Há alguns meses, nós e outros especialistas em segurança de TI descobrimos um novo malware - Petya (Win32.Trojan-Ransom.Petya.A). No sentido clássico, não era um criptografador ao qual o vírus simplesmente bloqueava o acesso; certos tipos arquivos e exigiu resgate. O vírus modificou o registro de inicialização no disco rígido, reinicializou o PC à força e mostrou uma mensagem de que “os dados estão criptografados - desperdice seu dinheiro na descriptografia”. Em geral, o esquema padrão de criptografia de vírus, exceto que os arquivos NÃO foram realmente criptografados. Os antivírus mais populares começaram a identificar e remover o Win32.Trojan-Ransom.Petya.A algumas semanas após seu aparecimento. Além disso, apareceram instruções para remoção manual. Por que achamos que Petya não é um ransomware clássico? Este vírus faz alterações no Master Boot Record e impede o carregamento do sistema operacional, além de criptografar a Master File Table. Ele não criptografa os próprios arquivos.

No entanto, um vírus mais sofisticado apareceu há algumas semanas Mischa, aparentemente escrito pelos mesmos golpistas. Este vírus criptografa arquivos e exige que você pague entre US$ 500 e US$ 875 pela descriptografia (em versões diferentes 1,5 – 1,8 bitcoins). As instruções para “descriptografia” e pagamento estão armazenadas nos arquivos YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT.

Vírus Mischa – conteúdo do arquivo YOUR_FILES_ARE_ENCRYPTED.HTML

Agora, na verdade, os hackers infectam os computadores dos usuários com dois malwares: Petya e Mischa. O primeiro precisa de direitos de administrador no sistema. Ou seja, se um usuário se recusar a conceder direitos de administrador ao Petya ou excluir manualmente esse malware, Mischa se envolve. Este vírus não requer direitos de administrador, é um criptografador clássico e realmente criptografa arquivos com segurança Algoritmo AES e sem fazer nenhuma alteração no Master Boot Record e na tabela de arquivos no disco rígido da vítima.

O malware Mischa criptografa não apenas tipos de arquivos padrão (vídeos, fotos, apresentações, documentos), mas também arquivos .exe. O vírus não afeta apenas os diretórios \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Ópera,\ Internet Explorer, \Temp, \Local, \LocalLow e \Chrome.

A infecção ocorre principalmente por e-mail, onde é recebida uma carta com um arquivo anexado – o instalador do vírus. Pode ser criptografado em carta da Receita Federal, do seu contador, como recibos anexados e recibos de compras, etc. Preste atenção às extensões dos arquivos nessas cartas - se for um arquivo executável (.exe), então com grande probabilidade pode ser um contêiner com o vírus Petya\Mischa. E se a modificação do malware for recente, o seu antivírus pode não responder.

Atualização 30/06/2017: 27 de junho, uma versão modificada do vírus Petya (Petya.A) atacou massivamente usuários na Ucrânia. O efeito deste ataque foi enorme e os danos económicos ainda não foram calculados. Em um dia, o trabalho de dezenas de bancos, redes de varejo, agências governamentais e empresas de diversas formas de propriedade foi paralisado. O vírus se espalhou principalmente através de uma vulnerabilidade no sistema de entrega ucraniano declarações financeiras MeDoc com a atualização automática mais recente deste software. Além disso, o vírus afetou países como Rússia, Espanha, Grã-Bretanha, França e Lituânia.

Remova os vírus Petya e Mischa usando um limpador automático

Exclusivamente método eficaz trabalhando com malware em geral e ransomware em particular. O uso de um complexo protetor comprovado garante a detecção completa de quaisquer componentes virais, seus remoção completa com um clique. Observe que estamos falando de dois processos diferentes: desinstalar a infecção e restaurar arquivos no seu PC. Contudo, a ameaça necessita certamente de ser eliminada, uma vez que há informações sobre a introdução de outros Trojans de computador com a ajuda dela.

1. . Após iniciar o software, clique no botão Iniciar verificação do computador(Iniciar a digitalização).
2. O software instalado fornecerá um relatório sobre as ameaças detectadas durante a verificação. Para remover todas as ameaças detectadas, selecione a opção Corrigir ameaças(Eliminar ameaças). O malware em questão será completamente removido.

