domicile l'Internet

Le ransomware a attaqué les systèmes informatiques d'entreprises dans plusieurs pays. Un puissant virus frappe les systèmes informatiques d'une grande banque et de l'entreprise métallurgique Evraz

MOSCOU, 27 juin - RIA Novosti. Une attaque mondiale de ransomware a frappé mardi les systèmes informatiques d'entreprises dans plusieurs pays du monde, affectant davantage l'Ukraine. Les ordinateurs des sociétés pétrolières, énergétiques, des télécommunications, pharmaceutiques, ainsi que des agences gouvernementales ont été attaqués.

Le virus bloque les ordinateurs et exige 300 $ en bitcoins, a déclaré Group-IB à RIA Novosti. L'attaque a commencé vers 11h00. La méthode de distribution dans le réseau local est similaire au virus WannaCry. Selon les médias, à 18h00, le portefeuille Bitcoin, qui était indiqué pour le transfert de fonds aux extorqueurs, a reçu neuf transferts, en tenant compte de la commission de transfert, les victimes ont transféré environ 2,7 mille dollars aux pirates.

Selon la société antivirus ESET, l'attaque a commencé en Ukraine, qui en a souffert plus que d'autres pays. Selon le classement de l'entreprise des pays touchés par le virus, l'Italie est à la deuxième place après l'Ukraine et Israël à la troisième. Les dix premiers comprenaient également la Serbie, la Hongrie, la Roumanie, la Pologne, l'Argentine, la République tchèque et l'Allemagne. La Russie dans cette liste ne prend que la 14e place.

Petya ou Micha

Les experts en cybersécurité n'étaient pas d'accord sur le virus lui-même. Group-IB a initialement signalé des attaques Virus rançongiciel Petya.

Natalya Kasperskaya, présidente d'InfoWatch Group, a déclaré que Petya.A avait été découvert en avril 2016 et que sa première version était impuissante si elle ne recevait pas les droits d'administrateur. "Il s'est donc associé à un autre virus ransomware Misha qui avait des droits d'administrateur. C'était une version améliorée, un ransomware de sauvegarde", a déclaré Kaspersky.

Dr.Web a également déclaré que le virus qui a frappé les ordinateurs du monde entier mardi est différent du virus ransomware. Chemin de Petya Distribution. Selon Dr.Web, le cheval de Troie se propage de lui-même, tout comme le sensationnel WannaCry.

Kaspersky Lab a déclaré que le virus n'appartient pas aux familles de logiciels malveillants précédemment connues. Logiciel. Les spécialistes de la société enquêtent et, dans un avenir proche, la société sera en mesure de fournir plus d'informations sur le scénario d'infection et le fonctionnement du code malveillant, a déclaré Kaspersky Lab.

Attaques en Ukraine

Selon le conseiller du chef du ministère ukrainien des Affaires intérieures Anton Gerashchenko, l'attaque de pirates a commencé mardi à 11h00 avec l'introduction d'une version modifiée pour l'Ukraine Virus WannaCry- cryptolocke, qui a été envoyé par courrier sous couvert de lettres commerciales. Selon lui, la cyberattaque avait pour but ultime une tentative de déstabilisation de la situation de l'économie. Le travail des réseaux informatiques en Ukraine, soumis à une attaque de pirates, sera entièrement restauré dans quelques jours, a assuré Gerashchenko.

Le vice-Premier ministre ukrainien Pavlo Rozenko a déclaré que tous les ordinateurs du Cabinet des ministres du pays avaient été attaqués par des pirates. Selon le service de presse du Cabinet des ministres, les réseaux informatiques des autorités centrales ont fait l'objet d'une attaque de pirate informatique à grande échelle à partir de 14h00. Dans la soirée, vers 19h00, heure de Moscou, le site Internet du Cabinet des ministres a repris ses activités, mais les activités visant à prévenir la propagation du virus et à surmonter les conséquences des cyberattaques se poursuivent, a déclaré le Premier ministre Volodymyr Groysman. Il a également déclaré qu'en conséquence attaque de pirate d'importants systèmes d'infrastructure du pays n'ont pas été touchés, l'attaque sera repoussée.

