Що таке вірус Petya.A?

27 червня в Україні почалися масові хакерські атаки. Близько з 12-ї години вірус-здирник невідомого походження, подібний на WannaCry, атакував комп’ютерні системи сотень держустанов та компаній. Цей вірус називається Petya.A або mbr locker 256.

Читайте також: Україну атакував небезпечний вірус Petya A: онлайн

MBR – це головний запис, код, необхідний для подальшого завантаження операційної системи і розташований в першому секторі пристрою. Після включення живлення комп'ютера проходить так звана процедура POST, тестується апаратне забезпечення, після проходження якої BIOS завантажує MBR в оперативну пам'ять за адресою 0x7c00 і передає йому управління. Так вірус потрапляє в комп'ютер і вражає його.

Модифікацій вірусу існує багато. Вірус поширюється дуже швидко. Виявляється у відмові роботи комп'ютерів на платформі Windows, перезавантаженні і шифруванні даних. Сайти низки компаній не працюють через атаки, в інших офісах відключили всі комп'ютери після перших ознак атаки. Вірус шифрує інформацію на жорсткому диску комп'ютера, вимагаючи за відновлення роботи викуп розміром 300 доларів у біткоінах.

Хакерська атака в Україні: як працює вірус Petya.A
Хакерська атака в Україні: як працює вірус Petya.A

Як поширюється вірус?

Працівники атакованих установ розповіли, що їм на пошту приблизно за годину до масової відмови комп'ютерів приходили листи від невідомого адресата з "лівими" посиланнями. Зараження відбувається, коли адресати переходили за цим посиланням або скачували невідомі файли.

Читайте також: У поліції повідомили деталі про масштабну хакерську атаку в Україні

Переважно листи з вірусом були відправлені у відділи кадрів під виглядом резюме. У листі було вкладене посилання на нібито архів портфоліо робіт, що зберігається в папці на сервісі Dropbox (а насправді – на вірус).

Крім того, вірусна атака на українські компанії почалася через оновлення програми "M.E.doc." (програмне забезпечення для звітності та документообігу). Це програмне забезпечення має вбудовану функцію оновлення. Розробники програми заявили, що на момент завантажування оновлення M.E.doc від 22.06.2017 воно не містило жодних вірусів.

Скачаний вірус відразу ж модифікує завантажувальний запис на системному накопичувачі і викликає аварійне завершення роботи комп'ютера. Після перезавантаження комп'ютера на екран виводиться повідомлення, що диск пошкоджений і потрібно виконати процедуру виправлення помилок, яка може зайняти кілька годин. За цей час насправді відбувається шифрування даних. Вкінці на екрані висвічується повідомлення про те, що весь диск зашифрований, а щоб його розшифрувати, потрібно купити ключ у зловмисників через Tor. І нібито якщо цього не зробити, за 7 днів ціна збільшиться в два рази.

Як відбувається зараження вірусом Petya.A: відео

Початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам вірусу WannaCry.

Кого вразив вірус Petya.A?

В Україні масовій хакерській атаці піддалися: банківська система (близько 30 банків), система інфраструктури (80% підприємств, підпорядкованих Міністерству інфраструктури), Кабмін, мобільні оператори, ЗМІ, підприємства енергетичної сфери.

Хто потрапив під хакерську атаку в Україні: список

ЗМІ: медіахолдинг ТРК "Люкс" (24 Канал, радіо "Люкс", Радіо Максимум, Zaxid.net, Без Табу); Український медіа холдинг ("Комсомольська правда в Україні", "Кореспондент", Football.ua); Чорноморська ТРК; Телеканал ATR; за деякими даними – "Інтер" і UA:Перший.

Читайте також: Хакерська атака в Україні: фахівці СБУ виділили тіло вірусу Petya.А

Банки: Ощадбанк, Південний, ОТП, ПУМБ, ТАСКомерцбанк, Укргазбанк, Розрахунковий центр, Мега банк, Кристал банк, Укрсоцбанк, Радабанк, Кредо банк, Idea банк, Юнісон, Перший інвестиційний банк, Кредит оптима, Траст капітал, Проминвестбанк, Реконструкції і розвиток, Вернум, Глобус.

Підприємства енергетики: ДТЕК, Укренерго, Київенерго та інші.

Підприємства інфраструктури: аеропорт "Бориспіль", "Укрзалізниця", Київський метрополітен та інші.

