Logiciels de rançon Petya A, avec sa variante GoldenEye, a déjà étonné les gouvernements, les entreprises et les particuliers du monde entier. Ce programme est si catastrophique que même ceux qui ont corrigé leur système d'exploitation Windows et l'ont mis à jour peuvent être victimes de cette cyberattaque, entraînant de lourdes pertes financières. En Ukraine, il s'est principalement attaqué aux ordinateurs comptables via le programme M.E.Doc.

Pour lutter contre la cybercriminalité, 360 a développé un outil de décryptage des ransomwares pour sauver les ordinateurs piratés par les ransomwares. Cet outil peut renvoyer des fichiers de plus de 80 rançongiciels Petya A, GoldenEye, et leur notoire précédent WannaCry figure également sur la liste de prise en charge du décryptage.

Plus tôt, nous avons déjà décrit d'une manière comment il était possible de récupérer une partie des données après la cyberattaque du 27/06/2017, et promis des instructions plus détaillées.

Pour déverrouiller un PC infecté par Petya, suivez ces étapes.

Instructions de déchiffrement oeil doré variante "Petya"

2. Ouvrez 360 Ransomware Decryption Tools et cliquez sur la bannière jaune en haut pour démarrer le processus de décryptage.

3. Entrez votre code de déchiffrement personnel dans le message de rançon (voir la case rouge en surbrillance dans la capture d'écran ci-dessous). 360 Ransomware Decryption Tool commencera à calculer la clé de déchiffrement.

4. Obtenez votre clé de déchiffrement.

5. Entrez la clé de déchiffrement dans le message de rançon pour déverrouiller le PC.

6. Remarque importante : Si vous avez entré la clé de manière incorrecte, vous verrez le message ci-dessous. Dans cette situation ne continuez pas à entrer la clé. Redémarrez votre ordinateur et entrez à nouveau la clé

7. Votre système d'exploitation est maintenant déverrouillé.

Instructions de déchiffrement pour Versions squelette rouge

Suivez les mêmes étapes mentionnées précédemment. (Le code de déchiffrement est plus long que dans le message de rançon GoldenEye.)

Après avoir entré la clé de déchiffrement, vous verrez le message ci-dessous. Cela signifie que votre système a été déverrouillé.

Si vous utilisez Windows 7 ou une version ultérieure, Petya crypte non seulement votre système, mais également les fichiers sur le PC infecté. Ces fichiers cryptés sont ajoutés avec une extension de 8 caractères. Le ransomware crée également le fichier "YOUR_FILES_ARE_ENCRYPTED.TXT" dans le dossier du bureau

Pour enregistrer vos fichiers, utilisez 360 Ransomware Decryption Tools pour analyser le dossier dans lequel vos fichiers sont chiffrés.

Attendez que l'outil de décryptage 360 ​​ransomware récupère vos fichiers. (N'éteignez pas l'outil tant que le processus n'est pas terminé, sinon les fichiers pourraient être endommagés).

Y compris 360 Document Protector et un outil anti-cyber arme NSA préparé pour se protéger contre les ransomwares. Votre sécurité est actuellement notre plus grande préoccupation.

Vous pouvez télécharger gratuitement un antivirus fiable avec plusieurs moteurs d'analyse antivirus sur le site officiel.

La Grande-Bretagne, les États-Unis et l'Australie ont officiellement accusé la Russie de distribuer NotPetya

Le 15 février 2018, le ministère britannique des Affaires étrangères a publié une déclaration officielle accusant la Russie d'avoir organisé une cyberattaque à l'aide du virus de cryptage NotPetya.

Selon les autorités britanniques, cette attaque a montré un nouveau mépris pour la souveraineté de l'Ukraine et, à la suite de ces actions imprudentes, le travail de nombreuses organisations à travers l'Europe a été perturbé, entraînant des pertes de plusieurs millions de dollars.

Le ministère a noté que la conclusion sur l'implication du gouvernement russe et du Kremlin dans la cyberattaque a été tirée sur la base de la conclusion du UK National Cyber ​​​​​​Security Center (UK National Cyber ​​​​Security Centre), qui "croit presque complètement que l'armée russe est derrière l'attaque NotPetya." Également dans la déclaration a déclaré que ses alliés ne toléreront pas les cyber-activités malveillantes.

Le Kremlin, qui a précédemment nié à plusieurs reprises toute implication des autorités russes dans des attaques de pirates informatiques, a qualifié la déclaration du ministère britannique des Affaires étrangères de "campagne russophobe".

Monument "Ici se trouve le virus informatique Petya vaincu par des personnes le 27/06/2017"

Un monument au virus informatique Petya a été installé en décembre 2017 près du bâtiment du technoparc de Skolkovo. Un monument de deux mètres, avec l'inscription : "Ici se trouve le virus informatique Petya vaincu par des personnes le 27/06/2017." réalisé sous la forme d'un disque dur mordu, a été créé avec le soutien d'INVITRO, parmi d'autres entreprises touchées par les conséquences d'une cyberattaque massive. Un robot nommé Nu, qui travaille au Phystechpark et (MIT), est venu à la cérémonie pour prononcer un discours solennel.