Dans le même temps, l'administration du président ukrainien a déclaré qu'elle travaillait comme d'habitude, accordant une attention accrue à la situation liée à la cyberattaque.

Secrétaire du Conseil la sécurité nationale et de la défense (NSDC) d'Ukraine, Oleksandr Turchynov, a déclaré que toutes les institutions de l'État qui utilisaient un accès Internet sécurisé n'étaient pas affectées par l'attaque de pirates.

Cyber Police Department a reçu 22 rapports de falsification Ordinateur personnel des institutions publiques et privées. Les forces de l'ordre ukrainiennes ont ouvert une enquête pénale sur le fait d'attaques de pirates informatiques contre des entreprises et des organismes gouvernementaux.

La Banque nationale d'Ukraine a mis en garde en milieu de journée contre des attaques contre plusieurs banques ukrainiennes, ainsi que contre certaines entreprises des secteurs commercial et public. L'État ukrainien Oschadbank a limité la fourniture d'un certain nombre de services.

À la suite d'attaques contre des banques ukrainiennes dans le métro de Kiev, il était impossible de payer les déplacements avec des cartes bancaires. En raison de l'attaque contre la holding de médias Lux, la chaîne d'information ukrainienne 24, qui en fait partie, a cessé d'émettre.

Ukrenergo, Kyivenergo, l'aéroport international de Boryspil, la plus grande société de services de livraison privée d'Ukraine, Novaya Pochta, ont également été attaqués. Selon Group-IB, Zaporizhzhyaoblenergo, Dneproenergo et Dnipro Electric Power Systems, Auchan et les opérateurs de télécommunications ukrainiens ont également souffert en Ukraine.

Le conseiller du chef du ministère ukrainien des Affaires intérieures, Zoryan Shkiryak, a accusé la Russie d'attaques de pirates, mais il n'a fourni aucune preuve.

Russie

Mardi, Rosneft a annoncé que ses serveurs avaient été soumis à une puissante attaque de pirates informatiques, dans le cadre de laquelle la société s'est tournée vers les forces de l'ordre.

De plus, les systèmes d'information d'Evraz ont fait l'objet d'une attaque de pirates. Dans le même temps, un certain nombre d'autres grandes entreprises métallurgiques de la Fédération de Russie, notamment Severstal, NLMK, MMK, Norilsk Nickel et TMK, ont annoncé l'absence de tout incident lié à une cyberattaque.

La Banque de Russie a déclaré avoir identifié des attaques de pirates informatiques visant les systèmes des établissements de crédit russes ; à la suite de ces attaques, des cas uniques d'infection d'objets d'infrastructure d'information ont été enregistrés. Dans le même temps, il n'y a eu aucune violation du fonctionnement des systèmes bancaires et des violations de la fourniture de services aux clients. Dans les plus grandes banques russes, RIA Novosti a indiqué qu'elles n'avaient pas enregistré d'attaques de pirates informatiques à grande échelle et qu'elles fonctionnaient comme d'habitude. Sberbank a indiqué que la banque fonctionnait normalement malgré les attaques de pirates informatiques survenues mardi.

L'attaque de pirates informatiques n'a eu aucun effet sur le fonctionnement des centrales nucléaires en activité en Russie, toutes les centrales nucléaires fonctionnent normalement, a déclaré mardi à RIA Novosti un représentant de l'entreprise Rosenergoatom. Le service de presse de "l'opérateur du système" du système énergétique unifié de Russie a indiqué que les spécialistes de la sécurité de l'information de l'entreprise n'avaient enregistré aucune attaque ciblée contre l'infrastructure d'information de l'entreprise. Le service de presse de Rosseti a indiqué que la situation est sous contrôle et que des mesures ont été prises pour repousser les attaques.

