренерго" повідомили, що в компанії вже проводять розслідування за фактом кібератаки.

Крім того, хакерська атака призвела до відключення комп'ютерної системи моніторингу радіаційного фону на Чорнобильській АЕС. Комп'ютери під керуванням Windows відбулося тимчасове відключення, радіаційний моніторинг промислового майданчика був переведений в ручний режим.

Як повідомили в Державному агентстві з управління зоною відчуження, також не працює і офіційний сайт Чорнобильської АЕС. "Всі технологічні системи станції працюють в звичайному режимі", - запевнили у відомстві.

Вірус Petya частково заблокував роботу Одеської міської ради. Ряд робочих комп'ютерів, підключених до локальної мережі під управлінням операційної системи Microsoft, не працює. Також певні проблеми відчувають співробітники ПАТ "Одесагаз" і ПАТ "Одесаобленерго".

Російська "Роснефть" була атакована шкідливим вірусом.

Комп'ютерні сервери "Роснефти" зазнали потужної хакерської атаки, повідомив офіційний Twitter компанії. Трохи пізніше почали надходити повідомлення про зараження вірусом інших компаній.

У зв'язку з кібератакою "Роснефть" вже звернулася в правоохоронні органи. У компанії сподіваються, що подія ніяк не пов'язане з поточними судовими процедурами.

"Ведомости" з посиланням на два джерела, близьких до "Башнефть", пишуть, що вірусом-здирником заражені всі комп'ютери "Башнефть". Вірус попередив користувачів, що всі їхні файли заражені, а спроби самостійного відновлення марні.

Центробанк РФ повідомив про виявлення випадків зараження комп'ютерних систем вітчизняних банків в результаті хакерської атаки.

"Банк Росії повідомляє про виявлення комп'ютерних атак, спрямованих на російські кредитні організації. За інформацією Банку Росії, в результаті атак зафіксовані поодинокі випадки зараження об'єктів інформаційної інфраструктури. Порушень роботи систем банків і порушень надання сервісів клієнтам не зафіксовано" , - повідомили в прес-службі регулятора (цитата по RNS).

В даний час Центр моніторингу та реагування на комп'ютерні атаки в кредитно-фінансовій сфері Банку Росії спільно з кредитними організаціями працює над усуненням наслідків виявлених комп'ютерних атак, підкреслили в Центробанку.

Хакерській атаці, імовірно, піддалися і всі комп'ютери корпоративного сервера московських ресторанів мережі "Танукі - Йорж", передає ТАСС.

Прес-служба Росенергоатому повідомила, що всі АЕС Росії працюють в штатному режимі. Відсутність слідів хакерських атак підтвердили також в "Інтер РАО", "Енел Росія", "Россет" і "Системному операторі ЄЕС". В "Россет" додали, що для запобігання можливих атак хакерів уже було вжито відповідних заходів.

До Petya був WannaCry

Попередня масштабна атака на організації по всьому світу, знаряддям якої став вірус WannaCry, сталася 12 травня. Вірус-шифрувальник масово виводив з ладу комп'ютери і вимагав викуп за дешифрування файлів користувачів. Повідомлялося, що Росія більше за інші країни постраждала від WannaCry. Кібератака, зокрема, торкнулася компанію "Мегафон", МВС, "Сбербанк", МОЗ. Про спробу зараження повідомляли в РЖД і Центробанку, де підкреслили, що атака була безуспішною.

Експерти американської компанії Flashpoint прийшли до висновку, що творцями вірусу-здирника WannaСry можуть бути вихідці з Південного Китаю, Гонконгу, Тайваню або Сінгапуру. У Group-IB підозрюють хакерів з КНДР, які до того ж намагалися видати себе за російських.

Як відбулося зараження перших комп'ютерів

Фахівці компанії Microsoft підтвердили вину софта "М.Є.Док" в хакерській атаці, яка вивела з ладу комп'ютери українських служб і підприємств.

Згідно з даними компанії, в Україні інфіковано 12,5 тисячі комп'ютерів. За словами фахівців Microsoft, хакерська атака була здійснена за допомогою вірусу-здирника.

Відзначимо, що спочатку такі дані в компанії вважали виключно непрямими, але більш детальне дослідження підтвердило раніше подану заяву української кіберполіції - винен MEDoc.

Весь процес був запущений в 10.30 27 червня і до обіду загроза поширилася на компанії по всій Україні, а сталося все після легального поновлення програми для документообігу.

Також фахівці Microsoft відзначили, що їх безкоштовний антивірус Windows Defender зумів розпізнати загрозу. Тому головна порада компанії - завжди вчасно оновлюйте операційну систему, адже нові версії містять в собі захист від усіх сучасних загроз.

У свою чергу, розробник програмного забезпечення MEDoc заперечує свою причетність до поширення вірусу.

"Розробник MEDoc як відповідальний постачальник програмного продукту стежить за безпекою і чистотою власного коду. Для цього були укладені договори з великими антивірусними компаніям. Також перед випуском кожного оновлення MEDoc передає в антивірусні компанії свої файли для аналізу", - сказано в повідомленні.

Актуальна версія пакета оновлень була випущена 22 червня, всі файли були перевірені на наявність будь-яких вірусів, стверджують в MEDoc.

© md-eksperiment.org

Ключові слова: Вірус Petya, вірус петя, новий вірус, WannaCry, зараження від вірусу, як працює вірус петя, Захист від вірусу, як захиститися, атака вірусу, Petya.A, шкідлива програма, вимагач, спам-лист, що робити, Як боротися, що робити, комп'ютер заражений, хакерська атака