Menú
Está libre
registro
casa  /  La Internet / Qué nuevo virus Petya. Apparat - Revista de la nueva sociedad

Qué nuevo virus es Petya. Apparat - Revista de la nueva sociedad

Varias empresas rusas y ucranianas fueron atacadas por el virus ransomware Petya. La edición en red del sitio habló con expertos de Kaspersky Lab, la agencia interactiva AGIMA, y descubrió cómo proteger las computadoras corporativas de un virus y cómo Petya es similar a la igualmente conocida. el virus ransomware WannaCry.

Virus de Petya

En Rusia, las empresas Rosneft, Bashneft, Mars, Nivea y el fabricante de chocolate Alpen Gold Mondelez International. El virus ransomware es el sistema de monitoreo de radiación de la central nuclear de Chernobyl. Además, el ataque afectó a las computadoras del gobierno de Ucrania, Privatbank y operadores de telecomunicaciones. El virus bloquea las computadoras y exige un rescate de $ 300 en bitcoins.

En un microblog en Twitter, el servicio de prensa de Rosneft habló sobre un ataque de piratas informáticos a los servidores de la empresa. "Se llevó a cabo un poderoso ataque de piratas informáticos en los servidores de la empresa. Esperamos que esto no tenga nada que ver con los procedimientos judiciales actuales. De hecho, la empresa recurrió a las fuerzas del orden sobre el ciberataque", dice el mensaje.

Según el secretario de prensa de la empresa, Mikhail Leontyev, Rosneft y sus filiales funcionan con normalidad. Después del ataque, la empresa cambió a sistema de respaldo gestión de los procesos productivos, para que no se detenga la producción y el tratamiento del aceite. El sistema bancario Home Credit también fue atacado.

"Petya" no infecta sin "Misha"

De acuerdo a director Ejecutivo de AGIMA Evgeny LobanovaDe hecho, el ataque lo llevaron a cabo dos virus ransomware: Petya y Misha.

"Trabajan juntos. Petya no infecta sin Misha. Él puede infectar, pero el ataque de ayer fue de dos virus: primero Petya, luego Misha. Petya reescribe el dispositivo de arranque (desde donde arranca la computadora) y Misha - cifra los archivos según un algoritmo determinado - explicó el especialista - Petya cifra sector de arranque disco (MBR) y lo reemplaza por el suyo, Misha ya cifra todos los archivos en el disco (no siempre) ".

Señaló que el virus ransomware WannaCry que atacó a las principales empresas mundiales en mayo de este año no se parece a Petya, es una nueva versión.

"Petya.A es de la familia WannaCry (o más bien WannaCrypt), pero la principal diferencia es por qué no es el mismo virus, es que el MBR es reemplazado por su propio sector de arranque - esto es una novedad para Ransomware. El virus Petya apareció hace mucho tiempo, en GitHab (un servicio en línea para Proyectos de TI y programación conjunta - sitio) https://github.com/leo-stone/hack-petya "target \u003d" _blank "\u003e había un descifrador para este cifrador, pero ningún descifrador es adecuado para la nueva modificación.

Yevgeny Lobanov enfatizó que el ataque afectó a Ucrania con más fuerza que a Rusia.

"Somos más susceptibles a los ataques que otros países occidentales. Estaremos protegidos de esta versión del virus, pero no estaremos protegidos de sus modificaciones. Nuestra Internet es insegura, en Ucrania lo es menos. Básicamente, empresas de transporte, bancos, operadores móviles ( Vodafone, Kyivstar) y compañías médicas, las mismas estaciones de servicio Farmmag, Shell, todas compañías transcontinentales muy grandes ", dijo en una entrevista con el sitio.

El director ejecutivo de AGIMA señaló que hasta el momento no existen hechos que indiquen la ubicación geográfica del distribuidor del virus. En su opinión, el virus probablemente se originó en Rusia. Desafortunadamente, no hay evidencia directa de esto.

"Existe la suposición de que estos son nuestros piratas informáticos, ya que la primera modificación apareció en Rusia, y el virus en sí, que no es un secreto para nadie, lleva el nombre de Petro Poroshenko. Fue un desarrollo de los piratas informáticos rusos, pero quién lo cambió aún más, es difícil de decir. que incluso en Rusia es fácil hacerse con una computadora con geolocalización en Estados Unidos, por ejemplo ”, explicó el experto.

"Si su computadora se infecta repentinamente, no puede apagarla. Si reinicia, nunca iniciará sesión en el sistema".

"Si la computadora se infecta repentinamente, no puede apagarla, porque el virus Petya reemplaza al MBR, el primer sector de inicio desde el cual se carga el sistema operativo. Si reinicia, nunca volverá a ingresar al sistema. Esto corta las rutas de salida, incluso si aparece". tablet "será imposible devolver los datos. A continuación, debe desconectarse inmediatamente de Internet para que la computadora no se conecte. Ya se ha lanzado un parche oficial de Microsoft, proporciona el 98 por ciento de la garantía de seguridad. Desafortunadamente, aún no el 100 por ciento. Una cierta modificación del virus ( tres piezas), no pasa hasta ahora ", recomendó Lobanov. - Sin embargo, si reinicia y ve el inicio del proceso de "verificación de disco", en este momento debe apagar inmediatamente su computadora y los archivos permanecerán sin cifrar.

Además, el experto también explicó por qué la mayoría de los ataques están expuestos a usuarios de Microsoften lugar de MacOSX (sistema operativo de Apple - sitio) y sistemas Unix.

"Aquí es más correcto hablar no solo de MacOSX, sino también de todos los sistemas Unix (el principio es el mismo). El virus se propaga solo a las computadoras, sin dispositivos móviles... El ataque afecta al sistema operativo Windows y solo amenaza a aquellos usuarios que hayan desactivado la función de actualización automática del sistema. Hay actualizaciones excepcionales disponibles incluso para propietarios mayores. versiones de Windowsque ya no están actualizados: XP, Windows 8 y Windows Server 2003 ”, dijo el experto.

"MacOSX y Unix no están expuestos globalmente a tales virus, porque muchas grandes corporaciones usan la infraestructura de Microsoft. MacOSX no se ve afectado, ya que no está tan extendido en las agencias gubernamentales. Hay menos virus debajo, no es rentable hacerlo, porque el segmento de ataque será menor que si Ataque a Microsoft ", - concluyó el especialista.

"El número de usuarios atacados ha llegado a dos mil"

En el servicio de prensa de Kaspersky Lab, cuyos expertos continúan investigando la última ola de infecciones, dijo que "este ransomware no pertenece a la ya conocida familia de ransomware Petya, aunque tiene varias líneas de código en común".

