Meny
Är gratis
checka in
Hem  /  Internet / Vad ett nytt virus är Petya. Apparat - New Society Magazine

Vilket nytt virus är Petya. Apparat - New Society Magazine

Ett antal ryska och ukrainska företag attackerades av Petya ransomware-virus. Online-publiceringswebbplatsen pratade med experter från Kaspersky Lab, den interaktiva byrån AGIMA och fick reda på hur man skyddar företagets datorer mot viruset och hur Petya ser ut åtminstone wannaCry ransomware-virus.

Petya-virus

I Ryssland, Rosneft, Bashneft, Mars, Nivea och chokladproducenten Alpen Gold Mondelez International. Ransomware-strålningsövervakningssystem för kärnkraftverket i Tjernobyl. Dessutom berörde attacken datorerna från den ukrainska regeringen, Privatbank och telekomoperatörer. Viruset blockerar datorer och kräver en lösen på 300 $ i bitcoins.

I en mikroblogg på Twitter talade Rosneft presstjänst om en hackerattack på företagets servrar. "En kraftfull hackerattack genomfördes på företagets servrar. Vi hoppas att detta inte har något att göra med de nuvarande rättsliga förfarandena. I själva verket vände sig företaget till brottsbekämpande myndigheter för en cyberattack", säger rapporten.

Enligt företagets talesman Mikhail Leontyev fungerar Rosneft och dess dotterbolag normalt. Efter attacken bytte företaget till backup-system processkontroll, så att oljeproduktion och -behandling inte stoppas. Hemkreditsystemet attackerades också.

"Petya" infekterar inte utan "Misha"

Enligt aGIMA verkställande direktör Evgeny Lobanovfaktiskt genomfördes attacken av två kryptografiska virus: Petya och Misha.

"De fungerar i samband." Petya infekterar inte utan "Misha." Han kan infektera, men gårdagens attack var två virus: först Petya, sedan Misha. "Petya" skriver över startenheten (där datorn startar från) och Misha krypterar filer med en specifik algoritm, - förklarade specialist. - Petya krypterar boot sektor disk (MBR) och ersätter den med sin egen, Misha krypterar redan alla filer på disken (inte alltid). "

Han noterade att WannaCry ransomware-virus, som attackerade stora globala företag i maj i år, inte ser ut som Petya, det här är en ny version.

"Petya.A från WannaCry-familjen (eller snarare WannaCrypt), men den största skillnaden varför detta inte är samma virus är att MBR ersätts av sin egen boot-sektor - det här är nytt för Ransomware. Petya-virus visade för länge sedan på GitHab (en onlinetjänst för IT-projekt och gemensam programmering - webbplats) https://github.com/leo-stone/hack-petya "target \u003d" _ blank "\u003e det fanns en avkodare för denna krypterare, men ingen avkodare är inte lämplig för den nya modifieringen.

Evgeny Lobanov betonade att attacken drabbade Ukraina hårdare än Ryssland.

"Vi är mer mottagliga för attacker än andra västerländska länder. Vi kommer att skyddas från denna version av viruset, men inte från dess modifieringar. Vårt internet är osäkert, Ukraina är ännu mindre. Mestadels attackerades transportföretag, banker, mobiloperatörer ( Vodafone, Kyivstar) och medicinska företag, samma Farmag, Shell-bensinstationer är alla mycket stora transkontinentala företag, ”sade han i en intervju med webbplatsen.

AGIMA: s verkställande direktör noterade att det hittills inte finns några fakta som skulle indikera den geografiska platsen för virusets spridning. Enligt hans åsikt uppträdde antagligen viruset i Ryssland. Tyvärr finns det inga direkta bevis på detta.

"Det finns ett antagande om att det här är våra hackare, eftersom den första modifieringen dök upp i Ryssland, och själva viruset, som inte är någon hemlighet för någon, fick sitt namn efter Petro Poroshenko. Det var utvecklingen av ryska hackare, men vem som ändrade det ytterligare är svårt att säga. att till och med i Ryssland är det lätt att få en dator med geolokalisering till exempel i USA, ”förklarade experten.

"Om datorn plötsligt" infekteras "kan du inte stänga av datorn. Om du startar om kommer du aldrig att vara inloggad igen"

"Om datorn plötsligt" infekteras "kan du inte stänga av datorn eftersom Petya-viruset ersätter MBR, den första startsektorn som operativsystemet laddas från. Om du startar om kommer du aldrig att vara inloggad igen. Detta kommer att avskära avfallsvägarna, även om det visas" surfplattan "det kommer att vara omöjligt att returnera informationen. Därefter måste du omedelbart koppla bort från Internet så att datorn inte går online. En officiell korrigering från Microsoft har redan släppts, den ger en säkerhetsgaranti på 98 procent. Tyvärr är den inte 100 procent ännu. En viss modifiering av viruset (det finns tre) han kommer runt så långt, ”rekommenderade Lobanov. - Men om du fortfarande startade om och såg början av "diskkontroll" -processen, måste du omedelbart stänga av datorn så att filerna förblir okrypterade ..

Dessutom förklarade experten varför attacker oftast är microsoft-användare, men inte MacOSX (Apples operativsystemwebbplats) och Unix-system.

"Här är det mer korrekt att inte bara tala om MacOSX utan också om alla unix-system (principen är densamma). Viruset sprider sig bara till datorer, utan mobil enheter. Windows-operativsystemet är mottagligt för attacker och hotar bara de användare som har inaktiverat funktionen för automatisk systemuppdatering. Exceptionella uppdateringar är tillgängliga även för ägare av gamla windows-versionersom inte längre uppdateras: XP, Windows 8 och Windows Server 2003, "sa experten.

"MacOSX och Unix exponeras inte globalt för sådana virus, eftersom många stora företag använder Microsoft-infrastrukturen. MacOSX påverkas inte, eftersom det inte är så vanligt i myndigheter. Det har färre virus, det är inte lönsamt att göra det eftersom attacksegmentet blir mindre än om attackera Microsoft, "avslutade specialisten.

"Antalet attackerade användare har nått två tusen"

På presstjänsten för Kaspersky Lab, vars experter fortsätter att undersöka den senaste vågen av infektioner, sa att "denna ransomware inte tillhör den redan välkända Petya ransomware-familjen, även om den har flera kodrader som är gemensamma för den."

Laboratoriet är övertygat om att vi i det här fallet talar om en ny familj av skadlig programvara med betydligt annan funktionalitet än Petya. Kaspersky Lab har utnämnt den nya ExPetr ransomware.

