Noong Hunyo 27, ang mga bansa sa Europa ay tinamaan ng isang pag-atake ng isang ransomware virus na kilala sa ilalim ng hindi nakapipinsalang pangalang Petya (sa iba't ibang mga mapagkukunan ay makikita mo rin ang mga pangalang Petya.A, NotPetya at GoldenEye). Ang ransomware ay humihingi ng ransom sa mga bitcoin na katumbas ng $300. Dose-dosenang malalaking kumpanya ng Ukrainian at Ruso ang nahawahan, at ang pagkalat ng virus ay naitala din sa Spain, France at Denmark.
Sino ang tinamaan?
Ukraine
Ang Ukraine ay isa sa mga unang bansang inatake. Ayon sa mga paunang pagtatantya, humigit-kumulang 80 kumpanya at ahensya ng gobyerno ang inatake:
Ngayon, hindi lamang ini-encrypt ng virus ang mga indibidwal na file, ngunit ganap na inaalis ang access ng user sa hard drive. Gumagamit din ang ransomware ng pekeng electronic signature ng Microsoft, na nagpapakita sa mga user na ang program ay binuo ng isang pinagkakatiwalaang may-akda at ginagarantiyahan ang seguridad. Pagkatapos makahawa sa isang computer, binabago ng virus ang espesyal na code na kinakailangan upang mai-load ang operating system. Bilang resulta, kapag nagsimula ang computer, hindi ang operating system ang na-load, ngunit ang malisyosong code.
Paano protektahan ang iyong sarili?
- Isara ang mga TCP port 1024–1035, 135, at 445.
- I-update ang mga database ng iyong mga produkto ng antivirus.
- Dahil ipinamahagi ang Petya gamit ang phishing, huwag magbukas ng mga email mula sa hindi kilalang mga mapagkukunan (kung kilala ang nagpadala, suriin kung ligtas ang email), maging matulungin sa mga mensahe mula sa mga social network mula sa iyong mga kaibigan, dahil maaaring ma-hack ang kanilang mga account.
- Virus naghahanap ng file C:\Windows\perfc, at kung hindi nito mahanap, lumilikha ito at magsisimula ng impeksiyon. Kung mayroon nang ganoong file sa computer, pagkatapos ay matatapos ang virus na gumana nang walang impeksyon. Kailangan mong lumikha ng isang walang laman na file na may parehong pangalan. Tingnan natin ang prosesong ito.
— Hacker Fantastic (@hackerfantastic)
Noong Martes, inatake ng Petya/PetWrap/NotPetya virus ang mga institusyon at kumpanya sa Russia, Ukraine, Europe at United States - halos dalawang libong biktima sa kabuuan. Ang malware ay nag-encrypt ng data sa mga computer at humingi ng ransom sa bitcoins. Sinasabi namin sa iyo kung anong uri ito ng virus, sino ang nagdusa nito at kung sino ang lumikha nito.
Anong klaseng virus ito?
Isang malisyosong programa na nagpapanggap bilang mga email attachment. Kung na-download ito ng user at pinatakbo ito bilang isang administrator, ire-reboot ng program ang computer at ilulunsad ang dapat na function ng disk check, ngunit sa katunayan, ini-encrypt muna nito ang boot sector at pagkatapos ay ang iba pang mga file. Pagkatapos nito, nakikita ng user ang isang mensahe na humihiling na magbayad ng halaga sa mga bitcoin na katumbas ng $300 bilang kapalit ng data decryption code.
❗️Petya virus na kumikilos. Mag-ingat, i-update ang Windows, huwag buksan ang anumang mga link na ipinadala sa pamamagitan ng email pic.twitter.com/v2z7BAbdZx
— Mga Sulat (@Bykvu) Hunyo 27, 2017
Ito ay kung paano gumagana ang isang virus
Ganito gumana ang Petya virus. Ang unang bersyon nito ay natagpuan noong tagsibol ng 2016. Sinabi ng Kaspersky Lab na ang data sa isang naka-encrypt na disk ay maaaring mabawi. Ang recipe ng decryption ay inilathala noon ng editor ng Geektimes na si Maxim Agadzhanov. Mayroong iba pang mga bersyon ng mga decryptor. Hindi namin makumpirma kung gaano kabisa ang mga ito at kung ang mga ito ay angkop para sa mga bagong bersyon ng virus. Ang espesyalista sa seguridad ng impormasyon na si Nikita Knysh ay nagsusulat sa GitHub na hindi sila angkop. Sa kasalukuyan ay walang paraan upang labanan ang virus pagkatapos ng impeksyon.
