Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Petya сімейство шкідливих програм що вражає комп ютери під управлінням сімейства ОС Microsoft Windows Перші представники

Petya.A

Petya.A

Petya — сімейство шкідливих програм, що вражає комп'ютери під управлінням сімейства ОС Microsoft Windows. Перші представники були виявлені в 2016 році та були звичайними зразками здирницьких вірусів. 27 червня 2017 року сталась масштабна атака останнім представником сімейства, який запозичив деякі модулі з попередніх зразків, але можливо був створений іншими розробниками та вже був вірусом-винищувачем даних, замаскованим під програму-вимагач.

Petya/NotPetya
image
ТипКомп'ютерний хробак / винищувач даних прихований під здирник
Розробникугрупування типу розвинена стала загроза пов'язана з російськими військовими
Операційна системаMicrosoft Windows
Мова програмуванняc++
Також відома як Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye

Програма шифрує файли на жорсткому диску комп'ютера-жертви, а також перезаписує і шифрує головний завантажувальний запис (MBR) — дані, необхідні для завантаження операційної системи. В результаті всі файли, що зберігаються на комп'ютері, стають недоступними. Потім програма вимагає грошовий викуп у біткойнах за розшифровку і відновлення доступу до файлів. При цьому перша версія вірусу шифрувала не самі файли, а MFT-таблицю — базу даних з інформацією про файли, що зберігаються на диску.

На думку Адміністрації Президента США Дональда Трампа атака із використанням вірусу NotPetya в червні 2017 року стала найбільшою хакерською атакою в історії. У спільній заяві країни альянсу Five Eyes поклали відповідальність за дану атаку на російську владу. Відповідальність за атаку покладають на Росію також уряди Данії та України.

Історія

Petya

Вперше вірус Petya був виявлений в березні 2016 року. Компанія Check Point тоді зазначила, що, хоча йому вдалося заразити менше комп'ютерів, ніж іншим програмам-здирникам початку 2016 року, таким як , поведінка нового вірусу помітно відрізняється, завдяки чому він негайно був відзначений, як наступний крок в еволюції програм-вимагачів". За відновлення доступу до файлів програма вимагала від користувача 0,9 біткойнів, що, за станом на березень 2016 року, становило близько 380 доларів США.

Petya/Mischa

Інший різновид програми виявили в травні 2016 року. Вона містила додаткове корисне навантаження: якщо вірусу не вдавалося отримати права адміністратора для перезапису MBR і подальшого шифрування MFT, він встановлював на заражений комп'ютер іншу шкідливу програму — Mischa. Mischa шифрував файли користувача безпосередньо (така операція зазвичай не вимагає прав адміністратора), а потім вимагав викуп у розмірі 1,93 біткойни, що на той момент було еквівалентно 875 доларів США.

NotPetya

На думку частини аналітиків, називати нову загрозу «Petya», строго кажучи, неправильно. Шкідливе ПЗ дійсно має значну кількість коду з більш старої області, призначеної для вимагання, яка ідентифікується антивірусними системами як Petya. Проте вже через кілька годин після початку епідемії деякі дослідники інформаційної безпеки помітили, що ця схожість досить поверхова. Дослідники з Лабораторії Касперського відмовилися називати шкідливу програму «Petya» — замість цього вони використовують терміни New Petya, NotPetya, ExPetr. Поширюються й інші варіанти цієї назви — Petna, Pneytna та інші. Крім того, інші дослідники, які самостійно виявили шкідливе ПО, визначили його зовсім іншими назвами: наприклад, румунська компанія Bitdefender назвала його Goldeneye. З іншого боку, американська компанія Symantec вважає нову загрозу різновидом вірусу Petya, не даючи їй якоїсь іншої назви.

27 червня 2017 року почалося масове поширення нової модифікації програми. На цей раз вірус використовує ті ж вразливості системи, що і WannaCry (наприклад, експлойт EternalBlue і бекдор ), а за відновлення доступу до даних вимагає відправити 300 доларів в біткойнах. При цьому фахівці не рекомендують користувачам йти на поводу у вимагачів, оскільки це все одно не допоможе їм відновити доступ до даних; електронна адреса, на яку зловмисники просять відправити дані після здійснення платежу, вже заблокована провайдером. На думку головного інженера компанії McAfee Крістіана Біка, ця версія була розроблена так, щоб максимально швидко поширюватися. Вірус отримував пароль адміна завдяки утиліті Mimikatz. У компанії ESET заявили, що поширення шкідливої програми почалося в Україні.

Атака була в основному спрямована проти України, на яку припало 75 % всіх постраждалих від атаки комп'ютерів. Атаці піддалися енергетичні компанії, Аеропорт Харкова, Чорнобильська АЕС, урядові сайти, київський метрополітен. Національний банк України опублікував на своєму сайті офіційну заяву про хакерську атаку на банки країни і боротьби з нею. Пізніше стали з'являтися повідомлення про хакерську атаку на російські банки, компанії Хоум Кредит, Роснафта і Башнафта. Також повідомлення про зараження стали надходити з Італії, Ізраїлю, Сербії, Угорщини, Румунії, Польщі, Аргентини, Чехії, Німеччини, Великої Британії, США, Данії, Нідерландів, Іспанії, Індії, Франції та Естонії.

Розповсюдження

Попри зовнішню схожість, новий вірус має істотні відмінності від уже відомого Petya й тому отримав нові назви від різних дослідників (NotPetya, Eternal Petya, Petna, тощо). У цілому він має добре написаний код, який використовує для свого поширення низку шляхів:

  • Вразливості EternalBlue та (CVE-2017-0144 та CVE-2017-0145 відповідно, обидві виправлені в оновленні MS17-010)
  • Виявлення гешів паролів зареєстрованих на комп'ютері користувачів і навіть адміністраторів (алгоритм LSA Dump, схожий на Win32/Mimikatz)
  • Використання стандартних можливостей операційної системи: спочатку передає свої файли установки через мережеві диски (Windows Share), а потім намагається їх запустити або віддаленим виконанням команд PowerShell (psexec), або ж через систему WMIC (Windows Management Instrumentation Command-line).

Таким чином, заражений цим хробаком комп'ютер здатен, за певних умов, вражати інші комп'ютери в мережі, навіть ті, які отримали останні оновлення операційної системи.