Attaque contre le gouvernement de Sébastopol

Des spécialistes de la Direction principale de l'informatisation et des communications de Sébastopol ont repoussé avec succès l'attaque du virus de cryptage du réseau Petya sur les serveurs du gouvernement régional. Cela a été annoncé le 17 juillet 2017 lors d'une réunion opérationnelle du gouvernement de Sébastopol par le chef du département d'informatisation Denis Timofeev.

Il a déclaré que le logiciel malveillant Petya n'avait aucun effet sur les données stockées sur les ordinateurs des institutions publiques de Sébastopol.

L'accent mis sur l'utilisation de logiciels libres est intégré dans le concept d'informatisation de Sébastopol, approuvé en 2015. Il indique que lors de l'achat et du développement de logiciels de base, ainsi que de logiciels pour les systèmes d'information pour l'automatisation, il est conseillé d'analyser la possibilité d'utiliser des produits gratuits qui peuvent réduire les coûts budgétaires et réduire la dépendance vis-à-vis des fournisseurs et des développeurs.

Plus tôt, fin juin, dans le cadre d'une attaque à grande échelle contre la société médicale Invitro, une succursale de sa succursale située à Sébastopol avait également été endommagée. En raison d'une infection par un virus de réseau informatique, la succursale a temporairement suspendu la publication des résultats des tests jusqu'à ce que les causes soient éliminées.

Invitro a annoncé la suspension des tests en raison d'une cyberattaque

La société médicale Invitro a suspendu la collecte de biomatériaux et la publication des résultats des tests des patients en raison d'une attaque de pirates informatiques le 27 juin. Cela a été annoncé à RBC par le directeur des communications d'entreprise de la société Anton Bulanov.

Comme indiqué dans le message de la société, dans un avenir proche "Invitro" passera en fonctionnement normal. Les résultats des études menées après ce délai seront remis aux patients après élimination de la défaillance technique. À l'heure actuelle, le système d'information du laboratoire a été restauré et le processus de mise en place est en cours. "Nous regrettons la situation actuelle de force majeure et remercions nos clients pour leur compréhension", a conclu Invitro.

Selon ces données, des cliniques en Russie, en Biélorussie et au Kazakhstan ont été attaquées par un virus informatique.

Attaque contre Gazprom et d'autres compagnies pétrolières et gazières

Le 29 juin 2017, on a appris une cyberattaque mondiale contre les systèmes informatiques de Gazprom. Ainsi, une autre société russe a souffert du virus rançongiciel Petya.

Selon l'agence de presse Reuters, citant une source gouvernementale russe et une personne impliquée dans l'enquête sur l'incident, Gazprom a été touché par la propagation du malware Petya, qui a attaqué des ordinateurs dans un total de plus de 60 pays à travers le monde.

Les interlocuteurs de la publication n'ont pas fourni de détails sur le nombre et les systèmes infectés dans Gazprom, ainsi que sur le montant des dommages causés par les pirates. La société a refusé de commenter à la demande de Reuters.

Pendant ce temps, une source de haut rang de RBC chez Gazprom a déclaré à la publication que les ordinateurs du bureau central de l'entreprise fonctionnaient sans interruption lorsqu'une attaque de pirate informatique à grande échelle a commencé (27 juin 2017) et s'est poursuivie deux jours plus tard. Deux autres sources de RBC à Gazprom ont également assuré que "tout est calme" dans l'entreprise et qu'il n'y a pas de virus.

Dans le secteur pétrolier et gazier, Bashneft et Rosneft ont souffert du virus Petya. Ce dernier a annoncé le 28 juin que l'entreprise fonctionnait normalement et que "certains problèmes" étaient rapidement résolus.

Banques et industrie

On a appris l'infection d'ordinateurs à Evraz, la branche russe de Royal Canin (produit des uniformes pour animaux) et la branche russe de Mondelez (fabricant d'Alpen Gold et de chocolat Milka).

Selon le ministère de l'Intérieur de l'Ukraine, l'homme a posté une vidéo sur les plateformes de partage de fichiers et les réseaux sociaux détaillant le processus de lancement d'un rançongiciel sur les ordinateurs. Dans les commentaires de la vidéo, l'homme a posté un lien vers sa page sur le réseau social, sur laquelle il a téléchargé un programme malveillant. Lors de perquisitions dans l'appartement du "hacker", les forces de l'ordre ont saisi du matériel informatique utilisé pour distribuer NotPetya. La police a également trouvé des fichiers contenant des logiciels malveillants, après analyse desquels sa similitude avec le rançongiciel NotPetya a été confirmée. Comme l'ont établi les cyber-policiers, le ransomware, dont le lien a été publié par le résident de Nikopol, a été téléchargé 400 fois par les utilisateurs du réseau social.

