A ransomware több országban támadta meg cégek informatikai rendszereit. Erőteljes vírus érte el egy nagy bank és az Evraz kohászati ​​vállalat informatikai rendszereit

MOSZKVA, június 27. – RIA Novosti. Globális ransomware támadás kedden a világ több országában érte a cégek informatikai rendszerét, Ukrajnát nagyobb mértékben érintve. Olaj-, energia-, távközlési, gyógyszeripari cégek, valamint kormányzati szervek számítógépeit támadták meg.

A vírus blokkolja a számítógépeket, és 300 dollár bitcoint követel – mondta a Group-IB a RIA Novostinak. A támadás 11 óra körül kezdődött. A helyi hálózatban való terjesztés módja hasonló a WannaCry víruséhoz. Sajtóértesülések szerint 18:00 órakor a zsarolóknak pénzeszközök átutalására kijelölt bitcoin pénztárca kilenc átutalást kapott, az átutalási jutalékot figyelembe véve az áldozatok körülbelül 2,7 ezer dollárt utaltak át hackereknek.

Az ESET vírusirtó cég szerint a támadás Ukrajnában kezdődött, amely jobban szenvedett tőle, mint más országok. A cég által a vírus által érintett országok rangsora szerint Ukrajna után a második helyen Olaszország áll, a harmadikon pedig Izrael áll. Az első tízbe Szerbia, Magyarország, Románia, Lengyelország, Argentína, Csehország és Németország is bekerült. Oroszország ezen a listán csak a 14. helyet foglalja el.

Petya vagy Misha

A kiberbiztonsági szakértők nem értettek egyet magával a vírussal kapcsolatban. Az IB-csoport kezdetben támadásokról számolt be Petya ransomware vírus.

Az InfoWatch Group elnöke, Natalya Kasperskaya elmondta, hogy a Petya.A-t még 2016 áprilisában fedezték fel, és az első verziója tehetetlen volt, ha nem kapott rendszergazdai jogokat. "Tehát összeállt egy másik Misha ransomware vírussal, amely rendszergazdai jogokkal rendelkezett. Ez egy továbbfejlesztett változat, egy tartalék zsarolóvírus" - mondta Kaspersky.

A Dr.Web azt is elmondta, hogy az a vírus, amely kedden érte el a számítógépeket szerte a világon, különbözik a ransomware vírustól. Petya módon terjesztés. A Dr.Web szerint a trójai önszaporodik, akárcsak a szenzációs WannaCry.

A Kaspersky Lab kijelentette, hogy a vírus nem tartozik a korábban ismert rosszindulatú programok családjába. szoftver. A cég szakemberei vizsgálatot folytatnak, és a közeljövőben a cég további információkkal szolgálhat a fertőzési forgatókönyvről és a rosszindulatú kód működéséről – közölte a Kaspersky Lab.

Támadások Ukrajnában

Anton Gerascsenko, az ukrán belügyminisztérium vezetőjének tanácsadója szerint a hackertámadás kedden 11 órakor kezdődött az Ukrajna számára módosított változat bevezetésével. WannaCry vírus- cryptolocke, amelyet postai úton küldtek üzleti levelek leple alatt. Szerinte a kibertámadás végső célja a gazdaság helyzetének destabilizálására tett kísérlet volt. Néhány napon belül teljesen helyreáll a feltört ukrajnai számítógépes hálózatok működése – biztosította Gerascsenko.

Pavlo Rozenko Ukrajna miniszterelnök-helyettese elmondta, hogy az ország miniszteri kabinetjében minden számítógépet hackertámadás érte. A Miniszteri Kabinet sajtószolgálata szerint 14 órától nagyszabású hackertámadás érte a központi hatóságok számítógépes hálózatait. Este, moszkvai idő szerint 19 óra körül újraindult a Miniszteri Kabinet honlapja, de folytatódnak a vírus terjedésének megakadályozására és a kibertámadások következményeinek leküzdésére irányuló tevékenységek – mondta Volodimir Grojszman miniszterelnök. Ennek eredményeként azt is kijelentette hacker támadás az ország fontos infrastrukturális rendszereit nem érintette, a támadást visszaverik.

