Op 27 juni werden Europese landen getroffen door een aanval door een ransomware-virus dat bekend staat onder de onschuldige naam Petya (in verschillende bronnen vind je ook de namen Petya.A, NotPetya en GoldenEye). De ransomware eist een losgeld in bitcoins ter waarde van $300. Tientallen grote Oekraïense en Russische bedrijven zijn besmet, en de verspreiding van het virus wordt ook geregistreerd in Spanje, Frankrijk en Denemarken.
Wie werd geraakt?
Oekraïne
Oekraïne was een van de eerste landen die werd aangevallen. Volgens voorlopige schattingen werden ongeveer 80 bedrijven en overheidsinstanties aangevallen:
Tegenwoordig versleutelt het virus niet alleen individuele bestanden, maar ontneemt het de gebruiker volledig de toegang tot de harde schijf. De ransomware maakt ook gebruik van een valse elektronische handtekening van Microsoft, die gebruikers laat zien dat het programma is ontwikkeld door een vertrouwde auteur en de veiligheid garandeert. Nadat het virus een computer heeft geïnfecteerd, wijzigt het de speciale code die nodig is om het besturingssysteem te laden. Als gevolg hiervan wordt bij het opstarten van de computer niet het besturingssysteem geladen, maar kwaadaardige code.
Hoe jezelf beschermen?
- Sluit TCP-poorten 1024–1035, 135 en 445.
- Update de databases van uw antivirusproducten.
- Omdat Petya wordt verspreid via phishing, open geen e-mails van onbekende bronnen (als de afzender bekend is, controleer dan of de e-mail veilig is), wees alert op berichten van sociale netwerken van je vrienden, aangezien hun accounts kunnen worden gehackt.
- Virus op zoek naar bestand C:\Windows\perfc, en als het het niet vindt, creëert en start het een infectie. Als een dergelijk bestand al op de computer bestaat, werkt het virus zonder infectie. U moet een leeg bestand met dezelfde naam maken. Laten we dit proces eens nader bekijken.
— Hacker Fantastisch (@hackerfantastic)
Dinsdag viel het Petya/PetWrap/NotPetya-virus instellingen en bedrijven in Rusland, Oekraïne, Europa en de Verenigde Staten aan - in totaal ongeveer tweeduizend slachtoffers. De malware versleutelde gegevens op computers en vroeg om losgeld in bitcoins. We vertellen u wat voor soort virus dit is, wie er last van heeft gehad en wie het heeft veroorzaakt.
Wat voor soort virus is dit?
Een kwaadaardig programma dat zich voordoet als e-mailbijlagen. Als de gebruiker het heeft gedownload en als beheerder heeft uitgevoerd, start het programma de computer opnieuw op en start het de zogenaamde schijfcontrolefunctie, maar in feite codeert het eerst de opstartsector en vervolgens de rest van de bestanden. Hierna ziet de gebruiker een bericht waarin wordt gevraagd een bedrag in bitcoins te betalen dat gelijk is aan €300,- in ruil voor een gegevensdecoderingscode.
❗️Petya-virus in actie. Wees voorzichtig, update Windows, open geen links die per e-mail zijn verzonden pic.twitter.com/v2z7BAbdZx
— Brieven (@Bykvu) 27 juni 2017
Dit is hoe een virus werkt
Dit is hoe het Petya-virus werkte. De eerste versie werd in het voorjaar van 2016 gevonden. Kaspersky Lab verklaarde dat gegevens op een gecodeerde schijf kunnen worden hersteld. Het decoderingsrecept werd vervolgens gepubliceerd door Geektimes-redacteur Maxim Agadzhanov. Er zijn andere versies van decryptors. We kunnen niet bevestigen hoe effectief ze zijn en of ze geschikt zijn voor nieuwe versies van het virus. Informatiebeveiligingsspecialist Nikita Knysh schrijft op GitHub dat ze niet geschikt zijn. Er zijn momenteel geen middelen om het virus na infectie te bestrijden.
Met welke versie van het virus we nu te maken hebben, is niet bekend. Bovendien zijn een aantal experts van mening dat we niet met Petya te maken hebben. De Veiligheidsdienst van Oekraïne (SBU) stelde dat overheidsinstellingen en bedrijven in het land zijn aangevallen door het Petya.A-virus en dat het onmogelijk is om versleutelde gegevens te herstellen. Bij Kaspersky Lab op dinsdagavond gemeld dat “dit niet Petya is”, maar een nieuw type virus, door experts NotPetya genoemd. Doctor Web gelooft hetzelfde. Yahoo News schrijft, onder verwijzing naar niet bij naam genoemde experts, dat we het hebben over een aanpassing van Petya genaamd PetrWrap. Symantec zei dat we het nog steeds over Petya hebben.
