Новый вирус-шифровальщик атаковал крупные компании по всему миру

28.06.2017     
Вирус, получивший название Petya.A, схожий с известным вымогателем WannaCry, атаковал ряд крупных компаний в России.

Первые сообщения о хакерских атаках вируса шифровальщика поступили в понедельник 27 июня. Наиболее масштабно вирус затронул Россию и Украину, затем следуют Польша, Италия, Германия и Белоруссия. Вирус блокирует компьютеры и запрашивает в биткоинах выкуп эквивалентный сумме в 300 долларов (примерно 0,26 биткоина). 

В России вирус зашифровал файлы таких компаний, как «Роснефть», «Башнефть», Mars, Nivea и Mondelez International.

Как обезопасить себя от атаки

«Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445», – сообщили представители компании Group-IB, специализирующейся на информационной безопасности, агентству RNS.

Эксперты из Positive Technologies провели анализ образца вируса-вымогателя и определили, что его действия основаны на шифровании главной загрузочной записи (MBR) и загрузочного сектора диска с заменой его на свой собственный. Эта запись является первым сектором на жестком диске, в котором расположена таблица разделов и программа-загрузчик, считывающая из таблицы информацию о том, из какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

«После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся», – сообщается на сайте Positive Technologies.

Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, без которого данные восстановить невозможно. 

«Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика)», – также добавили эксперты из Positive Technologies. 

Если компьютер все же оказался заблокирован шифровальщиком, то отправлять вымогателям выкуп уже поздно. Почтовый сервис Posteo заблокировал единственный электронный ящик создателей вируса Petya.A, использовавшийся для подтверждения перевода выкупа, сообщает издание The Verge. 

Авторы зловреда использовали для перевода выкупа единственный почтовый адрес wowsmith123456@posteo.net. После блокировки мошенники не могут идентифицировать конкретное устройство и платеж, а также выслать инструкции по разблокировке. Издание просит не платить выкуп, поскольку теперь это бесполезно. 

Напомним, что в мае этого года другой вирус-шифровальщик атаковал пользователей более 150 стран аналогичным образом. 


Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. PerlAmutor 124 28.06.17 20:04 Сейчас в теме
До заражения создаете в папке C:\Windows пустой файл с именем "perfc" и ставите ему атрибут "Только чтение". Если вирус и попадет в систему, то он подумает, что она уже им заражена и не будет ничего делать. Во всяком случае, пока новую версию не выпустят.
AlenaR; Поручик; корум; kare; smartem; d.zhukov; +6 Ответить
6. v3rter 29.06.17 09:48 Сейчас в теме
8. PerlAmutor 124 29.06.17 10:41 Сейчас в теме
(6) т.к. в разных источниках говорят по разному, то я бы создал 3 файла: perfc, perfc.dat и perfc.dll
корум; +1 Ответить
2. vipetrov2 29.06.17 04:03 Сейчас в теме
Забавно, что вирус Петя вымогатель сначала появился на Украине)
9. Поручик 4506 29.06.17 13:04 Сейчас в теме
(2) 28 июня день конституции в Укро.. на украине. Всё это наводит на определённые мысли - украина, крым, донбасс, вирус.

Это жжжж неспроста. (с)
10. webester 35 30.06.17 03:36 Сейчас в теме
(9)
украина, крым, донбасс, вирус

Ну и? Развивайте мысль.
13. Поручик 4506 30.06.17 15:26 Сейчас в теме
(10) Чего развивать? И так понятно, что здесь пахнет духом народа из страны, в которой больше часовых поясов, чем у любой другой в мире.
14. ipoloskov 143 30.06.17 15:30 Сейчас в теме
(13) Британская Империя штоле?
15. webester 35 30.06.17 16:26 Сейчас в теме
(13)А может тот кто дал название хотел, что бы так пахло? Есть какой то источник запаха, кроме собственных размышлений?
3. d.zhukov 998 29.06.17 04:18 Сейчас в теме
Интересно почему только сейчас заговорили об этом. Ведь раньше тоже были подобные вымогатели
4. PerlAmutor 124 29.06.17 08:40 Сейчас в теме
(3) Это в свете военных конфликтов на планете и ухудшения отношений между странами. Т.к. эти вирусы используют уязвимость из утечки от АНБ. То это хороший повод в очередной раз обвинить какую-нибудь страну. Все пытаются обвинить друг друга в чем-то.
7. d.zhukov 998 29.06.17 10:03 Сейчас в теме
(4) Ничего подобного. были раньше и атаки на корпорации, и вымогатели были не хуже тех, что сейчас активно обсуждаются по тв. Ведь эти все разговоры для создания почвы к дальнейшей изоляции от неконтроллируемых сми (ютуб и т.д.), как и телеграмм со своим шифрованием. Лично мое мнение
silberRus; Ann.prog1C; pavlov_dv; +3 Ответить
5. ipoloskov 143 29.06.17 08:52 Сейчас в теме
Теперь надо ждать вируса Саша и Вова
11. stepashka 30.06.17 05:41 Сейчас в теме
Рекомендации по предотвращению заражения
1) Проверить журналы систем на наличие маркеров компрометации
2) На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP
3) Если заражение произошло ни в коем случае не допускать перезагрузки системы (cmd /k shutdown -a)
4) Системы, которые зашифрованы, не форматировать сразу, а снять образ диска (может потом появится какой-то ключ к расшифровке)
5) Блокировать запуск .exe в %AppData% та %Temp%
Оставьте свое сообщение