"Enligt Kaspersky Lab har antalet attackerade användare nått två tusen. De flesta incidenter registrerades i Ryssland och Ukraina, och infektioner observerades också i Polen, Italien, Storbritannien, Tyskland, Frankrike, USA och flera andra länder. Just nu föreslår våra experter att detta skadliga program använde flera attackvektorer. Det konstaterades att för distributionen på företagsnätverk användes en modifierad exploat EternalBlue och en exploat EternalRomance, "sade presstjänsten.

Experter undersöker också möjligheten att skapa ett avkodningsverktyg för att dekryptera data. Laboratoriet gav också rekommendationer för alla organisationer för att undvika framtida virusattacker.

"Vi rekommenderar att organisationer installerar uppdateringar för Windows. För Windows XP och Windows 7 måste du installera säkerhetsuppdateringen MS17-010 och se till att de har ett effektivt system reservera kopia data. Snabb och säker säkerhetskopiering av data gör det möjligt att återställa de ursprungliga filerna, även om de var krypterade med skadlig programvara, "rekommenderade Kaspersky Lab-experter.

Laboratoriet rekommenderar också att dess företagskunder ser till att alla skyddsmekanismer är aktiverade, särskilt att se till att ansluta till molninfrastrukturen i Kaspersky Security Network, som en ytterligare åtgärd, rekommenderas det att använda komponenten Application Activity Control för att begränsa åtkomsten till alla applikationsgrupper (och i enlighet därmed, exekvering) av en fil som heter "perfc.dat", etc.

"Om du inte använder Kaspersky Lab-produkter rekommenderar vi att du förbjuder körning av filen med namnet perfc.dat och också blockerar lanseringen av PSExec-verktyget från Sysinternals-paketet med hjälp av AppLocker-funktionen som är en del av Windows operativsystem (operativsystem-webbplats)," rekommenderas på laboratoriet.

12 maj 2017, många - datakrypterare på hårddiskar datorer. Han blockerar enheten och kräver lösen.
Viruset drabbade organisationer och avdelningar i dussintals länder, inklusive Ryssland, där hälsoministeriet, akutministeriet, inrikesministeriet, mobiloperatörernas servrar och flera stora banker attackerades.

Spridningen av viruset stoppades av misstag och tillfälligt: \u200b\u200bom hackare bara ändrar några kodrader börjar skadlig kod fungera igen. Skadorna från programmet beräknas till en miljard dollar. Efter språklig-kriminell analys fann experter att WannaCry skapade invandrare från Kina eller Singapore.

Antivirusprogram installeras på nästan alla användares dator, men ibland visas en trojan eller virus som kan förbigå mest bättre skydd och infektera din enhet, och ännu värre, kryptera dina data. Den här gången blev trojanskodaren "Petya" eller, som det också kallas, "Petya" ett sådant virus. Spridningen av detta hot är mycket imponerande: på ett par dagar kunde den "besöka" Ryssland, Ukraina, Israel, Australien, USA, alla stora europeiska länder och inte bara. Det drabbade främst företagens användare (flygplatser, energistationer, turistnäringen), men vanliga människor led också. I sin skala och påverkningsmetoder liknar det extremt det sensationellt nyligen.

Du måste utan tvekan skydda din dator för att inte bli ett offer för den nya Petya ransomware. I den här artikeln kommer jag att berätta om vilken typ av Petya-virus är, hur det sprider sig, hur du kan skydda dig mot detta hot. Dessutom kommer vi att beröra borttagandet av trojanen och dekryptering av information.

Vad är Petya-viruset?

Till att börja med borde vi förstå vad Petya är. Petya-virus är skadligt programvara, som är en trojan av ransomware-typ (ransomware). Dessa virus är utformade för att utpressa ägarna av infekterade enheter för att få en lösen från dem för krypterad data. Till skillnad från Vill gråta, Petya bryr sig inte om att kryptera enskilda filer - det "tar" nästan omedelbart allt från dig hDD helt.

Rätt namn för det nya viruset är Petya.A. Dessutom kallar Kaspersky det NotPetya / ExPetr.

Beskrivning av viruset "Petya"

Efter att ha träffat din Windows-dator krypterar Petya nästan omedelbart MFT (Master File Table - huvudfiltabellen). Vad är den här tabellen ansvarig för?

Föreställ dig att din hårddisk är det största biblioteket i hela universumet. Den innehåller miljarder böcker. Så hur hittar du rätt bok? Endast med bibliotekskatalogen. Det är denna katalog som förstör Petya. Därför förlorar du all möjlighet att hitta någon ”fil” på din dator. För att vara mer exakt, efter Petias ”arbete” kommer datorns hårddisk att likna ett bibliotek efter en tornado, med fragment av böcker som flyger runt.

Till skillnad från Wanna Cry, som jag nämnde i början av artikeln, krypterar därför Petya.A inte enstaka filerspendera denna imponerande tid - han tar helt enkelt bort dig alla möjligheter att hitta dem.

Efter alla hans manipulationer kräver han en lösning från användare - 300 US-dollar, som måste överföras till ett Bitcoin-konto.

Vem skapade Petya-viruset?

Vid skapandet av Petya-viruset användes en exploit (“hål”) i Windows under namnet “EternalBlue”. Microsoft har släppt en patch som "stänger" detta hål för några månader sedan, men inte alla använder det licensierade kopia av windows och installerar alla systemuppdateringar, eller hur?)

Skaparen av "Petit" kunde klokt använda vårdslöshet för företag och privata användare och tjäna pengar på det. Hans identitet är fortfarande okänd (och det är osannolikt att det är känt)

Hur sprids Petya-virus?

Petya-virus sprids oftast som en bilaga till e-postmeddelanden och i arkiv med piratkopierad skadlig kod. En bilaga kan innehålla absolut alla filer, inklusive ett foto eller mp3 (som det verkar vid första anblicken). När du har kört filen kommer din dator att starta om och viruset kommer att simulera att kontrollera disken för CHKDSK-fel, och i det ögonblicket kommer den att ändra startposten för din dator (MBR). Därefter ser du en röd skalle på datorns skärm. Genom att klicka på vilken knapp som helst kan du komma åt texten där du blir ombedd att betala för att dekryptera dina filer och överföra det nödvändiga beloppet till en bitcoin-plånbok.

Hur skyddar du dig mot Petya-viruset?