El Laboratorio confía en que en este caso estamos hablando de una nueva familia de software malicioso con una funcionalidad significativamente diferente a la de Petya. Kaspersky Lab ha nombrado al nuevo ransomware ExPetr.

"Según Kaspersky Lab, el número de usuarios atacados ha llegado a dos mil. La mayoría de los incidentes se registraron en Rusia y Ucrania, así como también se observaron casos de infección en Polonia, Italia, Gran Bretaña, Alemania, Francia, Estados Unidos y varios otros países. Por el momento, nuestros expertos sugieren que el malware utilizó varios vectores de ataque. Se encontró que el exploit EternalBlue modificado y el exploit EternalRomance se utilizaron para propagarse en redes corporativas ", dijo el servicio de prensa.

Los expertos también están explorando la posibilidad de crear una herramienta decodificadora con la que se puedan descifrar los datos. El laboratorio también hizo recomendaciones a todas las organizaciones para evitar un ataque de virus en el futuro.

"Recomendamos que las organizaciones instalen actualizaciones de Windows. Windows XP y Windows 7 deben instalar la actualización de seguridad MS17-010 y asegurarse de que tienen un sistema eficaz. reserva copia datos. La copia de seguridad de datos segura y oportuna permite restaurar archivos originales, incluso si fueron encriptados por malware ", aconsejaron los expertos de Kaspersky Lab.

El Laboratorio también recomienda a sus clientes corporativos asegurarse de que todos los mecanismos de protección estén activados, en particular, asegurarse de que la conexión a la infraestructura en la nube de Kaspersky Security Network, como medida adicional, se recomienda utilizar el componente Application Privilege Control para denegar el acceso a todos los grupos de aplicaciones ( ejecución) un archivo llamado "perfc.dat", etc.

"Si no utiliza los productos de Kaspersky Lab, recomendamos deshabilitar la ejecución del archivo llamado perfc.dat y también bloquear el inicio de la utilidad PSExec desde el paquete Sysinternals usando la función AppLocker incluida en el SO (sistema operativo - sitio web) Windows", recomendó en el laboratorio.

12 de mayo de 2017 muchos: cifrador de datos activado unidades de disco duro ordenadores. Bloquea el dispositivo y exige pagar el rescate.
El virus ha afectado a organizaciones y departamentos en decenas de países de todo el mundo, incluida Rusia, donde fueron atacados el Ministerio de Salud, el Ministerio de Situaciones de Emergencia, el Ministerio del Interior, los servidores de los operadores móviles y varios grandes bancos.

La propagación del virus se detuvo accidental y temporalmente: si los piratas informáticos cambian solo unas pocas líneas de código, el malware comenzará a funcionar nuevamente. El daño del programa se estima en $ 1 mil millones. Después de un análisis forense lingüístico, los expertos descubrieron que WannaCry fue creado por inmigrantes de China o Singapur.

Los programas antivirus se instalan en la computadora de casi todos los usuarios, pero a veces aparece un troyano o virus que puede eludir la mayoría mejor protección e infectar su dispositivo, o peor aún, cifrar sus datos. Esta vez, dicho virus era el troyano encriptado Petya o, como también se le llama, Petya. La tasa de propagación de esta amenaza es muy impresionante: en un par de días pudo “visitar” Rusia, Ucrania, Israel, Australia, Estados Unidos, todos los principales países europeos y no solo. Afectó principalmente a los usuarios corporativos (aeropuertos, centrales eléctricas, turismo), pero la gente corriente también sufrió. En términos de su escala y métodos de influencia, es extremadamente similar al sensacional reciente.

Indudablemente, debe proteger su computadora para no caer presa del nuevo troyano ransomware Petya. En este artículo te diré qué es este virus Petya, cómo se propaga y cómo protegerte de esta amenaza. Además, abordaremos los problemas de eliminar el troyano y descifrar la información.

¿Qué es el virus Petya?

Primero, necesitamos entender qué es Petya. El virus Petya es malicioso softwareque es un troyano ransomware. Estos virus están diseñados para chantajear a los propietarios de dispositivos infectados con el fin de obtener un rescate de ellos por datos cifrados. diferente a Quiero llorar, Petya no se molesta en cifrar archivos individuales; casi instantáneamente "quita" todos hDD enteramente.

El nombre correcto del nuevo virus es Petya.A. Además, Kaspersky lo llama NotPetya / ExPetr.

Descripción del virus Petya

Al ingresar a su computadora con Windows, Petya encripta casi instantáneamente MFT (Tabla maestra de archivos). ¿De qué es responsable esta mesa?

Imagínese que su disco duro es la biblioteca más grande de todo el universo. Contiene miles de millones de libros. Entonces, ¿cómo encuentras el libro que quieres? Solo usando el catálogo de la biblioteca. Es este directorio el que Petya destruye. Por lo tanto, pierde cualquier oportunidad de encontrar cualquier "archivo" en su PC. Para ser más precisos, después del “trabajo” de Petit, el disco duro de su computadora se parecerá a una biblioteca después de un tornado, con trozos de libros volando por todas partes.

Por lo tanto, a diferencia de Wanna Cry, que mencioné al principio del artículo, Petya.A no encripta archivos separados, desperdiciando una impresionante cantidad de tiempo en él, simplemente le quita todas las oportunidades para encontrarlos.

Después de todas sus manipulaciones, exige un rescate de los usuarios: $ 300, que deben transferirse a una cuenta de bitcoin.

¿Quién creó el virus Peter?

Al crear el virus, Petya utilizó un exploit ("agujero") en el sistema operativo Windows llamado "EternalBlue". Microsoft lanzó un parche que "cierra" este agujero hace unos meses, sin embargo, no todos usan la licencia. copia de Windows e instala todas las actualizaciones del sistema, ¿verdad?)

El creador de "Petit" pudo utilizar sabiamente el descuido de los usuarios corporativos y privados y ganar dinero con ello. Su identidad aún se desconoce (y es poco probable que se conozca)

¿Cómo se propaga el virus Petya?

El virus Petya se propaga con mayor frecuencia bajo la apariencia de archivos adjuntos a correos electrónicos y en archivos con software infectado pirateado. El archivo adjunto puede contener absolutamente cualquier archivo, incluida una foto o un mp3 (parece a primera vista). Después de ejecutar el archivo, su computadora se reiniciará y el virus simulará una verificación de disco en busca de errores CHKDSK, y en ese momento modificará el registro de inicio de su computadora (MBR). Después de eso, verá una calavera roja en la pantalla de su computadora. Al hacer clic en cualquier botón, puede acceder a un texto en el que se le pedirá que pague por descifrar sus archivos y transferir la cantidad requerida a una billetera bitcoin.

¿Cómo protegerse del virus Petya?

