Головна / Інтернет / Що за новий вірус петя. Apparat - Журнал про нове суспільство

Що за новий вірус петя. Apparat - Журнал про нове суспільство

Ряд російських і українських компаній зазнали атаки вірусу-шифрувальника Petya. Мережеве видання сайт поспілкувалося з експертами з Лабораторії Касперського, інтерактивного агентства AGIMA і з'ясувало, як захистити корпоративні комп'ютери від вірусу і чим схожий Petya на не менш відомий вірус-шифрувальник WannaCry.

Вірус "Петя"

У Росії компанії "Роснефть", "Башнефть", Mars, Nivea і виробник шоколаду Alpen Gold Mondelez International. Вірус-вимагач систему радіаційного моніторингу Чорнобильської атомної електростанції. Крім того, атака торкнулася комп'ютерів уряду України, "Приватбанку" і операторів зв'язку. Вірус блокує комп'ютери і вимагає викуп 300 доларів в біткоіни.

У мікроблозі в Twitter прес-служба "Роснефти" розповіла про хакерську атаку на сервери компанії. "На сервери компанії здійснена потужна хакерська атака. Ми сподіваємося, що це ніяк не пов'язано з поточними судовими процедурами. За фактом кібератаки компанія звернулася в правоохоронні органи", - наголошується в повідомленні.

За словами прес-секретаря компанії Михайла Леонтьєва, "Роснефть" і її дочірні спільноти працюють в штатному режимі. Після атаки компанія перейшла на резервну систему управління виробничими процесами, так що видобуток і підготовка нафти не зупинені. Атаці піддалася також система банку Home Credit.

"Петя» не заражає без "Миші"

За словами виконавчого директора AGIMA Євгена Лобанова, Насправді атака була проведена двома вірусами-шифрувальники: Petya і Misha.

"Вони працюють в зв'язці." Петя »не заражає без" Миші ". Він може заражати, але вчорашня атака була двома вірусами: спочатку Petya, потім Misha." Петя "переписує boot-девайс (звідки йде завантаження комп'ютера), а Міша - шифрує файли за певним алгоритмом, - пояснив фахівець. - Petya шифрує завантажувальний сектор диска (MBR) і замінює його своїм власним, Misha шифрує вже всі файли на диску (не завжди) ".

Він зазначив, що вірус-шифрувальник WannaCry, який атакував великі світові компанії в травні цього року, не схожий на "Петю", це нова версія.

"Petya.A з сімейства WannaCry (а точніше WannaCrypt), але головна відмінність чому це не той же вірус, це те, що підміняється MBR власним завантажувальним сектором - це новинка для Ransomware. Вірус Petya з'явився давно, на GitHab (онлайн-сервіс для IT-проектів та спільного програмування - сайт) https://github.com/leo-stone/hack-petya "target \u003d" _ blank "\u003e був дешифратор для цього шифрувальника, однак до нової модифікації ніякої дешифрувальників не підходить.

Євген Лобанов підкреслив, що атака сильніше вдарила по Україні, ніж по Росії.

"Ми більше схильні до атак, ніж інші країни Заходу. Від цієї версії вірусу ми будемо захищені, але від його доробок - немає. У нас інтернет небезпечний, на Україні ще менше. В основному, були схильні до атаки транспортні компанії, банки, мобільні оператори ( Vodafone, Київстар) і медичні компанії, той же Фарммаг, автозаправки Shell - все дуже великі трансконтинентальні компанії ", - розповів він в бесіді з сайт.

Виконавчий директор AGIMA зазначив, що поки немає ніяких фактів, які вказували б на географічне положення розповсюджувача вірусу. На його думку, вірус імовірно з'явилася саме в Росії. На жаль, прямих доказів цього немає.

"Є припущення, що це наші хакери, оскільки перша модифікація з'явилася в Росії, а сам вірус, що ні для кого не секрет, був названий на честь Петра Порошенка. Це була розробка російських хакерів, але хто далі її зраджував - складно сказати. Зрозуміло , що перебуваючи навіть в Росії, легко отримати комп'ютер з геолокації в США, наприклад ", - пояснив експерт.

"Якщо раптом сталося" зараження "комп'ютера - не можна виключати комп'ютер. Якщо перезавантажитеся, то більше ніколи не ввійдете в систему"

"Якщо раптом сталося" зараження "комп'ютера - не можна виключати комп'ютер, тому що вірус Petya підміняє MBR - перший завантажувальний сектор, з якого вантажиться операційна системі. Якщо перезавантажитеся, то більше ніколи не ввійдете в систему. Це відрубують відхідні шляхи, навіть якщо з'явиться" таблетка "повернути дані вже буде неможливо. Далі, потрібно відразу відключитися від інтернету, щоб комп'ютер не виходив в мережу. Зараз вже випущений офіційний патч від Microsoft, він забезпечує 98 відсотків гарантії безпеки. на жаль поки не 100 відсотків. Певну модифікацію вірусу (їх три штуки) він поки обходить ", - рекомендував Лобанов. - Однак, якщо ви все-таки перезавантажити і побачили початок процесу "перевірки диска", в цей момент потрібно відразу ж вимкнути комп'ютер, і файли залишаться незашифрованими ..

Крім того, експерт також розповів, чому найчастіше атакам піддаються користувачі Microsoft, А не MacOSX (операційна система Apple - сайт) і Unix-систем.

"Тут правильніше говорити не тільки про MacOSX, а й про всіх unix-системах (принцип однаковий). Вірус поширюється тільки на комп'ютери, без мобільних пристроїв. Атаці схильна операційна система Windows і загрожує тільки тим користувачам, які відключили функцію автоматичного оновлення системи. Оновлення як виняток доступні навіть для власників старих версій Windows, Які вже не оновлюються: XP, Windows 8 і Windows Server 2003 ", - сказав експерт.

