Вымогателя-Petya ищут в России и на Украине и хотят записать в «Блокнот. «Лаборатория Касперского» дала свое название новому вирусу-вымогателю Petya вирус как работает

Атака вируса на компьютеры украинских государственных и частных компаний началась в 11:30. Под ударом оказались крупные банки, торговые сети, операторы сотовой связи, государственные компании, объекты инфраструктуры и предприятия сферы услуг.

Вирус охватил всю территорию Украины, к 17:00 появилась информация о том, что атака зафиксирована и на самом западе страны, в Закарпатье: здесь в связи с вирусом были закрыты отделения банка «ОТР» и Укрсоцбанка.

«Не работает популярный на Украине сайт Korrespondent.net и телеканал «24». Количество компаний, которые пострадали от атаки, увеличивается с каждым часом. В настоящее время на Украине не работает большая часть банковских отделений. Например, в офисах Укрсоцбанка компьютеры просто не загружаются. Нельзя получить или отправить деньги, оплатить квитанции и проч. В то же время в ПриватБанке проблем не наблюдается», — сообщает киевский корреспондент RT.

Вирус поражает только компьютеры, которые работают на операционной системе Windows. Он шифрует главную таблицу файлов жёсткого диска и вымогает у пользователей деньги за расшифровку. В этом он схож с вирусом-вымогателем WannaCry, атакам которого подверглось множество компаний по всему миру. При этом уже появились результаты проверки заражённых компьютеров, показавшие, что вирус уничтожает всю или большую часть информации на заражённых дисках.

В настоящий момент вирус идентифицирован как mbr locker 256, но в СМИ получило распространение другое название — Petya.

От Киева до Чернобыля

Вирус поразил и киевское метро, где в настоящее время возникают затруднения с оплатой банковскими картами.

Поражены многие крупные объекты инфраструктуры, такие как государственный железнодорожный оператор «Укрзализница», аэропорт Борисполь. Впрочем, пока они работают в штатном режиме, системы аэронавигации вирус не затронул, хотя Борисполь уже опубликовал предупреждение о возможных изменениях в расписании, а в самом аэропорту не работает табло прилёта.

В связи с атакой испытывают трудности в работе два крупнейших почтовых оператора страны: государственная «Укрпочта» и частная «Новая почта». Последняя заявила о том, что сегодня не будет взиматься плата за хранение посылок, а Укрпочта пытается минимизировать последствия атаки при помощи СБУ.

В связи с риском заражения не работают и сайты тех организаций, которые вирус не затронул. По этой причине отключены, к примеру, сервера сайта Киевской городской государственной администрации, а также сайт Министерства внутренних дел Украины.

Украинские официальные лица вполне предсказуемо заявляют, что атаки совершаются из России. Об этом сказал секретарь Совета национальной безопасности и обороны Украины Александр Турчинов. «Уже сейчас, проведя первичный анализ вируса, можно говорить про российский след», — цитирует его официальный сайт ведомства.

К 17:30 вирус добрался даже до Чернобыльской АЭС. Об этом изданию «Украинская правда» сообщил начальник смены ЧАЭС Владимир Ильчук.

«Есть предварительная информация, что некоторые компьютеры были заражены вирусом. Поэтому, как только эта хакерская атака началась, была дана персональная команда компьютерным рабочим на местах персонала компьютеры отключить», — сказал Ильчук.

Атака на сладости и нефтегаз

Хакерской атаке во вторник, 27 июня, также подверглись некоторые российские компании, включая нефтегазовые гиганты «Роснефть» и «Башнефть», металлургическую компанию Evraz, «Банк Хоум Кредит», отделения которого приостановили работу, а также российские представительства Mars, Nivea, Mondelez International, TESA и ряда других зарубежных компаний.

• Reuters
• MAXIM SHEMETOV

Около 14:30 мск в «Роснефти» заявили о проведении мощной хакерской атаки на серверы компании. При этом в микроблоге компании в Twitter отмечается, что атака могла привести к серьёзным последствиям, но благодаря переходу на резервную систему управления производственными процессами ни добыча, ни подготовка нефти не были остановлены.

После кибератаки сайты компаний «Роснефть» и «Башнефть» на некоторое время стали недоступны. В «Роснефти» также заявили о недопустимости распространения лживой информации по поводу произошедшей атаки.

Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.

— ПАО «НК «Роснефть» (@RosneftRu) 27 июня 2017 г.

«Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность», — сообщили в компании.

При этом в «Роснефти» отметили, что по факту кибератаки компания обратилась в правоохранительные органы, и выразили надежду, что инцидент никак не связан «с текущими судебными процедурами». Во вторник, 27 июня, арбитражный суд Башкирии начал рассмотрение по существу иска «Роснефти», «Башнефти» и Башкирии к АФК «Система» на сумму 170,6 млрд рублей.