Restaurar o acesso a arquivos criptografados

Conforme observado, o ransomware Mischa bloqueia arquivos usando um algoritmo de criptografia forte para que os dados criptografados não possam ser restaurados com um aceno de varinha mágica - a menos que pague um valor de resgate inédito (às vezes chegando a US$ 1.000). Mas alguns métodos podem realmente salvar vidas e ajudá-lo a recuperar dados importantes. Abaixo você pode se familiarizar com eles.

Programa recuperação automática arquivos (decodificador)

Uma circunstância muito incomum é conhecida. Esta infecção apaga os arquivos originais de forma não criptografada. O processo de criptografia para fins de extorsão visa, portanto, cópias deles. Isto oferece uma oportunidade para tais Programas como restaurar objetos apagados, mesmo que a confiabilidade de sua remoção seja garantida. É altamente recomendável recorrer ao procedimento de recuperação de arquivos, sua eficácia é indiscutível;

Cópias de sombra de volumes

A abordagem é baseada no procedimento do Windows Cópia de reserva arquivos, que é repetido em cada ponto de recuperação. Condições de trabalho importantes este método: A função “Restauração do Sistema” deve ser ativada antes da infecção. No entanto, quaisquer alterações feitas no arquivo após o ponto de restauração não aparecerão na versão restaurada do arquivo.

Cópia de segurança

Este é o melhor entre todos os métodos sem resgate. Se o procedimento de backup de dados para um servidor externo foi usado antes do ataque de ransomware em seu computador, para restaurar arquivos criptografados basta entrar na interface apropriada, selecionar arquivos necessários e inicie o mecanismo de recuperação de dados do backup. Antes de realizar a operação, você deve certificar-se de que o ransomware foi completamente removido.

Verifique a possível presença de componentes residuais do ransomware Petya e Mischa

A limpeza manual corre o risco de perder pedaços individuais de ransomware que poderiam escapar da remoção como objetos ocultos sistema operacional ou itens de registro. Para eliminar o risco de retenção parcial de elementos maliciosos individuais, verifique o seu computador usando um pacote de software de segurança confiável, especializado em software malicioso.

Os vírus são parte integrante do ecossistema do sistema operacional. Na maioria dos casos, estamos falando de Windows e Android e, se você não tiver sorte, de OS X e Linux. Além disso, se anteriormente os vírus em massa visavam apenas roubar dados pessoais e, na maioria dos casos, simplesmente danificar ficheiros, agora os encriptadores “dominam”.

E isso não é surpreendente - o poder computacional de PCs e smartphones cresceu como uma avalanche, o que significa que o hardware para essas “pegadinhas” está se tornando cada vez mais poderoso.

Há algum tempo, especialistas descobriram o vírus Petya. O G DATA SecurityLabs descobriu que o vírus requer acesso administrativo ao sistema e não criptografa os arquivos, apenas bloqueia o acesso a eles. Hoje, já existem soluções do Petya (Win32.Trojan-Ransom.Petya.A‘). O próprio vírus modifica o registro de inicialização na unidade do sistema e faz com que o computador trave, exibindo uma mensagem sobre corrupção de dados no disco. Na verdade, isso é apenas criptografia.

Os desenvolvedores do malware exigiram pagamento para restaurar o acesso.

Porém, hoje, além do vírus Petya, apareceu um ainda mais sofisticado - o Misha. Ele não precisa de direitos administrativos e criptografa dados como o Ransomware clássico, criando arquivos YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT no disco ou pasta com dados criptografados. Eles contêm instruções sobre como obter a chave, que custa aproximadamente US$ 875.

É importante ressaltar que a infecção ocorre por e-mail, que recebe um arquivo exe com vírus, disfarçado de documento pdf. E aqui resta lembrar novamente - verifique cuidadosamente as cartas com arquivos anexados e também tente não baixar documentos da Internet, pois agora um vírus ou macro maliciosa pode ser incorporado em um arquivo doc ou página da web.

