Вымогатель PETYA (ExPetr). Новости, способы лечения, обсуждение.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,628
Реакции
13,985
Эксперты компании G DATA сообщают об обнаружении необычной вымогательской малвари. Вымогатель Petya - это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что малварь использует "военный алгоритм шифрования" и шифрует весь жесткий диск сразу, пишет xakep.ru.

В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом малвари. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.

Тем не менее специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа малварь заявляет, что сочетает в себе функции блокировщика и шифровальщика разом.






Фишинговое письмо HR специалисту

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портфолио по ссылке располагается малварь - файл application_portfolio-packed.exe (в переводе с немецкого).






Фальшивое портфолио

Запуск этого .exe файла приводит к падению системы в "синий экран смерти" и последующей перезагрузке. Эксперты G DATA полагают, что перед ребутом вредонос вмешивается в работу MBR с целью перехвата управления процессом загрузки.






Фейковый CHKDSK

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи "военного алгоритма шифрования" и восстановить их невозможно.






Для восстановления доступа к системе и расшифровки данных жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение семи дней, сумма выкупа удваивается. "Купить" у атакующего предлагается специальный "код расшифровки", вводить который нужно прямо на экране локера.






Специалисты G DATA пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, малварь просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.
www.dsnews.ua
 

Candellmans

Аксакал
Сообщения
7,157
Реакции
9,690
Три копейки к материалу
Вирус-вымогатель ExPetr атакует компьютеры всего мира
28.06.2017

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.


Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

01.jpg

thenextweb.com

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

02.jpg

Leon Compton / Twitter

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30. «Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.

Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Источники:

ЗЫ:Петя вырос до ExPert-а :Mosking:
 
Последнее редактирование:

SeeOn

Активный пользователь
Сообщения
345
Реакции
66
Насколько я понял, метода расшифровки фалов еще не найдено.

Хакерские атаки 27 июня перевернули с ног на голову жизнь в Украине и мире. Вирус Petya.A поразил сотни компаний и учреждений, они потеряли доступ к компьютерам из-за массовой хакерской атаки неизвестного происхождения. В Украине пострадали банковская система, предприятия инфраструктуры и энергетики, СМИ, автозаправки, правительственные учреждения и тому подобное.

27 июня в Украине начались массовые хакерские атаки. Около 12 часов вирус-вымогатель неизвестного происхождения, похожий на WannaCry, атаковал компьютерные системы сотен госучреждений и компаний. Этот вирус называется Petya.A или mbr locker 256.

Заражение вирусом начинается после скачивания на компьютер специального файла. В ряд компаний Petya.A попал через отделы кадров под видом писем с резюме.

В Украине много известных компаний, предприятий и государственных учреждений подверглись атаке Petya.A.

Кого атаковал вирус Petya.A: список компаний и учреждений
Банки:
НБУ;
Ощадбанк;
Южный;
ОТП;
ПУМБ;
ТАСКомерцбанк;
Укргазбанк;
Расчетный центр;
Мега банк, Кристалл банк;
Укрсоцбанк;
Радабанк;
Кредо банк;
Idea банк;
Юнисон;
Первый инвестиционный банк;
Кредит Оптима;
Траст капитал;
Проминвестбанк;
Реконструкции и развития;
Вернум;
Глобус.

Предприятия энергетики, коммунальные:
ДТЭК;
Укрэнерго;
Киевэнерго;
Запорожьеоблэнерго;
Днепровская электроэнергетическая система;
Киевводоканал;
Харьковгаз и другие.

Предприятия инфраструктуры:
Аэропорт "Борисполь";
"Укрзализныця";
Киевский метрополитен и другие.

Сети заправок:
ОККО;
ТНК;
WOG;
KLO;
Shell.

Мобильные операторы:
Киевстар;
Vodafone;
Lifecell.

Медицина:
Компания "Фармак";
Клиника "Борис";
Больница "Феофания" (по неподтвержденным данным).

Компании:
Укрпочта;
"Новая почта";
Укртелеком;
ГП "Антонов".

Торговля:
Сеть гипермаркетов "Эпицентр";
"GoodWine";
По неподтвержденным данным: "Караван", "Ашан".

Власть, государственные учреждения:
Сайт Кабинета Министров;
Сайт Львовского горсовета;
Системы Днепровской горсовета;
Сайт ГСЧС;
ГП "Документ";
Чернобыльская АЭС;
Укргаздобыча.