Hoofd van het internationale onderzoeksteam van Kaspersky Lab Costin Raiu schrijft dat het virus zich verspreidt via brieven vanaf het adres Ook hij gemeld, die Petya/PetWrap/NotPetya op 18 juni heeft samengesteld.
Een van de opties voor een pagina met een vraag om losgeld (foto: Avast Blog)
Kaspersky Lab is ook van mening dat het nieuwe virus misbruik maakte van dezelfde kwetsbaarheid in Windows als WannaCry. Deze malware trof computers over de hele wereld op 12 mei. Ze versleutelde ook de gegevens op de computer en eiste losgeld. Onder de slachtoffers waren het Russische ministerie van Binnenlandse Zaken en de mobiele operator Megafon. Microsoft elimineerde de kwetsbaarheid al in maart: degenen die het systeem niet updaten, leden aan WannaCry en Petya/PetrWrap/NotPetya.
Wie heeft er last van gehad?
Oekraïne
Foto van de Kharkov-supermarkt ROST, waarvan de computers ook door het virus waren getroffen
— Oekraïne / Україна (@Oekraïne) 27 juni 2017
De officiële Twitter van Oekraïne probeert burgers op te vrolijken met de meme ‘Dit is prima’
Grote bedrijven “Kievvodokanal”, “Novus”, “Epicenter”, “Arcellor Mittal”, “Arterium”, “Farmak”, “Boris” kliniek, Feofaniya ziekenhuis, “Ukrtelecom”, “Ukrposhta”, Oekraïense tak van de supermarktketen “ Auchan”, Shell, WOG, Klo en TNK tankstations.
Media: “Korrespondent.net”, “KP in Oekraïne”, “Observer”, “24 Channel”, STB, “Inter”, “New Channel”, ATR, radio “Lux”, “Maximum” en “Era-FM” .
Computer in het kabinet van ministers van Oekraïne (foto: Pavel Rozenko)
Bedrijven over de hele wereld werden op dinsdag 27 juni getroffen door een grootschalige cyberaanval van malware die via e-mail werd verspreid. Het virus versleutelt gebruikersgegevens op harde schijven en perst geld af in bitcoins. Velen besloten meteen dat dit het Petya-virus was, dat in het voorjaar van 2016 werd beschreven, maar antivirusfabrikanten denken dat de aanval plaatsvond vanwege andere, nieuwe malware.
Een krachtige hackeraanval op de middag van 27 juni trof eerst Oekraïne, en daarna verschillende grote Russische en buitenlandse bedrijven. Het virus, dat door velen werd aangezien voor Petya van vorig jaar, verspreidt zich op computers met het Windows-besturingssysteem via een spam-e-mail met een link die, wanneer erop wordt geklikt, een venster opent waarin om beheerdersrechten wordt gevraagd. Als de gebruiker het programma toegang geeft tot zijn computer, begint het virus geld van de gebruiker te eisen - $300 in bitcoins, en het bedrag verdubbelt na enige tijd.
Het Petya-virus, begin 2016 ontdekt, verspreidde zich volgens precies hetzelfde patroon, waardoor veel gebruikers besloten dat dit het was. Maar specialisten van antivirussoftware-ontwikkelingsbedrijven hebben al verklaard dat een ander, volledig nieuw virus, dat ze nog zullen bestuderen, verantwoordelijk is voor de aanval. Experts van Kaspersky Lab hebben dat al gedaan gegeven de naam van het onbekende virus is NotPetya.
Volgens onze voorlopige gegevens gaat het niet om het Petya-virus, zoals eerder vermeld, maar om een nieuwe, voor ons onbekende malware. Daarom noemden we het NotPetya.
Er zullen twee tekstvelden zijn met de titel Base64-gecodeerde 512 bytes verificatiegegevens en Base64-gecodeerde 8 bytes nonce. Om de sleutel te ontvangen, moet u de door het programma geëxtraheerde gegevens in deze twee velden invoeren.
Het programma geeft een wachtwoord af. U moet het invoeren door de schijf te plaatsen en het virusvenster te zien.
Slachtoffers van een cyberaanval
Oekraïense bedrijven leden het meest onder het onbekende virus. De computers van de luchthaven Boryspil, de Oekraïense overheid, winkels, banken, media- en telecommunicatiebedrijven waren besmet. Hierna bereikte het virus Rusland. De slachtoffers van de aanval waren Rosneft, Bashneft, Mondelez International, Mars, Nivea.