  • Det viktigaste och det viktigaste - gör det till en regel att installera uppdateringar för ditt operativsystem! Detta är oerhört viktigt. Gör det just nu, inte försena.
  • Var uppmärksam på alla bilagor som är kopplade till bokstäverna, även om bokstäverna kommer från personer du känner. Under epidemiens varaktighet är det bättre att använda alternativa datakällor.
  • Aktivera alternativet "Visa filändelser" i OS-inställningarna - så att du alltid kan se den verkliga filändelsen.
  • Aktivera "Användarkontokontroll" i Windows-inställningarna.
  • Du måste installera en av dem för att undvika infektion. Börja med att installera uppdateringen för OS, installera sedan antiviruset - och du kommer redan att vara mycket säkrare än tidigare.
  • Se till att göra säkerhetskopior - spara all viktig information på en extern hårddisk eller till molnet. Om Petya-viruset kommer in i din dator och krypterar all data kommer det att vara tillräckligt enkelt för dig att formatera hårddisken och installera om OS.
  • Kontrollera alltid antivirusdatabaserna för ditt antivirusprogram. Alla bra antivirus övervakar hot och svarar på dem i rätt tid och uppdaterar hotsignaturer.
  • Installera det kostnadsfria Kaspersky Anti-Ransomware-verktyget. Det skyddar dig mot krypteringsvirus. Att installera den här programvaran sparar inte dig från att installera ett antivirusprogram.

Hur tar man bort Petya-viruset?

Hur tar man bort Petya.A-virus från din hårddisk? Detta är en oerhört intressant fråga. Faktum är att om viruset redan har blockerat dina data, kommer det faktiskt inte att finnas något att ta bort. Om du inte planerar att betala ransomware (vilket inte är värt att göra) och inte kommer att försöka återställa data på disken i framtiden, behöver du bara formatera disken och installera om OS. Efter det kommer det inte att finnas spår av viruset.

Om du misstänker att det finns en infekterad fil på din hårddisk, skanna en av disken eller installera Kaspersky Anti-Virus och utför en fullständig systemsökning. Utvecklaren försäkrade att hans signaturdatabas redan innehåller information om detta virus.

Avkodare Petya.A

Petya.A krypterar dina data med en mycket robust algoritm. För närvarande finns det ingen lösning för att dekryptera blockerad information. Dessutom bör du inte försöka komma åt data hemma.

Utan tvekan skulle vi alla drömma om att få den mirakulösa dekrypteraren Petya.A, men det finns helt enkelt ingen sådan lösning. Viruset drabbade världen för några månader sedan, men inget botemedel kunde hittas för att dekryptera data som det krypterade.

Därför, om du ännu inte blivit ett offer för Petya-viruset, lyssna på råd som jag gav i början av artikeln. Om du fortfarande tappar kontrollen över dina uppgifter har du flera sätt.

  • Att betala pengar. Att göra detta är meningslöst!Experter har redan funnit att virusets skapare inte återställer data och inte kan återställa den med tanke på krypteringsmetodiken.
  • Ta bort hårddisken från enheten, placera den försiktigt i skåpet och tryck på avkodarens utseende. Förresten, Kaspersky Lab arbetar ständigt i denna riktning. Tillgängliga avkodare finns på No Ransom-webbplatsen.
  • Formatera en disk och installera ett operativsystem. Minus - all data går förlorad.

Petya.A-virus i Ryssland

I Ryssland och Ukraina attackerades och smittades mer än 80 företag i skrivande stund, inklusive stora företag som Bashneft och Rosneft. Infektion av infrastrukturen hos sådana stora företag indikerar allvarligheten petya-virus.A. Det råder ingen tvekan om att ransomware-trojanen kommer att fortsätta sprida sig över hela Ryssland, så du bör ta hand om säkerheten för dina data och följa de råd som ges i artikeln.

Petya.A och Android, iOS, Mac, Linux

Många användare oroar sig - "Kan Petya-viruset infektera sina Android- och iOS-enheter? Jag skyndar mig att lugna dem - nej, det kan inte. Den är endast utformad för Windows-användare. Detsamma gäller för fans av Linux och Mac - du kan sova lugnt, du är inte i fara.

Slutsats

Så idag diskuterade vi grundligt det nya Petya.A-viruset. Vi förstod vad den här trojanen är och hur den fungerar, lärde oss hur vi kan skydda oss mot infektion och ta bort viruset, var man kan hämta Petya-dekrypteraren. Jag hoppas att artikeln och mina tips har varit till hjälp för dig.

Petya-virus är ett snabbväxande virus som satte nästan alla stora företag i Ukraina den 27 juni 2017. Petya-virus krypterar dina filer och erbjuder sedan en lösning för dem.

Det nya viruset infekterar datorns hårddisk och fungerar som en filkrypteringsvirus. Efter en viss tid "äter" Petya-viruset filer på din dator och de krypteras (som om filerna arkiverades och ställer in ett tungt lösenord)
Filer som påverkades av Petya ransomware-virus kan inte återställas senare (det finns en procentandel som du kommer att återställa dem, men det är mycket litet)
Algoritm som återställer filer som påverkas av Petya-viruset - NO
Med hjälp av denna korta och maximalt användbara artikel kan du skydda dig mot #Petya-viruset

Hur man bestämmer ett Petya- eller WannaCry-virus och infekterar INTE ett virus

När du laddar ner en fil över Internet, kontrollera den online-antivirus. Online-antivirus kan fördefiniera ett virus i en fil och förhindra Petya-virusinfektion. Allt du behöver göra är att kontrollera den nedladdade filen med VirusTotal och sedan köra den redan. Även om du laddar ner PETYA-VIRUS, men INTE kör virusfilen, är viruset INTE aktivt och orsakar inte skada. Kom först ihåg detta efter att ha startat en skadlig fil

ANVÄNDNING AV ENDAST DENNA METODEN GÖR DIG någon möjlighet att inte infekteras av PETYA VIRUS
Petya-viruset ser ut så här:

Hur du räddar dig från Petya Virus

Företag Symantecföreslog en lösning som låter dig skydda dig mot Petya-viruset, låtsas att du redan har det - installerat.
Petya-virus skapas i mappen när det kommer in i datorn C: \\ Windows \\ perfc fil perfc eller perfc.dll
Skapa i mappen för att viruset ska tro att det redan är installerat och inte fortsätta sin aktivitet C: \\ Windows \\ perfc fil med tomt innehåll och spara det genom att ändra läget till "Read Only"
Eller ladda ner virus-petya-perfc.zip och packa upp mappen perfctill mapp C: \\ Windows \\ och ställ in läsbart ändringsläge
Ladda ner virus-petya-perfc.zip



