Комп'ютерний вірус миші. Схожий на Petya, друг Misha: що відомо про новий вірус-вимагач. Як працює вірус

Віруси є невід'ємною частиною екосистеми операційних систем. Найчастіше мова йде про Windows і Android, а якщо вже зовсім не пощастило - про OS X і Linux. Причому якщо раніше масові віруси націлювалися хіба що на викрадення особистих даних, а здебільшого просто на псування файлів, то зараз «правлять бал» шифрувальники.

І це не дивно – обчислювальні потужності як ПК, так і смартфонів виросли лавиноподібно, а значить апаратні засоби для подібних «пустощів» стають все потужнішими.

Якийсь час тому фахівцями був виявлений вірус Petya. У G DATA SecurityLabs з'ясували, що вірусу потрібен адміністративний доступ до системи, причому він не шифрує файли, а лише блокує доступ до них. На сьогоднішній день кошти від Petya (Win32.Trojan-Ransom.Petya.A') вже існують. Сам вірус модифікує завантажувальний записна системному накопичувачі та викликає аварійне завершення роботи комп'ютера, надаючи повідомлення про пошкодження даних на диску. Насправді ж це якраз шифрування.

За відновлення доступу розробники зловреда вимагали оплату.

Однак на сьогоднішній день ще до вірусу Petya з'явився ще більш витончений - Misha. Йому не потрібні адміністративні права, і він шифрує дані як класичний Ransomware, створюючи на диску або в папці із зашифрованими даними файли YOUR_FILES_ARE_ENCRYPTED.HTML та YOUR_FILES_ARE_ENCRYPTED.TXT. Вони містяться інструкція з отримання ключі, ціна якого становить приблизно 875 доларів.

Важливо відзначити, що зараження відбувається через електронну пошту, на яку приходить exe-файл з вірусами, що маскується під PDF-документ. І тут залишається знову нагадати – уважно перевіряйте листи з прикріпленими файлами, а також намагайтеся не завантажувати документи з Інтернету, оскільки зараз вірус чи шкідливий макрос можна вбудувати у doc-файл чи веб-сторінку.

Також зазначимо, що поки що утиліт для розшифровки «роботи» вірусу Misha не існує.

Якийсь час тому фахівцями був виявлений вірус Petya. У G DATA SecurityLabs з'ясували, що вірусу потрібен адміністративний доступ до системи, причому він не шифрує файли, а лише блокує доступ до них. На сьогоднішній день кошти від Petya (Win32.Trojan-Ransom.Petya.A') вже існують. Сам вірус модифікує завантажувальний запис на системному накопичувачі і викликає аварійне завершення роботи комп'ютера, видаючи повідомлення про пошкодження даних на диску. Насправді ж це якраз шифрування.

За відновлення доступу розробники зловреда вимагали оплату.

Також зазначимо, що поки що утиліт для розшифровки «роботи» вірусу Misha не існує.

На початку травня близько 230 000 комп'ютерів у більш ніж 150 країнах були заражені вірусом-шифрувальником. Не встигли жертви усунути наслідки цієї атаки, як сталася нова — під назвою Petya. Від неї постраждали найбільші українські та російські компанії, а також держустанови.

Кіберполіція України встановила, що атака вірусу розпочалася через механізм оновлення бухгалтерського програмного забезпечення M.E.Doc, яке використовують для підготовки та надсилання податкової звітності. Так, стало відомо, що зараження не уникли мережі "Башнафти", "Роснефти", "Запоріжжяобленерго", "Дніпроенерго" та Дніпровської електроенергетичної системи. В Україні вірус проникнув до урядових комп'ютерів, ПК Київського метрополітену, операторів зв'язку та навіть Чорнобильської АЕС. У Росії постраждали Mondelez International, Mars та Nivea.

