Как работает вирус вымогатель Petya? Вирус Petya. Что это такое и как защититься? Что делает вирус petya
Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.
Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги - 300 долларов биткоинами, причём сумма удваивается через какое-то время.
Вирус Petya, обнаруженный в начале 2016 года, распространялся по точно такой же схеме, поэтому многие пользователи решили, что это он и есть. Но специалисты из компаний-разработчиков антивирусного ПО уже заявили, что в произошедшей атаке виноват какой-то другой, совершенно новый вирус, который они ещё будут изучать. Эксперты из «Лаборатории Касперского» уже дали неизвестному вирусу название - NotPetya.
По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.
Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.
Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.
Жертвы кибератаки
Больше всех от неизвестного вируса пострадали украинские компании. Заражены оказались компьютеры аэропорта «Борисполь», правительства Украины, магазинов, банков, СМИ и телекоммуникационных компаний. После этого вирус добрался и до России. Жертвами атаки стали «Роснефть», «Башнефть», Mondelеz International, Mars, Nivea.
О проблемах с IT-системами из-за вируса заявили даже некоторые зарубежные организации: британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие. Об этом в своём твиттере написал Костин Райю, глава международной исследовательской команды «Лаборатория Касперского».
Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.
Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, который к третьему дню своей «деятельности» поразил около 300 тысяч компьютеров в разных странах мира, и пока его никто не остановил.
Вирус Petya – как расшифровать, последние новости. Создатели шифровальщика «Петя» после нападения на компьютер требуют выкуп в 300 долларов (в биткоинах), но расшифровать вирус Petya, даже если пользователь заплатит деньги, возможности нет. Специалисты «Лаборатории Касперского», которые разглядели в новом вирусе отличия от «Пети» и назвали его ExPetr, утверждают – для расшифровки необходим уникальный идентификатор конкретной установки трояна.
В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал необходимую для этого информацию. В случае ExPetr этого идентификатора нет – пишет РИА Новости.
Вирус «Петя» – откуда взялся, последние новости. Немецкие специалисты по безопасности выдвинули первую версию, откуда взял свой путь этот шифровальщик. По их мнению, вирус Petya начал гулять по компьютерам с открытия файлов M.E.Doc. Это программа бухгалтерской отчетности, используемая на Украине после запрета 1С.
Между тем, в «Лаборатории Касперского» говорят о том, что выводы о происхождении и источнике распространения вируса ExPetr делать пока рано. Не исключено, что у злоумышленников были обширные данные. Например, е-майл адреса с предыдущей рассылки или какие-то другие эффективные способы проникновения в компьютеры.
С их помощью вирус «Петя» и обрушился всей мощностью на Украину и Россию, а также другие страны. Но реальный масштаб этой хакерской атаки будет понятен через несколько дней – сообщает .
Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о вирусе-вымогателе Petya, уже получившим в «Лаборатории Касперского» новое имя – ExPetr.
Что такое Petya.A?
Это "вирус-вымогатель", который зашифровывает данные на компьютере и требует $300 за ключ, позволяющий их расшифровать. Он начал инфицировать украинские компьютеры около полудня 27 июня, а затем распространился и на другие страны: Россию, Великобританию, Францию, Испанию, Литву и т.д. На сайте Microsoft вирус сейчас имеет "серьезный" уровень угрозы.
Заражение происходит благодаря той же уязвимости в Microsoft Windows, что и в случае с вирусом WannaCry, который в мае поразил тысячи компьютеров во всем мире и нанес компаниям около $1 млрд ущерба.
Вечером киберполиция сообщила, что вирусная атака , предназначенную для электронной отчетности и документооборота. По данным правоохранителей, в 10.30 вышло очередное обновление M.E.Doc, с помощью которого на компьютеры скачивалось вредоносное программное обеспечение.
Petya распространялся с помощью электронной почты, выдавая программу за резюме сотрудника. Если человек пытался открыть резюме, вирус просил предоставить ему права администратора. В случае согласия пользователя начиналась перезагрузка компьютера, затем жесткий диск шифровался и появлялось окно с требованием "выкупа".
ВИДЕО
Процесс заражения вирусом Petya. Видео: G DATA Software AG / YouTube
При этом сам вирус Petya имел уязвимость: получить ключ для расшифровки данных можно было с помощью специальной программы. Этот метод в апреле 2016-го описывал редактор Geektimes Максим Агаджанов.