Les opérateurs de télécommunications russes ont également signalé qu'ils travaillaient comme d'habitude, les entreprises n'étaient pas affectées par le virus de cryptage Petya.

La Bourse de Moscou n'a pas non plus enregistré d'attaques de pirates informatiques sur ses systèmes informatiques, a déclaré RIA Novosti au service de presse de la Bourse de Moscou.

Autres pays

En Espagne, des pirates ont attaqué les serveurs des bureaux de représentation des entreprises internationales Mondelēz International (fabricant de produits alimentaires et de boissons instantanées) et DLA Piper (cabinet d'avocats international), Saint-Gobain (entreprise française de fabrication matériaux de construction). Le Centre national de cryptologie du Centre national de renseignement espagnol a déclaré que le virus est une variante du rançongiciel Petya et que "plusieurs sociétés internationales ayant des bureaux en Espagne" ont été victimes.

L'un des principaux transporteurs de fret maritime est la société danoise A.P. Moller-Maersk a également subi une cyberattaque qui a désactivé ses systèmes informatiques dans de nombreuses divisions de l'entreprise.

Merck & Co., société pharmaceutique multinationale basée aux États-Unis. a confirmé qu'elle était l'une des victimes d'une attaque mondiale de pirates informatiques, une enquête a été ouverte. Les entreprises allemandes ont également souffert de l'attaque de pirates informatiques, a déclaré service fédéral sécurité dans le domaine des technologies de l'information (BSI) Allemagne. Des rapports d'infection virale sont également apparus en Lituanie.

©AP Photo/Isaac Brekken

Participants à la conférence hacker DefCon à Las Vegas

Comment être en sécurité

Denis Cherkasov, un investisseur technologique russe et expert en informatique, a déclaré à RIA Novosti que l'une des méthodes les plus fiables de protection contre les virus est les actions correctes des employés de l'entreprise, à savoir ignorer les e-mails suspects et en particulier les demandes de cliquer sur des liens. "Sinon, le virus peut se développer comme une boule de neige grâce à de telles actions" inoffensives "", a déclaré Cherkasov.

Par conséquent, selon lui, lors de l'examen des tactiques de protection des entreprises, il est tout d'abord nécessaire de mener des formations sur règles simples cybersécurité pour l'équipe. Deuxièmement, même les systèmes de protection les plus modernes ont besoin de mises à jour régulières pour ne pas être touchés par de nouveaux logiciels antivirus. Troisièmement, des systèmes de surveillance de l'intégrité du système sont nécessaires pour pouvoir détecter la propagation d'un virus dans un réseau informatique avant qu'il ne commence son action malveillante.

Pour garantir la sécurité, Kaspersky Lab recommande à ses utilisateurs de s'assurer que la solution de sécurité est activée et utilise des bases de données virales à jour, ainsi qu'elle est connectée au système cloud KSN et que la surveillance du système (System Watcher) est activée.

"Comme mesure supplémentaire, en utilisant la fonction AppLocker, vous pouvez empêcher l'exécution d'un fichier appelé perfc.dat, ainsi que bloquer le lancement de l'utilitaire PSExec à partir du package Sysinternals", conseille un représentant de l'entreprise.

Toutes les succursales de Home Credit Bank en Russie ont été contraintes de suspendre les transactions des clients en raison d'une attaque de pirate informatique à grande échelle. Selon RBC, une dizaine de banques russes se sont tournées mardi vers des spécialistes dans le domaine de la sécurité informatique.

Photo: Svetlana Kholyavchuk / Interpress / TASS

Home Credit Bank a suspendu ses travaux en lien avec une attaque de pirate informatique, a déclaré une source de la banque à RBC. Les employés de la banque ont été invités à éteindre tous les ordinateurs, le site Web de la banque était également indisponible au moment de la rédaction. Selon l'interlocuteur de RBC, le virus a touché tous les bureaux de l'établissement de crédit, y compris celui central.