СМИ:
Медиахолдинг ТРК "Люкс" (24 Канал, радио "Люкс", Радио Максимум, Zaxid.net, Без Табу);
Украинский медиахолдинг ( "Комсомольская правда в Украине", "Корреспондент", Football.ua);
Черноморская ТРК;
Телеканал ATR;
По некоторым данным – "Интер" и UA: Первый.
Источник: Хакерские атаки в Украине: список компаний, пораженных вирусом Petya.A - Телеканал новостей 24
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,628
Реакции
13,985
Походу зловред использует уязвимость MS17-10. У нас (Украина) основным вектором заражения стал взломанный M.E.Doc.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,239
Реакции
6,418
Походу зловред использует уязвимость MS17-10.
Да, так что кто до сих пор даже после эпидемии Wanna Cry не поставил себе патч ССЗБ.
У нас (Украина) основным вектором заражения стал взломанный M.E.Doc.
Ога, они даже на своём сайте написали, что находятся под атакой.
Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
На месте модераторов я бы потёр это. Ибо как справедливо заметил Sandor, это устаревшая и для этой вариции это бесполезно от слово совсем. Так что не надо вводить людей в заблуждение.

И добавлю совет, если кто заметил, что компьютер перезагрузился внезапно и пошёл чек-диск. То можно прямо во время этой проверки вырубить комп и всё файлы будут целы и их можно будет скопировать загрузившись с Live CD.

И ещё добавлю, что вирус не трогает сетевые диски.
 

Candellmans

Аксакал
Сообщения
7,157
Реакции
9,690
Эксперты: NotPetya – не вымогательское ПО, а кибероружие

Исследователи выяснили истинные мотивы операторов NotPetya.

Вредоносное ПО Petya.A (оно же NotPetya, SortaPetya и Petna), за два дня зашифровавшееданные на тысячах компьютеров по всему миру, на самом деле не вымогательская программа, а кибероружие. Как показал анализ, проведенный экспертами «Лаборатории Касперского» и Comae Technologies, вредонос представляет собой инструмент для уничтожения данных на жестком диске с целью саботажа работы предприятий и организаций.

По словам исследователей, NotPetya действует подобно вымогателю, однако не предоставляет никакой возможности восстановить файлы. Дело даже не в том, что немецкий почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.

NotPetya генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки (вредонос не использует C&C-сервер). Как пояснилэксперт ЛК Антон Иванов, поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен. То есть, даже если жертва заплатит требуемый выкуп, нет никаких шансов получить назад свои файлы. В связи с этим эксперты пришли к выводу, что главной целью операторов NotPetya была не финансовая выгода, а саботаж.

Злоумышленники хотели не обогатиться, а посеять хаос, уверены исследователи. За два дня заплатить выкуп согласились только 45 жертв NotPetya. Именно столько переводов было осуществлено на биткойн-кошелек, указанный в уведомлении с требованием выкупа. В общей сложности киберпреступники «заработали» на NotPetya только 3,99 биткойна (порядка $10,3 тыс.). Эта сумма ничтожно мала по сравнению с $1млн, который получилиоператоры вымогателя Erebus, заразившие всего одну компанию в Южной Корее.

Стоит отметить, NotPetya не удаляет данные с жесткого диска, но шифрует их без возможности восстановления, что равнозначно удалению. Согласно твитуавтора оригинального вымогателя Petya, NotPetya – не его рук дело. Такое же заявление в свое время сделал разработчик AES-NI по поводу вымогателя XData. И NotPetya, и XData использовали один и тот же вектор атаки – обновления ПО для бухучета, используемого украинскими организациями. Возможно, за обоими вредоносами стоят одни и те же люди, желавшие внести хаос в работу украинских организаций.

http://www.securitylab.ru/news/487008.php
 
Последнее редактирование:

SeeOn

Активный пользователь
Сообщения
345
Реакции
66
На месте модераторов я бы потёр это. Ибо как справедливо заметил Sandor, это устаревшая и для этой вариции это бесполезно от слово совсем. Так что не надо вводить людей в заблуждение.
Именно так, я потом уже заметил, что этот метод устарел, но вот потереть сам не смог, кнопка пропала. Поэтому прошу прощения.
У нас (Украина) основным вектором заражения стал взломанный M.E.Doc.
И еще не опытные юзеры сами впустили заразу в сеть.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,628
Реакции
13,985
И еще не опытные юзеры сами впустили заразу в сеть.
Да, но в нашем случае этот процент стремиться к нулю. При помощи Медок отсылается отчетность в налоговые органы, а зараженный компьютер бухгалтера делает в сети все остальное. Основная проблема (на мой взгляд) это "лень" админов накатить патчи после атаки wannacry... отличное же было предупреждение, а теперь мы имеем парализованные сети крупных предприятий. А если еще сервера были на windows, то ситуация еще веселее.
 

Newbie

Активный пользователь
Сообщения
135
Реакции
187
Больше интересует вопрос, кто и зачем энто сделал. Про кибероружие - бред несусветный.
На затравку 2 конспирологические версии:
1. Агрессивная реклама (смотрите мол - чиво могём)
2. Шумовое прикрытие чиво-то более интересного
Имеют право на существование энти версии? Шо скажут it-мастодонты?
 