  • Lo más importante y básico: ¡establezca como regla la instalación de actualizaciones para su sistema operativo! Esto es muy importante. Hágalo ahora, no se demore.
  • Trate con especial atención a todos los archivos adjuntos que se adjuntan a las cartas, incluso si son cartas de personas que conoce. Durante la epidemia, es mejor utilizar fuentes alternativas de transmisión de datos.
  • Active la opción "Mostrar extensiones de archivo" en la configuración del sistema operativo, para que siempre pueda ver la verdadera extensión de archivo.
  • Active "Control de cuentas de usuario" en la configuración de Windows.
  • Necesita instalar uno de ellos para evitar infecciones. Comience por instalar una actualización del sistema operativo, luego instale un antivirus y estará mucho más seguro que antes.
  • Asegúrese de hacer "copias de seguridad": guarde todos los datos importantes en un disco duro externo o en la nube. Entonces, si el virus Petya penetra en su PC y cifra todos los datos, le resultará bastante fácil formatear su disco duro y reinstalar el sistema operativo.
  • Compruebe siempre la relevancia de sus bases de datos antivirus. Todos los buenos antivirus monitorean las amenazas y responden de manera oportuna actualizando las firmas de amenazas.
  • Instale la utilidad gratuita Kaspersky Anti-Ransomware. Lo protegerá de los virus de cifrado. La instalación de este software no le exime de la necesidad de instalar un antivirus.

¿Cómo eliminar el virus Petya?

¿Cómo eliminar el virus Petya.A de tu disco duro? Ésta es una pregunta sumamente interesante. El hecho es que si el virus ya ha bloqueado sus datos, entonces, de hecho, no habrá nada que eliminar. Si no planea pagar el ransomware (lo que no debe hacer) y no intentará restaurar los datos en el disco en el futuro, solo necesita formatear el disco y reinstalar el sistema operativo. Después de eso, no habrá rastro del virus.

Si sospecha que hay un archivo infectado en su disco, analice su disco con uno de ellos o instale Kaspersky Anti-Virus y realice un análisis completo del sistema. El desarrollador aseguró que su base de datos de firmas ya contiene información sobre este virus.

Decodificador Petya.A

Petya.A cifra sus datos con un algoritmo muy potente. Actualmente no existe una solución para descifrar la información bloqueada. Además, no debe intentar acceder a los datos en casa.

Sin lugar a dudas, todos soñaríamos con obtener el descifrador milagroso Petya.A, pero simplemente no existe tal solución. El virus llegó al mundo hace unos meses, pero no se ha encontrado una cura para descifrar los datos que cifró.

Por eso, si aún no te has convertido en víctima del virus Petya, escucha los consejos que te di al principio del artículo. Si, no obstante, perdió el control de sus datos, tiene varias formas.

  • Pagar dinero. ¡No tiene sentido hacer esto!Los expertos ya han descubierto que el creador del virus no restaura datos ni puede recuperarlos, dado el método de cifrado.
  • Retire el disco duro de su dispositivo, colóquelo con cuidado en el gabinete y espere a que aparezca el decodificador. Por cierto, Kaspersky Lab trabaja constantemente en esta dirección. Hay decodificadores disponibles en el sitio web de No Ransom.
  • Formatear el disco e instalar el sistema operativo. Menos: se perderán todos los datos.

Petya.A virus en Rusia

En Rusia y Ucrania, más de 80 empresas han sido atacadas e infectadas en el momento de escribir este artículo, incluidas empresas tan grandes como Bashneft y Rosneft. La infección de la infraestructura de empresas tan grandes habla de la gravedad virus de Petya.UN. No hay duda de que el troyano ransomware continuará propagándose por toda Rusia, por lo que debe cuidar la seguridad de sus datos y seguir los consejos que se dan en el artículo.

Petya.A y Android, iOS, Mac, Linux

Muchos usuarios están preocupados - “pero podría el virus Petya infectar sus dispositivos Android e iOS. Me apresuro a calmarlos; no, no puede. Está destinado únicamente a usuarios de Windows. Lo mismo ocurre con los fanáticos de Linux y Mac: puedes dormir profundamente, nada te amenaza.

Conclusión

Así que hoy hablamos en detalle del nuevo virus Petya.A. Entendimos qué es este troyano y cómo funciona, aprendimos cómo protegernos de las infecciones y eliminar el virus, y dónde conseguir el descifrador Petya. Espero que este artículo y mis consejos te hayan sido de ayuda.

El virus Petya es un virus de rápido crecimiento que acabó con casi todas las grandes empresas en Ucrania el 27 de junio de 2017. El virus Petya cifra sus archivos y luego ofrece un rescate por ellos.

El nuevo virus infecta el disco duro de la computadora y funciona como un virus de cifrado de archivos. Después de cierto tiempo, el virus Petya "come" archivos en su computadora y se encriptan (como si los archivos estuvieran archivados y establecieran una contraseña pesada)
Los archivos que han sufrido el virus ransomware Petya no se pueden recuperar más tarde (hay un porcentaje que los recuperará, pero es muy pequeño)
No hay algoritmo que recupere archivos afectados por el virus Petya
Con este artículo breve y MUY útil, puede protegerse del virus #Petya

Cómo DETERMINAR el virus Petya o WannaCry y NO infectarse

Al descargar un archivo a través de Internet, verifíquelo con un antivirus en línea. Los antivirus en línea pueden identificar previamente el virus en el archivo y prevenir la infección por el virus Petya. Todo lo que tiene que hacer es verificar el archivo descargado con VirusTotal y luego ejecutarlo. Incluso si DESCARGÓ EL VIRUS DE PETYA pero NO ejecutó el archivo del virus, el virus NO está activo y no causa ningún daño. Solo después de lanzar un archivo dañino inicia un virus, recuerde esto

UTILIZAR INCLUSO SOLO ESTE MÉTODO LE DA TODA LA OPORTUNIDAD DE NO PARTICIPAR CON EL VIRUS PETYA
El virus Petya se ve así:

Cómo protegerse del virus Petya

Empresa Symantecofreció una solución que le permite protegerse del virus Petya, pretendiendo que ya lo tiene instalado.
Cuando el virus Petya ingresa a la computadora, crea en la carpeta C: \\ Windows \\ perfc archivo perfc o perfc.dll
Para que el virus crea que ya está instalado y no continúe su actividad, cree en la carpeta C: \\ Windows \\ perfc archivo con contenido vacío y guárdelo configurando el modo de cambio en "Solo lectura"
O descargue virus-petya-perfc.zip y descomprima la carpeta perfca la carpeta C: \\ Windows \\ y establezca el modo de cambio en "Solo lectura"
Descarga virus-petya-perfc.zip