Вірус Petya експлуатує вразливість EternalBlue в операційній системі Windows. Фахівці Symantec і F-Secure стверджують, що, хоча Petya і шифрує дані, подібно до WannaCry, він все ж таки дещо відрізняється від інших видів вірусів-шифрувальників. «Вірус Петя – це новий видвимагання зі злим наміром: він не просто шифрує файли на диску, а блокує весь диск, роблячи його практично непридатним, - пояснюють F-Secure. - Зокрема він шифрує головну файлову таблицю MFT».

Як це відбувається і чи можна цей процес запобігти?

Вірус «Петя» – як працює?

Вірус Petya відомий також за іншими назвами: Petya.A, PetrWrap, NotPetya, ExPetr. Потрапляючи в комп'ютер, він завантажує з інтернету шифрувальник і намагається вразити частину жорсткого дисказ даними, необхідні для завантаження комп'ютера. Якщо йому це вдається, система видає Blue Screen of Death (« синій екрансмерті»). Після перезавантаження виходить повідомлення про перевірки жорсткогодиска з проханням не вимкнути живлення. Таким чином, вірус-шифрувальник видає себе за системну програмуз перевірки диска, шифруючи у цей час файли з певними розширеннями. Наприкінці процесу з'являється повідомлення про блокування комп'ютера та інформацію про те, як отримати цифровий ключ для дешифрування даних. Вірус Petya вимагає викупу, як правило, у біткоїнах. Якщо жертва не має резервної копії файлів, вона стоїть перед вибором — заплатити суму в розмірі $300 або втратити всю інформацію. На думку деяких аналітиків, вірус лише маскується під здирника, у той час як його справжня мета — завдання масових збитків.

Як позбавитися від Petya?

Фахівці виявили, що вірус Petya шукає локальний файлі, якщо цей файл вже існує на диску, виходить із процесу шифрування. Це означає, що захистити свій комп'ютер від вірусу-здирника користувачі можуть шляхом створення цього файлу та встановлення його лише для читання.

Незважаючи на те, що ця хитра схема запобігає запуску процесу здирства, цей метод можна розглядати швидше як «вакцинацію комп'ютера». Таким чином, користувачеві доведеться самостійно створювати файл. Зробити це ви можете таким чином:

Спочатку потрібно розібратися з розширенням файлів. Переконайтеся, що у вікні "Параметри папок" у чекбоксі "Приховати розширення для зареєстрованих типів файлів" немає галочки.
Відкрийте папку C:\Windows, прокрутіть вниз, доки не побачите програму notepad.exe.
Клацніть на notepad.exe лівою кнопкою, потім натисніть Ctrl + C, щоб скопіювати, а потім Ctrl + V, щоб вставити файл. Ви отримаєте запит із проханням надати дозвіл на копіювання файлу.
Натисніть кнопку "Продовжити", і файл буде створено як блокнот - Copy.exe. Клацніть лівою кнопкою миші за цим файлом та натисніть клавішу F2, а потім зітріть ім'я файлу Copy.exe і введіть perfc.
Після зміни імені файлу на perfc натисніть клавішу Enter. Підтвердьте перейменування.
Тепер, коли файл perfc створено, потрібно зробити його доступним лише читання. Для цього клацніть правою кнопкою миші файл і виберіть «Властивості».
Відкриється меню властивостей файлу. Внизу ви побачите "Тільки для читання". Поставте галочку.
Тепер натисніть кнопку "Застосувати", а потім кнопку "ОК".

Деякі експерти з безпеки пропонують крім файлу C:\windows\perfc створити файли C:\Windows\perfc.dat та C:\Windows\perfc.dll, щоб ретельніше захиститися від вірусу Petya. Ви можете повторити наведені вище кроки для цих файлів.

Вітаємо ваш комп'ютер захищений від NotPetya / Petya!

Експерти Symantec дають деякі поради користувачам ПК, щоб застерегти їх від дій, які можуть призвести до блокування файлів або втрати грошей.

