L'épidémie du virus du crypter a commencé. Il n'y a pas d'opinion sans ambiguïté sur l'origine et la nature des logiciels malveillants. Ils notent que cela ressemble au virus Petya, connu depuis le début de l'année dernière et à Tom, le déchiffrement était déjà prêt. Toutefois, pour distribuer une nouvelle modification, elle s'appelle NONTEYETY, Exyba, PETYA.A - utilise des vulnérabilités "fraîches". Y compris celui qui a pu éclairer sur les ordinateurs de Wannacry.
Le nouveau "Petya" tombe sur l'ordinateur, crypte les fichiers, essayant de briser les machines adjacentes, après quoi il redémarre le système. Pendant le démarrage, il imite le fonctionnement de l'utilitaire de chèque disque durEt puis révèle les cartes: les fichiers sont cryptés, j'ai besoin d'une rançon. L'argent est demandé à 300 dollars, mais nécessairement dans des bitcoins. Puisque Bitcoin vous permet de voir toutes les opérations et équilibrer, en sachant que l'adresse du portefeuille, nous avons découvert que le premier jour, l'extorqueur d'attaque a reçu environ 10 000 dollars.
Informations sur le portefeuille Bitcoin de l'extorsionniste (au moment de la publication)
Image typique dans de nombreux bureaux de Russie hier
Comme des infectes de Petya
Il y a deux étapes complètement différentes: entrer dans l'intérieur d'un réseau et d'une distribution.
De sorte que Petya ait eu un ordinateur dans le réseau de l'organisation, il est simplement envoyé par e-mail. Ça arrive tellement. Un employé reçoit une lettre avec un document de bureau. Pour mot d'ouverture. (ou Excel, ou une autre application de l'emballage) avertit l'utilisateur que le document contient un pointeur à fichier externe.. Si cet avertissement est ignoré, le virus sera démarré et démarré. Et si le bureau MS n'a pas été mis à jour sur l'ordinateur pendant une longue période, l'avertissement n'apparaîtra même pas.
Après cela, la deuxième vie de Petit commence. Cryer des fichiers et écraser la zone amorçable du disque dur, il tente d'accéder à d'autres ordinateurs du même réseau. Pour cela, il a deux méthodes. La première est une vulnérabilité dans le service réseau SMBV1. Elle est responsable de "l'environnement de réseau", mais ce dernier numéro de version 1 n'est pas utilisé pendant une longue période. Dans le même temps, il est activé par défaut même dans le moderne versions Windows. Cette vulnérabilité est devenue le domaine public en mars, lorsque son code d'exploitation figurait parmi les fuites de la NSA, et le virus de WannaCry l'utilisait, a frappé des milliers d'ordinateurs en mai. Après cette épidémie, seuls les paresseux ou audacieux n'ont pas installé Patchwork pour Windows.
Mais il y a une seconde façon. "Petya", s'il est géré par l'utilisateur avec des droits d'administrateur, reçoit des informations sur tout comptes Sur un ordinateur, y compris les réseaux de domaine utilisés dans cette organisation. Armé de telles informations, le virus peut accéder à d'autres ordinateurs sur le réseau et les infecter.
Que faire si j'ai été infecté
Premièrement, en aucun cas, ne traduisez pas l'argent au portefeuille Bitcoin. Le hébergement a déjà bloqué boites aux lettresLorsque, selon les instructions du virus, la victime devrait envoyer des preuves de paiement. Même si les auteurs de logiciels malveillants allaient garder le mot et recevoir de l'argent pour émettre les clés de déverrouillage, ils ne pourraient plus le faire.
Deuxièmement, acceptez comme une mesure qui, très probablement, vous ne pourrez pas déchiffrer les données sur cet ordinateur. Les spécialistes de la sécurité de l'information conseillent simplement formater le disque dur et démarrez la récupération des fichiers à partir de sauvegardes.
Que faire si pas encore infecté
Créer dans le répertoire C: \\ Windows Dossier avec nom perfc. (Sans expansion, mais il y a des informations que le nom convient perfc.dat.) Et dans les propriétés du fichier, cochez la case "Lecture seule". Le virus vérifie la présence de ce fichier et s'il le voit, il croit que l'ordinateur est déjà "au travail".
Effectuez régulièrement des sauvegardes de vos données sur le transporteur externe. Ça peut être juste disque externe (Mais il ne doit pas être constamment connecté), ou un service réseau qui ne donne pas accès direct aux fichiers de copie, ni nuage - à nouveau avec la capacité de retourner à versions précédentes des dossiers.
