Quizás ya conozcas la amenaza de hacker registrada el 27 de junio de 2017 en los países de Rusia y Ucrania, que fueron sometidos a un ataque a gran escala similar a WannaCry. El virus bloquea las computadoras y exige un rescate en bitcoins por descifrar archivos. En total, más de 80 empresas de ambos países se vieron afectadas, incluidas las rusas Rosneft y Bashneft.

El virus ransomware, como el infame WannaCry, ha bloqueado todos los datos informáticos y exige que se transfiera a los delincuentes un rescate en bitcoins, equivalente a 300 dólares. Pero a diferencia de Wanna Cry, Petya no se molesta en encriptar archivos individuales - casi instantáneamente "quita" todos HDD enteramente.

El nombre correcto de este virus es Petya.A. El informe de ESET revela algunas de las características de Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya o NotPetya)

Según las estadísticas de todas las víctimas, el virus se propagó en correos electrónicos de phishing con archivos adjuntos infectados. Por lo general, una carta viene con una solicitud para abrir Documento de texto, pero como sabemos, la segunda extensión de archivo TXT.exe está oculto y la última extensión de archivo tiene prioridad. De forma predeterminada, el sistema operativo Windows no muestra las extensiones de archivo y se ven así:

En 8.1 en la ventana del explorador (Ver \ Opciones de carpeta \ Desmarque la casilla de verificación Ocultar extensiones para tipos de archivos registrados)

En 7 en la ventana del explorador (Alt \ Herramientas \ Opciones de carpeta \ Desmarque la casilla de verificación Ocultar extensiones para tipos de archivos registrados)

Y lo peor es que los usuarios ni siquiera se avergüenzan de que las cartas provengan de usuarios desconocidos y pidan abrir archivos incomprensibles.

Después de abrir el archivo, el usuario ve " pantalla azul de la muerte".

Después del reinicio, parece que se está iniciando el "Scan Disk", de hecho, el virus cifra los archivos.

A diferencia de otros ransomware, una vez que se lanza este virus, reinicia inmediatamente su computadora, y cuando se inicia nuevamente, aparece un mensaje en la pantalla: “¡NO APAGUE SU PC! SI DETIENE ESTE PROCESO, ¡PODRÍA DESTRUIR TODOS SUS DATOS! ¡ASEGÚRESE DE QUE SU COMPUTADORA ESTÉ CONECTADA AL CARGADOR! ”. Aunque esto puede parecer un error del sistema, de hecho, en este momento Petya realiza silenciosamente el cifrado en modo oculto... Si el usuario intenta reiniciar el sistema o dejar de cifrar archivos, aparece un esqueleto rojo parpadeante en la pantalla junto con el texto "¡PRESIONE CUALQUIER TECLA!". Finalmente, después de presionar la tecla, aparecerá una nueva ventana con la nota de rescate. En esta nota, se le pide a la víctima que pague 0.9 bitcoins, que son aproximadamente $ 400. Sin embargo, este es el precio de una sola computadora. Por lo tanto, para las empresas que tienen muchas computadoras, la cantidad puede ser de miles. Lo que también distingue a este ransomware es que te da una semana completa para pagar el rescate, en lugar de las habituales 12-72 horas que dan otros virus de esta categoría.

Además, los problemas con Petya no terminan ahí. Después de que este virus ingrese al sistema, intentará sobrescribir el inicio Archivos de Windows, o el llamado asistente de grabación de arranque, que es necesario para arrancar el sistema operativo. No podrá eliminar el virus Petya de su computadora si no restaura la configuración del registro maestro de arranque (MBR). Incluso si logra corregir esta configuración y eliminar el virus de su sistema, desafortunadamente, sus archivos permanecerán encriptados, porque la eliminación de un virus no descifra los archivos, sino que simplemente elimina los archivos infecciosos. Por supuesto, la eliminación de virus es esencial si desea seguir trabajando con su computadora.

