Вымогатель Petya. Украина атакована вирусом!

Утром 28 июня 2017 года рано утром Украина подверглась массовой кибератаке. Пострадали крупные компании с огромным количеством компьютеров, на которых установлены последние обновления лицензионного Windows, настроен файрволом, права для пользователей и антифишинг фильтрами для почтовых клиентов. Атака началась с крупных бизнес структур и уже через несколько часов под атакой оказались «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» и т.д.

Вымогатель Petya

Кто пострадал?

Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», но скорей всего их в тысячи раз больше.

Темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. Профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…

Список сайтов и структур, подвергшихся кибератаке

  • Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
  • Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
  • Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
  • СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
  • Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
  • Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
  • Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
  • Автозаправки: Shell, WOG, Klo, ТНК.

Крупные супермаркеты Харькова также подверглись шифрованию вируса, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика.

супермаркет не работает из за шифровальщика

Харьков. Супермаркет «РОСТ» очереди на кассе из за шифровальщика

Технические детали

Первые версии Petya были обнаружены существенно ранее. Однако на сегодняшний день в сети свирепствует новая модификация Petya. Пока что известно, что «Новый Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, его друг #Misha, который прибывает чуть позже, шифрует все файлы на диске. Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.

Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, «паническое нажатие кнопки выкл».

Из действующих рекомендаций НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM), с отключением от интернета при любых обстоятельствах.

Почему именно «Petya»?

Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.

Как проверить свой компьютер?

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat

В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно вот тут на сайте Microsoft.

Как Petya заражает компьютер?

Новый подвид Petya.A, который атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers).

Согласно информации из фейсбука Киберполиции Украины, одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота).

Вирус проникает самостоятельно через порт 445.

В качестве защиты еще не зараженных машин, стоит заблокировать TCP-порты: 1024-1035, 135, 139 и 445.

http://canyouseeme.org/ - введите в Port to Check: 445 и нажмите Check Port

если в ответ появилось сообщение:

"Error: I could not see your service on xx.xxx.xx.xx on port (445) Reason: Connection timed out"

Все в порядке! Вирус к вам не попадет через открытый порт.

Если порт открыт, то тогда 2 варианта:

  1. скачать установить https://technet.microsoft.com/en-us/library/security/ms17-01...
  2. Открыть Control Panel, кликнуть на Programs, а потом на Turn Windows features on or off, в окошке Windows Features отключить the SMB1.0/CIFS File Sharing Support и кликнуть OK. После этого перегрузить комп

Создание ключа разлочки жесткого диска самостоятельно

У Petya обнаружена специальная схема маскировки для скрытия активности. Изначально крипто-вымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает деньги за это время, сумма становится в 2 раза больше.

Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Разработан генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya: https://petya-pay-no-ransom.herokuapp.com/

Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Есть специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол.

Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.

Petya Sector Extractor

Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно:

получения ключа дешифровки вируса Petya

Для получения пароля расшифровки Petya нажимаем кнопку Submit. Пароль будет генерироваться около минуты.

получения ключа дешифровки вируса Petya

Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Petya начинает дешифровку тома

Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Как восстановить зашифрованные файлы после Petya и Misha?

Как уже говорилось ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы Petya и Misha вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec.


Добавить комментарий

Пишите полные комментарии, ответы типа "спасибо за статью" не публикуются!

Защитный код
Обновить

Главная Статьи Антивирусная защита Вымогатель Petya. Украина атакована вирусом!