Les programmes antivirus se présentent sur un ordinateur presque tous les utilisateurs, mais parfois un chevaux de Troie ou un virus apparaît, ce qui peut contourner le plus meilleure défense et infectez votre appareil et ce qui est pire - chiffrer vos données. Cette fois, le virus était le codeur Troyan "Petya" ou, comme on l'appelle aussi, "Petya". Paces de distribution Cette menace est très impressionnante: dans quelques jours, il pourrait "visiter la Russie, l'Ukraine, l'Israël, l'Australie, les États-Unis, tous les grands pays européens et non seulement. Fondamentalement, il a frappé des utilisateurs d'entreprises (aéroports, stations d'énergie, industries touristiques), mais ont été blessées et ordinaires. Sur son échelle et ses méthodes d'impact, il est extrêmement similaire au sensationnel récemment.
Vous devez sans aucun doute protéger votre ordinateur de manière à ne pas devenir victime d'un nouvel extorsionniste de Troie «Peter». Dans cet article, je vais vous dire que c'est pour le virus "Petya", car il s'applique à la manière de protéger contre cette menace. De plus, nous aborderons les problèmes de supprimer des informations sur les chevaux de Troie et de déchiffrement.
Quel est le virus "petya"?
Pour un début, nous devrions comprendre ce que Petya est. Petya Virus est un logiciel malveillant qui est un type de Trojan "ransomware" (extorsionniste). Ces virus sont conçus pour blouser les propriétaires de dispositifs infectés afin de recevoir une rédemption d'eux pour des données cryptées. Contrairement à Wanna Cry, Petya ne s'embête pas avec le cryptage de fichiers individuels - il "sélectionne presque instantanément" vous avez le disque dur entier.
Le nom correct du nouveau virus est Petya.A. De plus, Kaspersky l'appelle NotPetya / Expetr.
Description du virus "Petya"
Après avoir entré votre ordinateur en cours d'exécution systèmes Windows, Petya pratiquement instantanément crypté instantanément Mft. (Table de fichier maître - Table de fichier Home). À quoi répond cette table?
Imaginez que votre disque dur est la plus grande bibliothèque de l'univers entier. Il contient des milliards de livres. Alors, comment trouver le bon livre? Seulement à l'aide du répertoire de la bibliothèque. C'est ce catalogue qui détruit Petya. Ainsi, vous perdez toute l'occasion de trouver n'importe quel "fichier" sur votre PC. Pour être encore plus précis, alors après "travail" Petit, un disque dur de votre ordinateur rappellera à la bibliothèque après une tornade, avec des restes de livres volant partout.
Ainsi, contrairement à Wanna Cry, que j'ai mentionné au début de l'article, Petya.A ne chiffre pas fichiers séparésDépenses de ce temps impressionnant - il vous choisit tout simplement de les trouver.
Après toutes ses manipulations, il nécessite des utilisateurs de rançon - 300 dollars américains, qui doivent être transférés sur le compte Bitcoin.
Qui a créé le virus PETYA?
Lors de la création d'un virus PETYA, un exploit ("trou") sous Windows appelé "EternalBlue" a été impliqué dans Windows appelé "EternalBlue". Microsoft a publié un patch qui "ferme" ce trou il y a quelques mois, cependant, ne jouit pas encore de licence copie de Windows et installe toutes les mises à jour du système, car c'est vrai?)
Le créateur de Petit a pu utiliser la négligence des entreprises et des utilisateurs privés et gagner dessus. Sa personnalité est encore inconnue (et elle sera difficilement connue)
Comment s'appliquent le virus Petya?
Le virus Petya s'applique le plus souvent sous la relief des investissements courriels Et dans les archives avec pirate infectée par. Dans la pièce jointe, il peut y avoir absolument n'importe quel fichier, y compris la photo ou le MP3 (semble-t-il à première vue). Après avoir exécuté le fichier, votre ordinateur redémarre et le virus symbolise le disque. erreurs ChkdskEt à ce moment, sera modifié par l'enregistrement de démarrage de votre ordinateur (MBR). Après cela, vous verrez un crâne rouge sur l'écran de votre ordinateur. En cliquant sur n'importe quel bouton, vous pouvez accéder au texte dans lequel vous serez proposé de payer pour le déchiffrement de vos fichiers et traduisez le montant requis sur le portefeuille Bitcoin.
Comment se protéger de Petya Virus?
- Plus important encore et la principale chose - prenez la règle pour installer des mises à jour de votre système d'exploitation! Ceci est incroyablement important. Faites-le maintenant, ne redras pas.
- Profitez de l'attention sur tous les investissements attachés aux lettres, même si des lettres de personnes familières. Au moment de l'épidémie, il est préférable d'utiliser des sources de données alternatives.