Аби не бути виявленим антивірусними програмами, бінарні коди вірусу застосовують:

  • підроблений цифровий підпис Microsoft,
  • шифрування алгоритмом XOR (для обходу перевірок на сигнатуру).

Проте, попри досить високий рівень реалізації самого вірусу, його розробники скористались вкрай вразливим та ненадійним способом спілкування з жертвами, що створює враження, що здирництво не було основним мотивом:

  • всім жертвам пропонується перерахувати криптовалюту біткойн вартістю 300$ на гаманець автора вірусу,
  • та передати вказаний на екрані довгий код на вказану адресу електронної пошти.

Поштова служба, де була зареєстрована скринька зловмисників, заблокувала її вже через кілька годин після початку атаки і, таким чином, унеможливила спілкування між жертвами та зловмисниками. Тобто, сплата викупу не має сенсу, оскільки гарантовано не дасть бажаного результату. В оприлюдненій заяві компанія-провайдер поштової скриньки повідомила, що не лише заблокувала скриню, а й активно працює з німецькою федеральною службою інформаційної безпеки в розслідуванні цієї події.

Шкідлива дія

Шифрування файлів

Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди, може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії.

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви»). Доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма.

Слід також зазначити, що у функції шифрування файлів зловмисник припустився помилки, яка може істотно ускладнити (якщо не унеможливити) їхнє відновлення: вірус шифрує лише перший мегабайт даних у файлах більшого розміру, але не скидає стан алгоритму шифрування при переході до наступного файлу. Таким чином, для відновлення файлів слід виконувати в ідентичному порядку.

Знищення файлової системи
Див. також: NTFS та Головний завантажувальний запис

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

  • змінює головний завантажувальний запис (MBR) кодами свого запуску,
  • обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел,
  • обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR,
  • встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та
  • знищує всі записи в системних журналах.

При завантаженні комп'ютера завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код вірусу, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диска Chkdsk. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем.

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye).

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення.

Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади.

Захист

Більшість великих антивірусних компаній заявляють, що їхнє програмне забезпечення оновлено, щоб активно виявляти і захищати від проникнення вірусу: наприклад, продукти компанії Symantec використовують сигнатури оновленої версії 20170627.009. Крім того, актуальні оновлення Windows виправляють вразливість EternalBlue, що дозволяє зупинити один з основних способів зараження, а також захистити користувачів від майбутніх атак з різного роду корисними навантаженнями.

Згодом на сайті "Хабр" були повідомлення від сисадмінів українських компаній, що постраждали, із повідомленнями про те, що у них в компанії вже були встановлені всі останні оновлення, встановлений файєрвол, обмежені права користувачів, антифішинг фільтр для поштовиків і все одно ПК компанії були зашифровані.

Для цієї шкідливої атаки був виявлений ще один вектор захисту. Petya перевіряє наявність файлу perfc.dat, що перебуває в системній папці тільки для читання. Якщо він виявить цей файл, то не буде запускати шифрування програмного забезпечення та інформації. Однак така «вакцина» насправді не запобігає зараженню: шкідливе ПО, як і раніше буде використовувати «точку опори» на зараженому ПК, з метою поширитися на інші комп'ютерні системи через локальну мережу.

Атака на Україну

Докладніше: Хакерські атаки на Україну (2017)

Підготовка

Згідно з повідомленнями кіберполіції України, атака, ймовірно, була «засіяна» механізмом оновлення програмного забезпечення, вбудованим в бухгалтерську програму M.E.Doc, яку використовують компанії, які працюють з документами українського уряду. Це може пояснити, чому постраждала величезна кількість українських організацій, зокрема уряд, банки, державні енергетичні компанії, київський аеропорт і метро. Так, наприклад, система радіаційного моніторингу Чорнобильської АЕС була відключена від мережі, змушуючи працівників перейти на ручні лічильники і ручне управління в цілому. Друга хвиля епідемії була відтворена фішинговою кампанією зі шкідливими вкладеннями. Сама компанія M.E.Doc спростовує, що поширення вірусу може бути пов'язано з її файлами оновлення. Однак фахівці Microsoft підтверджують, що деякі випадки зараження почалися саме з установки оновлення M.E.Doc.

Організатори

На думку деяких аналітиків, вірус лише маскується під здирника, у той час як його справжня мета — заподіяння шкоди, зокрема — українському уряду. Дослідник кібербезпеки Ніколас Вівер висунув таку гіпотезу: Petya був «навмисною, зловмисною, руйнівною атакою або, можливо, випробуванням, замаскованим під вимагання». Фахівець під псевдонімом Grugq зазначив, що перша версія вірусу була «злочинним підприємством з метою вимагання грошей», але нова версія явно призначена не для цього. Також він сказав:

image Найімовірніше, цей хробак призначений для швидкого поширення і нанесення максимального збитку за допомогою правдоподібного, на перший погляд, вимагання. image

На користь цієї версії говорить і те, що 28 червня — День Конституції в Україні.

До того ж, було виявлено, що серед інших повідомлень, механізм вимагання шкідливого ПО сконструйований невміло і був зовсім марним: єдина адреса погано зашифрована, тобто рух грошей можна відстежити. Ще однією недоробкою можна зазначити вимогу відправити 60-значний персональний ідентифікаційний ключ зараженої машини з комп'ютера, на якому неможливо копіювати і вставляти текст з екрану.

За офіційно не підтвердженими даними, іще в листопаді 2017 року ЦРУ дійшло остаточного висновку, що за атаками із використанням NotPetya стоять відповідні підрозділи під управлінням ГРУ ГШ РФ. За даними Washington Post, яка оприлюднила цю інформацію, цей підрозділ має назву "Головний центр спеціальних технологій"( рос. Главный центр специальных технологий).

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія, Велика Британія, Канада, Нова Зеландія, США, а також уряди Данії та України. Зокрема:

  • «Уряд Британії вважає, що відповідальність за Petya, використаний в червні 2017 року, лежить на російській владі, а саме російській армії», — заявив заступник міністра закордонних справ Британії Тарік Ахмад.
  • Адміністрація Президента США Дональда Трампа заявила: «В червні 2017 року російські військові здійснили наймасштабнішу хакерську атаку, що завдала найбільших збитків в історії. Атака, нині відома як „NotPetya“ стрімко поширилась на весь світ, та завдала мільярдні збитки підприємствам в Європі, Азії, та в обох Америках. Ця атака була складовою частиною спроб Кремля дестабілізувати Україну та ясно свідчить про залучення Кремля у поточний конфлікт. Також ця хакерська атака була безвідповідальною та невибірковою, вона не залишиться без наслідків з боку міжнародного товариства.»
  • «Австралійський уряд спільно з урядами США та Британії засуджує здійснену Росією атаку із використанням вірусу „NotPetya“ на критичну інфраструктуру та приватні підприємства в червні 2017 року».