Hindi alam kung aling bersyon ng virus ang kinakaharap natin ngayon. Bukod dito, naniniwala ang isang bilang ng mga eksperto na hindi tayo nakikipag-usap sa Petya. Sinabi ng Security Service of Ukraine (SBU) na ang mga institusyon at kumpanya ng gobyerno sa bansa ay inatake ng Petya.A virus at imposibleng maibalik ang naka-encrypt na data. Sa Kaspersky Lab noong Martes ng gabi iniulat na "ito ay hindi Petya," ngunit ilang bagong uri ng virus, na tinatawag na NotPetya ng mga eksperto. Ganoon din ang paniniwala ng Doctor Web. Ang Yahoo News, na binanggit ang hindi pinangalanang mga eksperto, ay nagsusulat na pinag-uusapan natin ang isang pagbabago ng Petya na tinatawag na PetrWrap. Sinabi ni Symantec na pinag-uusapan pa rin natin ang tungkol kay Petya.
Pinuno ng internasyonal na pangkat ng pananaliksik sa Kaspersky Lab Costin Raiu nagsusulat na ang virus ay kumakalat sa pamamagitan ng mga titik mula sa address Gayundin siya iniulat, na pinagsama-sama ng Petya/PetWrap/NotPetya noong ika-18 ng Hunyo.
Isa sa mga opsyon para sa isang page na may ransom demand (larawan: Avast Blog)
Naniniwala din ang Kaspersky Lab na sinamantala ng bagong virus ang parehong kahinaan sa Windows bilang WannaCry. Ang malware na ito ay tumama sa mga computer sa buong mundo noong ika-12 ng Mayo. Nag-encrypt din siya ng data sa computer at humingi ng ransom. Kabilang sa mga biktima ay ang Russian Ministry of Internal Affairs at ang mobile operator na Megafon. Inalis ng Microsoft ang kahinaan noong Marso: ang mga hindi nag-update ng system ay nagdusa mula sa WannaCry at Petya/PetrWrap/NotPetya.
Sino ang nagdusa nito?
Ukraine
Larawan mula sa Kharkov supermarket ROST, na ang mga computer ay naapektuhan din ng virus
— Ukraine / Україна (@Ukraine) Hunyo 27, 2017
Sinusubukan ng opisyal na Twitter ng Ukraine na pasayahin ang mga mamamayan gamit ang meme na "Magaling ito".
Mga malalaking kumpanya na "Kievvodokanal", "Novus", "Epicenter", "Arcellor Mittal", "Arterium", "Farmak", "Boris" clinic, Feofaniya hospital, "Ukrtelecom", "Ukrposhta", Ukrainian branch ng supermarket chain " Mga istasyon ng gasolina ng Auchan”, Shell, WOG, Klo at TNK.
Media: “Korrespondent.net”, “KP sa Ukraine”, “Observer”, “24 Channel”, STB, “Inter”, “New Channel”, ATR, radio “Lux”, “Maximum” at “Era-FM” .
Computer sa Gabinete ng mga Ministro ng Ukraine (larawan: Pavel Rozenko)
Ang mga kumpanya sa buong mundo noong Martes, Hunyo 27, ay nagdusa mula sa isang malakihang cyberattack ng malware na ipinamahagi sa pamamagitan ng email. Ini-encrypt ng virus ang data ng user sa mga hard drive at nangingikil ng pera sa mga bitcoin. Marami ang agad na nagpasya na ito ang Petya virus, na inilarawan noong tagsibol ng 2016, ngunit naniniwala ang mga tagagawa ng antivirus na ang pag-atake ay nangyari dahil sa ilang iba pang, bagong malware.
Isang malakas na pag-atake ng hacker noong hapon ng Hunyo 27 ang unang tumama sa Ukraine, at pagkatapos ay ilang malalaking kumpanya ng Russia at dayuhan. Ang virus, na inakala ng marami na Petya noong nakaraang taon, ay kumakalat sa mga computer na may operating system ng Windows sa pamamagitan ng spam email na may link na, kapag na-click, ay magbubukas ng window na humihiling ng mga karapatan ng administrator. Kung pinapayagan ng user ang program na ma-access ang kanyang computer, ang virus ay magsisimulang humingi ng pera mula sa user - $300 sa bitcoins, at ang halaga ay dumoble pagkaraan ng ilang panahon.