Az ukrán elnök adminisztrációja ugyanakkor kijelentette, hogy a megszokott módon dolgozik, fokozott figyelmet fordít a helyzetre a kibertámadás kapcsán.

tanács titkára nemzetbiztonság Olekszandr Turcsinov az ukrán védelem (NSDC) pedig azt mondta, hogy a biztonságos internet-hozzáférést használó állami intézményeket nem érintette a hackertámadás.

A kiberrendészeti osztályhoz 22 bejelentés érkezett személyi számítógépekállami és magánintézményektől. Az ukrán rendfenntartók büntetőeljárást indítottak vállalatok és kormányzati szervek elleni hackertámadások ténye miatt.

Az Ukrán Nemzeti Bank a nap közepén több ukrán bank, valamint egyes kereskedelmi és közszférabeli vállalkozások elleni támadásokra figyelmeztetett. Az ukrán állami Oschadbank számos szolgáltatás nyújtását korlátozta.

A kijevi metróban az ukrán bankokat ért támadások következtében nem lehetett bankkártyával fizetni az utazást. A Lux médiaholding elleni támadás miatt leállt az annak részét képező 24-es ukrán információs csatorna.

Megtámadták az Ukrenergo-t, a Kyivenergo-t, a Boriszpili Nemzetközi Repülőteret, Ukrajna legnagyobb magánfuvarozási szolgáltató cégét, a Novaja Pochtát is. Az IB-csoport szerint a Zaporizhzhyaoblenergo, a Dneproenergo és a Dnipro Electric Power Systems, az Auchan és az ukrán távközlési szolgáltatók is szenvedtek Ukrajnában.

Az ukrán belügyminisztérium vezetőjének tanácsadója, Zoryan Shkiryak hackertámadásokkal vádolta Oroszországot, de bizonyítékot nem szolgáltatott.

Oroszország

Kedden a Rosneft arról számolt be, hogy szervereit erőteljes hackertámadás érte, amivel kapcsolatban a cég rendvédelmi szervekhez fordult.

Ezenkívül az Evraz információs rendszereket hackertámadásnak vetették alá. Ugyanakkor az Orosz Föderáció számos jelentős kohászati ​​vállalata, különösen a Severstal, az NLMK, az MMK, a Norilsk Nickel és a TMK bejelentette, hogy nem történt kibertámadással kapcsolatos incidens.

A Bank of Russia közölte, hogy azonosította az orosz hitelintézetek rendszerei ellen irányuló hackertámadásokat; ezen támadások eredményeként az információs infrastruktúra objektumok megfertőződésének eseteit rögzítették. Ugyanakkor a bankok rendszereinek működése és az ügyfeleknek nyújtott szolgáltatások megsértése nem történt. A legnagyobb orosz bankoknál a RIA Novosztyi arról számolt be, hogy nem rögzítettek nagyszabású hackertámadásokat, és a megszokott módon működnek. A Sberbank arról számolt be, hogy a bank a keddi hackertámadások közepette normálisan működik.

A hackertámadásnak nem volt hatása az Oroszországban működő atomerőművek működésére, az összes atomerőmű normálisan működik - közölte kedden a RIA Novosztyival a Rosenergoatom konszern képviselője. Az Oroszországi Egységes Energiarendszer "Rendszerüzemeltetőjének" sajtószolgálata arról számolt be, hogy a cég információbiztonsági szakemberei nem rögzítettek célzott támadásokat a vállalat információs infrastruktúrája ellen. A Rosseti sajtószolgálata arról számolt be, hogy a helyzet ellenőrzés alatt áll, és intézkedéseket tettek a támadások visszaverésére.

Az orosz távközlési szolgáltatók is arról számoltak be, hogy a megszokott módon dolgoznak, a cégeket nem érintette a Petya titkosítási vírus.

A moszkvai tőzsde sem rögzített informatikai rendszerei elleni hackertámadásokat - közölték a RIA Novosztyival a moszkvai tőzsde sajtószolgálatán.

Más országok

Spanyolországban hackerek támadták meg a Mondelēz International (élelmiszerek és instant italok gyártója) és a DLA Piper (nemzetközi ügyvédi iroda), a Saint-Gobain (francia gyártó cég) nemzetközi cégek képviseleti irodáinak szervereit. építőanyagok). A spanyol Nemzeti Hírszerző Központ Nemzeti Kriptológiai Központja szerint a vírus a Petya ransomware egyik változata, és "több spanyolországi irodával rendelkező nemzetközi vállalat" is áldozatul esett.

Az egyik vezető tengeri szállítmányozó a dán A.P. A Moller-Maersk egy kibertámadást is elszenvedett, amely a vállalat számos részlegében letiltotta számítógépes rendszereit.

Az amerikai központú multinacionális gyógyszergyártó cég, a Merck & Co. megerősítette, hogy ő volt az egyik áldozata egy globális hackertámadásnak, nyomozás indult. A német cégek is szenvedtek a hackertámadás miatt szövetségi szolgálat biztonság az információs technológia területén (BSI) Németország. Litvániában is megjelentek vírusfertőzésről szóló jelentések.

© AP Photo / Isaac Brekken

© AP Photo / Isaac Brekken

A Las Vegas-i DefCon hackerkonferencia résztvevői

Hogyan lehet biztonságban

Denis Cherkasov orosz technológiai befektető és informatikai szakértő a RIA Novosztyinak elmondta, hogy a vírusok elleni védekezés egyik legmegbízhatóbb módja a vállalati alkalmazottak helyes lépései, nevezetesen a gyanús e-mailek figyelmen kívül hagyása, különösen a linkekre való kattintásra vonatkozó kérések figyelmen kívül hagyása. „Egyébként a vírus hógolyóként nőhet az ilyen „ártalmatlan” akcióknak köszönhetően” – mondta Cserkasov.

Ezért szerinte az üzletvédelmi taktikák mérlegelésekor mindenekelőtt képzéseket kell tartani egyszerű szabályok kiberbiztonság a csapat számára. Másodszor, még a legmodernebb védelmi rendszereket is rendszeresen frissíteni kell, hogy ne érje őket új vírusszoftver. Harmadszor, rendszerintegritás-figyelő rendszerekre van szükség ahhoz, hogy képesek legyenek észlelni a vírus terjedését a számítógépes hálózatban, mielőtt az rosszindulatú akcióba kezdene.

A biztonság érdekében a Kaspersky Lab azt javasolja felhasználóinak, hogy a biztonsági megoldás engedélyezve legyen, és naprakész vírusadatbázisokat használjon, valamint hogy csatlakozzon a KSN felhőrendszerhez, és aktiválva legyen a rendszerfigyelés (System Watcher).

"További intézkedésként az AppLocker funkció segítségével megakadályozhatja a perfc.dat nevű fájl végrehajtását, valamint letilthatja a PSExec segédprogram elindítását a Sysinternals csomagból" - tanácsolja a cég képviselője.

A Home Credit Bank összes oroszországi fiókja kénytelen volt felfüggeszteni az ügyféltranzakciókat egy nagyszabású hackertámadás miatt. Az RBC szerint mintegy tíz orosz bank fordult kedden segítségért a számítógépes biztonság területén dolgozó szakemberekhez.

Fotó: Svetlana Kholyavchuk / Interpress / TASS

A Home Credit Bank felfüggesztette a munkát egy hackertámadással összefüggésben – mondta a bank egyik forrása az RBC-nek. A banki dolgozóknak azt tanácsolták, hogy kapcsoljanak ki minden számítógépet, a bank honlapja sem volt elérhető a cikk írásakor. Az RBC beszélgetőtársa szerint a vírus a hitelintézet összes irodáját érintette, így a központit is.

