27 июня, накануне Дня Конституции, вся Украина оказалась под ударом неизвестных хакеров. Вирус под названием Petya атаковал корпоративные сети банков, СМИ, различных компаний, органов власти, футбольных клубов, мобильных операторов.

28 июня в Кабмине заявили, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена.

О вирусе-вымогателе по-прежнему известно не слишком много, но за сутки специалисты озвучили несколько действенных способов защиты от вируса. "Страна" собрала три самых эффективных их них.

При этом специалисты напоминают, что удалить вирус с уже пораженного устройства не получится. Компьютер по сути превращается просто в кусок неработающего пластика.Также специалисты не советуют отправлять "выкуп" на счет хакеров, поскольку это бессмысленно.

Антивирус

По словам IT-специалистов, нужно обязательно пользоваться антивирусами. При этом вирус Petya блокирует Avast, тогда как антивирус "Касперский" его не видит.

Айтишники советуют не скачивать сторонние программы и файлы. Не переходить по подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей.

При этом зараженные письма авторы вируса могут маскировать, например. под письмо из фискальной службы.

Замминистра информполитики Дмитрий Золотухин опубликовал пример такого письма. Если открыть такое сообщение - запустится вредоносная программа, которая зашифрует все данные на компьютере. Создатели вируса Petya идут на хитрость, осознавая, что фишинговое письмо должно побудить пользователя открыть его.

Например, в скриншоте, который опубликовал замминистра видно, что хакеры использовали сообщение о неуплате налогов, которое якобы пришло из фискальной службы. К письму было прикреплено зараженное вложение под видом послания для руководителя предприятия.

Фото: facebook.com/dzolotukhin

"Прививка-обманка"

Специалисты компании Symantec советуют

В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

Напомним, что "Страна", ведет

Американский разработчик антивирусов Symantec опубликовал рекомендации по борьбе с вирусом Petya, который 27 июня поразил компьютеры многих компаний и учреждений. Инструкция очень проста: пользователь должен создать в «Блокноте» файл под названием perfc, положить его в папку Windows на диске C. Так можно имитировать заражение компьютера: когда вирус-вымогатель попадает в систему, он ищет этот файл, а когда находит, то перестает работать.

IT-эксперты: Спастись от вируса Petya поможет имитация заражения

Производитель антивирусного программного обеспечения Symantec (США) представил рекомендации по борьбе с вирусом-вымогателем Petya, поразившим тысячи компьютеров по всему миру. Сотрудники компании порекомендовали пользователям имитировать заражение, создав в программе «Блокнот» файл perfc и разместив его в папке Windows на диске C. Когда вирус попадает в систему, он ищет этот файл, а найдя его, прекращает работу, пишет «Коммерсант».

Symantec рассказал о механизме защиты от вируса-вымогателя Petya

Ведущий мировой поставщик решений для обеспечения кибербезопасности и предотвращения утечки данных Symantec рассказал о механизме защиты от вируса-вымогателя Petya, который 27 июня атаковал компании по всему миру. Вирус больше всего затронул Россию и Украину.

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте.

Появилась инструкция по защите компьютера от вируса Petya.A

Примечательно, что создать файл можно в обычном «Блокноте», но желательно сделать его доступным только для чтения, чтобы вирус не смог внести в него изменения.

Symantec дал простой способ защиты от вируса-вымогателя Petya

Американская компания Symantec, специализирующаяся на противовирусном программном обеспечении, выпустила простые рекомендации по борьбе с вирусом-вымогателем Petya, атаковавшим системы компаний в ряде стран мира 27 июня. Как пишет компания в своем твиттере, чтобы защититься от вируса, нужно создать файл под названием perfc и разместить его в папке Windows на диске C. Проникая в компьютер, вирус проверяет систему на наличие заражения, и такой файл имитирует его.

Найден способ защитить компьютер от нового опасного вируса

Пресс-секретарь Microsoft в России Кристина Давыдова рассказала «РИА Новости», что вымогатель использует несколько способов распространения, включая тот, который использовал нашумевший в мае вирус WannaCry.

Symantec предложила решение по борьбе с вирусом-вымогателем Petya.A

Американская компания Symantec, которая специализируется на информационной безопасности, предложила решение по борьбе с вирусом-вымогателем Petya.A, который вчера поразил ряд украинских и русских компаний.

«Petya проверяет наличие предыдущего заражения через поиск имени своего файла, обычно это C:\windows\perfc», - говорится в сообщении пресс-службы.

