Хто стоїть за масовим зараженням України. Схожий на Petya, один Misha: що відомо про новий вірус-здирників Комп'ютерний вірус миша

Короткий екскурс в історію нейминга шкідливих програм.

В закладки

Логотип вірусу Petya.A

27 червня по щонайменше 80 російських і українських компаній зазнали атаки вірусу Petya.A. Програма заблокувала інформацію на комп'ютерах відомств і підприємств і також, як і відомий вірус-вимагач, зажадала у користувачів в біткоіни.

Імена шкідливих програм зазвичай дають співробітники компаній-розробників антивірусів. Винятком стають ті шифрувальники, вимагачі, руйнівники і викрадачі особистих даних, які крім комп'ютерних заражень викликають медійні епідемії - підвищену галас в ЗМІ і активне обговорення в Мережі.

Однак вірус Petya.A - представник нового покоління. Ім'я, яким він сам представляється - частина маркетингової стратегії розробників, спрямованої на підвищення його впізнаваності і зростання популярності на даркнет-ринку.

субкультурное явище

В ті часи, коли комп'ютерів було мало і далеко не всі вони були з'єднані між собою, самораспространяющемуся програми (ще не віруси) вже існували. Однією з перших таких став, жартівливо вітав користувача і пропонував зловити його і видалити. Наступним став Cookie Monster, який вимагав «дати йому печеньку», ввівши слово «cookie».

Ранні шкідливі програми теж мали почуття гумору, хоча воно і не завжди стосувалося їх назв. Так, Річарда Скрента, призначений для комп'ютера Apple-2, раз в 50 завантажень комп'ютера читав жертві віршик, а імена вірусів, часто приховані в коді, а не виставлені на показ, відсилали до жартів і субкультурних слівець, поширеним в середовищі гиків того часу. Вони могли асоціюватися з назвами метал-груп, популярною літературою і настільними рольовими іграми.

В кінці 20 століття творці вірусів особливо не ховалися - більш того, часто, коли програма виходила з під контролю, намагалися взяти участь в усуненні принесеного їй шкоди. Так було з пакистанським і руйнівним, створеним майбутнім співзасновником бізнес-інкубатора Y-Combinator.

Поетичні здібності демонстрував і один з російських вірусів, згаданих Євгеном Касперського в його книзі 1992 року «Комп'ютерні віруси в MS-DOS». Програма Condom-тисячу п'ятсот вісімдесят одна час від часу демонструвала жертві, присвячене проблемам засмічення світового океану продуктами людської життєдіяльності.

Географія і календар

У 1987 році вірус Jerusalem, відомий також як Israeli Virus, отримав назву за місцем свого першого виявлення, а його альтернативна назва Black Friday було пов'язано з тим, що він активізувався і видаляв запускаються файли, якщо 13 число місяця доводилося на п'ятницю.

За календарним принципом отримав назву і вірус Michelangelo, що викликав паніку в ЗМІ навесні 1992 року. Тоді Джон Макафі, пізніше прославився створенням одного з найбільш настирливих антивірусів, під час сіднейської конференції з кібербезпеки, журналістам і публіці: «Якщо ви завантажте інфіковану систему 6 березня, всі дані на жорсткому диску зіпсуються». Причому тут Мікеланджело? 6 березня біля італійського художника був день народження. Втім, жахи, які передбачав Макафі, в результаті надмірно перебільшеними.

функціональність

Можливості вірусу і його специфіка часто служать основою назви. У 1990 році один з перших поліморфних вірусів отримав ім'я Chameleon, а його, що володіє широкими можливостями приховувати свою присутність (а значить, що відноситься до категорії стелс-вірусів), був названий Frodo, натякаючи на героя «Володаря Кілець» і переховується від очей оточуючих Кільце . А, наприклад, вірус OneHalf 1994 року одержав свою назву через те, що виявляв агресію тільки заразивши половину диска атакується пристрою.

службові назви

Більшість вірусів вже давно отримують назви в лабораторіях, де їх розбирають на частини аналітики.

Зазвичай це нудні порядкові імена і загальні «сімейні» назви, що описують категорію вірусу, то, які системи він атакує і що з ними робить (на кшталт Win32.HLLP.DeTroie). Однак іноді, коли в коді програми вдається виявити натяки, залишені розробниками, віруси отримують трохи індивідуальності. Так з'явилися, наприклад, віруси MyDoom і KooKoo.