A Home Credit Bank sajtószolgálata azt közölte az RBC-vel, hogy most minden rendszer biztonsági ellenőrzését elvégezték, de nem erősítik meg és nem is cáfolják a bank elleni hackertámadás tényét. Ebben a pillanatbanŐk nem tudnak.

Később a sajtószolgálat pontosította, hogy a bank nem bonyolít le ügyféltranzakciót, hanem a fiókok "tanácsadói üzemmódban" dolgoznak a szokásos ütemterv szerint. ATM-eket is lehet használni – jegyezte meg a bank sajtószolgálata.

Ezzel egy időben a Lakáshitelbank Facebook-oldalán üzenet jelent meg a bank számítástechnikai rendszereinek biztonsági ellenőrzéséről. Azt ígérik, hogy a szolgáltatás újraindításáról további tájékoztatást adnak.

Az RBC forrása az egyik kiberbiztonsági cégnél azt mondta, hogy körülbelül tíz olyan bank kereste meg őket, amelyek állítólagosan szenvedtek Petya vírus, valószínűleg hackerek használják.

A Sberbank biztosította az RBC-t, hogy a bank összes rendszere megfelelően működik. Az Alfa-Bank képviselője elmondta, hogy nem jegyeztek fel támadást.

„Az Otkritie bankot a többi bankhoz hasonlóan hetente többször érik hasonló támadások. Biztonsági rendszereink sikeresen tükrözik ezeket. Szabványos üzemmódban dolgozunk, és nem hagyjuk abba védelmi rendszereink fejlesztését” – magyarázta Vjacseszlav Kaszimov, az Otkritie Bank információbiztonsági igazgatója az RBC-nek.

A Bank of Russia sajtószolgálata hitelintézetek elleni számítógépes támadások észleléséről számolt be. A jegybank szerint az információs infrastruktúra objektumok megfertőződésének elszigetelt eseteit rögzítették támadások eredményeként. A bankok rendszereinek és az ügyfeleknek nyújtott szolgáltatások megsértése nem került rögzítésre.
„Jelenleg az Oroszországi Bank hitel- és pénzügyi szférában elkövetett számítógépes támadásokat megfigyelő és reagáló központja (FinCERT) a hitelintézetekkel együtt azon dolgozik, hogy felszámolja az azonosított számítógépes támadások következményeit” – közölte a szabályozó sajtószolgálata az RBC-vel. .

Korábban kedden az Ukrán Nemzeti Bank (NBU) bejelentette, hogy több ukrán kereskedelmi bankot és más vállalkozást "egy ismeretlen vírus külső hackertámadása" érte.

„Az ilyen kibertámadások eredményeként ezek a bankok nehézségekbe ütköznek az ügyfelek kiszolgálása és a banki műveletek elvégzése terén” – áll az NBU közleményében.

A támadásról különösen Ukrajna egyik legnagyobb bankja, az Oschadbank, valamint az OTP, a Pivdenny és mások számoltak be.

„Intézkedéseket teszünk annak érdekében, hogy biztosítsuk a bank biztonságát a kibertérben. Ezzel kapcsolatban átmeneti nehézségekbe ütközhet a bank kiszolgálása. A bank fiókjai ma konzultatív módon működnek” – áll a Pivdenny bank közleményében.

Az Ukrajnában terjedő vírus nemcsak bankok, hanem számos más vállalkozás és intézmény munkája is – Ukrenergotól Ukrposhtáig.

Az orosz cégeknek is vannak problémái. Az információs rendszert különösen hackertámadás érte Evraz, melynek legnagyobb tulajdonostársa Roman Abramovics. A cég képviselője szerint hiba történt az információs rendszerben, de a főbb termelő létesítmények továbbra is működnek, a vállalkozások és az alkalmazottak biztonságát nem fenyegeti veszély.

Ismertté vált a Mouzenidis Travel és az Anex tour utazásszervezők számítógépes rendszereit ért hackertámadás is. A TourDom.ru portál, a Mouzenidis Travel vezérigazgatója, Alexander Tsandekidi szerint a támadók behatoltak az online foglalási rendszerbe, és egyúttal letiltották a hozzáférést a cég helyi számítógépeihez, amelyek visszaszolgáltatásáért pénzt követeltek.