UPPDATERAD 06/29/2017
Jag rekommenderar också att du laddar ner båda filerna helt enkelt i windows-mapp. Många källor skriver den filen perfc eller perfc.dllborde vara i mappen C: \\ Windows \\

Vad du ska göra om din dator redan påverkas av Petya Virus

Slå inte på en dator som redan har infekterat dig med Petya. Petya-viruset fungerar på ett sådant sätt att medan den infekterade datorn är påslagen krypterar den filerna. Det vill säga, medan du håller din dator infekterad med Petya-viruset på, kan nya och nya filer infekteras och krypteras.
Winchester den här datorn värt att kolla in. Du kan kontrollera det med LIVECD eller LIVEUSB med antivirus
Startbar flash-enhet med Kaspersky Rescue Disk 10
Dr.Web LiveDisk startbar flash-enhet

Som sprider Petya-virus i hela Ukraina

Microsoft har uttryckt sin synvinkel på bekostnad av global nätverksinfektion i stora företag i Ukraina. Anledningen var uppdateringen av programmet M.E.Doc. M.E.Doc är ett populärt redovisningsprogram, därför en så stor punktering av företaget som viruset fick in i uppdateringen och installerade Petya-viruset på tusentals datorer som M.E.Doc installerades på. Och eftersom viruset infekterar datorer i samma nätverk sprids det som blixtnedslag.
#: petya-virus infekterar Android, Petya-virus, hur man upptäcker och tar bort petya-virus, petya-virus, hur man behandlar, M.E.Doc, Microsoft, skapa en petya-virusmapp

Idag har ett ransomware-virus attackerat många datorer i den offentliga, kommersiella och privata sektorn i Ukraina

Oöverträffad hackerattack slog ut många datorer och servrar i myndigheter och kommersiella organisationer över hela landet

En storskalig och noggrant planerad cyberattack har idag inaktiverat kritiska infrastrukturanläggningar för många statliga företag och företag. Detta rapporterades av Security Service (SBU).

Från och med middag på Internet som en snöboll började meddelanden dyka upp om datainfektioner i den offentliga och privata sektorn. Regeringens tjänstemän tillkännagav hackerattacker på sin IT-infrastruktur.

Enligt SBU inträffade infektionen främst till följd av att man öppnade ord- och pdf-filer, som angriparna skickade via e-post. Ransomware virus (ransomware) Petya.A använde ett nätverkssårbarhet i operationssalen windows-system. För att låsa upp krypterad data krävde cyberbrottslingar betalning i bitcoins till ett belopp av 300 $.

Sekreteraren för National Security and Defense Council Alexander Turchinov sade att statliga organ som ingick i den skyddade kretsen - en speciell webbplats - inte lidit skada. Uppenbarligen genomförde ministerrådet inte korrekt rekommendationerna från National Cybersecurity Coordination Center eftersom statliga datorer påverkades av Petya.A. Finansministeriet, Tjernobyl NPP, Ukrenergo, Ukrposhta, Novaya Poshta och ett antal banker kunde inte motstå dagens attack.

Under en längre tid öppnade inte ens webbsidorna för SBU, cyberpolisen och State Service for Special Communications and Information Protection (GSSSSI).

Från kvällen tisdagen den 27 juni berättade ingen av de brottsbekämpande myndigheterna vars ansvar inkluderar kampen mot cyberattacker var Petya.A kom ifrån och vem som stod bakom det. SBU, Cyberpolice (webbplatsen har inte fungerat hela dagen), GSSSSI har förblivit olympiskt tyst om storleken på skadorna orsakade av ransomware-viruset.

Computer Emergency Response Team (CERT-UA, del av GSSSS) har presenterat tips för att hantera effekterna av Petya Ransomware. För detta rekommenderade tekniska experter att använda ESET-programvara. Senare talade SBU också om hur man skyddar eller minskar skadan från viruset.

Petya-virus: hur man inte fångar, hur man dechiffrerar var den kom ifrån - senaste nytt om Petya ransomware-virus, som den tredje dagen av sin "aktivitet" drabbade cirka 300 tusen datorer i olika länder i världen, och hittills har ingen stoppat det.

Petya-virus - hur man dekrypterar, de senaste nyheterna. Efter attacken på datorn kräver skaparna av Petya ransomware en lösen på 300 $ (i bitcoins), men det finns inget sätt att dekryptera Petya-viruset, även om användaren betalar pengarna. Kaspersky Lab-specialister, som upptäckte skillnaderna från Petya i det nya viruset och kallade det ExPetr, hävdar att dekryptering är nödvändig unik identifierare specifik installation av en trojan.

I tidigare kända versioner av liknande ransomware Petya / Mischa / GoldenEye innehöll installationsidentifieraren nödvändig information för detta. För ExPetr är denna identifierare inte - skriver RIA Novosti.

Petya-virus - var det kom ifrån, de senaste nyheterna. Tyska säkerhetsexperter lade fram den första versionen, varifrån denna kryptograf tog sin väg. Enligt dem började Petya-viruset gå på datorer genom att öppna M.E.Doc-filerna. Detta är ett ekonomiskt rapporteringsprogram som används i Ukraina efter förbudet mot 1C.

Samtidigt säger Kaspersky Lab att det är för tidigt att dra slutsatser om ursprunget och källan till spridningen av ExPetr-viruset. Det är möjligt att angriparna hade omfattande uppgifter. Till exempel en e-postadress från en tidigare e-postlista eller något annat effektivt sätt att penetrera datorer.

Med deras hjälp föll också "Petya" -viruset med all sin kraft till Ukraina och Ryssland, liksom andra länder. Men den verkliga omfattningen av denna hackerattack kommer att vara tydlig om några dagar, rapporterar.

Petya-virus: hur man inte fångar, hur man dekrypterar, var det kom ifrån - senaste nyheterna om Petya ransomware-virus, som redan har fått ett nytt namn i Kaspersky Lab - ExPetr.

En kort försämring av namnet på skadlig programvara.

Till bokmärken

Petya.A-viruslogotyp

Den 27 juni attackerades minst 80 ryska och ukrainska företag av Petya.A-viruset. Programmet blockerade information på datorer från avdelningar och företag och, som ett välkänt ransomware-virus, krävdes av användare i bitcoins.

Namn på skadlig kod ges vanligtvis av anställda i antivirusföretag. Undantagen är de kryptografer, utpressare, förstörare och identitetstjuvar som, förutom datorinfektioner, orsakar medieutbrott - ökad mediahype och aktiv diskussion i nätverket.