"MacOSХ і Unix таким вірусам глобально не піддавалося, бо багато великих корпорацій використовують інфраструктуру Microsoft. MacOSX не схильна до, оскільки не так поширена в держструктурах. Під неї менше вірусів, їх не вигідно робити, тому що сегмент атаки буде менше, ніж, якщо атакувати Microsoft ", - уклав фахівець.

"Число атакованих користувачів досягла двох тисяч"

У прес-службі Лабораторії Касперського, Експерти якої продовжують розслідування останньої хвилі заражень, розповіли, що "цей шифрувальник не належить до вже відомого сімейства вимагачів Petya, хоча і має кілька спільних з ним рядків коду".

У Лабораторії впевнені, що в даному випадку мова йде про новий сімействі шкідливого програмного забезпечення з істотно відрізняється від Petya функціональністю. У Лабораторії Касперського назвали новий шифрувальник ExPetr.

"За даними Лабораторії Касперського, число атакованих користувачів досягла двох тисяч. Найбільше інцидентів було зафіксовано в Росії і Україні, також випадки зараження спостерігалися в Польщі, Італії, Великобританії, Німеччини, Франції, США і низці інших країн. На даний момент наші експерти припускають , що дане шкідливе ПО використовувало кілька векторів атаки. Встановлено, що для поширення в корпоративних мережах застосовувався модифікований експлоїт EternalBlue і експлоїт EternalRomance ", - розповіли в прес-службі.

Експерти також вивчають можливість створення інструменту-дешифратора, за допомогою якого можна було б розшифрувати дані. У Лабораторії також дали рекомендації для всіх організацій, щоб уникнути атаки вірусу в майбутньому.

"Ми рекомендуємо організаціям встановити оновлення для ОС Windows. Для Windows XP і Windows 7 слід встановити оновлення безпеки MS17-010, а також переконатися, що вони мають ефективною системою резервного копіювання даних. Своєчасне і безпечне резервування даних дає можливість відновити оригінальні файли, навіть якщо вони були зашифровані шкідливим ПО ", - порадили експерти Лабораторії Касперського.

Своїм корпоративним клієнтам Лабораторія також рекомендує переконатися, що всі механізми захисту активовані, зокрема упевнитися, що підключення до хмарної інфраструктурі Kaspersky Security Network, в якості додаткової міри рекомендується використовувати компонент "Контроль активності програм", щоб заборонити всім групам додатків доступ (а відповідно і виконання) файлу з назвою "perfc.dat" і т.д.

"Якщо ви не використовуєте продукти" Лабораторії Касперського ", рекомендуємо заборонити виконання файлу з назвою perfc.dat, а також заблокувати запуск утиліти PSExec з пакету Sysinternals за допомогою функції AppLocker, що входить до складу ОС (операційної системи - сайт) Windows", - рекомендували в лабораторії.

12 травня 2017 року багато - шифрувальник даних на жорстких дисках комп'ютерів. Він блокує пристрій і вимагає заплатити викуп.
Вірус торкнувся організації і відомства в десятках країн світу, включаючи Росію, де атаці піддалися МОЗ, МНС, МВС, сервера стільникових операторів і кілька великих банків.

Поширення вірусу вдалося призупинити випадково і тимчасово: якщо хакери змінять всього кілька рядків коду, шкідливе ПЗ знову почне працювати. Збиток від програми оцінюють в мільярд доларів. Після лінгвокріміналістіческого аналізу експерти встановили, що WannaCry створили вихідці з Китаю або Сінгапуру.

Антивірусні програми коштують на комп'ютері практично кожного користувача, проте іноді з'являється троян або вірус, який здатний обійти саму кращий захист і заразити ваш пристрій, а що ще гірше - зашифрувати ваші дані. Цього разу таким вірусом став троян-шифратор «Петя» або, як його ще називають, «Petya». Темпи поширення даний загрози дуже вражають: за пару днів він зміг «побувати» в Росії, Україні, Ізраїлі, Австралії, США, всіх великих країнах Європи і не тільки. В основному він вразив корпоративних користувачів (аеропорти, енергетичні станції, туристичну галузь), але постраждали і звичайні люди. За своїми масштабами і методам впливу він вкрай схожий на гучний недавно.

Ви безсумнівно повинні захистити свій комп'ютер, щоб не стати жертвою нового трояна-здирника «Петя». У цій статті я розповім вам про те, що це за вірус «Petya», як він поширюється, як захиститися від цієї небезпеки. Крім того ми торкнемося питання видалення трояна і дешифрування інформації.

Що таке вірус «Petya»?

Для початку нам варто зрозуміти, чим же є Petya. Вірус Петя - це шкідливе програмне забезпечення, Яке є трояном типу «ransomware» (вимагач). Дані віруси призначені для шантажу власників заражених пристроїв з метою отримання від них викупу за зашифровані дані. На відміну від Wanna Cry, Petya не обтяжує себе шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий диск цілком.

Правильна назва нового вірусу - Petya.A. Крім того, Касперський називає його NotPetya / ExPetr.

Опис вірусу «Petya»

Після потрапляння на ваш комп'ютер під управлінням системи Windows, Petya практично миттєво зашифровує MFT (Master File Table - головна таблиця файлів). За що ж відповідає ця таблиця?

Уявіть, що ваш жорсткий диск - це найбільша бібліотека у всьому всесвіті. У ній містяться мільярди книг. Так як же знайти потрібну книгу? Тільки за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-якої «файл» на вашому ПК. Якщо бути ще точніше, то після «роботи» Петі жорсткий диск вашого комп'ютера буде нагадувати бібліотеку після торнадо, з обривками книг, літаючими всюди.