Мережі заправок ОККО, ТНК, WOG, KLO

Мобільні оператори: Київстар, Vodafone, Lifecell.

Медицина: компанія "Фармак", клініка "Борис", за непідтвердженими даними, лікарня "Феофанія".

Укрпошта

"Нова пошта"

Укртелеком

Мережа гіпермаркетів "Епіцентр"

ДП "Антонов"

Київводоканал

Укргазвидобування

Кабінет Міністрів України

Вірус Petya.A вразив супермаркет в Харкові
Супермаркет у Харкові під час атаки вірусу Petya.A 27 червня

Це далеко не весь список заражених установ та компаній. Вірус поширюється дуже швидко.

Зазначимо, комп'ютерні мережі силових відомств не постраждали. Однак сайт МВС припинив свою роботу, щоб уникнути ураження вірусом.

Президентські комп'ютерні мережі також не потрапили під атаку. Кілька місяців тому ІТ-команда АПУ відбила подібні атаки та провела відповідні технологічні заходи для закриття потенційних зон атаки.

Прем'єр-міністр України Володимир Гройсман запевняє, що важливі системи Кабміну не постраждали.

Після України вірус Petya.A почав заражати комп'ютерні мережі в Росії (зокрема "Роснефть" та деякі банки), Франції, Великобританії, Іспанії, Індії, США. Заголом програма-здирник дуже швидко поширюється по всьому світу.

Чи треба платити гроші, якщо вірус заразив комп'ютер?

Ні, ні в якому випадку не зв'язуйтеся з шахраями. Швидше за все, навіть якщо ви заплатите зловмисникам, втрачена інформація не повернеться. Втім, станом на 18:00 на один із біткоін-гаманців, який збирає гроші із заражених вірусом комп'ютерів, перерахували понад 2300 доларів.

Ні в якому разі не можна перераховувати їм ці біткоіни. Це розвод". З того, що проаналізували наші фахівці, ясно, що через вірус йде повне шифрування файлів. Всю уражену вірусом техніку можна просто викинути на смітник. Від вірусу вилікувати комп'ютери нереально. Якщо вже почалося шифрування, це вже все,
– сказав голова Інтернет-асоціації України Олександр Федієнко.

Читайте також: Хакерська атака вимагачем Petya.A: як соцмережі кепкують з вірусу

Якщо комп'ютери вашої компанії, заразив вірус Petya.A, зверніться в поліцію. Ця атака спрямована в основному на комп'ютерні системи, однак і ваш персональний комп'ютер теж може піддатися шахрайству.

Інформація на заражених комп'ютерах безслідно зникла?

Наразі аналіз вірусу Petya.A триває. Поки що немає остаточної інформації про те, чи можна відновити доступ до даних. Наприклад, фахівці з G DATA SecurityLabs припускають, що вірус Petya.А блокує лише доступ до файлів, а не шифрує всі дані на накопичувачі.

Інші експерти припускають, що вірус повністю нищить комп'ютер.

Фахівці української антивірусної компанії "Zillya" переконані, що головним завданням Petya.A є знищення даних, а не їх викрадення. Більше того, експерти не відкидають, що це замовлена атака, замаскована під комерційну.

Вірус у різних модифікаціях відомий ще з 2016 року. Як саме працює та версія Petya.A, з якою зіткнулися користувачі 27 червня, поки не повідомляється. Судячи з масштабу зараження, вірус доопрацьований висококваліфікованими хакерами і має якусь складнішу систему поширення.

Як видалити вірус Petya.A з комп'ютера?

Після того, як цей вірус потрапляє в систему, він буде намагатися переписати завантажувальні файли Windows, або так званий завантажувальний майстер запису, необхідний для завантаження операційної системи. Ви не зможете видалити Petya.А з вашого комп'ютера, якщо не відновите настройки завантажувального майстра запису (MBR). Навіть якщо Вам вдасться виправити ці настройки і видалити вірус з Вашої системи, на жаль, Ваші файли будуть залишатися зашифрованими, тому що видалення вірусу не забезпечує розшифрування файлів, а просто видаляє інфекційні файли.

Читайте також: Масові хакерські атаки в Україні: в поліції розповіли, як борються з вірусом Petya А

Безумовно, видалити вірус все одно потрібно для продовження роботи з комп'ютером. Petya.А неможливо видалити за допомогою простої процедури видалення. Ви повинні видалити цей вірус автоматично – за допомогою надійного антивірусного засобу, який виявить і видалить цей вірус з вашого комп'ютера.