- Activez l'option "Afficher les extensions de fichier" dans les paramètres du système d'exploitation - vous pouvez donc toujours voir la véritable extension des fichiers.
- Activez le «contrôle de compte d'utilisateur» dans les paramètres Windows.
- Il est nécessaire d'installer l'un des pour éviter une infection. Commencez par installer la mise à jour du système d'exploitation, puis installez l'antivirus - et vous serez déjà beaucoup plus de sécurité qu'auparavant.
- Assurez-vous de faire des "sauvegardes" - enregistrer toutes les données importantes sur plein d'extérieur Disque ou nuage. Ensuite, si le virus PETYA pénètre dans votre PC et chiffre toutes les données - il vous sera facile de formater votre mise en forme de disque dur et installer le système d'exploitation mis à jour.
- Vérifiez toujours la pertinence de vos bases de données antivirus antivirus. Tout bons antivirus Graphique sur les menaces et réagir à eux de manière opportune, mettre à jour les signatures de la menace.
- Installer utilité gratuite Kaspersky Anti-Ransomware. Elle vous protégera des virus de codeurs. L'installation de ce logiciel ne vous empêche pas de la nécessité d'installer l'antivirus.
Comment supprimer Petya Virus?
Comment supprimer Petya.A Virus de votre disque dur? C'est une question extrêmement intéressante. Le fait est que si le virus a déjà bloqué vos données, ce sera, en fait, rien. Si vous ne prévoyez pas de payer des extorsions (ce qui ne vaut pas la peine d'être fait) et que vous n'essaierez pas de restaurer des données sur le disque à l'avenir, il suffit de créer un formatage de disque et de réinstaller le système d'exploitation. Après cela, il n'y aura pas de trace du virus.
Si vous soupçonnez qu'un fichier infecté est présent sur votre disque - Scannez votre disque ou installer Kaspersky Anti-Virus et effectuez une analyse complète du système. Le développeur a assuré que dans sa base de données de signature, il existe déjà des informations sur ce virus.
Decifranger Peya.a.
Petya.A crypte vos données par un algorithme très résistant. Pour le moment, il n'y a pas de solution pour déchiffrer les informations verrouillées. Surtout, il faut essayer d'accéder aux données à la maison.
Sans aucun doute, nous aurions tous rêvé d'avoir un déchiffreur miraculeux (déchiffreur) Petya.A, mais il n'y a tout simplement pas de solution de ce type. Le virus a frappé le monde il y a quelques mois, mais le médicament pour décrypter les données qu'il cryptées et non trouvées.
Par conséquent, si vous n'êtes pas encore devenu victime de Petya Virus - écoutez les conseils que j'ai donnés au début de l'article. Si vous avez toujours perdu le contrôle sur vos données - alors vous avez plusieurs façons.
- Verser de l'argent. Faites cela sans signification!Les experts ont déjà découvert que ces virus créateurs ne se restaurent pas et ne peuvent pas les restaurer, étant donné la technique de cryptage.
- Tirez sur un disque dur de votre appareil, mettez-le doucement dans le placard et récoltez l'apparence du décodeur. À propos, Kaspersky Lab travaille constamment dans cette direction. Les décodeurs disponibles sont sur le site Web Aucun Ransom.
- Formatage et installation du système d'exploitation. Moins - toutes les données seront perdues.
Petya.A Virus à Rossi
En Russie et en Ukraine, plus de 80 entreprises ont été attaquées et infectées au moment de la rédaction de l'article, y compris de "BashNeft" et de Rosneft. L'infection d'infrastructures de telles grandes entreprises parle de la gravité du virus Petya.A. Il ne fait aucun doute que l'extorqueur de Trojan continuera de se répandre par le territoire de la Russie. Vous devez donc vous occuper de la sécurité de vos données et suivez les conseils fournis dans l'article.
Petya.a et Android, iOS, Mac, Linux
Beaucoup d'utilisateurs s'inquiètent de - "Le virus PETYA peut-il infecter leurs appareils sous gestion Android et ios. Sensation de les calmer - Non, ne peut pas. Il est uniquement conçu pour les utilisateurs Windows. Il en va de même pour les fans de Linux et Mac - vous pouvez bien dormir, rien ne vous menace.
Conclusion
Donc, aujourd'hui, nous avons discuté en détail un nouveau virus Petya.A. Nous avons compris ce que le Troyan est et comment cela fonctionne, j'ai appris à vous protéger de l'infection et à éliminer le virus où prendre un déchiffreur. Petya. J'espère que l'article et mes conseils étaient utiles pour vous.