Не сплачуйте гроші зловмисникам.Навіть якщо ви перерахуєте гроші здирникам, немає жодної гарантії, що ви зможете відновити доступ до своїх файлів. А у випадку з NotPetya/Petya це в принципі безглуздо, бо мета шифрувальника — знищити дані, а не отримати гроші.
Переконайтеся, що ви регулярно створюєте резервні копіїданих.У цьому випадку, навіть якщо ваш ПК стане об'єктом атаки вірусу-вимагача, ви зможете відновити будь-які видалені файли.
Не відкривайте електронні листиіз сумнівними адресами.Зловмисники намагатимуться обдурити вас під час встановлення шкідливих програмабо намагатимуться отримати важливі дані для атак. Обов'язково повідомляйте ІТ-фахівцям про випадки, якщо ви або ваші співробітники одержують підозрілі листи, посилання.
Використовуйте надійне програмне забезпечення.Важливу роль захисті комп'ютерів від заражень грає своєчасне оновлення антивірусників. І, звичайно, потрібно використовувати продукти авторитетних у цій галузі компаній.
Використовуйте механізми сканування та блокування повідомлень зі спамом.Вхідні електронні листи повинні перевірятись на наявність загроз. Важливо, щоб блокувалися будь-які типи повідомлень, які містять текстові посилання або типові повідомлення. ключові словафішинг.
Переконайтеся, що всі програми оновлено.Регулярне усунення вразливостей програмного забезпечення необхідне для запобігання зараженню.

Чи варто чекати на нові атаки?

Вперше вірус Petya заявив про себе у березні 2016 року, і його поведінку одразу помітили фахівці з безпеки. Новий вірусПетя вразив комп'ютери в Україні та Росії наприкінці червня 2017 року. Але цим навряд чи все скінчиться. Хакерські атакиз використанням вірусів-здирників, аналогічних Petya і WannaCry, повторяться, заявив заступник голови правління Ощадбанку Станіслав Кузнєцов. В інтерв'ю ТАРС він попередив, що подібні атаки точно будуть, проте заздалегідь складно передбачити, в якому вигляді та форматі вони можуть виникнути.

Якщо після всіх минулих кібератак ви ще не вчинили хоча б мінімальні дії для того, щоб захистити свій комп'ютер від вірусу-шифрувальника, настав час цим зайнятися впритул.

Кілька місяців тому і ми та інші IT Security фахівці виявили новий шкідливість – Petya (Win32.Trojan-Ransom.Petya.A). У класичному розумінні він не був шифрувальником, вірус просто блокував доступ до певних типів файлів та вимагав викуп. Вірус модифікував завантажувальний запис на жорсткому диску, примусово перезавантажував ПК і показував повідомлення про те, що "дані зашифровані - гоніть ваші гроші за розшифровку". Загалом стандартна схема вірусів-шифрувальників за винятком того, що файли фактично не зашифровувалися. Більшість популярних антивірусів почали ідентифікувати та видаляти Win32.Trojan-Ransom.Petya.A через кілька тижнів після його появи. Крім того, з'явилися інструкції з ручного видалення. Чому ми вважаємо, що Petya не класичний шифрувальник? Цей вірус вносить зміни до Master Boot Record і перешкоджає завантаженню ОС, а також шифрує Master File Table (головну таблицю файлів). Він шифрує самі файли.

Однак кілька тижнів тому з'явився витонченіший вірус Mischa, Судячи з усього написаний тими самими шахраями. Цей вірус ШИФРУЄ файли і вимагає заплатити за розшифровку 500 - 875 $ (в різних версіях 1.5 - 1.8 біткоїну). Інструкції з розшифровки та оплати за неї зберігаються у файлах YOUR_FILES_ARE_ENCRYPTED.HTML та YOUR_FILES_ARE_ENCRYPTED.TXT.

Вірус Mischa – вміст файлу YOUR_FILES_ARE_ENCRYPTED.HTML

Зараз фактично хакери заражають комп'ютери користувачів двома шкодоносами: Petya та Mischa. Першому потрібні права адміністратора у системі. Тобто, якщо користувач відмовляється видати Petya адмінські права або ж видалив цей шкідник вручну - в справу включається Mischa. Цьому вірусу не потрібні права адміністратора, він є класичним шифрувальником і дійсно шифрує файли за стійким алгоритмом AES і не вносячи жодних змін до Master Boot Record та таблиці файлів на вінчестері жертви.

