52

Microsoft рассказала о масштабах атаки вируса Petya

Вслед за майской атакой WannaCry, компьютеры по всему миру (особенно в Европе) поразило другое вредоносное вымогательское ПО – вирус Petya. Он шифрует файлы пользователя на компьютере и затем требует выкуп в размере $300 в биткоинах. Исследования показали, что злоумышленники не собираются снимать блокировку тем, кто заплатил, поэтому жертвы должны сами решать свои проблемы в виде отсутствующих 300 долларов и зашифрованного компьютера.

Хотя настоящие масштабы происходящего никогда не получится узнать, компания Microsoft поделилась своими наблюдениями, основанными на телеметрической информации. Согласно Microsoft, даже несмотря на весьма сложный принцип работы, «Петя» смог заразить примерно 20 000 компьютеров по всему миру, что гораздо меньше, нежели ожидалось. Подавляющее большинство пораженных ПК расположено на Украине (70% от всех жертвы). В остальных странах тоже есть павшие, но уже в гораздо меньших количествах. Microsoft также подчеркнула, что почти все зараженные компьютеры – это устройства на Windows 7.

Petya Geo

География распространения "Пети".

Компания отметила, что администраторы, в сетях которых работаю компьютеры на операционных системах старше Windows 7 должны использовать усложненные конфигурации безопасности, чтобы замедлить распространение вымогательского ПО. Microsoft советует ограничивать или блокировать доступ к специфичным IP для SMB и блокировать дистанционное исполнение кода через PSEXEC.

02-petya-kill-chain-diagram1

Схема работы вымогателя

При выполнении своего грязного дела, Petya модифицирует Master Boot Record (MBR) и перезаписывает второй сектор диска C, уничтожая Volume Boot Record (VBR). Microsoft утверждает, что последнее не совсем понятно, поскольку VBR на диске C не используется при старте компьютера. На компьютерах с Windows 7 и выше это изменение не дает вообще никакого эффекта. Кроме того, код вируса весьма забагован и при исполнении потребляет в 10 раз больше памяти, чем ему на самом деле надо.

Не менее любопытным является поведение вируса при обнаружении определенного антивирусного ПО. К примеру, если Petya обнаруживает установленный Антивирус Касперского или не может успешно изменить MBR, он со злости уничтожает первые десять секторов жесткого диска. С другой стороны, если на компьютере жертвы установлено ПО от Symantec, Petya не использует эксплойт в SMB.

Новый вирус и уже известные варианты Petya имеют много общего. Кроме того, исследователи обнаружили сходства в тексте с требованиями выкупа с текстом, используемым авторами WannaCry.

Microsoft также поделилась ценными сведениями по восстановлению зараженных компьютеров. Если машина оснащена SecureBoot и UEFI, пользователь может запустить чистую установку и выполнить восстановление загрузки. На компьютерах без UEFI с установленным Антивирусом Касперского можно загрузиться с установочного носителя, перейти в консоль восстановления и выполнить команды bootrec /fixmbr и bootrec /fixboot.

Petya Wasted

Потрачено

Но, если пользователь видит на экране изображение выше, восстановление файлов невозможно в принципе. В таком случае жертва вируса может попробовать вытащить накопитель из компьютера и попытаться как-нибудь расшифровать информацию на другом, не пострадавшем от атаки компьютере.

Наконец, Microsoft предупреждает, что Petya является более комплексным вредителем, нежели WannaCry, поскольку использует второй эксплойт для размножения. Также модификации в секторе загрузчика указывают на большую вероятность нанесения ущерба компьютеру. Пользуясь случаем Microsoft напоминает о необходимости использования комплексных методов защиты от подобных атак, регулярного обновления операционной системы и перехода на самые новые издания Windows, в которые интегрированы современные методы борьбы с подобной заразой.

Источник: Microsoft

НравитсяНе нравится
+1
Loading ... Loading ...

Комментарии (52)

    01.07.2017 в 11:05
    +4
    Android

    Ох уж этот Petya?

    01.07.2017 в 11:17
    +1
    Android

    Три компа дома (один из них планшет), винды 7, 8.1 и 10.
    Все на лицензионной Windows со всеми одновами. Антивирус только встроенный

    01.07.2017 в 11:17
    +7
    Microsoft Lumia 640

    А ведь назвали "Петей" не зря. Чтобы в очередной раз свалить на "русских хакеров"...

    01.07.2017 в 12:49
    0
    Microsoft Lumia 640

    Вчера читал, что это проделки АНБ.

    01.07.2017 в 14:53
    -2
    Nokia Lumia 1520

    Вчера читал что это проделки Украины..
    Сперва на Майл ру ,потом на Вести ру..

    01.07.2017 в 15:22
    +1
    Microsoft Lumia 640

    Да кто его разберёт. Все пишут разное. Но я честно говоря сомневаюсь, что это Украина. Вы лучше вот чего скажите.. Видел вы писали, что занимались ремонтом телефонов. Каких фирм меньше всего приносили? Может была какая статистика?