ACTUALIZADO 29/06/2017
También recomiendo cargar ambos archivos simplemente en carpeta de Windows... Muchas fuentes escriben que el archivo perfc o perfc.dlldebe estar en la carpeta C: \\ Windows \\

Qué hacer si su computadora ya está infectada con el virus Petya

No encienda una computadora que ya lo haya infectado con el virus Petya. El virus Petya funciona de tal manera que mientras la computadora infectada está encendida, cifra los archivos. Es decir, siempre que mantenga encendida la computadora afectada por el virus Petya, los archivos nuevos y nuevos pueden infectarse y cifrarse.
Winchester este computador vale la pena echarle un vistazo. Puedes comprobarlo usando LIVECD o LIVEUSB con antivirus
Unidad flash USB de arranque con Kaspersky Rescue Disk 10
Unidad flash USB de arranque Dr.Web LiveDisk

Quienes propagaron el virus de Petya por toda Ucrania

Microsoft ha expresado su punto de vista sobre la infección de la red global en las grandes empresas ucranianas. El motivo fue la actualización del programa M.E.Doc. M.E.Doc es un programa de contabilidad popular, por lo que la empresa sufre un pinchazo tan grande, como recibir un virus en una actualización e instalar el virus Petya en miles de PC que ejecutan el programa M.E.Doc. Y dado que el virus infecta computadoras en la misma red, se propaga a la velocidad del rayo.
#: El virus Petya infecta Android, el virus Petya, cómo detectar y eliminar el virus Petya, Cómo tratar el virus petya, M.E.Doc, Microsoft, crear una carpeta del virus Petya

Hoy, el virus ransomware ha atacado a muchas computadoras en los sectores público, comercial y privado de Ucrania.

Un ataque de piratas informáticos sin precedentes destruyó muchas computadoras y servidores en agencias gubernamentales y organizaciones comerciales en todo el país.

Un ciberataque a gran escala y cuidadosamente planificado ha desactivado la infraestructura crítica de muchas empresas y empresas estatales. Esto fue informado por el Servicio de Seguridad (SBU).

A partir de la hora del almuerzo, los informes de infecciones informáticas en los sectores público y privado comenzaron a aparecer como una bola de nieve en Internet. Representantes de agencias gubernamentales han informado de ataques de piratas informáticos en su infraestructura de TI.

Según la SBU, la infección se debió principalmente a la apertura de archivos de Word y PDF que los atacantes enviaron por correo electrónico. Petya.A ransomware explotó vulnerabilidad de red en quirófano sistema de Windows... Para desbloquear datos cifrados, los ciberdelincuentes exigieron un pago en bitcoins por un monto de $ 300.

El secretario del Consejo de Seguridad y Defensa Nacional, Alexander Turchinov, dijo que los organismos estatales que se incluyeron en el circuito protegido, un nodo especial de Internet, no sufrieron daños. Aparentemente, el Gabinete no implementó adecuadamente las recomendaciones del Centro Nacional de Coordinación de Ciberseguridad porque las computadoras del gobierno fueron afectadas por Petya.A. El Ministerio de Finanzas, ChNPP, Ukrenergo, Ukrposhta, Novaya Pochta y varios bancos no pudieron resistir el ataque de hoy.

Durante algún tiempo, las páginas de Internet de la SBU, la policía cibernética y el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSISZ) ni siquiera se abrieron.

Hasta el martes 27 de junio por la noche, ninguna de las agencias encargadas de hacer cumplir la ley encargadas de contrarrestar los ataques cibernéticos ha revelado de dónde vino Petya.A o quién está detrás. La SBU, la Cyberpolice (cuyo sitio web no funcionó durante todo un día), la SSSSZI mantuvo un silencio olímpico sobre la magnitud del daño causado por el virus ransomware.

El Equipo de Respuesta a Emergencias Informáticas (CERT-UA, parte de GSSNZI) ha publicado consejos para eliminar las consecuencias del Petya Ransomware. Para ello, los expertos técnicos recomendaron utilizar el software de ESET. Más tarde, la SBU también habló sobre cómo proteger o reducir el daño del virus.

Virus Petya: cómo no atrapar, cómo descifrar, de dónde vino - Últimas noticias sobre el ransomware Petya, que al tercer día de su "actividad" afectó a unas 300 mil computadoras en diferentes países del mundo, y hasta ahora nadie lo ha detenido.

Virus Petya: cómo descifrar, noticias de última hora. Tras el ataque a la computadora, los creadores del ransomware Petya exigen un rescate de $ 300 (en bitcoins), pero no hay forma de descifrar el virus Petya aunque el usuario pague dinero. Los expertos de Kaspersky Lab, que discernieron las diferencias en el nuevo virus de Petya y lo llamaron ExPetr, afirman que el descifrado requiere identificador único instalación específica del troyano.

En las versiones previamente conocidas de ransomware similares Petya / Mischa / GoldenEye, el ID de instalación contenía la información necesaria para ello. En el caso de ExPetr, este identificador está ausente, escribe RIA Novosti.

Virus Petya: de dónde vino, las últimas noticias. Los expertos en seguridad alemanes han presentado la primera versión de dónde se salió con la suya este ransomware. En su opinión, el virus Petya comenzó a circular por las computadoras al abrir archivos M.E.Doc. Este es un programa de contabilidad utilizado en Ucrania después de la prohibición del 1C.

Mientras tanto, Kaspersky Lab dice que es demasiado pronto para sacar conclusiones sobre el origen y la fuente del virus ExPetr. Es posible que los atacantes tuvieran datos extensos. Por ejemplo, una dirección de correo electrónico de una lista de correo anterior o alguna otra forma eficaz de acceder a las computadoras.

Con su ayuda, el virus Petya atacó a Ucrania y Rusia con todo su poder, así como a otros países. Pero la escala real de este ataque de piratas informáticos estará clara en unos días: informes.

Virus Petya: como no contraerlo, como descifrarlo, de donde vino - ultimas noticias sobre el ransomware Petya, que ya recibió un nuevo nombre de Kaspersky Lab: ExPetr.

Una breve excursión a la historia de la denominación de malware.

A marcadores

Logotipo del virus Petya.A

El 27 de junio, al menos 80 empresas rusas y ucranianas fueron atacadas por el virus Petya.A. El programa bloqueaba información en las computadoras de departamentos y empresas y, como el conocido virus ransomware, exigía bitcoins a los usuarios.

Los programas maliciosos suelen ser nombrados por empleados de empresas antivirus. Las únicas excepciones son los ransomware, ransomware, destructores y ladrones de identidad que, además de las infecciones informáticas, causan epidemias en los medios de comunicación, lo que aumenta la exageración de los medios y la discusión activa en Internet.