Таким чином, на відміну від Wanna Cry, який я згадував на початку статті, Petya.A не шифрується окремі файли, Витрачаючи на це значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Після всіх своїх маніпуляцій він вимагає від користувачів викуп - 300 доларів США, які потрібно перерахувати на біткойн рахунок.

Хто створив вірус Петя?

При створенні вірусу Петя був задіяний експлойт ( «діра») в ОС Windows під назвою «EternalBlue». Microsoft випустив патч, який «закриває» цю діру кілька місяців тому, проте, не всі ж користуються ліцензійної копією Windows і встановлює всі оновлення системи, адже правда?)

Творець «Петі» зміг з розумом використовувати безпечність корпоративних і приватних користувачів і заробити на цьому. Його особа поки що невідома (та й навряд чи буде відома)

Як поширюється вірус Петя?

Вірус Petya найчастіше поширюється під виглядом вкладень до електронних листів і в архівах з піратським зараженим ПО. У вкладенні може перебувати абсолютно будь-який файл, в тому числі фото або mp3 (так здається з першого погляду). Після того, як ви запустите файл, ваш комп'ютер перезавантажиться і вірус зімітує перевірку диска на помилки CHKDSK, а сам в цей момент видоизменит завантажувальний запис вашого комп'ютера (MBR). Після цього ви побачите червоний череп на екрані вашого комп'ютера. Натиснувши на будь-яку кнопку, ви зможете отримати доступ до тексту, в якому вам запропонують заплатити за розшифровку ваших файлів і перевести необхідну суму на bitcoin гаманець.

Як захиститися від вірусу Petya?

Найголовніше і найбільше - візьміть за правило ставити поновлення для вашої операційної системи! Це неймовірно важливо. Зробіть це прямо зараз, не відкладайте.
Поставтеся з підвищеною увагою до всіх вкладень, які включені до листів, навіть якщо листи від знайомих людей. На час епідемії краще користуватися альтернативними джерелами передачі даних.
Активуйте опцію «Показувати розширення файлів» в настройках ОС - так ви завжди зможете побачити справжнє розширення файлів.
Увімкніть «Керування обліковими записами користувачів» в настройках Windows.
Необхідно встановити один з, щоб уникнути зараження. Почніть з установки оновлення для ОС, потім встановіть антивірус - і ви вже будете в набагато більшій безпеці, ніж раніше.
Обов'язково робіть «бекапи» - зберігайте всі важливі дані на зовнішній жорсткий диск або в хмару. Тоді, якщо вірус Petya проникне на ваш ПК і зашифрує всі дані - вам буде досить простий провести форматування вашого жорсткого диска і встановити ОС заново.
Завжди перевіряйте актуальність антивірусних баз вашого антивіруса. Всі хороші антивіруси стежать за погрозами і своєчасно реагують на них, оновлюючи сигнатури погроз.
Встановіть безкоштовну утиліту Kaspersky Anti-Ransomware. Вона буде захищати вас від вірусів-шифраторів. Установка даного ПЗ не позбавляє вас від необхідності встановити антивірус.

Як видалити вірус Petya?

Як видалити вірус Petya.A з вашого жорсткого диска? Це вкрай цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то і видаляти буде, фактично, нічого. Якщо ви не планує платити здирникам (чого робити не варто) і не будете пробувати відновлювати дані на диску в подальшому, вам досить просто провести форматування диска і заново встановити ОС. Після цього від вірусу не залишиться і сліду.

Якщо ж ви підозрюєте, що на вашому диску присутній заражений файл - проскануйте ваш диск однієї з або ж встановіть антивірус Касперського і проведіть повне сканування системи. Розробник запевнив, що в його основі сигнатур вже є відомості про даний вірус.

дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом. На даний момент не існує рішення для розшифровки заблокованих відомостей. Тим більше не варто намагатися отримати доступ до даних в домашніх умовах.

Безсумнівно, ми б все мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус вразив світ кілька місяців тому, але ліки для розшифровки даних, які він зашифрував, так і не знайдено.

Тому, якщо ви ще не стали жертвою вірусу Петя - прислухайтеся до порад, які я дав на початку статті. Якщо ви все ж втратили контроль над своїми даними - то у вас є кілька шляхів.

Заплатити гроші. Робити цього безглуздо!Фахівці вже з'ясували, що дані творець вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.
Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і жати появи дешифратора. До речі, Лабораторія Касперського постійно працює в цьому напрямку. Доступні дешифратори є на сайті No Ransom.
Форматування диска і установка операційної системи. Мінус - всі дані будуть втрачені.

Вірус Petya.A в Россі

У Росії і Україні було атаковано і заражене понад 80 компаній на момент написання статті, в тому числі такі великі, як «Башнефть» і «Роснефть». Зараження інфраструктури таких великих компаній говорить про всю серйозність вірусу Petya.A. Безсумнівно, що троян-здирник буде і далі поширюватися по території Росії, тому вам варто подбати про безпеку своїх даних і послухатися поради, які були дані в статті.

Petya.A і Android, iOS, Mac, Linux

Багато користувачів турбуються - «а чи може вірус Petya заразити їх пристрої під управлінням Android і iOS. Поспішу їх заспокоїти - ні, не може. Він розрахований тільки на користувачів ОС Windows. Те ж саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.

висновок

Отже, сьогодні ми детально обговорили новий вірус Petya.A. Ми зрозуміли, чим є цей троян і як він працює, дізналися як уберегтися від зараження і видалити вірус, де взяти дешифратор (decryptor) Petya. Сподіваюся, що стаття і мої поради виявилися корисні для вас.

Вірус Petya - швидко зростаючий вірус, який поклав практично всі великі підприємства в Україні 27 червня 2017 року. Вірус Petya шифрує ваші файли і пропонує за них потім викуп.