Una vez en su computadora con Windows, Petya encripta MFT (Master File Table) casi instantáneamente. ¿De qué es responsable esta mesa?

Imagina que tu disco duro es la biblioteca más grande de todo el universo. Contiene miles de millones de libros. Entonces, ¿cómo encuentras el libro que quieres? Solo usando el catálogo de la biblioteca. Es este directorio el que Petya destruye. Por lo tanto, pierde cualquier oportunidad de encontrar cualquier "archivo" en su PC. Para ser más precisos, después de que Petya "funcione", el disco duro de su computadora se parecerá a una biblioteca después de un tornado, con trozos de libros volando por todos lados.

Por lo tanto, a diferencia de Wanna Cry, Petya.A no cifra archivos separados, dedicando una cantidad de tiempo impresionante a él, simplemente le quita todas las oportunidades para encontrarlos.

¿Quién creó el virus Petya?

Al crear el virus, Petya utilizó un exploit ("agujero") en el sistema operativo Windows llamado "EternalBlue". Microsoft ha lanzado un parche kb4012598(de los tutoriales de WannaCry publicados anteriormente, ya hablamos de esta actualización, que "cierra" este agujero.

El creador de "Petya" pudo utilizar sabiamente el descuido de los usuarios corporativos y privados y ganar dinero con ello. Su identidad aún se desconoce (y es poco probable que se conozca)

Cómo borrar Virus Petya?

Cómo eliminar el virus Petya.A de su disco duro? Ésta es una pregunta sumamente interesante. El hecho es que si el virus ya ha bloqueado sus datos, entonces, de hecho, no habrá nada que eliminar. Si no planea pagar el ransomware (lo que no debería hacer) y no intentará recuperar datos en el disco en el futuro, solo necesita formatear el disco y reinstalar el sistema operativo. Después de eso, no habrá rastro del virus.

Si sospecha que hay un archivo infectado en su disco, analice su disco con el antivirus ESET Nod 32 y realice un análisis completo del sistema. NOD 32 ha asegurado que su base de firmas ya contiene información sobre este virus.

Decodificador Petya.A

Petya.A cifra sus datos con un algoritmo de cifrado muy potente. Por el momento, no hay solución para descifrar la información bloqueada.

Sin duda, todos soñaríamos con obtener el descifrador milagroso Petya.A, pero simplemente no existe tal solución. El virus WannaCry llegó al mundo hace unos meses, pero no se ha encontrado una cura para descifrar los datos que cifró.

La única opción es si anteriormente tenía instantáneas de archivos.

Por lo tanto, si aún no se ha convertido en una víctima del virus Petya.A, actualice su sistema operativo, instale un antivirus de ESET NOD 32. Si aún perdió el control sobre sus datos, tiene varias formas.

Pagar dinero. ¡No tiene sentido hacer esto! Los expertos ya han descubierto que el creador del virus no restaura datos, ni puede recuperarlos, dado el método de cifrado.

Intente eliminar el virus de la computadora e intente restaurar sus archivos usando una instantánea (el virus no los infecta)

Retire el disco duro de su dispositivo, colóquelo con cuidado en el gabinete y espere a que aparezca el decodificador.

Formateando el disco e instalando el sistema operativo. Menos: se perderán todos los datos.

Petya.A y Android, iOS, Mac, Linux

Muchos usuarios están preocupados: "¿Puede el virus Petya infectar sus dispositivos bajo Androide y iOS. Me apresuro a calmarlos, no, no puede. Está destinado únicamente a usuarios de Windows. Lo mismo ocurre con los fanáticos de Linux y Mac: puedes dormir profundamente, nada te amenaza.