Втім, це правило працює не завжди - скажімо, вірус Stuxnet, який зупинив збагачують уран центрифуги в Ірані, не став називатися Myrtus, хоча це слово ( «мирт»), в коді, і було майже прямим натяком на участь в його розробці ізраїльських спецслужб. В даному випадку перемогло вже стало відомим широкому загалу назва, присвоєне вірусу на перших етапах його виявлення.

завдання

Часто буває і так, що віруси, які потребують великої уваги і сил для свого вивчення отримують у антивірусних компаній красиві назви, які простіше говорити і записувати - так сталося з Red October, дипломатичне листування і дані, здатні вплинути на міжнародні відносини, а також з IceFog , великомасштабним промисловим шпигунством.

розширення файлів

Ще один популярний спосіб найменування - по розширенню, яке вірус присвоює заражених файлів. Так, один з «військових» вірусів Duqu, був названий так не через графа Дуку з «Зоряних воєн», а завдяки префіксу ~ DQ, який відзначав створювані їм файли.

Так само отримав свою назву гучний цієї весни вірус WannaCry, маркирующий зашифровані їм дані расшіреніем.wncry.

Більш раннє назва вірусу Wanna Decrypt0r, не прижилося - воно гірше звучало і мало різночитання при написанні. Не всі трудилися ставити «0» в якості «о».

«Ви стали жертвою вірусу-здирника Petya»

Саме так представляється найбільш обговорювана сьогодні шкідлива програма, завершивши шифрування файлів на атакованому комп'ютері. У вірусу Petya A. є не тільки люди знають ім'я, але і логотип у вигляді піратського черепа з кістками, і ціла маркетингового просування. Помічений разом зі своїм братом «Misha» ще, вірус звернув на себе увагу аналітиків саме цим.

З субкультурного явища, пройшовши через період, коли для такого роду «хакерства» були потрібні досить серйозні технічні знання, віруси перетворилися на знаряддя кібер-гоп-стопу. Тепер їм доводиться грати за ринковими правилами - і хто отримує більше уваги, той і приносить своїм розробникам великі прибутки.

У вівторок, 27 червня, українські та російські компанії повідомили про масову вірусній атаці: комп'ютери на підприємствах відображали повідомлення з вимогою про викуп. розібралася, хто в черговий раз постраждав через хакерів і як вберегтися від крадіжки важливих даних.

Петя, вистачить

Першим атаці піддався енергетичний сектор: на вірус поскаржилися українські компанії «Укренерго» і «Київенерго». Зловмисники паралізували їх комп'ютерні системи, але на стабільності роботи електростанцій це не відбилося.

Українці почали публікувати наслідки зараження в мережі: судячи з численних знімках, комп'ютери атакував вірус-вимагач. На екрані уражених пристроїв вискакувало повідомлення про те, що всі дані зашифровані, і власникам пристроїв потрібно заплатити 300 доларів викупу в біткоіни. При цьому хакери не повідомили, що станеться з інформацією в разі бездіяльності, і навіть не встановили таймер зворотного відліку до знищення даних, як це було з атакою вірусу WannaCry.

Національний банк України (НБУ) повідомив, що через вірус частково паралізована робота декількох банків. За даними українських ЗМІ, атака торкнулася офісів Ощадбанку, Укрсоцбанку, Укргазбанку, і ПриватБанку.

Зараженню піддалися комп'ютерні мережі «Укртелекому», аеропорту «Бориспіль», «Укрпошти», «Нової пошти», «Київводоканалу» і Київського метрополітену. Крім того, вірус вдарив по українським мобільним операторам - «Київстару», Vodafone і Lifecell.

Пізніше українські ЗМІ уточнили, що мова йде про шкідливий Petya.A. Він поширюється по звичайній для хакерів схемою: жертвам розсилаються фішингові листи від підставних осіб з проханням відкрити вкладену посилання. Після цього вірус проникає в комп'ютер, шифрує файли і вимагає викуп за їх дешифрування.

Хакери вказали номер свого біткоіни-гаманця, на який слід переводити гроші. Судячи з інформації про транзакції, жертви перевели вже 1,2 біткоіни (більше 168 неоподатковуваних мінімумів доходів громадян).