Ang Petya virus, na natuklasan noong unang bahagi ng 2016, ay kumalat ayon sa eksaktong parehong pattern, kaya maraming mga gumagamit ang nagpasya na ito na. Ngunit ang mga espesyalista mula sa mga kumpanya ng pagpapaunlad ng software ng antivirus ay nagpahayag na na may iba pang, ganap na bagong virus, na pag-aaralan pa rin nila, ang dapat sisihin sa pag-atake. Ang mga eksperto mula sa Kaspersky Lab ay mayroon na binigay ang pangalan ng hindi kilalang virus ay NotPetya.
Ayon sa aming paunang data, hindi ito ang Petya virus, tulad ng nabanggit kanina, ngunit isang bagong malware na hindi namin alam. Kaya naman tinawag namin itong NotPetya.
Magkakaroon ng dalawang text field na may pamagat na Base64 na naka-encode ng 512 bytes na data ng pag-verify at Base64 na naka-encode ng 8 bytes. Upang matanggap ang susi, kailangan mong ipasok ang data na nakuha ng programa sa dalawang field na ito.
Magbibigay ang programa ng isang password. Kakailanganin mong ipasok ito sa pamamagitan ng pagpasok ng disc at pagtingin sa window ng virus.
Mga biktima ng cyber attack
Ang mga kumpanyang Ukrainian ay higit na nagdusa mula sa hindi kilalang virus. Ang mga computer ng Boryspil airport, ang Ukrainian government, mga tindahan, bangko, media at mga kumpanya ng telekomunikasyon ay nahawahan. Pagkatapos nito, ang virus ay umabot sa Russia. Ang mga biktima ng pag-atake ay ang Rosneft, Bashneft, Mondelez International, Mars, Nivea.
Maging ang ilang mga dayuhang organisasyon ay nag-ulat ng mga problema sa mga IT system dahil sa virus: ang British advertising company na WPP, ang American pharmaceutical company na Merck & Co, ang malaking Danish cargo carrier na Maersk at iba pa. Si Costin Raiu, pinuno ng internasyonal na pangkat ng pananaliksik sa Kaspersky Lab, ay sumulat tungkol dito sa kanyang Twitter.
Petrwrap/Petya ransomware variant na may contact [email protected] kumakalat, sa buong mundo malaking bilang ng mga bansang apektado.
Inatake ng Petya ransomware virus ang mga computer sa Ukraine, Russia, Sweden, Holland, Denmark at iba pang mga bansa. Ang paglitaw ng virus ay naitala lamang sa Asya: sa India, ang sistema ng pamamahala ng daloy ng kargamento ng pinakamalaking container port ng bansa ay nabigo. Gayunpaman, ang Ukraine ay higit na nagdusa - ang Kharkov airport ay ganap na paralisado, ang trabaho ay naibalik sa Boryspil airport, ngunit ang pangunahing server ay hindi pa rin gumagana. Sa kabuuan, humigit-kumulang 300 libong mga computer ang na-block ang gumagamit ng $300 upang ma-unlock ang data. Sa ngayon, humigit-kumulang $5,000 ang ibinayad sa mga hacker mula sa 20 user, ayon sa ulat ng Next Web.
Sino ang dapat sisihin?
Sa gabi, ang cyber police department ng National Police of Ukraine ay nag-ulat sa pahina ng Facebook nito na ang pag-atake sa Ukraine ay isinagawa sa pamamagitan ng pag-uulat at programa sa pamamahala ng dokumento na "M.E.doc":
Iniulat ng pulisya na nagsimula ang pag-atake sa 10:30 oras ng Moscow, pagkatapos na ilunsad ng mga developer ng software ang susunod na update. Kasabay nito, ang mga may-akda ng mga programa para sa automation ng dokumento mismo ay tiyak na tinatanggihan ang kanilang paglahok at nagbibigay ng mga detalyadong argumento:
Nang maglaon, lumitaw ang isang mensahe sa pahina ng Cyber Police na hindi nila inaakusahan ang kumpanya ng M.E.doc, ngunit sinasabi lamang na ang mga katotohanan ay natukoy na dapat na ma-verify nang detalyado. Gayunpaman, hindi pa rin inirerekomenda ang pag-install ng update:
Sino si Petya?