El virus ransomware Petya atacó computadoras en Ucrania, Rusia, Suecia, Holanda, Dinamarca y otros países. La aparición del virus acaba de registrarse en Asia: en India, el sistema de gestión del tráfico del puerto de contenedores más grande del país ha fallado. Sin embargo, Ucrania ha sufrido más: el aeropuerto de Kharkiv está completamente paralizado, se han restaurado las obras en el aeropuerto de Boryspil, pero el servidor principal aún no funciona. En total, cerca de 300 mil computadoras están bloqueadas, el usuario debe pagar $ 300 para desbloquear los datos. Hasta ahora, se han pagado alrededor de $ 5,000 de 20 usuarios a piratas informáticos, informa Next Web.

¿Quién es culpable?

Por la noche, el Departamento de Policía Cibernética de la Policía Nacional de Ucrania informó en su página de Facebook que el ataque a Ucrania se llevó a cabo a través del programa de información y gestión de documentos M.E.doc:

La policía dice que el ataque comenzó a las 10:30, hora de Moscú, después de que los desarrolladores de software lanzaron otra actualización. Al mismo tiempo, los autores de programas para automatizar el flujo de trabajo niegan categóricamente su participación y brindan argumentos detallados:

Posteriormente, en la página de la Cyberpolice, apareció un mensaje de que no acusan a la empresa “M.E.doc”, sino que solo indica que se han identificado hechos que deben ser revisados ​​en detalle. Sin embargo, todavía no se recomienda instalar una actualización:

¿Quién es Petya?

Expertos de Positive Technologies dijeron al sitio que se trata de un malware cuyo principio de funcionamiento se basa en cifrar los principales registro de arranque(MBR) el sector de arranque del disco y reemplazarlo por el suyo.

Incluso después de que la computadora haya sido infectada, el usuario tiene 1-2 horas para ejecutar el comando bootrec / fixMbr para restaurar el MBR y restaurar el sistema operativo, pero los archivos no se pueden descifrar.

Además, Petya puede omitir las actualizaciones de seguridad del sistema que se instalaron después del ataque WannaCry, razón por la cual es tan efectivo y se propaga como una avalancha a otras computadoras. Lucha por el control de todos los nodos del dominio, lo que equivale a un compromiso total de la infraestructura.

Gran Bretaña, EE. UU. Y Australia han acusado oficialmente a Rusia de difundir NotPetya

El 15 de febrero de 2018, el Ministerio de Relaciones Exteriores del Reino Unido emitió una declaración oficial acusando a Rusia de organizar un ciberataque utilizando el virus ransomware NotPetya.

Según las autoridades británicas, el ataque demostró un mayor desprecio por la soberanía de Ucrania y, como resultado de estas acciones imprudentes, el trabajo de muchas organizaciones en toda Europa se vio interrumpido, lo que provocó pérdidas multimillonarias.

El Ministerio señaló que la conclusión sobre la participación del gobierno ruso y el Kremlin en el ciberataque se basó en la conclusión del Centro Nacional de Ciberseguridad del Reino Unido (UK National Cybersecurity Centre). Seguridad cibernética Center), que "está casi completamente convencido de que el ejército ruso está detrás del ataque NotPetya". El comunicado también dijo que sus aliados no tolerarían la actividad cibernética maliciosa.

El Kremlin, que previamente ha negado en repetidas ocasiones cualquier participación de las autoridades rusas en los ataques de los piratas informáticos, calificó la declaración del Ministerio de Relaciones Exteriores británico como parte de una "campaña rusofóbica".

Monumento "Aquí yace el virus informático Petya, derrotado por gente el 27/06/2017"

En diciembre de 2017 se erigió un monumento al virus informático Petya cerca del edificio Skolkovo Technopark. Un monumento de dos metros de altura con la inscripción: "Aquí yace el virus informático Petya, derrotado por la gente el 27/06/2017". diseñado en forma de disco duro mordido, fue creado con el apoyo de INVITRO, entre otras empresas que sufrieron las consecuencias de un ciberataque masivo. Un robot llamado Nu, que trabaja en Phystech Park y (MIT), asistió a la ceremonia para pronunciar un discurso.