WannaCry-младший

При этом хакерская атака не затронула работу компьютерных систем администрации президента России и официальный сайт Кремля, который, как сообщил ТАСС пресс-секретарь президента Дмитрий Песков, «работает стабильно».

Хакерская атака также никак не отразилась на работе российских АЭС, отметили в концерне «Росэнергоатом».

Компания Dr. Web на своём сайте заявила, что, несмотря на внешнее сходство, нынешняя атака была совершена с использованием вируса, отличающегося от уже известной вредоносной программы-вымогателя Petya, в частности, механизмом распространения угрозы.

«Среди жертв кибератаки оказались сети «Башнефти», «Роснефти», Mondelez International, Mars, Nivea, TESA и другие», — цитирует агентство сообщение компании. При этом в пресс-службе Mars в России рассказали, что кибератака вызвала проблемы с IT-системами только у бренда Royal Canin, производителя кормов для животных, а не у всей компании.

Последняя крупная хакерская атака на российские компании и государственные учреждения произошла 12 мая в рамках масштабной операции неизвестных хакеров, атаковавших компьютеры с ОС Windows в 74 странах мира при помощи вируса-шифровальщика WannaCry.

Во вторник глава международного комитета Совета Федерации Константин Косачёв, выступая на заседании комиссии Совфеда по защите государственного суверенитета, заявил, что около 30% всех кибератак на Россию совершается с территории США.

«С российской территории на американские компьютеры совершается не более 2% от общего числа кибератак, при этом с территории США на российскую электронную инфраструктуру — 28—29%», — приводит слова Косачёва РИА Новости.

По сообщению руководителя международной исследовательской команды «Лаборатория Касперского» Костина Райю, вирус Petya распространился на многие страны мира.

Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.

Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry . Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».

Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)

По статистике всех пострадавших, вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt. exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:

В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)

В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)

И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.

После открытия файла пользователь видит «синий экран смерти».

После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.

В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.

Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск - это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.

Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Единственный вариант, это если ранее у вас были теневые копии файлов.

Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.

Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.

Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)

Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.

Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya

Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».

Petya образца 2016 года — Costin Raiu (@craiu) June 27, 2017

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .

Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).

При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .

Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже – зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор “Петя” или, как его еще называют, “Petya”. Темпы распространения данный угрозы очень впечатляют: за пару дней он смог “побывать” в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя “Петя”. В этой статье я расскажу вам о том, что это за вирус “Petya”, как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус “Petya”?

Для начала нам стоит понять, чем же является Petya. Вирус Петя – это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно “отбирает” у вас весь жесткий диск целиком.

Правильное название нового вируса – Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса “Petya”

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table – главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск – это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо “файл” на вашем ПК. Если быть еще точнее, то после “работы” Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время – он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп – 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт (“дыра”) в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который “закрывает” эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель “Пети” смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

• Самое главное и основное – возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
• Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
• Активируйте опцию “Показывать расширения файлов” в настройках ОС – так вы всегда сможете увидеть истинное расширение файлов.
• Включите “Контроль учетных записей пользователя” в настройках Windows.
• Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус – и вы уже будете в гораздо большей безопасности, чем раньше.
• Обязательно делайте “бэкапы” – сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные – вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
• Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
• Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл – просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя – прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными – то у вас есть несколько путей.

• Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
• Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
• Форматирование диска и установка операционной системы. Минус – все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как “Башнефть” и “Роснефть”. Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся – “а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить – нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac – можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.

Британия, США и Австралия официально обвинили Россию в распространении NotPetya

15 февраля 2018 года Министерство иностранных дел Великобритании выступило с официальным заявлением, в котором обвинило Россию в организации кибератаки с использованием вируса-шифровальщика NotPetya.

По утверждению британских властей, данная атака продемонстрировала дальнейшее пренебрежение по отношению к суверенитету Украины, и в результате этих безрассудных действий была нарушена работа множества организацией по всей Европе, что привело к многомиллионным убыткам.

В Министерстве отметили, что вывод о причастности к кибератаке российского правительства и Кремля был сделан на основании заключения Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre), который «практически полностью уверен в том, что за атакой NotPetya стоят российские военные».Также в заявлении сказано, что и ее союзники не потерпят вредоносной киберактивности.

По словам Министра по делам правоохранительных органов и кибербезопасности Австралии Энгуса Тэйлора (Angus Taylor), на основе данных австралийских спецслужб, а также консультаций с США и Великобританией, австралийское правительство заключило, что ответственность за инцидент несут злоумышленники, поддерживаемые правительством РФ. «Австралийское правительство осуждает поведение России, которое создает серьезные риски для мировой экономики, правительственных операций и услуг, деловой активности, а также безопасности и благополучия отдельных лиц», - следует из заявления.