Zelfs enkele buitenlandse organisaties meldden problemen met IT-systemen als gevolg van het virus: het Britse reclamebedrijf WPP, het Amerikaanse farmaceutische bedrijf Merck & Co, de grote Deense vrachtvervoerder Maersk en anderen. Costin Raiu, hoofd van het internationale onderzoeksteam van Kaspersky Lab, schreef hierover op zijn Twitter.
Petrwrap/Petya ransomware-variant met contact [e-mailadres beveiligd] zich verspreidt, wereldwijd een groot aantal getroffen landen.
Het Petya-ransomwarevirus viel computers aan in Oekraïne, Rusland, Zweden, Nederland, Denemarken en andere landen. In Azië is zojuist de opkomst van het virus geregistreerd: in India heeft het vrachtstroombeheersysteem van de grootste containerhaven van het land gefaald. Oekraïne heeft echter het meest geleden: de luchthaven van Charkov is volledig lamgelegd, het werk op de luchthaven Boryspil is hersteld, maar de hoofdserver werkt nog steeds niet. In totaal worden ongeveer 300.000 computers geblokkeerd; de gebruiker moet $300 betalen om de gegevens te ontgrendelen. Tot nu toe is er ongeveer $ 5.000 betaald aan de hackers van twintig gebruikers, meldt Next Web.
Wie is de schuldige?
'S Nachts meldde de cyberpolitie van de Nationale Politie van Oekraïne op haar Facebook-pagina dat de aanval op Oekraïne werd uitgevoerd via het rapportage- en documentbeheerprogramma “M.E.doc”:
De politie meldt dat de aanval om 10.30 uur Moskouse tijd begon, nadat de softwareontwikkelaars de volgende update hadden uitgerold. Tegelijkertijd ontkennen de auteurs van programma's voor documentautomatisering zelf categorisch hun betrokkenheid en geven ze gedetailleerde argumenten:
Later verscheen op de pagina van de Cyberpolitie een bericht dat ze het bedrijf M.E.doc niet beschuldigden, maar alleen stelden dat er feiten waren geïdentificeerd die tot in detail moesten worden gecontroleerd. Het wordt echter nog steeds niet aanbevolen om de update te installeren:
Wie is Petya?
Zoals experts van Positive Technologies de site vertelden, is dit een malware waarvan het werkingsprincipe is gebaseerd op het coderen van het master boot record (MBR) van de opstartsector van de schijf en het vervangen ervan door zijn eigen record.
Zelfs nadat de computer is geïnfecteerd, heeft de gebruiker nog 1 tot 2 uur de tijd om de opdracht bootrec /fixMbr uit te voeren om de MBR en het besturingssysteem te herstellen, maar de bestanden kunnen niet worden gedecodeerd.
Bovendien kan Petya systeembeveiligingsupdates omzeilen die na de WannaCry-aanval zijn geïnstalleerd. Daarom is het zo effectief en verspreidt het zich als een lawine naar andere computers. Het vecht voor controle over alle knooppunten in het domein, wat neerkomt op een volledige compromis over de infrastructuur.
Op dinsdag 27 juni meldden Oekraïense en Russische bedrijven een enorme virusaanval: computers bij bedrijven vertoonden een bericht over losgeld. Ik kwam erachter wie opnieuw last had van hackers en hoe je jezelf kunt beschermen tegen diefstal van belangrijke gegevens.
Petya, dat is genoeg
De energiesector werd als eerste aangevallen: de Oekraïense bedrijven Ukrenergo en Kyivenergo klaagden over het virus. De aanvallers legden hun computersystemen lam, maar dit had geen invloed op de stabiliteit van de energiecentrales.
Oekraïners begonnen de gevolgen van de infectie online te publiceren: aan de hand van talloze foto’s werden computers aangevallen door een ransomware-virus. Er verscheen een bericht op het scherm van de getroffen apparaten waarin stond dat alle gegevens gecodeerd waren en dat apparaateigenaren een losgeld van $300 in Bitcoin moesten betalen. De hackers zeiden echter niet wat er met de informatie zou gebeuren als er niets werd gedaan, en stelden zelfs geen afteltimer in totdat de gegevens werden vernietigd, zoals het geval was bij de WannaCry-virusaanval.
De Nationale Bank van Oekraïne (NBU) meldde dat het werk van verschillende banken gedeeltelijk lam lag als gevolg van het virus. Volgens Oekraïense media trof de aanval de kantoren van Oschadbank, Ukrsotsbank, Ukrgasbank en PrivatBank.
