Petya petya nasıl bir virüstür kendini nasıl gösterir. Apparat - Yeni Toplum Dergisi

İngiltere, ABD ve Avustralya, Rusya'yı NotPetya'yı yaymakla resmen suçladı

15 Şubat 2018'de İngiltere Dışişleri Bakanlığı, Rusya'yı NotPetya fidye yazılımı virüsünü kullanarak bir siber saldırı düzenlemekle suçlayan resmi bir açıklama yaptı.

İngiliz yetkililere göre, saldırı Ukrayna'nın egemenliğine daha fazla saygısızlık olduğunu gösterdi ve bu pervasız eylemlerin bir sonucu olarak, Avrupa'daki birçok örgütün çalışması kesintiye uğradı ve milyonlarca dolarlık kayıplara yol açtı.

Bakanlık, Rus hükümeti ve Kremlin'in siber saldırıya müdahil olduğuna ilişkin sonucun, "Rus ordusunun arkasında olduğuna neredeyse tamamen ikna olan Birleşik Krallık Ulusal Siber Güvenlik Merkezi"nin sonucuna dayanarak yapıldığını kaydetti. NotPetya saldırısı." Açıklamada, müttefiklerinin kötü niyetli siber faaliyetlere müsamaha göstermeyecekleri belirtildi.

Daha önce defalarca Rus yetkililerin hacker saldırılarına karıştığını reddeden Kremlin, İngiliz Dışişleri Bakanlığı'nın açıklamasını "Rus düşmanı bir kampanyanın" parçası olarak nitelendirdi.

Anıt "İşte 27.06.2017 tarihinde insanlar tarafından mağlup edilen bilgisayar virüsü Petya yatıyor"

Petya bilgisayar virüsü için bir anıt Aralık 2017'de Skolkovo Teknoparkı yakınında dikildi. Yazıtlı iki metre yüksekliğindeki bir anıt: "İşte 27.06.2017'de insanlar tarafından mağlup edilen Petya bilgisayar virüsü yatıyor." ısırılmış bir sabit disk şeklinde yapılan, büyük bir siber saldırının sonuçlarından zarar gören diğer şirketler arasında INVITRO şirketinin desteğiyle oluşturuldu. Törene Phystech Park'ta ve (MIT) çalışan Nu isimli bir robot konuşma yapmak için geldi.

Sivastopol hükümetine saldırı

Sivastopol Enformasyon ve İletişim Ana Müdürlüğü uzmanları, ağ fidye yazılımı Petya'nın bölgesel hükümetin sunucularına saldırısını başarıyla püskürttü. Bilgilendirme dairesi başkanı Denis Timofeev bunu 17 Temmuz 2017'de Sivastopol hükümetinin bir cihaz toplantısında duyurdu.

Petya kötü amaçlı yazılımının, bilgisayarlarda depolanan verilere hiçbir etkisinin olmadığını belirtti. devlet kurumları Sivastopol.

Ücretsiz yazılımın kullanımına yönelik odak, 2015 yılında onaylanan Sivastopol'un bilgilendirilmesi konseptinde belirtilmiştir. Temel yazılımların yanı sıra otomasyon için bilgi sistemleri yazılımlarının satın alınması ve geliştirilmesinde, bütçe maliyetlerini azaltacak ve tedarikçilere ve geliştiricilere bağımlılığı azaltacak ücretsiz ürünlerin kullanım olasılığının analiz edilmesinin tavsiye edildiğini belirtir.

Daha önce, Haziran ayının sonunda, tıp şirketi "Invitro"ya yapılan büyük çaplı saldırının bir parçası olarak, Sivastopol'daki şubesi de zarar gördü. Virüsün yenilmesi nedeniyle bilgisayar ağışube, sebeplerin ortadan kaldırılmasına kadar test sonuçlarının açıklanmasını geçici olarak askıya aldı.

"Invitro", siber saldırı nedeniyle test almanın askıya alındığını duyurdu

Tıbbi şirket "Invitro", 27 Haziran'daki bir bilgisayar korsanı saldırısı nedeniyle biyomateryal toplanmasını ve hasta test sonuçlarının yayınlanmasını askıya aldı. Anton Bulanov şirketinin kurumsal iletişim direktörü RBC'ye bundan bahsetti.

Şirketin mesajına göre, yakın gelecekte "Invitro" normal çalışmaya başlayacak. Bu süreden sonra yapılan çalışmaların sonuçları teknik arıza giderildikten sonra hastalara iletilecektir. Açık şu an laboratuvar Bilgi sistemi geri yüklendi, kurulum süreci devam ediyor. “Invitro”da “Mevcut mücbir sebep durumundan dolayı üzgünüz ve müşterilerimize anlayışları için teşekkür ediyoruz” dedi.

Bu bilgilere göre Rusya, Beyaz Rusya ve Kazakistan'daki klinikler bir bilgisayar virüsü saldırısına uğradı.