Новий вірус вражає вінчестер комп'ютера і працює як вірус шифрувальник файлів. Через певний час, вірус Petya «поїдає» файли на вашому комп'ютері і вони стають зашифрованими (як ніби файли заархівувати і поставили важкий пароль)
Файли, які постраждали від вірусу шифрувальника Petya, потім вже не відновити (відсоток, що ви їх відновите є, але він дуже маленький)
Алгоритму, який відновлює файли постраждалих від вірусу Petya - НІ
За допомогою цієї короткої і МАКСИМАЛЬНО корисної статті ви зможете вберегти себе від # вірусPetya

Як ВИЗНАЧИТИ Вірус Petya або WannaCry і НЕ Заразитися Вірусом

При завантаженні файлу через інтернет, перевірте його онлайн-антивірусом. Онлайн антивіруси можуть заздалегідь визначити вірус в файлі і запобігти зараженню вірусом Petya. Все, що варто зробити, щоб переглянути завантажений файл за допомогою VirusTotal, а потім його вже запускати. Навіть якщо ви завантажили ВІРУС PETYA, але НЕ запустили вірусний файл, вірус НЕ активний і шкоди не завдає. Тільки після запуску шкідливого файлу ви запускаєте вірус, пам'ятайте це

ВИКОРИСТАННЯ НАВІТЬ ТІЛЬКИ ЦЬОГО МЕТОДУ ДАЄ ВАМ ВСЕ ШАНСИ НЕ ЗАРАЗИТИСЯ ВІРУСОМ PETYA
Вірус Petya виглядає ось так:

Як Уберегти себе Від Вірусу Petya

компанія Symantecзапропонувала рішення, яке дозволяє себе вберегти від вірусу Petya, зробивши вигляд, що він вже у Вас - встановлений.
Вірус Petya при попаданні на комп'ютер, створює в папці C: \\ Windows \\ perfc файл perfc або perfc.dll
Чтобивірусподумал, що він вже встановлений і не продовжив свою активність, створіть в папці C: \\ Windows \\ perfc файл з порожнім змістом і збережіть його поставивши режим зміни «Тільки Читання»
Або завантажте virus-petya-perfc.zip і розархівуйте папку perfcв папку C: \\ Windows \\ і поставте режим зміни «Тільки Читання»
Завантажити virus-petya-perfc.zip

ОНОВЛЕНО 29.06.2017
Також рекомендую завантажити обидва файли просто в папку Windows. Багато джерел пишуть, що файл perfc або perfc.dllповинен знаходитися в папці C: \\ Windows \\

Що Робити Якщо Комп'ютер Уже уражених Вірусом Petya

Не вмикайте комп'ютер, який вже вразив вас вірусом Petya. Вірус Petya працює таким чином, що поки заражений комп'ютер включений, він шифрує файли. Тобто, поки ви тримаєте включеним уражений вірусом Petya комп'ютер, нові і нові файли піддаються зараженню і шифрування.
вінчестер даного комп'ютера варто перевірити. Перевірити його можна за допомогою LIVECD або LIVEUSB з антивірусом
Завантажувальна флешка з Kaspersky Rescue Disk 10
Завантажувальна флешка Dr.Web LiveDisk

Хто Розповсюдив Вірус Петя За Всією Україною

Компанія Microsoft висловила свою точку зору на рахунок глобального зараження мережі в крупних компаніях України. Причиною стало, оновлення до програми M.E.Doc. M.E.Doc - популярна бухгалтерська програма, по-цьому такий великий прокол компанії, як потрапляння вірусу в оновлення і встановило вірус Petya на тисячі ПК, на яких стояла програма M.E.Doc. А так як вірус вражає комп'ютери в одній мережі поширився він блискавично.
#: Петя вірус вражає андроїд, вірус Petya, як виявити і видалити вірус петя, вірус petya як лікувати, M.E.Doc, Microsoft, створити папку вірус петя

Сьогодні вірус-вимагач атакував безліч комп'ютерів в державному, комерційному і приватному секторах України

Безпрецедентна атака хакера нокаутувала безліч комп'ютерів і серверів в державних органах і комерційних організаціях по всій країні

Масштабна і ретельно спланована кібер-атака вивела сьогодні з ладу об'єкти критичної інфраструктури багатьох держпідприємств і компаній. Про це повідомила Служба безпеки (СБУ).

Починаючи з обіду в інтернеті як сніжний ком почали з'являтися повідомлення про зараження комп'ютерів в державному і приватному секторі. Представники урядових установ заявили про хакерські атаки на їх IT-інфраструктуру.

За даними СБУ, зараження переважно відбувалося внаслідок відкриття word- і pdf-файлів, які зловмисники розсилали по електронній пошті. Вірус-вимагач (ransomware) Petya.A використовував мережеву вразливість в операційній системі Windows. За розблокування зашифрованих даних кібер-злочинці вимагали оплату в біткоіни розміром $ 300.

Секретар Ради національної безпеки і оборони Олександр Турчинов заявив, що держоргани, які були включені в захищений контур - спеціальний інтернет-вузол - не зазнали пошкоджень. Очевидно, Кабінет міністрів належним чином не виконав рекомендації Національного координаційного центру кібербезпеки, тому що урядові комп'ютери постраждали від Petya.A. Не встояли перед сьогоднішньою атакою Мінфін, ЧАЕС, Укренерго, Укрпошта, Нова пошта та ряд банків.

Деякий час навіть не відкривалися інтернет-сторінки СБУ, кіберполіції та Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ).