Le service de presse de Home Credit Bank a déclaré à RBC qu'ils avaient maintenant organisé un contrôle de sécurité de tous les systèmes, mais ne confirment ni n'infirment le fait d'une attaque de pirate informatique contre la banque sur ce moment ils ne peuvent pas.

Plus tard, le service de presse a précisé que la banque n'effectue pas de transactions avec les clients, mais que les succursales fonctionnent en "mode conseil" selon le calendrier standard. Vous pouvez également utiliser les guichets automatiques, a noté le service de presse de la banque.

Dans le même temps, un message est apparu sur la page Facebook de la Home Credit Bank concernant le contrôle de sécurité des systèmes informatiques de la banque. Ils s'engagent à informer de la reprise du service en plus.

La source de RBC dans l'une des sociétés de cybersécurité a déclaré avoir été approchée par une dizaine de banques qui auraient souffert de Virus Petya, probablement utilisé par des pirates.

Sberbank a assuré à RBC que tous les systèmes de la banque fonctionnent normalement. Un représentant d'Alfa-Bank a déclaré qu'aucune attaque n'avait été enregistrée.

« La banque Otkritie, comme d'autres banques, subit des attaques similaires plusieurs fois par semaine. Nos systèmes de sécurité les reflètent avec succès. Nous fonctionnons en mode standard et n'arrêtons pas d'améliorer nos systèmes de protection », a expliqué Vyacheslav Kasimov, directeur de la sécurité de l'information chez Otkritie Bank, à RBC.

Le service de presse de la Banque de Russie a signalé la détection d'attaques informatiques visant des établissements de crédit. Selon la Banque centrale, des cas isolés d'infection d'objets de l'infrastructure informatique ont été enregistrés à la suite d'attaques. Les violations des systèmes des banques et la fourniture de services aux clients n'ont pas été enregistrées.
"Actuellement, le Centre de surveillance et de réponse aux attaques informatiques dans le domaine du crédit et de la finance (FinCERT) de la Banque de Russie, en collaboration avec les établissements de crédit, s'efforce d'éliminer les conséquences des attaques informatiques identifiées", a déclaré le service de presse du régulateur à RBC. .

Plus tôt mardi, la Banque nationale d'Ukraine (NBU) a déclaré que plusieurs banques commerciales ukrainiennes et d'autres entreprises ont été soumises à "une attaque de pirate informatique externe par un virus inconnu" à la fois.

"En raison de ces cyberattaques, ces banques éprouvent des difficultés à servir leurs clients et à effectuer des opérations bancaires", a déclaré la NBU dans un communiqué.

L'attaque, en particulier, a été signalée par l'une des plus grandes banques d'Ukraine, Oschadbank, ainsi que par les banques OTP, Pivdenny et d'autres.

« Nous prenons des mesures pour assurer la sécurité de la banque dans le cyberespace. À cet égard, vous pouvez rencontrer des difficultés temporaires dans le service de la banque. Les succursales de la banque travaillent aujourd'hui en mode consultatif », a déclaré la banque Pivdenny dans un communiqué.

Le virus qui se propage à travers l'Ukraine est le travail non seulement des banques, mais aussi d'un certain nombre d'autres entreprises et institutions - d'Ukrenergo à Ukrposhta.

Les entreprises russes ont également des problèmes. En particulier, le système d'information a fait l'objet d'une attaque de hacker Évraz, dont le plus grand des copropriétaires est Roman Abramovich. Selon un représentant de l'entreprise, il y a eu une défaillance du système d'information, mais les principales installations de production continuent de fonctionner, il n'y a aucune menace pour la sécurité des entreprises et des employés.

Il est également devenu connu d'une attaque de pirate informatique sur les systèmes informatiques des voyagistes Mouzenidis Travel et Anex tour. Selon le portail TourDom.ru, le directeur général de Mouzenidis Travel Alexander Tsandekidi, les attaquants ont piraté le système de réservation en ligne et ont en même temps bloqué l'accès aux ordinateurs locaux de l'entreprise, pour le retour desquels ils ont exigé de l'argent.