Наступні версії

Bad Rabbit

В жовтні 2017 року сталась чергова епідемія ураження інформаційних систем вірусом-хробаком для здирництва через шифрування файлів Bad Rabbit (Win32/Diskcoder.D, Ransom.BadRabbit). Спочатку зловмисники отримали несанкційований доступ до низки вебсайтів, де вставили власні сценарії JavaScript у сторінки. Ці сценарії звертались на сервер управління зловмисників, звідки отримували основну частину подальшого сценарію. Отриманий сценарій JavaScript попереджав користувача про необхідність оновити встановлений модуль Flash Player, але замість завантаження оновлення користувач завантажував програму-інсталятор вірусу з іменем файлу install_flash_player.exe.

На відміну від NotPetya, в цій версії були виправлені помилки шифрування. Тут вже використана утиліта з відкритими кодами DiskCryptor. Ключі шифрування генеруються CryptGenRandom, для алгоритму AES-128-CBC а потім захищаються відкритим ключем RSA-2048.

Окрім завантаження через уражені вебсайти, даний вірус має властивості мережевого хробака, оскільки здатен поширювати себе через спільні теки SMB (Server Message Block) та використовує уразливість EternalRomance. Для отримання прав адміністратора вірус використовує програму mimikatz.

Пік заражень вірусом припав на 24 жовтня 2017 року. Найбільше ним було уражено комп'ютерів в Росії 65-86 %, та Україні 1-12,2 %. Проте, попри порівняно невелику кількість заражень, відомо про тимчасове виведення з ладу інформаційних систем Київського метрополітену та Одеський аеропорт.

Голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства . Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. А атака хробаком була лише яскравим прикриттям. І попри більше поширення хробака в Росії друга частина атаки служить доказом того, що основною мішенню були підприємства в Україні. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки.

За даними британського Національного центру комп'ютерної безпеки (NCSC) відповідальність за цю атаку можна з високою впевненістю покласти на російських військових хакерів (ГУ ГШ ЗС РФ) з угрупування Fancy Bear. Серед постраждалих підприємств є Київський метрополітен, аеропорт «Одеса», Центральний банк РФ, два російських ЗМІ.

Наслідки

18 червня 2021 РНБО ввела санкції проти хакерів, причетних до розробки вірусу Petya, зокрема проти чотирьох юридичних і шести фізичних осіб, афілійованих зі спецслужбами РФ. За даними РНБО, вони причетні до розробки вірусу, його адмініструваня й організації кібератак в Україні.

Примітки

  1. . The White House. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  2. Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Процитовано 28 червня 2017.
  3. (unspecified title)
    d:Track:Q120347265
  4. . Kaspersky Lab. 30 березня 2016. Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017.
  5. . Symantec | United States. 29 березня 2016. Архів оригіналу за 11 липня 2017. Процитовано 27 червня 2017.
  6. УНІАН: События недели: версия читателей УНИАН — на Украине испытали кибероружие. [ 27 лютого 2018 у Wayback Machine.] 30.06.2017
  7. . Symantec Security Response. Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017.
  8. . The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 16 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  9. . National Cyber Security Centre. 15 лютого 2018. Архів оригіналу за 15 лютого 2018. Процитовано 16 лютого 2018.
  10. Greta Bossenmaier (15 лютого 2018). . Communications Security Establishment. Архів оригіналу за 3 липня 2018. Процитовано 16 лютого 2018.
  11. . Government Communications Security Bureau. 16 лютого 2018. Архів оригіналу за 17 лютого 2018. Процитовано 16 лютого 2018.
  12. . Berlingske Business. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  13. . СБУ. 01-07-2017. Архів оригіналу за 5 липня 2017. Процитовано 16 лютого 2018.
  14. . Check Point Blog. 11 квітня 2016. Архів оригіналу за 30 червня 2017. Процитовано 28 червня 2017.
  15. . blog.kaspersky.ru. Архів оригіналу за 11 липня 2017. Процитовано 28 червня 2017.
  16. Constantin, Lucian. . Network World (англ.). Архів оригіналу за 31 липня 2017. Процитовано 28 червня 2017.
  17. . blog.kaspersky.ru. Архів оригіналу за 9 лютого 2017. Процитовано 28 червня 2017.
  18. the grugq (27 червня 2017). . the grugq. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017.
