Вирус петя откуда взялся. Вирус Petya. Что это такое и как защититься? Как Уберечь Себя От Вируса Petya

23.06.2020

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A) . В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Однако несколько недель тому назад появился более изощренный вирус Mischa , судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Вредонос Mischa шифрует не только стандартные типы файлов (видео, картинки, презентации, документы), но также файлы.exe. Вирус не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

Удалить вирус Petya и Mischa c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Petya и Mischa

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Данное заключение стало результатом исследования сразу двух компаний - Comae Technologies и “Лаборатории Касперского”.

Оригинальный зловред Petya, обнаруженный в 2016 году, был машиной для зарабатывания денег. Данный образец определенно не предназначен для заработка. Угроза создана для быстрого распространения и нанесения ущерба и маскируется под шифровальщик.

NotPetya не является средством очистки диска. Угроза не удаляет данные, а просто делает их непригодными для использования, блокируя файлы и “выкидывая” ключи для расшифровки.

Старший исследователь из “Лаборатории Касперского” Хуан Андре Герреро-Сааде прокомментировал ситуацию:

В моей книге заражение программой-вымогателем без возможного механизма дешифрования эквивалентно очистке диска. Не обращая внимания на жизнеспособный механизм расшифровки, злоумышленники проявили полное пренебрежение к долгосрочной денежной выгоде.

Автор оригинального шифровальщика Petya написал в твиттере, что он никак не связан с разработкой NotPetya. Он стал уже вторым киберпреступником, который отрицает причастность к созданию новой схожей угрозы. Ранее автор шифровальщика AES-NI заявил, что не имеет никакого отношения к XData, который также использовался в таргетированных атаках на Украину. Кроме того, XData, также, как и NotPetya, использовал идентичный вектор распространения - серверы обновлений украинского производителя программного обеспечения для бухгалтерского учета.

Многие косвенные признаки подтверждают теорию о том, что кто-то взламывает известные шифровальщики и использует модифицированные версии для атаки на украинских пользователей.

Деструктивные модули под видом шифровальщика - уже обычная практика?

Подобные случаи уже встречались раньше. Применение вредоносных модулей для необратимого повреждения файлов под видом обычных шифровальщиков является далеко не новой тактикой. В современном мире это уже становится тенденцией.

В прошлом году семейства вредоносных программ Shamoon и KillDisk включали “компоненты шифровальщиков” и использовали похожие техники для уничтожения данных. Сейчас даже промышленные вредоносные программы получают функции очистки диска.

Классификация NotPetya в качестве средства уничтожения данных может легко перевести вредоносную программу в категорию кибероружия. В этом случае анализ последствий угрозы следует рассматривать с другой перспективы.

Учитывая, исходную точку заражения и количество жертв, становится очевидно, что целью хакерской атаки была Украина. На данный момент нет никаких очевидных доказательств, указывающих пальцем на атакующего, но украинские официальные лица уже обвинили Россию, которую они обвиняли также в прошлых кибер-инцидентах, начиная с 2014 года.

NotPetya может оказаться на одном уровне с хорошо известными семействами вредоносных программ Stuxnet и BlackEnergy, которые использовались в политических целях и для разрушительных эффектов. Свидетельства ясно показывают, что NotPetya - это кибероружие, а не просто очень агрессивный вид шифровальщика.

Во вторник вирус Petya/PetWrap/NotPetya атаковал учреждения и фирмы в России, Украине, Европе и США — всего около двух тысяч жертв. Вредоносная программа шифровала данные на компьютерах и просила выкуп в биткоинах. Рассказываем, что это за вирус, кто от него пострадал и кто его создал.

Что это за вирус?

Вредоносная программа, которая маскируется под вложения в электронной почте. Если пользователь скачивал его и запускал от имени администратора, то программа перезагружает компьютер и запускает якобы функцию проверки диска, а на самом деле шифрует сперва загрузочный сектор, а потом и остальные файлы. После этого пользователь видит сообщение с требованием оплатить сумму в биткоинах эквивалентную $300 взамен на код расшифровки данных.

❗️Вирус "Petya" в действии. Будьте осторожны, обновите Windows, не открывайте никаких ссылок, присланных на почту pic.twitter.com/v2z7BAbdZx
— Буквы (@Bykvu) June 27, 2017

Так работает вирус

Так работал вирус Petya. Его первую версию нашли ещё весной 2016 года . В «Лаборатории Касперского» заявляли , что данные на зашифрованном диске можно восстановить. Рецепт дешифровки тогда публиковал редактор Geektimes Максим Агаджанов. Есть и другие версии дешифровальщиков . Насколько они эффективны и подходят ли к новым версиям вируса, мы подтвердить не можем. Специалист по информационной безопасности Никита Кныш пишет на GitHub, что не подходят. Средства борьбы с вирусом после заражения на данный момент нет .

С какой версией вируса мы имеем дело сейчас, неизвестно. Более того, ряд экспертов считает, что мы имеем дело не с Petya. Служба безопасности Украины (СБУ) заявила , что госучреждения и фирмы страны атаковал вирус Petya.A и восстановить зашифрованные данные невозможно. В «Лаборатории Касперского» вечером во вторник сообщили , что «это не Petya», а некий новый вид вируса, названный экспертами NotPetya. Так же считают в компании «Доктор Веб». Yahoo News со ссылкой на неназванных экспертов пишет , что речь идёт о модификации Petya под названием PetrWrap. В компании Symantec заявили , что речь всё-таки идёт о Petya.

Глава международной исследовательской команды «Лаборатории Касперского» Костин Райю пишет , что вирус распространяется через письма с адреса Также он сообщил , что Petya/PetWrap/NotPetya скомпилировали 18 июня.

Один из вариантов страницы с требованием выкупа (фото: Avast Blog)

В «Лаборатории Касперского» также считают , что новый вирус использовал ту же уязвимость в Windows, что и WannaCry. Эта вредоносная программа поразила компьютеры по всему миру 12 мая. Она также шифровала данные на компьютере и требовала выкупа. Среди пострадавших были МВД России и мобильный оператор «Мегафон» . Microsoft ликвидировал уязвимость ещё в марте: от WannaCry и Petya/PetrWrap/NotPetya пострадали те, кто не обновил систему.

Кто от него пострадал?

Украина

Фото из харьковского супермаркета РОСТ, компьютеры которого тоже поразил вирус

— Ukraine / Україна (@Ukraine) June 27, 2017

Официальный твиттер Украины пытается приободрить граждан при помощи мема «This is fine»

Крупные компании «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Артериум», «Фармак», клиника «Борис», больница Феофания, «Укртелеком», «Укрпочта», украинский филиал сети супермаркетов «Ашан» , автозаправки Shell, WOG, Klo и ТНК.

СМИ: «Корреспондент.нет», «КП в Украине» «Обозреватель», «24 Канал», СТБ, «Интер», «Новый канал», ATR, радио «Люкс» , «Максимум» и «Эра-FM».

Компьютер в кабинете министров Украины (фото: Павел Розенко)

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya

Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».

Petya образца 2016 года — Costin Raiu (@craiu) June 27, 2017

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .

Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).

При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .