Izsiljevalska programska oprema je napadla IT sisteme podjetij v več državah. Močan virus je udaril v IT sisteme velike banke in metalurškega podjetja Evraz

MOSKVA, 27. junija - RIA Novosti. Globalni napad z izsiljevalsko programsko opremo je v torek prizadel IT-sisteme podjetij v več državah po svetu in v večji meri prizadel Ukrajino. Napadeni so bili računalniki naftnih, energetskih, telekomunikacijskih, farmacevtskih podjetij, pa tudi vladnih agencij.

Virus blokira računalnike in zahteva 300 dolarjev v bitcoinih, so za RIA Novosti povedali v Group-IB. Napad se je začel okoli 11.00. Način distribucije v lokalnem omrežju je podoben virusu WannaCry. Po poročanju medijev je ob 18. uri bitcoin denarnica, ki je bila navedena za nakazilo sredstev izsiljevalcem, prejela devet nakazil, pri čemer so ob upoštevanju provizije za nakazila žrtve hekerjem nakazale približno 2,7 tisoč dolarjev.

Po navedbah protivirusnega podjetja ESET se je napad začel v Ukrajini, ki ga je prizadela bolj kot druge države. Po lestvici držav, prizadetih zaradi virusa, je Italija na drugem mestu za Ukrajino, na tretjem pa Izrael. Med prvo deseterico so bile še Srbija, Madžarska, Romunija, Poljska, Argentina, Češka in Nemčija. Rusija na tem seznamu zaseda le 14. mesto.

Petya ali Misha

Strokovnjaki za kibernetsko varnost se niso strinjali glede samega virusa. Group-IB je sprva poročal o napadih Izsiljevalski virus Petya.

Predsednica skupine InfoWatch Natalya Kasperskaya je povedala, da so Petya.A odkrili že aprila 2016, njena prva različica pa je bila nemočna, če ni dobila skrbniških pravic. "Torej se je povezal z nekim drugim virusom izsiljevalske programske opreme Misha, ki je imel skrbniške pravice. Bila je izboljšana različica, rezervna izsiljevalska programska oprema," je dejal Kaspersky.

Dr.Web je tudi povedal, da se virus, ki je v torek prizadel računalnike po vsem svetu, razlikuje od virusa ransomware. Petya način distribucija. Po mnenju Dr.Weba se trojanec samorazmnožuje, tako kot senzacionalni WannaCry.

Kaspersky Lab je izjavil, da virus ne spada v prej znane družine zlonamerne programske opreme. programsko opremo. Strokovnjaki podjetja preiskujejo in v bližnji prihodnosti bo podjetje lahko zagotovilo več informacij o scenariju okužbe in delovanju zlonamerne kode, so sporočili iz Kaspersky Laba.

Napadi v Ukrajini

Po besedah ​​svetovalca vodje ministrstva za notranje zadeve Ukrajine Antona Geraščenka se je hekerski napad začel v torek ob 11. uri z uvedbo različice, prilagojene za Ukrajino. Virus WannaCry- cryptolocke, ki je bil poslan po pošti pod krinko poslovnih pisem. Po njegovih besedah ​​je imel kibernetski napad za končni cilj poskus destabilizacije razmer v gospodarstvu. Delovanje računalniških omrežij v Ukrajini, ki so bila izpostavljena hekerskemu napadu, bo v celoti obnovljeno v nekaj dneh, je zagotovil Geraščenko.

Podpredsednik ukrajinske vlade Pavlo Rozenko je dejal, da so bili vsi računalniki v kabinetu ministrov v državi izpostavljeni hekerskemu napadu. Po navedbah tiskovne službe kabineta ministrov so bila računalniška omrežja centralnih organov od 14.00 izpostavljena obsežnemu hekerskemu napadu. Zvečer, okoli 19. ure po moskovskem času, je spletna stran kabineta ministrov ponovno začela delovati, vendar se aktivnosti za preprečevanje širjenja virusa in premagovanje posledic kibernetskih napadov nadaljujejo, je dejal premier Volodimir Groysman. Navedel je tudi, da zaradi hekerskega napada pomembni infrastrukturni sistemi države niso bili prizadeti, napad pa bodo odbili.

Hkrati je administracija ukrajinskega predsednika izjavila, da dela kot običajno in posveča večjo pozornost razmeram v zvezi s kibernetskim napadom.

sekretar sveta državna varnost in obrambni (NSDC) Ukrajine Oleksandr Turčinov je povedal, da hekerski napad ni prizadel vseh državnih institucij, ki so uporabljale varen dostop do interneta.