Ataque al gobierno de Sebastopol

Especialistas de la Dirección General de Informatización y Comunicaciones de Sebastopol han repelido con éxito el ataque de la red ransomware Petya en los servidores del gobierno regional. Denis Timofeev, jefe del departamento de informatización, anunció esto el 17 de julio de 2017 en una reunión del aparato del gobierno de Sebastopol.

Afirmó que el malware Petya no tuvo ningún efecto sobre los datos almacenados en las computadoras en agencias gubernamentales Sebastopol.

El enfoque en el uso de software libre se establece en el concepto de informatización de Sebastopol, aprobado en 2015. Señala que en la adquisición y desarrollo de software básico, así como software para sistemas de información para automatización, es recomendable analizar la posibilidad de utilizar productos gratuitos que puedan reducir costos presupuestarios y reducir la dependencia de proveedores y desarrolladores.

Anteriormente, a finales de junio, como parte de un ataque a gran escala contra la empresa médica "Invitro", también sufrió su sucursal ubicada en Sebastopol. Debido a la derrota de un virus de red informática, la sucursal suspendió temporalmente la emisión de los resultados de las pruebas hasta que se eliminen las causas.

"Invitro" anunció la suspensión de recibir pruebas por ciberataque

La empresa médica "Invitro" ha suspendido la recolección de biomaterial y la emisión de resultados de pruebas de pacientes debido a un ataque de piratas informáticos el 27 de junio. Así lo anunció a RBC Anton Bulanov, director de comunicaciones corporativas de la empresa.

Según el mensaje de la empresa, en un futuro próximo, “Invitro” entrará en funcionamiento normal. Los resultados de los estudios realizados después de este tiempo se entregarán a los pacientes después de la eliminación del fallo técnico. Actualmente laboratorio Sistema de informacion restaurado, el proceso de configuración está en curso. “Lamentamos la actual situación de fuerza mayor y agradecemos a nuestros clientes su comprensión”, concluyó en “Invitro”.

Según estos datos, el ataque Virus de computadora se han sometido a clínicas en Rusia, Bielorrusia y Kazajstán.

Ataque a Gazprom y otras compañías de petróleo y gas

El 29 de junio de 2017, se supo sobre un ciberataque global a los sistemas informáticos de Gazprom. Por lo tanto, otra empresa rusa ha sufrido el virus ransomware Petya.

Según la agencia de noticias Reuters, citando una fuente del gobierno ruso y una persona involucrada en la investigación del incidente, Gazprom sufrió la propagación del malware Petya, que atacó computadoras en un total de más de 60 países de todo el mundo.

Los interlocutores de la publicación no proporcionaron detalles sobre cuántos y qué sistemas estaban infectados en Gazprom, así como la cantidad de daño causado por los piratas informáticos. La compañía se negó a comentar sobre la solicitud de Reuters.

Mientras tanto, una fuente de alto rango de RBC en Gazprom le dijo a la publicación que las computadoras en la sede de la compañía estaban funcionando sin interrupción cuando comenzó el ataque masivo de piratas informáticos (27 de junio de 2017), y continúan dos días después. Dos fuentes más de RBC en Gazprom también aseguraron que todo está tranquilo en la empresa y que no hay virus.

En el sector del petróleo y el gas, el virus Petya afectó a Bashneft y Rosneft. Este último anunció el 28 de junio que la empresa operaba con normalidad y que “ciertos problemas” se estaban resolviendo de inmediato.

Bancos e industria

Se conoció sobre la infección de computadoras en Evraz, la división rusa de Royal Canin (produce uniformes para animales) y la división rusa de Mondelez (fabricante de chocolate Alpen Gold y Milka).

