namai  /  valstybė  /  Koks virusas yra Petya A. Išpirkos reikalaujantis virusas Petya užpuolė Rusijos ir Ukrainos įmones

Koks virusas yra Petya A. Išpirkos reikalaujantis virusas Petya užpuolė Rusijos ir Ukrainos įmones

valstybė
05.08.2023

Galbūt jau žinote apie įsilaužėlių grėsmę, užfiksuotą 2017 m. birželio 27 d. Rusijos ir Ukrainos šalyse, kurios buvo ištiktos didelio masto ataka, panašia į WannaCry. Virusas užrakina kompiuterius ir reikalauja išpirkos bitkoinais už failų iššifravimą. Iš viso nukentėjo daugiau nei 80 įmonių abiejose šalyse, įskaitant Rusijos „Rosneft“ ir „Bašneft“.

Išpirkos reikalaujantis virusas, kaip ir liūdnai pagarsėjęs WannaCry, užblokavo visus kompiuterio duomenis ir reikalauja, kad nusikaltėliams būtų pervesta 300 USD išpirka bitkoinais. Tačiau skirtingai nei Wanna Cry, Petya nesivargina šifruodama atskirų failų – ji beveik akimirksniu „atima“ visą standųjį diską.

Teisingas šio viruso pavadinimas yra Petya.A. ESET ataskaita atskleidžia kai kurias Diskcoder.C (dar žinomas kaip ExPetr, PetrWrap, Petya arba NotPetya) galimybes.

Remiantis visų aukų statistika, virusas buvo platinamas sukčiavimo laiškuose su užkrėstais priedais. Paprastai laiškas ateina su prašymu atidaryti tekstinį dokumentą, bet, kaip žinome, antrasis failo plėtinys txt.exe yra paslėptas, o pirmenybė teikiama paskutiniam failo plėtiniui. Pagal numatytuosius nustatymus „Windows“ operacinė sistema nerodo failų plėtinių ir jie atrodo taip:

8.1 naršyklės lange (View\Folder Options\Uncheck Slėpti registruotų failų tipų plėtinius)

7 naršyklės lange (Alt\Tools\Folder Options\Atžymėkite Slėpti žinomų failų tipų plėtinius)

O blogiausia, kad vartotojų net nejaudina tai, kad laiškai ateina iš nepažįstamų vartotojų ir prašo atidaryti nesuprantamus failus.

Atidaręs failą, vartotojas mato „mėlyną mirties ekraną“.

Po perkrovimo atrodo, kad paleistas „Scan Disk“; iš tikrųjų virusas užšifruoja failus.

Skirtingai nuo kitų išpirkos reikalaujančių programų, šis virusas, paleidęs, iš karto perkrauna kompiuterį, o kai vėl įsijungia, ekrane pasirodo pranešimas: „NEIŠJUNKITE PC! JEI SUSTABDITE ŠĮ PROCESĄ, GALITE SUNAIKINTI VISUS SAVO DUOMENYS! ĮSItikinkite, ar JŪSŲ KOMPIUTERIS PRIJUNGTAS PRIE ĮKROVIMO! Nors tai gali atrodyti kaip sistemos klaida, Petya iš tikrųjų tyliai atlieka šifravimą slaptuoju režimu. Jei vartotojas bando iš naujo paleisti sistemą arba sustabdyti failų šifravimą, ekrane pasirodo mirksintis raudonas skeletas kartu su tekstu „PRESS ANY KEY! Galiausiai, paspaudus klavišą, atsiras naujas langas su išpirkos užrašu. Šioje pastaboje nukentėjusiojo prašoma sumokėti 0,9 bitkoino, o tai yra maždaug 400 USD. Tačiau ši kaina nurodyta tik už vieną kompiuterį. Todėl įmonėms, kurios turi daug kompiuterių, suma gali siekti tūkstančius. Be to, ši išpirkos programa skiriasi tuo, kad ji suteikia jums visą savaitę išpirkai sumokėti, o ne įprastai 12–72 valandas, kurias suteikia kiti šios kategorijos virusai.