Станом на вечір вівторка, 27-го червня, жоден з правоохоронних органів, в обов'язки яких входить боротьба з кібер-атаками, не повідомила, звідки взявся Petya.A і хто за ним стоїть. СБУ, кіберполіції (сайт якої не працював цілий день), ДССЗЗІ зберігали олімпійський мовчання з приводу розміру заподіяної вірусом-здирником шкоди.

Команда реагування на надзвичайні комп'ютерні події (CERT-UA, входить в ДССЗЗІ) оприлюднила поради для усунення наслідків Petya Ransomware. Для цього технічні фахівці рекомендували використовувати програмне забезпечення компанії ESET. Пізніше СБУ також розповіла про те, як уберегтися або зменшити шкоду від вірусу.

Вірус «Петя»: як не впіймати, як розшифрувати, звідки взявся - останні новини про вірус-здирників Petya, який на третій день своєї «діяльності» вразив близько 300 тисяч комп'ютерів в різних країнах світу, і поки його ніхто не зупинив.

Вірус Petya - як розшифрувати, останні новини. Творці шифрувальника «Петя» після нападу на комп'ютер вимагають викуп в 300 доларів (в біткоіни), але розшифрувати вірус Petya, навіть якщо користувач заплатить гроші, можливості немає. Фахівці «Лабораторії Касперського», які розгледіли в новий вірус відмінності від «Петі» і назвали його ExPetr, стверджують - для розшифровки необхідний унікальний ідентифікатор конкретної установки трояна.

В раніше відомих версіях схожих шифрувальників Petya / Mischa / GoldenEye ідентифікатор установки містив необхідну для цього інформацію. У разі ExPetr цього ідентифікатора немає - пише РИА Новости.

Вірус «Петя» - звідки взявся, останні новини. Німецькі фахівці з безпеки висунули першу версію, звідки взяв свій шлях цей шифрувальник. На їхню думку, вірус Petya почав гуляти по комп'ютерам з відкриття файлів M.E.Doc. Це програма бухгалтерської звітності, яка використовується на Україні після заборони 1С.

Тим часом, в «Лабораторії Касперського» говорять про те, що висновки про походження і джерелі поширення вірусу ExPetr робити поки рано. Не виключено, що у зловмисників були великі дані. Наприклад, е-майл адреси з попередньою розсилки або якісь інші ефективні способи проникнення в комп'ютери.

З їх допомогою вірус «Петя» і обрушився всій потужністю на Україну і Росію, а також інші країни. Але реальний масштаб цієї хакерської атаки буде зрозумілий через кілька днів - повідомляє.

Вірус «Петя»: як не впіймати, як розшифрувати, звідки взявся - останні новини про вірус-здирників Petya, які вже отримали в «Лабораторії Касперського» нове ім'я - ExPetr.

Короткий екскурс в історію нейминга шкідливих програм.

В закладки

Логотип вірусу Petya.A

27 червня по щонайменше 80 російських і українських компаній зазнали атаки вірусу Petya.A. Програма заблокувала інформацію на комп'ютерах відомств і підприємств і також, як і відомий вірус-вимагач, зажадала у користувачів в біткоіни.

Імена шкідливих програм зазвичай дають співробітники компаній-розробників антивірусів. Винятком стають ті шифрувальники, вимагачі, руйнівники і викрадачі особистих даних, які крім комп'ютерних заражень викликають медійні епідемії - підвищену галас в ЗМІ і активне обговорення в Мережі.

Однак вірус Petya.A - представник нового покоління. Ім'я, яким він сам представляється - частина маркетингової стратегії розробників, спрямованої на підвищення його впізнаваності і зростання популярності на даркнет-ринку.

субкультурное явище

В ті часи, коли комп'ютерів було мало і далеко не всі вони були з'єднані між собою, самораспространяющемуся програми (ще не віруси) вже існували. Однією з перших таких став, жартівливо вітав користувача і пропонував зловити його і видалити. Наступним став Cookie Monster, який вимагав «дати йому печеньку», ввівши слово «cookie».

Ранні шкідливі програми теж мали почуття гумору, хоча воно і не завжди стосувалося їх назв. Так, Річарда Скрента, призначений для комп'ютера Apple-2, раз в 50 завантажень комп'ютера читав жертві віршик, а імена вірусів, часто приховані в коді, а не виставлені на показ, відсилали до жартів і субкультурних слівець, поширеним в середовищі гиків того часу. Вони могли асоціюватися з назвами метал-груп, популярною літературою і настільними рольовими іграми.

В кінці 20 століття творці вірусів особливо не ховалися - більш того, часто, коли програма виходила з під контролю, намагалися взяти участь в усуненні принесеного їй шкоди. Так було з пакистанським і руйнівним, створеним майбутнім співзасновником бізнес-інкубатора Y-Combinator.

Поетичні здібності демонстрував і один з російських вірусів, згаданих Євгеном Касперського в його книзі 1992 року «Комп'ютерні віруси в MS-DOS». Програма Condom-тисяча п'ятсот вісімдесят одна час від часу демонструвала жертві, присвячене проблемам засмічення світового океану продуктами людської життєдіяльності.

Географія і календар

У 1987 році вірус Jerusalem, відомий також як Israeli Virus, отримав назву за місцем свого першого виявлення, а його альтернативна назва Black Friday було пов'язано з тим, що він активізувався і видаляв запускаються файли, якщо 13 число місяця доводилося на п'ятницю.

За календарним принципом отримав назву і вірус Michelangelo, що викликав паніку в ЗМІ навесні 1992 року. Тоді Джон Макафі, пізніше прославився створенням одного з найбільш настирливих антивірусів, під час сіднейської конференції з кібербезпеки, журналістам і публіці: «Якщо ви завантажте інфіковану систему 6 березня, всі дані на жорсткому диску зіпсуються». Причому тут Мікеланджело? 6 березня біля італійського художника був день народження. Втім, жахи, які передбачав Макафі, в результаті надмірно перебільшеними.