Gazprom ve diğer petrol ve gaz şirketlerine saldırı

29 Haziran 2017'de Gazprom'un bilgisayar sistemlerine yönelik küresel bir siber saldırı olduğu öğrenildi. Böylece, başka bir Rus şirketi Petya fidye yazılımı virüsünden zarar gördü.

Reuters haber ajansına göre, Rus hükümetinden bir kaynağa ve olayla ilgili soruşturmaya dahil olan bir kişiye atıfta bulunarak, Gazprom toplamda 60'tan fazla ülkedeki bilgisayarlara saldıran Petya kötü amaçlı yazılımının yayılmasından zarar gördü.

Gazetenin muhatapları, Gazprom'da kaç tane ve hangi sisteme bulaştığının yanı sıra bilgisayar korsanlarının neden olduğu hasarın miktarı hakkında bilgi vermedi. Şirket, Reuters'in talebi üzerine yorum yapmaktan kaçındı.

Bu arada Gazprom'daki üst düzey bir RBC kaynağı, yayına, büyük hacker saldırısı başladığında (27 Haziran 2017) şirket merkezindeki bilgisayarların kesintisiz çalıştığını ve iki gün sonra devam ettiğini söyledi. Gazprom'daki iki RBC kaynağı daha şirkette “her şeyin sakin olduğunu” ve virüs bulunmadığını garanti etti.

Petrol ve gaz sektöründe Petya virüsü Bashneft ve Rosneft'i etkiledi. İkincisi, 28 Haziran'da şirketin normal şekilde çalıştığını ve “bireysel sorunların” derhal çözüldüğünü duyurdu.

Bankalar ve endüstri

Evraz'daki bilgisayarların enfeksiyonu, Royal Canin'in Rus bölümü (hayvanlar için üniforma üretiyor) ve Mondelez'in Rus bölümü (Alpen Gold ve Milka çikolatası üreticisi) hakkında bilgi sahibi oldu.

Ukrayna İçişleri Bakanlığı'na göre, bir adam dosya paylaşım sitelerinde ve sosyal ağlarda bir video yayınladı. Detaylı Açıklama bilgisayarlarda fidye yazılımı başlatma süreci. Videoya yapılan yorumlarda, adam kendi sayfasına bir bağlantı gönderdi. sosyal ağ, üzerine kötü amaçlı yazılımı indirdim. "Hacker" dairesinde yapılan aramalarda, kolluk kuvvetleri ele geçirdi bilgisayar Teknolojisi NotPetya'yı dağıtmak için kullanılır. Polis ayrıca, analizlerinin ardından NotPetya fidye yazılımına benzediği doğrulanan kötü amaçlı yazılım içeren dosyalar da buldu. Siber polis memurları tarafından belirlendiği üzere, Nikopol sakini tarafından bağlantısı yayınlanan fidye yazılımı programı, sosyal ağ kullanıcıları tarafından 400 kez indirildi.

NotPetya'yı indirenler arasında, kolluk kuvvetleri, suç faaliyetlerini gizlemek ve hükümet cezalarından kaçınmak için sistemlerine kasten fidye yazılımı bulaştıran şirketleri belirledi. Polisin, adamın faaliyetlerini bu yılın 27 Haziran'ındaki hacker saldırıları ile ilişkilendirmediğini, yani NotPetya'nın yazarlarına herhangi bir müdahalenin söz konusu olmadığını belirtmekte fayda var. Kendisine atfedilen eylemler, yalnızca bu yılın Temmuz ayında - bir büyük ölçekli siber saldırı dalgasından sonra - işlenen eylemlerle ilgilidir.

Sanatın 1. Bölümü uyarınca adama karşı bir ceza davası açıldı. Ukrayna Ceza Kanunu'nun 361'i (bilgisayarlara yetkisiz müdahale). Nikopolchanin 3 yıla kadar hapis cezasıyla karşı karşıya.

Dünyadaki dağıtım

Petya fidye yazılımı virüsünün yayılımı İspanya, Almanya, Litvanya, Çin ve Hindistan'da kaydedildi. Örneğin, Hindistan'daki kötü amaçlı yazılım nedeniyle, A.P. tarafından işletilen Jawaharlal Nehru konteyner limanının trafik kontrol teknolojisi. Moller-Maersk, kargo sahipliğini tanımayı bıraktı.

Siber saldırı, dünyanın en büyük hukuk firmalarından biri olan DLA Piper'ın İspanyol ofisi olan İngiliz reklam grubu WPP ve gıda devi Mondelez tarafından bildirildi. Fransız inşaat malzemeleri üreticisi Cie de kurbanlar arasındaydı. de Saint-Gobain ve ilaç şirketi Merck & Co.

Merck

Haziran NotPetya fidye yazılımı saldırısından kötü şekilde etkilenen Amerikan ilaç devi Merck, hala tüm sistemleri geri yükleyemiyor ve normal çalışmasına geri dönemiyor. Bu, şirketin Temmuz 2017 sonunda ABD Menkul Kıymetler ve Borsa Komisyonu'na (SEC) sunduğu 8-K raporunda bildirildi. Daha fazla detay.