Sin embargo, el virus Petya.A es un representante de una nueva generación. El nombre con el que se presenta es parte de la estrategia de marketing de los desarrolladores destinada a aumentar su conciencia y su creciente popularidad en el mercado de la darknet.

Fenómeno subcultural

En aquellos días, cuando los ordenadores eran pocos y lejos de todos estaban interconectados, ya existían programas autopropagantes (todavía no virus). Uno de los primeros fue el que saludó en broma al usuario y se ofreció a atraparlo y sacarlo. El siguiente fue Cookie Monster, quien exigió "darle una galleta" escribiendo la palabra "galleta".

El malware temprano también tenía sentido del humor, aunque no siempre estaba relacionado con su nombre. Entonces, Richard Scrant, diseñado para la computadora Apple-2, leía una rima a la víctima cada 50 descargas de la computadora, y los nombres de los virus, a menudo ocultos en el código y no mostrados, se referían a bromas y palabras subculturales comunes entre los geeks de esa época. Podrían estar asociados con los nombres de bandas de metal, literatura popular y juegos de rol de tablero.

A finales del siglo XX, los creadores de virus no se ocultaban mucho; además, a menudo, cuando el programa se salía de control, intentaban participar en la eliminación del daño que se le había causado. Así fue con el paquistaní y destructivo, creado por el futuro cofundador de la incubadora de empresas Y-Combinator.

Uno de los virus rusos mencionados por Evgeny Kaspersky en su libro de 1992 "Virus informáticos en MS-DOS" también demostró poesía. El programa Condom-1581 demostró de vez en cuando a la víctima dedicada a los problemas de contaminación de los océanos del mundo con productos de desecho humano.

Geografía y calendario

En 1987, el virus Jerusalem, también conocido como Virus Israelí, recibió su nombre del lugar de su primera detección, y su nombre alternativo Black Friday se debió al hecho de que se activaban y borraban archivos ejecutables si el día 13 del mes caía en viernes.

Según el principio del calendario, se nombró al virus Michelangelo, que causó pánico en los medios en la primavera de 1992. Luego John McAfee, quien más tarde se hizo famoso por crear uno de los antivirus más molestos, durante la conferencia de Sydney sobre ciberseguridad, periodistas y público: "Si arranca un sistema infectado el 6 de marzo, todos los datos del disco duro se corromperán". ¿Qué tiene que ver Miguel Ángel con eso? El artista italiano celebró su cumpleaños el 6 de marzo. Sin embargo, los horrores que predijo McAfee son, en última instancia, demasiado exagerados.

Funcionalidad

Las capacidades del virus y su especificidad suelen ser la base del nombre. En 1990, uno de los primeros virus polimórficos se llamó Chameleon, y su presencia altamente oculta (lo que significa que pertenece a la categoría de virus sigilosos) se llamó Frodo, en alusión al héroe de El Señor de los Anillos y el Anillo que se esconde de los ojos de los demás. ... Y, por ejemplo, el virus OneHalf de 1994 obtuvo su nombre debido a que mostró agresión solo al infectar la mitad del disco del dispositivo atacado.

Títulos de servicio

La mayoría de los virus se nombran durante mucho tiempo en los laboratorios, donde se desarman mediante análisis.

Por lo general, estos son nombres ordinales aburridos y nombres de "familia" comunes que describen la categoría del virus, los sistemas a los que ataca y lo que hace con ellos (como Win32.HLLP.DeTroie). Sin embargo, a veces, cuando en el código del programa es posible revelar las pistas dejadas por los desarrolladores, los virus adquieren un poco de personalidad. Así es como aparecieron los virus MyDoom y KooKoo.

Sin embargo, esta regla no siempre funciona; por ejemplo, el virus Stuxnet, que detuvo las centrifugadoras de enriquecimiento de uranio en Irán, no se llamó a sí mismo Myrtus, aunque esta palabra ("mirto") en el código era casi una alusión directa a la participación de los servicios especiales israelíes en su desarrollo. En este caso, ganó el nombre que se le dio al virus en las primeras etapas de su detección, que ya es conocido por el gran público.

Tareas

A menudo sucede que los virus que requieren mucha atención y esfuerzo para su estudio obtienen hermosos nombres de compañías antivirus que son más fáciles de hablar y escribir; esto sucedió con Octubre Rojo, correspondencia diplomática y datos que pueden afectar las relaciones internacionales, así como con IceFog. , espionaje industrial a gran escala.

Extensión de archivo

Otra forma popular de nombrarlo es por la extensión que el virus asigna a los archivos infectados. Entonces, uno de los virus "militares" Duqu, no fue nombrado por el Conde Dooku de " Guerra de las Galaxias", Y gracias al prefijo ~ DQ, que marcaba los archivos que crea.

Esta primavera, el virus WannaCry, que marca los datos cifrados con la extensión .wncry, también recibió su nombre.

El nombre anterior del virus, Wanna Decrypt0r, no se popularizó, sonaba peor y tenía inconsistencias por escrito. No todo el mundo se molestó en poner "0" en lugar de "o".

"Eres víctima del virus ransomware Petya"

Así es como el malware más comentado hoy parece haber completado la encriptación de archivos en la computadora atacada. El virus Petya A. no solo tiene un nombre reconocible, sino también un logo en forma de calavera pirata con huesos y toda una promoción de marketing. Visto junto a su hermano Misha, el virus llamó la atención de los analistas precisamente por esto.

De un fenómeno subcultural, después de haber pasado por un período en el que se requerían conocimientos técnicos bastante serios para este tipo de "piratería", los virus se han convertido en una herramienta ciber-hop-stop. Ahora tienen que seguir las reglas del mercado, y quién recibe más atención trae grandes ganancias a sus desarrolladores.

Según Positive Technologies, más de 80 organizaciones en Rusia y Ucrania se vieron afectadas por las acciones de Petya. En comparación con WannaCry, este virus se reconoce como más destructivo, ya que se propaga de varias formas, con usando Windows Management Instrumentation, PsExec y el exploit EternalBlue. Además, el ransomware incluye utilidad gratuita Mimikatz.

"Este conjunto de herramientas permite a Petya permanecer operativo incluso en aquellas infraestructuras donde se tuvo en cuenta la lección de WannaCry y se instalaron las actualizaciones de seguridad correspondientes, por lo que el ransomware es tan efectivo", dijo Positive Technologies.

Como dijo el jefe del departamento de respuesta a amenazas a Gazeta.Ru seguridad de información empresa Elmar Nabigayev,

si hablamos de las razones de la situación actual, entonces el problema está nuevamente en una actitud descuidada hacia los problemas de seguridad de la información.