Men Petya.A-viruset är en representant för en ny generation. Namnet som han verkar vara en del av marknadsföringsstrategin för utvecklare syftar till att öka hans erkännande och växande popularitet på darknet-marknaden.

Subkulturellt fenomen

På de dagar då datorerna var få och långt ifrån alla var sammankopplade fanns det redan självförökande program (ännu inte virus). En av de första av dessa var, med skämt som hälsade användaren och erbjöd att fånga honom och ta bort honom. Nästa var Cookie Monster och krävde "ge honom en cookie" genom att skriva ordet "cookie".

Tidig malware hade också en känsla för humor, även om den inte alltid hänförde sig till deras namn. Således läste Richard Scrant, designad för Apple-2-datorn, dikten för offret en gång var 50: e dator nedladdning, och namnen på virus, ofta dolda i koden och inte visas, hänvisade till skämt och subkulturella fångord som är vanliga bland geeks den tiden. De kan associeras med namnen på metallband, populärlitteratur och brädspel.

I slutet av 1900-talet gömde sig inte virusskaparna särskilt - dessutom, ofta när programmet kom ut ur kontrollen, försökte de ta del i att eliminera den skada som den gjorde. Så var det med pakistansk och destruktiv, skapad av den framtida medgrundaren av Y-Combinator-affärsinkubatorn.

Poetiska förmågor demonstrerades också av ett av de ryska virusen som nämnts av Eugene Kaspersky i hans bok 1992 Computer Viruses i MS-DOS. Kondom-1581-programmet visade ibland ett offer som ägnas åt problemen med att täppa världens hav med mänskliga produkter.

Geografi och kalender

1987 uppkallades Jerusalem-viruset, även känt som det israeliska viruset, efter dess första upptäckt, och dess alternativa namn, Black Friday, berodde på att det aktiverade och raderade startfiler om den 13: e dagen i månaden var på fredag.

Enligt kalenderprincipen kallades också Michelangelo-viruset, vilket orsakade panik i media våren 1992. Sedan John McAfee, som senare blev berömd för att ha skapat en av de mest irriterande antivirus, under Sydney-konferensen om cybersäkerhet, journalister och allmänheten: "Om du startar det infekterade systemet den 6 mars, kommer all data på hårddisken att bli dålig." Och här är Michelangelo? 6 mars födde den italienska konstnären födelsedag. Emellertid var de skräck som McAfee förutspådde i slutändan överdrivna.

Funktionalitet

Viruss kapacitet och dess specificitet fungerar ofta som grund för namnet. År 1990 kallades ett av de första polymorfa virusen Chameleon, och han, som hade stora möjligheter att dölja sin närvaro (vilket innebär att han tillhör kategorin stealthvirus), fick namnet Frodo, vilket hänvisade till hjälten "Ringenes Herre" och gömde sig för andra kring Ringen . Och till exempel fick OneHalf-viruset 1994 sitt namn på grund av det faktum att det visade aggression endast genom att infektera halva disken på den angripna enheten.

Servicenamn

De flesta virus har länge märkts i laboratorier där de demonteras till analytiska delar.

Vanligtvis är detta tråkiga ordnamn och vanliga "familj" -namn som beskriver kategorin av viruset, vilka system det attackerar och vad det gör med dem (som Win32.HLLP.DeTroie). Men ibland när koden för ett program lyckas avslöja antydningar av utvecklarna får virusen lite personlighet. Således till exempel MyDoom- och KooKoo-virusen dök upp.

Denna regel fungerar emellertid inte alltid - till exempel Stuxnet-viruset, som stoppade uranberikningscentrifuger i Iran, kallades inte Myrtus, även om detta ord ("myrtle") i koden nästan var en direkt antydan om israeliska underrättelsetjänster som deltog i dess utveckling. I detta fall vann namnet som redan tilldelats allmänheten, tilldelat viruset i de första stadierna av dess upptäckt.

uppgifter

Det händer ofta att virus som kräver mycket uppmärksamhet och ansträngning för att studera får vackra namn från antivirusföretag som är lättare att tala och skriva ner - som hände med Red October, diplomatisk korrespondens och data som kan påverka internationella relationer, liksom med IceFog , storskalig industriell spionage.

Filtillägg

Ett annat populärt sätt att namnge är genom förlängning, som viruset tilldelar infekterade filer. Så ett av de "militära" Duqu-virusen kallades inte så på grund av greve Dooku från " Stjärnornas krig", Men tack vare ~ DQ-prefixet, som markerade filerna han skapade.

Den fick också sitt sensationella WannaCry-virus i vår, och markerade de data som är krypterade med det med .wncry-förlängningen.

Det tidigare namnet på Wanna Decrypt0r-viruset rotade inte - det lät sämre och hade olika tolkningar när man skrev. Inte alla brytt sig om att ställa in “0” som “o”.

"Du blev offer för Petya ransomware-virus"

Så här verkar det mest diskuterade skadliga programmet vara, genom att fylla i filkryptering på den angripna datorn. Petya A.-viruset har inte bara ett igenkännbart namn, utan också en logotyp i form av en piratskalle med ben och en hel marknadsföring. Sett tillsammans med sin bror "Misha" ännu, väckte viruset upp analytikernas uppmärksamhet med just det.

Från ett subkulturellt fenomen, efter att ha gått igenom en period då det krävdes en ganska allvarlig teknisk kunskap för den här typen av "hacking", blev virus till ett verktyg för cyber-gop-stop. Nu måste de spela enligt marknadsreglerna - och vem som får mer uppmärksamhet ger han stora vinster till sina utvecklare.

Enligt Positive Technologies har mer än 80 organisationer drabbats av Petya i Ryssland och Ukraina. Jämfört med WannaCry erkänns detta virus som mer destruktivt, eftersom det sprider sig med flera metoder - med med fönster Management Instrumentation, PsExec och EternalBlue Exploit. Dessutom har en krypterare implementerats gratis verktyg Mimikatz.

"Denna uppsättning verktyg gör det möjligt för Petya att förbli i drift även i de infrastrukturer där WannaCry-lektionen har beaktats och relevanta säkerhetsuppdateringar har installerats, varför krypteringsmotorn är så effektiv," sade Positive Technologies.

Som chefen för avdelningen för att ha svarat på hot berättade för Gazeta.ru informationssäkerhet Elmar Nabigaev företag,

om vi talar om orsakerna till den aktuella situationen, är problemet igen i en slarvig inställning till problemen med informationssäkerhet.