Moller-Maersk ve Rosneft

3 Temmuz 2017'de Danimarkalı nakliye devi Moller-Maersk ve Rosneft'in enfekte olanları restore ettiği biliniyordu. Petya fidye yazılımı virüsü Bilişim sistemleri 27 Haziran'da gerçekleşen saldırının üzerinden neredeyse bir hafta geçmiş durumda.

Dünya çapında sevk edilen her yedi yük konteynerinden birini oluşturan nakliye şirketi Maersk, siber saldırıdan etkilenen 1.500 uygulamanın tamamının geri döneceğini de sözlerine ekledi. her zamanki iş en fazla 9 Temmuz 2017'ye kadar.

Hasarın çoğu, 40'tan fazla ülkede düzinelerce kargo limanı ve konteyner terminali işleten Maersk'in APM Terminallerinin BT sistemlerine verildi. Virüsün yayılması nedeniyle işleri tamamen felç olan APM Terminalleri'nin limanlarından günde 100 binden fazla kargo konteyneri geçiyor. Rotterdam'daki Maasvlakte II terminali, 3 Temmuz'da teslimatlara yeniden başladı.

16 Ağustos 2017'de A.P. Moller-Maersk, enfeksiyonu Avrupa şirketinde belirtildiği gibi Ukrayna programından geçen Petya virüsünü kullanan bir siber saldırıdan kaynaklanan yaklaşık hasar miktarını belirledi. Maersk tarafından yapılan ön hesaplamalara göre, 2017 yılının ikinci çeyreğinde Petya fidye yazılımının işletilmesinden kaynaklanan mali kayıplar 200 milyon dolar ile 300 milyon dolar arasında değişiyordu.

Bu arada, iyileşmek için neredeyse bir hafta bilgisayar sistemleriŞirketin basın servisinin 3 Temmuz'da Interfax'a bildirdiği üzere, Rosneft'in hacker saldırısından da sorumlu tutulması gerekiyordu:

Birkaç gün önce Rosneft, siber saldırının sonuçlarını değerlendirmeyi henüz üstlenmediğini ancak üretimin zarar görmediğini vurguladı.

Petya nasıl çalışır?

Gerçekten de, virüsün kurbanları, enfeksiyondan sonra dosyalarının kilidini açamazlar. Gerçek şu ki, yaratıcıları böyle bir olasılığı hiç öngörmedi. Yani, şifrelenmiş bir diskin şifresi önceden çözülemez. Kötü amaçlı yazılım tanımlayıcısında şifre çözme için gerekli bilgiler eksik.

Başlangıçta uzmanlar, Rusya, Ukrayna, Polonya, İtalya, Almanya, Fransa ve diğer ülkelerdeki yaklaşık iki bin bilgisayara bulaşan virüsü, zaten iyi bilinen Petya fidye yazılımı ailesine sıraladı. Ancak, yeni bir kötü amaçlı yazılım ailesinden bahsettiğimiz ortaya çıktı. Kaspersky Lab vaftiz edildi yeni fidye yazılımı ExPetr.

nasıl dövüşülür

Siber Tehditlerle Mücadele Bankaların, BT İşletmelerinin ve Devletin Çabalarını Birleştirmeyi Gerektiriyor

Positive Technologies'den veri kurtarma yöntemi

7 Temmuz 2017'de Positive Technologies uzmanı Dmitry Sklyarov, NotPetya virüsü tarafından şifrelenen verileri kurtarmak için bir yöntem sundu. Uzmana göre, NotPetya virüsünün yönetici ayrıcalıklarına sahip olması ve tüm diski şifrelemesi durumunda yöntem uygulanabilir.

Veri kurtarma olasılığı, saldırganların kendileri tarafından yapılan Salsa20 şifreleme algoritmasının uygulanmasındaki hatalarla ilişkilidir. Yöntemin etkinliği hem bir test ortamında hem de şifreli ortamlardan birinde test edilmiştir. sabit sürücüler Salgının kurbanları arasında yer alan büyük bir şirket.

Veri kurtarma şirketleri ve ISV'ler, sağlanan şifre çözme komut dosyasını kullanmakta ve otomatikleştirmekte özgürdür.

Soruşturmanın sonuçları zaten Ukrayna siber polisini doğruladı. Juscutum, soruşturmanın bulgularını Intellect-Service'e karşı gelecekteki süreçte kilit kanıt olarak kullanmayı planlıyor.

Süreç sivil olacak. Ukrayna kolluk kuvvetleri tarafından bağımsız bir soruşturma yürütülüyor. Temsilcileri daha önce Intellect-Service çalışanlarına karşı dava açma olasılığını açıklamıştı.