Однако некоторые пользователи предпочитают платить "выкуп". Согласно данным одного из известных кошельков Bitcoin, создатели вируса получили 3,64 биткоина, что соответствует приблизительно $9100.
Кто попал под удар вируса?
В Украине жертвами Petya.A в основном стали корпоративные клиенты: госструктуры, банки, СМИ, энергетические компании и другие организации.
Среди прочих под удар попали предприятия "Новая почта", "Укрэнерго", OTP Bank, "Ощадбанк", ДТЭК, Rozetka, "Борис", "Укрзалізниця", ТНК, "Антонов", "Эпицентр", "24 канал", а также аэропорт Борисполь, Кабинет Министров Украины, Госфискальная служба и другие.
Атака распространилась и на регионы. К примеру, н а Чернобыльской АЭС из-за кибератаки перестал работать электронный документооборот и станция перешла на ручной мониторинг уровня радиации. В Харькове оказалась заблокированной работа крупного супермаркета "Рост", а в аэропорту регистрацию на рейсы перевели в ручной режим.
Из-за вируса Petya.A в супермаркете "Рост" перестали работать кассы. Фото: Х...евый Харьков / "ВКонтакте"
По данным издания , в России под удар попали компании "Роснефть", "Башнефть", Mars, Nivea и другие.
Как защититься от Petya.A?
Инструкции о том, как защититься от Petya.A, опубликовали Служба безопасности Украины и киберполиция.
Киберполиция советует пользователям установить обновления Windows с официального сайта Microsoft, обновить или установить антивирус, не загружать подозрительные файлы из электронных писем и немедленно отсоединять компьютер от сети, если замечены нарушения в работе.
СБУ подчеркнула, что в случае подозрений компьютер нельзя перезагружать, поскольку шифрование файлов происходит именно при перезагрузке. Спецслужба порекомендовала украинцам сохранить ценные файлы на отдельный носитель и сделать резервную копию операционной системы.
Эксперт по кибербезопасности Влад Стыран писал в Facebook, что распространение вируса в локальной сети можно остановить, заблокировав в Windows TCP-порты 1024-1035, 135, 139 и 445. В интернете есть инструкции о том, как это сделать.
Специалисты американской компании Symantec
Британия, США и Австралия официально обвинили Россию в распространении NotPetya
15 февраля 2018 года Министерство иностранных дел Великобритании выступило с официальным заявлением, в котором обвинило Россию в организации кибератаки с использованием вируса-шифровальщика NotPetya.
По утверждению британских властей, данная атака продемонстрировала дальнейшее пренебрежение по отношению к суверенитету Украины, и в результате этих безрассудных действий была нарушена работа множества организацией по всей Европе, что привело к многомиллионным убыткам.
В Министерстве отметили, что вывод о причастности к кибератаке российского правительства и Кремля был сделан на основании заключения Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre), который «практически полностью уверен в том, что за атакой NotPetya стоят российские военные».Также в заявлении сказано, что и ее союзники не потерпят вредоносной киберактивности.
По словам Министра по делам правоохранительных органов и кибербезопасности Австралии Энгуса Тэйлора (Angus Taylor), на основе данных австралийских спецслужб, а также консультаций с США и Великобританией, австралийское правительство заключило, что ответственность за инцидент несут злоумышленники, поддерживаемые правительством РФ. «Австралийское правительство осуждает поведение России, которое создает серьезные риски для мировой экономики, правительственных операций и услуг, деловой активности, а также безопасности и благополучия отдельных лиц», - следует из заявления. Кремль, ранее уже неоднократно отрицавший всякую причастность российских властей к хакерским атакам, назвал заявление британского МИДа частью «русофобской кампании»
Памятник "Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya"
Памятник компьютерному вирусу Petya установили в декабре 2017 года возле здания Технопарка Сколково . Двухметровый монумент, с надписью: «Здесь лежит побежденный людьми 27/06/2017 компьютерный вирус Petya». выполненный в виде надкусанного жесткого диска , был создан при поддержке компании ИНВИТРО , в числе других компаний пострадавшей от последствий массированной кибератаки . Робот по имени Ню, который работает в Физтехпарке и (МТИ) специально приехал на церемонию, чтобы произнести торжественную речь.
Атака на правительство Севастополя
Специалисты Главного управления информатизации и связи Севастополя успешно отразили атаку сетевого вируса-шифровальщика Petya на серверы регионального правительства. Об этом 17 июля 2017 года на аппаратном совещании правительства Севастополя сообщил начальник управления информатизации Денис Тимофеев .