Chefen för Avast-viruslaboratoriet, Yakub Kroustek, sa i en intervju med Gazeta.Ru att det är omöjligt att fastställa vem som exakt står bakom denna cyberattack, men det är redan känt att Petya-viruset sprider sig på mörkret med RaaS-affärsmodellen (skadlig programvara som en tjänst).

"Så når andelen programdistributörer 85% av lösen, 15% går till författarna av ransomware-viruset," sade Krustek. Han noterade att författarna till Petya tillhandahåller hela infrastrukturen, C & C-servrar och pengaröverföringssystem, vilket hjälper till att locka människor att sprida viruset, även om de inte har programmeringserfarenhet.

Dessutom berättade Avast vilken operativsystem mest drabbade av viruset.

Först var Windows 7 - 78% av alla infekterade datorer. Följande är Windows XP (18%), Windows 10 (6%) och Windows 8.1 (2%).

Kaspersky Lab ansåg att även om viruset liknar Petya-familjen, tillhör det fortfarande en annan kategori och gav det ett annat namn - ExPetr, det vill säga "fd Peter".

Aidekos biträdande utvecklingsdirektör Dmitry Khomutov förklarade till Gazeta.Ru att cyberattackerna från WannaCry- och Petya-virusen ledde till "vad han hade varnat för länge", det vill säga den globala sårbarheten för allmänt använda informationssystem.

"Smutthål som amerikanska företag lämnade till underrättelsebyråer blev tillgängliga för hackare och korsades snabbt med det traditionella arsenal av cyberbrottslingar - kryptografer, botnetklienter och nätverksmaskar," sa Khomutov.

Således lärde WannaCry praktiskt taget inte världssamhället någonting - datorer förblev oskyddade, system uppdaterades inte och ansträngningarna att släppa patchar även för föråldrade system var helt enkelt förgäves.

Experter uppmanar att inte betala erforderligt lösen i bitcoins, eftersom den e-postadress som hackarna lämnade för kommunikation blockerades av den lokala leverantören. Således, även i fallet med "ärliga och goda avsikter" för cyberbrottslingar, kommer användaren inte bara att förlora pengar utan kommer inte heller att få instruktioner för att låsa upp hans data.

Framför allt skadade Petya Ukraina. Bland offren var Zaporizhiaoblenergo, Dneproenergo, Kiev Metro, ukrainska mobiloperatörer Kyivstar, LifeCell och Ukrtelecom, Auchan-butiken, Privatbank, Boryspil flygplats och andra.

De ukrainska myndigheterna anklagade omedelbart Ryssland för en cyberattack.

”Ett krig i cyberspace som sprider rädsla och skräck bland miljoner användare personliga datorer och att orsaka direkt materiell skada på grund av destabiliseringen av arbetet för företag och myndigheter, är en del av den övergripande strategin för det ryska imperiets hybridkrig mot Ukraina, ”sade Radas suppleant från folkfronten.

Ukraina kan drabbas mer än andra på grund av den första spridningen av Petya genom automatisk uppdatering M.E.doc - redovisningsprogramvara. Det är exakt hur de ukrainska avdelningarna, infrastrukturen och kommersiella företagen smittades - de använder alla den här tjänsten.

Presstjänsten för ESET Ryssland "Gazeta.ru" förklarade att för att infektera Petya-virus i ett företagsnätverk är det bara en sårbar dator där säkerhetsuppdateringar inte är installerade räcker. Med sin hjälp går det skadliga programmet in i nätverket, får administratörsrättigheter och sprider sig till andra enheter.

Men M.E.doc har officiellt förnekat denna version.

”Diskussion om källorna till uppkomsten och spridningen av cyberattacker bedrivs aktivt av användare i sociala nätverk, forum och andra informationsresurser, i den ordalydelse som ett av orsakerna indikerar installationen av uppdateringar till M.E.Doc-programmet. M.E.Doc-utvecklingsgruppen motbevisar denna information och säger att sådana slutsatser är uppenbart felaktiga, eftersom M.E.Doc-utvecklaren, som en ansvarsfull leverantör mjukvaruproduktövervakar säkerheten och renheten för sin egen kod, ”står det i uttalandet.

Petya-virus: hur man inte fångar, hur man dechiffrerar var den kom ifrån - de senaste nyheterna om Petya ransomware-viruset, som den tredje dagen av sin "aktivitet" drabbade cirka 300 tusen datorer i olika länder i världen, och hittills har ingen stoppat det.

Petya-virus - hur man dekrypterar, de senaste nyheterna. Efter attacken på datorn kräver skaparna av Petya ransomware en lösen på 300 $ (i bitcoins), men det finns inget sätt att dekryptera Petya-viruset, även om användaren betalar pengarna. Kaspersky Lab-specialister, som upptäckte skillnaderna från Petya i det nya viruset och kallade det ExPetr, hävdar att en unik identifierare för en specifik trojansk installation krävs för dekryptering.

I tidigare kända versioner av liknande ransomware Petya / Mischa / GoldenEye innehöll installationsidentifieraren nödvändig information för detta. För ExPetr är denna identifierare inte - skriver RIA Novosti.

Petya-virus - var det kom ifrån, de senaste nyheterna. Tyska säkerhetsexperter lade fram den första versionen, varifrån denna kryptograf tog sin väg. Enligt dem började Petya-viruset gå på datorer genom att öppna M.E.Doc-filerna. Detta är ett ekonomiskt rapporteringsprogram som används i Ukraina efter förbudet mot 1C.

Samtidigt säger Kaspersky Lab att det är för tidigt att dra slutsatser om ursprunget och källan till spridningen av ExPetr-viruset. Det är möjligt att angriparna hade omfattande uppgifter. Till exempel en e-postadress från en tidigare e-postlista eller något annat effektivt sätt att penetrera datorer.

Med deras hjälp föll också "Petya" -viruset med all sin kraft till Ukraina och Ryssland, liksom andra länder. Men den verkliga omfattningen av denna hackerattack kommer att vara tydlig om några dagar, rapporterar.

Petya-virus: hur man inte fångar, hur man dekrypterar, var det kom ifrån - senaste nyheterna om Petya ransomware-virus, som redan har fått ett nytt namn i Kaspersky Lab - ExPetr.

Storbritannien, USA och Australien anklagar Ryssland officiellt för att ha distribuerat NotPetya

Den 15 februari 2018 utfärdade UK Foreign Office ett officiellt uttalande där de anklagade Ryssland för att ha organiserat en cyberattack med NotPetya ransomware virus.


Enligt de brittiska myndigheterna visade denna attack ytterligare försummelse av Ukrainas suveränitet, och som ett resultat av dessa hänsynslösa åtgärder stördes arbetet för många organisationer i hela Europa, vilket resulterade i förluster på flera miljoner dollar.