"Cela n'affectera pas les départs des touristes vers les lieux de repos et leur retour chez eux", a assuré Tsandekidi.

Plus tôt mardi, à propos d'une "puissante attaque de pirates informatiques" sur ses serveurs "Rosneft", en raison d'une attaque de virus, les ordinateurs d'un certain nombre de banques et d'entreprises en Ukraine étaient hors service.

Source à l'entreprise signalé à l'éditeur que le travail des principaux ateliers d'EVRAZ-ZSMK est paralysé en raison de problèmes informatiques. Les PC technologiques des principaux ateliers ont été infectés virus informatique Vouloir pleurer.

WannaCry est un virus ransomware qui crypte les données stockées dans la mémoire de l'ordinateur et demande de l'argent pour le déverrouiller.

Selon le service de presse de Positive Technologies, une société spécialisée dans la sécurité de l'information, au cours du mois dernier, des milliers d'utilisateurs à travers le monde ont souffert d'une attaque massive du rançongiciel WannaCry dans le monde entier. Parmi les victimes figurent de grandes entreprises internationales, des agences gouvernementales et, bien sûr, des internautes ordinaires. La couverture des infections a dépassé la barre des 200 000 machines et, apparemment, continuera de croître. Des attentats ont été enregistrés dans 150 pays du monde, la Russie fait également partie des victimes. Il existe des informations sur les tentatives d'infection dans plusieurs organisations - MegaFon, VimpelCom, Sberbank, les chemins de fer russes, le ministère de la Santé, le ministère des Situations d'urgence et le ministère de l'Intérieur. L'attaque s'est avérée d'une telle ampleur que Microsoft a publié une mise à jour correspondante même pour Windows XP, dont le support est suspendu depuis 2014. Pour diffuser WannaCry, l'exploit ETERNALBLUE pour le système d'exploitation Windows du kit de regroupement Shadow Brokers divulgué sur le réseau est utilisé. Il convient de noter que la mise à jour qui corrige cette vulnérabilité a été publiée en mars, soit deux mois avant cette attaque. Les attaquants (d'ailleurs, qui ont reçu environ 90 000 $ à ce jour, à en juger par les paiements aux portefeuilles bitcoin) ont déjà réussi à publier plusieurs modifications du malware. Cela est probablement dû dans une certaine mesure à l'enregistrement prématuré du domaine du commutateur par le spécialiste de la cybersécurité. Cette décision a ralenti la propagation du logiciel malveillant de plusieurs heures. De nombreux spécialistes ont du mal à résoudre le problème du décryptage des fichiers sans payer les "services" des distributeurs de bloqueurs. Un certain nombre d'entreprises ont déjà présenté une analyse du principe de fonctionnement de WannaCry, qui est distribué via SMB et infecte ensuite les postes de travail sur le LAN.

L'insécurité de l'utilisation de SMBv1 est connue depuis longtemps. Le correctif pour éliminer la vulnérabilité a été publié il y a trois mois. La fuite du pack d'exploits par le groupe Shadow Brokers a été évoquée littéralement partout. Seule une personne qui n'a jamais utilisé Internet n'a pas entendu parler de la nécessité d'utiliser des sauvegardes. Il semblerait que dans de telles conditions il ne devrait pas y avoir d'épidémie du tout, mais hélas. Tout parle de l'attitude irresponsable des administrateurs, des spécialistes de la sécurité et, dans une certaine mesure, de l'ignorance des utilisateurs des questions de sécurité de l'information. Les résultats de la recherche de Positive Technologies confirment le problème répandu de l'utilisation de versions vulnérables de logiciels dans l'infrastructure des entreprises. En même temps, comme le montre Épidémie WannaCry, la sécurité du système ne dépend pas du secteur d'activité de l'entreprise, ce qui est généralement confirmé par les analyses disponibles. Attaques via des vulnérabilités dans des logiciels obsolètes dans également les systèmes des entreprises industrielles, informatiques, télécoms, du secteur financier et des institutions gouvernementales sont touchés.