  19. . Motherboard. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017.
  20. Burgess, Matt. . WIRED UK (брит.). Архів оригіналу за 27 червня 2017. Процитовано 28 червня 2017.
  21. Украина подверглась самой крупной в истории кибератаке вирусом Petya [ 28 червня 2017 у Wayback Machine.], habrahabr.ru, 27 червня 2017
  22. . Interfax.ru (ru-RU) . 28 червня 2017. Архів оригіналу за 29 червня 2017. Процитовано 28 червня 2017.
  23. . Архів оригіналу за 30 червня 2017. Процитовано 30 червня 2017.
  24. ESET: Главной жертвой вируса-шифровальщика Petya.A стала Украина, где зарегистрировано более 75 % всех случаев заражения [ 2 липня 2017 у Wayback Machine.], itc.ua
  25. . Интерфакс-Украина. Архів оригіналу за 30 червня 2017. Процитовано 28 червня 2017.
  26. . Interfax.ru (ru-RU) . 28 червня 2017. Архів оригіналу за 29 червня 2017. Процитовано 28 червня 2017.
  27. . Новости Mail.Ru. Архів оригіналу за 1 серпня 2017. Процитовано 28 червня 2017.
  28. 24tv.ua. . Телеканал новостей 24. Архів оригіналу за 1 липня 2017. Процитовано 28 червня 2017.
  29. . bank.gov.ua. Архів оригіналу за 29 червня 2017. Процитовано 28 червня 2017.
  30. Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний. Пятый канал (рос.). Процитовано 28 червня 2017.
  31. . RUS Delfi. 1498635301. Архів оригіналу за 30 червня 2017. Процитовано 28 червня 2017.
  32. Solon, Olivia (27 червня 2017). . The Guardian (брит.). 0261-3077. Архів оригіналу за 30 травня 2019. Процитовано 28 червня 2017.
  33. . The Independent (брит.). 27 червня 2017. Архів оригіналу за 30 червня 2017. Процитовано 28 червня 2017.
  34. Помилка цитування: Неправильний виклик тегу <ref>: для виносок під назвою grugq.59afd1ee89d4 не вказано текст
  35. Помилка цитування: Неправильний виклик тегу <ref>: для виносок під назвою mmpc-27 не вказано текст
  36. Hern, Alex (28 червня 2017). . The Guardian (брит.). ISSN 0261-3077. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017.
  37. (PDF). CERT-EU. 27 червня 2017. Архів оригіналу (PDF) за 3 лютого 2019. Процитовано 11 липня 2017.
  38. . Posteo. 27.Juni 2017. Архів оригіналу за 27 червня 2017. Процитовано 11 липня 2017.
  39. Andy Patel (29 червня 2017). . F-Secure. Архів оригіналу за 30 червня 2017. Процитовано 11 липня 2017.
  40. How EternalPetya Encrypts Files In User Mode. F-Secure. 4 липня 2017.{{}}: Обслуговування CS1: Сторінки з параметром url-status, але без параметра archive-url ()
  41. . Malwarebytes Labs. 29 червня 2017. Архів оригіналу за 1 липня 2017. Процитовано 11 липня 2017.
  42. . MSPoweruser (амер.). 13 травня 2017. Архів оригіналу за 29 травня 2020. Процитовано 28 червня 2017.
  43. Украина подверглась самой крупной в истории кибератаки вирусом Petya [ 22 вересня 2017 у Wayback Machine.], protectmaster.org
  44. Cyberpolice Ukraine (27 червня 2017). Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua за допомогою User Agent "medoc1001189". @CyberpoliceUA. Процитовано 28 червня 2017.
  45. . www.facebook.com. Архів оригіналу за 27 червня 2017. Процитовано 28 червня 2017.
  46. . Windows Security (амер.). Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017.
  47. . krebsonsecurity.com. Архів оригіналу за 13 лютого 2021. Процитовано 28 червня 2017.
  48. Lee, David (28 червня 2017). . BBC News (брит.). Архів оригіналу за 17 серпня 2019. Процитовано 29 червня 2017.
  49. . The New York Times. 27 червня 2017. Архів оригіналу за 27 червня 2017. Процитовано 28 червня 2017.
  50. Ellen Nakashima (12 січня 2018). . Washington Post. Архів оригіналу за 13 січня 2018. Процитовано 29 січня 2018.
  51. . Архів оригіналу за 12 грудня 2018. Процитовано 15 лютого 2018.
  52. MARC-ETIENNE M.LÉVEILLÉ (24 OCT 2017). . We Live Security. Архів оригіналу за 27 жовтня 2017. Процитовано 27 жовтня 2017.
  53. . Semantec Security Response. 25 жовтня 2017. Архів оригіналу за 27 жовтня 2017. Процитовано 27 жовтня 2017.
  54. Pavel Polityuk, Alessandra Prentice (2 листопада 2017). . Reuters. Архів оригіналу за 3 листопада 2017. Процитовано 3 листопада 2017.
  55. . National Cyber Security Center. 4 жовтня 2018. Архів оригіналу за 8 жовтня 2018. Процитовано 4 жовтня 2018.
  56. . РБК-Украина (рос.). Архів оригіналу за 24 червня 2021. Процитовано 20 червня 2021.