За даними фахівців з інформаційної безпеки з компанії Group-IB, в результаті атаки постраждали більше 80 компаній. Керівник їх криміналістичної лабораторії зазначив, що вірус не пов'язаний з WannaCry. Для усунення проблеми він порадив закрити TCP-порти 1024-1035, 135 і 445.

Хто винен

Поспішила припустити, що атака організована з території Росії або Донбасу, але ніяких доказів не надала. Міністр інфраструктури України побачивпідказку в слові «вірус» і написав у своєму Facebook, що «не випадково воно закінчується на RUS», забезпечивши своє припущення підморгуючим смайликом.

Тим часом стверджує, що атака ніяк не пов'язана з існуючими «зловредів», відомими під назвою Petya і Mischa. Безпечники стверджують, що нова хвиля вразила не тільки українські та російські компанії, але і підприємства в інших країнах.

Проте нинішній «зловредів» по інтерфейсу нагадує відомий вірус Petya, який ще кілька років тому поширювався за допомогою фішингових посилань. В кінці грудня невідомий хакер, відповідальний за створення вимагачів Petya і Mischa, почав розсилати заражені листи з вкладеним вірусом під назвою GoldenEye, який був ідентичний попереднім версіям шифрувальників.

У доданому файлі до звичайного листа, яке часто отримували співробітники відділу кадрів, містилася інформація про підставну кандидата. В одному з файлів дійсно можна було знайти резюме, а в наступному - установник вірусу. Тоді головною мішенню зловмисника стали компанії в Німеччині. За добу в пастку потрапили понад 160 співробітників німецької компанії.

Обчислити хакера не вдалося, але очевидно, що він є прихильником бондіани. Програми Petya і Mischa - назви російських супутників «Петя» і «Міша» з фільму «Золоте око» (Golden Eye), за сюжетом представляли собою електромагнітне зброю.

Оригінальна версія Petya почала активно поширюватися в квітні 2016 року. Вона майстерно маскувалася на комп'ютерах і видавала себе за легальні програми, запитуючи розширені права адміністратора. Після активації програма вела себе вкрай агресивно: ставила жорсткий дедлайн для оплати викупу, вимагаючи 1,3 біткоіни, а після закінчення терміну подвоювала грошову компенсацію.

Правда, тоді один з користувачів Twitter швидко знайшов слабкі сторони вимагача і створив просту програму, яка за сім секунд генерувала ключ, що дозволяє зняти блокування з комп'ютера і розшифрувати всі дані без будь-яких наслідків.

Не в перший раз

В середині травня комп'ютери по всьому світу атакував схожий вірус-вимагач WannaCrypt0r 2.0, також відомий як WannaCry. Всього за кілька годин він паралізував роботу сотень тисяч працювали на Windows пристроїв в більш ніж 70 країнах. У числі постраждалих опинилися і російські силові структури, банки і мобільні оператори. Потрапивши на комп'ютер жертви, вірус шифрував жорсткий диск і вимагав відправити зловмисникам 300 доларів в біткоіни. На роздуми відводилося три дні, після чого сума збільшувалася вдвічі, а через тиждень файли зашифровувати назавжди.

Однак жертви не поспішали перераховувати викуп, і творці «шкідливий»

Кілька місяців тому і ми та інші IT Security фахівці виявили новий шкідливий - Petya (Win32.Trojan-Ransom.Petya.A). У класичному розумінні він не був шифрувальником, вірус просто блокував доступ до певних типів файлів і вимагав викуп. Вірус модифікував завантажувальний запис на жорсткому диску, примусово перезавантажувати ПК і показував повідомлення про те що "дані зашифровані - женіть ваші гроші за розшифровку". Загалом стандартна схема вірусів-шифрувальників за винятком того що файли фактично НЕ зашифровувати. Більшість популярних антивірусів почали ідентифікувати і видаляти Win32.Trojan-Ransom.Petya.A через кілька тижнів після його появи. Крім того з'явилися інструкції по ручному видаленню. Чому ми вважаємо що Petya не класичний шифрувальник? Цей вірус вносить зміни в в Master Boot Record і перешкоджає завантаженні ОС, а також шифрує Master File Table (головну таблицю файлів). Він не шифрує самі файли.