Moscou, 28 juin - Vesti.Ekonomika. Le virus rançongiciel Petya s'est avéré plus puissant et plus dangereux que le récent sensationnel WannaCry. Premièrement, les entreprises russes et ukrainiennes ont souffert, mais le virus s'est déjà propagé sur toute la planète.

Forbes, citant des experts en cybersécurité, écrit qu'en raison de la nature de la distribution et des différences par rapport aux programmes déjà connus, le nouveau virus est plus dangereux que les virus similaires, il se propage donc encore plus rapidement et il n'y a pas de « commutateur magique », comme c'était le cas. avec WannaCry.

Dans le même temps, WannaCry a attaqué plus de 200 000 utilisateurs dans 150 pays du monde, et les experts ne peuvent toujours pas s'entendre sur les estimations des dommages, mais nous parlons environ des centaines de milliards de dollars.

Il est à noter que l'attaque du virus Petya visait des sociétés d'infrastructure : sociétés pétrolières, de télécommunications et financières en Russie et en Ukraine. Dans d'autres pays, de grandes entreprises, dont des sociétés de logistique, ont également été attaquées.

Russie

Rosneft et Bashneft

Le 27 juin, Rosneft a annoncé une "puissante attaque de hackers" sur ses serveurs. Sur le fait de la cyberattaque, la société s'est tournée vers les forces de l'ordre.

Selon Mikhail Leontiev, une attaque de pirate pourrait avoir de graves conséquences, mais étant donné que l'entreprise est passée à un système de contrôle de processus de production de secours, ni la production ni le traitement de l'huile n'ont été arrêtés.

Vedomosti note que les ordinateurs de Bashneft ne fonctionnent pas et que le site Web de Rosneft n'a pas été ouvert non plus.

L'objectif des pirates informatiques en attaquant les serveurs de Rosneft pourrait être une information importante pour les poursuites judiciaires dans lesquelles la société est impliquée, a déclaré le porte-parole de Rosneft, Mikhail Leontyev.

"Si vous regardez les motifs rationnels que les pirates pourraient avoir, alors, néanmoins, il est impossible de ne pas remarquer qu'un tel motif rationnel serait de" tuer "les ordinateurs de Bashneft, qui contiennent un grand nombre de des informations sur les activités de Bashneft pendant la période où il était détenu par les anciens propriétaires", a déclaré Leontiev, cité par le portail BFM.

Évraz

Le système d'information d'Evraz a également fait l'objet d'une attaque de pirates.

"Le système d'information d'Evraz a été attaqué par un pirate informatique. Les principales installations de production continuent de fonctionner, il n'y a aucune menace pour la sécurité des entreprises et des employés", a déclaré le service de presse.

Mondelez

Des problèmes dus à une attaque de pirates sont apparus dans la division russe de Mondelez, qui produit notamment les chocolats Alpen Gold et Milka.

Banques

Les systèmes de la Home Credit Bank ont été attaqués, mais la Banque centrale n'a pas exclu que d'autres banques puissent également être touchées.

Ukraine

Le matin du 27 juin, les ordinateurs des plus grandes sociétés énergétiques ukrainiennes ont été touchés.

Kyivenergo a confirmé le fait de la défaite du virus, notant que le personnel a été contraint d'éteindre tous les ordinateurs.

En raison de la faible liquidité, l'attaque n'a pas été reflétée dans les cotations boursières.

Plus tard, le fait de l'attaque a été confirmé par le gouvernement ukrainien. Le virus a infecté les systèmes d'Oschadbank, " Nouveau courrier", l'aéroport "Borispol" et le métro de Kyiv.

Autres pays

Au Royaume-Uni, la grande société de publicité WPP a souffert de Petya.