функціональність

Можливості вірусу і його специфіка часто служать основою назви. У 1990 році один з перших поліморфних вірусів отримав ім'я Chameleon, а його, що володіє широкими можливостями приховувати свою присутність (а значить, що відноситься до категорії стелс-вірусів), був названий Frodo, натякаючи на героя «Володаря Кілець» і переховується від очей оточуючих Кільце . А, наприклад, вірус OneHalf 1994 року одержав свою назву через те, що виявляв агресію тільки заразивши половину диска атакується пристрою.

службові назви

Більшість вірусів вже давно отримують назви в лабораторіях, де їх розбирають на частини аналітики.

Зазвичай це нудні порядкові імена і загальні «сімейні» назви, що описують категорію вірусу, то, які системи він атакує і що з ними робить (на кшталт Win32.HLLP.DeTroie). Однак іноді, коли в коді програми вдається виявити натяки, залишені розробниками, віруси отримують трохи індивідуальності. Так з'явилися, наприклад, віруси MyDoom і KooKoo.

Втім, це правило працює не завжди - скажімо, вірус Stuxnet, який зупинив збагачують уран центрифуги в Ірані, не став називатися Myrtus, хоча це слово ( «мирт»), в коді, і було майже прямим натяком на участь в його розробці ізраїльських спецслужб. В даному випадку перемогло вже стало відомим широкому загалу назва, присвоєне вірусу на перших етапах його виявлення.

завдання

Часто буває і так, що віруси, які потребують великої уваги і сил для свого вивчення отримують у антивірусних компаній красиві назви, які простіше говорити і записувати - так сталося з Red October, дипломатичне листування і дані, здатні вплинути на міжнародні відносини, а також з IceFog , великомасштабним промисловим шпигунством.

розширення файлів

Ще один популярний спосіб найменування - по розширенню, яке вірус присвоює заражених файлів. Так, один з «військових» вірусів Duqu, був названий так не через графа Дуку з « зоряних воєн», А завдяки префіксу ~ DQ, який відзначав створювані їм файли.

Так само отримав свою назву гучний цієї весни вірус WannaCry, маркирующий зашифровані їм дані расшіреніем.wncry.

Більш раннє назва вірусу Wanna Decrypt0r, не прижилося - воно гірше звучало і мало різночитання при написанні. Не всі трудилися ставити «0» в якості «о».

«Ви стали жертвою вірусу-здирника Petya»

Саме так представляється найбільш обговорювана сьогодні шкідлива програма, завершивши шифрування файлів на атакованому комп'ютері. У вірусу Petya A. є не тільки люди знають ім'я, але і логотип у вигляді піратського черепа з кістками, і ціла маркетингового просування. Помічений разом зі своїм братом «Misha» ще, вірус звернув на себе увагу аналітиків саме цим.

З субкультурного явища, пройшовши через період, коли для такого роду «хакерства» були потрібні досить серйозні технічні знання, віруси перетворилися на знаряддя кібер-гоп-стопу. Тепер їм доводиться грати за ринковими правилами - і хто отримує більше уваги, той і приносить своїм розробникам великі прибутки.

За даними компанії Positive Technologies, в Росії і на Україні від дій Petya постраждали понад 80 організацій. У порівнянні з WannaCry цей вірус визнаний більш руйнівним, так як поширюється декількома методами - з допомогою Windows Management Instrumentation, PsExec і експлойта EternalBlue. Крім того, в шифрувальник впроваджена безкоштовна утиліта Mimikatz.

«Такий набір інструментарію дозволяє Petya зберігати працездатність навіть в тих інфраструктурах, де було враховано урок WannaCry і встановлені відповідні оновлення безпеки, саме тому шифрувальник настільки ефективний», - заявили в Positive Technologies.

Як розповів «Газеті.Ru» керівник відділу реагування на загрози інформаційної безпеки компанії Ельмар Набігаев,

якщо говорити про причини виникнення сьогоднішньої ситуації, то проблема знову в недбалому ставленні до проблем інформаційної безпеки.

Керівник вірусної лабораторії Avast Якуб Кроустек в бесіді з «Газетой.Ru» заявив, що не можна достеменно встановити, хто саме стоїть за даною кібератакою, але вже відомо, що вірус Petya поширюється в даркнета по бізнес-моделі RaaS (шкідливе ПЗ як послуга).

«Так, частка розповсюджувачів програми досягає 85% з викупу, 15% дістається авторам вірусу-здирника», - розповів Кроустек. Він зазначив, що автори Petya надають всю інфраструктуру, C & C-сервери і системи грошових переказів, що допомагає залучати людей для поширення вірусу, навіть якщо у них немає досвіду в програмуванні.

Крім того, в компанії Avast розповіли, які саме операційні системи постраждали від вірусу найбільше.

На першому місці опинилася Windows 7 - 78% від усіх заражених комп'ютерів. Далі следу.т Windows XP (18%), Windows 10 (6%) і Windows 8.1 (2%).

«Лабораторія Касперського» порахувала, що хоч вірус і схожий на сімейство Petya, але все ж належить до іншої категорії, і дала йому іншу назву - ExPetr, тобто «колишній Петро».

Заступник директора з розвитку компанії «Айдеко» Дмитро Хомутов пояснив кореспонденту «Газети.Ru», що кібератаки вірусами WannaCry і Petya привели до того, «про що давно попереджав», тобто до глобальної вразливості використовуваних повсюдно інформаційних систем.

«Лазівки, залишені американськими корпораціями спецслужбам, стали доступними хакерам і швидко були схрещені з традиційним арсеналом кіберзлочинців - шифрувальники, ботнет-клієнтами і мережними хробаками», - розповів Хомутов.