Однак кілька тижнів тому з'явився більш витончений вірус Mischa, Судячи з усього написаний тими самими шахраями. Цей вірус шифрує файли і вимагає заплатити за розшифровку 500 - 875 $ (в різних версіях 1.5 - 1.8 біткоіни). Інструкції по "розшифровці" і оплаті за неї зберігаються в файлах YOUR_FILES_ARE_ENCRYPTED.HTML і YOUR_FILES_ARE_ENCRYPTED.TXT.

Вірус Mischa - вміст файлу YOUR_FILES_ARE_ENCRYPTED.HTML

Зараз фактично хакери заражають комп'ютери користувачів двома шкідливий: Petya і Mischa. Першому потрібні права адміністратора в системі. Тобто якщо користувач відмовляється видати Petya адмінських права або ж видалив цей зловредів вручну - в справу включається Mischa. Цьому вірусу не потрібні права адміністратора, він є класичним шифрувальником і дійсно шифрує файли по стійкому алгоритмом AES і не вносячи жодних змін в Master Boot Record і таблицю файлів на вінчестері жертви.

Шкідливий Mischa шифрує не тільки стандартні типи файлів (відео, картинки, презентації, документи), але також файли.exe. Вірус не зачіпає тільки директорії \ Windows \ $ Recycle.Bin, \ Microsoft \ Mozilla Firefox, \ Opera, \ Internet Explorer, \ Temp, \ Local, \ LocalLow і \ Chrome.

Зараження відбувається переважно через електронну пошту, куди приходить лист із вкладеним файлом - інсталятором вірусу. Воно може бути зашифровано під лист з Податкової, від Вашого бухгалтера, як вкладені квитанції і чеки про покупки і.т.д. Звертайте увагу на розширення файлів в таких листах - якщо це виконавчий файл (.exe), то з великою ймовірністю він може бути контейнером з вірусом Petya \ Mischa. І якщо модифікація зловреда свіжа - Ваш антивірус може і не відреагувати.

Оновлення 30.06.2017: 27 червня модифікований варіант вірусу Petya (Petya.A)масово атакував користувачів в Україні. Ефект від даної атаки був колосальний і економічний збиток поки не підрахований. За один день була паралізована робота десятків банків, торговельних мереж, державних установ і підприємств різних форм власності. Вірус поширювався переважно через уразливість в українській системі подачі бухгалтерської звітності MeDoc з останнім автоматичним оновленням даного ПЗ. Крім того вірус торкнувся і такі країни як Росія, Іспанія, Великобританія, Франція, Литва.

Видалити вірус Petya і Mischa c допомогою автоматичного чистильника

Виключно ефективний метод роботи з шкідливим ПО взагалі і програмами-вимагачами зокрема. Використання зарекомендував себе захисного комплексу гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, мова йде про двох різних процесах: деінсталяції інфекції та відновлення файлів на Вашому ПК. Проте, загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців з її допомогою.

. Після запуску програмного засобу, натисніть кнопку Start Computer Scan(Почати сканування).
Встановлене ПЗ надасть звіт по виявленим в ході сканування загрозам. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглядається шкідливий ПО буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було відзначено, програма-вимагач Mischa блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані можна відновити помахом чарівної палички - якщо не брати до уваги оплату нечуваної суми викупу (іноді доходить до 1000 $). Але деякі методи дійсно можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитися.

Програма автоматичного відновлення файлів (дешифратор)

Відомо досить неординарне обставина. Дана інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою вимагання, таким чином, націлений на їх копії. Це надає можливість таким програмних засобів як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється в кожній точці відновлення. Важлива умова роботи даного методу: функція "Відновлення системи" повинна бути активована до моменту зараження. При цьому будь-які зміни в файл, внесені після точки відновлення, в відновленої версії файлу відображатися не будуть.

Резервне копіювання

Це найкращий серед всіх не пов'язаних з викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-здирника на Ваш комп'ютер, для відновлення зашифрованих файлів знадобитися просто увійти до відповідного інтерфейс, вибрати необхідні файли і запустити механізм відновлення даних з резерву. Перед виконанням операції необхідно упевнитися, що здирницькі ПО повністю видалено.

Перевірити можливу наявність залишкових компонентів вимагача Petya і Mischa

Очищення в ручному режимі чревата упущенням окремих фрагментів здирницькі ПО, які можуть уникнути видалення у вигляді укритті об'єктів операційної системи або елементів реєстру. Щоб виключити ризик часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на образами ПО.