Вирусы WannaCry и Petya атакуют — последние новости

Мир атаковал Petya: от вируса-вымогателя пострадали компании в РФ и на Украине

Вирусы WannaCry и Petya атакуют — последние новости

МОСКВА, 27 июня. /ТАСС/. Новая модификация вируса-вымогателя, который блокирует доступ к данным и требует деньги за разблокировку, во вторник атаковала десятки компаний и организаций в России и на Украине, а затем распространилась по всему миру.

Как сообщили в «Лаборатории Касперского», данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. «Больше всего инцидентов было зафиксировано в России и на Украине, однако имеется информация о заражениях в других странах», — сообщает компания.

Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые организации на Украине и в России стал вирус-шифровальщик Petya. Он блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В Group-IB также установили, что недавно этот вирус использовала группа Cobalt, чтобы скрыть следы целевой атаки на финансовые учреждения.

По предварительным оценкам, атакованы около 80 компаний, причем большая часть из них — украинские: заражены компьютерные системы Ощадбанка, Укргазбанка, банка «Пивденный», банка «ОТР», ТАСКомбанка.

Атаке подверглись также основные украинские сотовые операторы — «Киевстар», Vodafone и lifecell, «Укртелеком», «Укрзализныця» (Украинские железные дороги), госпредприятие «Антонов», «Укрпочта» и «Киевводоканал», аэропорт «Борисполь», киевский метрополитен, компьютерные системы кабинета министров и сайта правительства Украины.

В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). В настоящее время не работают сайты «Татнефти» и Магнитогорского металлургического комбината. Банк России также сообщил о кибератаках на российские кредитные организации, которые, однако, не привели к нарушениям в работе банков.

Как рассказал ТАСС руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский, новое семейство шифровальщиков содержит некоторые признаки, которые присутствуют в вирусе Petya, но более детальный анализ показывает, что это новая модификация трояна.

Откуда он пришел

Вирус-вымогатель Petya в различных модификациях известен с прошлого года. Тогда о нем сообщала и «Лаборатория Касперского» в своем блоге.

Компания отмечала, что вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску.

В отличие от традиционных троянов, Petya модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.

Гендиректор ГК InfoWatch (специализируется на кибербезопасности) Наталья Касперская рассказала ТАСС, что первый вариант вируса Petya требовал права администратора, без которых он был бессилен. По этой причине Petya объединился с другим вирусом, Misha, который имел права администратора. Получилась улучшенная версия шифровальщика, отметила Касперская.

Новая версия Petya, как сообщил в своем руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю, была обнаружена 18 июня этого года. В отличие от предыдущей, эта модификация имеет поддельную цифровую подпись Microsoft.

По данным Group-IB, Petya распространяется в локальной сети таким же способом, как и аналогичный WannaCry. В Microsoft сообщили, что знают о ситуации и проводят расследование.

Что делать пострадавшим

В последний раз крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая.

Атака проводилась в рамках масштабной операции неизвестных хакеров, которые при помощи вируса WannaCry «напали» на компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс.

кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.

К счастью, WannaCry содержал ошибку в алгоритме своего распространения, говорит Касперская. «Довольно быстро эту ошибку вскрыли, и через эту уязвимость в вирусе стало возможным его удаление и лечение», — сказала, уточнив, что при отсутствии такой ошибки победить вирус очень сложно.

По информации представителя «Лаборатории Касперского», хакеры, которые стоят за Petya, уже получили в свой кошелек платежи от девяти пользователей.

Однако, заявила Касперская, выкуп не гарантирует восстановления поврежденных файлов. «К сожалению, на практике, даже если платить вымогателям, они не часто открывают файлы.

Гарантии здесь нет, и трудно дать рекомендацию пострадавшим», — добавила она.

Закоржевский из «Лаборатории Касперского» отмечает, что существуют альтернативные средства по восстановлению файлов: «Такие, как Shadow Copy, если оно активировано, это средство Windows. Мы пока не можем подтвердить, что однозначно это поможет, но в случае с последним шифровальщиком WannaCry из-за ряда недоработок была возможность восстановить некоторые файлы».

Закоржевский также посоветовал пользователям не предпринимать ничего, кроме установки защитного ПО, чтобы не потерять файлы, которые еще можно восстановить.

Пострадавшие и избежавшие

Работу большинства российских компаний вирус не затронул. Так, российские операторы связи заявили, что не зафиксировали атак.

Пресс-служба Московской биржи также сообщила, что специалисты компании не зафиксировали признаков атак на IT-системы биржи. Вирус не затронул и Санкт-Петербургскую биржу.

Системный оператор Единой энергетической системы (единолично осуществляет управление в Единой энергетической системе России), госкорпорация «Росатом» и ее структуры не выявили целенаправленных хакерских или вирусных на свои информационные системы. «Российские железные дороги», «КамАЗ» и «АвтоВАЗ» также на наблюдали кибератаки на компьютерные системы.

Сотовые операторы заявили, что случаев заражения новым вирусом не было. «Все подразделения компании работают в штатном режиме, услуги оператора оказываются в полном объеме», — сказали в пресс-службе «Мегафона». В «Вымпелкоме» также сообщили, что все системы работают в штатном режиме.

«На сеть МТС ежедневно производятся атаки различного уровня сложности. За счет эффективной системы информационной безопасности мы отражаем их», — подчеркнули в пресс-службе МТС, добавив, что все работает в штатном режиме и компания мониторит ситуацию.

Не зафиксировали атаки вируса и в российских интернет- компаниях «Яндекс» и Mail.ru Group. Атаки не затронули и торговые сети X5 Retail Group и российского «Ашана».