Шкідливість Mischa шифрує не тільки стандартні типи файлів (відео, картинки, презентації, документи), але також файли .exe. Вірус не зачіпає лише директорії \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ Internet Explorer, \Temp, \Local, \LocalLow та \Chrome.

Зараження відбувається переважно через електронну пошту, куди надходить лист із вкладеним файлом – інсталятором вірусу. Воно може бути зашифроване під лист із Податковою, від Вашого бухгалтера, як вкладені квитанції та чеки про покупки тощо. Звертайте увагу на розширення файлів у таких листах – якщо це виконавчий файл (.exe), то з великою ймовірністю він може бути контейнером із вірусом Petya\Mischa. І якщо модифікація зловреда свіжа – Ваш антивірус може не відреагувати.

Оновлення 30.06.2017: 27 червня модифікований варіант вірусу Petya (Petya.A)масово атакував користувачів в Україні Ефект від цієї атаки був колосальний і економічний збиток поки не підрахований. За один день було паралізовано роботу десятків банків, торгових мереж, державних установ та підприємств різних форм власності. Вірус поширювався переважно через вразливість в українській системі подання бухгалтерської звітності MeDoc з останнім автоматичним оновленнямданого ПЗ. Крім того вірус торкнувся і таких країн як Росія, Іспанія, Великобританія, Франція, Литва.

Видалити вірус Petya та Mischa за допомогою автоматичного чистильника

Винятково ефективний методроботи зі шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видаленняодним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про запровадження інших комп'ютерних троянців за її допомогою.

. Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування).
Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було зазначено, програма-вимагач Mischa блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу (іноді доходить до 1000 $). Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитись.

Програма автоматичного відновленняфайлів (дешифратор)

Відомо дуже неординарну обставину. Ця інфекція стирає вихідні файли у незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це надає можливість таким програмним засобамяк відновити стерті об'єкти навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіюванняфайлів, які повторюються в кожній точці відновлення. Важлива умовароботи даного методу: Функція відновлення системи повинна бути активована до моменту зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.

Резервне копіювання

Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файлита запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання ПЗ повністю видалено.

Перевірити можливу наявність залишкових компонентів здирника Petya та Mischa

Очищення в ручному режимічревата упущенням окремих фрагментів здирницького ПЗ, які можуть уникнути видалення у вигляді потайливих об'єктів операційної системиабо елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на зловмисному ПЗ.

У вівторок, 27 червня, українські та російські компанії повідомили про масову вірусну атаку: комп'ютери на підприємствах відображали повідомлення з вимогою про викуп. розібралася, хто вкотре постраждав через хакерів і як уберегтися від крадіжки важливих даних.

Петя, вистачить

Першу атаку зазнав енергетичний сектор: на вірус поскаржилися українські компанії «Укренерго» та «Київенерго». Зловмисники паралізували їх комп'ютерні системиАле на стабільності роботи електростанцій це не позначилося.

Українці почали публікувати наслідки зараження у мережі: судячи з численних знімків, комп'ютери атакував вірус-вимагач. На екрані уражених пристроїв вискакувало повідомлення, що всі дані зашифровані, і власникам пристроїв потрібно заплатити 300 доларів викупу в біткоінах. При цьому хакери не повідомили, що станеться з інформацією у разі бездіяльності, і навіть не встановили таймер зворотного відліку до знищення даних, як це було з атакою вірусу WannaCry.

Національний банк України (НБУ) повідомив, що через вірус частково паралізовано роботу кількох банків. За даними українських ЗМІ, атака торкнулася офісів Ощадбанку, Укрсоцбанку, Укргазбанку та ПриватБанку.