Observamos também que até o momento não existem utilitários para decifrar o “trabalho” do vírus Misha.

Os vírus são parte integrante do ecossistema do sistema operacional. Na maioria dos casos, estamos falando de Windows e Android e, se você não tiver sorte, de OS X e Linux. Além disso, se anteriormente os vírus em massa visavam apenas roubar dados pessoais e, na maioria dos casos, simplesmente danificar ficheiros, agora os encriptadores “dominam”.

E isso não é surpreendente - o poder computacional de PCs e smartphones cresceu como uma avalanche, o que significa que o hardware para essas “pegadinhas” está se tornando cada vez mais poderoso.

Há algum tempo, especialistas descobriram o vírus Petya. O G DATA SecurityLabs descobriu que o vírus requer acesso administrativo ao sistema e não criptografa os arquivos, apenas bloqueia o acesso a eles. Hoje, já existem soluções do Petya (Win32.Trojan-Ransom.Petya.A‘). O próprio vírus modifica o registro de inicialização na unidade do sistema e faz com que o computador trave, exibindo uma mensagem sobre corrupção de dados no disco. Na verdade, isso é apenas criptografia.

Os desenvolvedores do malware exigiram pagamento para restaurar o acesso.

Porém, hoje, além do vírus Petya, apareceu um ainda mais sofisticado - o Misha. Ele não precisa de direitos administrativos e criptografa dados como o Ransomware clássico, criando arquivos YOUR_FILES_ARE_ENCRYPTED.HTML e YOUR_FILES_ARE_ENCRYPTED.TXT no disco ou pasta com dados criptografados. Eles contêm instruções sobre como obter a chave, que custa aproximadamente US$ 875.

É importante ressaltar que a infecção ocorre por e-mail, que recebe um arquivo exe com vírus, disfarçado de documento pdf. E aqui resta lembrar novamente - verifique cuidadosamente as cartas com arquivos anexados e também tente não baixar documentos da Internet, pois agora um vírus ou macro maliciosa pode ser incorporado em um arquivo doc ou página da web.

Observamos também que até o momento não existem utilitários para decifrar o “trabalho” do vírus Misha.

Direitos autorais da ilustração PA Legenda da imagem Segundo especialistas, combater o novo ransomware é mais difícil do que o WannaCry

Em 27 de junho, o ransomware bloqueou computadores e criptografou arquivos em dezenas de empresas em todo o mundo.

É relatado que as empresas ucranianas foram as que mais sofreram - o vírus infectou computadores de grandes empresas, agências governamentais e instalações de infraestrutura.

O vírus exige US$ 300 em Bitcoin das vítimas para descriptografar arquivos.

O serviço russo da BBC responde às principais questões sobre a nova ameaça.

Quem ficou ferido?

A propagação do vírus começou na Ucrânia. O aeroporto Boryspil, algumas divisões regionais da Ukrenergo, cadeias de lojas, bancos, empresas de comunicação social e telecomunicações foram afectadas. Os computadores do governo ucraniano também caíram.

Depois disso, foi a vez das empresas na Rússia: Rosneft, Bashneft, Mondelеz International, Mars, Nivea e outras também foram vítimas do vírus.

Como funciona o vírus?

Os especialistas ainda não chegaram a um consenso sobre a origem do novo vírus. O Group-IB e a Positive Technologies o veem como uma variante do vírus Petya de 2016.

"Este ransomware usa técnicas e utilitários de hacking, e utilitários padrão administração do sistema, - comenta o chefe do departamento de resposta a ameaças segurança da informação Tecnologias Positivas Elmar Nabigaev. - Tudo isso garante alta velocidade propagação dentro da rede e a massividade da epidemia como um todo (se pelo menos um computador pessoal). O resultado é a completa inoperabilidade do computador e a criptografia de dados."

A empresa romena Bitdefender vê mais em comum com o vírus GoldenEye, no qual Petya é combinado com outro malware chamado Misha. A vantagem deste último é que não exige direitos de administrador da futura vítima para criptografar os arquivos, mas os extrai de forma independente.