Он заявил, что вредоносная программа Petya никак не повлияла на данные, хранящиеся на компьютерах в государственных учреждениях Севастополя.
Ориентированность на использование свободного ПО заложена в концепции информатизации Севастополя, утвержденной в 2015 году. В ней указывается, что при закупках и разработке базового ПО, а также ПО информационных систем для автоматизации целесообразно анализировать возможность использования свободных продуктов, позволяющих сократить бюджетные расходы и снизить зависимость от поставщиков и разработчиков.
Ранее, в конце июня, в рамках масштабной атаки на медицинскую компанию «Инвитро» пострадал и филиал ее филиал, расположенный в Севастополе. Из-за поражения вируса компьютерной сети филиал временно приостановил выдачу результатов анализов до устранения причин.
«Инвитро» заявила о приостановке приема анализов из-за кибератаки
Медицинская компания «Инвитро» приостановила сбор биоматериала и выдачу результатов анализов пациентов из-за хакерской атаки 27 июня. Об этом РБК заявил директор по корпоративным коммуникациям компании Антон Буланов.
Как говорится в сообщении компании, в ближайшее время «Инвитро» перейдет в штатный режим работы. Результаты исследований, проведенных позже этого времени, будут доставлены пациентам после устранения технического сбоя. На данный момент лабораторная информационная система восстановлена, идет процесс ее настройки. «Мы сожалеем о сложившейся форс-мажорной ситуации и благодарим наших клиентов за понимание», - заключили в «Инвитро».
По этим данным, атаке компьютерного вируса подверглись клиники в России , Белоруссии и Казахстане .
Атака на «Газпром» и другие нефтегазовые компании
29 июня 2017 года стало известно о глобальной кибератаке на компьютерные системы «Газпрома» . Таким образом, еще одна российская компания пострадала от вируса-вымогателя Petya.
Как сообщает информационное агентство Reuters со ссылкой на источник в российском правительстве и человека, участвовавшего в расследовании инцидента, «Газпром» пострадал от распространения вредоносной программы Petya, которая атаковала компьютеры в общей сложности более чем в 60 странах мира.
Собеседники издания не предоставили подробностей о том, сколько и какие системы были заражены в «Газпроме», а также о размере ущерба, нанесенного хакерами. В компании отказались от комментариев по запросу Reuters.
Между тем, высокопоставленный источник РБК в «Газпроме» сообщил изданию, что компьютеры в центральном офисе компании работали без перебоев, когда началась масштабная хакерская атака (27 июня 2017 года), и продолжают два дня спустя. Еще два источника РБК в «Газпроме» также заверили, что в компании «все спокойно» и никаких вирусов нет.
В нефтегазовом секторе от вируса Petya пострадали «Башнефть» и «Роснефть». Последняя заявила 28 июня о том, что компания работает в в штатном режиме, а «отдельные проблемы» оперативно решаются.
Банки и промышленность
Стало известно о заражении компьютеров в «Евраз» , российском отделении фирмы Royal Canin (производит форма для животных) и российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka).
Согласно сообщению Министерства внутренних дел Украины, мужчина на файлообменных площадках и в социальных сетях опубликовал видео с подробным описанием процесса запуска вымогательского ПО на компьютерах. В комментариях к ролику мужчина разместил ссылку на свою страницу в социальной сети, на которую загрузил вредоносную программу. В ходе обысков в квартире «хакера» правоохранители изъяли компьютерную технику, использовавшуюся для распространения NotPetya. Также полицейские обнаружили файлы с вредоносным ПО, после анализа которых было подтверждено его сходство с вымогателем NotPetya. Как установили сотрудники киберполиции, вымогательская программа, ссылку на которую опубликовал никопольчанин, была загружена пользователями соцсети 400 раз.
В числе загрузивших NotPetya правоохранители выявили компании, намеренно заражавшие свои системы вымогательским ПО для сокрытия преступной деятельности и уклонения от уплаты штрафных санкций государству. Стоит отметить, что полиция не связывает деятельность мужчины с хакерскими атаками 27 июня нынешнего года, то есть, о какой-либо его причастности к авторам NotPetya речь не идет. Вменяемые ему деяния касаются только действий, совершенных в июле текущего года - после волны масштабных кибератак.