Таким чином, WannaCry практично нічому не навчив світове співтовариство - комп'ютери так і залишилися незахищеними, системи не були оновлені, а зусилля по випуску патчів навіть для застарілих систем просто пропали даром.

Експерти закликають не платити необхідний викуп в біткоіни, так як поштову адресу, який хакери залишили для зв'язку, був заблокований місцевим провайдером. Таким чином, навіть в разі «чесних і добрих намірів» кіберзлочинців користувач не тільки втратить гроші, але і не отримає інструкції для розблокування своїх даних.

Найбільше Petya нашкодив Україні. Серед постраждалих опинилися «Запоріжжяобленерго», «Дніпроенерго», Київський метрополітен, українські мобільні оператори «Київстар», LifeCell і «Укртелеком», магазин «Ашан», Приватбанк, аеропорт Бориспіль та інші.

Українська влада тут же звинуватили в кібератаці Росію.

«Війна в кіберпросторі, що сіє страх і жах серед мільйонів користувачів персональних комп'ютерів і завдає прямої матеріальної шкоди через дестабілізацію роботи бізнесу та держорганів, - це частина загальної стратегії гібридної війни російської імперії проти України », - заявив, депутат Ради від« Народного фронту ».

Україна могла постраждати сильніше інших через початкового поширення Petya через автоматичне оновлення M.E.doc - програми для бухгалтерської звітності. Саме так були заражені українські відомства, об'єкти інфраструктури та комерційні компанії - всі вони користуються цим сервісом.

У прес-службі ESET Russia «Газеті.Ru» пояснили, що для зараження вірусом Petya корпоративної мережі досить одного вразливого комп'ютера, на якому не встановлені оновлення безпеки. З його допомогою шкідлива програма потрапить в мережу, отримає права адміністратора і пошириться на інші пристрої.

Однак M.E.doc виступила з офіційним спростуванням цієї версії.

«Обговорення джерел виникнення і поширення кібератаки активно проводиться користувачами в соцмережах, форумах та інших інформаційних ресурсах, В формулюваннях яких однією з причин вказується установка оновлень програми M.E.Doc. Команда розробки M.E.Doc спростовує дану інформацію і заявляє, що подібні висновки - однозначно помилкові, адже розробник M.E.Doc, як відповідальний постачальник програмного продукту, Стежить за безпекою і чистотою власного коду », - йдеться в

Британія, США та Австралія офіційно звинуватили Росію в поширенні NotPetya

15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.

За твердженням британської влади, дана атака продемонструвала подальше нехтування по відношенню до суверенітету України, і в результаті цих нерозважливих дій була порушена робота безлічі організацією по всій Європі, що призвело до багатомільйонних збитків.

У Міністерстві відзначили, що висновок про причетність до кібератаки російського уряду і Кремля був зроблений на підставі висновку Національного центру кібербезпеки Великобританії (UK National Cyber \u200b\u200bSecurity Centre), який «практично повністю впевнений в тому, що за атакою NotPetya стоять російські військові» .Також в заяві сказано, що і її союзники не потерплять шкідливої \u200b\u200bкіберактівності.

За словами Міністра у справах правоохоронних органів і кібербезпеки Австралії Енгус Тейлора (Angus Taylor), на основі даних австралійських спецслужб, а також консультацій з США і Великобританією, австралійський уряд уклало, що відповідальність за інцидент несуть зловмисники, підтримувані урядом РФ. «Австралійський уряд засуджує поведінку Росії, яке створює серйозні ризики для світової економіки, урядових операцій і послуг, ділової активності, а також безпеки і благополуччя окремих осіб», - випливає з заяви.

Кремль, раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»

Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"

Пам'ятник комп'ютерного вірусу Petya встановили в грудні 2017 року біля будинку Технопарку Сколково. Двометровий монумент, з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкушеною жорсткого диска, був створений за підтримки компанії ИНВИТРО, в числі інших компаній постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює в Фізтехпарке і (МТІ) спеціально приїхав на церемонію, щоб виголосити урочисту промову.

Атака на уряд Севастополя

Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.

Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах в державних установах Севастополя.

Орієнтованість на використання вільного програмного забезпечення закладена в концепції інформатизації Севастополя, затвердженої в 2015 році. У ній вказується, що при закупівлі та розробці базового ПО, а також ПО інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витрати і знизити залежність від постачальників і розробників.

Раніше, в кінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждав і філія її філія, розташований в Севастополі. Через ураження вірусу комп'ютерної мережі філія тимчасово призупинив видачу результатів аналізів до усунення причин.

«Інвітро» заявила про припинення прийому аналізів через кібератаки

Медична компанія «Інвітро» призупинила збір біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор з корпоративних комунікацій компанії Антон Буланов.

Як говориться в повідомленні компанії, найближчим часом «Інвітро» перейде в штатний режим роботи. Результати досліджень, проведених пізніше цього часу, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторна інформаційна система відновлена, йде процес її налаштування. «Ми шкодуємо про ситуацію форс-мажорній ситуації і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».

За цими даними, атаки комп'ютерного вірусу піддалися клініки в Росії, Білорусії та Казахстані.

Атака на «Газпром» та інші нафтогазові компанії

29 червня 2017 року стало відомо про глобальну кібератаці на комп'ютерні системи «Газпрому». Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.

Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді і людини, який брав участь в розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої \u200b\u200bпрограми Petya, яка атакувала комп'ютери в цілому більше ніж в 60 країнах світу.

Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також про розмір збитку, нанесеного хакерами. У компанії відмовилися від коментарів на вимогу Reuters.

Тим часом, високопоставлене джерело РБК в «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна хакерська атака (27 червня 2017 року), і продовжують два дні по тому. Ще два джерела РБК в "Газпромі" також запевнили, що в компанії «все спокійно» і ніяких вірусів немає.