À la suite de la campagne de conclusion de la campagne de virus de Wannacry, qui a été enregistrée en mai de cette année, le 27 juin, plus de 80 entreprises de la Russie et de l'Ukraine sont devenues victimes d'une nouvelle attaque utilisant Petya Cryptor. Et cette campagne n'était pas du tout liée à Wannacry. Experts Les technologies positives ont présenté une analyse détaillée des nouveaux logiciels malveillants et ont donné des recommandations à la combattre.
Les victimes de l'extorqueur sont déjà devenues des sociétés ukrainiennes, russes et internationales, notamment le nouveau courrier, Zaporozhelenergo, Dneprönergo, Oschadbank, Mondelēz International, Tesa, Nivea, Mars, Opérateurs de LifeCell, Ukrtelecom, Kyivstar et de nombreuses autres organisations. À Kiev, ils ont été infectés par certains guichets automatiques et terminaux en espèces dans les magasins. C'est en Ukraine que les premières attaques ont été enregistrées.
L'analyse d'un échantillon éteint effectué par nos experts a montré que le principe de fonctionnement de Petya est basé sur le cryptage principal enregistrement de démarrage (MBR) le secteur de démarrage du disque et le remplacer par elle-même. Cette entrée est le premier secteur sur disque durIl est situé dans une table de partition et un programme de bootloader qui lit les informations de ce tableau auquel le système sera chargé de cette partition. La source MBR est enregistrée dans le secteur du disque 0x22-OHM et est crypté à l'aide d'une opération PAWIC XOR de 0x07.
Après avoir démarré le fichier malveillant, une tâche est créée pour redémarrer l'ordinateur, reporté pendant 1 à 2 heures, à ce moment-là, vous pouvez avoir le temps de démarrer. Équipe bootrec / fixmbr Pour restaurer le MBR et restaurer la fonctionnalité du système d'exploitation. Ainsi, exécutez le système même après que cela soit compromis, cependant, il ne pourra pas déchiffrer des fichiers. Pour chaque disque, la clé AES est générée, qui existe en mémoire jusqu'à ce que le cryptage soit terminé. Il est crypté par touche ouverte RSA et supprime. La récupération de contenu Une fois l'achèvement nécessite une clé fermée, il est donc impossible de restaurer les données sans clé de clavier. Vraisemblablement, cryptées par malicieusement des fichiers maximum à la profondeur de 15 répertoires. C'est-à-dire que les fichiers attachés à la plus grande profondeur sont sûrs (au moins pour cette modification du crypter).
Si les disques se sont avérés pour être cryptés avec succès après un redémarrage, une fenêtre est affichée avec un message sur le rapport de la demande pour payer 300 $ Rachat (le 27 juin 2017 - environ 0.123 Bitcoin) pour obtenir un clés de déverrouillage des fichiers. Pour transférer l'argent, le portefeuille Bitcoin 1MZ7153HMUXTUR2R1T78MGSDZAATNBBWX est indiqué. Quelques heures après le début de l'attaque sur le portefeuille, les transactions sont déjà reçues, multiples le montant demandé - certains sacrifices préféraient payer une rançon, sans attendre que les chercheurs examinent les logiciels malveillants et tentent de trouver un moyen de récupérer des fichiers.
Pour le moment, le nombre de transactions a augmenté à 45.
Petya utilise 135, 139, 445 ports TCP à distribuer (en utilisant les services SMB et WMI). La distribution dans le réseau à d'autres nœuds se produit dans plusieurs méthodes: avec utilisation de Windows Instrumentation de gestion (WMI) et PSEXEC, ainsi que l'utilisation d'un exploit qui utilise la vulnérabilité MS17-010 (EternalBlue). WMI est une technologie pour la gestion centralisée et le suivi du fonctionnement de différentes parties d'une infrastructure informatique exécutant la plate-forme Windows. PSEXEC est largement utilisé pour administrer Windows et vous permet d'effectuer des processus dans des systèmes distants. Cependant, pour utiliser les données utilitaires, vous devez disposer des privilèges de l'administrateur local sur l'ordinateur de la victime, ce qui signifie que le crypter ne peut poursuivre sa distribution que de ces périphériques que l'utilisateur dispose de privilèges de système d'exploitation maximum. EternalBlue Exploit vous permet d'obtenir un maximum de privilèges sur un système vulnérable. Aussi crypter utilise l'utilitaire public de Mimikatz pour recevoir ouvrir une video données de compte de tous les utilisateurs de Windows OS, y compris les administrateurs locaux et utilisateurs de domaine. Un tel ensemble d'outils permet à PETYA de maintenir des performances même dans ces infrastructures où une leçon de Wannacry a été prise en compte et que des mises à jour de sécurité appropriées sont établies, c'est pourquoi le cryptage est si efficace.