"Ez nem befolyásolja a turisták pihenőhelyekre való távozását és hazatérését" - biztosította Tsandekidi.

Korábban kedden a "Rosneft" szerverein végrehajtott "erőteljes hackertámadásról" egy vírustámadás miatt számos ukrajnai bank és vállalkozás számítógépe üzemképtelenné vált.

Forrás a vállalkozásnál arról számolt be a szerkesztőnek az EVRAZ-ZSMK főműhelyeinek munkája számítógépes problémák miatt megbénul. A főműhelyek technológiai számítógépei fertőzöttek voltak Számítógépes vírus Sírni akar.

A WannaCry egy zsarolóvírus, amely titkosítja a számítógép memóriájában tárolt adatokat, és pénzt kér a zárolás feloldásáért.

A Positive Technologies információbiztonságra szakosodott cég sajtószolgálata szerint az elmúlt hónapban világszerte több ezer felhasználó szenvedett el egy hatalmas WannaCry ransomware támadást szerte a világon. Az áldozatok között vannak nagy nemzetközi cégek, kormányzati szervek és természetesen hétköznapi internetezők is. A fertőzések lefedettsége meghaladta a 200 000 gépes lécet, és láthatóan tovább fog növekedni. A világ 150 országában regisztráltak támadásokat, Oroszország is az áldozatok között van. Több szervezetnél – a MegaFon, a VimpelCom, a Sberbank, az Orosz Vasutak, az Egészségügyi Minisztérium, a Sürgősségi Helyzetek Minisztériuma és a Belügyminisztérium – vannak információk a fertőzési kísérletekről. A támadás olyan masszívnak bizonyult, hogy a Microsoft még a Windows XP-hez is kiadott egy megfelelő frissítést, amelynek támogatása 2014 óta szünetel. A WannaCry terjesztéséhez a hálózatra kiszivárgott Shadow Brokers csoportosítási készlet ETERNALBLUE exploitját használják Windows operációs rendszerhez. Érdemes megjegyezni, hogy a biztonsági rést kijavító frissítés még márciusban, vagyis két hónappal a támadás előtt jelent meg. A támadóknak (akik egyébként a bitcoinos pénztárcákba befizetett kifizetésekből ítélve mostanra körülbelül 90 000 dollárt kaptak) már több módosítást is sikerült kiadniuk a kártevőből. Ez valószínűleg bizonyos mértékig annak tudható be, hogy a kiberbiztonsági szakember idő előtt regisztrálta a switch domaint. Ez a lépés több órával lassította a kártevő terjedését. Sok szakember küzd azért, hogy megoldja a fájlok visszafejtésének problémáját anélkül, hogy fizetne a blokkoló terjesztők „szolgáltatásaiért”. Számos cég bemutatott már elemzést az SMB-n keresztül terjesztett, majd a LAN-on lévő munkaállomásokat megfertőző WannaCry működési elvéről.

Az SMBv1 használatának bizonytalansága régóta ismert. A sebezhetőséget megszüntető javítást három hónapja adták ki. A Shadow Brokers csoport kiszivárogtatásáról szó esett szó szerint mindenhol. Csak az, aki még soha nem használt internetet, nem hallott a biztonsági másolatok használatának szükségességéről. Úgy tűnik, ilyen körülmények között egyáltalán nem szabad járványnak lennie, de sajnos. Minden a rendszergazdák, biztonsági szakemberek felelőtlen hozzáállásáról és bizonyos mértékig a felhasználók információbiztonsági kérdésekben való tájékozatlanságáról beszél. A Positive Technologies kutatási eredményei megerősítik a szoftverek sebezhető verzióinak vállalati infrastruktúrában való használatának széles körben elterjedt problémáját. Ugyanakkor a képen látható módon WannaCry járvány, a rendszer biztonsága nem függ a vállalat iparágától, amit a rendelkezésre álló elemzések általában megerősítenek. Támadások az elavult szoftverek sebezhetőségein keresztül egyaránt ipari vállalatok, IT, távközlési, pénzügyi szektor és kormányzati intézmények rendszerei érintettek.