    01.07.2017 в 17:11
    0
    Nokia Lumia 1520

    Понятно..
    Я давно новыми телефонами не занимаюсь ,,строго 2000х тысячные..)) Но знакомый коллега говорил , что много всяких сяоми и прочие zопы из китая.Много айфонов ,но в основном по вине хозяина-битые , еще zteшки много ,там вообще проблема ,плата на экране..и сложный ремонт.Есть у мастера и пару люмий.проблема звука в наушниках- так все работает ,но как наушники подключаешь то только шумы..Но я уже не вникал что там ,прошивка или на плате проблема.

    01.07.2017 в 19:13
    0
    Microsoft Lumia 640

    Ясно. Ну сяоми да, тоже много слышал в плане брака.

    01.07.2017 в 19:47
    0
    Nokia Lumia 1520

    ?

    02.07.2017 в 14:25
    0
    Android

    Его название, Петя и Миша это отсылка к Джеймсу Бонду

    01.07.2017 в 11:19
    0
    Microsoft Lumia 640

    От частных лиц вроде жалоб не было? А вот некоторые гос учреждения пострадали.

    01.07.2017 в 14:12
    0
    Nokia Lumia 830

    Есть два бука с Windows7 частных лиц, оба с поврежденным системным томом. Хотя там такие люди, тыкают во все и везде...

    01.07.2017 в 15:10
    0
    Microsoft Lumia 640

    Но я же и написал - "вроде"))
    Значит и с частными лицами уже стали известны случаи)

    01.07.2017 в 15:24
    0
    Nokia Lumia 830

    Оба предприниматели.

    01.07.2017 в 15:49
    0
    Microsoft Lumia 640

    Возможно поймали через бухгалтерские программы. 1С к примеру. Я тоже (хоть и мелкий) предприниматель. Пользуюсь спец программами, но бухгалтерия вся на бумаге (ей больше доверяю))

    01.07.2017 в 17:52
    0
    Nokia Lumia 830

    Со слов главбуха нашего предприятия - "налоговая в принудительном порядке навязывает метдок определенной части группе предпринимателей и государственным предприятиям, можете пользоваться чем угодно, но без метдока отчет вы не сдадите..." Вот как-то так вроде...
    Сам я в этом не силен, так что верю людям на слово.

    01.07.2017 в 18:39
    0
    Microsoft Lumia 640

    Я отношусь к другой группе. Налоговая требует только своевременную оплату ежеквартального налога)

    02.07.2017 в 3:34
    +1
    Alcatel IDOL 4S

    Действительно, Petya залез через M.E.doc, вернее через обнову к нему. Налоговая приняла данный программный комплекс как эталонный к использованию во время пришествия такого "деятеля" как Клименко, который собственно и привел эту свою "карманную" разработку в налоговую... После 2014 года этот "деятель" драпанул с народным баблом и кучей ништяков, в.ч. прихватил зацепы с разработчиками и внедренцами M.E.doc... Если посмотреть на хостинг комплекса, то можно прикинуть от куда Петя притопал, условно говоря.
    Сейчас налоговая не настаивает на использовании именно этого програмного комплекса, можно пользоваться другими, но с тех времен именно M.E.doc стоит у большинства субъектов хозяйствования.

    01.07.2017 в 17:54
    0
    Android

    У нас знакомые торговики приходили. Рассказывали, что все компы их фирмы позаражали. Банки не работали, с телеканалами были проблемы.

    01.07.2017 в 18:06
    0
    Nokia Lumia 830

    Как в крепком орешке с обрушением )

    02.07.2017 в 22:51
    -1
    Microsoft Lumia 950

    Не только банки, Роснефть встала полностью. О масштабах беды сознательно умалчивают

    01.07.2017 в 11:20
    +1
    Microsoft Lumia 640

    Конор всех спасет

    01.07.2017 в 11:24
    +1
    Android

    Народ помогите, что делать сам не знаю!2 дня назад магазин перестал работать через домашний роутер как на ноуте, так и на смарте, выдаёт ошибку 0x80072EE7! Я уже всё перепробовал и ничего не помогает!

    01.07.2017 в 15:13
    0
    Microsoft Lumia 640

    Если установлен фаст, то временно стандартные приложения могут не обновляться. Или магазин вообще не работает?

    01.07.2017 в 16:12
    0
    Microsoft Lumia 640

    Обновляются✌

    01.07.2017 в 18:05
    0
    Microsoft Lumia 640

    Знаю? Только об этом было оф предупреждение)

    02.07.2017 в 3:47
    0
    Nokia Lumia 520

    а у меня вообще с кэш что-то и с лицензией в магазине(( это вообще лечится??? через устранение неполадок не чинится(((

    02.07.2017 в 4:48
    0
    Microsoft Lumia 640

    Не сталкивался. Но думаю, вылечить можно почти всё. Сброс и откат неплохие пилюли от разных болячек. А что касается лицензии, это очевидно проблемы с учёткой, имхо.
    Но могу ошибаться. Попробуй поискать ответ в инете, или здесь ещё к кому нибудь обратись. Например к Deerslayerу.