Dans le cadre des tests sur la pénétration des infrastructures d'entreprise modernes, des experts des technologies positifs démontrent régulièrement la possibilité d'utiliser EternalBle Exploit (dans 44% du travail en 2017), ainsi que de l'utilisation réussie de l'utilitaire Mimikatz pour le développement du vecteur d'attaque avant d'obtenir le contrôle de domaine complet (dans chaque projet).
Ainsi, Petya a une fonctionnalité qui lui permet de se propager à d'autres ordinateurs et ce processus est semblable à l'avalanche. Cela permet au crypter de compromettre, y compris le contrôleur de domaine et de développer une attaque avant de contrôler le contrôle sur tous les nœuds de domaine, ce qui équivaut à une infrastructure complète compromettre.
Nous avons rendu compte de la menace de compromis existante depuis plus d'un mois dans les alertes d'attaque de Wannacry et ont donné des recommandations à définir des systèmes vulnérables, comment les protéger et quoi faire si l'attaque était déjà arrivée. Des recommandations supplémentaires que nous accorderons dans cet article. De plus, notre société a développé un utilitaire gratuit. Wannacry_pesa_fastdetect Pour l'identification automatisée de la vulnérabilité des infrastructures. Le système Maxpatrol détecte cette vulnérabilité à la fois en mode d'audit et en mode PENSEST. Instructions détaillées Indiqué dans nos recommandations. De plus, les règles de corrélation correspondantes pour identifier la crise PETYA sont instituées à Maxpatrol Siem.
Les experts technologies positives ont révélé "Antidémarreur" - la possibilité d'éteindre localement le crypter. Si le processus contient des privilèges administratifs dans le système d'exploitation, avant de remplacer le crypter MBR vérifie la présence d'un fichier perfc. (ou autre fichier vide. avec autre nom) sans expansion dans les répertoires C: \\ Windows\\ (le répertoire est défini de manière rigide dans le code). Ce fichier porte le même nom que dLL de bibliothèque. Ce crypter (mais sans expansion).
La présence d'un tel fichier dans le répertoire spécifié peut être l'un des indicateurs de compromis. Si le fichier est présent dans ce répertoire, le processus d'exécution HPP est ainsi terminé, créant ainsi un fichier avec nom correct Il peut empêcher la substitution de MBR et le cryptage supplémentaire.
Si le crypter ne détecte pas un tel fichier lors de la vérification, le fichier est créé et démarre le processus d'exécution VPO. Vraisemblablement, cela se produit afin de redémarrer le processus de substitution de MBR.
D'autre part, si le processus ne possède pas initialement des privilèges administratifs, le cryptage ne sera pas en mesure de vérifier la disponibilité d'un fichier vide dans le répertoire C: \\ Windows, et le processus de cryptage de fichier va toujours commencer, mais sans le MBR redémarrer et redémarrer l'ordinateur.
Afin de ne pas devenir une victime d'une attaque similaire, vous devez d'abord mettre à jour le logiciel utilisé aux versions actuelles, en particulier pour établir toutes les mises à jour de MS Windows actuelles. De plus, il est nécessaire de minimiser les privilèges utilisateur aux postes de travail.
Si l'infection est déjà arrivée, nous non recommandé Payer de l'argent aux attaquants. Adresse postale Violateur [Email protégé] Il a été bloqué et même dans le cas de la rédemption, la clé pour déchiffrer les fichiers ne sera probablement pas obtenue. Pour éviter la distribution du crypter dans le réseau, il est recommandé d'éteindre d'autres ordinateurs non infectés, désactivez les nœuds infectés du réseau et supprimez les images de systèmes compromis. Si les chercheurs trouvent un moyen de déchiffrer des fichiers, les données verrouillées peuvent être restaurées à l'avenir. En outre, cette image Il peut être utilisé pour analyser le crypter, qui aidera les chercheurs dans leur travail.