De computernetwerken van Ukrtelecom, Boryspil Airport, Ukrposhta, Nova Poshta, Kievvodokanal en de Kiev Metro waren besmet. Bovendien trof het virus Oekraïense mobiele operators - Kyivstar, Vodafone en Lifecell.
Later maakten Oekraïense media duidelijk dat we het over de Petya.A-malware hebben. Het wordt verspreid volgens het gebruikelijke schema voor hackers: slachtoffers krijgen phishing-e-mails van dummies waarin ze worden gevraagd een bijgevoegde link te openen. Hierna dringt het virus de computer binnen, codeert de bestanden en eist losgeld voor het decoderen ervan.
De hackers gaven het nummer van hun Bitcoin-portemonnee aan waarnaar het geld moest worden overgemaakt. Afgaande op de transactie-informatie hebben de slachtoffers al 1,2 bitcoins (ruim 168 duizend roebel) overgemaakt.
Volgens invan Group-IB werden ruim 80 bedrijven getroffen door de aanval. Het hoofd van hun misdaadlaboratorium merkte op dat het virus geen verband houdt met WannaCry. Om het probleem op te lossen adviseerde hij de TCP-poorten 1024–1035, 135 en 445 te sluiten.
Wie is de schuldige
Ze haastte zich om aan te nemen dat de aanval was georganiseerd vanuit het grondgebied van Rusland of de Donbass, maar leverde geen enkel bewijs. Minister van Infrastructuur van Oekraïne zaag aanwijzing in het woord ‘virus’ en schreef op zijn Facebook dat ‘het geen toeval is dat het eindigt op RUS’, en voegde een knipogende emoticon toe aan zijn gok.
Ondertussen beweert hij dat de aanval op geen enkele manier verband houdt met bestaande ‘malware’ bekend als Petya en Mischa. Beveiligingsexperts beweren dat de nieuwe golf niet alleen Oekraïense en Russische bedrijven heeft getroffen, maar ook ondernemingen in andere landen.
De interface van de huidige “malware” lijkt echter op het bekende Petya-virus, dat een paar jaar geleden via phishing-links werd verspreid. Eind december begon een onbekende hacker die verantwoordelijk was voor het maken van de Petya en Mischa-ransomware geïnfecteerde e-mails te verzenden met een bijgevoegd virus genaamd GoldenEye, dat identiek was aan eerdere versies van de ransomware.
In de bijlage bij de reguliere brief, die medewerkers van de HR-afdeling vaak ontvingen, stond informatie over de nepkandidaat. In een van de bestanden zou je een cv kunnen vinden, en in de volgende - het virusinstallatieprogramma. Toen waren de belangrijkste doelwitten van de aanvaller bedrijven in Duitsland. In de loop van 24 uur trapten ruim 160 medewerkers van het Duitse bedrijf in de val.
Het was niet mogelijk de hacker te identificeren, maar het is duidelijk dat hij een Bond-fan is. De Petya- en Mischa-programma's zijn de namen van de Russische satellieten "Petya" en "Misha" uit de film "Golden Eye", die in de plot elektromagnetische wapens waren.
De originele versie van Petya werd in april 2016 actief verspreid. Het camoufleerde zichzelf vakkundig op computers en deed zich voor als legitieme programma's, waarbij om uitgebreide beheerdersrechten werd verzocht. Na activering gedroeg het programma zich extreem agressief: het stelde een strikte deadline vast voor het betalen van het losgeld, eiste 1,3 bitcoins, en na de deadline verdubbelde het de geldelijke compensatie.
Het is waar dat een van de Twitter-gebruikers snel de zwakke punten van de ransomware ontdekte en een eenvoudig programma creëerde dat in zeven seconden een sleutel genereerde waarmee je de computer kon ontgrendelen en alle gegevens zonder enige gevolgen kon decoderen.
Niet voor de eerste keer
Half mei werden computers over de hele wereld aangevallen door een vergelijkbaar ransomware-virus, WannaCrypt0r 2.0, ook wel bekend als WannaCry. Binnen een paar uur legde het honderdduizenden Windows-apparaten in meer dan 70 landen lam. Onder de slachtoffers waren Russische veiligheidstroepen, banken en mobiele operators. Eenmaal op de computer van het slachtoffer versleutelde het virus de harde schijf en eiste dat de aanvallers $300 aan bitcoins zouden sturen. Er werd drie dagen uitgetrokken voor reflectie, waarna het bedrag werd verdubbeld en na een week de bestanden voor altijd werden gecodeerd.
De slachtoffers hadden echter geen haast om het losgeld te betalen, en de makers van de malware ook