Parmi ceux qui ont téléchargé NotPetya, les agents des forces de l'ordre ont identifié des entreprises qui ont délibérément infecté leurs systèmes avec des ransomwares pour dissimuler des activités criminelles et échapper au paiement de sanctions à l'État. Il convient de noter que la police ne lie pas les activités de l'homme aux attaques de pirates informatiques du 27 juin de cette année, c'est-à-dire qu'il n'est pas question de son implication dans les auteurs de NotPetya. Les actes qui lui sont imputés ne concernent que les actions commises en juillet de cette année - après une vague de cyberattaques à grande échelle.

Une affaire pénale a été engagée contre l'homme en vertu de la partie 1 de l'art. 361 (intervention non autorisée dans le fonctionnement des ordinateurs) du Code pénal de l'Ukraine. Nikopolchanin risque jusqu'à 3 ans de prison.

Répartition dans le monde

La propagation du virus rançongiciel Petya a été enregistrée en Espagne, en Allemagne, en Lituanie, en Chine et en Inde. Par exemple, en raison d'un malware en Inde, la technologie de gestion du trafic du port à conteneurs Jawaharlal Nehru, exploité par A.P. Moller-Maersk, ont cessé de reconnaître l'appartenance des marchandises.

La cyberattaque a été signalée par le groupe publicitaire britannique WPP, le bureau espagnol de l'un des plus grands cabinets d'avocats au monde DLA Piper et le géant alimentaire Mondelez. Fabricant français de matériaux de construction Cie. de Saint-Gobain et la société pharmaceutique Merck & Co.

Merck

Le géant pharmaceutique américain Merck, durement touché par l'attaque du rançongiciel NotPetya de juin, n'est toujours pas en mesure de restaurer tous les systèmes et de revenir à un fonctionnement normal. Cela a été signalé dans le rapport de la société sur le formulaire 8-K, soumis à la Securities and Exchange Commission (SEC) des États-Unis fin juillet 2017. Lire la suite.

Moller-Maersk et Rosneft

Le 3 juillet 2017, on a appris que le géant maritime danois Moller-Maersk et Rosneft avaient restauré des systèmes informatiques infectés par le virus rançongiciel Petya presque une semaine seulement après l'attaque du 27 juin.

La compagnie maritime Maersk, qui représente un conteneur maritime sur sept expédiés dans le monde, a également ajouté que les 1 500 applications touchées par la cyberattaque reprendront leurs activités normales d'ici le 9 juillet 2017 au plus tard.

Les systèmes informatiques d'APM Terminals, propriété de Maersk, qui exploite des dizaines de ports de fret et de terminaux à conteneurs dans plus de 40 pays, ont été principalement touchés. Plus de 100 000 conteneurs de fret traversent chaque jour les ports d'APM Terminals, dont le travail a été complètement paralysé en raison de la propagation du virus. Le terminal Maasvlakte II de Rotterdam a été ravitaillé le 3 juillet.

16 août 2017 A.P. Moller-Maersk a nommé le montant approximatif des dommages causés par une cyberattaque utilisant le virus Petya, dont l'infection, comme l'a noté la société européenne, est passée par le programme ukrainien. Selon les calculs préliminaires de Maersk, les pertes financières dues au rançongiciel Petya au deuxième trimestre de 2017 se sont élevées entre 200 et 300 millions de dollars.

Pendant ce temps, il a également fallu près d'une semaine à Rosneft pour restaurer les systèmes informatiques après une attaque de pirate informatique, qui a été signalée le 3 juillet par le service de presse de l'entreprise, a déclaré Interfax :

Quelques jours plus tôt, Rosneft soulignait qu'elle n'entreprenait pas encore d'évaluer les conséquences d'une cyberattaque, mais que la production n'était pas affectée.

Comment fonctionne Petya ?

En effet, les victimes de virus ne peuvent pas déverrouiller leurs fichiers une fois infectés. Le fait est que ses créateurs n'avaient pas du tout prévu une telle opportunité. C'est-à-dire qu'un disque chiffré ne peut a priori pas être déchiffré. L'ID du logiciel malveillant ne contient pas les informations requises pour le déchiffrement.

Initialement, les experts ont classé le virus, qui affectait environ deux mille ordinateurs en Russie, en Ukraine, en Pologne, en Italie, en Allemagne, en France et dans d'autres pays, dans la famille déjà bien connue des rançongiciels Petya. Cependant, il s'est avéré que nous parlons d'une nouvelle famille de logiciels malveillants. Kaspersky Lab a baptisé le nouveau chiffreur ExPetr.

Comment se battre

La lutte contre les cybermenaces nécessite les efforts conjugués des banques, des entreprises informatiques et de l'État

Méthode de récupération de données de Positive Technologies

Le 7 juillet 2017, l'expert de Positive Technologies, Dmitry Sklyarov, a présenté une méthode de récupération des données cryptées par le virus NotPetya. Selon l'expert, la méthode est applicable si le virus NotPetya avait des privilèges d'administration et cryptait l'intégralité du disque.