В то же время кибератакам подверглись крупные предприятия по всему миру. Вредоносная программа затронула американскую научно-исследовательскую фармацевтическую компанию Merck, датскую судоходную компанию A.P. Moller-Maersk и британскую рекламную компанию WPP.

По информации Ведомства по защите информационных систем (BSI) ФРГ, немецкие предприятия также попали под масштабную хакерскую атаку.

Источник: https://tass.ru/ekonomika/4369892

Эпидемия шифровальщика WannaCry: что произошло и как защититься

Вирусы WannaCry и Petya атакуют — последние новости

(Пост обновлен 17 мая)

12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic..com/RlhAs9bdSx

— Kaspersky (@Kaspersky_ru) October 20, 2016

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил.

Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать.

Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так.

Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда.

В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

  • Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.
  • Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
  • Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
  • Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

У нас есть отдельный пост с советами для бизнес-пользователей.

Источник: https://www.kaspersky.ru/blog/wannacry-ransomware/16147/

Все, что известно о вирусе WannaCry и Petya.A | ВЕСТИ

Вирусы WannaCry и Petya атакуют — последние новости

Эксперты по кибербезопасности заявили «Вестям» — атакует системы новая модификация вируса-шифровальщика WannaCry, первая вспышка которого была месяц назад

WannaCry он же  WannaCrypt — специальная программа, которая блокирует все данные в системе и оставляет пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor — инструмент для разблокировки данных. Вирус-вымогатель, который попадает на устройство через съемные носители или через открытие вредных аттачментов (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Напомним, что компьютеры под управлением операционных систем Windows по всему миру 12 мая 2017 года подверглись самой масштабной атаке за последнее время.

Кибератака преследует цель вымогать у жертв деньги — 300 долларов США, но в цифровой валюте, так называемых биткоинах. Для этого вирус-вымогатель шифрует данные компьютера пользователя, требуя выкуп за расшифровку.

Требования WannaCry чрезмерно опасны: если в течение трех дней пользователь не заплатит выкуп, требуемая сумма увеличивается до 600 долларов. После семи дней восстановить данные будет невозможно, угрожают нападающие. Атака считается опасной, потому что вирус копирует сам себя до бесконечности, если находит другие компьютеры, в которых есть аналогичная дыра в системе безопасности.

Кто может заразиться?

Вирус распространяется только на компьютеры, как передает DW, на которых установлена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003.

По информации главы Европола Роба Уэйнрайта, жертвами WannaCry стали более 200 тысяч компьютеров в 150 странах, причем многие пострадавшие – это представители бизнеса, включая огромные корпорации.

В частности, вирус поразил ряд компьютерных систем немецкого железнодорожного концерна Deutsche Bahn.

В Великобритании были заражены компьютерные системы многих больниц, а в Российской Федерации жертвами стали компьютеры Следственного комитета, МВД и «Мегафон». также и Украина была в эмицентре хакерсой атаки.

Так, антивирус Avast зафиксировал в пятницу 57 тысяч хакерских атак вирусом WanaCrypt0r 2.0, сообщается в блоге компании. В первую очередь вирус распространяется в России, Украине и на Тайване. 

Как защититься?

Уже известно, хакеры успели обновить свою программу-вымогателя.  У антивирусников «лекарства» от WannaCry пока нет. Поэтому глава европейского правоохранительного ведомства настоятельно рекомендует всем компаниям загрузить необходимые патчи от Windows. Пока только так можно обезопасить компьютер от заражения. Подробнее об этом здесь.

 В Украине ряд стратегических компаний подверглись хакерской атаке 27 июня. До сих пор не работают некоторые официальные ресурсы. От кибератак пострадали «Новая почта», чей сайт недоступен, «Укрпочта», клиника «Борис».

В сети «Ашан» не функционируют терминалы. Есть проблемы у «Ощабданка», как сообщает корреспондент «Вестей», зафиксированно несколько случаев невозврата кредитной карты банкоматом «Привата».

Также на момент написания новости был зафиксирован отказ биллинговых систем оплаты коммуникатора Life. 

Эксперты по кибербезопасности заявили «Вестям» — атакует системы новая модификация вируса-шифровальщика WannaCry, первая вспышка которого была месяц назад. Модифицированный вирус называется Petya.A.

Так, специалист по кибербезопасности Владимир Стыран рассказал в социальной сети о  вирусе Petya, атаковавшем Украину.

«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry» — написал Стыран.

Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики, передает Xakep. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что вирус использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.

Кого больше всего атакует petya.a?

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность.

К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого).

Что происходит с жертвами после заражения?

Запуск .exe файла приводит к падению системы в синий экран и последующей перезагрузке. После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. 

Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

Позже рганизаторы кибератаки Petya.A сообщили и другие свои требования, выводя их на экраны пользователей после заражения.

Как видно на снимке, хакеры требуют от владельца заражённого компьютера переслать $300 в биткоинах, и предоставить информацию о своих электронных кошельках. Инструкции написаны на английском языке. Объявление напоминает то, которое распространяли хакеры WannaCry.

Как удалить петю?

Инфорезист, со ссылкой на экспертов также отмечает, что вирус Petya очень похож на Wncry. Раньше боролись с Wncry так (возможно это поможет):

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Как расшифровать файлы после пети?

После удаления данного вируса вам нужно будет восстановить зашифрованные файлы. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

Антивирусы могут вылечить

Специалист по кибербезопасности Владимир Стыран рассказал, что некоторые антивирусы могут вылечить компьютер.

  • «Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A.
  • Symantec будто поймал (прим. — только последняя версия АВ)
  • McAfee во всех известных случаях облажался.
  • Eset не реагирует»,  -написал Стыран.

Источник: https://vesti.ua/mir/244843-vse-chto-izvestno-o-viruse-wannacry-i-

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.