Un clone du virus rançongiciel Wanna Cry Petya qui crypte le contenu du disque dur et demande ensuite une rançon pour le décryptage a frappé les systèmes informatiques de Home Credit Banket entreprise métallurgique Evraz, y compris à Novokuznetsk.

Un correspondant de Prokopyevsk.ru a été informé par les employés d'Evraz que le travail de l'entreprise avait été interrompu. Les experts tentent de restaurer le système.

Selon les dernières données du Groupe-IB, à la veille du virus, plus de 80 entreprises et départements en Russie et en Ukraine ont déjà souffert. De plus, la société danoise Maersk a signalé des pannes dans ses systèmes.

En particulier, Rosneft et Bashneft, le bureau russe, ont été victimes de pirates informatiques. En Ukraine, le virus a infecté les ordinateurs du Cabinet des ministres, du métro de Kyiv, des compagnies énergétiques et de l'aéroport de Boryspil. Rapports des FAN.

Le portail Meduza détaille le fonctionnement du virus, ainsi que la voie d'infection. Nous mettons à votre disposition du matériel.

Le mécanisme de fonctionnement des rançongiciels a été décrit en détail en avril 2016 dans un article de blog de Malwarebytes Labs. Ensuite, le virus a été distribué sous forme de lettre avec le curriculum vitae d'un employé : cliquer dessus ouvrait un programme Windows qui nécessitait des droits d'administrateur. Si l'utilisateur inattentif a accepté, le programme d'installation a écrasé la zone de démarrage du disque dur et a affiché " écran bleu death": Un message de plantage vous invitant à redémarrer votre ordinateur.

À ce stade, comme l'écrivent les chercheurs, le disque dur n'est pas encore crypté et les données peuvent être sauvegardées - par exemple, si vous éteignez l'ordinateur et connectez le disque dur à un autre, mais ne démarrez pas à partir de celui-ci. Dans cette situation, toutes les données peuvent être copiées.

Après le redémarrage, Petya lance un programme se faisant passer pour l'utilitaire CHKDSK. En fait, il ne vérifie pas les erreurs du disque dur, mais le crypte et, comme l'ont établi les chercheurs de Malwarebytes Labs, pas entièrement, mais seulement partiellement. Fin mars 2016, Kaspersky Lab a affirmé que la méthode de cryptage utilisée dans Petya permet de récupérer toutes les données avec l'aide de spécialistes.

Une fois le cryptage terminé, l'ordinateur affiche un écran rouge avec le message "Vous avez été victime du virus ransomware Petya" et une offre de payer 300 $ en bitcoins. Des instructions détaillées sur la façon d'acheter le montant requis en bitcoins et de le transférer figuraient sur le site Web dans le "dark web".

À en juger par les captures d'écran de la version moderne de Petya, il n'y a plus de site Web ni d'instructions détaillées : les utilisateurs infectés sont invités à écrire au destinataire spécifié. Adresse postale et en échange de la preuve du transfert de fonds, recevez un code pour déchiffrer le disque dur.

Les chercheurs notent que la partie de Petya chargée de bloquer l'accès intercepte le contrôle de l'ordinateur au tout début du démarrage. Il est écrit par des programmeurs hautement qualifiés.

Depuis début 2016, Petya a changé plusieurs fois. Il existe des versions avec un écran jaune avec une note de rançon, et il y a celles où le nom du virus n'est pas indiqué.

Comment exactement la version de Petya que les utilisateurs ont rencontrée le 27 juin fonctionne et est distribuée n'a pas encore été signalée. À en juger par l'ampleur de l'infection, le virus a été finalisé et possède un système de distribution plus complexe. Un lien est déjà apparu sur Github vers l'un des portefeuilles bitcoin qui collecte l'argent des ordinateurs infectés par le virus. Au moment d'écrire ces lignes, Meduza a reçu un peu plus de 2 300 $.

Le moyen le plus simple de se protéger contre Petya et les ransomwares similaires est de ne pas cliquer sur les pièces jointes des e-mails suspects provenant de personnes que vous ne connaissez pas.