La possibilité de récupérer des données est due à des erreurs dans la mise en œuvre de l'algorithme de chiffrement Salsa20, commises par les attaquants eux-mêmes. L'efficacité de la méthode a été testée à la fois sur un support de test et sur l'un des disques durs cryptés d'une grande entreprise faisant partie des victimes de l'épidémie.

Les entreprises et les développeurs indépendants spécialisés dans la récupération de données sont libres d'utiliser et d'automatiser le script de décryptage présenté.

Les résultats de l'enquête ont déjà été confirmés par la cyberpolice ukrainienne. Les conclusions de l'enquête "Juscutum" vont servir de preuve clé dans le futur procès contre Intellect-Service.

La procédure sera de nature civile. Une enquête indépendante est menée par les forces de l'ordre ukrainiennes. Leurs représentants ont précédemment annoncé la possibilité d'engager des poursuites à l'encontre des salariés d'Intellect-Service.

La société M.E.Doc elle-même a déclaré que ce qui se passait était une tentative de prise de contrôle de l'entreprise par des pillards. Le fabricant du seul logiciel de comptabilité ukrainien populaire estime que la recherche de l'entreprise par la cyberpolice ukrainienne faisait partie de la mise en œuvre de ce plan.

Vecteur d'infection initial avec l'encodeur Petya

Le 17 mai, une mise à jour de M.E.Doc a été publiée qui ne contient pas de module de porte dérobée malveillant. Cela peut probablement expliquer le nombre relativement faible d'infections XData, estime la société. Les attaquants ne s'attendaient pas à la sortie de la mise à jour le 17 mai et ont lancé le chiffreur le 18 mai, alors que la plupart des utilisateurs avaient déjà installé la mise à jour sécurisée.

La porte dérobée permet à d'autres logiciels malveillants d'être chargés et exécutés sur le système infecté - c'est ainsi que l'infection initiale avec les encodeurs Petya et XData a été effectuée. En outre, le programme collecte les paramètres du serveur proxy et de la messagerie électronique, y compris les identifiants et les mots de passe de l'application M.E.Doc, ainsi que les codes d'entreprise selon EDRPOU (Registre d'État unifié des entreprises et des organisations d'Ukraine), ce qui permet d'identifier victimes.

"Nous avons un certain nombre de questions auxquelles répondre", a déclaré Anton Cherepanov, analyste principal des virus chez Eset. - Depuis combien de temps la porte dérobée est-elle utilisée ? Quelles commandes et logiciels malveillants autres que Petya et XData ont été envoyés via ce canal ? Quelles autres infrastructures ont été compromises mais pas encore utilisées par le groupe cyber à l'origine de cette attaque ? »

Sur la base d'une combinaison de signes, y compris l'infrastructure, les outils malveillants, les stratagèmes et les cibles d'attaque, les experts d'Eset ont établi un lien entre l'épidémie Diskcoder.C (Petya) et le cybergroupe Telebots. Il n'a pas encore été possible de déterminer de manière fiable qui se cache derrière les activités de ce groupe.

Un certain nombre d'entreprises russes et ukrainiennes ont été attaquées par le virus de cryptage Petya. L'édition en ligne du site s'est entretenue avec des experts de Kaspersky Lab, l'agence interactive AGIMA, et a découvert comment protéger les ordinateurs d'entreprise contre un virus et comment Petya est similaire au virus de chiffrement WannaCry tout aussi bien connu.

Virus "Petya"

En Russie, les sociétés Rosneft, Bashneft, Mars, Nivea et le fabricant de chocolat Alpen Gold Mondelez International. Un virus ransomware dans le système de surveillance des rayonnements de la centrale nucléaire de Tchernobyl. En outre, l'attaque a touché les ordinateurs du gouvernement ukrainien, de la Privatbank et des opérateurs de télécommunications. Le virus bloque les ordinateurs et demande une rançon de 300 $ en bitcoins.

Dans un microblog sur Twitter, le service de presse de Rosneft a parlé d'une attaque de pirate informatique sur les serveurs de l'entreprise. "Une puissante attaque de pirates informatiques a été menée sur les serveurs de l'entreprise. Nous espérons que cela n'a rien à voir avec la procédure judiciaire en cours. L'entreprise s'est tournée vers les forces de l'ordre dans le cadre de la cyberattaque", indique le message.

Selon l'attaché de presse de la société, Mikhail Leontiev, Rosneft et ses filiales fonctionnent comme d'habitude. Après l'attaque, l'entreprise est passée à un système de contrôle de processus de secours, de sorte que la production et la préparation du pétrole n'ont pas été arrêtées. Le système bancaire Home Credit a également été attaqué.

"Petya" n'infecte pas sans "Misha"

Selon Directeur exécutif d'AGIMA Evgeny Lobanov, en fait, l'attaque a été menée par deux virus rançongiciels : Petya et Misha.