Ministeriet noterade att slutsatsen om den ryska regeringens och Kremlns engagemang i en cyberattack gjordes på grundval av slutsatsen från Storbritanniens nationella cybersäkerhetscenter, som "nästan helt är säker på att den ryska militären står bakom NotPetya-attacken." uttalandet sade att dess allierade inte skulle tolerera skadlig cyberaktivitet.

Enligt Angus Taylor, Australiens statssekreterare för brottsbekämpning och cybersäkerhet, baserat på data från de australiska underrättelsetjänsterna, samt samråd med USA och Storbritannien, drog den australiensiska regeringen slutsatsen att angripare som stöds av den ryska regeringen bär ansvaret för händelsen. "Den australiensiska regeringen fördömer Rysslands beteende, som utgör allvarliga risker för den globala ekonomin, statliga verksamheter och tjänster, affärsaktiviteter och individers säkerhet och välbefinnande," lyder uttalandet.

Kreml, som tidigare upprepade gånger förnekat alla ryska myndigheters inblandning i hackerattacker, kallade uttalandet från det brittiska utrikesministeriet som en del av ”Russophobic-kampanjen”

Monument "Här ligger datavirus Petya besegrad av människor den 27/07/2017"

Monumentet till datavirus Petya installerades i december 2017 nära byggnaden av Skolkovo Technopark. Två meter stort monument med inskriptionen: "Här ligger datavirus Petya besegrad av människor den 27/07/2017." tillverkad i form av en biten hårddisk, skapades med stöd av INVITRO, bland andra företag som drabbats av effekterna av den enorma cyberattacken. En robot med namnet Nude, som arbetar på PhysTechPark och (MIT), kom speciellt till ceremonin för att hålla ett högtidligt tal.

Attack på Sevastopols regering

Specialister från huvudavdelningen för information och kommunikation i Sevastopol avbröt framgångsrikt attacken av Petya-nätverket ransomware-virus på den regionala regeringens servrar. Detta tillkännagavs den 17 juli 2017 på hårdvarumötet i regeringen i Sevastopol av chefen för informationsavdelningen Denis Timofeev.

Han uppgav att Petya-skadlig kod inte hade någon effekt på de data som lagrats på datorer i myndigheter Sevastopol.


Fokus på användning av fri programvara är inbäddat i konceptet om informatisering av Sevastopol, som godkändes 2015. Det indikerar att vid upphandling och utveckling av basprogramvara, såväl som programvara för informationssystem för automatisering, är det tillrådligt att analysera möjligheten att använda gratisprodukter för att minska budgetkostnaderna och minska beroendet av leverantörer och utvecklare.

Tidigare, i slutet av juni, som en del av en storskalig attack på det medicinska företaget Invitro, påverkades också en filial av sin filial i Sevastopol. På grund av datornätverkets nederlag avbröts filialen tillfälligt utfärdandet av testresultat tills skälen eliminerades.

Invitro tillkännager suspension av testning på grund av cyberattack

Det medicinska företaget Invitro avbröt insamlingen av biomaterial och utfärdandet av resultaten från patientanalyser på grund av en hackerattack den 27 juni. Detta tillkännagavs till RBC av chef för företagskommunikation för företaget Anton Bulanov.

Enligt företaget kommer ”Invitro” inom en snar framtid att gå i normal drift. Resultaten av studier som genomförts senare än den här tiden kommer att levereras till patienter efter eliminering av ett tekniskt fel. För tillfället har laboratorieinformationssystemet återställts, processen med att installera det pågår. ”Vi beklagar den nuvarande force majeure-situationen och tackar våra kunder för deras förståelse,” avslutade Invitro.

Enligt denna attack datorvirus Kliniker i Ryssland, Vitryssland och Kazakstan drabbades.

Attack på Gazprom och andra olje- och gasföretag

Den 29 juni 2017 blev Gazprom medveten om en global cyberattack på datorsystem. Således påverkades ett annat ryskt företag av Petya ransomware-virus.

Enligt en Reuters-nyhetsbyrå, som citerar en källa i den ryska regeringen och den person som var inblandad i utredningen, led Gazprom från spridningen av skadlig kod från Petya, som attackerade datorer i mer än 60 länder världen över.

Samtalspartnerna till publikationen gav inte detaljer om hur många och vilka system som var infekterade vid Gazprom, liksom om mängden skador orsakade av hackare. Företaget vägrade att kommentera på Reuters begäran.

Samtidigt berättade en äldre RBC-källa vid Gazprom till tidningen att datorerna i företagets centrala kontor fungerade utan avbrott när en storskalig hackerattack började (27 juni 2017) och fortsatte två dagar senare. Ytterligare två källor till RBC i Gazprom försäkrade också att företaget "allt är lugnt" och att det inte finns några virus.

Inom olje- och gassektorn påverkades Bashneft och Rosneft av Petya-viruset. Den senare sa den 28 juni att företaget fungerade normalt och ”individuella problem” löstes snabbt.

Banker och industri

Det blev känt om infektionen av datorer i Evraz, den ryska filialen av Royal Canin (producerar en mögel för djur) och den ryska divisionen Mondelez (en producent av choklad Alpen Gold och Milka).

Enligt Ukraines inrikesministerium publicerade en man på videodelningssidor och sociala nätverk en video med detaljerad beskrivning processen att lansera ransomware på datorer. I kommentarerna till videon publicerade mannen en länk till sin sida på det sociala nätverket som han laddade ner skadlig programvara. Under sökningar i hackarens lägenhet konfiskerade polisen den datorutrustning som användes för att distribuera NotPetya. Polisen hittade också filer med skadlig kod, efter analys av vilken det bekräftades att det liknade NotPetya ransomware. Som cyberpoliser etablerade laddades nedpressningsprogrammet, en länk till vilket publicerades av en Nikopolitan, 400 gånger av användare av det sociala nätverket.

Bland de brottsbekämpande myndigheterna som laddade ner NotPetya identifierades företag som avsiktligt infekterade sina system med utpressningsprogramvara för att dölja brottslig verksamhet och undvika statliga böter. Det är värt att notera att polisen inte kopplar samman mannens aktiviteter med hackerattacker den 27 juni i år, det vill säga att han inte talar om något engagemang med författarna till NotPetya. De handlingar som tillskrivs honom avser endast handlingar som begicks i juli i år - efter en våg av storskaliga cyberattacker.

