Rostelecom VS Petya

Российская телекоммуникационная компания Ростелеком, являющаяся одним из самых крупных поставщиков интернета на российском виртуальном рынке, должным образом встаёт на защиту своих клиентов от хакерских интернет атак и вредоносных вирусов.

И так, в конце июня 2017 года вирус Petya и вирус Mischa, а так же недавний троян Wannacry атаковали российские компании и государственные учреждения, на что Ростелеком дал достойный отпор действиям злоумышленников.

Чтобы было понятно о чём идёт речь, и что представляют из себя данные вирусные программы, расскажем о каждом подробней.

О вирусе Petya

Вирус «Петя» или как его еще называют Petya, троян, шифратор и даже вымогатель (ransomware), который хитро и беспощадно проникает внутрь вашего персонального компьютера и шифрует ваши личные данные и всю находящуюся на жёстком диске информацию, блокирует её и просит за это выкуп в размере 300 долларов США.

Новая его же модификация приобрела фамилию и теперь он Petya.A., а главный антивирусолог росинтернет пространства Касперский, и вовсе нарек злого виртуального паренька на компьютерный лад, NotPetya/ExPetr.

Как же работает этот интернет-мошенник в лице вируса Пети?

современные компьютерные средства

Троян атакует операционную систему на базе ОС Microsoft Windows и проникает на компьютер через электронную почту пользователей в спам письмах или непроверенные сомнительные файлы и архивы, которые загрузила жертва. Это могут быть различные вложения в письмах, mp3 файлы, фото, имеющие расширения документа вида «exe».

Скачав один из этих файлов и запустив его у себя на компьютере, он моментально поражает MFT данные (Master File Table) и в прямом смысле наводит шороха на вашем жёстком диске, после чего доводит компьютер до перегрузки и в этот момент перекодирует загрузку вашей системы. Но уже после этого, ваша операционная система не загрузится должным образом, а на экране вы увидите красный череп, как бы созданный из символов доллара $ в word файле, и нажав на любую клавишу на клавиатуре вы увидите информацию о выкупе и разблокировке вашего компьютера за 300$ USA.

Данный эквивалент суммы необходимо будет перевести в виртуальной валюте, а именно в биткойн.

Создатель вируса Petya

Разработчик вируса Петя использовал при создании его возможность пролазить через слабые незащищённые места OS Windows. Такой лазейкой стала дыра в системе или exploit под именем InternalBlue.

Корпорацией Microsoft в свои обновления добавила разработанный патч, который предотвращал атаку данным путём. Но учитывая, что многие пользователи используют не лицензионную ОС, а как известно новые продукты и обновления распространяются только на подлинные дистрибутивы установщика ОС, то вирус смог сделать своё дело.

Хакер, а скорее всего заказчик мог прийти к выводу о незащищённости частых и корпоративных пользователей и попытаться заработать на этом. Но во всяком случае имена и личности и того и другого не известны.

Что делать если вы заразились вирусом Petya

матрица

Если вирус Petya.A проник к вам на компьютер, то здесь мало,что уже можно поделаешь, потому что наполовину он практически своё дело сделал. Вторым же этапом вируса трояна является заполучение ваших денег, за то что бы вы смогли и дальше пользоваться свои компьютером и получить доступ к личной информации.

Но все дело в том, что не важно заплатите ли вы или нет, всё равно не сможете самостоятельно восстановить зашифрованные данные. Злоумышленники лишь получат то, что хотели и возвращать вам работоспособность вашего ПК не собираются.

Тем не менее если сделать ничего нельзя с компьютером, можно последовать некоторым рекомендациям относительно вируса Petya.A:

  • Во-первых не стоит платить мошенникам, результата не будет
  • Не пытайтесь сами устранить проблему, алгоритм шифрования сложный
  • Не стоит нести жёсткий диск на расшифровку специалистам по железу, зря потратите деньги (дешифратор еще не придумали)
  • Если информация настолько важна, просто извлеките дисковый накопитель из компьютера и оставьте до лучших времён, когда decryptor будет создан программистами и поставщиками антивирусных программ
  • Просто отформатируйте ваш жесткий диск и начните с чистого листа

Конечно последний метод достаточно «спартанский» и удалять годами накопленные личные данные жалко, но если подумать, то всё это приходящее и главное сделать первый шаг, а дальше прощеJ.