"Ils fonctionnent en conjonction. "Petya" n'infecte pas sans "Misha". Il peut infecter, mais l'attaque d'hier était de deux virus : d'abord Petya, puis Misha. "Petya" écrase le périphérique de démarrage (d'où l'ordinateur démarre) et Misha - crypte les fichiers selon un certain algorithme », a expliqué le spécialiste, « Petya crypte le secteur de démarrage du disque (MBR) et le remplace par le sien, Misha crypte déjà tous les fichiers sur le disque (pas toujours) ».

Il a noté que le virus de chiffrement WannaCry, qui a attaqué de grandes entreprises mondiales en mai de cette année, n'est pas similaire à Petya, il s'agit d'une nouvelle version.

"Petya.A est de la famille WannaCry (WannaCrypt), mais la principale différence est que ce n'est pas le même virus, c'est que le MBR est remplacé par son propre secteur de démarrage - c'est une nouveauté pour Ransomware. Le virus Petya est apparu il y a longtemps, sur GitHab (un service en ligne pour les projets informatiques et la programmation conjointe - site) https://github.com/leo-stone/hack-petya" target="_blank"> il y avait un décrypteur pour ce crypteur, mais aucun décrypteur n'est adapté à la nouvelle modification.

Yevgeny Lobanov a souligné que l'attaque avait frappé l'Ukraine plus durement que la Russie.

"Nous sommes plus sensibles aux attaques que les autres pays occidentaux. Nous serons protégés de cette version du virus, mais pas de ses modifications. Notre Internet est dangereux, en Ukraine il l'est encore moins. Fondamentalement, les compagnies de transport, les banques, les opérateurs de téléphonie mobile ont été attaqués (Vodafone, Kyivstar) et des sociétés médicales, les mêmes Pharmmag, des stations-service Shell - toutes de très grandes sociétés transcontinentales", a-t-il déclaré dans une interview au site.

Le directeur exécutif de l'AGIMA a noté qu'à ce jour, aucun fait n'indiquerait la localisation géographique du propagateur du virus. Selon lui, le virus serait apparu en Russie. Malheureusement, il n'y a aucune preuve directe de cela.

"On suppose que ce sont nos pirates, car la première modification est apparue en Russie, et le virus lui-même, qui n'est un secret pour personne, a été nommé d'après Petro Porochenko. C'était le développement des pirates russes, mais c'est difficile à dire qui l'a changé plus loin. qu'étant même en Russie, il est facile de se procurer un ordinateur avec géolocalisation aux États-Unis, par exemple », a expliqué l'expert.

"Si soudainement il y avait une" infection "de l'ordinateur - vous ne pouvez pas éteindre l'ordinateur. Si vous redémarrez, vous ne vous reconnecterez plus jamais"

"Si un ordinateur est soudainement" infecté ", vous ne pouvez pas éteindre l'ordinateur, car le virus Petya remplace le MBR - le premier secteur de démarrage à partir duquel le système d'exploitation est chargé. Si vous redémarrez, vous n'entrerez plus jamais dans le système. Cela coupe les chemins de déchets, même s'il apparaît " tablette", il ne sera plus possible de restituer les données. Ensuite, vous devez immédiatement vous déconnecter d'Internet pour que l'ordinateur ne se connecte pas. Un correctif officiel de Microsoft a déjà a été publié, il offre une garantie de sécurité de 98 %. Malheureusement, pas encore à 100 %. Une certaine modification du virus (leurs trois éléments) qu'il contourne pour l'instant », a recommandé Lobanov. - Cependant, si vous avez redémarré et vu le début du processus de "vérification du disque", à ce moment, vous devez éteindre immédiatement l'ordinateur et les fichiers resteront non cryptés.

En outre, l'expert a également expliqué pourquoi les utilisateurs de Microsoft sont le plus souvent attaqués, et non les systèmes MacOSX (système d'exploitation d'Apple - site) et Unix.

"Ici, il est plus correct de parler non seulement de MacOSX, mais aussi de tous les systèmes Unix (le principe est le même). Le virus n'affecte que les ordinateurs, sans les appareils mobiles. L'attaque affecte le système d'exploitation Windows et ne menace que les utilisateurs qui ont désactivé la fonction de mise à jour automatique du système. Les mises à jour sont exceptionnelles, elles sont disponibles même pour les propriétaires d'anciennes versions de Windows qui ne sont plus mises à jour : XP, Windows 8 et Windows Server 2003 », a déclaré l'expert.

"MacOSX et Unix ne sont pas globalement exposés à de tels virus, car de nombreuses grandes entreprises utilisent l'infrastructure Microsoft. MacOSX n'est pas affecté car il n'est pas si courant dans les agences gouvernementales. Il y a moins de virus en dessous, il n'est pas rentable de les fabriquer, car le segment d'attaque sera plus petit que si Microsoft attaquait", a conclu l'expert.