Див. також

Посилання

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Petya simejstvo shkidlivih program sho vrazhaye komp yuteri pid upravlinnyam simejstva OS Microsoft Windows Pershi predstavniki buli viyavleni v 2016 roci ta buli zvichajnimi zrazkami zdirnickih virusiv 27 chervnya 2017 roku stalas masshtabna ataka ostannim predstavnikom simejstva yakij zapozichiv deyaki moduli z poperednih zrazkiv ale mozhlivo buv stvorenij inshimi rozrobnikami ta vzhe buv virusom vinishuvachem danih zamaskovanim pid programu vimagach Petya NotPetyaTipKomp yuternij hrobak vinishuvach danih prihovanij pid zdirnikRozrobnikugrupuvannya tipu rozvinena stala zagroza pov yazana z rosijskimi vijskovimiOperacijna sistemaMicrosoft WindowsMova programuvannyac Takozh vidoma yak Petya A Petya D Trojan Ransom Petya PetrWrap NotPetya ExPetr GoldenEye Programa shifruye fajli na zhorstkomu disku komp yutera zhertvi a takozh perezapisuye i shifruye golovnij zavantazhuvalnij zapis MBR dani neobhidni dlya zavantazhennya operacijnoyi sistemi V rezultati vsi fajli sho zberigayutsya na komp yuteri stayut nedostupnimi Potim programa vimagaye groshovij vikup u bitkojnah za rozshifrovku i vidnovlennya dostupu do fajliv Pri comu persha versiya virusu shifruvala ne sami fajli a MFT tablicyu bazu danih z informaciyeyu pro fajli sho zberigayutsya na disku Na dumku Administraciyi Prezidenta SShA Donalda Trampa ataka iz vikoristannyam virusu NotPetya v chervni 2017 roku stala najbilshoyu hakerskoyu atakoyu v istoriyi U spilnij zayavi krayini alyansu Five Eyes poklali vidpovidalnist za danu ataku na rosijsku vladu Vidpovidalnist za ataku pokladayut na Rosiyu takozh uryadi Daniyi ta Ukrayini IstoriyaPetya Vpershe virus Petya buv viyavlenij v berezni 2016 roku Kompaniya Check Point todi zaznachila sho hocha jomu vdalosya zaraziti menshe komp yuteriv nizh inshim programam zdirnikam pochatku 2016 roku takim yak povedinka novogo virusu pomitno vidriznyayetsya zavdyaki chomu vin negajno buv vidznachenij yak nastupnij krok v evolyuciyi program vimagachiv Za vidnovlennya dostupu do fajliv programa vimagala vid koristuvacha 0 9 bitkojniv sho za stanom na berezen 2016 roku stanovilo blizko 380 dolariv SShA Petya Mischa Inshij riznovid programi viyavili v travni 2016 roku Vona mistila dodatkove korisne navantazhennya yaksho virusu ne vdavalosya otrimati prava administratora dlya perezapisu MBR i podalshogo shifruvannya MFT vin vstanovlyuvav na zarazhenij komp yuter inshu shkidlivu programu Mischa Mischa shifruvav fajli koristuvacha bezposeredno taka operaciya zazvichaj ne vimagaye prav administratora a potim vimagav vikup u rozmiri 1 93 bitkojni sho na toj moment bulo ekvivalentno 875 dolariv SShA NotPetya Na dumku chastini analitikiv nazivati novu zagrozu Petya strogo kazhuchi nepravilno Shkidlive PZ dijsno maye znachnu kilkist kodu z bilsh staroyi oblasti priznachenoyi dlya vimagannya yaka identifikuyetsya antivirusnimi sistemami yak Petya Prote vzhe cherez kilka godin pislya pochatku epidemiyi deyaki doslidniki informacijnoyi bezpeki pomitili sho cya shozhist dosit poverhova Doslidniki z Laboratoriyi Kasperskogo vidmovilisya nazivati shkidlivu programu Petya zamist cogo voni vikoristovuyut termini New Petya NotPetya ExPetr Poshiryuyutsya j inshi varianti ciyeyi nazvi Petna Pneytna ta inshi Krim togo inshi doslidniki yaki samostijno viyavili shkidlive PO viznachili jogo zovsim inshimi nazvami napriklad rumunska kompaniya Bitdefender nazvala jogo Goldeneye Z inshogo boku amerikanska kompaniya Symantec vvazhaye novu zagrozu riznovidom virusu Petya ne dayuchi yij yakoyis inshoyi nazvi 27 chervnya 2017 roku pochalosya masove poshirennya novoyi modifikaciyi programi Na cej raz virus vikoristovuye ti zh vrazlivosti sistemi sho i WannaCry napriklad eksplojt EternalBlue i bekdor a za vidnovlennya dostupu do danih vimagaye vidpraviti 300 dolariv v bitkojnah Pri comu fahivci ne rekomenduyut koristuvacham jti na povodu u vimagachiv oskilki ce vse odno ne dopomozhe yim vidnoviti dostup do danih elektronna adresa na yaku zlovmisniki prosyat vidpraviti dani pislya zdijsnennya platezhu vzhe zablokovana provajderom Na dumku golovnogo inzhenera kompaniyi McAfee Kristiana Bika cya versiya bula rozroblena tak shob maksimalno shvidko poshiryuvatisya Virus otrimuvav parol admina zavdyaki utiliti Mimikatz U kompaniyi ESET zayavili sho poshirennya shkidlivoyi programi pochalosya v Ukrayini Ataka bula v osnovnomu spryamovana proti Ukrayini na yaku pripalo 75 vsih postrazhdalih vid ataki komp yuteriv Ataci piddalisya energetichni kompaniyi Aeroport Harkova Chornobilska AES uryadovi sajti kiyivskij metropoliten Nacionalnij bank Ukrayini opublikuvav na svoyemu sajti oficijnu zayavu pro hakersku ataku na banki krayini i borotbi z neyu Piznishe stali z yavlyatisya povidomlennya pro hakersku ataku na rosijski banki kompaniyi Houm Kredit Rosnafta i Bashnafta Takozh povidomlennya pro zarazhennya stali nadhoditi z Italiyi Izrayilyu Serbiyi Ugorshini Rumuniyi Polshi Argentini Chehiyi Nimechchini Velikoyi Britaniyi SShA Daniyi Niderlandiv Ispaniyi Indiyi Franciyi ta Estoniyi Rozpovsyudzhennya Popri zovnishnyu shozhist novij virus maye istotni vidminnosti vid uzhe vidomogo Petya j tomu otrimav novi nazvi vid riznih doslidnikiv NotPetya Eternal Petya Petna tosho U cilomu vin maye dobre napisanij kod yakij vikoristovuye dlya svogo poshirennya nizku shlyahiv Vrazlivosti EternalBlue ta CVE 2017 0144 ta CVE 2017 0145 vidpovidno obidvi vipravleni v onovlenni MS17 010 Viyavlennya geshiv paroliv zareyestrovanih na komp yuteri koristuvachiv i navit administratoriv algoritm LSA Dump shozhij na Win32 Mimikatz Vikoristannya standartnih mozhlivostej