El jefe del laboratorio de virus de Avast, Jakub Kroustek, dijo a Gazeta.Ru que era imposible establecer con certeza quién estaba exactamente detrás de este ciberataque, pero ya se sabe que el virus Petya se propaga en la red oscura según el modelo de negocio RaaS (malware como servicio).

“Por lo tanto, la participación de los distribuidores del programa alcanza el 85% del rescate, el 15% va a los autores del virus ransomware”, dijo Kroustek. Señaló que los autores de Petya proporcionan toda la infraestructura, los servidores C&C y los sistemas de transferencia de dinero, lo que ayuda a atraer a las personas para que propaguen el virus, incluso si no tienen experiencia en programación.

Además, Avast dijo qué sO sufrió más por el virus.

Windows 7 ocupó el primer lugar: el 78% de todas las computadoras infectadas. El siguiente es Windows XP (18%), Windows 10 (6%) y Windows 8.1 (2%).

Kaspersky Lab consideró que aunque el virus es similar a la familia Petya, todavía pertenece a una categoría diferente y le dio un nombre diferente: ExPetr, es decir, "ex Peter".

Dmitry Khomutov, subdirector de Desarrollo de Aydeko, explicó al corresponsal de Gazeta.Ru que los ciberataques de los virus WannaCry y Petya llevaron a lo que había advertido durante mucho tiempo, es decir, a la vulnerabilidad global de los sistemas de información utilizados en todas partes.

“Las lagunas dejadas por las corporaciones estadounidenses para los servicios de inteligencia se volvieron disponibles para los piratas informáticos y rápidamente se cruzaron con el arsenal tradicional de ciberdelincuentes: ransomware, clientes de botnet y gusanos de red”, dijo Khomutov.

Por lo tanto, WannaCry no le enseñó a la comunidad mundial prácticamente nada: las computadoras permanecieron desprotegidas, los sistemas no se actualizaron y los esfuerzos para lanzar parches incluso para sistemas obsoletos simplemente se desperdiciaron.

Los expertos instan a no pagar el rescate requerido en bitcoins, ya que la dirección de correo que los piratas informáticos dejaron para comunicarse fue bloqueada por un proveedor local. Así, incluso en el caso de "buenas y honestas intenciones" de los ciberdelincuentes, el usuario no solo perderá dinero, sino que tampoco recibirá instrucciones para desbloquear sus datos.

Petya fue la que más lastimó a Ucrania. Entre las víctimas se encontraban Zaporozhyeoblenergo, Dneproenergo, Metro de Kiev, los operadores móviles ucranianos Kyivstar, LifeCell y Ukrtelecom, tienda Auchan, Privatbank, aeropuerto de Boryspil y otros.

Las autoridades ucranianas inmediatamente culparon a Rusia por el ciberataque.

“Una guerra en el ciberespacio que esparce miedo y terror entre millones de usuarios computadoras personales y causar daños materiales directos debido a la desestabilización del trabajo de las empresas y agencias gubernamentales, esto es parte de la estrategia general de la guerra híbrida del imperio ruso contra Ucrania ", dijo el diputado de la Rada del Frente Popular.

Ucrania puede haber sufrido más que otros debido a la propagación inicial de Petya a través de actualización automática M.E.doc - software de contabilidad. Así es como se infectaron los departamentos, las instalaciones de infraestructura y las empresas comerciales de Ucrania: todos utilizan este servicio.

El servicio de prensa de ESET Rusia explicó a Gazeta.Ru que una computadora vulnerable sin actualizaciones de seguridad es suficiente para infectar una red corporativa con el virus Petya. Con su ayuda, el programa malicioso ingresará a la red, obtendrá derechos de administrador y se extenderá a otros dispositivos.

Sin embargo, M.E.doc salió con una refutación oficial de esta versión.

“La discusión de las fuentes del surgimiento y propagación de los ciberataques es conducida activamente por los usuarios en las redes sociales, foros y otros recursos de información, en cuya redacción una de las razones indica la instalación de actualizaciones para el programa M.E.Doc. El equipo de desarrollo de M.E.Doc niega esta información y declara que tales conclusiones son definitivamente erróneas, porque el desarrollador de M.E.Doc, como proveedor responsable producto de software, supervisa la seguridad y pureza de su propio código ", - dijo en

Virus Petya: cómo no atrapar, cómo descifrar, de dónde vino: las últimas noticias sobre el ransomware Petya, que al tercer día de su "actividad" llegó a unas 300 mil computadoras en diferentes países del mundo, y hasta ahora nadie lo ha detenido.

Virus Petya: cómo descifrar, noticias de última hora. Tras el ataque a la computadora, los creadores del ransomware Petya exigen un rescate de $ 300 (en bitcoins), pero no hay forma de descifrar el virus Petya aunque el usuario pague dinero. Los expertos de Kaspersky Lab, que discernieron las diferencias en el nuevo virus de Petya y lo llamaron ExPetr, argumentan que se requiere un identificador único para una instalación de troyano específica para el descifrado.

En las versiones previamente conocidas de ransomware similares Petya / Mischa / GoldenEye, el ID de instalación contenía la información necesaria para ello. En el caso de ExPetr, este identificador está ausente, escribe RIA Novosti.

Virus Petya: de dónde vino, las últimas noticias. Los expertos en seguridad alemanes han presentado la primera versión de dónde se salió con la suya este ransomware. En su opinión, el virus Petya comenzó a circular por las computadoras al abrir archivos M.E.Doc. Este es un programa de contabilidad utilizado en Ucrania después de la prohibición del 1C.

Mientras tanto, Kaspersky Lab dice que es demasiado pronto para sacar conclusiones sobre el origen y la fuente del virus ExPetr. Es posible que los atacantes tuvieran datos extensos. Por ejemplo, una dirección de correo electrónico de una lista de correo anterior o alguna otra forma eficaz de acceder a las computadoras.

Con su ayuda, el virus Petya atacó a Ucrania y Rusia con todo su poder, así como a otros países. Pero la escala real de este ataque de piratas informáticos estará clara en unos días: informes.

Virus Petya: como no contraerlo, como descifrarlo, de donde vino - ultimas noticias sobre el ransomware Petya, que ya recibió un nuevo nombre de Kaspersky Lab: ExPetr.

Gran Bretaña, EE. UU. Y Australia han acusado oficialmente a Rusia de difundir NotPetya

El 15 de febrero de 2018, el Ministerio de Relaciones Exteriores británico emitió un comunicado oficial en el que acusó a Rusia de organizar un ciberataque utilizando el virus ransomware NotPetya.


Según las autoridades británicas, el ataque demostró un mayor desprecio por la soberanía de Ucrania y, como resultado de estas acciones imprudentes, el trabajo de muchas organizaciones en Europa se vio interrumpido, lo que provocó pérdidas multimillonarias.