Oddelek kibernetske policije je prejel 22 prijav nedovoljenih posegov osebni računalniki iz javnih in zasebnih ustanov. Ukrajinski organi pregona so odprli kazenski postopek zaradi hekerskih napadov na podjetja in vladne agencije.

Narodna banka Ukrajine je sredi dneva opozorila na napade na več ukrajinskih bank, pa tudi na nekatera podjetja v komercialnem in javnem sektorju. Ukrajinska državna Oschadbank je omejila izvajanje številnih storitev.

Zaradi napadov na ukrajinske banke v metroju v Kijevu ni bilo mogoče plačati potovanja z bančnimi karticami. Zaradi napada na medijski holding Lux je prenehal oddajati ukrajinski informativni kanal 24, ki je njegov del.

Napadeni so bili tudi Ukrenergo, Kyivenergo, mednarodno letališče Boryspil, največje ukrajinsko zasebno dostavno podjetje Novaya Pochta. Po podatkih Group-IB so v Ukrajini trpeli tudi Zaporozhyeoblenergo, Dneproenergo in Dnipro Electric Power Systems, Auchan ter ukrajinski telekomunikacijski operaterji.

Svetovalec vodje ukrajinskega ministrstva za notranje zadeve Zoryan Shkiryak je Rusijo obtožil hekerskih napadov, vendar ni predložil nobenih dokazov.

Rusija

V torek je Rosneft poročal, da so bili njegovi strežniki izpostavljeni močnemu hekerskemu napadu, v zvezi s katerim se je podjetje obrnilo na organe pregona.

Poleg tega so bili informacijski sistemi Evraz izpostavljeni hekerskemu napadu. Hkrati so številna druga velika metalurška podjetja v Ruski federaciji, zlasti Severstal, NLMK, MMK, Norilsk Nickel in TMK, sporočila, da ni nobenih incidentov, povezanih s kibernetskim napadom.

Banka Rusije je izjavila, da je odkrila hekerske napade, usmerjene na sisteme ruskih kreditnih institucij; zaradi teh napadov so bili zabeleženi posamezni primeri okužbe objektov informacijske infrastrukture. Ob tem ni bilo kršitev delovanja sistemov bank in kršitev izvajanja storitev strankam. V največjih ruskih bankah RIA Novosti poročajo, da niso zabeležili večjih hekerskih napadov in da delujejo kot običajno. Iz Sberbank so sporočili, da banka ob hekerskih napadih, ki so se zgodili v torek, posluje normalno.

Hekerski napad ni vplival na delovanje jedrskih elektrarn, ki delujejo v Rusiji, vse jedrske elektrarne delujejo normalno, je v torek za RIA Novosti povedal predstavnik koncerna Rosenergoatom. Tiskovna služba "sistemskega operaterja" enotnega energetskega sistema Rusije je sporočila, da strokovnjaki za informacijsko varnost podjetja niso zabeležili nobenih ciljnih napadov na informacijsko infrastrukturo podjetja. Tiskovna služba Rossetija je sporočila, da je situacija pod nadzorom in da so bili sprejeti ukrepi za odganjanje napadov.

Ruski telekomunikacijski operaterji so tudi sporočili, da delajo kot običajno, podjetij šifrirni virus Petya ni prizadel.

Moskovska borza tudi ni zabeležila hekerskih napadov na svoje informacijske sisteme, so RIA Novosti povedali v tiskovni službi Moskovske borze.

Druge države

V Španiji so hekerji napadli strežnike predstavništev mednarodnih podjetij Mondelēz International (proizvajalec hrane in instant pijač) in DLA Piper (mednarodna odvetniška družba), Saint-Gobain (francosko proizvodno podjetje gradbeni materiali). Nacionalni center za kriptologijo pri španskem nacionalnem obveščevalnem centru je dejal, da je virus različica izsiljevalske programske opreme Petya in da je žrtev "več mednarodnih podjetij s pisarnami v Španiji".

Eden vodilnih pomorskih prevoznikov je dansko podjetje A.P. Moller-Maersk je prav tako utrpel kibernetski napad, ki je onesposobil njegove računalniške sisteme v številnih oddelkih podjetja.

Multinacionalna farmacevtska družba s sedežem v ZDA Merck & Co. potrdila, da je bila ena od žrtev globalnega hekerskega napada, je uvedena preiskava. Zaradi hekerskega napada so utrpela tudi nemška podjetja, je dejal zvezna služba varnost na področju informacijske tehnologije (BSI) Nemčija. Poročila o okužbi z virusom so se pojavila tudi v Litvi.