Tulad ng sinabi ng mga eksperto sa Positive Technologies sa site, ito ay isang malware na ang prinsipyo ng pagpapatakbo ay batay sa pag-encrypt ng master boot record (MBR) ng boot sector ng disk at pinapalitan ito ng sarili nitong.
Kahit na nahawa na ang computer, ang user ay may natitira pang 1-2 oras upang patakbuhin ang bootrec /fixMbr na utos upang ibalik ang MBR at ibalik ang operating system, ngunit ang mga file ay hindi magagawang i-decrypt.
Bilang karagdagan, nagagawa ni Petya na i-bypass ang mga update sa seguridad ng system na na-install pagkatapos ng pag-atake ng WannaCry, kaya naman napakabisa nito at kumakalat na parang avalanche sa ibang mga computer. Ipinaglalaban nito ang kontrol sa lahat ng node sa domain, na katumbas ng kumpletong kompromiso ng imprastraktura.
Noong Martes, Hunyo 27, ang mga kumpanyang Ukrainian at Ruso ay nag-ulat ng isang napakalaking pag-atake ng virus: ang mga computer sa mga negosyo ay nagpakita ng isang mensahe ng ransom. Naisip ko kung sino ang muling nagdusa dahil sa mga hacker at kung paano protektahan ang iyong sarili mula sa pagnanakaw ng mahalagang data.
Petya, tama na
Ang sektor ng enerhiya ang unang inatake: Ang mga kumpanyang Ukrainian na Ukrenergo at Kyivenergo ay nagreklamo tungkol sa virus. Naparalisa ng mga umaatake ang kanilang mga computer system, ngunit hindi ito nakaapekto sa katatagan ng mga power plant.
Ang mga Ukrainians ay nagsimulang mag-publish ng mga kahihinatnan ng impeksyon sa online: sa paghusga sa pamamagitan ng maraming mga larawan, ang mga computer ay inaatake ng isang ransomware virus. Isang mensahe ang lumabas sa screen ng mga apektadong device na nagsasaad na ang lahat ng data ay naka-encrypt at ang mga may-ari ng device ay kailangang magbayad ng $300 ransom sa Bitcoin. Gayunpaman, hindi sinabi ng mga hacker kung ano ang mangyayari sa impormasyon kung sakaling hindi kumilos, at hindi man lang nagtakda ng countdown timer hanggang sa masira ang data, tulad ng nangyari sa pag-atake ng WannaCry virus.
Iniulat ng National Bank of Ukraine (NBU) na ang trabaho ng ilang mga bangko ay bahagyang naparalisa dahil sa virus. Ayon sa Ukrainian media, naapektuhan ng pag-atake ang mga opisina ng Oschadbank, Ukrsotsbank, Ukrgasbank, at PrivatBank.
Ang mga network ng computer ng Ukrtelecom, Boryspil Airport, Ukrposhta, Nova Poshta, Kievvodokanal at ang Kyiv Metro ay nahawahan. Bilang karagdagan, ang virus ay tumama sa mga Ukrainian mobile operator - Kyivstar, Vodafone at Lifecell.
Nang maglaon, nilinaw ng media ng Ukrainian na pinag-uusapan natin ang Petya.A malware. Ibinahagi ito ayon sa karaniwang pamamaraan para sa mga hacker: ang mga biktima ay pinadalhan ng mga phishing na email mula sa mga dummies na humihiling sa kanila na buksan ang isang naka-attach na link. Pagkatapos nito, ang virus ay tumagos sa computer, nag-encrypt ng mga file at humihingi ng ransom para sa pag-decryption sa kanila.
Ipinahiwatig ng mga hacker ang bilang ng kanilang Bitcoin wallet kung saan dapat ilipat ang pera. Sa paghusga sa impormasyon ng transaksyon, ang mga biktima ay naglipat na ng 1.2 bitcoins (higit sa 168 libong rubles).