О вирусе Mischa

Вирус с данным именем «Миша» относится к вирусу «Петя», потому как вредоносный троян был создан в паре с ним и не спроста.

Во-первых, на компьютер жертвы попадает вирус Petya, который запрашивает у пользователя права администратора, но если даже вы подтвердите свои действия отказом, то активируется вирус Mischa.

В конечном итоге владелец компьютера всё равно подвергнется кибер-атаке «братьев по-разуму», а точнее его компьютер. Если же «Петя» получает права администратора, то он полностью шифрует главную таблицу файлов, что приводит к полному параличу вашей операционной системы. В противном случае, если вы отказываете в административных правах трояну Petya, то активируется второй вредоносный код программы Mischa, но в отличии от первого, он шифрует только определённые файлы и ему не нужен для этого статус администратора компьютера, он делает практически всё без спроса.

В отличии от Пети, который требует 300$, Миша берёт за свою работу больше 1,93 биткойна, которые эквивалентны 875$ USA.

Так что получается, если пользователь всё-таки открыл файл и даже отказал в правах вирусу Пети, он так или иначе лишится информации находящейся на компьютере.

О вирусе WannaCry

Вирус WannaCry, имеющий также и другие однокоренные имена, появился в интернет пространстве в январе 2017 года и разработан был специально для операционной системы Windows.

Сетевой червь-вымогатель шифрует данные пользователя компьютера и после работы над жёстким диском, появляется сообщение с требованием заплатить деньги, для того, чтобы откатить процесс шифрования.

С начала мая 2017 года деятельность вируса Wana Decryptor 2.0 он же WannaCry, приняло глобальные масштабы, который парализовал порядка 500 000 компьютеров, начиная от частных до государственного уровня, почти из 150 стран.

Если рассматривать вторжение вируса на компьютер пользователя, то сам процесс достаточно сложный. Вирус WannaCry, проникая в открытый порт TCP-портом 445, сканирует пространство жёсткого диска на предмет уязвимости EternalBlue для установки бэдкора, который запускает непосредственно сам вирус.

Попав на ваш компьютер и сгенерировавшись вирус WannaCry начинает шифровать пользовательские данные и создавать платформу для вымогания денег. Соответственно по окончанию процесса членовредительства, на экране компьютера появляется сообщение с требованием перечислить 300$ в биткоинах на определённый счёт. Данное требование должно выполниться в течение 3-х дней, иначе вымогаемая сумма удваивается, а по истечению недели все зашифрованные файлы будут уничтожены. Это как если вымогатели похитив жертву не получают деньги за её возвращение, они убивают просто бедалагу.

Особенности и меры по защите компьютера

лаборатория информационной безопасности

  • Всегда устанавливайте обновления и делайте update вашей ОС (Обновления выпускают не просто так!)
  • Используйте антивирус на своём компьютере и своевременно обновляйте его
  • Используйте backup, создавая точку востановления предыдущей версии или сохраняйте данные в облаке. Таким образом вы всегда сможете восстановить утраченные данные из резервной копии
  • Избегайте сомнительных файлов и не загружайте к себе на компьютер
  • По возможности не посещайте подозрительные сайты или сайты с непристойным и трэшовым контентом
  • Обходите стороной не знакомые контакты, которые хотят к вам добавиться через агенты, социальные сети и т.п.
  • Не проходите по всплывающим ссылкам, если не доверяете им. Вам это абсолютно не нужно
  • Активируйте «Контроль учётных записей пользователя» в настройках вашей системы
  • Включите в настройках «Показывать расширение файлов», если вы хоть немного в этом понимаете, вы обезопасите себя увидев подозрительный файл

Вот такие, на самом деле простые действия и правила поведения в интернете, помогут вам огородиться от внешней угрозы со стороны вирусов и троянов.

Как говориться ведите свои дела всегда в чистоте и порядке, и всё будет хорошо.