operacijnoyi sistemi spochatku peredaye svoyi fajli ustanovki cherez merezhevi diski Windows Share a potim namagayetsya yih zapustiti abo viddalenim vikonannyam komand PowerShell psexec abo zh cherez sistemu WMIC Windows Management Instrumentation Command line Takim chinom zarazhenij cim hrobakom komp yuter zdaten za pevnih umov vrazhati inshi komp yuteri v merezhi navit ti yaki otrimali ostanni onovlennya operacijnoyi sistemi Abi ne buti viyavlenim antivirusnimi programami binarni kodi virusu zastosovuyut pidroblenij cifrovij pidpis Microsoft shifruvannya algoritmom XOR dlya obhodu perevirok na signaturu Prote popri dosit visokij riven realizaciyi samogo virusu jogo rozrobniki skoristalis vkraj vrazlivim ta nenadijnim sposobom spilkuvannya z zhertvami sho stvoryuye vrazhennya sho zdirnictvo ne bulo osnovnim motivom vsim zhertvam proponuyetsya pererahuvati kriptovalyutu bitkojn vartistyu 300 na gamanec avtora virusu ta peredati vkazanij na ekrani dovgij kod na vkazanu adresu elektronnoyi poshti Poshtova sluzhba de bula zareyestrovana skrinka zlovmisnikiv zablokuvala yiyi vzhe cherez kilka godin pislya pochatku ataki i takim chinom unemozhlivila spilkuvannya mizh zhertvami ta zlovmisnikami Tobto splata vikupu ne maye sensu oskilki garantovano ne dast bazhanogo rezultatu V oprilyudnenij zayavi kompaniya provajder poshtovoyi skrinki povidomila sho ne lishe zablokuvala skrinyu a j aktivno pracyuye z nimeckoyu federalnoyu sluzhboyu informacijnoyi bezpeki v rozsliduvanni ciyeyi podiyi Shkidliva diya Shifruvannya fajliv Shkidliva diya virusu skladayetsya z dvoh chastin ta zalezhit vid prav yakij maye jogo proces ta vid togo yaki procesi pracyuyut v operacijnij sistemi Virus obchislyuye neskladnij gesh nazv zapushenih procesiv i yaksho bude znajdeno napered zadani kodi mozhe abo pripiniti svoye poshirennya abo zh navit vidmovitis vid shkidlivoyi diyi Pershim krokom virus shifruye fajli z napered zadanogo pereliku tipiv yih ponad 60 z vikoristannyam algoritmu AES 128 Dlya kozhnogo komp yutera virus obchislyuye novij klyuch simetrichnogo algoritmu shifruvannya AES 128 yakij shifruye 800 bitnim vidkritim klyuchem RSA z pari klyuchiv zlovmisnikiv ta zberigaye na zhorstkomu disku Povidomlennya z vimogoyu vikupu dlya deshifruvannya fajliv zalishayetsya na zhorstkomu disku Ce povidomlennya maye vidminnij vid klyucha na drugomu kroci klyuch tak zvanij identifikator zhertvi Dovedena mozhlivist vidnovlennya vtrachenih fajliv za umovi otrimannya pravilnogo kodu vid zlovmisnikiv Prote navit tut zlovmisniki pripustilis pomilok vnaslidok yakih vidnovlennya danih istotno uskladnene a sam virus Petya ne mistit modulya dlya vidnovlennya danih tomu dlya cogo neobhidna ishe odna insha programa Slid takozh zaznachiti sho u funkciyi shifruvannya fajliv zlovmisnik pripustivsya pomilki yaka mozhe istotno uskladniti yaksho ne unemozhliviti yihnye vidnovlennya virus shifruye lishe pershij megabajt danih u fajlah bilshogo rozmiru ale ne skidaye stan algoritmu shifruvannya pri perehodi do nastupnogo fajlu Takim chinom dlya vidnovlennya fajliv slid vikonuvati v identichnomu poryadku Znishennya fajlovoyi sistemi Div takozh NTFS ta Golovnij zavantazhuvalnij zapis Pislya zavershennya pershogo kroku shifruvannya fajliv yaksho virus maye dostatno sistemnih prav ta za pevnih inshih umov vin perehodit do drugogo kroku znishennya fajlovoyi sistemi Drugim krokom virus zminyuye golovnij zavantazhuvalnij zapis MBR kodami svogo zapusku obchislyuye identifikator zhertvi angl Victim ID iz zastosuvannyam vipadkovih chisel obchislyuye klyuchi shifruvannya iz vikoristannyam kriptografichno stijkogo generatora psevdovipadkovih chisel zberigaye jogo u MBR vstanovlyuye vipadkovij tajmer ne menshe 10 ale ne bilshe 60 hvilin na perezavantazhennya komp yutera ta znishuye vsi zapisi v sistemnih zhurnalah Pri zavantazhenni komp yutera zavdyaki zminam v golovnomu zavantazhuvalnomu zapisi MBR zamist operacijnoyi sistemi bude zavantazheno shkidlivij kod virusu yakij malyuye na ekrani pidrobku pid interfejs programi perevirki cilisnosti zhorstkogo diska Chkdsk Osnovna shkidliva diya na comu kroci polyagaye v shifruvanni tablici fajliv angl Master File Table MFT fajlovoyi sistemi NTFS algoritmom shifruvannya Salsa20 Pri comu klyuch shifruvannya po zavershenni procesu bezpovorotno stirayetsya a zhertvi proponuyetsya vidpraviti zlovmisnikam dlya otrimannya klyucha deshifruvannya identifikator zhertvi angl Victim ID yakij zhodnim chinom ne pov yazanij z tim klyuchem Taka povedinka vidriznyayetsya vid povedinki originalnogo hrobaka Petya Mischa Originalnij virus Petya zberigav klyuch shifruvannya Salsa20 j tim samim zberigav mozhlivist dlya vidnovlennya danih Hocha cherez pomilku v realizaciyi vidnoviti dani viyavilos mozhlivim navit bez splati vikupu poki cya pomilka ne bula vipravlena u tretij versiyi ta virusi Goldeneye Slid zaznachiti sho shkidliva diya virusu cim ne obmezhena cherez vadu v realizaciyi virus zdaten povtorno vrazhati odnu j tu samu sistemu Todi zashifrovani na pershomu kroci fajli budut zashifrovani vdruge a neobhidnij dlya yihnogo deshifruvannya klyuch bude zatertij novim chim unemozhlivit yihnye vidnovlennya Vikoristannya virusom odnogo yedinogo vidkritogo klyucha RSA oznachaye sho rozkrivshi za vikup bodaj odin kod dlya vidnovlennya danih zhertvi faktichno privatnij klyuch v pari RSA zlovmisniki vodnochas vidkrili b mozhlivist usim inshim vidnoviti vtracheni dani za dopomogoyu cogo klyucha Ce razom z inshimi oznakami mozhe svidchiti sho zdirnictvo ne bulo osnovnim motivom ataki a navpaki pid zdirnictvo bula zamaskovana masshtabna kiberataka na informacijni sistemi ukrayinskih pidpriyemstv