Brian Cambell da Fujitsu e vários outros especialistas acreditam que o novo vírus usa um programa EternalBlue modificado roubado da Agência de Segurança Nacional dos EUA.

Após a publicação deste programa por hackers A sombra Corretores em abril de 2017, o vírus ransomware WannaCry criado com base nele se espalhou por todo o mundo.

Usando vulnerabilidades do Windows, este programa permite que o vírus se espalhe pelos computadores da rede corporativa. O Petya original foi enviado via e-mail disfarçado de currículo e só poderia infectar o computador onde o currículo foi aberto.

A Kaspersky Lab disse à Interfax que o vírus ransomware não pertence a famílias de malware anteriormente conhecidas Programas.

“Os produtos de software da Kaspersky Lab detectam esse malware como UDS:DangeroundObject.Multi.Generic”, observou Vyacheslav Zakorzhevsky, chefe do departamento de pesquisa de antivírus da Kaspersky Lab.

Em geral, se você chamar o novo vírus pelo nome russo, é preciso ter em mente que na aparência ele se parece mais com o monstro de Frankenstein, já que é montado a partir de vários malware. É sabido que o vírus nasceu em 18 de junho de 2017.

Legenda da imagem O vírus exige US$ 300 para descriptografar arquivos e desbloquear seu computador.

Mais legal que o WannaCry?

Demorou apenas alguns dias para o WannaCry, em maio de 2017, se tornar o maior ataque cibernético desse tipo na história. Será que o novo vírus ransomware superará o seu antecessor recente?

Em menos de um dia, os invasores receberam 2,1 bitcoins de suas vítimas – cerca de 5 mil dólares. WannaCry coletou 7 bitcoins durante o mesmo período.

Ao mesmo tempo, segundo Elmar Nabigaev da Positive Technologies, é mais difícil combater o novo ransomware.

“Além de explorar [a vulnerabilidade do Windows], esta ameaça também se espalha através de contas de sistemas operacionais roubadas usando ferramentas especiais de hacking”, observou o especialista.

Como combater o vírus?

Como medida preventiva, os especialistas aconselham a instalação oportuna de atualizações de sistemas operacionais e a verificação dos arquivos recebidos por e-mail.

Administradores avançados são aconselhados a desabilitar temporariamente o protocolo de transferência de rede Server Message Block (SMB).

Se os seus computadores estiverem infectados, sob nenhuma circunstância você deverá pagar aos invasores. Não há garantia de que, uma vez recebidos o pagamento, eles descriptografarão os arquivos em vez de exigir mais.

Resta aguardar o programa de descriptografia: no caso do WannaCry, Adrien Guinier, especialista da empresa francesa Quarkslab, levou uma semana para criá-lo.

O primeiro ransomware contra AIDS (PC Cyborg) foi escrito pelo biólogo Joseph Popp em 1989. Ela escondeu diretórios e arquivos criptografados, exigindo pagamento de US$ 189 por" renovação da licença" para uma conta no Panamá. Popp distribuiu sua ideia em disquetes por correio normal, faturando um total de cerca de 20 miliateremessas. Popp foi detido enquanto tentava descontar um cheque, mas evitou o julgamento - em 1991 foi declarado louco.

Várias empresas russas e ucranianas foram atacadas pelo vírus ransomware Petya. O site de publicação online conversou com especialistas da Kaspersky Lab e da agência interativa AGIMA e descobriu como proteger os computadores corporativos contra vírus e como o Petya é semelhante ao igualmente conhecido Vírus ransomware WannaCry.

Vírus "Petya"

Na Rússia existem Rosneft, Bashneft, Mars, Nivea e a fabricante de chocolates Alpen Gold Mondelez International. Vírus ransomware do sistema de monitoramento de radiação da usina nuclear de Chernobyl. Além disso, o ataque afetou computadores do governo ucraniano, do Privatbank e de operadoras de telecomunicações. O vírus bloqueia computadores e exige um resgate de US$ 300 em Bitcoin.

No microblog do Twitter, a assessoria de imprensa da Rosneft falou sobre um ataque de hackers aos servidores da empresa. “Um poderoso ataque de hacker foi realizado nos servidores da empresa. Esperamos que isso não tenha nada a ver com os processos judiciais atuais. A empresa contatou as agências de aplicação da lei sobre o ataque cibernético”, diz a mensagem.