El Ministerio señaló que la conclusión sobre la participación del gobierno ruso y el Kremlin en el ataque cibernético se hizo sobre la base de la conclusión del Centro Nacional de Seguridad Cibernética del Reino Unido, que "está casi completamente convencido de que el ejército ruso está detrás del ataque NotPetya". El comunicado dijo que sus aliados no tolerarán la actividad cibernética maliciosa.

Según el ministro australiano de Aplicación de la Ley y Ciberseguridad, Angus Taylor, basándose en datos de las agencias de inteligencia australianas, así como en consultas con Estados Unidos y Gran Bretaña, el gobierno australiano concluyó que los atacantes apoyados por el gobierno ruso eran responsables del incidente. "El gobierno australiano condena el comportamiento ruso que plantea serios riesgos para la economía mundial, las operaciones y servicios gubernamentales, las actividades comerciales y la seguridad y el bienestar de las personas", se lee en el comunicado.

El Kremlin, que previamente ha negado repetidamente cualquier participación de las autoridades rusas en los ataques de los piratas informáticos, calificó la declaración del Ministerio de Relaciones Exteriores británico como parte de una "campaña rusofóbica".

Monumento "Aquí yace el virus informático Petya, derrotado por personas el 27/06/2017"

En diciembre de 2017 se erigió un monumento al virus informático Petya cerca del parque tecnológico Skolkovo. Un monumento de dos metros de altura con la inscripción: "Aquí yace el virus informático Petya derrotado por personas el 27/06/2017". diseñado en forma de disco duro mordido, fue creado con el apoyo de la empresa INVITRO, entre otras empresas que sufrieron las consecuencias de un ciberataque masivo. Un robot llamado Nu, que trabaja en Phystech Park y (MIT), asistió a la ceremonia para pronunciar un discurso.

Ataque al gobierno de Sebastopol

Especialistas de la Dirección General de Informatización y Comunicación de Sebastopol han repelido con éxito el ataque de la red ransomware Petya en los servidores del gobierno regional. Denis Timofeev, jefe del departamento de informatización, anunció esto el 17 de julio de 2017 en una reunión del aparato del gobierno de Sebastopol.

Afirmó que el malware Petya no tuvo ningún efecto sobre los datos almacenados en las computadoras en agencias gubernamentales Sebastopol.


El enfoque en el uso de software libre se establece en el concepto de informatización de Sebastopol, aprobado en 2015. Señala que en la adquisición y desarrollo de software básico, así como software para sistemas de información para automatización, es recomendable analizar la posibilidad de utilizar productos gratuitos que permitan reducir los costos presupuestarios y reducir la dependencia de proveedores y desarrolladores.

Anteriormente, a finales de junio, como parte de un ataque a gran escala contra la empresa médica "Invitro", también sufrió su sucursal ubicada en Sebastopol. Debido a la derrota de un virus de red informática, la sucursal suspendió temporalmente la emisión de los resultados de las pruebas hasta que se eliminen las causas.

"Invitro" anunció la suspensión de recibir pruebas por ciberataque

La empresa médica "Invitro" suspendió la recolección de biomaterial y la emisión de los resultados de las pruebas de los pacientes debido a un ataque de un hacker el 27 de junio. El director de comunicaciones corporativas de la empresa Anton Bulanov le dijo a RBC sobre esto.

Según el mensaje de la empresa, en un futuro próximo "Invitro" entrará en funcionamiento normal. Los resultados de los estudios realizados después de este tiempo se entregarán a los pacientes después de la eliminación del fallo técnico. En este momento, se ha restablecido el sistema de información del laboratorio, el proceso de su ajuste está en curso. “Lamentamos la actual situación de fuerza mayor y agradecemos a nuestros clientes su comprensión”, concluyó en “Invitro”.

Según estos datos, el ataque virus de computadora se han sometido a clínicas en Rusia, Bielorrusia y Kazajstán.

Ataque a Gazprom y otras compañías de petróleo y gas

El 29 de junio de 2017, se supo sobre un ciberataque global a los sistemas informáticos de Gazprom. Por lo tanto, otra empresa rusa ha sufrido el virus ransomware Petya.

Según informó la agencia de noticias Reuters, citando una fuente del gobierno ruso y una persona involucrada en la investigación del incidente, Gazprom sufrió la propagación del malware Petya, que atacó computadoras en más de 60 países en total.

Los interlocutores de la publicación no proporcionaron detalles sobre cuántos y qué sistemas estaban infectados en Gazprom, así como sobre la cantidad de daño causado por los piratas informáticos. La compañía se negó a comentar sobre la solicitud de Reuters.

Mientras tanto, una fuente de alto rango de RBC en Gazprom dijo a la publicación que las computadoras en la sede de la compañía estaban funcionando sin interrupción cuando comenzó el ataque masivo de piratas informáticos (27 de junio de 2017), y continúan dos días después. Dos fuentes más de RBC en Gazprom también aseguraron que todo está tranquilo en la empresa y no hay virus.

En el sector del petróleo y el gas, el virus Petya afectó a Bashneft y Rosneft. Este último anunció el 28 de junio que la empresa operaba con normalidad y que los “problemas individuales” se estaban resolviendo de inmediato.

Bancos e industria

Se supo sobre la infección de computadoras en Evraz, la división rusa de Royal Canin (produce uniformes para animales) y la división rusa de Mondelez (productora de chocolate Alpen Gold y Milka).

Según el Ministerio del Interior de Ucrania, un hombre publicó un video en sitios para compartir archivos y en redes sociales. descripción detallada el proceso de lanzamiento de ransomware en computadoras. En los comentarios al video, el hombre publicó un enlace a su página en la red social, a la que subió el malware. Durante las búsquedas en el apartamento del "hacker", los agentes de la ley confiscaron el equipo informático utilizado para distribuir NotPetya. La policía también encontró archivos con malware, tras un análisis de los cuales se confirmó que se parece al ransomware NotPetya. Según lo establecido por los oficiales de la policía cibernética, el programa de ransomware, cuyo enlace fue publicado por el residente de Nikopol, fue descargado por los usuarios de la red social 400 veces.

Entre los que descargaron NotPetya, los agentes del orden identificaron empresas que infectaron deliberadamente sus sistemas con ransomware para ocultar la actividad delictiva y evadir las sanciones del gobierno. Vale la pena señalar que la policía no asocia las actividades del hombre con los ataques de los piratas informáticos del 27 de junio de este año, es decir, no hay duda de que los autores de NotPetya estén involucrados. Los actos que se le imputan se refieren únicamente a acciones cometidas en julio de este año, tras una ola de ciberataques a gran escala.