В отношении мужчины возбуждено уголовное дело по ч.1 ст. 361 (несанкционированное вмешательство в работу ЭВМ) УК Украины. Никопольчанину грозит до 3 лет лишения свободы.
Распространение в мире
Распространение вируса-вымогателя Petya зафиксировано в Испании , Германии , Литве, Китае и Индии. К примеру, из-за вредоносной программы в Индии технологии управления грузопотоком контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk, перестали распознавать принадлежность грузов.
О кибератаке сообщили британская рекламная группа WPP , испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez. В числе пострадавших также французский производитель строительных материалов Cie. de Saint-Gobain и фармкомпания Merck & Co.
Merck
Американский фармацевтический гигант Merck , сильно пострадавший в результате июньской атаки вируса-шифровальщика NotPetya , до сих пор не может восстановить все системы и вернуться в нормальный режим работы. Об этом сообщается в отчете компании по форме 8-K, представленном в Комиссию по ценным бумагам и биржам США (SEC) в конце июля 2017 года. Подробнее .
Moller-Maersk и «Роснефть»
3 июля 2017 года стало известно о том, что датский судоходный гигант Moller-Maersk и «Роснефть» восстановили зараженные вирусом-вымогателем Petya ИТ-системы лишь спустя почти неделю после атаки, которая произошла 27 июня.
В судоходной компании Maersk, на долю которой приходится каждый седьмой отправляемый в мире грузовой контейнер, также добавили, что все 1500 приложений, пострадавших в результате кибератаки, вернутся к штатной работе максимум к 9 июля 2017 года.
Пострадали преимущественно ИТ-системы принадлежащей Maersk компании APM Terminals, которая управляет работой десятков грузовых портов и контейнерных терминалов в более чем 40 странах. В сутки свыше 100 тыс. грузовых контейнеров, проходят через порты APM Terminals, их работа которых была полностью парализована из-за распространения вируса. Терминал Maasvlakte II в Роттердаме восстановил поставки 3 июля.
16 августа 2017 года A.P. Moller-Maersk назвала примерную сумму ущерба от кибернападения при помощи вируса Petya, заражение которым, как отметили в европейской компании, проходило через украинскую программу. Согласно предварительным расчетам Maersk, финансовые потери от действия шифровальщика Petya во второй четверти 2017 года составили от 200 до 300 млн долларов .
Между тем, почти неделя на восстановление компьютерных систем от хакерской атаки потребовалось также «Роснефти», о чем 3 июля сообщили в пресс-службе компании сообщили «Интерфаксу» :
Несколькими днями ранее «Роснефть» подчеркивала, что пока не берется оценивать последствия кибератаки, но производство не пострадало.
Принцип действия Petya
Действительно, жертвы вируса не могут разблокировать свои файлы после заражения. Дело в том, что его создатели не предусмотрели такой возможности вообще. То есть зашифрованный диск априори не поддается дешифровке. В идентификаторе вредоносной программы отсутствует информация, необходимая для расшифровки.
Изначально эксперты причислили вирус, поразивший около двух тысяч компьютеров в России , Украине, Польше, Италии, Германии , Франции, и других странах, к уже известному семейству вымогателей Petya. Однако оказалось, что речь идет о новом семействе вредоносного ПО. "Лаборатория Касперского" окрестила новый шифровальщик ExPetr.
Как бороться
Борьба с киберугрозами требует объединения усилий банков, ИТ-бизнеса и государства
Метод восстановления данных от Positive Technologies
7 июля 2017 года эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya. По словам эксперта, метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.
Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованных жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.
Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.
Результаты расследования уже подтвердили украинские киберполицейские. Выводы следствия «Юскутум» собирается использовать как ключевое доказательство в будущем процессе против Intellect-Service.
Процесс будет носить гражданский характер. Независимое расследование проводят правоохранительные органы Украины. Их представители ранее уже заявляли о возможности возбуждения дела против сотрудников Intellect-Service.
В самой компании M.E.Doc заявили о том, что происходящее - попытка рейдерского захвата компании. Производитель единственного популярного украинского бухгалтерского ПО считает, что прошедший в компании обыск, проведенный киберполицией Украины, стал частью по реализации этого плана.
Начальный вектор заражения шифратором Petya
17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData, полагают в компании. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.
Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО - так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и e-mail , включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.