À long terme, il est recommandé de développer un système de formation régulière pour les employés afin d'accroître leur sensibilisation à la sécurité de l'information, sur la base de la démonstration d'exemples pratiques d'attaques potentielles sur les infrastructures de la société à l'aide de méthodes d'ingénierie sociale. Il est nécessaire de vérifier régulièrement l'efficacité de ces formations. Vous devez également installer des logiciels antivirus avec une fonctionnalité d'autodéfense permettant d'entrer un mot de passe spécial pour désactiver ou modifier les paramètres. En outre, il est nécessaire de fournir des mises à jour logicielles régulières sur tous les nœuds d'infrastructure d'entreprise, ainsi qu'un processus efficace de vulnérabilité et de mises à jour. La conduite régulière des tests d'audits et de pénétration de l'IB permettra d'identifier les faiblesses existantes et la vulnérabilité des systèmes dans les meilleurs délais. La surveillance régulière du périmètre du réseau d'entreprise vous permettra de contrôler les services réseau disponibles sur Internet et de faire des ajustements à la configuration à temps. pare-feu. Pour la détection et la suppression rapides de l'attaque déjà en cours d'exécution, il est nécessaire de surveiller l'infrastructure de réseau interne, pour laquelle il est recommandé d'appliquer le système de classe Siem.
Les indicateurs suivants peuvent être utilisés pour identifier l'attaque de Petya dans l'infrastructure:
- C: \\ Windows \\ perfs
- Tâche dans le planificateur Windows avec nom vide et action (redémarrage)
- "% Windir% \\ system32 \\ shutdown.exe / r / f"
- mSG: "Code de sous-commandes trans2 non programmée. Possible EternalBlue (Wannacry, Petya) Outil"; SID: 10001254; Rev: 2;
- mSG: "EternalBlue (Wannacry, Petya) SMB MS Windows RCE"; SID: 10001255; Rev: 3;
- mSG: "Trans2 Sous-Command 0x0e. Probablement EternalBlue (Wannacry, Petya) Outil"; SID: 10001256; Rev: 2;
- mSG: "composant PETYA RANSOMWARE PERFC.DAT"; SID: 10001443; Rev: 1.
- mSG: "SMB2 Create Psexesvc.exe"; SID: 10001444; Rev: 1.
Le virus de Petya est un virus en croissance rapide qui mettait presque toutes les grandes entreprises en Ukraine le 27 juin 2017. Petya Virus crypte vos fichiers et les propose pour eux la rédemption.
Le nouveau virus est frappant le disque dur de l'ordinateur et fonctionne comme des fichiers de crypter de virus. Après un certain temps, le virus de Petya "mange" des fichiers sur votre ordinateur et qu'ils deviennent cryptés (comme si les fichiers étaient archivés et mettent un mot de passe lourd)
Les fichiers blessés du virus du crypter Peya, puis de ne pas récupérer (le pourcentage que vous les restauez est, mais il est très petit)
L'algorithme qui restaure les dossiers des victimes du virus de Petya - non
Avec cet article utile court et maximum, vous pouvez vous épargner du # viruspeya
Comment déterminer le virus Petya ou WannaCry et non infecté par le virus
Lorsque vous téléchargez un fichier via Internet, vérifiez-vous un antivirus en ligne. Antivirus en ligne Peut définir un virus dans le fichier à l'avance et empêcher l'infection avec le virus PETYA. Tout ce qui devrait être fait, cochez le fichier téléchargé à l'aide de Virustotal, puis commencez-le. Même si vous avez téléchargé le virus PETYA, mais n'a pas démarré le fichier viral, le virus n'est pas actif et que le préjudice ne cause pas. Seulement après avoir démarré le fichier nocif que vous exécutez le virus, souvenez-vous de
En utilisant même cette méthode vous donne toutes les chances de ne pas infecter le virus PETYA
Petya Virus ressemble à ceci:
Comment se protéger du virus PETYA
Compagnie Symantec.il a offert une solution qui lui permet de vous protéger du virus PETYA, prétendant qu'il soit déjà installé.
PETYA VIRUS Lorsque vous frappez un ordinateur, crée dans le dossier C: \\ Windows \\ Perfc déposer perfc. ou alors perfc.dll
De la même manière que cela est déjà installé et n'a pas continué son activité, créez dans le dossier C: \\ Windows \\ Perfc Fichier avec du contenu vide et enregistrez-le mettre un mode de changement "Lecture seule"
Ou télécharger VIRUS-STETYA-PERFC.ZIP et UNZIP Dossier perfc.dans le dossier C: \\ windows \\ et mettre le mode de changement "lecture seule"
Téléchargez virus-stecya-perfc.zip.
Mise à jour le 06/06/2017
Recommande également de télécharger les deux fichiers juste dans dossier Windows. Beaucoup de sources écrivent ce fichier perfc. ou alors perfc.dlldoit être dans le dossier C: \\ windows \\
Que faire si l'ordinateur est déjà émerveillé par le virus Petya
N'allumez pas l'ordinateur qui vous a déjà frappé avec le virus Petya. Le virus Petya fonctionne de manière à ce que l'ordinateur infecté soit activé, il crypte des fichiers. C'est-à-dire que lorsque vous gardez votre virus de Petya affecté par l'ordinateur, les nouveaux et les nouveaux fichiers sont des infections et du cryptage.