M.E.Doc'un kendisi, olanın şirkete baskın yapma girişimi olduğunu belirtti. Tek popüler Ukraynalı muhasebe yazılımının üreticisi, Ukrayna siber polisi tarafından şirkette yürütülen aramanın bu planın uygulanmasının bir parçası olduğuna inanıyor.

Petya şifreleyici ile ilk enfeksiyon vektörü

17 Mayıs'ta kötü amaçlı arka kapı modülünü içermeyen bir M.E.Doc güncellemesi yayınlandı. Şirket, bunun muhtemelen nispeten düşük sayıda XData bulaşmasını açıkladığını düşünüyor. Saldırganlar, güncellemenin 17 Mayıs'ta yayınlanmasını beklemiyorlardı ve çoğu kullanıcının güvenli güncellemeyi zaten yüklediği 18 Mayıs'ta şifreleyiciyi başlattı.

Arka kapı, diğer kötü amaçlı yazılımların virüslü sistemde indirilmesine ve çalıştırılmasına izin verir - Petya ve XData şifreleyicileriyle ilk enfeksiyon bu şekilde gerçekleştirildi. Buna ek olarak, program, M.E.Doc uygulamasındaki oturum açma bilgileri ve şifreler dahil olmak üzere proxy sunucu ayarlarını ve e-postaları ve ayrıca kurbanların belirlenmesine izin veren EDRPOU'ya (Ukrayna Birleşik Devlet Teşebbüsleri ve Kuruluşları Kaydı) göre şirket kodlarını toplar.

Eset'in kıdemli virüs analisti Anton Cherepanov, "Cevaplamamız gereken birkaç sorumuz var" dedi. - Arka kapı ne kadar süredir kullanılıyor? Bu kanal üzerinden Petya ve XData dışında hangi komutlar ve kötü amaçlı yazılımlar gönderildi? Bu saldırının arkasındaki siber grup tarafından başka hangi altyapılar tehlikeye atıldı, ancak henüz istismar edilmedi?"

Eset uzmanları, altyapı, kötü amaçlı araçlar, planlar ve saldırı hedefleri de dahil olmak üzere bir dizi işarete dayanarak Diskcoder.C (Petya) salgını ile Telebots siber grubu arasında bir bağlantı kurdu. Bu grubun faaliyetlerinin arkasında kimlerin olduğunu güvenilir bir şekilde belirlemek henüz mümkün olmadı.

Tünaydın arkadaşlar. Son zamanlarda, virüsü analiz ettik. WannaCry fidye yazılımı Birkaç saat içinde dünyanın birçok ülkesine yayılan ve birçok bilgisayara bulaşan . Ve Haziran sonunda, yeni, benzer bir virüs "Petya" ortaya çıktı. Veya en çok "Petya" olarak adlandırıldığı gibi.

Bu virüsler fidye yazılımı Truva atlarıdır ve oldukça benzerdir, ancak kendi farklılıkları ve ayrıca önemli olanları vardır. Resmi verilere göre Petya, önce Ukrayna'da yeterli sayıda bilgisayara bulaştı ve ardından dünya çapındaki yolculuğuna başladı.

İsrail, Sırbistan, Romanya, İtalya, Macaristan, Polonya ve diğerlerinin bilgisayarları etkilendi.Rusya bu listede 14. sırada yer alıyor. Ardından virüs diğer kıtalara yayıldı.

Temel olarak, virüsün kurbanları büyük şirketler(genellikle petrol), havaalanları, şirketler hücresel vb., örneğin, Bashneft, Rosneft, Mars, Nestlé ve diğerleri acı çekti. Başka bir deyişle, siber suçlular, para alabilecekleri büyük şirketleri hedef alır.

Petya nedir?

Petya bir Truva atı fidye yazılımıdır. Bu tür zararlılar, PC'de bulunan bilgileri şifreleyerek virüslü bilgisayar sahiplerine şantaj yapmak amacıyla oluşturulur. Petya'nın virüsü, WannaCry'den farklı olarak şifreleme yapmıyor ayrı dosyalar... Bu Truva atı tüm sürücüyü şifreler. Bu, WannaCry virüsünden daha büyük bir tehlikedir.

Petya bilgisayara vurduğunda MFT'yi çok hızlı bir şekilde şifreliyor. Daha açık hale getirmek için, bir benzetme yapalım. Dosyaları büyük bir şehir kütüphanesiyle karşılaştırırsanız, kataloğunu kaldırır ve bu durumda doğru kitabı bulmak çok zordur.

Hatta sadece bir dizin değil, farklı kitaplardan sayfaları (dosyaları) karıştırır. Tabii ki, sistem bu durumda başarısız olur. Bir sistemin bu tür çöpleri ayıklaması çok zordur. Haşere bilgisayara çarptığında, bilgisayarı yeniden başlatır ve yüklendikten sonra kırmızı bir kafatası belirir. Ardından, herhangi bir düğmeye tıkladığınızda, bir Bitcoin hesabına 300 $ ödeme teklifini içeren bir afiş görünür.