Специалисты рассказали, как можно защититься от вируса Petya

Компания Symantec, специализирующаяся на разработке программного обеспечения в области кибербезопасности, рассказала, как можно защититься от компьютерного вируса Petya. Для того, чтобы обезопасить свой компьютер от вируса, который поразил тысячи компьютеров в России, Украине и других странах, необходимо создать видимость того, что ПК уже поражен, говорят специалисты.

Американский производитель антивирусного программного обеспечения Symantec выпустил рекомендации по борьбе с вирусом-вымогателем Petya, поразившим накануне системы многих компаний и госучреждений по всему миру. Согласно инструкциям, пользователям необходимо имитировать заражение компьютера, создав в программе «Блокнот» файл perfc и разместив его в папке Windows на диске C. Когда вирус попадает в систему, он ищет этот файл и, найдя его, прекращает работу.

Symantec опубликовал способ уничтожения вируса Petya

Американская компания Symantec, специализирующаяся на выпуске антивирусного ПО, опубликовала рекомендации по противодействию вирусу Petya.Согласно инструкции, с помощью программы «Блокнот» необходимо создать файл perfc и разместить его в папке Windows на диске с установленной операционной системой. Когда вирус попадает в систему, он автоматически найдет указанный файл и прекратит работу.

Многие интернет-любители до сих пор наивно полагают, что если не заходить на сомнительные странички и не переходить по незнакомым ссылкам, шансов «поймать» вирус нет. «К сожалению, это не так, - констатируют в компании DriverPack (занимается автоматизацией работы с драйверами на платформе Microsoft Windows. - Прим. ред.). - Новое поколение вирусов действует совершенно иначе - они активируют себя самостоятельно, используя уязвимость в одном из протоколов». Из их числа и Petya. По данным компании Symantec (американская компания, разрабатывающая антивирусный софт. - Прим. ред.), Petya существует с 2016 года. А вот активизировался он только сейчас. Правда, это может быть и не совсем Petya. В «Лаборатории Касперского» троянец назвали ExPetr и утверждают, что на прошлого «Петю» он похож, но незначительно. А в компании Cisco (американская компания, специализирующаяся на высоких технологиях, в том числе по кибербезопасности. - Прим. ред.) новый вирус-вымогатель и вовсе назвали Nyetya.

Чем опасен?

Как ты «Петю» ни назови, а проблема остается. «Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса, - предупреждают в Group-IB (российская компания, специализирующаяся на борьбе с киберпреступностью. - Прим. ред.). - После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов. Любые вложения - .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент». В Cisco добавили, что вирус шифрует главную загрузочную запись компьютера (можно сказать, «содержание» жесткого диска).

Если речь идет о корпоративной сети, то чтобы заразить ее всю, нужен всего один «инфицированный» компьютер. «После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть восстановить работоспособность ОС, - вроде бы дают надежду в Positive Technologies (российская компания, специализирующаяся на кибербезопасности. - Прим. ред.). - Однако расшифровать файлы не удастся. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно».

Увы, эксперты также выяснили, что набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

Как сделать так, чтобы Petya не прошел?

Для того чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. «Подпишитесь на Microsoft Technical Security Notifications», - советуют и в Group-IB. Собственно, это залог того, что когда Microsoft проанализирует пути обезвреживания этой угрозы, компания установит соответствующие обновления. К слову, в российском подразделении Microsoft уже сообщили, что антивирусное ПО обнаруживает этот вирус-вымогатель и защищает от него.

Причем в DriverPack отмечают, что последствия атаки оказались настолько серьезными, что «компания Microsoft пошла на беспрецедентный шаг — выпустила обновление даже для снятой с поддержки Windows XP. Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB (сетевой протокол, появившийся в 1983 году. - Прим.ред.) и без последних обновлений». «Некоторые пользователи держат не обновлёнными компьютеры много-много лет», - разводит руками руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Однако если обновления все-таки делаются, то параллельно с этим процессом в компании Cisco советуют внести в стратегию обеспечения безопасности базовое положение относительно резервного копирования ключевых данных.

Еще для дополнительной защиты от Petya разработчики советуют создавать на компьютере файл-обманку. В частности, как пишет в своем твиттере компания Symantec, чтобы защититься от вируса, нужно создать файл под названием perfc и разместить его в папке Windows на диске C. Проникая в компьютер, вирус проверяет систему на наличие заражения, и такой файл имитирует его. Создать файл можно в программе «Блокнот». Из имени документа будет необходимо удалить расширение.txt.