© AP Photo / Isaac Brekken

© AP Photo / Isaac Brekken

Udeleženci hekerske konference DefCon v Las Vegasu

Kako biti varen

Denis Čerkasov, ruski tehnološki investitor in IT strokovnjak, je za RIA Novosti povedal, da je eden najbolj zanesljivih načinov zaščite pred virusi pravilno ravnanje zaposlenih v podjetju, in sicer ignoriranje sumljivih e-poštnih sporočil in še posebej zahtev po kliku na povezave. "V nasprotnem primeru lahko virus zaradi takšnih "neškodljivih" dejanj raste kot snežna kepa," je dejal Čerkasov.

Zato je po njegovem mnenju pri razmišljanju o taktikah zaščite poslovanja najprej treba izvesti usposabljanja o preprosta pravila kibernetska varnost za ekipo. Drugič, tudi najsodobnejši zaščitni sistemi potrebujejo redne posodobitve, da jih ne bi prizadela nova virusna programska oprema. Tretjič, sistemi za spremljanje celovitosti sistema so potrebni, da lahko zaznajo širjenje virusa v računalniškem omrežju, preden začne zlonamerno delovati.

Za zagotavljanje varnosti Kaspersky Lab svojim uporabnikom priporoča, da se prepričajo, da je varnostna rešitev omogočena in uporablja posodobljene virusne baze ter da je povezana z oblačnim sistemom KSN in da je aktiviran nadzor sistema (System Watcher).

»Kot dodaten ukrep lahko s funkcijo AppLocker preprečite izvajanje datoteke z imenom perfc.dat, pa tudi blokirate zagon pripomočka PSExec iz paketa Sysinternals,« svetuje predstavnik podjetja.

Vse podružnice banke Home Credit v Rusiji so bile zaradi obsežnega hekerskega napada prisiljene ustaviti transakcije strank. Po poročanju RBC se je približno deset ruskih bank v torek za pomoč obrnilo na strokovnjake s področja računalniške varnosti.

Foto: Svetlana Kholyavchuk / Interpress / TASS

Banka Home Credit je prekinila delo v povezavi s hekerskim napadom, je za RBC povedal vir v banki. Bančnim uslužbencem so svetovali, naj izklopijo vse računalnike, prav tako je bila v času pisanja nedosegljiva spletna stran banke. Po besedah ​​​​sogovornika RBC je virus prizadel vse pisarne kreditne institucije, vključno z osrednjo.

Tiskovna služba banke Home Credit je za RBC povedala, da so zdaj uredili varnostni pregled vseh sistemov, vendar ne potrdijo niti ne zanikajo dejstva hekerskega napada na banko dne ta trenutek Ne morejo.

Kasneje je tiskovna služba pojasnila, da banka ne izvaja transakcij s strankami, vendar poslovalnice delujejo v "posvetovalnem načinu" po standardnem urniku. Uporabite lahko tudi bankomate, so zapisali v tiskovni službi banke.

Hkrati se je na Facebook strani Home Credit Bank pojavilo sporočilo o varnostnem pregledu računalniških sistemov banke. Obljubljajo, da bodo o ponovnem obratovanju storitve dodatno obvestili.

RBC-jev vir v enem od podjetij za kibernetsko varnost je povedal, da se je nanje obrnilo okoli deset bank, ki naj bi bile okužene z virusom Petya, ki naj bi ga verjetno uporabljali hekerji.

Sberbank je za RBC zagotovila, da vsi sistemi banke delujejo normalno. Predstavnik Alfa-Bank je dejal, da napadov niso zabeležili.

»Banka Otkritie je tako kot druge banke večkrat na teden izpostavljena podobnim napadom. Naši varnostni sistemi jih uspešno odražajo. Delujemo v standardnem načinu in ne nehamo izboljševati naših zaščitnih sistemov, «je za RBC pojasnil Vyacheslav Kasimov, direktor informacijske varnosti pri banki Otkritie.

Tiskovna služba Banke Rusije je poročala o odkritju računalniških napadov na kreditne institucije. Po podatkih centralne banke so bili zaradi napadov zabeleženi posamezni primeri okužbe objektov informacijske infrastrukture. Kršitve sistemov bank in zagotavljanja storitev strankam niso bile zabeležene.
"Trenutno si Center za spremljanje in odzivanje na računalniške napade v kreditni in finančni sferi (FinCERT) Banke Rusije skupaj s kreditnimi institucijami prizadeva za odpravo posledic ugotovljenih računalniških napadov," je za RBC povedala tiskovna služba regulatorja. .

Prej v torek je Narodna banka Ukrajine (NBU) sporočila, da je bilo več ukrajinskih poslovnih bank in drugih podjetij hkrati izpostavljenih "zunanjemu hekerskemu napadu neznanega virusa".

»Zaradi takih kibernetskih napadov imajo te banke težave pri servisiranju strank in izpolnjevanju bančno poslovanje«, je dejal NBU v izjavi.

O napadu je poročala zlasti ena največjih bank v Ukrajini, Oschadbank, pa tudi banke OTP, Pivdenny in druge.

»Sprejemamo ukrepe za zagotovitev varnosti banke v kibernetskem prostoru. V zvezi s tem lahko naletite na začasne težave pri servisiranju banke. Podružnice banke danes delujejo v posvetovalnem načinu,« so sporočili iz banke Pivdenny.

Virus, ki se širi po Ukrajini, je v delu ne le bank, ampak tudi številnih drugih podjetij in ustanov - od Ukrenerga do Ukrposhte.

Težave imajo tudi ruska podjetja. Predvsem informacijski sistem podjetja Evraz, katerega največji solastnik je Roman Abramovič, je bil izpostavljen hekerskemu napadu. Po besedah ​​predstavnika podjetja je prišlo do okvare v informacijskem sistemu, vendar glavni proizvodni obrati še naprej delujejo, varnost podjetij in zaposlenih ni ogrožena.

Znano je tudi o hekerskem napadu na računalniške sisteme organizatorjev potovanj Mouzenidis Travel in Anex tour. Kot je za portal TourDom.ru povedal generalni direktor Mouzenidis Travel Alexander Tsandekidi, so napadalci vdrli v sistem spletnih rezervacij in hkrati blokirali dostop do lokalnih računalnikov podjetja, za vračilo katerih so zahtevali denar.

"To ne bo vplivalo na odhode turistov v kraje počitka in njihovo vrnitev domov," je zagotovil Tsandekidi.

Prej v torek o "močnem hekerskem napadu" na njegove strežnike Rosneft, zaradi virusnega napada so bili računalniki številnih bank in podjetij v Ukrajini v okvari.

Vir v podjetju uredništvu sporočila, da delo glavnih delavnic EVRAZ-ZSMK je paralizirano zaradi težav z računalniki. Okuženi so bili tehnološki osebni računalniki glavnih delavnic računalniški virus WannaCry.

WannaCry je izsiljevalski virus, ki šifrira podatke, shranjene v pomnilniku računalnika, in za odklepanje zahteva denar.

Po navedbah tiskovne službe podjetja Positive Technologies, specializiranega za informacijsko varnost, je v zadnjem mesecu na tisoče uporabnikov po vsem svetu utrpelo ogromen napad izsiljevalske programske opreme WannaCry po vsem svetu. Med žrtvami so velika mednarodna podjetja, vladne agencije in seveda navadni uporabniki interneta. Pokritost z okužbo je presegla mejo 200.000 strojev in bo očitno še rasla. Napade so zabeležili v 150 državah sveta, med žrtvami je tudi Rusija. Obstajajo informacije o poskusih okužbe v več organizacijah - MegaFon, VimpelCom, Sberbank, Ruske železnice, Ministrstvo za zdravje, Ministrstvo za izredne razmere in Ministrstvo za notranje zadeve. Napad se je izkazal za tako obsežen, da je Microsoft izdal ustrezno posodobitev celo za Windows XP, katerega podpora je bila prekinjena od leta 2014. Za širjenje WannaCry se uporablja ETERNALBLUE exploit za Windows OS iz kompleta za združevanje Shadow Brokers, ki je pricurljal v omrežje. Omeniti velja, da je bila posodobitev, ki odpravlja to ranljivost, izdana že marca, torej dva meseca pred tem napadom. Napadalci (mimogrede, ki so do zdaj prejeli približno 90.000 dolarjev, sodeč po izplačilih v bitcoin denarnice) so že uspeli izdati več modifikacij zlonamerne programske opreme. To je verjetno do neke mere posledica prezgodnje registracije preklopne domene s strani strokovnjaka za kibernetsko varnost. Ta poteza je za nekaj ur upočasnila širjenje zlonamerne programske opreme. Mnogi strokovnjaki se trudijo rešiti problem dešifriranja datotek, ne da bi plačali "storitve" distributerjev blokatorjev. Več podjetij je že predstavilo analizo principa delovanja WannaCry, ki se distribuira preko SMB in nato okuži delovne postaje v LAN.