Ett brottmål har väckts mot en man enligt del 1 i art. 361 (obehörig inblandning i drift av en dator) av Ukrainas strafflagar. Nikopolchanin står inför upp till 3 års fängelse.

Sprid över hela världen

Spridningen av Petya ransomware-virus har rapporterats i Spanien, Tyskland, Litauen, Kina och Indien. Till exempel på grund av ett skadligt program i Indien, tekniken för att hantera lastflödet i containerhamnen uppkallad efter Jawaharlal Nehru, som drivs av A.P. Moller-Maersk upphörde att erkänna ägandet av varor.

Cyberattacken rapporterades av den brittiska reklamgruppen WPP, det spanska representantkontoret för ett av världens största advokatbyråer DLA Piper och matjätten Mondelez. Bland offren är också den franska tillverkaren av byggmaterial Cie. de Saint-Gobain och läkemedelsföretaget Merck & Co.

Merck

Den amerikanska farmaceutiska jätten Merck, allvarligt skadad till följd av attacken i juni av NotPetya ransomware-virus, kan fortfarande inte återställa alla system och återgå till normal drift. Detta rapporterades i företagets rapport i form av 8-K, överlämnat till US Securities and Exchange Commission (SEC) i slutet av juli 2017. Fler detaljer.

Moller-Maersk och Rosneft

Den 3 juli 2017 blev det känt att den danska sjöfartsgiganten Moller-Maersk och Rosneft återställde IT-system infekterade med Petya ransomware bara nästan en vecka efter attacken den 27 juni.


Rederiet Maersk, som står för varje sjunde sjöfartcontainer i världen, tilllade också att alla 1 500 applikationer som drabbats av cyberattacken kommer att återgå till heltid senast den 9 juli 2017.

De IT-system som ägs av Maersk, APM Terminals, som hanterar dussintals lasthamnar och containerterminaler i mer än 40 länder, påverkades främst. Över 100 tusen lastbehållare passerar APM Terminals hamnar per dag, deras arbete var helt förlamat på grund av virusets spridning. Maasvlakte II-terminalen i Rotterdam återställde leveranser den 3 juli.

16 augusti 2017 A.P. Moller-Maersk utnämnde den ungefärliga mängden skador från cyberattacker med Petya-viruset, vars infektion, som anges i det europeiska företaget, passerade det ukrainska programmet. Enligt preliminära uppskattningar från Maersk varierade de ekonomiska förlusterna från Petya-kryptografens åtgärder under andra kvartalet 2017 från 200 till 300 miljoner dollar.

Under tiden tog Rosneft nästan en vecka att återställa datorsystem från en hackerattack, som företagets presstjänst berättade för Interfax den 3 juli:


Några dagar tidigare betonade Rosneft att det ännu inte gjordes för att utvärdera konsekvenserna av ett cyberattack, men produktionen påverkades inte.

Princip för operation Petya

Faktum är att offren för viruset inte kan låsa upp sina filer efter infektion. Faktum är att dess skapare inte gav någon sådan möjlighet alls. Det vill säga en krypterad disk a priori kan inte dekrypteras. Malware-identifieraren innehåller inte den information som är nödvändig för dekryptering.

Ursprungligen rankade experter viruset, som infekterade cirka två tusen datorer i Ryssland, Ukraina, Polen, Italien, Tyskland, Frankrike och andra länder, som den redan kända Petya-ransomware-familjen. Det visade sig dock att det här är en ny familj av skadlig programvara. Kaspersky Lab kallade den nya ExPetr-ransomware.

Hur man slåss

Kampen mot cyberhot kräver kombinerade insatser från banker, IT-företag och staten

Positiv teknik Data Recovery Method

Den 7 juli 2017 introducerade Positive Technologies-experten Dmitry Sklyarov en metod för att återställa data som är krypterat med NotPetya-viruset. Enligt experten är metoden tillämplig om NotPetya-viruset hade administrativa behörigheter och krypterade hela disken.

Möjligheten för dataåterhämtning är förknippad med fel i implementeringen av Salsa20-krypteringsalgoritmen gjord av angriparna själva. Metodens prestanda testades både på ett testmedium och på en av de krypterade hårddiskarna stort företag, som var bland offren för epidemin.

Företag och oberoende utvecklare som specialiserat sig på dataåterställning är fria att använda och automatisera det presenterade dekrypteringsscenariot.

Resultaten av utredningen har redan bekräftats av ukrainska cyberpoliser. Resultaten av utredningen kommer att användas av Yuskutum som nyckelbevis i en framtida rättegång mot Intellektstjänsten.

Processen kommer att vara civil av natur. Oberoende utredning genomförs av Ukrainas brottsbekämpande organ. Deras företrädare har tidigare uttalat möjligheten att inleda förfaranden mot intellektuella tjänstemän.

Företaget M.E.Doc meddelade att det som hände var ett försök att plundra företaget. Tillverkaren av den enda populära ukrainska bokföringsprogramvaran anser att sökningen i företaget som utförs av den ukrainska cyberpolisen har blivit en del av genomförandet av denna plan.

Initial infektionsvektor för Petya-krypterare

Den 17 maj släpptes M.E.Doc-uppdateringen, som inte innehåller en skadlig bakdörrsmodul. Kanske kan detta förklara det relativt lilla antalet XData-infektioner, tror företaget. Angriparna förväntade sig inte att uppdateringen skulle släppas den 17 maj och lanserade kodaren den 18 maj, då de flesta användare redan hade lyckats installera den säkra uppdateringen.

Bakdörren låter dig ladda ner och köra annan skadlig programvara på det infekterade systemet - det var den första infektionen med Petya och XData-krypterare. Dessutom samlar programmet proxyserver och e-postinställningar, inklusive inloggningar och lösenord från M.E.Doc-applikationen, samt företagskoder från EDRPOU (Unified State Register of Enterprises and Organisations of Ukraine), som möjliggör identifiering av offer.

"Vi har ett antal frågor att svara på," sade Anton Cherepanov, senior virusanalytiker på Eset. - Hur länge har bakdörren använts? Vilka andra kommandon och skadlig kod än Petya och XData skickades via den här kanalen? Vilka andra infrastrukturer har du äventyrat, men har ännu inte använt cybergruppen bakom denna attack? ”

Baserat på en uppsättning tecken, inklusive infrastruktur, skadliga verktyg, scheman och mål för attacker, etablerade Eset-experter en koppling mellan Diskcoder.C (Petya) -epidemin och Telebots cybergrupp. Det har ännu inte lyckats fastställa vem som står bakom denna grupps verksamhet.