Be to, problemos su Petya tuo nesibaigia. Kai šis virusas pateks į sistemą, jis bandys perrašyti Windows įkrovos failus arba vadinamąjį Boot Writer, reikalingą operacinei sistemai paleisti. Negalėsite pašalinti Petya viruso iš savo kompiuterio, nebent atkursite Master Boot Recorder (MBR) nustatymus. Net jei jums pavyks ištaisyti šiuos nustatymus ir pašalinti virusą iš savo sistemos, deja, jūsų failai išliks užšifruoti, nes viruso pašalinimas ne iššifruoja failus, o tiesiog pašalina užkrečiamus failus. Žinoma, viruso pašalinimas yra svarbus, jei norite toliau dirbti su kompiuteriu

Patekusi į jūsų Windows kompiuterį, Petya beveik akimirksniu užšifruoja MFT (pagrindinę failų lentelę). Už ką atsakinga ši lentelė?

Įsivaizduokite, kad jūsų kietasis diskas yra didžiausia biblioteka visoje visatoje. Jame yra milijardai knygų. Taigi, kaip rasti tinkamą knygą? Tik per bibliotekos katalogą. Būtent šį katalogą Petya sunaikina. Taigi jūs prarasite bet kokią galimybę rasti bet kokį „failą“ savo kompiuteryje. Jei dar tiksliau, Petya „padirbėjus“, jūsų kompiuterio kietasis diskas primins biblioteką po viesulo, o knygų skiautelės skraido visur.

Taigi, skirtingai nei „Wanna Cry“, „Petya.A“ nešifruoja atskirų failų, tam skirdama daug laiko – tai tiesiog atima bet kokią galimybę juos rasti.

Kas sukūrė Petya virusą?

Kuriant Petya virusą buvo naudojamas išnaudojimas („skylė“) „Windows“ OS pavadinimu „EternalBlue“. „Microsoft“ išleido pataisą kb4012598(Iš anksčiau išleistų WannaCry pamokų jau kalbėjome apie šį atnaujinimą, kuris „uždaro“ šią skylę.

Petya kūrėjas sugebėjo išmintingai panaudoti įmonių ir privačių vartotojų nerūpestingumą ir iš to užsidirbti pinigų. Jo tapatybė vis dar nežinoma (ir vargu ar bus žinoma)

Kaip pašalinti Petya virusą?

Kaip pašalinti Petya.A virusą iš standžiojo disko? Tai nepaprastai įdomus klausimas. Faktas yra tas, kad jei virusas jau užblokavo jūsų duomenis, tada iš tikrųjų nebus ką ištrinti. Jei neplanuojate mokėti išpirkos reikalaujančių programų (to neturėtumėte daryti) ir ateityje nebandysite atkurti duomenų diske, galite tiesiog suformatuoti diską ir iš naujo įdiegti OS. Po to viruso neliks jokių pėdsakų.

Jei įtariate, kad diske yra užkrėstas failas, nuskaitykite diską naudodami antivirusinę programą iš ESET Nod 32 ir atlikite visą sistemos nuskaitymą. NOD 32 įmonė patikino, kad jos parašų duomenų bazėje jau yra informacijos apie šį virusą.

Petya.Iššifruotojas

Petya.A užšifruoja jūsų duomenis labai stipriu šifravimo algoritmu. Šiuo metu nėra sprendimo, kaip iššifruoti užblokuotą informaciją.

Be abejonės, visi svajotume gauti stebuklingą iššifruotoją Petya.A, tačiau tokio sprendimo tiesiog nėra. WannaCry virusas pasaulį pasiekė prieš kelis mėnesius, tačiau vaistų, kaip iššifruoti jo užšifruotus duomenis, taip ir nepavyko.

Vienintelė galimybė yra, jei anksčiau turėjote šešėlines failų kopijas.

Todėl, jei dar netapote Petya.A viruso auka, atnaujinkite savo OS sistemą, įdiekite antivirusinę programą iš ESET NOD 32. Jei vis tiek prarandate duomenų kontrolę, turite keletą variantų.