Petya'nın virüsü nasıl yakalanmaz

Petya'yı Kim Yaratabilir? Bu sorunun henüz bir cevabı yok. Ve genel olarak, yazarın kurulup kurulmayacağı belli değil (büyük olasılıkla değil)? Ancak sızıntının ABD kaynaklı olduğu biliniyor. Virüs, WannaCry gibi, işletim sisteminde bir delik arar. Bu deliği yamalamak için MS17-010 güncellemesini yüklemek yeterlidir (birkaç ay önce WannaCry saldırısı sırasında yayınlandı). Buradan indirebilirsiniz. Veya resmi Microsoft web sitesinden.

Şu anda, bu güncelleme bilgisayarınızı korumanın en uygun yoludur. Ayrıca şunu da unutmayın iyi antivirüs... Üstelik Kaspersky Lab, bu virüsü engelleyen bir veritabanı güncellemesine sahip olduklarını duyurdu.

Ancak bu, Kaspersky'yi yüklemeniz gerektiği anlamına gelmez. Antivirüsünüzü kullanın, veritabanlarını güncellemeyi unutmayın. Ayrıca, iyi bir güvenlik duvarını da unutmayın.

Petya virüsü nasıl yayılır?

Çoğu zaman, Petya bilgisayara girer e-posta... Bu nedenle Petya virüsünün kuluçka döneminde, özellikle yabancılarda mektuplarda çeşitli bağlantılar açmamalısınız. Genel olarak, yabancılardan gelen bağlantıları açmamayı bir kural haline getirin. Böylece kendinizi sadece bu virüsten değil, diğerlerinden de koruyacaksınız.

Ardından, bilgisayarda bir kez, Truva atı yeniden başlatılır ve bir kontrol simülasyonu yapar. Ayrıca, daha önce de belirttiğim gibi, ekranda kırmızı bir kafatası beliriyor, ardından dosyaların şifresinin çözülmesi için bir Bitcoin cüzdanına üç yüz dolar aktararak ödemeyi teklif eden bir afiş.

Her durumda ödeme yapmanız gerekmediğini hemen söyleyeceğim! Zaten sizin için şifresi çözülmeyecek, sadece paranızı harcayın ve Truva atının yaratıcılarına katkıda bulunun. Bu virüsün şifresinin çözülmesi amaçlanmamıştır.

Petya virüsü kendinizi nasıl korursunuz

Petya korumasına daha yakından bakalım:

1. Sistem güncellemelerinden daha önce bahsetmiştim. Bu en çok önemli nokta... Sisteminiz korsan bile olsa MS17-010 güncellemesini indirip kurmanız gerekmektedir.
2. V Windows ayarları"Dosya uzantılarını göster" seçeneğini etkinleştirin. Bu sayede dosya uzantısını görebilir ve şüpheli olanları silebilirsiniz. Virüs dosyasının uzantısı vardır - exe.
3. Mektuplara dönelim. Yabancılardan gelen bağlantıları veya ekleri takip etmeyin. Ve genel olarak, karantina sırasında postadaki bağlantıları (tanıdığınız kişilerden bile) takip etmeyin.
4. Kullanıcı Hesabı Denetimini etkinleştirmeniz önerilir.
5. Önemli dosyaları çıkarılabilir ortama kopyalayın. Bulut'a kopyalanabilir. Bu sizi birçok problemden uzaklaştıracaktır. Petya PC'nizde görünüyorsa, sabit sürücüyü biçimlendirdikten sonra yeni bir işletim sistemi kurmanız yeterli olacaktır.
6. İyi bir antivirüs yükleyin. Ayrıca bir güvenlik duvarı olması arzu edilir. Genellikle, bu tür antivirüslerin sonunda Güvenlik yazısı bulunur. Bilgisayarınızda önemli verileriniz varsa, virüsten koruma yazılımına kaydetmemelisiniz.
7. İyi bir antivirüs kurduktan sonra, veritabanlarını güncellemeyi unutmayın.

Petya virüsü nasıl kaldırılır

Bu zor bir soru. Petya bilgisayarınızda çalıştıysa, esasen silinecek hiçbir şey olmayacaktır. Tüm dosyalar sistem genelinde dağılmış olacaktır. Büyük olasılıkla, artık onları organize edemezsiniz. Siber suçlulara ödeme yapmaya değmez. Diski biçimlendirmek ve sistemi yeniden yüklemek için kalır. Sistemi biçimlendirip yeniden yükledikten sonra virüs kaybolacaktır.

Ayrıca şunu eklemek istiyorum - bu zararlı Windows sistemi için bir tehdittir. Örneğin başka bir sisteminiz varsa, Rus sistemi Rosa, bu fidye yazılımı virüsünden korkmamalısın. Aynısı telefon sahipleri için de geçerlidir. çoğu var Android sistemi, iOS vb. Bu nedenle, cep telefonu sahiplerinin endişelenecek bir şeyi yoktur.

