Согласно информации, обнаруженной о вирусе Petya.A / NotPetya.

В данный момент в Украине происходит беспрецедентная кибер-атака, которая уже привела к сбоям в работе Киевэнерго, Сбербанка, «Новой Почты», «Укртелекома», супермаркетов и других компаний.

ОБНОВЛЕНИЕ 6/29/2017 10:45 PST :

Согласно информации, обнаруженной в Лаборатории Malwarebytes Labs, мы определили, что этот вариант вымогательства кодируется для стирания уникального и случайно сгенерированного ключа, который используется для шифрования MFT (таблицы основных файлов). 

Уничтожение ключа Salsa20 делает очень маловероятным, что пользователи могут получить рабочий ключ дешифрования — даже после оплаты требований выкупа злоумышленников. По этой причине мы предупреждаем любого зараженного пользователя, который может подумать о выплате выкупа, вас наверняка обманут. Мы создали новую запись в блоге Malwarebytes с недавно обнаруженной информацией: EternalPetya и потерянный ключ Salsa20


Обновление 6/27/2017 16:53 PST :

На основе информации, опубликованной исследователями безопасности, украинская бухгалтерская программная компания под названием Me Doc опубликовала обновление около 10:30 по Гринвичу сегодня утром, установив вредоносное ПО на систему «жертвой нуля». Затем, используя сочетание PSExec, WMI и EternalBlue, он смог распространиться на каждый другой компьютер в сети. MeDoc утверждал, что это не так; Однако мы не можем полностью подтвердить, что это был источник первоначального вектора инфекции.

Короче говоря есть подозрение что основная атака проходила через систему Me Doc + спам почта, (вы когда то получили документ возможно со взломанной почты вашего контрагента или знакомого с непонятным документом).

ВАЖНО: На данный момент было бы неплохо (если вы используете какое-либо программное обеспечение Me Doc), чтобы не обновлять указанное программное обеспечение до тех пор, пока они не объявят, что их серверы чистые.


ОБНОВЛЕНИЕ 6/27/2017 15:15 PST:

Исследователи обнаружили, что может быть «вакциной» для текущей версии раннеспециального червя Пети . Вы можете дать ему шанс и посмотреть, работает ли он для вас, но имейте в виду, что в основном, как только создавалась связанная статья, создатели этой атаки, скорее всего, уже изменили свой исходный код, чтобы отменить защиту.

ОБНОВЛЕНИЕ 6/27/2017 14:30 PST:

Если вы думаете о выплате выкупа за эту угрозу, не беспокойтесь. Служба электронной почты, в которой размещался адрес, которому были направлены жертвы для отправки платежа, закрыла учетную запись . 

Таким образом, в этот момент попытка заплатить выкуп приведет к возврату электронной почты. К сожалению, восстановление файлов с момента оплаты в настоящее время невозможно, злоумышленники могут предоставить своим жертвам альтернативные формы платежных операций.


Звонок с эхом WanaCrypt0r, новый штамм выкупа, который называется Petya.A / NotPetya, оказывает влияние на пользователей по всему миру, закрывая фирмы в Украине, Великобритании и Испании.

Задний план

Петя , созданный в июле 2016 года, начал свою работу в качестве одного из штаммов ransomware следующего поколения, в котором используется штам MBR (Master Boot Record). В первые дни выкупа были популярны штаммы, которые меняли стартап системы, но они отмирали много лет. Сегодня, вскоре после своего однолетнего юбилея, Петя вернулся с отмщением и противным новым методом распространения.

Что касается того, является ли это вредоносное ПО тем же самым Petya, с которым мы имели дело в прошлом, многие другие исследователи, в том числе и наши собственные , утверждают, что вредоносное ПО сильно зависит и, вероятно, разработано создателями Petya. Это вредоносное ПО имеет индикаторы и код, который соответствует предыдущим версиям Petya, но с дополнительной функциональностью.

Мы не собираемся требовать присвоения или даже подтвердить, в какой семье мы имеем дело до тех пор, пока не будет завершен более подробный анализ и не будет получено больше доказательств. То, что мы можем с уверенностью сказать, заключается в том, что этот выкуп использует тактику, которая редко встречается в дикой природе.

Инфекционный вектор

Извлекая страницу из книги WannaCry, в этом новом выкупе используется тот же самый эксплойт EternalBlue SMB, который использовался при вспышке, произошедшей более месяца назад. В настоящее время также сообщается, что эта атака использует почтовый спам для распространения зараженных документов Office в целях быстрого распространения и распространения вымогательства. Это вредоносное ПО также включает возможность использования PSExec в системе, на которой установлены учетные данные администратора, что позволяет выполнять дубликаты вредоносных программ в любой системе в сети.

Тем не менее, не все из этих отчетов были подтверждены персоналом Malwarebytes, поэтому его подлинный оригинальный вектор инфекции за пределами эксплуатации SMB находится в воздухе. Но сочетание метода PSExec с эксплойтом EternalBlue дает этому вредоносному ПО большую силу в его способности распространяться по сети.