    02.07.2017 в 20:13
    0
    Nokia Lumia 520

    ок спасибо)))

    03.07.2017 в 12:28
    0
    Microsoft Lumia 640

    Не за что. Даже помочь не с мог ни чем

    01.07.2017 в 11:36
    0
    Microsoft Lumia 950

    Добавлю, что создатели Пети - как и в случае в воннакрай - честно играли... Почтовый ящик, который использовался для связи с "пользователями" на германском сервере - заблокировали. Так что те, кто заплатили - остались с носом.
    Пс: Не в коем случае не защищаю творца этой чумы

    01.07.2017 в 11:47
    +1
    Microsoft Lumia 650

    У пети несколько модификаций, последняя вообще не предполагает возможности расшифровки. И мыло тут ни при чем. Расшифровать можно было только первую версию

    01.07.2017 в 13:15
    0
    Nokia Lumia 820

    Читаешь статью.реально кажется что у вируса есть какой то интелект.так т хочется поверить в сценарий Терминатора.или Матрицы

    01.07.2017 в 14:36
    0
    Microsoft Lumia 650

    Это не интеллект, а алгоритм работы. Хотя Агент Смит был как раз по настоящему автономной сущностью) в отличие от всех остальных персонажей

    01.07.2017 в 14:22
    0
    Microsoft Lumia 650

    А как им обычный пользователь может заразиться? Если он не пользует бух. Програмами

    01.07.2017 в 14:58
    +1
    Nokia Lumia 830

    Обычный вроде нет. Но так как 1С попросили свернуть и перейти на метдок из-за запретов нашего Пети П. То некоторые (даже частные предприниматели )патриоты законопослушные "очковитые" покачали себе метдок и на рассылку подписались. Тем самым оформили себе билет в один конец, как здесь уже писали.

    02.07.2017 в 3:46
    0
    Alcatel IDOL 4S

    1С это система организации ведения бухгалтерского учёта субъекта хозяйствования, а M.E.doc - это программа, которая позволяет в электронном виде сдать бухгалтерскую отчётность. 1C и M.E.doc это разные вещи по своей сути. 1С до сих пор в использовании. M.E.doc используется давно и используется в комплексе с 1С.

    01.07.2017 в 16:14
    0
    Android

    Получить письмо по электронной почте и открыть вложенный doc-файл, который на самом деле является exe-шником.
    Схватить его где-то в интернете - ходили слухи, что и так можно.

    05.07.2017 в 18:39
    0
    Microsoft Lumia 650

    Кроме этого способа еще есть)?

    01.07.2017 в 14:29
    0
    Microsoft Lumia 640

    Какой же УЖАСНЫЙ шрифт вы сделали в статьях !!!

    01.07.2017 в 14:34
    0
    Android

    Что?

    01.07.2017 в 15:18
    0
    Microsoft Lumia 640

    А что не так со шрифтом??

    01.07.2017 в 16:20
    0
    Microsoft Lumia 640

    он слишком тонкий для ноутбучного экрана, вертикальные линии рябят в глазах, в комментах и боковых панелях все ок.

    01.07.2017 в 17:00
    +1
    Android

    Настройте ClearType или смените масштаб интерфейса.

    01.07.2017 в 20:59
    0
    Microsoft Lumia 640

    Я с этого начал... Мерзко выглядит и до и после

    01.07.2017 в 14:47
    0
    Xiaomi Mi4

    Извините за оф топ. Кто-нибудь знает mi4 ещё поддерживается microsoft.

    01.07.2017 в 14:53
    0
    Android

    Вроде бы нет, Creators Update он официально не получит.

    01.07.2017 в 15:23
    0
    Xiaomi Mi4

    Спасибо, значит и нет смысла дергать аппарат. А про сюрфейс что пишут, новости есть или это миф.

    01.07.2017 в 16:15
    +1
    Android

    Можете перейти на Fast, затем на Release Preview (чтобы установить 15063 и получать к ней обновления). Можете сделать подмену и поставить 152xx, они действительно офигенно оптимизированы.

    01.07.2017 в 15:19
    0
    Microsoft Lumia 640

    Через правку возможно всё.

    01.07.2017 в 15:26
    0
    Xiaomi Mi4

    Спасибо, это и так понятно, но онлок получить неудалось, рученки видимо кривые, да и смысла нет, раз официально не поддерживают.

    01.07.2017 в 15:54
    0
    Microsoft Lumia 640

    Насчёт анлока, есть подобные инструкции на сайте. Сам доступ к системным файлам не страшен, если не лезть туда без соблюдения чёткой инструкции. Ну а если есть неуверенность, то лучше оставить это дело)

Вы должны быть для написания комментариев.