Moszkva, június 28. - Vesti.Ekonomika. A Petya ransomware vírus erősebbnek és veszélyesebbnek bizonyult, mint a nemrégiben szenzációs WannaCry. Először Oroszországban és Ukrajnában szenvedtek cégek, de a vírus már az egész bolygón elterjedt.

A Forbes kiberbiztonsági szakértőkre hivatkozva azt írja, hogy az új vírus a terjesztés jellegéből és a már ismert programoktól való eltérésekből adódóan veszélyesebb, mint a hasonlók, így még gyorsabban is terjed, és nincs „varázskapcsoló”, mint ahogy az volt. a WannaCry-vel.

A WannaCry ugyanakkor a világ 150 országában több mint 200 ezer felhasználót támadott meg, és a szakértők továbbra sem tudnak megegyezni a kárbecslésekben, de beszélgetünk több száz milliárd dollárról.

Figyelemre méltó, hogy a Petya vírus támadása infrastrukturális cégeket célzott: olaj-, távközlési és pénzügyi társaságokat Oroszországban és Ukrajnában. Más országokban nagy cégeket, köztük logisztikai cégeket is megtámadtak.

Oroszország

Rosneft és Bashneft

Június 27-én a Rosneft bejelentette, hogy "erőteljes hackertámadást" indított szerverei ellen. A kibertámadás tényével a cég rendvédelmi szervekhez fordult.

Mihail Leontyev szerint egy hackertámadás súlyos következményekkel járhatott volna, de amiatt, hogy a cég átállt egy tartalék folyamatirányító rendszerre, sem a termelést, sem az olaj-előkészítést nem állították le.

A Vedomosztyi megjegyzi, hogy a Bashneft számítógépei nem működnek, és a Rosznyefty weboldalát sem nyitották meg.

Mihail Leontyev, a Rosznyefty szóvivője szerint a Rosznyefty szervereit támadó hackerek célja olyan perek szempontjából fontos információk lehetnek, amelyekben a cég érintett.

"Ha megnézzük a hackerek racionális indítékait, akkor azonban lehetetlen nem észrevenni, hogy egy ilyen racionális indíték az lenne, hogy" megöljék "a Bashneft számítógépeit, amelyek nagyszámú információkat a Bashneft tevékenységéről a korábbi tulajdonosok birtoklása idején" - mondta Leontyev, idézi a BFM portál.

Evraz

Az Evraz információs rendszert is hackertámadás érte.

"Az Evraz információs rendszert feltörték. A főbb termelő létesítmények továbbra is működnek, a vállalkozások és az alkalmazottak biztonságát nem fenyegeti veszély" - közölte a sajtószolgálat.

Mondelez

Hackertámadás miatti problémák merültek fel a Mondelez orosz részlegében, amely különösen az Alpen Gold és Milka csokoládékat gyártja.

Bankok

Megtámadták a Lakáshitelbank rendszereit, de a jegybank nem zárta ki, hogy más bankok is áldozatul eshetnek.

Ukrajna

Június 27-én délelőtt a legnagyobb ukrán energiacégek számítógépeit találták el.

A Kyivenergo megerősítette a vírus legyőzésének tényét, megjegyezve, hogy a személyzet kénytelen volt minden számítógépet kikapcsolni.

Az alacsony likviditás miatt a támadás nem tükröződött a részvényárfolyamokban.

Később a támadás tényét Ukrajna kormánya is megerősítette. A vírus megfertőzte az Oschadbank rendszereit. Új levél", a "Borispol" repülőtér és a kijevi metró.

Más országok

Az Egyesült Királyságban a nagy reklámcég, a WPP szenvedett a Petya-tól.

A merevlemez tartalmát titkosító, majd a visszafejtésért váltságdíjat követelő Wanna Cry Petya ransomware vírus klónja beütött a Home Credit Bank informatikai rendszerébeés kohászati ​​cég Evraz, beleértve Novokuznyeckben is.