Если Petya все же пришел

В первую очередь, эксперты по информационным технологиям не рекомендуют платить деньги вымогателям, если вирус все же заблокировал компьютер. Причем объясняют это вовсе не высокотехнологичными причинами. «Почтовый адрес нарушителей уже был заблокирован, и даже в случае оплаты выкупа ключ для расшифровки файлов наверняка не будет получен», - говорят в Positive Technologies. Да и в целом, отмечают в «Лаборатории Касперского», если давать деньги «фишерам», вирусы будут только множиться. «Для предотвращения распространения шифровальщика в Сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от Сети зараженные узлы и снять образы скомпрометированных систем», - дают конкретные рекомендации в Positive Technologies.

Причем если данные на компьютере уже зашифрованы, лучше «не дергаться». «Если появится возможность расшифровать и восстановить хотя бы часть файлов, то дополнительные действия могут только помешать будущей расшифровке», - считает Вячеслав Закоржевский из «Лаборатории Касперского». «В случае, если исследователи найдут способ расшифровки файлов, заблокированные данные могут быть восстановлены в будущем», - уверены и в Positive Technologies. Господин Закоржевский при этом советует попытаться восстановить резервные копии, если таковые имеются.

Сколько в мире «Петь»?

В «Лаборатории Касперского» подсчитали, что число вредоносных программ для атак только на устройства Интернета вещей превышает семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. А всего в мире работают больше 6 миллиардов подключенных к Интернету устройств. По словам Закоржевского, интенсивность по киберугрозам в мире ежедневно меняется, но все же не сильно. Скорее, меняется география атак. И еще влияют на «киберстатистику» время суток и национальные праздники.

У основных игроков рынка, работающих на рынке информационной безопасности, есть онлайн-карты, показывающие количество атак в реальном времени по всему миру. Эти данные основаны на данных пользователей, поставивших у себя тот или иной «антивирусник». Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал, как читают профессионалы такие карты и где расположено большинство хостингов, являющихся «рассадником» фишинга и прочих «зловредов».

По оценкам DriverPack, полностью беззащитны перед компьютерными вирусами более 35% пользователей в России. «Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB», - уверены эксперты. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.

[Обновлено 28 июня 2017]

Петя и Миша - лучшие друзья. Обычно они все делают вместе. И да - вы читаете не сказку для маленьких детей, а блог «Лаборатории Касперского». Поэтому «Петя» и «Миша» - это троянцы-вымогатели, которые работают в паре и поставляются в одном инсталляционном пакете.

Если вы постоянно читаете наш блог и следите за происходящим в мире кибербезопасности, то вы уже знаете о «Пете». Этой весной мы опубликовали два поста - в одном мы объясняли, что это за шифровальщик и как он работает , а в другом рассказали о декрипторе за авторством пользователя Twitter с никнеймом Leostone , позволяющем расшифровать файлы, до которых добрался «Петя» .

«Петя» с самого начала был необычным творением: в отличие от других троянцев-вымогателей, он шифровал не файлы с конкретными расширениями, а главную таблицу файлов , тем самым делая весь жесткий диск целиком непригодным для использования. Так что для уплаты выкупа жертвам «Пети» нужен был другой компьютер.

Знакомьтесь, это Petya. Petya - вымогатель, шифрующий главную таблицу файлов на диске. Не будьте как Petya! https://t.co/hks24hClKo

Для своих грязных делишек «Пете» нужны права администратора. Если пользователь не выдает их троянцу, кликнув по соответствующей кнопке, «Петя» становится бессилен. Очевидно, создателей троянца это не устраивало, и они придумали «Пете» подельника - «Мишу».

У «Пети» и «Миши» есть два ключевых отличия. «Петя» может лишить жертву жесткого диска целиком, в то время как «Миша» шифрует только определенные файлы. С другой стороны, «Пете» нужны права администратора, а вот «Мише» - нет. Плохие парни решили, что из этой парочки выйдут отличные напарники, дополняющие друг друга.

«Миша» больше похож на традиционного троянца вымогателя. Он использует стандарт AES для шифрования данных на компьютере жертвы. В блоге Bleeping Computer говорится , что троянец добавляет расширение из четырех символов к имени зашифрованного файла. Таким образом, например, файл «test.txt» становится «test.txt.7GP3».