Segundo o secretário de imprensa da empresa, Mikhail Leontyev, a Rosneft e suas subsidiárias estão operando normalmente. Após o ataque, a empresa mudou para um sistema de controle de processo de backup para que a produção e o tratamento de petróleo não parassem. O sistema bancário de Crédito à Habitação também foi atacado.

"Petya" não infecta sem "Misha"

De acordo com Diretor Executivo da AGIMA Evgeniy Lobanov Na verdade, o ataque foi realizado por dois vírus de criptografia: Petya e Misha.

“Eles trabalham juntos. “Petya” não infecta sem “Misha”. Ele pode infectar, mas o ataque de ontem foram dois vírus: primeiro Petya, depois “Petya” reescreve o dispositivo de inicialização (de onde o computador inicializa) e Misha. – “criptografa arquivos usando um algoritmo específico”, explicou o especialista “Petya criptografa o setor de inicialização do disco (MBR) e o substitui pelo seu próprio, Misha já criptografa todos os arquivos do disco (nem sempre).”

Ele observou que o vírus de criptografia WannaCry, que atacou grandes empresas globais em maio deste ano, não é semelhante ao Petya, é uma nova versão.

"Petya.A é da família WannaCry (ou melhor, WannaCrypt), mas a principal diferença, porque não é o mesmo vírus, é que ele é substituído pelo MBR com seu próprio setor de inicialização - este é um novo produto para Ransomware. O vírus Petya apareceu há muito tempo, no GitHab (um serviço online para projetos de TI e programação conjunta - site) https://github.com/leo-stone/hack-petya" target="_blank">havia um descriptografador para este criptografador, mas nenhum descriptografador é adequado para a nova modificação.

Yevgeny Lobanov enfatizou que o ataque atingiu mais a Ucrânia do que a Rússia.

"Somos mais suscetíveis a ataques do que outros países ocidentais. Estaremos protegidos desta versão do vírus, mas não das suas modificações. A nossa Internet é insegura, na Ucrânia ainda menos. Principalmente, empresas de transporte, bancos, operadoras móveis(Vodafone, Kyivstar) e empresas médicas, a mesma Pharmamag, postos de gasolina Shell - todas grandes empresas transcontinentais", disse ele em entrevista ao site.

O director executivo da AGIMA referiu que ainda não existem factos que indiquem a localização geográfica do disseminador do vírus. Na sua opinião, o vírus supostamente apareceu na Rússia. Infelizmente, não há nenhuma evidência direta disso.

“Supõe-se que estes sejam nossos hackers, já que a primeira modificação apareceu na Rússia, e o próprio vírus, que não é segredo para ninguém, recebeu o nome de Petro Poroshenko. Foi um desenvolvimento de hackers russos, mas é difícil dizer. quem mudou ainda mais. É claro que mesmo estando na Rússia é fácil ter um computador com geolocalização nos EUA, por exemplo”, explicou o especialista.

“Se o seu computador for “infectado” repentinamente, você não deve desligá-lo. Se reiniciar, você nunca mais fará login.”

“Se o seu computador for “infectado” repentinamente, você não poderá desligá-lo, porque o vírus Petya substitui o MBR - o primeiro setor de inicialização a partir do qual o sistema operacional é carregado. Se você reiniciar, você nunca mais fará login no sistema. Isso cortará as rotas de fuga, mesmo que apareça " tablet" não será mais possível retornar os dados. Em seguida, você precisa se desconectar imediatamente da Internet para que o computador não fique online. já foi lançado, fornece uma garantia de segurança de 98 por cento, infelizmente, ainda não é 100 por cento. Uma certa modificação do vírus (suas três peças) ele está ignorando por enquanto”, recomendou Lobanov. – Porém, se você reiniciar e ver o início do processo de “verificação de disco”, neste momento você precisa desligar imediatamente o computador e os arquivos permanecerão descriptografados.

Além disso, o especialista também explicou por que os usuários da Microsoft são mais frequentemente atacados, e não os sistemas MacOSX (sistema operacional da Apple – site) e Unix.