У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» і «Роснефть». Остання заявила 28 червня про те, що компанія працює в в штатному режимі, а «окремі проблеми» оперативно вирішуються.

Банки і промисловість

Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виробляє форма для тварин) і російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold і Milka).

Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках і в соціальних мережах опублікував відео з докладним описом процесу запуску здирницькі ПО на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку в соціальній мережі, на яку завантажив шкідливу програму. В ході обшуків в квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, що використовувалася для розповсюдження NotPetya. Також поліцейські виявили файли з шкідливим ПЗ, після аналізу яких було підтверджено його схожість з здирником NotPetya. Як встановили співробітники кіберполіції, здирницькі програма, посилання на яку опублікував нікопольчанин, була завантажена користувачами соцмережі 400 раз.

У числі завантажили NotPetya правоохоронці виявили компанії, навмисно заражали свої системи здирницькі ПО для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіки з хакерськими атаками 27 червня нинішнього року, тобто, про яку-небудь його причетності до авторів NotPetya мова не йде. Адекватні йому діяння стосуються лише дій, скоєних в липні поточного року - після хвилі масштабних кібератак.

Стосовно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання в роботу ЕОМ) КК України. Нікопольчанин загрожує до 3 років позбавлення волі.

Поширення в світі

Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливої \u200b\u200bпрограми в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати приналежність вантажів.

Про кібератаці повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших в світі юридичних компаній DLA Piper та харчової гігант Mondelez. У числі постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain і фармакологічна компанія Merck & Co.

Merck

Американський фармацевтичний гігант Merck, який сильно постраждав в результаті червневої атаки вірусу-шифрувальника NotPetya, до сих пір не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється в звіті компанії за формою 8-K, представленому в Комісію з цінних паперів і бірж США (SEC) в кінці липня 2017 року. Детальніше .

Moller-Maersk і «Роснефть»

3 липня 2017 року стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-здирником Petya ІТ-системи лише через майже тиждень після атаки, яка сталася 27 червня.

У судноплавної компанії Maersk, на частку якої припадає кожен сьомий відправляється в світі вантажний контейнер, також додали, що всі 1500 додатків, які постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.

Постраждали переважно ІТ-системи належить Maersk компанії APM Terminals, яка управляє роботою десятків вантажних портів і контейнерних терміналів в більш ніж 40 країнах. В добу понад 100 тис. Вантажних контейнерів, проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II в Роттердамі відновив поставки 3 липня.

16 серпня 2017 року A.P. Moller-Maersk назвала приблизну суму збитку від кібернападів за допомогою вірусу Petya, зараження яким, як відзначили в європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya в другій чверті 2017 року склали від 200 до 300 млн доларів.

Тим часом, майже тиждень на відновлення комп'ютерних систем від хакерської атаки потрібно також «Роснефти», про як 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу»:

Декількома днями раніше «Роснефть» підкреслювала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.

Принцип дії Petya

Дійсно, жертви вірусу не можуть розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили такої можливості взагалі. Тобто зашифрований диск апріорі не піддається дешифрування. В ідентифікатор шкідливої \u200b\u200bпрограми відсутня інформація, необхідна для розшифровки.

Спочатку експерти зарахували вірус, який вразив близько двох тисяч комп'ютерів в Росії, Україні, Польщі, Італії, Німеччини, Франції, та інших країнах, до вже відомого сімейства вимагачів Petya. Однак виявилося, що мова йде про новий сімействі шкідливого ПЗ. "Лабораторія Касперського" охрестила новий шифрувальник ExPetr.

як боротися

Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу і держави

Метод відновлення даних від Positive Technologies

7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод можна застосовувати, якщо вірус NotPetya мав адміністративні привілеї і зашифрував диск цілком.

Можливість відновлення даних пов'язана з помилками в реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному з зашифрованих жорстких дисків великої компанії, Що опинилася в числі жертв епідемії.

Компанії і незалежні розробники, які спеціалізуються на відновленні даних, можуть вільно використовувати і автоматизувати представлений сценарій розшифровки.

Результати розслідування вже підтвердили українські кіберполіцейських. Висновки слідства «Юскутум» збирається використовувати як ключовий доказ у майбутньому процесі проти Intellect-Service.

Процес буде носити цивільний характер. Незалежне розслідування проводять правоохоронні органи України. Їх представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.

У самій компанії M.E.Doc заявили про те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПО вважає, що минулий в компанії обшук, проведений кіберполіції України, став частиною по реалізації цього плану.

Початковий вектор зараження шифратором Petya

17 травня вийшла оновлення M.E.Doc, що не містить шкідливий модуль бекдор. Ймовірно, цим можна пояснити порівняно невелике число заражень XData, вважають в компанії. Атакуючі не очікували виходу апдейта 17 травня і запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.

Бекдор дозволяє завантажувати і виконувати в зараженій системі інше шкідливе ПЗ - так здійснювалося початкове зараження Шифратори Petya і XData. Крім того, програма збирає настройки проксі-серверів і e-mail, включаючи логіни і паролі з програми M.E.Doc, а також коди компаній за ЄДРПОУ (Єдиним державним реєстром підприємств та організацій України), що дозволяє ідентифікувати жертв.

«Нам належить відповісти на ряд питань, - розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди і шкідливі програми, крім Petya і XData, були спрямовані через цей канал? Які ще інфраструктури скомпрометувала, але поки не використовувала кібергруппа, що стоїть за цією атакою? ».

За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми і цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) і кібергруппой Telebots. Достовірно визначити, хто стоїть за діяльністю цього угруповання, поки не вдалося.