См. также

Минпросвещения начало эксперимент по внедрению электронных досье в детских садах

Новость ИТ-новость Цифровая экономика

Минпросвещения приступило к разработке системы, которая позволит собирать и хранить данные о школьниках и студентах. Цифровой профиль будет создан сразу же после зачисления ребенка в детский сад или первый класс.

11.06.2021    1112    VKuser24342747    0       

GitHub узнал, как совещания влияют на работоспособность программиста

Новость GitHub Аналитика ИТ-новость

GitHub провел исследование, чтобы выяснить, действительно ли отрыв от работы для обсуждения задач влияет на работу разработчиков. Анализ показал, что отвлечение в течение дня сильно снижает продуктивность сотрудника.

31.05.2021    2182    VKuser24342747    3       

Google показал фото новых офисов и рассказал о гибридном графике

Новость Google ИТ-новость

Google переводит сотрудников на гибридный график работы: три дня в неделю сотрудники будут работать из офиса, два дня в неделю – из дома. Поисковый гигант пересмотрел свои политики организации команд и показал обновленные офисы.

25.05.2021    4463    user1015646    0       

Осторожно, бонусы: компания устроила сотрудникам необычную проверку кибербезопасности

Новость Безопасность Интернет ИТ-новость

Киберпреступники часто атакуют пользователей с помощью писем, содержащих ссылки на фишинговые сайты. Они имитируют банковские и другие ресурсы, собирают личные и платежные данные, могут поставить под угрозу всю ИТ-инфраструктуру предприятия.

19.05.2021    2061    user1015646    4       

Минцифры переводит портал «Госуслуги» на отечественный софт

Новость Импортозамещение ИТ-новость Минкомсвязь Облачные технологии Цифровая экономика

В Министерстве цифрового развития рассказали о доступности бета-версии нового портала и планах дальнейшего развития. Наиболее заметные нововведения – новая ИТ-архитектура и полный отказ от поиска.

05.04.2021    4904    ЕленаЧерепнева    4       

Обладательница фамилии True полгода не может войти в аккаунт Apple iCloud

Новость Интернет ИТ-новость

Девушка по имени Рэйчел Тру (Rachel True) рассказала, что не может залогиниться в своей учетной записи Apple. Система авторизации iCloud преобразовывает ее фамилию в логический тип данных.

12.03.2021    8630    VKuser24342747    1       

Эксперты рассказали, почему вместе с Twitter замедлился GitHub и десятки других сайтов

Новость GitHub ИТ-новость Соцсети

Роскомнадзор впервые ограничил скорость доступа к сайту. Но, помимо Twitter, замедлились и другие ресурсы, например, GitHub, Reddit, Steam, Microsoft. Аналитики рассказали, почему так произошло.

11.03.2021    5393    user1015646    1       

Роскомнадзор замедлил работу Twitter в России

Новость Законодательство ИТ-новость Роскомнадзор Соцсети

Роскомнадзор с 10 марта начал замедлять работу Twitter в России. Причина ограничений – соцсеть игнорирует требования регулятора и не удаляет противоправный контент. 

10.03.2021    8131    SeiOkami    19       

Исследование: как пандемия изменила ожидания ИТ-шников от профессии

Новость ИТ-новость Цифровая экономика

Из-за пандемии коронавируса и ускоренной цифровой трансформации ИТ-специалисты испытывают повышенный стресс на работе. Большинство опрошенных с трудом переключается на личные дела в конце дня и чаще конфликтует с коллегами.

04.03.2021    5638    VKuser24342747    3       

Умер создатель Objective-C. Расскажем о его вкладе в развитие языков программирования

Новость ИТ-новость Языки программирования

Разработчик Брэд Кокс скончался на 76 году жизни. Вместе с Томом Лавом Кокс создал язык программирования Objective-C, который используют преимущественно для разработки приложений для macOS и iOS.