“Aqui é mais correto falar não só do MacOSX, mas também de todos os sistemas Unix (o princípio é o mesmo). O vírus se espalha apenas para computadores, sem dispositivos móveis. A sala de cirurgia está sob ataque Sistema Windows e só ameaça os usuários que desabilitaram a função atualização automática sistemas. As atualizações estão disponíveis como exceção, mesmo para proprietários de dispositivos antigos Versões do Windows, que não são mais atualizados: XP, Windows 8 e Servidor Windows 2003”, disse o especialista.

"MacOSX e Unix não são suscetíveis a tais vírus em todo o mundo, porque muitas grandes corporações usam a infraestrutura da Microsoft. MacOSX não é suscetível porque não é tão comum em agências governamentais. Existem menos vírus para isso, não é lucrativo produzi-los, porque o segmento de ataque será menor do que se atacar a Microsoft”, concluiu o especialista.

“O número de usuários atacados chega a dois mil”

No serviço de imprensa da Kaspersky Lab, cujos especialistas continuam investigando a última onda de infecções, disse que “este ransomware não pertence à já conhecida família de ransomware Petya, embora tenha várias linhas de código em comum com ele”.

O Laboratório está confiante de que neste caso se trata de uma nova família de software malicioso com funcionalidades significativamente diferentes do Petya. A Kaspersky Lab nomeou seu novo ransomware ExPetr.

"De acordo com a Kaspersky Lab, o número de usuários atacados chegou a dois mil. A maioria dos incidentes foi registrada na Rússia e na Ucrânia, e casos de infecção também foram observados na Polônia, Itália, Grã-Bretanha, Alemanha, França, EUA e vários outros países. países. este momento Nossos especialistas sugerem que esse malware usou vários vetores de ataque. Foi estabelecido que para distribuição em redes corporativas uma exploração EternalBlue modificada e uma exploração EternalRomance foram usadas”, disse o serviço de imprensa.

Os especialistas também estão explorando a possibilidade de criar uma ferramenta de descriptografia que possa ser usada para descriptografar os dados. O Laboratório também fez recomendações para todas as organizações evitarem ataques de vírus no futuro.

"Recomendamos que as organizações instalem atualizações do Windows. Para Windows XP e Windows 7, elas devem instalar a atualização de segurança MS17-010 e garantir que tenham um sistema de backup de dados eficaz. Fazer backup dos dados de maneira oportuna e segura permite a recuperação arquivos originais, mesmo que tenham sido criptografados com malware”, aconselharam os especialistas da Kaspersky Lab.

para o seu para clientes corporativos O laboratório também recomenda garantir que todos os mecanismos de proteção estejam ativados, em particular, certificando-se de que a conexão com a infraestrutura em nuvem da Kaspersky Security Network como medida adicional, é recomendado usar o componente Controle de Privilégios de Aplicativo para proibir todos os grupos de aplicativos; acessando (e, consequentemente, executando) um arquivo com o nome "perfc.dat" etc.

“Se você não usa produtos da Kaspersky Lab, recomendamos que você desabilite a execução do arquivo chamado perfc.dat e também bloqueie a inicialização do utilitário PSExec do pacote Sysinternals usando a função AppLocker incluída no sistema operacional Windows (sistema operacional – site)”, recomendado no laboratório.

12 de maio de 2017 muitos – criptografador de dados ativado Discos rígidos computadores. Ele bloqueia o dispositivo e exige o pagamento de um resgate.
O vírus afetou organizações e departamentos em dezenas de países ao redor do mundo, incluindo a Rússia, onde o Ministério da Saúde, o Ministério de Situações de Emergência, o Ministério de Assuntos Internos e servidores foram atacados operadoras móveis e vários grandes bancos.

A propagação do vírus foi interrompida acidental e temporariamente: se os hackers alterassem apenas algumas linhas de código, o malware começaria a funcionar novamente. Os danos do programa são estimados em um bilhão de dólares. Após análise linguística forense, os especialistas determinaram que o WannaCry foi criado por pessoas da China ou de Cingapura.