Según el Ministerio del Interior de Ucrania, el hombre publicó un video en sitios para compartir archivos y en redes sociales. Descripción detallada el proceso de lanzamiento de ransomware en computadoras. En los comentarios al video, el hombre publicó un enlace a su página en red social, en el que descargué el malware. Durante las búsquedas en el apartamento del "hacker", los agentes de la ley incautaron tecnologia computacional utilizado para distribuir NotPetya. La policía también encontró archivos con malware, tras el análisis de los cuales se confirmó que se parece al ransomware NotPetya. Según lo establecido por los oficiales de la policía cibernética, el programa de ransomware, cuyo enlace fue publicado por el residente de Nikopol, fue descargado por los usuarios de la red social 400 veces.

Entre los que descargaron NotPetya, los agentes del orden identificaron empresas que infectaron deliberadamente sus sistemas con ransomware para ocultar la actividad delictiva y evadir las sanciones del gobierno. Cabe señalar que la policía no asocia las actividades del hombre con los ataques de piratas informáticos del 27 de junio de este año, es decir, no hay duda de que los autores de NotPetya estén involucrados. Los actos que se le imputan se refieren únicamente a acciones cometidas en julio de este año, tras una ola de ciberataques a gran escala.

Se inició una causa penal contra el hombre en virtud de la Parte 1 del art. 361 (interferencia no autorizada con computadoras) del Código Penal de Ucrania. Nikopolchanin enfrenta hasta 3 años de prisión.

Distribución en el mundo

La propagación del virus ransomware Petya se registró en España, Alemania, Lituania, China e India. Por ejemplo, debido al malware en India, la tecnología de control de tráfico del puerto de contenedores de Jawaharlal Nehru, operado por A.P. Moller-Maersk, dejó de reconocer la propiedad de la carga.

El ciberataque fue denunciado por el grupo publicitario británico WPP, la oficina española de uno de los bufetes de abogados más grandes del mundo, DLA Piper, y el gigante de la alimentación Mondelez. El fabricante francés de materiales de construcción Cie también se encontraba entre las víctimas. de Saint-Gobain y la empresa farmacéutica Merck & Co.

Merck

El gigante farmacéutico estadounidense Merck, gravemente afectado por el ataque de ransomware NotPetya de junio, sigue sin poder restaurar todos los sistemas y volver al funcionamiento normal. Esto se informó en el informe 8-K de la compañía presentado a la Comisión de Bolsa y Valores de EE. UU. (SEC) a fines de julio de 2017. Más detalles.

Moller-Maersk y Rosneft

El 3 de julio de 2017, se supo que el gigante naviero danés Moller-Maersk y Rosneft restauraron los sistemas de TI infectados con el virus ransomware Petya solo casi una semana después del ataque que tuvo lugar el 27 de junio.

La compañía naviera Maersk, que representa uno de cada siete contenedores de carga enviados en todo el mundo, también agregó que las 1.500 aplicaciones afectadas por el ciberataque volverán a funcionar normalmente a más tardar el 9 de julio de 2017.

La mayor parte del daño se produjo en los sistemas de TI de APM Terminals de Maersk, que opera decenas de puertos de carga y terminales de contenedores en más de 40 países. Más de 100 mil contenedores de carga por día pasan por los puertos de APM Terminals, cuyo trabajo quedó completamente paralizado por la propagación del virus. La terminal Maasvlakte II en Rotterdam reanudó las entregas el 3 de julio.

El 16 de agosto de 2017 A.P. Moller-Maersk nombró la cantidad aproximada de daño de un ciberataque con el virus Petya, cuya infección, como se señaló en la compañía europea, pasó por el programa ucraniano. Según cálculos preliminares de Maersk, las pérdidas financieras por la operación del ransomware Petya en el segundo trimestre de 2017 ascendieron a entre $ 200 y $ 300 millones.

Mientras tanto, Rosneft tardó casi una semana en restaurar los sistemas informáticos de un ataque de piratas informáticos, como informó el 3 de julio el servicio de prensa de la compañía a Interfax:

Unos días antes, Rosneft enfatizó que aún no se ha comprometido a evaluar las consecuencias del ciberataque, pero la producción no ha sufrido.