Кремль, ранее уже неоднократно отрицавший всякую причастность российских властей к хакерским атакам, назвал заявление британского МИДа частью «русофобской кампании»

Памятник "Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya"

Памятник компьютерному вирусу Petya установили в декабре 2017 года возле здания Технопарка Сколково . Двухметровый монумент, с надписью: «Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya». выполненный в виде надкусанного жесткого диска , был создан при поддержке компании ИНВИТРО , в числе других компаний пострадавшей от последствий массированной кибератаки . Робот по имени Ню, который работает в Физтехпарке и (МТИ) специально приехал на церемонию, чтобы произнести торжественную речь.

Атака на правительство Севастополя

Специалисты Главного управления информатизации и связи Севастополя успешно отразили атаку сетевого вируса-шифровальщика Petya на серверы регионального правительства. Об этом 17 июля 2017 года на аппаратном совещании правительства Севастополя сообщил начальник управления информатизации Денис Тимофеев .

Он заявил, что вредоносная программа Petya никак не повлияла на данные, хранящиеся на компьютерах в государственных учреждениях Севастополя.

Ориентированность на использование свободного ПО заложена в концепции информатизации Севастополя, утвержденной в 2015 году. В ней указывается, что при закупках и разработке базового ПО, а также ПО информационных систем для автоматизации целесообразно анализировать возможность использования свободных продуктов, позволяющих сократить бюджетные расходы и снизить зависимость от поставщиков и разработчиков.

Ранее, в конце июня, в рамках масштабной атаки на медицинскую компанию «Инвитро» пострадал и филиал ее филиал, расположенный в Севастополе. Из-за поражения вируса компьютерной сети филиал временно приостановил выдачу результатов анализов до устранения причин.

«Инвитро» заявила о приостановке приема анализов из-за кибератаки

Медицинская компания «Инвитро» приостановила сбор биоматериала и выдачу результатов анализов пациентов из-за хакерской атаки 27 июня. Об этом РБК заявил директор по корпоративным коммуникациям компании Антон Буланов.

Как говорится в сообщении компании, в ближайшее время «Инвитро» перейдет в штатный режим работы. Результаты исследований, проведенных позже этого времени, будут доставлены пациентам после устранения технического сбоя. На данный момент лабораторная информационная система восстановлена, идет процесс ее настройки. ​«Мы сожалеем о сложившейся форс-мажорной ситуации и благодарим наших клиентов за понимание», - заключили в «Инвитро».

По этим данным, атаке компьютерного вируса подверглись клиники в России , Белоруссии и Казахстане .

Атака на «Газпром» и другие нефтегазовые компании

29 июня 2017 года стало известно о глобальной кибератаке на компьютерные системы «Газпрома» . Таким образом, еще одна российская компания пострадала от вируса-вымогателя Petya.

Как сообщает информационное агентство Reuters со ссылкой на источник в российском правительстве и человека, участвовавшего в расследовании инцидента, «Газпром» пострадал от распространения вредоносной программы Petya, которая атаковала компьютеры в общей сложности более чем в 60 странах мира.

Собеседники издания не предоставили подробностей о том, сколько и какие системы были заражены в «Газпроме», а также о размере ущерба, нанесенного хакерами. В компании отказались от комментариев по запросу Reuters.

Между тем, высокопоставленный источник РБК в «Газпроме» сообщил изданию, что компьютеры в центральном офисе компании работали без перебоев, когда началась масштабная хакерская атака (27 июня 2017 года), и продолжают два дня спустя. Еще два источника РБК в «Газпроме» также заверили, что в компании «все спокойно» и никаких вирусов нет.

В нефтегазовом секторе от вируса Petya пострадали «Башнефть» и «Роснефть». Последняя заявила 28 июня о том, что компания работает в в штатном режиме, а «отдельные проблемы» оперативно решаются.

Банки и промышленность

Стало известно о заражении компьютеров в «Евраз» , российском отделении фирмы Royal Canin (производит форма для животных) и российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka).

Согласно сообщению Министерства внутренних дел Украины, мужчина на файлообменных площадках и в социальных сетях опубликовал видео с подробным описанием процесса запуска вымогательского ПО на компьютерах. В комментариях к ролику мужчина разместил ссылку на свою страницу в социальной сети, на которую загрузил вредоносную программу. В ходе обысков в квартире «хакера» правоохранители изъяли компьютерную технику, использовавшуюся для распространения NotPetya. Также полицейские обнаружили файлы с вредоносным ПО, после анализа которых было подтверждено его сходство с вымогателем NotPetya. Как установили сотрудники киберполиции, вымогательская программа, ссылку на которую опубликовал никопольчанин, была загружена пользователями соцсети 400 раз.