Winchester cet ordinateur Cela vaut la peine de vérifier. Vous pouvez le vérifier avec LiveCD ou LiveTusB avec antivirus
Démocrate de démarrage avec Kaspersky Rescue Disk 10
Démarrage de flash dr.web liveisk
Qui répandit le virus Petya dans toute l'Ukraine
Microsoft a exprimé son point de vue au réseau de l'infection au réseau mondial dans grandes entreprises Ukraine. La raison était la mise à jour du programme M.E.DOC. M.e.doc - populaire programme de comptabilitéBien que cela soit une telle ponction de la société, comment entrer le virus à la mise à jour et installé Petya Virus pour des milliers de PC, sur lesquels le programme M.E.DOC est resté. Et puisque le virus affecte les ordinateurs du même réseau, il s'est propagé à la foudre.
#: Le virus de Petya est frappant Android, Petya Virus, comment détecter et supprimer Petya Virus, Petya Virus Comment traiter, m.e.doc, Microsoft, créer un dossier de folder Petya Virus
L'Office fédéral allemand de la sécurité de l'information estime qu'une grande attaque de la cyber-attaque, qui a frappé les dizaines de pays du monde, s'est déroulée du territoire de l'Ukraine. L'agence a souligné qu'ils considèrent les informations sur la propagation du virus de Petya par le biais du programme comptable ukrainien M.E.DOC.
"La source et la direction principale de la Kiberataka, apparemment, en Ukraine, bien que l'attaque et a acquis une échelle mondiale", la déclaration de BSI, publiée sur le site officiel de l'organisation.
«Selon les rapports, un programme malveillant a été distribué via la fonction de mise à jour largement distribuée en Ukraine par m.e.doc responsabilisabilité. Pré-BSI considère cette thèse crédible, "clarifié dans le département.
Chapitre BSI Arne Schongbow a déclaré que la vague de Kiberatok actuelle démontre une nouvelle fois comment les entreprises et organisations vulnérables du monde numérique peuvent être.
"En relation avec la crise nette, nous exhortons à faire sécurité de l'information La priorité principale », a déclaré Schongb.
Informations sur lesquelles le canal clé de la distribution du virus de Petya en Ukraine était le programme comptable de M.E.DOC de la production ukrainienne, précédemment distribuée dans le service de presse du département de cyberpolie de l'Ukraine.
En réponse, les développeurs M.E.DOC ont déclaré que les conclusions d'experts en cybersécurité sont erronées car version réelle Le package de mise à jour a été publié le 22 juin et tous les fichiers ont été vérifiés pour les virus.
"L'équipe de développement m.e.doc réfute cette information et déclare que de telles conclusions sont définitivement erronées - car le développeur est M.E.doc, en tant que fournisseur responsable produit logiciel, surveille la sécurité et la propreté de votre propre code. Pour cela, des accords ont été conclus avec de grandes entreprises antivirus pour fournir des fichiers binaires exécutables à analyser et confirmer leur sécurité. De plus, avant la publication de chaque mise à jour, M.E.DOC transmet ses fichiers d'analyse aux entreprises antivirus », a déclaré la société.
Dans la soirée du 28 juin, une conférence de presse des développeurs M.E.DOC aura lieu à Kiev sur Cyberacto.
Fait intéressant, le programme M.E.DOC, qui est souvent appelé une alternative réelle tombée en vertu des sanctions du Russie 1C, n'est plus la source de problèmes de ses utilisateurs. Ainsi, en mai de cette année, une extorsionnelle de virus similaire XDATA a été distribuée via le système de mise à jour M.E.DOC. Cependant, les conséquences de cette attaque étaient beaucoup moins déplorables, les notes de la minuterie notes.
Parlant des particularités de la nouvelle cyberpathie, le chercheur Mathie suish dans une conversation avec le New York Times appelé la nouvelle attaque «Version améliorée et plus destinable de Wannacry».
Selon la société de production de logiciels américano-Symantec, Petya Virus utilise le même outil EternalBlue que le virus de Wannacry, dont l'attaque de mai a échoué plus de 200 000 ordinateurs dans 150 pays.
«Les analystes Symantec ont confirmé que l'extorsion du virus de Petya, comme Wannacry, utilise EternalBlue Exploit pour la distribution», a noté la société.
Un exploit s'appelle un programme malveillant qui utilise des vulnérabilités dans logiciel. On croit que le développement de l'EternalBlue, qui a permis à Wannacry de se propager en raison de la vulnérabilité dans protocole réseau Windows (SMB) est impliqué dans le NAM, mais le département nie ces déclarations.