Mokėti pinigus. Nėra prasmės tai daryti! Ekspertai jau išsiaiškino, kad viruso kūrėjas duomenų neatkuria ir negali atkurti, atsižvelgiant į šifravimo techniką.

Pabandykite pašalinti virusą iš savo kompiuterio ir pabandykite atkurti failus naudodami šešėlinę kopiją (virusas jų neveikia)

Išimkite standųjį diską iš įrenginio, atsargiai įdėkite jį į spintelę ir paspauskite iššifravimo mygtuką, kad atsirastų.

Disko formatavimas ir operacinės sistemos įdiegimas. Minusas – visi duomenys bus prarasti.

Petya.A ir Android, iOS, Mac, Linux

Daugelis vartotojų nerimauja, ar Petya virusas gali užkrėsti jų Android ir iOS įrenginius. Paskubėsiu juos nuraminti – ne, negali. Jis skirtas tik Windows OS vartotojams. Tas pats galioja ir Linux bei Mac gerbėjams – gali ramiai miegoti, tau niekas negresia.

Neįprastos išpirkos reikalaujančios kenkėjiškos programos. Petya ransomware yra sena gera spintelė, kurią neseniai pakeitė išpirkos reikalaujančios programos. Tačiau Petya ne tik blokuoja darbalaukį ar naršyklės langą, bet ir neleidžia operacinei sistemai įkelti. Išpirkos pranešime teigiama, kad kenkėjiška programa naudoja „karinį šifravimo algoritmą“ ir vienu metu užšifruoja visą standųjį diską.

Netolimoje praeityje spintelės (dar žinomos kaip blokatoriai) buvo labai paplitusi kenkėjiškų programų rūšis. Vieni jų užblokavo darbalaukį, kiti – tik naršyklės langą, tačiau visi pareikalavo iš aukos išpirkos, kad atkurtų prieigą. Spintelės buvo pakeistos šifruotojais, kurie ne tik blokuoja duomenis, bet ir juos užšifruoja, o tai gerokai padidina tikimybę sumokėti išpirką.

Tačiau G DATA specialistai aptiko naują spintelės, kuri vadinasi Petya, pavyzdį. Išpirkos pranešime kenkėjiška programa nurodo, kad ji vienu metu sujungia blokatoriaus ir šifruotojo funkcijas.

Sukčiavimo el. laiškas personalo specialistui

Petya pirmiausia puola personalo specialistus. Norėdami tai padaryti, užpuolikai siunčia labai tikslingus sukčiavimo el. laiškus. Manoma, kad pranešimai yra atnaujinami iš kandidatų į bet kurias pareigas. Kartu su laiškais pateikiama nuoroda į visą pareiškėjo portfelį, kurio failas yra Dropbox. Žinoma, vietoje portfelio nuorodoje yra kenkėjiška programa – failas application_portfolio-packed.exe (išvertus iš vokiečių kalbos).


Netikras portfelis

Paleidus šį .exe failą, sistema sugenda į „mėlynąjį mirties ekraną“ ir paleidžiama iš naujo. G DATA ekspertai mano, kad prieš paleidžiant iš naujo, kenkėjiška programa trukdo MBR veikimui, kad perimtų įkrovos proceso kontrolę.


Netikras CHKDSK

Iš naujo paleidus kompiuterį, nukentėjusysis mato disko patikrinimo (CHKDSK) imitaciją, po kurios kompiuterio ekrane įkeliama visai ne operacinė sistema, o Petya užrakinimo ekranas. Išpirkos reikalaujanti programa informuoja auką, kad visi jo standžiajame diske esantys duomenys buvo užšifruoti naudojant „karinį šifravimo algoritmą“ ir jų negalima atkurti.