Ayon sa mga information security specialist mula sa Group-IB, mahigit 80 kumpanya ang naapektuhan ng pag-atake. Sinabi ng pinuno ng kanilang crime lab na ang virus ay walang kaugnayan sa WannaCry. Upang ayusin ang problema, pinayuhan niya na isara ang mga TCP port 1024–1035, 135 at 445.
Sino ang dapat sisihin
Nagmadali siyang ipalagay na ang pag-atake ay isinaayos mula sa teritoryo ng Russia o Donbass, ngunit hindi nagbigay ng anumang ebidensya. Ministro ng Imprastraktura ng Ukraine nakita bakas sa salitang "virus" at isinulat sa kanyang Facebook na "hindi nagkataon na magtatapos ito sa RUS," pagdaragdag ng isang kumikindat na emoticon sa kanyang hula.
Samantala, inaangkin niya na ang pag-atake ay hindi konektado sa umiiral na "malware" na kilala bilang Petya at Mischa. Sinasabi ng mga eksperto sa seguridad na ang bagong alon ay nakaapekto hindi lamang sa mga kumpanya ng Ukrainian at Ruso, kundi pati na rin sa mga negosyo sa ibang mga bansa.
Gayunpaman, ang kasalukuyang "malware" ay kahawig ng kilalang Petya virus sa interface nito, na kumalat sa pamamagitan ng mga link ng phishing ilang taon na ang nakakaraan. Sa katapusan ng Disyembre, isang hindi kilalang hacker na responsable sa paglikha ng Petya at Mischa ransomware ay nagsimulang magpadala ng mga nahawaang email na may naka-attach na virus na tinatawag na GoldenEye, na kapareho ng mga nakaraang bersyon ng ransomware.
Ang kalakip sa regular na liham, na madalas natatanggap ng mga empleyado ng departamento ng HR, ay naglalaman ng impormasyon tungkol sa pekeng kandidato. Sa isa sa mga file ay maaaring makahanap ng isang resume, at sa susunod - ang installer ng virus. Pagkatapos ang pangunahing target ng umaatake ay mga kumpanya sa Germany. Sa loob ng 24 na oras, mahigit 160 empleyado ng kumpanyang Aleman ang nahulog sa bitag.
Hindi matukoy ang hacker, ngunit halatang fan siya ng Bond. Ang mga programang Petya at Mischa ay ang mga pangalan ng mga satellite ng Russia na "Petya" at "Misha" mula sa pelikulang "Golden Eye", na sa balangkas ay mga electromagnetic na armas.
Ang orihinal na bersyon ng Petya ay nagsimulang aktibong ipamahagi noong Abril 2016. Mahusay itong nag-camouflag ng sarili sa mga computer at nagpanggap bilang mga lehitimong programa, na humihiling ng pinalawig na mga karapatan ng administrator. Pagkatapos ng pag-activate, ang programa ay kumilos nang labis na agresibo: nagtakda ito ng isang mahigpit na deadline para sa pagbabayad ng ransom, na humihingi ng 1.3 bitcoins, at pagkatapos ng deadline, nadoble nito ang kabayaran sa pera.
Totoo, pagkatapos ay mabilis na natagpuan ng isa sa mga gumagamit ng Twitter ang mga kahinaan ng ransomware at lumikha ng isang simpleng programa na, sa loob ng pitong segundo, ay nakabuo ng isang susi na nagpapahintulot sa iyo na i-unlock ang computer at i-decrypt ang lahat ng data nang walang anumang mga kahihinatnan.
Hindi sa unang pagkakataon
Noong kalagitnaan ng Mayo, ang mga computer sa buong mundo ay inatake ng katulad na ransomware virus, WannaCrypt0r 2.0, na kilala rin bilang WannaCry. Sa loob lamang ng ilang oras, naparalisa nito ang daan-daang libong Windows device sa mahigit 70 bansa. Kabilang sa mga biktima ang mga pwersang panseguridad ng Russia, mga bangko at mga mobile operator. Sa sandaling nasa computer ng biktima, na-encrypt ng virus ang hard drive at hiniling na magpadala ang mga umaatake ng $300 sa mga bitcoin. Tatlong araw ang inilaan para sa pagmuni-muni, pagkatapos nito ay nadoble ang halaga, at pagkatapos ng isang linggo ang mga file ay na-encrypt magpakailanman.
Gayunpaman, ang mga biktima ay hindi nagmamadaling magbayad ng ransom, at ang mga gumawa ng malware