Nevarnost uporabe SMBv1 je znana že dolgo. Popravek za odpravo ranljivosti je bil izdan pred tremi meseci. O uhajanju paketa exploit s strani skupine Shadow Brokers se je govorilo dobesedno povsod. Samo oseba, ki še nikoli ni uporabljala interneta, ni slišala za potrebo po uporabi varnostnih kopij. Zdi se, da v takih razmerah sploh ne bi smelo biti epidemije, a žal. Vse govori o neodgovornem odnosu administratorjev, varnostnikov in do neke mere o nepoznavanju informacijske varnosti s strani uporabnikov. Rezultati raziskav Positive Technologies potrjujejo razširjenost problema uporabe ranljivih različic programske opreme v korporativni infrastrukturi. Hkrati, kot je prikazano Epidemija WannaCry, varnost sistema ni odvisna od panoge podjetja, kar na splošno potrjujejo razpoložljive analitike. Napadi prek ranljivosti v zastareli programski opremi v enako prizadeti so sistemi industrijskih podjetij, IT, telekomunikacije, finančni sektor in vladne institucije.

Moskva, 28. junija - Vesti.Ekonomika. Izkazalo se je, da je izsiljevalski virus Petya močnejši in nevarnejši od nedavno senzacionalnega WannaCry. Najprej so trpela podjetja v Rusiji in Ukrajini, vendar se je virus že razširil po vsem planetu.

Forbes, ki se sklicuje na strokovnjake za kibernetsko varnost, piše, da zaradi posebnosti distribucije in razlik od že znanih programov novi virus nevarnejši od podobnih, zato se še hitreje širi, prav tako ni »magic knife switch«, kot je bilo pri WannaCry.

Hkrati je WannaCry napadel več kot 200 tisoč uporabnikov v 150 državah sveta, strokovnjaki pa se še vedno ne morejo zediniti o ocenah škode, a pogovarjamo se okoli sto milijard dolarjev.

Omeniti velja, da je bil napad virusa Petya usmerjen na infrastrukturna podjetja: naftna, telekomunikacijska in finančna podjetja v Rusiji in Ukrajini. V drugih državah so bila napadena tudi velika podjetja, tudi logistična.

Rusija

Rosneft in Bashneft

27. junija je Rosneft objavil "močan hekerski napad" na svoje strežnike. Ob dejstvu kibernetskega napada se je podjetje obrnilo na organe pregona.

Po mnenju Mihaila Leontjeva bi hekerski napad lahko povzročil resne posledice, vendar zaradi dejstva, da je podjetje prešlo na rezervni sistem za nadzor procesov, nista ustavili niti proizvodnje niti priprave olja.

Vedomosti ugotavljajo, da računalniki v Bashneftu ne delujejo, prav tako ni bila odprta spletna stran Rosnefta.

Cilj hekerjev pri napadu na Rosneftove strežnike bi lahko bile informacije, pomembne za tožbe, v katere je vpleteno podjetje, je dejal tiskovni predstavnik Rosnefta Mihail Leontjev.

"Če pogledate racionalne motive, ki bi jih lahko imeli hekerji, potem je kljub temu nemogoče ne opaziti, da bi bil tak racionalen motiv" ubiti "Bashneftove računalnike, ki vsebujejo veliko število informacije o dejavnostih Bashnefta v obdobju lastništva prejšnjih lastnikov," je dejal Leontiev, ki ga citira portal BFM.

Evraz

Hekerskemu napadu je bil izpostavljen tudi informacijski sistem Evraz.

"Informacijski sistem Evraz je napadel heker. Glavni proizvodni obrati še naprej delujejo, varnost podjetij in zaposlenih ni ogrožena," je sporočila tiskovna služba.

Mondelez

Težave zaradi hekerskega napada so se pojavile v ruski diviziji Mondeleza, ki proizvaja predvsem čokoladi Alpen Gold in Milka.

Banke

Napadeni so bili sistemi banke Home Credit, a centralna banka ni izključila, da bi lahko bile žrtve tudi druge banke.

Ukrajina

27. junija zjutraj so bili udarjeni računalniki največjih ukrajinskih energetskih podjetij.

Kyivenergo je potrdil dejstvo o porazu virusa in opozoril, da je bilo osebje prisiljeno izklopiti vse računalnike.