«Нам предстоит ответить на ряд вопросов, - рассказал Антон Черепанов , старший вирусный аналитик Eset. - Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».
По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты Eset установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, пока не удалось.
Компания «Роснефть» подверглась мощной хакерской атаке, о чем сообщила в своем твиттере.
«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», - говорится в сообщении. Сайт «Роснефти» на момент публикации заметки был недоступен.
Нефтяная компания сообщила, что обратилась в правоохранительные органы в связи с инцидентом. Из-за оперативных действий службы безопасности работа «Роснефти» не нарушилась и продолжается в штатном режиме.
«Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены», - сообщили представители компании корреспонденту «Газеты.Ru».
Они предупредили, что все, кто будут распространять недостоверные данные, «будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.»
Кроме того, были заражены компьютеры компании «Башнефть», сообщили «Ведомости» . Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300.
К сожалению, это не единственные пострадавшие от масштабной хакерской атаки - Telegram-канал «Сайберсекьюрити и Ко.» сообщает о кибервзломе Mondelez International (бренды Alpen Gold и Milka), Ощадбанка, Mars, Новой Почты, Nivea, TESA и других компаний.
Автор канала Александр Литреев заявил, что вирус носит название Petya.A и что он действительно похож на WannaCry, поразивший более 300 тыс. компьютеров по всему миру в мае этого года. Petya.A поражает жесткий диск и шифрует главную таблицу файлов (MFT). По данным Литреева, вирус распространялся в фишинговых письмах с зараженными вложениями.
В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.
«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением.EXE», - рассказывает эксперт.
После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.
Специалисты компании Group-IB рассказали «Газете.Ru», что недавно шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
Снова русские хакеры
Наиболее сильно от вируса Petya.A пострадала Украина. Среди пострадавших - Запорожьеоблэнерго, Днепроэнерго, Киевский метрополитен, украинские мобильные операторы Киевстар, LifeCell и УкрТелеКом, магазин «Ашан», ПриватБанк, аэропорт Борисполь и другие организации и структуры.
Всего в общей сложности были атакованы свыше 80 компаний в России и на Украине.
Депутат украинской Рады от «Народного фронта», член коллегии МВД Антон Геращенко заявил, что в кибератаке виноваты российские спецслужбы.
«По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком». Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», - сообщил Геращенко.
Атака вирусом-вымогателем WannaCry случилась в середине мая 2017 года и парализовала работу нескольких международных компаний по всему миру. Ущерб, нанесенный мировому сообществу масштабным вирусом WannaCry, оценили в $1 млрд.
Зловред использовал уязвимость в операционной системе Windows, блокировал компьютер и требовал выкуп. Распространение вируса было остановлено случайно одним британским программистом - он зарегистрировал доменное имя, к которому обращалась программа.
Несмотря на то что кибератака WannaCry имела планетарный масштаб, всего было зафиксировано только 302 случая уплаты выкупа, в результате чего хакеры смогли заработать $116 тыс.
Вирус Petya описание. Все, что нам нужно знать о вирусе Petya
Petya вирус - это очередной вымогатель, который блокирует файлы пользователя. Этот вымогатель может быть очень опасным и заразить любой ПК, но его основной целью являются компьютеры немецких компаний. Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа. Подобно другим вимогателям, как Locky virus, CryptoWall virus, и CryptoLocker, этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как Reimage, чтобы позаботиться о удалении Petya.
Вирус Petya распросранение.
Как распространяется этот вирус и как он может войти в компьютер?
Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки. Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете. Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги. Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.
Вирус Petya удаление.
Как я могу удалить вирус Petya с моего ПК?
Как ми уже упоминали, удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов. Также, восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК. В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.
Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически. Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера. Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, вы всегда можете проверить инструкцию удаления, приведенную в конце статьи.Руководство по ручному удалению вируса Petya:
- Метод 1. Удалите Petya, используя Safe Mode with Networking
- Метод 2. Удалите Petya, используя System Restore
- Восстановление Ваших данных после вируса Petya
Удалите Petya , используя Safe Mode with Networking
Если программа-вымогатель блокирует Safe Mode with Networking , попробуйте следующий метод.
Удалите Petya , используя System Restore
Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
Windows 7 / Vista / XP
Windows 10 / Windows 8Шаг 2: Восстановите Ваши системные файлы и настройки
После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с � убедитесь, что удаление �рошло успешно.Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Petya и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-Malware или Malwarebytes Anti Malware