Norėdami atkurti prieigą prie sistemos ir iššifruoti duomenis, auka turi sumokėti išpirką, apsilankius užpuoliko svetainėje .onion zonoje. Jei per 7 dienas nesumokama, išpirkos suma padvigubinama. Užpuolikui siūlomas specialus „iššifravimo kodas“, iš kurio „pirkti“, kurį reikia įvesti tiesiai spintelės ekrane.

G DATA specialistai rašo, kad dar iki galo nesuprato, kaip veikia Petya, tačiau įtaria, kad kenkėjiška programa tiesiog meluoja apie duomenų šifravimą. Greičiausiai kenkėjiška programa tiesiog blokuoja prieigą prie failų ir neleidžia įkelti operacinei sistemai. Ekspertai primygtinai pataria nemokėti išpirkos užpuolikams ir žada artimiausiu metu paskelbti atnaujintą informaciją apie grėsmę.

Žemiau esančiame vaizdo įraše galite pamatyti „Petya“ veikimą.

Antradienį, birželio 27 d., įmonės visame pasaulyje patyrė plataus masto elektroniniu paštu platinamų kenkėjiškų programų kibernetinę ataką. Virusas užšifruoja vartotojo duomenis kietuosiuose diskuose ir išvilioja pinigus bitkoinais. Daugelis iš karto nusprendė, kad tai Petya virusas, aprašytas dar 2016 metų pavasarį, tačiau antivirusinių programų gamintojai mano, kad ataka įvyko dėl kažkokios kitos, naujos kenkėjiškos programos.

Birželio 27 d. popietę galinga programišių ataka pirmiausia smogė Ukrainai, o vėliau kelioms didelėms Rusijos ir užsienio įmonėms. Virusas, kurį daugelis klaidingai laikė praėjusių metų „Petya“, kompiuteriuose su „Windows“ operacine sistema plinta per šlamšto laišką su nuoroda, kurią paspaudus atsidaro langas, kuriame prašoma administratoriaus teisių. Jei vartotojas leidžia programai prieiti prie savo kompiuterio, virusas pradeda reikalauti iš vartotojo pinigų – 300 USD bitkoinais, o suma po kurio laiko padvigubėja.

2016 m. pradžioje aptiktas Petya virusas išplito lygiai tokiu pat būdu, todėl daugelis vartotojų nusprendė, kad būtent taip. Tačiau antivirusinės programinės įrangos kūrimo įmonių ekspertai jau pareiškė, kad dėl įvykusios atakos kaltas koks nors kitas, visiškai naujas virusas, kurį dar tirs. Kaspersky Lab ekspertai jau padarė duota nežinomas viruso pavadinimas - NotPetya.

Mūsų preliminariais duomenimis, tai ne Petya virusas, kaip minėta anksčiau, o nauja mums nežinoma kenkėjiška programa. Štai kodėl mes jį pavadinome NotPetya.

Bus du teksto laukai, pavadinti „Base64“ užkoduoti 512 baitų patvirtinimo duomenys ir „Base64“ užkoduoti 8 baitais. Norėdami gauti raktą, į šiuos du laukus turite įvesti programos ištrauktus duomenis.

Programa išduos slaptažodį. Jį turėsite įvesti įdėję diską ir pamatę viruso langą.

Kibernetinės atakos aukos

Labiausiai nuo nežinomo viruso nukentėjo Ukrainos įmonės. Užkrėsti Boryspilio oro uosto, Ukrainos vyriausybės, parduotuvių, bankų, žiniasklaidos ir telekomunikacijų įmonių kompiuteriai. Po to virusas pasiekė Rusiją. Išpuolio aukomis tapo „Rosneft“, „Bashneft“, „Mondelez International“, „Mars“, „Nivea“.

Net kai kurios užsienio organizacijos pranešė apie IT sistemų problemas dėl viruso: Didžiosios Britanijos reklamos kompanija WPP, Amerikos farmacijos kompanija Merck & Co, stambus Danijos krovinių vežėjas Maersk ir kt. Apie tai savo „Twitter“ paskyroje parašė Costinas Raiu, „Kaspersky Lab“ tarptautinės tyrimų grupės vadovas.