Ayrıca, basit bir insansanız ve büyük bir şirketin sahibi değilseniz, büyük olasılıkla siber suçlular sizinle ilgilenmiyor. 300 doların hiçbir anlamı olmayan ve gerçekten bu parayla ödeyebilecekleri büyük şirketler istiyorlar. Ancak bu, virüsün bilgisayarınıza giremeyeceği anlamına gelmez. Güvenli tarafta olmak daha iyi!

Umarım Petya virüsü sizi atlar! Bilgisayarınızdaki bilgilerinizi koruyun. İyi şanlar!

27 Haziran'da Avrupa ülkeleri, zararsız Petya adıyla bilinen bir fidye yazılımı virüsünün saldırısına uğradı (çeşitli kaynaklarda Petya.A, NotPetya ve GoldenEye adlarını da bulabilirsiniz). Fidye yazılımı, 300 dolara eşdeğer bitcoin cinsinden bir fidye talep ediyor. Düzinelerce büyük Ukraynalı ve Rus şirketi enfekte oldu ve virüsün İspanya, Fransa ve Danimarka'da da yayıldığı kaydedildi.

Kim vuruldu?

Ukrayna

Ukrayna ilk saldırıya uğrayan ülkelerden biriydi. Ön tahminlere göre, yaklaşık 80 şirket ve devlet kurumu saldırıya uğradı:

Bugün, virüs yalnızca tek tek dosyaları şifrelemekle kalmıyor, aynı zamanda kullanıcının sabit sürücüye erişimini tamamen ortadan kaldırıyor. Ayrıca, fidye yazılımı virüsü sahte Elektronik İmza Programın güvenilir bir yazar tarafından geliştirildiğini kullanıcılara gösteren ve güvenliği garanti eden Microsoft. Bilgisayara bulaştıktan sonra virüs değişir özel kod işletim sistemini başlatmak için gereklidir. Sonuç olarak, bilgisayar başladığında, yüklenen işletim sistemi değil, kötü amaçlı koddur.

Kendinizi nasıl korursunuz?

1. 1024-1035, 135 ve 445 numaralı TCP bağlantı noktalarını kapatın.
2. Virüsten koruma ürünlerinizin veritabanlarını güncelleyin.
3. Petya oltalama yoluyla yayıldığından, e-postaları açmayın. bilinmeyen kaynaklar(gönderen biliniyorsa, bu mektubun güvenli olup olmadığını kontrol edin), arkadaşlarınızdan gelen sosyal ağlardan gelen mesajlara dikkat edin, çünkü hesapları hacklenebilir.
4. Virüs arıyor dosya C:\Windows\perfc ve bulamazsa, enfeksiyonu oluşturur ve başlatır. Bilgisayarda böyle bir dosya zaten varsa, virüs bulaşmadan çalışmayı durdurur. Bu adla boş bir dosya oluşturmanız gerekiyor. Bu sürece daha yakından bakalım.

- Fantastik Hacker (@hackerfantastic)

Petya virüsü saldırısı, birçok ülkenin sakinleri için tatsız bir sürpriz oldu. Binlerce bilgisayara virüs bulaştı ve bunun sonucunda kullanıcılar sabit disklerinde depolanan önemli verileri kaybetti.

Tabii ki artık bu olayla ilgili heyecan yatıştı ama bunun bir daha olmayacağını kimse garanti edemez. Bu yüzden bilgisayarınızı olası tehditlerden korumak ve gereksiz riskler almamak çok önemlidir. Bunun en etkili şekilde nasıl yapılacağı aşağıda tartışılacaktır.

Saldırının sonuçları

Başlangıç ​​​​olarak, Petya.A'nın kısa ömürlü aktivitesinin sonuçlarını hatırlamak gerekir. Sadece birkaç saat içinde düzinelerce Ukraynalı ve Rus şirketi etkilendi. Bu arada Ukrayna'da, Dniproenergo, Novaya Pochta ve Kiev Metrosu gibi kurumların bilgisayar departmanlarının çalışmaları neredeyse tamamen felç oldu. Üstelik bazı devlet kurumları, bankalar ve mobil operatörler kendilerini Petya virüsünden korumadı.

Avrupa Birliği ülkelerinde, fidye yazılımı da çok fazla sorun çıkarmayı başardı. Fransız, Danimarkalı, İngiliz ve uluslararası şirketler, Petya bilgisayar virüsü saldırısıyla ilgili geçici operasyonel kesintiler bildirdi.

Gördüğünüz gibi, tehdit gerçekten ciddi. Saldırganlar kurbanları olarak büyük finans kurumlarını seçmiş olsalar da, sıradan kullanıcılar daha az acı çekmedi.

Petya nasıl çalışır?

