Вирус «Петя»: как не поймать, как расшифровать, откуда взялся – последние новости о шифровальщике Petya (ExPetr). Как вирус (Not)Petya распространяется по миру и что с ним делать

Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.

Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya

Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом

При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это

ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:

Как Уберечь Себя От Вируса Petya

Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip

Что Делать Если Компьютер Уже Поражён Вирусом Petya

Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk

Кто Распространил Вирус Петя По Всей Украине

Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя

ТАЛЛИН, 28 июн — РИА Новости, Николай Адашкевич. Компьютерный вирус-вымогатель Petya атаковал компьютеры в Эстонии и Польше.

В Эстонии закрыты все 11 строительных магазинов сети Ehituse ABC, принадлежащей французскому концерну Saint-Gobain, сообщил член правления компании Антон Кутсер.

"Сейчас мы занимаемся решением проблемы. У нас локализованные компьютерные системы для защиты данных. Как только проблема будет решена, сообщим об этом клиентам. Сейчас все магазины Ehituse ABC закрыты", — приводит эстонский портал Delfi слова Кутсера.

В Польше проблема коснулась компаний логистической отрасли. Были атакованы небольшие фирмы и сервисно-торговые центры. В сообщении портала niebezpiecznik.pl отмечалось, что "никто не должен поэтому чувствовать себя в безопасности". Информацию об атаках подтвердил директор бюро управления службами безопасности компании Exatel Якуб Сыта. По его словам, масштаб произошедшего пока неясен. Премьер страны Беата Шидло созывает в среду кризисный штаб в связи с кибератаками.

Как отмечает "Лаборатория Касперского", от нового вируса пострадали более двух тысяч пользователей. Случаи заражения наблюдались также в Италии, Великобритании, Германии, Франции, США и некоторых других странах.

В России серьезных сбоев после кибератак не зафиксировано, рассказал пресс-секретарь президента Дмитрий Песков. "Достаточно эффективно работают системы защиты и на государственном уровне, и на корпоративном уровне. Президентский интернет-ресурс работает устойчиво", — заметил он.

Microsoft проводит расследование из-за распространения нового вируса, команды поддержки во всем мире готовы оперативно помогать пострадавшим пользователям, рассказала РИА Новости пресс-секретарь компании в России Кристина Давыдова.

Глобальная атака вируса-вымогателя во вторник поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов.

Вирус блокирует компьютеры и требует 300 долларов в биткоинах, сообщили РИА Новости в компании Group-IB. Атака началась около 11:00. Способ распространения в локальной сети аналогичен вирусу WannaCry. По данным СМИ, на 18:00 биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов, с учетом комиссии за переводы пострадавшие отправили хакерам порядка 2,7 тысячи долларов.

По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу по странам, пострадавшим от вируса, на втором месте после Украины — Италия, а на третьем — Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.

Началась эпидемия вируса-шифровальщика. Однозначного мнения о происхождении и природе зловреда у специалистов нет. Они отмечают, что он похож на вирус Petya, который известен еще с начала прошлого года, причём в том апреле уже был готов дешифровщик. Однако для распространения новая модификация - её называют NonPetya, ExPetya, Petya.A - использует «свежие» уязвимости. В том числе и ту, через которую в мае прорывался на компьютеры WannaCry.

Новый «Петя» попадает на компьютер, шифрует файлы, пытается пробиться на соседние машины, после чего перезагружает систему. Во время загрузки он имитирует работу утилиты проверки жёсткого диска, а потом раскрывает карты: файлы зашифрованы, нужен выкуп. Денег просят 300 долларов, но обязательно в Биткоинах. Поскольку Bitcoin позволяет посмотреть все операции и баланс, зная только адрес кошелька, мы выяснили, что за первые сутки атаки вымогатель получил около 10 тысяч долларов.

Информация по Bitcoin-кошельку вымогателя (на момент публикации)

Типичная картина во многих российских офисах вчера

Как Петя заражает

Есть два совершенно разных этапа: попадание внутрь какой-то сети и распространение в ней.

Чтобы «Петя» попал на какой-нибудь компьютер в сети организации, его просто присылают по электронной почте. Происходит это так. Сотрудник получает письмо с офисным документом. При открытии Word (или Excel, или другое приложение из пакета) предупреждает пользователя, что в документе содержится указатель на внешний файл. Если это предупреждение проигнорировать, то скачается и запустится, собственно, вирус. А если на компьютере давно не обновляли MS Office, то предупреждение даже не появится.

После этого начинается вторая жизнь «Пети». Зашифровав файлы и перезаписав загрузочную область жёсткого диска, он пытается попасть на другие компьютеры в той же сети. Для этого у него есть два метода. Первый - уязвимость в сетевой службе SMBv1. Она отвечает за «Сетевое окружение», но эта самая версия номер 1 на практике давно не используется. При этом она включена по умолчанию даже в современных версиях Windows. Эта уязвимость стала достоянием общественности в марте, когда эксплуатирующий её код оказался среди утечек из АНБ, и её же использовал вирус WannaCry, поразивший тысячи компьютеров в мае. После той эпидемии только самые ленивые или смелые не установили заплатки для Windows.

Но есть и второй способ. «Петя», если он запущен пользователем с правами администратора, получает информацию обо всех учётных записях на компьютере, в том числе доменных - сетевых, используемых в этой организации. Вооружившись такой информацией, вирус может получить доступ к другим компьютерам в сети и заразить их.

Что делать, если заразился

Во-первых, ни в коем случае не переводите деньги на биткоин-кошелек. Хостер уже заблокировал почтовый ящик, на которой, по инструкции вируса, жертва должна отправить доказательства оплаты. Даже если авторы зловреда собирались сдержать слово и получив деньги выдать ключи для разблокировки, они уже не смогут сделать это.

Во-вторых, примите как данность, что, скорее всего, вы не сможете расшифровать данные на этом компьютере. Специалисты по информационной безопасности советуют просто сразу отформатировать винчестер и начать восстанавливать файлы из бекапов.

Что делать, если еще не заразился

Создайте в директории C:\Windows файл с именем perfc (без расширения, однако есть сведения, что подходит и имя perfc.dat ) и в свойствах файла поставьте галочку «Только чтение». Вирус проверяет наличие этого файла, и если видит его, то считает, что компьютер уже «в работе».

Регулярно делайте резервные копии ваших данных на внешний носитель. Это может быть и просто внешний диск (но он не должен быть постоянно подключен), или сетевая служба, не дающая прямого доступа к файлам копии, или облако - опять-таки с возможностью вернуться к предыдущим версиям файлов.

Необычной вымогательской малвари. Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что малварь использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.

В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом малвари. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.

Тем не менее, специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа малварь заявляет, что сочетает в себе функции блокировщика и шифровальщика разом.

Фишинговое письмо HR специалисту

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого).

Запуск этого.exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты G DATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне.onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

Специалисты G DATA пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, малварь просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.

Посмотреть на «Петю» в действии можно в ролике ниже.

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 - примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX . Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

На данный момент число транзакций увеличилось до 45.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec , а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен .

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации , каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях . Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows \ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

• C:\Windows\perfс
• Задача в планировщике Windows с пустым именем и действием (перезагрузка)
• "%WINDIR%\system32\shutdown.exe /r /f"

• msg: " Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
• msg: " ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
• msg: " Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
• msg: " Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
• msg:" SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1