29.01.2021    5709    user1015646    3       

Разработчик может лишиться доступа к 280 млн долларов в биткоинах из-за забытого пароля

Новость Безопасность ИТ-новость

Новый год для мира криптовалют начался с подъема: биткоин пробил отметку в 40 тыс. долларов. Разработчик из Сан-Франциско Стефан Томас испытывает по этому поводу противоречивые чувства: он забыл пароль доступа к 7 тыс. биткоинов.

15.01.2021    3586    user1015646    7       

Сотрудники на удаленке чувствуют себя более измотанными, чем при работе в офисе

Новость ИТ-новость Новости компаний

Анонимный опрос, проведенный сервисом Blind, показал, что 68% технических работников на удаленке чувствуют себя более измотанными, чем когда они работали в офисе.

02.11.2020    4887    capitan    13       

Минэкономразвития предложило проактивное оказание госуслуг

Новость Автоматизация ИТ-новость Цифровая экономика

Портал госуслуг может начать предугадывать, какие сервисы понадобятся гражданам. Органы власти заранее подготовят необходимые документы для замены паспорта, прописки ребенка и других типовых задач.

04.09.2020    6750    VKuser24342747    0       

SuperJob проанализировал зарплаты выпускников российских ИТ-вузов

Новость ИТ-новость Образование

Сервис по поиску работы SuperJob составил список отечественных вузов, выпускники которых получают наиболее высокие заработные платы после окончания обучения. 

25.06.2020    8634    VKuser24342747    0       

Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования

Новость Образование

Министерство связи хочет выделить 300 млн рублей компаниям, предлагающим услуги онлайн-образования. Минфин опасается, что часть этих денег могут получить развлекательные и игровые сайты. 

22.05.2020    7537    VKuser24342747    1       

Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru

Новость Обучение, бизнес-тренинг, курсы

Организация работы в период пандемии – ценный опыт, которым нужно делиться. Продолжаем обсуждение вместе с бизнес-психологом, консультантом по подбору и развитию персонала – Еленой Дуюн. 

20.05.2020    12879    user997184    1       

Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот

Новость Новости компаний

Многие компании вынуждены были полностью или частично перейти на удаленный формат работы. Но после снятия карантинных ограничений большая часть российских работодателей намерена вернуть сотрудников в офисы. В США ситуация противоположная.

15.05.2020    8404    user1015646    9       

Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции

Новость Госдума Интернет

В России заработал портал, на котором собраны бесплатные ресурсы: развлекательные, образовательные и информационные. Они помогут провести время продуктивно, отдохнуть, заказать товары онлайн.

15.04.2020    7211    user1015646    0       

Минкомсвязи представило приложение для получения QR-пропусков на время карантина

Новость Минкомсвязь Мобильные приложения

В магазинах мобильных приложений появилась программа для получения QR-пропусков во время самоизоляции. В Минкомсвязи сообщили, что решение будет использоваться по всей России, кроме Москвы. 

14.04.2020    10362    VKuser24342747    2       

Опубликован список сайтов «бесплатного интернета»

Новость Интернет Минкомсвязь

Эксперимент продлится с 1 апреля по 1 июля 2020 года. Предполагается, что потоковое видео с сайтов при бесплатном доступе грузиться не будет.

10.04.2020    9233    AnastasiaKl    5       

Александр Жаров ушел из Роскомнадзора ради должности гендиректора «Газпром-Медиа»

Новость Роскомнадзор

Александр Жаров больше не возглавляет Роскомнадзор. Его место займет Андрей Липов, который руководит управлением президента по применению информационных технологий. 

25.03.2020    9144    VKuser24342747    0       

В России обсуждают введение нового вида занятости – удаленной работы

Новость Госдума Законодательство

Если поправки примут, работники смогут трудиться дома и в офисе по одному трудовому договору.

24.03.2020    8387    ЕленаЧерепнева    7       

На карантине: Google Chrome перестанет получать обновления до апреля

Новость Google

Google временно приостановила выпуск обновлений для Chrome. Команда разработчиков браузера переведена на удаленную работу и будет заниматься лишь исправлением проблем с безопасностью.

23.03.2020    10738    VKuser24342747    6       

Минкомсвязь не хочет компенсировать затраты операторов на «бесплатный» интернет

Новость Минкомсвязь Телекоммуникации

Доступ к сайту госуслуг и другим социально значимым ресурсам обещали сделать бесплатным с 1 марта. Но запуск проекта пришлось отложить: Минкомсвязь не успела согласовать нужные документы. 

17.03.2020    9808    user1015646    6       

Фельдшерам и учителям не хватило компьютеров для подключения к интернету

Новость Образование Цифровая экономика

Школам и фельдшерским пунктам не досталось компьютеров, положенных по проекту «Цифровая экономика». Заведения так и не получили возможность выхода в интернет. 

05.03.2020    7263    VKuser24342747    4