Вірус Petya.А неможливо видалити стандартними способами
Вірус Petya.А неможливо видалити стандартними способами

Якщо ви бачите, що з вашим комп'ютером відбувається процес, який ми описували вище, спробуйте вимкнути комп'ютер на етапі шифрування – коли він перезавантажився і видав повідомлення, що диск пошкоджений і потрібно виконати процедуру виправлення помилок, яка може зайняти кілька годин. Є ймовірність, що ви зупините процес шифрування, якщо вимкнете комп'ютер в цей момент.

Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 и 445.

Як вберегтися від вірусу Petya.А?

Щоб вберегтися від вірусу Petya.А, власники відключають інтернет і пов'язані з ним послуги. Детальних рекомендацій щодо безпеки поки немає, але якщо у вашій компанії є пристрої на Windows, краще відключіться від мережі, забекапіть дані, запускайтеся з іншої операційної системи. Якщо важливі дані є в мережі – тимчасово відключіть синхронізацію ПК з хмарним сервісом.

Читайте також: СБУ роз'яснила, як подолати небезпечний вірус Petya.A

Як не підчепити вірус-здирник, який атакує українські комп'ютерні мережі: поради

1. Обов'язково користуйтеся антивірусами. Фахівці розповіли одному з українських видань, що Virus #Petya блокує Avast, тоді як антивірус "Касперський" його не бачить.

2. Не завантажуйте сторонні програми і файли. Перевіряйте файли антивірусом і розумом (малоймовірно, що хтось надсилає вам "Скаргу з податкової" у форматі zip-архіву) перед відкриттям.

3. Не переходьте за сторонніми підозрілими посиланнями, в тому числі, з соцмереж. Особливо якщо вони надійшли від невідомих вам користувачів. А краще – взагалі ігноруйте повідомлення від невідомих вам людей.

4. Оновіть операційну систему, браузер і антивірус до останніх версій.

5. Налаштуйте резервну копію всіх необхідних вам в роботі файлів за допомогою DropBox чи інших аналогічних програм – у випадку, якщо ваші файли будуть зашифровані вірусом, ви зможете відновити старі версії файлів з резервної копії.

6. Кіберполіція радить у випадку виявлення порушень у роботі комп’ютерів, які працюють у комп’ютерних мережах, негайно від’єднати їх від мереж (як мережі Інтернет, так і внутрішньої мережі).

7. З метою запобігання випадкам несанкціонованого втручання в роботу (в залежності від версії ОС Windows) встановити патчі з офіційного ресурсу компанії Microsoft.

8. Не вмикайте програму M.E.doc

Читайте також: Кібератака добралася і до Чорнобиля

У кіберполіції також радять з метою запобігання зараження вірусом встановити останні патчі для операційної системи. В залежності від версії ОС Windows встановити патч з ресурсу technet.microsoft.com, а саме:

– для Windows XP

– для Windows Vista 32 bit

– для Windows Vista 64 bit

– для Windows 7 32 bit

– для Windows 7 64 bit

– для Windows 8 32 bit

– для Windows 8 64 bit

– для Windows 10 32 bit

– для Windows 10 64 bit

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою.

Звідки йде хакерська атака?

Наразі зловмисники не ідентифіковані, як і джерело розповсюдження вірусу. Українські силовики схиляються до версії "російського сліду" в хакерських атаках. Зокрема, таку думку висловили секретар РНБО Олександр Турчинов та радник голови МВС Антон Геращенко. В СБУ повідомили, що головною ціллю кібератаки були об’єкти критичної інформаційної інфраструктури енергогенеруючих та енергопостачальних компаній, об’єктів транспорту, низки банківських установ, телекомунікаційних компаній.

А от фахівець з кібербезпеки Юрій Мелащенко розповів у коментарі 24 Каналу, що шматок шкідливого коду комп'ютерного вірусу Petya.A, який вразив Україну 27 червня, міг міститись у документах, оприлюднених нещодавно засновником Wikileaks Джуліаном Ассанжем.

Звідки б не йшла атака, бережіть свої комп'ютери і дотримуйтеся рекомендацій експертів. А у випадку зараження – нагайно зверніться в поліцію.