A Prokopyevsk.ru tudósítójának az Evraz alkalmazottai azt mondták, hogy a vállalkozás munkájában megszakadt. A szakértők megpróbálják visszaállítani a rendszert.

Az IB-csoport legfrissebb adatai szerint a vírus előestéjén már több mint 80 vállalat és részleg szenvedett kárt Oroszországban és Ukrajnában. Emellett a dán Maersk cég rendszerhibáiról számolt be.

Különösen a Rosneft és a Bashneft, az orosz iroda vált hackerek áldozatává. Ukrajnában a vírus a Minisztertanács számítógépeit, a kijevi metrót, az energetikai cégeket és a boriszpili repülőteret fertőzte meg. – számol be a FAN.

A Meduza portál részletezi a vírus működését, valamint a fertőzés útját. Anyagot biztosítunk Önnek.

A ransomware működésének mechanizmusát a Malwarebytes Labs blogbejegyzése írta le a legrészletesebben még 2016 áprilisában. Aztán a vírust levélként terjesztették egy alkalmazott önéletrajzával: rákattintva megnyílt egy Windows-program, amelyhez rendszergazdai jogosultság kellett. Ha a figyelmetlen felhasználó beleegyezett, akkor a telepítő felülírta a merevlemez rendszerindítási területét, és megmutatta " kék képernyő halál": Összeomlási üzenet, amely a számítógép újraindítását kéri.

Ebben a szakaszban, mint a kutatók írják, a merevlemez még nincs titkosítva, és az adatok menthetők - például, ha kikapcsolja a számítógépet, és csatlakoztatja a merevlemezt egy másikhoz, de nem bootol róla. Ebben a helyzetben minden adat másolható.

Az újraindítás után Petya elindít egy programot, amelyet CHKDSK segédprogramnak álcáznak. Valójában nem ellenőrzi a merevlemezt hibákért, hanem titkosítja azt, és a Malwarebytes Labs kutatói megállapították, hogy nem teljesen, hanem csak részben. 2016. március végén a Kaspersky Lab azt állította, hogy a Petya-ban használt titkosítási módszer lehetővé teszi az összes adat helyreállítását szakemberek segítségével.

A titkosítás befejezése után a számítógépen egy piros képernyő jelenik meg a következő üzenettel: „Ön a Petya ransomware áldozata lett” és 300 dollár bitcoin fizetésére vonatkozó ajánlat. A „sötét web” oldalon található részletes útmutatás arról, hogyan vásárolhatja meg a szükséges mennyiséget bitcoinban, és hogyan utalhatja át.

A Petya modern verziójának képernyőképei alapján most nincs webhely és részletes utasítások: a fertőzött felhasználókat felkérik, hogy írjanak a megadott címre. levelezési címés a pénzátutalás igazolásáért cserébe kap egy kódot a merevlemez visszafejtéséhez.

A kutatók megjegyzik, hogy Petya hozzáférés blokkolásáért felelős része már a rendszerindítás korai szakaszában elfogja a számítógép irányítását. Magasan képzett programozók írják.

2016 eleje óta Petya többször változott. Vannak sárga képernyős változatok váltságdíjjal, és vannak olyanok is, ahol nincs feltüntetve a vírus neve.

Még nem számoltak be arról, hogy pontosan hogyan működik és terjesztik a Petya azon verzióját, amellyel június 27-én találkoztak a felhasználók. A fertőzés mértékéből ítélve a vírus véglegesen megtörtént, és összetettebb terjesztési rendszerrel rendelkezik. A Githubon már megjelent egy link az egyik bitcoin pénztárcához, amely a vírussal fertőzött számítógépekről gyűjt pénzt. Jelen pillanatban a Meduza valamivel több mint 2300 dollárt kapott.

A Petya és a hasonló zsarolóvírusok elleni védekezés legegyszerűbb módja, ha nem kattintasz az ismeretlen személyektől származó gyanús e-mailek mellékleteire.