выполнение

После выполнения, ransomware заражает систему на низком уровне, изменяя MBR и представляя пользователю следующую подсказку:

После перезагрузки вместо загрузки в операционную систему, установленную на компьютере, пользователь сталкивается с фальшивой проверкой диска, которая вместо фактической проверки вашего жесткого диска на наличие проблем фактически шифрует файлы! Мы знаем, что это поддельный экран, основанный на строках, найденных в самой вредоносной программе:

Это делается для того, чтобы купить больше времени для шифрования всех соответствующих файлов в системе, не будучи остановленным пользователем.

MFT (таблица основных файлов) и MBR также зашифрованы. MBR перезаписывается, чтобы отобразить примечание о выкупе, что делает невозможным загрузку системы без исправления, то есть пользователи должны либо заплатить виновнику, либо не получить доступ к своей системе. Затем компьютер отобразит угрожающий черный экран с красной надписью, в которой перечислены цель ремикса и его требования. Атака затрагивает пользователей путем шифрования в любом месте от одного файла до всей системы.

Хотя этой ситуации можно было легко избежать, просто сохраняя все антивирусные базы и обновления операционной системы, теперь зараженные пользователи должны заплатить 300 долларов в биткойнах, чтобы восстановить доступ к своим файлам.

казалось бы, что типы файлов, предназначенные для таргетинга, больше нацелены на программы, которые будут использовать разработчики, такие как .vbs, .ova, .vbox и т. Д. Это заставляет его казаться, что целью этих атак являются, вероятно, предприятия и особенно фирмы, специализирующиеся на разработке программного обеспечения.

К сожалению, в отличие от WannaCry, Петя Не имеет «killswitch», который легко доступен или известен. Имеет «вакцину», которая потенциально может остановить заражение, хотя наши собственные тесты показали, что во многих случаях этого не происходит.

Системы Windows 10, похоже, имеют шанс на бой, используя этот метод, но на основе наших тестов Windows 7 заражается каждый раз.

Защита от нуля

Malwarebytes обнаружил эту выкупку в нулевой час, то есть те, у которых Malwarebytes Premium или наша автономная  технология защиты от передозировки были защищены от момента начала этой атаки. Оба пользователя и пользователи пользователей Malwarebytes защищены, если они используют последнюю версию вышеуказанных продуктов.

Мы обнаруживаем эту выкупку как Ransom.Petya или Ransom.Petya.EB

Полная защита от этой угрозы также может быть достигнута путем:

  • Обновление и развертывание программного обеспечения безопасности с возможностями защиты от заражения.
  • Обновление и защита операционных систем в вашей сети, в том числе проверка наличия открытых SMB-портов в любых интернет-системах
  • Блокировка учетных записей пользователей от административных полномочий и, возможно, даже удаление / закрытие админ-систем, которые могут использовать способ распространения вредоносного ПО PSExec
  • Настройте действенную систему восстановления, чтобы заражения вредительским ПО не смогло навсегда разрушить ваши персональные данные.
  • Лучший способ — создавать две резервные копии: одну для хранения в облачном хранилище (не забывайте пользоваться службой, которая автоматически осуществляет резервное копирование ваших файлов например Google disk), а еще одну — для хранения на физическом носителе (портативный жесткий диск, флешка, дополнительный портативный компьютер и т.д.). По завершении отключать эти хранилища от компьютера.
    Ваши резервные копии могут быть полезны также и в том случае, когда вы случайно удалите критически важный файл, или произойдет сбой жесткого диска.
  • Никому не доверяйте, так как любой аккаунт может быть скомпрометирован, и из учетных записей друзей в социальных сетях, коллег или партнеров из он-лайновых игр могут направляться вредоносные ссылки.
  • Никогда не открывайте вложений, содержащиеся в электронных письмах от незнакомых людей. Киберпреступники часто рассылают поддельные электронные письма, по внешнему виду очень похожи на уведомления, которые присылают по электронной почте он-лайновый магазин, банк, полиция, суд или налоговый орган, соблазняя получателей нажать на вредоносную ссылку и вводя в их систему вредоносное ПО. Этот метод называется «фишинг».
  • Включите в настройках на компьютере функцию «Показывать расширения файлов».При этом будет гораздо легче замечать потенциально вредоносные файлы. Внимательнее с  файлами с расширениями, как «.exe», «.vbs» и «.scr».

Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как якобы видео, фото или документ (например, 11111.avi.exe или doc.scr).

  • Если вы обнаружили на своем компьютере нестандартный или неизвестный процесс, немедленно отключите его от интернета или других сетевых подключений (таких как домашнее подключение Wi-Fi) — это позволит предотвратить распространение заражения.
  • Если вы являетесь владельцем бизнеса, убедитесь, что ваши пользователи знают об этой текущей угрозе.
  • Открытие электронных писем с высокой степенью проверки в ближайшем будущем.

Мы собираемся регулярно обновлять этот пост, чтобы сообщать вам о новых разработках с этой атакой, более глубоком изучении ее распространения и возможных методах ликвидации / инфекции. Кроме того, мы в настоящее время работаем над сообщением, в котором анализируется двоичный код вредоносной программы. Ожидайте это в ближайшее время.

Прочитать версию статьи на Английском языке вы можете тут: https://blog.malwarebytes.com/cybercrime/2017/06/petya-esque-ransomware-is-spreading-across-the-world/