"Le nombre d'utilisateurs attaqués a atteint deux mille"

Service de presse de Kaspersky Lab, dont les experts continuent d'enquêter sur la dernière vague d'infections, a déclaré que "ce ransomware n'appartient pas à la famille déjà bien connue des ransomwares Petya, bien qu'il partage plusieurs lignes de code avec elle".

Le Laboratoire est sûr que dans ce cas, nous parlons d'une nouvelle famille de logiciels malveillants avec des fonctionnalités très différentes de Petya. Kaspersky Lab a nommé un nouveau chiffreur ExPetr.

"Selon Kaspersky Lab, le nombre d'utilisateurs attaqués a atteint deux mille. La plupart des incidents ont été enregistrés en Russie et en Ukraine, et des cas d'infection ont également été observés en Pologne, en Italie, en Grande-Bretagne, en Allemagne, en France, aux États-Unis et Pour le moment, nos experts suggèrent que "Ce malware a utilisé plusieurs vecteurs d'attaque. Il a été établi qu'un exploit EternalBlue modifié et un exploit EternalRomance ont été utilisés pour se propager dans les réseaux d'entreprise", a déclaré le service de presse.

Les experts explorent également la possibilité de créer un outil de décryptage avec lequel décrypter les données. Le laboratoire a également fait des recommandations à toutes les organisations pour éviter une attaque virale à l'avenir.

"Nous recommandons aux organisations de mettre à jour leur système d'exploitation Windows. Pour Windows XP et Windows 7, installez la mise à jour de sécurité MS17-010 et assurez-vous qu'elles disposent d'un système de sauvegarde des données efficace. Une sauvegarde des données rapide et sécurisée vous permet de restaurer les fichiers originaux, même si ils ont été cryptés par des logiciels malveillants », ont conseillé les experts de Kaspersky Lab.

Le Laboratoire recommande également à ses entreprises clientes de s'assurer que tous les mécanismes de protection sont activés, en particulier, de s'assurer que la connexion à l'infrastructure cloud de Kaspersky Security Network, comme mesure supplémentaire, il est recommandé d'utiliser le "Application Privilege Control" composant pour refuser l'accès à tous les groupes d'applications (et, par conséquent, l'exécution) d'un fichier nommé "perfc.dat", etc.

"Si vous n'utilisez pas les produits Kaspersky Lab, nous vous recommandons de désactiver l'exécution d'un fichier appelé perfc.dat, ainsi que de bloquer le lancement de l'utilitaire PSExec à partir du package Sysinternals à l'aide de la fonction AppLocker, qui fait partie du système d'exploitation (exploitation système - site) Windows", recommandé en laboratoire.

Le 12 mai 2017, beaucoup sont un crypteur de données sur les disques durs des ordinateurs. Il bloque l'appareil et demande une rançon.
Le virus a touché des organisations et des départements dans des dizaines de pays à travers le monde, dont la Russie, où le ministère de la Santé, le ministère des Situations d'urgence, le ministère de l'Intérieur, les serveurs des opérateurs de téléphonie mobile et plusieurs grandes banques ont été attaqués.

La propagation du virus a été stoppée accidentellement et temporairement : si les pirates ne modifient que quelques lignes de code, le malware recommencera à fonctionner. Les dégâts du programme sont estimés à un milliard de dollars. Après une analyse médico-légale linguistique, les experts ont découvert que WannaCry avait été créé par des personnes originaires de Chine ou de Singapour.

Presque tous les utilisateurs ont un logiciel antivirus sur leur ordinateur, mais parfois un cheval de Troie ou un virus apparaît qui peut contourner la meilleure protection et infecter votre appareil, et pire encore, crypter vos données. Cette fois, l'encodeur cheval de Troie "Petya" ou, comme on l'appelle aussi, "Petya" est devenu un tel virus. Le taux de propagation de cette menace est très impressionnant : en quelques jours, il a pu « visiter » la Russie, l'Ukraine, Israël, l'Australie, les États-Unis, tous les grands pays européens et pas seulement. Il a surtout touché les entreprises (aéroports, centrales électriques, industrie du tourisme), mais les gens ordinaires ont également souffert. En termes de portée et de méthodes d'influence, il est extrêmement similaire à celui récemment sensationnel.

Vous devez absolument protéger votre ordinateur afin de ne pas être victime du nouveau ransomware Trojan "Petya". Dans cet article, je vais vous dire ce qu'est le virus Petya, comment il se propage et comment vous protéger de cette menace. En outre, nous aborderons les problèmes de suppression du cheval de Troie et de décryptage des informations.

Qu'est-ce que le virus Petya ?

Pour commencer, nous devons comprendre ce qu'est Petya. Le virus Petya est un logiciel malveillant qui est un cheval de Troie de type rançongiciel (extorsionniste). Ces virus sont conçus pour faire chanter les propriétaires d'appareils infectés afin d'obtenir d'eux une rançon pour les données cryptées. Contrairement à Wanna Cry, Petya ne prend pas la peine de crypter des fichiers individuels - il vous "enlève" presque instantanément tout le disque dur.