vid najbilshih do najmenshih ta organiv derzhavnoyi vladi ZahistBilshist velikih antivirusnih kompanij zayavlyayut sho yihnye programne zabezpechennya onovleno shob aktivno viyavlyati i zahishati vid proniknennya virusu napriklad produkti kompaniyi Symantec vikoristovuyut signaturi onovlenoyi versiyi 20170627 009 Krim togo aktualni onovlennya Windows vipravlyayut vrazlivist EternalBlue sho dozvolyaye zupiniti odin z osnovnih sposobiv zarazhennya a takozh zahistiti koristuvachiv vid majbutnih atak z riznogo rodu korisnimi navantazhennyami Zgodom na sajti Habr buli povidomlennya vid sisadminiv ukrayinskih kompanij sho postrazhdali iz povidomlennyami pro te sho u nih v kompaniyi vzhe buli vstanovleni vsi ostanni onovlennya vstanovlenij fajyervol obmezheni prava koristuvachiv antifishing filtr dlya poshtovikiv i vse odno PK kompaniyi buli zashifrovani Dlya ciyeyi shkidlivoyi ataki buv viyavlenij she odin vektor zahistu Petya pereviryaye nayavnist fajlu perfc dat sho perebuvaye v sistemnij papci tilki dlya chitannya Yaksho vin viyavit cej fajl to ne bude zapuskati shifruvannya programnogo zabezpechennya ta informaciyi Odnak taka vakcina naspravdi ne zapobigaye zarazhennyu shkidlive PO yak i ranishe bude vikoristovuvati tochku opori na zarazhenomu PK z metoyu poshiritisya na inshi komp yuterni sistemi cherez lokalnu merezhu Ataka na UkrayinuDokladnishe Hakerski ataki na Ukrayinu 2017 Pidgotovka Zgidno z povidomlennyami kiberpoliciyi Ukrayini ataka jmovirno bula zasiyana mehanizmom onovlennya programnogo zabezpechennya vbudovanim v buhgaltersku programu M E Doc yaku vikoristovuyut kompaniyi yaki pracyuyut z dokumentami ukrayinskogo uryadu Ce mozhe poyasniti chomu postrazhdala velichezna kilkist ukrayinskih organizacij zokrema uryad banki derzhavni energetichni kompaniyi kiyivskij aeroport i metro Tak napriklad sistema radiacijnogo monitoringu Chornobilskoyi AES bula vidklyuchena vid merezhi zmushuyuchi pracivnikiv perejti na ruchni lichilniki i ruchne upravlinnya v cilomu Druga hvilya epidemiyi bula vidtvorena fishingovoyu kampaniyeyu zi shkidlivimi vkladennyami Sama kompaniya M E Doc sprostovuye sho poshirennya virusu mozhe buti pov yazano z yiyi fajlami onovlennya Odnak fahivci Microsoft pidtverdzhuyut sho deyaki vipadki zarazhennya pochalisya same z ustanovki onovlennya M E Doc Organizatori Na dumku deyakih analitikiv virus lishe maskuyetsya pid zdirnika u toj chas yak jogo spravzhnya meta zapodiyannya shkodi zokrema ukrayinskomu uryadu Doslidnik kiberbezpeki Nikolas Viver visunuv taku gipotezu Petya buv navmisnoyu zlovmisnoyu rujnivnoyu atakoyu abo mozhlivo viprobuvannyam zamaskovanim pid vimagannya Fahivec pid psevdonimom Grugq zaznachiv sho persha versiya virusu bula zlochinnim pidpriyemstvom z metoyu vimagannya groshej ale nova versiya yavno priznachena ne dlya cogo Takozh vin skazav Najimovirnishe cej hrobak priznachenij dlya shvidkogo poshirennya i nanesennya maksimalnogo zbitku za dopomogoyu pravdopodibnogo na pershij poglyad vimagannya Na korist ciyeyi versiyi govorit i te sho 28 chervnya Den Konstituciyi v Ukrayini Do togo zh bulo viyavleno sho sered inshih povidomlen mehanizm vimagannya shkidlivogo PO skonstrujovanij nevmilo i buv zovsim marnim yedina adresa pogano zashifrovana tobto ruh groshej mozhna vidstezhiti She odniyeyu nedorobkoyu mozhna zaznachiti vimogu vidpraviti 60 znachnij personalnij identifikacijnij klyuch zarazhenoyi mashini z komp yutera na yakomu nemozhlivo kopiyuvati i vstavlyati tekst z ekranu Za oficijno ne pidtverdzhenimi danimi ishe v listopadi 2017 roku CRU dijshlo ostatochnogo visnovku sho za atakami iz vikoristannyam NotPetya stoyat vidpovidni pidrozdili pid upravlinnyam GRU GSh RF Za danimi Washington Post yaka oprilyudnila cyu informaciyu cej pidrozdil maye nazvu Golovnij centr specialnih tehnologij ros Glavnyj centr specialnyh tehnologij Vidpovidalnist za ataku na Rosiyu poklali vsi p yat krayin chleniv soyuzu FVEY Avstraliya Velika Britaniya Kanada Nova Zelandiya SShA a takozh uryadi Daniyi ta Ukrayini Zokrema Uryad Britaniyi vvazhaye sho vidpovidalnist za Petya vikoristanij v chervni 2017 roku lezhit na rosijskij vladi a same rosijskij armiyi zayaviv zastupnik ministra zakordonnih sprav Britaniyi Tarik Ahmad Administraciya Prezidenta SShA Donalda Trampa zayavila V chervni 2017 roku rosijski vijskovi zdijsnili najmasshtabnishu hakersku ataku sho zavdala najbilshih zbitkiv v istoriyi Ataka nini vidoma yak NotPetya strimko poshirilas na ves svit ta zavdala milyardni zbitki pidpriyemstvam v Yevropi Aziyi ta v oboh Amerikah Cya ataka bula skladovoyu chastinoyu sprob Kremlya destabilizuvati Ukrayinu ta yasno svidchit pro zaluchennya Kremlya u potochnij konflikt Takozh cya hakerska ataka bula bezvidpovidalnoyu ta nevibirkovoyu vona ne zalishitsya bez naslidkiv z boku mizhnarodnogo tovaristva Avstralijskij uryad spilno z uryadami SShA ta Britaniyi zasudzhuye zdijsnenu Rosiyeyu ataku iz vikoristannyam virusu NotPetya na kritichnu infrastrukturu ta privatni pidpriyemstva v chervni 2017 roku Nastupni versiyiBad Rabbit V zhovtni 2017 roku stalas chergova epidemiya urazhennya informacijnih sistem virusom hrobakom dlya zdirnictva cherez shifruvannya fajliv Bad Rabbit Win32 Diskcoder D Ransom BadRabbit Spochatku zlovmisniki otrimali nesankcijovanij dostup do nizki vebsajtiv de vstavili vlasni scenariyi JavaScript u storinki Ci scenariyi zvertalis na server upravlinnya zlovmisnikiv zvidki otrimuvali osnovnu chastinu podalshogo scenariyu Otrimanij scenarij JavaScript poperedzhav koristuvacha pro neobhidnist onoviti vstanovlenij modul Flash Player ale zamist zavantazhennya onovlennya koristuvach zavantazhuvav programu instalyator