Kendinizi Petya virüsünden nasıl koruyacağınızı anlamak için önce nasıl çalıştığını anlamalısınız. Bu nedenle, bilgisayarda bir kez, kötü amaçlı program İnternet'ten Ana Önyükleme Kaydı'na bulaşan özel bir fidye yazılımı indirir. Bu, sabit diskte, kullanıcının gözünden gizlenmiş ve işletim sistemini yüklemek için tasarlanmış ayrı bir alandır.

Kullanıcı için bu işlem, ani bir sistem çökmesinden sonra Check Disk programının standart çalışması gibi görünüyor. Bilgisayar aniden yeniden başlar ve ekranda bir doğrulama mesajı belirir. hard disk Hatalar için lütfen gücü kapatmayın.

Bu işlem biter bitmez, bilgisayarı kilitleme hakkında bilgi içeren bir açılış ekranı belirir. "Petya" virüsünün yaratıcısının, PC'nin çalışmasına devam etmek için gerekli anahtarı göndermesi karşılığında kullanıcıdan 300 $ (17.5 bin ruble'den fazla) fidye ödemesi gerekiyor.

profilaksi

Enfeksiyonu önlemenin çok daha kolay olması mantıklı bilgisayar virüsü"Petya", sonuçlarıyla daha sonra ilgilenmekten daha iyidir. Bilgisayarınızın güvenliğini sağlamak için:

• her zaman yükle yeni güncellemeler işletim sistemi için. Aynısı, prensipte, her şey için geçerlidir. yazılım PC'nizde yüklü. Bu arada "Petya", MacOS ve Linux çalıştıran bilgisayarlara zarar veremez.
• Kullanmak güncel sürümler antivirüs ve veritabanlarını güncellemeyi unutmayın. Evet, tavsiye banal, ama herkes onu takip etmiyor.
• Mailinize gönderilen şüpheli dosyaları açmayın. Ayrıca, her zaman şüpheli kaynaklardan indirilen uygulamaları kontrol edin.
• düzenli olarak yapın yedeklerönemli belgeler ve dosyalar. Bunları ayrı bir ortamda veya "bulutta" (Google Drive, "Yandex. Disk" vb.) saklamak en iyisidir. Bu sayede bilgisayarınıza bir şey olsa bile, degerli bilgi acı çekmeyecek.

Durdurma dosyası oluştur

Önde gelen geliştiriciler antivirüs yazılımı Petya virüsünün nasıl kaldırılacağını çözdük. Daha doğrusu araştırma sayesinde, fidye yazılımının enfeksiyonun ilk aşamalarında bilgisayarda yerel bir dosya bulmaya çalıştığını anlamayı başardılar. Başarılı olursa virüs çalışmayı durdurur ve bilgisayara zarar vermez.

Basitçe söylemek gerekirse, manuel olarak bir tür durdurma dosyası oluşturabilir ve böylece bilgisayarınızı koruyabilirsiniz. Bunun için:

• Klasör seçenekleri ayarlarını açın ve "Kayıtlı dosya türleri için uzantıları gizle" onay kutusunun işaretini kaldırın.
• Not defteri ile oluştur yeni dosya ve C: / Windows dizinine yerleştirin.
• Oluşturulan belgeyi yeniden adlandırın ve "perfc" olarak adlandırın. Ardından "Salt Okunur" seçeneğine gidin ve etkinleştirin.

Artık "Petya" virüsü, bilgisayarınıza bir kez girdiğinde ona zarar veremez. Ancak, saldırganların gelecekte kötü amaçlı yazılımı değiştirebileceğini ve bir durdurma dosyası oluşturma yönteminin etkisiz hale geleceğini unutmayın.

Enfeksiyon zaten meydana geldiyse

Bilgisayar kendi kendine yeniden başlatıldığında ve Check Disk başladığında, virüs dosyaları şifrelemeye başlar. Bu durumda, aşağıdaki adımları izleyerek verilerinizi kaydetmeyi yine de başarabilirsiniz:

• Bilgisayarı hemen kapatın. Virüsün yayılmasını önlemenin tek yolu bu.
• Ardından, bağlantınızı HDD başka bir PC'ye (sadece önyüklenebilir bir PC olarak değil!) ve önemli bilgileri oradan kopyalayın.
• Bundan sonra, virüslü sabit sürücüyü tamamen biçimlendirmeniz gerekir. Doğal olarak, işletim sistemini ve üzerindeki diğer yazılımları yeniden yüklemeniz gerekecektir.

Alternatif olarak, özel kullanmayı deneyebilirsiniz. önyükleme diski Petya virüsünü tedavi etmek için. Örneğin, Kaspersky Anti-Virus şunları sağlar: Kaspersky programıİşletim sistemini atlayan Kurtarma Diski.

Fidye yazılımı ödemeye değer mi?

Daha önce de belirtildiği gibi, "Petit" yaratıcıları, bilgisayarlarına virüs bulaşan kullanıcılardan 300 dolarlık bir fidye talep ediyor. Gaspçılara göre, belirtilen miktarın ödenmesinden sonra, mağdurlara bilgi engellemesini ortadan kaldıran bir anahtar gönderilecek.