В числе загрузивших NotPetya правоохранители выявили компании, намеренно заражавшие свои системы вымогательским ПО для сокрытия преступной деятельности и уклонения от уплаты штрафных санкций государству. Стоит отметить, что полиция не связывает деятельность мужчины с хакерскими атаками 27 июня нынешнего года, то есть, о какой-либо его причастности к авторам NotPetya речь не идет. Вменяемые ему деяния касаются только действий, совершенных в июле текущего года - после волны масштабных кибератак.

В отношении мужчины возбуждено уголовное дело по ч.1 ст. 361 (несанкционированное вмешательство в работу ЭВМ) УК Украины. Никопольчанину грозит до 3 лет лишения свободы.

Распространение в мире

Распространение вируса-вымогателя Petya зафиксировано в Испании , Германии , Литве, Китае и Индии. К примеру, из-за вредоносной программы в Индии технологии управления грузопотоком контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk, перестали распознавать принадлежность грузов.

О кибератаке сообщили британская рекламная группа WPP , испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez. В числе пострадавших также французский производитель строительных материалов Cie. de Saint-Gobain и фармкомпания Merck & Co.

Merck

Американский фармацевтический гигант Merck , сильно пострадавший в результате июньской атаки вируса-шифровальщика NotPetya , до сих пор не может восстановить все системы и вернуться в нормальный режим работы. Об этом сообщается в отчете компании по форме 8-K, представленном в Комиссию по ценным бумагам и биржам США (SEC) в конце июля 2017 года. Подробнее .

Moller-Maersk и «Роснефть»

3 июля 2017 года стало известно о том, что датский судоходный гигант Moller-Maersk и «Роснефть» восстановили зараженные вирусом-вымогателем Petya ИТ-системы лишь спустя почти неделю после атаки, которая произошла 27 июня.

В судоходной компании Maersk, на долю которой приходится каждый седьмой отправляемый в мире грузовой контейнер, также добавили, что все 1500 приложений, пострадавших в результате кибератаки, вернутся к штатной работе максимум к 9 июля 2017 года.

Пострадали преимущественно ИТ-системы принадлежащей Maersk компании APM Terminals, которая управляет работой десятков грузовых портов и контейнерных терминалов в более чем 40 странах. В сутки свыше 100 тыс. грузовых контейнеров, проходят через порты APM Terminals, их работа которых была полностью парализована из-за распространения вируса. Терминал Maasvlakte II в Роттердаме восстановил поставки 3 июля.

16 августа 2017 года A.P. Moller-Maersk назвала примерную сумму ущерба от кибернападения при помощи вируса Petya, заражение которым, как отметили в европейской компании, проходило через украинскую программу. Согласно предварительным расчетам Maersk, финансовые потери от действия шифровальщика Petya во второй четверти 2017 года составили от 200 до 300 млн долларов .

Между тем, почти неделя на восстановление компьютерных систем от хакерской атаки потребовалось также «Роснефти», о чем 3 июля сообщили в пресс-службе компании сообщили «Интерфаксу» :

Несколькими днями ранее «Роснефть» подчеркивала, что пока не берется оценивать последствия кибератаки, но производство не пострадало.

Принцип действия Petya

Действительно, жертвы вируса не могут разблокировать свои файлы после заражения. Дело в том, что его создатели не предусмотрели такой возможности вообще. То есть зашифрованный диск априори не поддается дешифровке. В идентификаторе вредоносной программы отсутствует информация, необходимая для расшифровки.

Изначально эксперты причислили вирус, поразивший около двух тысяч компьютеров в России , Украине, Польше, Италии, Германии , Франции, и других странах, к уже известному семейству вымогателей Petya. Однако оказалось, что речь идет о новом семействе вредоносного ПО. "Лаборатория Касперского" окрестила новый шифровальщик ExPetr.

Как бороться

Борьба с киберугрозами требует объединения усилий банков, ИТ-бизнеса и государства

Метод восстановления данных от Positive Technologies

7 июля 2017 года эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya. По словам эксперта, метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.

Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованных жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.

Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.

Результаты расследования уже подтвердили украинские киберполицейские. Выводы следствия «Юскутум» собирается использовать как ключевое доказательство в будущем процессе против Intellect-Service.

Процесс будет носить гражданский характер. Независимое расследование проводят правоохранительные органы Украины. Их представители ранее уже заявляли о возможности возбуждения дела против сотрудников Intellect-Service.

В самой компании M.E.Doc заявили о том, что происходящее - попытка рейдерского захвата компании. Производитель единственного популярного украинского бухгалтерского ПО считает, что прошедший в компании обыск, проведенный киберполицией Украины, стал частью по реализации этого плана.

Начальный вектор заражения шифратором Petya

17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData, полагают в компании. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО - так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и e-mail , включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, - рассказал Антон Черепанов , старший вирусный аналитик Eset. - Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты Eset установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, пока не удалось.