Dans le même temps, Forbes Observer Thomas Fox-Brewster note que pour examiner le virus actuel en tant que nouveau programme malveillant, il est correct de l'appeler, par exemple, de Notte n'est pas différente du virus Petya spécialistes.
Il est rapporté que, outre l'exploitation EternalBlue, le nouveau virus utilise d'autres chemins de distribution. L'ancien analyste ANS David Kennedy a déclaré que NotTetuetya trouve des mots de passe à la mémoire de l'ordinateur infecté pour passer à d'autres systèmes avec leur aide.
Le virus s'étend également à l'outil pour l'exécution à distance des processus PSEXEC: par exemple, si l'ordinateur infecté dispose d'un accès administrateur sur le réseau, chaque ordinateur peut être infecté par ce réseau, l'expert en sécurité Kevin Beamont a déclaré.
"Cette combinaison dangereuse peut être la raison pour laquelle le flash actuel du virus s'est répandu si rapidement dans le monde, bien que après les attaques précédentes, tonnait dans le monde entier, la plupart des vulnérabilités auraient dû être corrigées. Ne nécessite qu'un seul ordinateur vulnérable pour accéder réseau interneEt ensuite, le virus remportera les droits de l'administrateur et se propagera à d'autres ordinateurs », estime que Robert Lipovski croit que la société anti-virus ESET.
- Kaspersky Lab Employé a déclaré à RT sur les caractéristiques du nouveau virus
Une autre caractéristique dangereuse du nouveau virus est que cela peut attaquer avec succès des ordinateurs avec mis à jour systèmes d'exploitation, Y compris Windows 10, tandis que WannaCry infectait uniquement une version plus ancienne du système d'exploitation.
Le chef du département de recherche anti-virus de Kaspersky Lab, Vyacheslav Zavorzhevsky, dans une conversation avec RT, a déclaré que la société a également décidé d'attribuer un nom distinct au nouveau virus dans le cadre de ses particularités.
«Il y a un an, un cryptage a été apparu appelé Petya, qui a également enregistré un certain nombre d'entreprises dans le monde entier. Le nouveau cryppéral est apparu juste hier et nous l'avons appelé Expretr en raison d'une similitude avec Petya Crypter, mais ses fonctionnalités sont radicalement différentes. Ceci est plus parfait d'un point de vue technique de la menace, il est donc digne de nommer séparément », a souligné Zakorzhevsky.
Il a ajouté que, selon les données préliminaires du laboratoire de Kaspersky, des attaques et de la Russie, et les sociétés ukrainiennes ont été commises par la même version du cryptage Expetr, ajoutant que l'échelle réelle de l'attaque actuelle pourrait être comprise, probablement seulement, seulement dans quelques jours.
«Quant au vecteur d'attaques en Ukraine, les conclusions sans ambiguïté sont encore tôt. Il est possible qu'en raison du fait que les criminels avaient des données approfondies, par exemple, adresses mail avec l'attaque précédente ou un peu plus méthodes efficaces Pénétration, la puissance principale est tombée en Ukraine et en Russie, mais elle doit toujours découvrir », a noté l'expert.
- Reuters
Auparavant, l'ancien employé des services spéciaux américains Edward Snowden a accusé l'agence nationale de sécurité nationale des États-Unis à travers la cyberaticienne actuelle. Il a déclaré que le cryptage de virus de Petya travaille avec EternalBlue Exploit, que l'ouvre-fort utilisait des vulnérabilités de Windows et n'a rien fait pour éliminer cette insécurité pendant cinq ans.
Snowden a également appelé à apporter à la responsabilité de la NSA.
"Combien de fois est le développement des armes numériques, l'infrastructure civile peut-elle entraîner des dommages avant que la responsabilité vienne?" - Il se demanda.
"Écoutez, les gens peuvent diverger par rapport à la surveillance, mais lorsque les hôpitaux américains sont fermés sur l'attaque en raison de la concentration du NAM sur l'attaque au lieu de la protection, le temps d'agir" Snowden stressé.
Le mardi 27 juin, des dizaines d'organisations privées et d'État de plusieurs pays sont devenues victimes d'un Kiberatak à grande échelle. Le coup principal est venu en Ukraine et en Russie, puis le virus a commencé à se propager en Europe, en Amérique et en Asie. Programme malveillant Crypte des données sur un disque rigide d'ordinateurs infectés, nécessitant une rançon de 300 $ "pour décrypter des informations. L'enquête sur de nouvelles attaques est des experts en cybersécurité et des services spéciaux dans le monde, y compris le FBI et le département des États-Unis de la sécurité interne.