Лечением Касперским

лаборатория касперского

Лаборатория Касперского, занимающаяся разработкой компьютерных продуктов по защите персональных и мобильных компьютеров от разных модификаций вирусов и хакерских атак, предлагает одного из своих слуг под название Kaspersky Internet Security.

KIS является антивирусной программой и защищает пользователей от интернет мошенников и вымогателей.

Специально от атак Petya и Mischa была разработана защита, которая распознаёт эти вирусы, как Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail и не даёт им, каким бы то ни было способом всплыть на компьютере пользователя и предотвращает опасность атаки.

Помимо отражения атак, антивирус Касперского непрерывно мониторит состояние компьютера, где он установлен и повышенную активность в шифровании и тут же блокирует внешние действия. А также может создавать резервные копии файлов для последующего восстановления.

Ростелеком о защите клиентов

ростелеком

Хакерские атаки, вирусы и прочее, что связано с интернетом, прямым образом коснулись и пользователей интернет-провайдера Ростелеком.

Отразив недавние атаки вируса WannaCry, на российские компании и государственные учреждения напал вирус Petya.

Компания Ростелеком сумела оперативно вмешаться в распространение вируса и отразить мошеннические атаки на компьютеры своих пользователей. Конечно ущерб был, но провайдеру удалось минимизировать последствия от разрушительного действия вируса Petya.

Чем были привлекательны корпоративные сети, да тем, что вирус начал распространяться через «фишинговые» письма. Пользователю достаточно было открыть письмо, как вирус по цепной реакции расходился по сети от пользователя к пользователю, тем самым нанося ущерб массового характера.

Организация защиты своих абонентов в масштабах целой корпорации, дело дорогостоящее, и требует не только больших финансовых вложений, но и дальнейшего поддержания технических и технологических средств безопасности, а также грамотных специалистов в области кибер-защиты.

Компания Ростелеком, предоставляющая свои услуги по всей России, учла географический аспект в вопросе информационной безопасности и все трудности связанные с этим и внедрила управляемые сервисы ИБ (MSS), которые позволяют в короткие сроки быть защищенным от виртуальных атак и продолжать оставаться на плаву, чтобы не терпеть финансовые потери, своевременно и качественно предоставлять свои услуги интернетизации.

Также компания Ростелеком взяла на вооружение, тот факт что заражение происходит главным образом через почтовые вложения, и поэтому специально для этого запустила для своих пользователей новый проект по управлению информационной безопасности, который позволяет абонентам самостоятельно распознавать и удалять потенциально опасные «фишинговые» письма.

Комментарии

Ситуацию с атакой вирусов Petya, Mischa и Wanna Cry прокомментировали сотрудники компании Ростелеком следующим образом:

Станислав Барташевич, директор продуктового офиса «Информационная безопасность» Ростелеком: «Команда центра мониторинга и реагирования на инциденты безопасности «Ростелекома» непрерывно изучает оперативную информацию о новых кибер угрозах и индикаторах компрометации и незамедлительно реагирует, принимая оперативные меры с целью минимизации риска для защищаемого сегмента, проводит детальный анализ инцидента и предлагает дополнительные меры для адаптации контура защиты к новым угрозам».

Александр Обухов, директор продуктового офиса перспективных продуктов Ростелеком: «Еще при атаке WannaCry наши службы показали слаженную работу и достойно отразили атаку на периметр Национальной облачной платформы и инфраструктуру электронного правительства благодаря использованию актуальных средств защиты и высокой квалификации специалистов ИБ. Кроме того, для клиентов услуги «Виртуальный ЦОД» доступна возможность резервного копирования важных данных заказчиков, размещенных в облачной инфраструктуре, что позволяет восстановить практически все важные файлы из резервной копии даже в случае заражения локальной и облачной инфраструктур». 

 
comments powered by HyperComments
Максим
2017-07-29 11:20:39
Я точно бы не стал платить, за такую сумму проще новый ноут взять или жёсткий поменять. Ну серьёзно, что может быть такого, чтобы переживать из-за какого-то куска железа, тем более кажется, что деньги уйдут впустую, а вирус так и останется.