Se inició una causa penal contra el hombre en virtud de la Parte 1 del art. 361 (interferencia no autorizada con computadoras) del Código Penal de Ucrania. Nikopolchanin enfrenta hasta 3 años de prisión.

Distribución en el mundo

La propagación del virus ransomware Petya se registró en España, Alemania, Lituania, China e India. Por ejemplo, debido a un programa malicioso en India, la tecnología de control de tráfico del puerto de contenedores de Jawaharlal Nehru operado por A.P. Moller-Maersk, dejó de reconocer la propiedad de la carga.

El ciberataque fue denunciado por el grupo publicitario británico WPP, la oficina española de uno de los despachos de abogados más grandes del mundo, DLA Piper, y el gigante de la alimentación Mondelez. El fabricante francés de materiales de construcción Cie también se encontraba entre las víctimas. de Saint-Gobain y la empresa farmacéutica Merck & Co.

Merck

El gigante farmacéutico estadounidense Merck, gravemente afectado por el ataque de ransomware NotPetya de junio, sigue sin poder restaurar todos los sistemas y volver al funcionamiento normal. Esto se informó en el informe 8-K de la compañía presentado a la Comisión de Bolsa y Valores de EE. UU. (SEC) a fines de julio de 2017. Más detalles.

Moller-Maersk y Rosneft

El 3 de julio de 2017, se supo que el gigante naviero danés Moller-Maersk y Rosneft restauraron los sistemas de TI infectados con el virus ransomware Petya solo casi una semana después del ataque del 27 de junio.


La compañía naviera Maersk, que representa uno de cada siete contenedores de carga enviados en todo el mundo, también agregó que las 1.500 aplicaciones afectadas por el ciberataque volverán a funcionar normalmente el 9 de julio de 2017 como máximo.

La mayor parte del daño se produjo en los sistemas de TI de APM Terminals de Maersk, que opera docenas de puertos de carga y terminales de contenedores en más de 40 países. Más de 100 mil contenedores de carga por día pasan por los puertos de APM Terminals, cuyo trabajo quedó completamente paralizado por la propagación del virus. La terminal Maasvlakte II en Rotterdam reanudó las entregas el 3 de julio.

El 16 de agosto de 2017 A.P. Moller-Maersk nombró la cantidad aproximada de daño de un ciberataque con el virus Petya, cuya infección, como se señaló en la compañía europea, pasó por el programa ucraniano. Según cálculos preliminares de Maersk, las pérdidas financieras derivadas de la operación del ransomware Petya en el segundo trimestre de 2017 ascendieron a entre 200 y 300 millones de dólares.

Mientras tanto, Rosneft tardó casi una semana en restaurar los sistemas informáticos de un ataque de piratas informáticos, según informó el servicio de prensa de la compañía el 3 de julio, Interfax:


Unos días antes, Rosneft enfatizó que aún no se compromete a evaluar las consecuencias del ciberataque, pero la producción no ha sufrido.

Cómo actúa Petya

De hecho, las víctimas del virus no pueden desbloquear sus archivos después de la infección. El hecho es que sus creadores no previeron tal posibilidad en absoluto. Es decir, un disco cifrado no se puede descifrar a priori. El identificador de malware carece de la información necesaria para el descifrado.

Inicialmente, los expertos clasificaron el virus que infectó a unas dos mil computadoras en Rusia, Ucrania, Polonia, Italia, Alemania, Francia y otros países, en la ya conocida familia de ransomware Petya. Sin embargo, resultó que estamos hablando de una nueva familia de malware. Kaspersky Lab ha bautizado al nuevo ransomware ExPetr.

Como pelear

La lucha contra las amenazas cibernéticas requiere los esfuerzos combinados de los bancos, las empresas de TI y el estado

Método de recuperación de datos de Positive Technologies

El 7 de julio de 2017, Dmitry Sklyarov, experto de Positive Technologies, presentó un método para recuperar datos cifrados por el virus NotPetya. Según el experto, el método es aplicable si el virus NotPetya tenía privilegios administrativos y encriptaba todo el disco.

La posibilidad de recuperación de datos está asociada a errores en la implementación del algoritmo de encriptación Salsa20, realizados por los propios atacantes. La eficacia del método se ha probado tanto en un medio de prueba como en uno de los discos duros cifrados. empresa grandeentre las víctimas de la epidemia.

Las empresas de recuperación de datos y los desarrolladores independientes son libres de utilizar y automatizar el script de descifrado presentado.

Los resultados de la investigación ya han confirmado a la policía cibernética de Ucrania. Juscutum tiene la intención de utilizar los hallazgos de la investigación como evidencia clave en el futuro proceso contra Intellect-Service.

El proceso será civil. Los organismos encargados de hacer cumplir la ley de Ucrania están llevando a cabo una investigación independiente. Sus representantes han anunciado previamente la posibilidad de iniciar un caso contra los empleados de Intellect-Service.

El propio M.E.Doc declaró que lo que estaba sucediendo era un intento de allanamiento de la empresa. El fabricante del único software de contabilidad popular ucraniano cree que la búsqueda en la empresa, realizada por la policía cibernética ucraniana, se convirtió en parte de la implementación de este plan.

Vector de infección inicial con el cifrador Petya

El 17 de mayo, se lanzó una actualización de M.E.Doc que no contiene el módulo de puerta trasera malicioso. Esto probablemente explica el número relativamente bajo de infecciones de XData, cree la compañía. Los atacantes no esperaban que la actualización se publicara el 17 de mayo y lanzaron el cifrador el 18 de mayo, cuando la mayoría de los usuarios ya habían instalado la actualización segura.

La puerta trasera permite descargar y ejecutar otro malware en el sistema infectado; así es como se llevó a cabo la infección inicial con los cifradores Petya y XData. Además, el programa recopila la configuración del servidor proxy y el correo electrónico, incluidos los inicios de sesión y las contraseñas de la aplicación M.E.Doc, así como los códigos de empresa según EDRPOU (Registro Estatal Unificado de Empresas y Organizaciones de Ucrania), que permite identificar a las víctimas.

"Tenemos una serie de preguntas que responder", dijo Anton Cherepanov, analista de virus senior de Eset. - ¿Cuánto tiempo se ha utilizado la puerta trasera? ¿Qué comandos y malware además de Petya y XData se enviaron a través de este canal? ¿Qué otras infraestructuras se han visto comprometidas pero aún no han sido utilizadas por el grupo cibernético detrás de este ataque? "

Basándose en un conjunto de señales, que incluyen infraestructura, herramientas maliciosas, esquemas y objetivos de los ataques, los expertos de Eset han establecido una conexión entre la epidemia Diskcoder.C (Petya) y el grupo cibernético Telebots. Aún no ha sido posible determinar de manera confiable quién está detrás de las actividades de este grupo.