Cómo actúa Petya

De hecho, las víctimas del virus no pueden desbloquear sus archivos después de la infección. El hecho es que sus creadores no previeron tal posibilidad en absoluto. Es decir, un disco cifrado no se puede descifrar a priori. Al identificador de malware le falta información necesaria para el descifrado.

Inicialmente, los expertos clasificaron el virus que infectó alrededor de dos mil computadoras en Rusia, Ucrania, Polonia, Italia, Alemania, Francia y otros países, dentro de la ya conocida familia de ransomware Petya. Sin embargo, resultó que estamos hablando de una nueva familia de malware. Kaspersky Lab ha bautizado al nuevo ransomware ExPetr.

Como pelear

Combatir las amenazas cibernéticas requiere combinar los esfuerzos de los bancos, las empresas de TI y el gobierno

Método de recuperación de datos de Positive Technologies

El 7 de julio de 2017, Dmitry Sklyarov, experto de Positive Technologies, presentó un método para recuperar datos cifrados por el virus NotPetya. Según el experto, el método es aplicable si el virus NotPetya tenía privilegios administrativos y encriptaba todo el disco.

La posibilidad de recuperación de datos está asociada a errores en la implementación del algoritmo de cifrado Salsa20, realizados por los propios atacantes. La eficacia del método se ha probado tanto en un medio de prueba como en uno de los unidades de disco duro una gran empresa que se encontraba entre las víctimas de la epidemia.

Las empresas de recuperación de datos y los ISV son libres de utilizar y automatizar el script de descifrado proporcionado.

Los resultados de la investigación ya han confirmado a la policía cibernética de Ucrania. Juscutum tiene la intención de utilizar los hallazgos de la investigación como evidencia clave en el futuro proceso contra Intellect-Service.

El proceso será de carácter civil. Los organismos encargados de hacer cumplir la ley de Ucrania están llevando a cabo una investigación independiente. Sus representantes han anunciado previamente la posibilidad de iniciar un caso contra los empleados de Intellect-Service.

El propio M.E.Doc declaró que lo que estaba sucediendo era un intento de allanamiento de la empresa. El fabricante del único software de contabilidad popular de Ucrania cree que la búsqueda en la empresa, llevada a cabo por la ciberpolicía ucraniana, se convirtió en parte de la implementación de este plan.

Vector de infección inicial con el cifrador Petya

El 17 de mayo, se lanzó una actualización de M.E.Doc que no contiene el módulo de puerta trasera malicioso. Esto probablemente explica el número relativamente bajo de infecciones de XData, cree la compañía. Los atacantes no esperaban que la actualización se publicara el 17 de mayo y lanzaron el cifrador el 18 de mayo, cuando la mayoría de los usuarios ya habían instalado la actualización segura.

La puerta trasera permite descargar y ejecutar otro malware en el sistema infectado; así es como se llevó a cabo la infección inicial con los cifradores Petya y XData. Además, el programa recopila la configuración del servidor proxy y el correo electrónico, incluidos los inicios de sesión y las contraseñas de la aplicación M.E.Doc, así como los códigos de empresa según EDRPOU (Registro Estatal Unificado de Empresas y Organizaciones de Ucrania), que permite identificar a las víctimas.

"Tenemos una serie de preguntas que responder", dijo Anton Cherepanov, analista de virus senior de Eset. - ¿Cuánto tiempo se ha utilizado la puerta trasera? ¿Qué comandos y malware además de Petya y XData se enviaron a través de este canal? ¿Qué otras infraestructuras se han visto comprometidas, pero aún no han sido utilizadas por el grupo cibernético detrás de este ataque? "

Basándose en un conjunto de señales, que incluyen infraestructura, herramientas maliciosas, esquemas y objetivos de los ataques, los expertos de Eset han establecido una conexión entre la epidemia Diskcoder.C (Petya) y el grupo cibernético Telebots. Aún no ha sido posible determinar de manera confiable quién está detrás de las actividades de este grupo.