Зараження зазнали комп'ютерні мережі"Укртелекому", аеропорту "Бориспіль", "Укрпошти", " Нової пошти», «Київводоканалу» та Київського метрополітену. Крім того, вірус вдарив по українським мобільним операторам – «Київстару», Vodafone та Lifecell.

Пізніше українські ЗМІ уточнили, що йдеться про шкідливість Petya.A. Він поширюється за звичайною для хакерів схемою: жертвам розсилаються фішингові листи від підставних осіб із проханням відкрити вкладене посилання. Після цього вірус проникає в комп'ютер, шифрує файли і вимагає викуп за дешифрування.

Хакери вказали номер свого биткоин-гаманця, на який слід переказувати гроші. Судячи з інформації про транзакції, жертви перевели вже 1,2 біткоїни (понад 168 тисяч рублів).

За даними фахівців з інформаційної безпеки компанії Group-IB, в результаті атаки постраждали понад 80 компаній. Керівник їхньої криміналістичної лабораторії зазначив, що вірус не пов'язаний з WannaCry. Для усунення проблеми він порадив закрити TCP-порти 1024-1035, 135 та 445.

Хто винен

Поспішила припустити, що атака організована з території Росії чи Донбасу, але жодних доказів не надала. Міністр інфраструктури України побачивпідказку в слові «вірус» і написав у своєму Facebook, що «не випадково воно закінчується на RUS», забезпечивши своє припущення смайликом, що підморгує.

Тим часом стверджує, що атака ніяк не пов'язана з існуючими "зловредами", відомими під назвою Petya та Mischa. Безпеки стверджують, що нова хвиля вразила не лише українські та російські компанії, а й підприємства в інших країнах.

Проте нинішній «зловред» за інтерфейсом нагадує відомий вірус Petya, який ще кілька років тому розповсюджувався за допомогою фішингових посилань. Наприкінці грудня невідомий хакер, відповідальний за створення здирників Petya та Mischa, почав розсилати заражені листи з вкладеним вірусом під назвою GoldenEye, який був ідентичний попереднім версіямшифрувальників.

У вкладенні до звичайного листа, який часто отримували співробітники відділу кадрів, містилася інформація про підставного кандидата. В одному з файлів справді можна було знайти резюме, а наступного – установник вірусу. Тоді головною мішенню зловмисника стали компанії у Німеччині. За добу у пастку потрапили понад 160 працівників німецької компанії.

Обчислити хакера не вдалося, але очевидно, що він є шанувальником бондіани. Програми Petya і Mischa - назви російських супутників «Петя» і «Міша» з фільму «Золоте око» (Golden Eye), що за сюжетом являли собою електромагнітну зброю.

Оригінальна версія Petya почала активно розповсюджуватися у квітні 2016 року. Вона майстерно маскувалася на комп'ютерах і видавала себе за легальні програми, прохаючи розширені права адміністратора. Після активації програма поводилася вкрай агресивно: ставила жорсткий дедлайн для оплати викупу, вимагаючи 1,3 біткоїну, а після закінчення терміну подвоювала грошову компенсацію.

Щоправда, тоді один із користувачів Twitter швидко знайшов слабкі сторони здирника і створив просту програму, яка за сім секунд генерувала ключ, що дозволяє зняти блокування з комп'ютера та розшифрувати всі дані без жодних наслідків.

Не вперше

У середині травня комп'ютери по всьому світу атакував схожий вірус-вимагач WannaCrypt0r 2.0, також відомий як WannaCry. Усього за кілька годин він паралізував роботу сотень тисяч працюючих на Windows пристроїву більш ніж 70 країнах. Серед постраждалих виявилися і російські силові структури, банки та мобільні оператори. Потрапивши на комп'ютер жертви, вірус шифрував жорсткий дискі вимагав відправити зловмисникам 300 доларів у біткоїни. На роздум відводилося три дні, після чого сума збільшувалася вдвічі, а через тиждень файли зашифровувалися назавжди.

Проте жертви не поспішали перераховувати викуп, і творці «шкідливості»