Sorun şu ki, bilgisayarını normal durumuna döndürmek isteyen bir kullanıcının siber suçlulara e-posta ile yazması gerekiyor. Ancak, fidye yazılımının tüm e-postaları yetkili servisler tarafından derhal engellenir, bu nedenle onlarla iletişim kurmak imkansızdır.

Ayrıca, önde gelen birçok antivirüs yazılımı geliştiricisi, Petya'nın bulaştığı bir bilgisayarın herhangi bir kodla kilidini açmanın tamamen imkansız olduğundan emindir.

Muhtemelen anladığınız gibi, fidye yazılımı ödemeye değmez. Aksi takdirde, sadece çalışmayan bir bilgisayarla kalmaz, aynı zamanda büyük miktarda para kaybedersiniz.

Yeni saldırılar olacak mı?

Petya virüsü ilk olarak Mart 2016'da keşfedildi. Ardından güvenlik uzmanları tehdidi hemen fark etti ve kitlesel yayılmasını engelledi. Ancak zaten Haziran 2017'nin sonunda, saldırı tekrarlandı ve bu çok ciddi sonuçlara yol açtı.

Her şeyin orada bitmesi olası değildir. Fidye yazılımı saldırıları nadir değildir, bu nedenle bilgisayarınızı her zaman koruma altında tutmanız çok önemlidir. Sorun şu ki, hiç kimse bir sonraki enfeksiyonun hangi formatta olacağını tahmin edemez. Her ne olursa olsun, bu şekilde riskleri en aza indirmek için bu makalede verilen basit tavsiyelere her zaman uymakta fayda var.

Dünyanın dört bir yanındaki şirketler, 27 Haziran Salı günü e-posta kötü amaçlı yazılımları tarafından büyük bir siber saldırıya uğradı. Virüs, kullanıcı verilerini şifreler. sabit sürücüler ve bitcoin cinsinden parayı zorlar. Birçok kişi hemen 2016 baharında açıklanan Petya virüsü olduğuna karar verdi, ancak antivirüs satıcıları saldırının başka bir kötü amaçlı programdan kaynaklandığına inanıyor.

27 Haziran öğleden sonra güçlü bir hacker saldırısı önce Ukrayna'da, ardından birkaç büyük Rus ve yabancı şirkette gerçekleşti. Birçoğunun geçen yılki Petya ile karıştırdığı virüs, ameliyathaneli bilgisayarlara da yayılıyor. Windows sistemi yönetici hakları talep eden bir pencerenin açıldığı bir bağlantı içeren bir spam e-posta yoluyla. Kullanıcı programın bilgisayarına erişmesine izin verirse, virüs kullanıcıdan 300 dolarlık bitcoins para talep etmeye başlar ve bir süre sonra miktar iki katına çıkar.

2016 yılının başlarında keşfedilen Petya virüsü de aynı şekilde yayıldı, pek çok kullanıcı bunun böyle olduğunu varsaydı. Ancak virüsten koruma yazılımı şirketlerinden uzmanlar, saldırıdan başka birinin sorumlu olduğunu zaten belirttiler. yeni virüs, ki daha fazlasını öğrenecekler. Kaspersky Lab uzmanları zaten verilmiş bilinmeyen virüs adı - NotPetya.

Ön verilerimize göre bu daha önce bahsettiğimiz bir Petya virüsü değil, bizim bilmediğimiz yeni bir kötü amaçlı yazılım. Bu nedenle adını NotPetya koyduk.

Base64 kodlu 512 bayt doğrulama verisi ve Base64 kodlu 8 bayt nonce başlıklı iki metin alanı olacaktır. Anahtarı almak için program tarafından çıkarılan verileri bu iki alana girmeniz gerekir.

Program bir şifre verecektir. Diski takarak ve virüs penceresini görerek girilmesi gerekecektir.

siber saldırı kurbanları

Bilinmeyen virüsten en çok Ukraynalı şirketler zarar gördü. Boryspil havaalanının bilgisayarlarına, Ukrayna hükümetine, mağazalara, bankalara, medya ve telekomünikasyon şirketlerine virüs bulaştı. Ondan sonra virüs Rusya'ya ulaştı. Saldırının kurbanları Rosneft, Bashneft, Mondelеz International, Mars, Nivea idi.

Bazı yabancı kuruluşlar bile virüs nedeniyle BT sistemlerinde sorunlar olduğunu bildirdi: İngiliz reklam şirketi WPP, Amerikan ilaç şirketi Merck & Co, büyük Danimarkalı kargo taşıyıcısı Maersk ve diğerleri. Kaspersky Lab'deki uluslararası araştırma ekibinin başkanı Kostin Raiu, bu konuda Twitter'da yazdı.

Temaslı Petrwrap / Petya fidye yazılımı varyantı [e-posta korumalı] dünya çapında yayılıyor, çok sayıda ülke etkilendi.