Hoy, el virus ransomware atacó a muchas computadoras en los sectores público, comercial y privado de Ucrania.

Un ataque de piratas informáticos sin precedentes destruyó muchas computadoras y servidores en agencias gubernamentales y organizaciones comerciales en todo el país.

En la actualidad, un ciberataque a gran escala y cuidadosamente planificado ha desactivado la infraestructura crítica de muchas empresas y empresas estatales. Esto fue informado por el Servicio de Seguridad (SBU).

A partir de la hora del almuerzo, los informes de infecciones informáticas en los sectores público y privado comenzaron a aparecer como una bola de nieve en Internet. Representantes de agencias gubernamentales anunciaron ataques de piratas informáticos a su infraestructura de TI.

Según la SBU, la infección se debió principalmente a la apertura de archivos de Word y PDF que los ciberdelincuentes enviaban a través de Email... Petya.A ransomware aprovechó una vulnerabilidad de red en Sistema operativo Windows. Para desbloquear datos cifrados, los ciberdelincuentes exigieron el pago en bitcoins por un monto de $ 300.

El secretario del Consejo de Seguridad y Defensa Nacional, Alexander Turchinov, dijo que los organismos estatales que estaban incluidos en el circuito protegido, un nodo especial de Internet, no sufrieron daños. Al parecer, el Gabinete de Ministros no implementó adecuadamente las recomendaciones del Centro Nacional de Coordinación de Ciberseguridad porque las computadoras del gobierno fueron afectadas por Petya.A. El Ministerio de Finanzas, ChNPP, Ukrenergo, Ukrposhta, Novaya Pochta y varios bancos no pudieron resistir el ataque de hoy.

Durante algún tiempo, las páginas de Internet de la SBU, la policía cibernética y el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSISZ) ni siquiera se abrieron.

Hasta el martes 27 de junio por la noche, ninguna de las agencias encargadas de hacer cumplir la ley encargadas de contrarrestar los ataques cibernéticos ha revelado de dónde vino Petya.A o quién está detrás. La SBU, la Cyberpolice (cuyo sitio web no funcionó durante todo un día) y la SSSSZI mantuvieron un silencio olímpico sobre el alcance del daño causado por el virus ransomware.

El martes 27 de junio, empresas ucranianas y rusas informaron de un brote masivo de virus: las computadoras de las empresas mostraban un mensaje de rescate. descubrió quiénes se vieron nuevamente afectados por los piratas informáticos y cómo protegerse del robo de datos importantes.

Petya, ya es suficiente

El sector energético fue el primero en ser atacado: las empresas ucranianas Ukrenergo y Kyivenergo se quejaron del virus. Los atacantes paralizaron sus sistemas informáticos, pero esto no afectó la estabilidad de las centrales eléctricas.

Los ucranianos comenzaron a publicar las consecuencias de la infección en la red: a juzgar por las numerosas imágenes, las computadoras fueron atacadas por un virus ransomware. En la pantalla de los dispositivos afectados, apareció un mensaje que indicaba que todos los datos estaban encriptados y que los propietarios de los dispositivos tenían que pagar un rescate de $ 300 en bitcoins. Al mismo tiempo, los piratas informáticos no dijeron qué pasaría con la información en caso de inactividad, y ni siquiera establecieron un temporizador de cuenta regresiva hasta que se destruyeron los datos, como fue el caso del ataque del virus WannaCry.

El Banco Nacional de Ucrania (NBU) informó que el trabajo de varios bancos se paralizó parcialmente debido al virus. Según informes de los medios de comunicación ucranianos, el ataque afectó a las oficinas de Oschadbank, Ukrsotsbank, Ukrgasbank y PrivatBank.

Infectado Red de computadoras Ukrtelecom, aeropuerto de Boryspil, Ukrposhta, Nuevo correo"," Kievvodokanal "y el metro de Kiev. Además, el virus afectó a los operadores móviles ucranianos: Kyivstar, Vodafone y Lifecell.