Zaradi nizke likvidnosti se napad ni odrazil na borznih tečajih.

Kasneje je dejstvo o napadu potrdila ukrajinska vlada. Virus je okužil sisteme Oschadbank, " Nova pošta", letališče "Borispol" in podzemna železnica v Kijevu.

Druge države

V Združenem kraljestvu je zaradi Petye trpelo veliko oglaševalsko podjetje WPP.

Klon izsiljevalskega virusa Wanna Cry Petya, ki šifrira vsebino trdega diska in nato za dešifriranje zahteva odkupnino, je udaril v sisteme IT banke Home Credit Bank.in metalurško podjetje Evraz, vključno z Novokuznetskom.

Dopisniku Prokopyevsk.ru so zaposleni v Evrazu povedali, da je delo podjetja moteno. Strokovnjaki poskušajo obnoviti sistem.

Po zadnjih podatkih Group-IB je na predvečer virusa trpelo že več kot 80 podjetij in oddelkov v Rusiji in Ukrajini. Poleg tega je dansko podjetje Maersk poročalo o okvarah v svojih sistemih.

Zlasti Rosneft in Bashneft, ruski urad, sta postala žrtev hekerjev. V Ukrajini je virus okužil računalnike kabineta ministrov, kijevskega metroja, energetskih podjetij in letališča Borispil. FAN poroča.

Portal Meduza podrobno opisuje delovanje virusa in pot okužbe. Mi vam zagotovimo material.

Mehanizem, kako deluje izsiljevalska programska oprema, je bil najbolj podrobno opisan že aprila 2016 v objavi na blogu Malwarebytes Labs. Nato je bil virus razdeljen kot pismo z življenjepisom zaposlenega: s klikom nanj se je odprl program Windows, ki je zahteval skrbniške pravice. Če se je nepozoren uporabnik strinjal, je namestitveni program prepisal zagonsko območje trdega diska in prikazal " moder zaslon smrt«: sporočilo o zrušitvi, ki vas poziva, da znova zaženete računalnik.

Na tej stopnji, kot pišejo raziskovalci, trdi disk še ni šifriran, podatke pa je mogoče shraniti - na primer, če izklopite računalnik in trdi disk povežete z drugim, vendar se ne zaženete z njega. V tem primeru je mogoče vse podatke kopirati.

Po ponovnem zagonu Petya zažene program, ki se maskira kot pripomoček CHKDSK. Trdega diska pravzaprav ne preverja za napake, temveč ga šifrira, in to, kot so ugotovili raziskovalci iz Malwarebytes Labs, ne v celoti, ampak le delno. Konec marca 2016 je Kaspersky Lab trdil, da metoda šifriranja, uporabljena v Petya, omogoča obnovitev vseh podatkov s pomočjo strokovnjakov.

Po končanem šifriranju se na računalniku prikaže rdeč zaslon s sporočilom »Bili ste žrtev izsiljevalskega virusa Petya« in ponudbo za plačilo 300 $ v bitcoinih. Podrobna navodila o tem, kako kupiti zahtevani znesek v bitcoinih in kako ga nakazati, so bila na strani v "temnem spletu".

Sodeč po posnetkih zaslona sodobne različice Petya zdaj ni spletne strani in podrobna navodila ne: okuženi uporabniki so pozvani, da pišejo na določeno poštni naslov in v zameno za dokazilo o prenosu sredstev prejmete kodo za dešifriranje trdega diska.

Raziskovalci ugotavljajo, da del Petya, ki je odgovoren za blokiranje dostopa, prestreže nadzor nad računalnikom v zelo zgodnji fazi zagona. Napisali so ga visoko usposobljeni programerji.

Od začetka leta 2016 se je Petya večkrat spremenila. Obstajajo različice z rumenim zaslonom z opombo o odkupnini in obstajajo tiste, kjer ime virusa ni navedeno.

Kako natančno deluje in se distribuira različica Petya, na katero so uporabniki naleteli 27. junija, še niso poročali. Po obsegu okužbe sodeč je virus dokončno oblikovan in ima nekoliko bolj zapleten distribucijski sistem. Na Githubu se je že pojavila povezava do ene izmed bitcoin denarnic, ki zbira denar iz računalnikov, okuženih z virusom. Od tega pisanja je Meduza prejela nekaj več kot 2300 dolarjev.

Pred Petyo in podobno izsiljevalsko programsko opremo se najlažje zaščitite tako, da ne kliknete priponk v sumljivih elektronskih sporočilih ljudi, ki jih ne poznate.