Теперь, если «Петя» не может получить админ-привилегии, на зараженную машину устанавливается «Миша». Такие дела: https://t.co/vHxU63qASb

У «Миши» неуемный аппетит - он шифрует огромное количество разных файлов, в том числе и.exe. Таким образом новый троянец не позволяет пользователям запустить какую-либо программу на компьютере. За одним исключением: в процессе шифрования «Миша» игнорирует папку Windows и папки, содержащие файлы браузеров. Закончив с шалостями, «Миша» создает два файла, содержащие инструкции по уплате выкупа. Называются они так: YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

«Петя» и «Миша» попадают на компьютеры жертв с помощью фишинговых email, притворяющихся письмами от кандидатов с «резюме» во вложении. Например, троянец был обнаружен в файле с названием PDFBewerbungsmappe.exe (с немецкого это можно перевести как «PDF-заявка на работу»). Использование немецкого языка в имени файла и то, как распространяется зловред, подсказывают: целью преступников являются немецкоговорящие компании и корпорации.

После того как жертва попытается открыть.exe-файл, содержащий неразлучную парочку, на экране появится окно службы контроля учетных записей пользователей и спросит, точно ли пользователь хочет предоставить этой программе привилегии администратора.

Что бы ни выбрал пользователь, он уже проиграл: если он ответит «да», то за его жесткий диск возьмется «Петя», если «нет», то его файлы украдет «Миша».

Как мы уже говорили, младший брат «Пети» - жадный тип: в качестве выкупа он требует почти 2 биткойна (1,93), что на данный момент эквивалентно примерно $875.

Стоит отметить, что создатели мерзкого дуэта вряд ли являются выходцами из русскоговорящих стран: хотя оба троянца носят русские имена, в оригинале «Мишу» зовут Mischa, а не Misha. Буква «c» в середине подсказывает, что авторы шифровальщика недостаточно хорошо знакомы с правилами транслитерации русских имен.

К сожалению, пока еще никто не придумал инструмента, который бы помог жертвам «Миши». Есть способ восстановить файлы, обработанные «Петей», однако для этого понадобятся запасной ПК и опыт работы с компьютером.

Таким образом, чтобы не стать жертвой «Пети», «Миши» или какого-нибудь новенького «Васи», мы рекомендуем вам следующее:

1. Делайте резервные копии, причем как можно чаще и тщательнее. Если вы вовремя забэкапите свои файлы, то сможете послать кибервымогателей… куда захотите.

2. Никому не верьте и всегда помните о возможных угрозах. Резюме этого кандидата имеет расширение.exe? М-м-м, выглядит очень подозрительно… Не стоит его открывать. Лучше быть осторожным, чем потерять все рабочие файлы.

Плохие парни создали шифровальщику-вымогателю Petya напарника Mischa #ransomware

Group-IB 28.06.2017 17:18

2648

27 июня на Украине, в России и в нескольких других странах мира была зафиксирована масштабная кибератака с использованием новой модификации локера-шифровальщика Petya.

Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний. После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов.

Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент. При открытии вложения с вирусом «Petya» произойдет установка вредоносного программного обеспечения путем использования известной уязвимости CVE-2017-0199.

Вирус ждет 30-40 минут после инфицирования (для распространения), а после этого Petya шифрует локальные файлы.

За расшифровку вымогатели требуют выкуп в размере $300 в биткоинах на интернет-кошелек.

Жертвы

В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании - в итоге было заражено более 100 компаний по всему миру:
- в России: «Роснефть», «Башнефть», Хоум Кредит Банк, Evraz и другие;
- на Украине: «Запорожьеоблэнерго», «Днепроэнерго», «Днепровская электроэнергетическая система», Mondelez International, Ощадбанк, Mars, «Новая Почта», Nivea, TESA, Киевский метрополитен, правительственные компьютеры Украины, магазины «Ашан», украинские операторы («Киевстар», LifeCell, «УкрТелеКом«), Приватбанк, аэропорт «Борисполь» и другие;
- в мире: американский биофармацевтический гигант Merck, Maersk, компании Индии, Австралии, Эстонии и другие.

Что необходимо сделать для защиты?

1. Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows.
2. Установить патч KB2871997.
3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0.
4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные.
5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах.
6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010).
7. Экстренно отбирать администраторские права у всех, кому они не нужны.
8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети.
9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях.
10. Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников.
11. Отключите SMBv1 в сети.
12. Подпишитесь на Microsoft Technical Security Notifications. 1. Вы спонсируете преступников.
2. У нас нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.