Posteriormente, los medios ucranianos aclararon que se trataba del malware Petya.A. Se distribuye de acuerdo con el esquema habitual para los piratas informáticos: los correos electrónicos de phishing de los maniquíes se envían a las víctimas con una solicitud para abrir el enlace adjunto. Después de eso, el virus ingresa a la computadora, encripta los archivos y exige un rescate por su desencriptación.

Los piratas informáticos indicaron el número de su billetera bitcoin a la que se debe transferir el dinero. A juzgar por la información sobre las transacciones, las víctimas ya han transferido 1.2 bitcoins (más de 168 mil rublos).

Según expertos en seguridad de información de la empresa Group-IB, más de 80 empresas se vieron afectadas como consecuencia del ataque. El jefe de su laboratorio forense señaló que el virus no está relacionado con WannaCry. Para solucionar el problema, recomendó cerrar los puertos TCP 1024-1035, 135 y 445.

Quien es culpable

Se apresuró a sugerir que el ataque se organizó desde el territorio de Rusia o Donbass, pero no proporcionó ninguna prueba. Ministro de Infraestructura de Ucrania había visto una pista en la palabra "virus" y escribió en su Facebook que "no es casualidad que termine en RUS", proporcionando su suposición con un emoticón guiñando un ojo.

Mientras tanto, afirma que el ataque no tiene nada que ver con el "malware" existente conocido como Petya y Mischa. Los funcionarios de seguridad afirman que la nueva ola ha afectado no solo a las empresas ucranianas y rusas, sino también a empresas de otros países.

Sin embargo, la interfaz del "malware" actual se asemeja al conocido virus Petya, que se propagó a través de enlaces de phishing hace unos años. A finales de diciembre, el hacker desconocido responsable de la creación del ransomware Petya y Mischa comenzó a enviar correos electrónicos infectados con un virus incrustado llamado GoldenEye, que era idéntico a Versión anterior Secuestro de datos.

El adjunto a una carta regular, que a menudo recibía el departamento de personal, contenía información sobre el candidato ficticio. En uno de los archivos fue posible encontrar un resumen y, en el siguiente, un instalador de virus. Entonces, los principales objetivos del atacante eran empresas en Alemania. Más de 160 empleados de la empresa alemana cayeron en la trampa por día.

El hacker no pudo ser identificado, pero es obvio que es fanático de Bond. Programas Petya y Mischa son los nombres de los satélites rusos Petya y Misha de la película Golden Eye, que en la historia eran armas electromagnéticas.

La versión original de Petya comenzó a distribuirse activamente en abril de 2016. Se disfrazó hábilmente en las computadoras y se hizo pasar por programas legales, solicitando derechos de administrador extendidos. Después de la activación, el programa se comportó de manera extremadamente agresiva: estableció un plazo estricto para pagar el rescate, exigiendo 1.3 bitcoins, y una vez vencido el período duplicó la compensación monetaria.

Es cierto, entonces uno de los usuarios de Twitter encontró rápidamente debilidades ransomware y creó un programa simple que en siete segundos generó una clave que le permite desbloquear la computadora y descifrar todos los datos sin ninguna consecuencia.

No es la primera vez

A mediados de mayo, las computadoras de todo el mundo fueron atacadas por un virus ransomware similar, WannaCrypt0r 2.0, también conocido como WannaCry. En tan solo unas horas, paralizó el trabajo de cientos de miles de Dispositivos Windows en más de 70 países. Entre las víctimas se encontraban agencias de aplicación de la ley rusas, bancos y operadores móviles... Una vez en la computadora de la víctima, el virus cifró el disco duro y exigió que los atacantes enviaran $ 300 en bitcoins. Se dieron tres días para la reflexión, luego de lo cual se duplicó la cantidad, y una semana después los archivos se encriptaron para siempre.

Sin embargo, las víctimas no tenían prisa por transferir el rescate y los creadores del "malware"