Le nom correct du nouveau virus est Petya.A. De plus, Kaspersky l'appelle NotPetya/ExPetr.

Description du virus Petya

Une fois sur votre ordinateur Windows, Petya crypte le MFT(Master File Table - la table principale des fichiers). A quoi sert ce tableau ?

Imaginez que votre disque dur soit la plus grande bibliothèque de tout l'univers. Il contient des milliards de livres. Alors comment trouver le bon livre ? Seulement avec l'aide du catalogue de la bibliothèque. C'est ce répertoire que Petya détruit. Ainsi, vous perdez toute possibilité de trouver n'importe quel "fichier" sur votre PC. Pour être encore plus précis, après le « travail » de Petya, le disque dur de votre ordinateur ressemblera à une bibliothèque après une tornade, avec des bouts de livres volant partout.

Ainsi, contrairement à Wanna Cry, que j'ai mentionné au début de l'article, Petya.A ne crypte pas les fichiers individuels, y consacrant un temps impressionnant - cela vous enlève simplement toute possibilité de les trouver.

Après toutes ses manipulations, il demande une rançon aux utilisateurs - 300 dollars américains, qui doivent être transférés sur un compte bitcoin.

Qui a créé le virus Petya ?

Lors de la création du virus Petya, un exploit ("trou") dans le système d'exploitation Windows appelé "EternalBlue" a été utilisé. Microsoft a publié un correctif qui "ferme" ce trou il y a quelques mois, cependant, tout le monde n'utilise pas une copie sous licence de Windows et n'installe pas toutes les mises à jour du système, n'est-ce pas ?)

Le créateur de "Petya" a su utiliser à bon escient la négligence des utilisateurs professionnels et privés et gagner de l'argent dessus. Son identité est encore inconnue (et il est peu probable qu'elle soit connue)

Comment le virus Petya se propage-t-il ?

Le virus Petya se propage le plus souvent sous le couvert de pièces jointes à des e-mails et dans des archives contenant des logiciels infectés piratés. Une pièce jointe peut contenir absolument n'importe quel fichier, y compris une photo ou un mp3 (cela semble être le cas à première vue). Après avoir exécuté le fichier, votre ordinateur redémarrera et le virus simulera une vérification du disque pour les erreurs CHKDSK, et à ce moment il modifiera l'enregistrement de démarrage de votre ordinateur (MBR). Après cela, vous verrez un crâne rouge sur votre écran d'ordinateur. En cliquant sur n'importe quel bouton, vous pouvez accéder au texte dans lequel il vous sera demandé de payer pour le décryptage de vos fichiers et de transférer le montant requis sur un portefeuille bitcoin.

Comment se protéger du virus Petya ?

• Le plus important et le plus fondamental - établissez une règle pour installer les mises à jour de votre système d'exploitation ! C'est extrêmement important. Faites-le maintenant, ne tardez pas.
• Portez une attention particulière à toutes les pièces jointes aux lettres, même si les lettres proviennent de personnes que vous connaissez. Pendant l'épidémie, il est préférable d'utiliser des sources alternatives de transmission de données.
• Activez l'option "Afficher les extensions de fichier" dans les paramètres du système d'exploitation - afin que vous puissiez toujours voir la véritable extension de fichier.
• Activez "Contrôle de compte d'utilisateur" dans les paramètres Windows.
• L'un des doit être installé pour éviter l'infection. Commencez par installer une mise à jour du système d'exploitation, puis installez un antivirus - et vous serez déjà beaucoup plus en sécurité qu'auparavant.
• Assurez-vous de faire des "sauvegardes" - enregistrez toutes les données importantes sur un disque dur externe ou sur le cloud. Ensuite, si le virus Petya pénètre dans votre PC et crypte toutes les données, il vous sera assez facile de formater votre disque dur et de réinstaller le système d'exploitation.
• Vérifiez toujours que vos bases de données antivirus sont à jour. Tous les bons antivirus surveillent les menaces et y répondent en temps opportun en mettant à jour les signatures des menaces.
• Installez l'utilitaire gratuit Kaspersky Anti-Ransomware. Il vous protégera des virus de cryptage. L'installation de ce logiciel ne vous dispense pas d'installer un antivirus.

Comment supprimer le virus Petya ?

Comment supprimer le virus Petya.A de votre disque dur ? C'est une question extrêmement intéressante. Le fait est que si le virus a déjà bloqué vos données, il n'y aura en fait rien à supprimer. Si vous ne prévoyez pas de payer des extorqueurs (ce que vous ne devriez pas faire) et que vous n'essayez pas de récupérer les données sur le disque à l'avenir, il vous suffit de formater le disque et de réinstaller le système d'exploitation. Après cela, il n'y aura plus aucune trace du virus.

Si vous soupçonnez la présence d'un fichier infecté sur votre disque, analysez votre disque avec l'un d'entre eux ou installez Kaspersky Anti-Virus et effectuez une analyse complète du système. Le développeur a assuré que sa base de données de signatures contient déjà des informations sur ce virus.