SeeOn

Активный пользователь
Сообщения
345
Реакции
66
Да, но в нашем случае этот процент стремиться к нулю.
Не скажите, фишинговая рассылка тоже имела место, и довольно много. Сам зам. министра информационной политики подтвердил это.
Фото с его страницы(Dmytro Zolotukhin):
19430071_1537992522918791_5869862839806332230_n.jpg

Проработав на гос. службе, знаю как сотрудники служб и предприятий относятся к таким письмам. Я думаю адрес почты, с которого пришло письмо, уже должно вызвать подозрение ибо все письма от гос установ должны быть отправлены с адресов "@gov.ua". Об содержании письма вообще судить не стоит, тот кто разбирается хоть немного в юриспруденции сразу должен был заподозрить неладное. У нас на гос службе многие до сих пор качают песни с exe расширением:Biggrin:!!! Результат, думаю известен всем!
Про кибероружие - бред несусветный.
Да ладно. 28 июня в Украине большой гос праздник и выходной, а 27 июня "долбили" крупные и значимые гос учреждения и предприятия, а также крупные фирмы и банки. Совпадение? Не думаю!:Biggrin:
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,250
Реакции
6,279
Насколько мне известно,атаки были и на РФ и Белоруссию.
В РФ нет никакого медок и все было сложнее.
Были атаки на энергосистемы,финансовые структуры,создавались опасные и аварийные ситуации на таких объектах как,например,ГЭС.
И вирусом петя тут не пахло.
Никто ничего не вымогал и не шифровал - целью явно было нанести ущерб.
А с учетом того,как быстро это перестало освещаться в сми - можно полагать что дело серьезное.
Осмелюсь предположить, что на Украине и в РФ произошла лишь обкатка методов и технологий.
Веселье впереди.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,669
При помощи Медок отсылается отчетность в налоговые органы
akok, эта прога только для отсылок или это уже разработали аналог 1С?
Основная проблема (на мой взгляд) это "лень" админов накатить патчи после атаки wannacry...
Это факт...
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,628
Реакции
13,985

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,644
Реакции
6,101
Вот интересно, почему вот так сразу этот вирус назвали деструктивным и направленным на дестабилизацию Украины. Как всегда, грязная политика.
Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик».
Выходит, во всём виноват немецкий сервис, из-за которого нет возможности получить ключ.

Я думаю адрес почты, с которого пришло письмо, уже должно вызвать подозрение ибо все письма от гос установ должны быть отправлены с адресов "@gov.ua".
Там взломали сервера самой компании M.E.Doc и подменили обновления.

New ransomware, old techniques: Petya adds worm capabilities
The unique key used for files encryption (AES) is added, in encrypted form, to the README.TXT file the threat writes under section “Your personal installation key:”.
Достаточно выйти на злоумышленников и достать приватный RSA ключ. Так что данные окончательно ещё не потеряны.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,239
Реакции
6,418
Выходит, во всём виноват немецкий сервис, из-за которого нет возможности получить ключ.
1) Заблокировали конечно из-за того, чтобы не поощрять злодеев на создание дальнейших вымогатей.
2) Если бы даже не заблокировали, то в этом вымогателе расшифровка не предусмотрена. То есть тут у тебя нет никакого уникального ID который ты мог бы сообщить и чтобы по нему тебе дали бы ключ.
Вот интересно, почему вот так сразу этот вирус назвали деструктивным и направленным на дестабилизацию Украины. Как всегда, грязная политика.
Потому, что Медок используется на Украине, таким образом потенциальными жертвами попавшими под удар были украинцы. А остальные страны задело просто рикошетом.
Да и потом вспомнить предыдущий шифратор рахунок, который вроде тоже через обновления медка попадал. Так тут уже прямо из названия расширения видно, что на украинцев нацелен.
Достаточно выйти на злоумышленников и достать приватный RSA ключ. Так что данные окончательно ещё не потеряны.
вот поэтому и очень актуально обращение в полицию, подробней как делать читать в Мой компьютер заражен вирусом, я хочу обратиться в полицию. И напомню, что преценденты когда злоедеев арестовывали и делали публичную бесплатную расшифровку уже есть.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,644
Реакции
6,101
То есть тут у тебя нет никакого уникального ID который ты мог бы сообщить и чтобы по нему тебе дали бы ключ.
Так здесь ID не используется и ничего во внешнюю сеть не отправляется. Выбирается рандомом ключ AES, который шифруется RSA и пишется в файл readme. Достаточно получить расшифрованный AES даже без программы-дешифровщика.
Потому, что Медок используется на Украине, таким образом потенциальными жертвами попавшими под удар были украинцы. А остальные страны задело просто рикошетом.
Да и потом вспомнить предыдущий шифратор рахунок, который вроде тоже через обновления медка попадал. Так тут уже прямо из названия расширения видно, что на украинцев нацелен.
Ну, в таргеттированности атаки вопросов не возникает. Сомнения на счёт деструктивности. С другой стороны, злоумышленники должны были понимать, что обычную почту легко заблокируют, поэтому странно с их стороны было выбирать для связи ненадёжный канал. Если только они не специально так сделали (как удобно, да? - возвращаемся к теории "Деструктивность").
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,628
Реакции
13,985
Сверху Снизу