27 июня в сети начали появляться сообщения о быстром распространении вредоносной программы – шифровальщика Petya, выполняющей шифрование данных на компьютере жертвы. Атаке подверглись крупные корпорации России, Украины, ЕС, США и ряда других стран. Специалисты компании BiZone провели подробный анализ работы вредоноса. Ниже приведены результаты исследования, а также рекомендации по его удалению с компьютера жертвы и восстановлению данных.
Читать полностью »
Рубрика «Petya» - 3
PETYA malware. Recovery is possible
2017-06-28 в 14:23, admin, рубрики: bizone, Petya, ransomware, Блог компании BI.ZONE, информационная безопасностьКак победить вирус Petya
2017-06-28 в 14:19, admin, рубрики: EternalBlu, Petya, WannaCry, Блог компании Positive Technologies, информационная безопасность, метки: вирус-вымогательВслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.
Слать биткоины бесполезно: автору Petya заблокировали почтовый ящик
2017-06-28 в 9:49, admin, рубрики: PetrWrap, Petya, Posteo, windows, информационная безопасность, криптовымогатель, метки: Posteo
Немецкий почтовый провайдер Posteo закрыл почтовый ящик wowsmith123456@posteo.net
хакера, ответственного за вирусную эпидемию криптовымогателя Petya/PetrWrap. Со вчерашнего дня вирус поразил тысячи компьютеров на предприятиях и у частных пользователей в Украине, России, Польше, Италии, Германии, Беларуси (страны указаны в порядке уменьшения количества заражений) и других странах. Таким образом, жертва даже отправив запрошенную сумму в биткоинах, не сможет сообщить об этом хакеру — и не сможет получить от него ключ.
«Мы не терпим злоупотреблений нашей платформой: немедленная блокировка почтовых аккунтов со злоупотреблениями — необходимая мера со стороны провайдеров в таких случаях», — сказано в сообщении Posteo.
Согласно инструкции криптовымогателя, жертва должна отправить биткоины стоимостью около $300 на указанный адрес 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX и сообщить автору по электронной почте свой идентификатор кошелька и «персональный ключ установки». Теперь связаться с ним невозможно.
Читать полностью »
Как защитить корпоративный NAS от вирусов RansomWare
2017-06-28 в 5:54, admin, рубрики: Cleondis, Cleondis SnapGuard, NAS, NetApp, ONTAP, Petya, Petya.A, petyaa, PetyaCry, ransomware, SAN, SnapGuard, snapshot, wafl, WannaCry, WannaCrypt, хранение данных, хранилища данныхВирусы шифровальщики не первый год сотрясают ИТ общественность последствиями своей подпольной работы. Скрываясь за ссылкой в email или в JavaScript коде на странице веб сайта, они молчаливо инсталлируются на рабочие компьютеры или сервера и начинают тихо зашифровывать всю информацию. После окончания шифрования, некоторые просто удаляют ключ шифрования, а не которые требуют выкуп, но далеко не все заплатившие выкуп получают ключ шифрования. Как же с ними можно бороться? Самое главное средство борьбы – быть подготовленным к борьбе.
Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины
2017-06-27 в 17:06, admin, рубрики: PetrWrap, Petya, Petya.A, Petya.C, PetyaCry, ransomware, антивирусная защита, Блог компании Информзащита, информационная безопасность, направленные атакиНе так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.
Сегодня, 27 июня 2017 г., зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, к которым относятся:
- «Роснефть»
- НПЗ «Роснефть» Рязань
- «Башнефть»
- НПЗ «Башнефть»
- «Башнефть — добыча»
- Хоум кредит
- Damco (российские и европейские подразделения)
- Аэропорт «Борисполь»
- Запорожьеоблэнерго
- Днепроэнерго
- Днепровская электроэнергетическая система
- ХарьковГаз
- Ощадбанк
- ПриватБанк
- Новая Почта
- Киевский метрополитен
- Чернобыльская АЭС
- Ашан
- Киевстар
- LifeCell
- УкрТелеКом
- Nivea
- Mars
- Mondelēz International
- Maersk
Этот перечень пополняется непрерывно, в соцсетях появляется все больше подобных фотографий:
Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:
- путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
- путем направленной отправки вредоносного ПО по электронной почте
- использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)
- использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144)
Украина подверглась самой крупной в истории кибератаке вирусом Petya
2017-06-27 в 13:29, admin, рубрики: misha, Petya, petyaa, ransomware, информационная безопасность, метки: petya, petyaa
Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.
Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5).
Что случилось? И о развитии ситуации под катом.
Читать полностью »
Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
2016-04-11 в 9:02, admin, рубрики: diy или сделай сам, Petya, ransomware, информационная безопасность, криптовымогатель, помогаем себе сами, Софт
3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.
У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.
Читать полностью »
Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock
2016-04-01 в 10:59, admin, рубрики: apple, badlock, fbi, klsw, Petya, powerware, samsam, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасностьШестинедельная сага о противостоянии компании Apple и Федерального Бюро Расследований закончилась. 28 марта в ФБР официально заявили, что им удалось взломать iPhone 5c, принадлежавший террористу, без помощи производителя. От Apple больше не требуют изготовления инструмента для взлома данного телефона. История закончилась, пожалуй, самым выгодным и для вендора, и для потребителя способом, стоковый дядя с картинки не даст соврать. Но это вовсе не значит, что тема закрыта.
Если отвлечься от деталей, производитель смартфона и (в некотором роде) государство поспорили о том, кто обязан предоставлять доступ к защищенным данным пользователя, если это необходимо для расследования преступления. Пожалуй впервые в таком масштабе обсуждался вопрос: что делать госорганам, если защита в виде шифрования данных настолько хороша, что взломать ее без помощи производителя невозможно? В итоге выяснилось, что в ФБР поторопились — если очень нужно, найдутся и другие способы.
Но рано или поздно (скорее рано) этот вопрос снова будет поднят, в судебном разбирательстве или даже в рамках нового законодательства. Проблему придется решать, и это решение может серьезно повлиять на защищенность любых зашифрованных (не важно от кого!) данных, то есть затронет всех. Поэтому продолжаем наблюдение. Все выпуски дайджеста доступны по тегу.
Читать полностью »
Зловред-вымогатель “Petya” шифрует весь жесткий диск и требует денег
2016-03-30 в 6:57, admin, рубрики: drweb, G DATA SecurityLabs, KAS, Petya, Блог компании iCover.ru, вирусы-вымогатели, Железо, Здоровье гика, информационная безопасность, компьютерная безопасность, НакопителиПриветствуем вас на страницах блога iCover! Возможно онлайн-экспозиция музея вирусов The Malware Museum, где собраны необычные и запомнившиеся пользователям зловреды, вскоре пополнится еще одним любопытным экспонатом. Создатели трояна Petya (Петя) действуют по классической схеме: шифруют данные пользователя и требуют выкуп за ключ для разблокировки. Но, имеет “Троян Win32.Trojan-Ransom.Petya.A” и кое-что, в корне отличающее его от среднестатистических вымогателей-шифровальщиков — Locky, CryptoWall, TeslaCrypt ..., его авторы не ограничились кодировкой отдельных категорий файлов — документов, фото- или видео-архивов, зловред шифрует диск с данными полностью.