Décodeur Petya.A

Petya.A crypte vos données avec un algorithme très puissant. Il n'existe actuellement aucune solution pour décrypter les informations bloquées. De plus, vous ne devriez pas essayer d'accéder aux données à la maison.

Sans aucun doute, nous rêverions tous d'obtenir un décrypteur miraculeux (décrypteur) Petya.A, mais il n'y a tout simplement pas une telle solution. Un virus a frappé le monde il y a quelques mois, mais aucun remède n'a été trouvé pour décrypter les données qu'il a cryptées.

Par conséquent, si vous n'êtes pas encore victime du virus Petya, écoutez les conseils que j'ai donnés au début de l'article. Si vous perdez toujours le contrôle de vos données, vous disposez de plusieurs moyens.

• Verser de l'argent. Faire cela ne sert à rien ! Les experts ont déjà découvert que le créateur du virus ne restaure pas les données et ne peut pas les restaurer, compte tenu de la méthode de cryptage.
• Retirez le disque dur de votre appareil, placez-le soigneusement dans l'armoire et appuyez sur le décrypteur pour qu'il apparaisse. D'ailleurs, Kaspersky Lab travaille constamment dans ce sens. Les décodeurs disponibles sont sur le site Web No Ransom.
• Formatez le disque et installez le système d'exploitation. Moins - toutes les données seront perdues.

Petya.Un virus en Russie

En Russie et en Ukraine, plus de 80 entreprises ont été attaquées et infectées au moment de la rédaction de ce rapport, y compris des entreprises aussi importantes que Bashneft et Rosneft. L'infection de l'infrastructure de ces grandes entreprises témoigne de la gravité du virus Petya.A. Il ne fait aucun doute que le cheval de Troie ransomware continuera à se propager dans toute la Russie, vous devez donc veiller à la sécurité de vos données et suivre les conseils donnés dans l'article.

Petya.A et Android, iOS, Mac, Linux

De nombreux utilisateurs s'inquiètent de savoir si le virus Petya peut infecter leurs appareils fonctionnant sous Android et iOS. Je m'empresse de les rassurer - non, ce n'est pas possible. Il est conçu pour les utilisateurs de Windows uniquement. Il en va de même pour les fans de Linux et Mac - vous pouvez dormir paisiblement, rien ne vous menace.

Conclusion

Donc, aujourd'hui, nous avons discuté en détail du nouveau virus Petya.A. Nous avons compris ce qu'est ce cheval de Troie et comment il fonctionne, appris comment se protéger des infections et supprimer le virus, où trouver le décrypteur Petya. J'espère que l'article et mes conseils vous ont été utiles.

Virus Petya - demande de rançon pour le décryptage

Quelques heures après le début de l'attaque, DATARC a reçu le premier appel et nous avons analysé plusieurs serveurs concernés. Conclusion principale : oui probabilité non nulle de récupération des données lors d'une attaque par le virus Petya– un virus endommage souvent le système de fichiers, mais ne crypte pas les données.

À l'heure actuelle, les dommages analysés peuvent être divisés en catégories.

Récupération de données à 100 % possible

Il y a probablement des erreurs dans le virus - il n'exécute pas toujours son algorithme, n'a pas le temps de chiffrer les données et casse le chargeur de démarrage. Nous avons constaté les types de dommages suivants :

1. Données non cryptées, MBR corrompu
2. Données non chiffrées, chargeur de démarrage MBR + NTFS corrompu
3. Les données ne sont pas cryptées, le chargeur de démarrage MBR + NTFS + MFT est corrompu - le disque est détecté comme RAW

La récupération des données est possible, la perte est supérieure à 0 %

En cas de cryptage, certains fichiers peuvent rester intacts. Nous avons constaté les types de dommages suivants :

1. Seul le lecteur C est chiffré : - les autres lecteurs logiques restent en ordre
2. Tous les fichiers du lecteur C ne sont pas chiffrés :
3. Seule l'entrée MFT est cryptée, le contenu du fichier reste inchangé.

Le déchiffrement de l'ancienne version ne fonctionne pas

La version actuelle de Petya est (vraisemblablement) une continuation de l'attaque de 2016 (voir https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ et https://securelist.com/petya- le-deux-en-un-cheval de Troie/74609/). Pour l'ancienne version, une technique de sélection de clé de déchiffrement a été créée (voir https://github.com/leo-stone/hack-petya). Le virus de 2017 a été changé et l'ancienne méthode ne fonctionne pas.

Par exemple, dans l'ancienne version du virus, le MBR était enregistré dans le secteur 55 et « crypté » avec XOR 0x37. Dans la nouvelle version, le MBR est enregistré dans le secteur 34 et "crypté" avec XOR 0x07.

MBR chiffré :

MBR déchiffré :

Virus Petya - MBR après décryptage

Que faire si votre ordinateur est infecté