virusu z imenem fajlu install flash player exe Na vidminu vid NotPetya v cij versiyi buli vipravleni pomilki shifruvannya Tut vzhe vikoristana utilita z vidkritimi kodami DiskCryptor Klyuchi shifruvannya generuyutsya CryptGenRandom dlya algoritmu AES 128 CBC a potim zahishayutsya vidkritim klyuchem RSA 2048 Okrim zavantazhennya cherez urazheni vebsajti danij virus maye vlastivosti merezhevogo hrobaka oskilki zdaten poshiryuvati sebe cherez spilni teki SMB Server Message Block ta vikoristovuye urazlivist EternalRomance Dlya otrimannya prav administratora virus vikoristovuye programu mimikatz Pik zarazhen virusom pripav na 24 zhovtnya 2017 roku Najbilshe nim bulo urazheno komp yuteriv v Rosiyi 65 86 ta Ukrayini 1 12 2 Prote popri porivnyano neveliku kilkist zarazhen vidomo pro timchasove vivedennya z ladu informacijnih sistem Kiyivskogo metropolitenu ta Odeskij aeroport Golova kiberpoliciyi Ukrayini Sergij Demedyuk zayaviv sho ataka iz zastosuvannyam virusu Bad Rabbit posluzhila prikrittyam dlya nabagato vitonchenishoyi ataki na pidpriyemstva koristuvachiv rosijskih program simejstva 1S Spravzhnoyu metoyu ataki bulo otrimannya nesankcijovanogo dostupu do konfidencijnih ta finansovih danih A ataka hrobakom bula lishe yaskravim prikrittyam I popri bilshe poshirennya hrobaka v Rosiyi druga chastina ataki sluzhit dokazom togo sho osnovnoyu mishennyu buli pidpriyemstva v Ukrayini Koristuvachi PZ 1S otrimuvali fishingovi listi nachebto vid imeni rozrobnikiv ciyeyi programi Vsogo vidomo pro 15 pidpriyemstv sho postrazhdali vid ciyeyi chastini ataki Za danimi britanskogo Nacionalnogo centru komp yuternoyi bezpeki NCSC vidpovidalnist za cyu ataku mozhna z visokoyu vpevnenistyu poklasti na rosijskih vijskovih hakeriv GU GSh ZS RF z ugrupuvannya Fancy Bear Sered postrazhdalih pidpriyemstv ye Kiyivskij metropoliten aeroport Odesa Centralnij bank RF dva rosijskih ZMI Naslidki18 chervnya 2021 RNBO vvela sankciyi proti hakeriv prichetnih do rozrobki virusu Petya zokrema proti chotiroh yuridichnih i shesti fizichnih osib afilijovanih zi specsluzhbami RF Za danimi RNBO voni prichetni do rozrobki virusu jogo administruvanya j organizaciyi kiberatak v Ukrayini Primitki The White House 15 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 Novaya epidemiya shifrovalshika Petya NotPetya ExPetr Kaspersky Lab Procitovano 28 chervnya 2017 unspecified title d Track Q120347265 Kaspersky Lab 30 bereznya 2016 Arhiv originalu za 29 chervnya 2017 Procitovano 27 chervnya 2017 Symantec United States 29 bereznya 2016 Arhiv originalu za 11 lipnya 2017 Procitovano 27 chervnya 2017 UNIAN Sobytiya nedeli versiya chitatelej UNIAN na Ukraine ispytali kiberoruzhie 27 lyutogo 2018 u Wayback Machine 30 06 2017 Symantec Security Response Arhiv originalu za 29 chervnya 2017 Procitovano 27 chervnya 2017 The Hon Angus Taylor MP Minister for Law Enforcement and Cybersecurity 16 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 National Cyber Security Centre 15 lyutogo 2018 Arhiv originalu za 15 lyutogo 2018 Procitovano 16 lyutogo 2018 Greta Bossenmaier 15 lyutogo 2018 Communications Security Establishment Arhiv originalu za 3 lipnya 2018 Procitovano 16 lyutogo 2018 Government Communications Security Bureau 16 lyutogo 2018 Arhiv originalu za 17 lyutogo 2018 Procitovano 16 lyutogo 2018 Berlingske Business 15 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 SBU 01 07 2017 Arhiv originalu za 5 lipnya 2017 Procitovano 16 lyutogo 2018 Check Point Blog 11 kvitnya 2016 Arhiv originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 blog kaspersky ru Arhiv originalu za 11 lipnya 2017 Procitovano 28 chervnya 2017 Constantin Lucian Network World angl Arhiv originalu za 31 lipnya 2017 Procitovano 28 chervnya 2017 blog kaspersky ru Arhiv originalu za 9 lyutogo 2017 Procitovano 28 chervnya 2017 the grugq 27 chervnya 2017 the grugq Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 Motherboard Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 Burgess Matt WIRED UK brit Arhiv originalu za 27 chervnya 2017 Procitovano 28 chervnya 2017 Ukraina podverglas samoj krupnoj v istorii kiberatake virusom Petya 28 chervnya 2017 u Wayback Machine habrahabr ru 27 chervnya 2017 Interfax ru ru RU 28 chervnya 2017 Arhiv originalu za 29 chervnya 2017 Procitovano 28 chervnya 2017 Arhiv originalu za 30 chervnya 2017 Procitovano 30 chervnya 2017 ESET Glavnoj zhertvoj virusa shifrovalshika Petya A stala Ukraina gde zaregistrirovano bolee 75 vseh sluchaev zarazheniya 2 lipnya 2017 u Wayback Machine itc ua Interfaks Ukraina Arhiv originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 Interfax ru ru RU 28 chervnya 2017 Arhiv originalu za 29 chervnya 2017 Procitovano 28 chervnya 2017 Novosti Mail Ru Arhiv originalu za 1 serpnya 2017 Procitovano 28 chervnya 2017 24tv ua Telekanal novostej 24 Arhiv originalu za 1 lipnya 2017 Procitovano 28 chervnya 2017 bank gov ua Arhiv originalu za 29 chervnya 2017 Procitovano 28 chervnya 2017 Virus Petya A uzhe atakoval kompyutery desyatka krupnyh kompanij Pyatyj kanal ros Procitovano 28 chervnya 2017 RUS Delfi 1498635301 Arhiv originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 Solon Olivia 27 chervnya 2017 The Guardian brit 0261 3077 Arhiv originalu za 30 travnya 2019 Procitovano 28 chervnya 2017 The Independent brit 27 chervnya 2017 Arhiv originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 Pomilka cituvannya Nepravilnij viklik tegu lt ref gt dlya vinosok pid nazvoyu grugq 59afd1ee89d4 ne vkazano tekst Pomilka cituvannya Nepravilnij viklik tegu lt ref gt dlya vinosok pid nazvoyu mmpc 27 ne vkazano tekst Hern Alex 28 chervnya 2017 The Guardian brit ISSN 0261 3077 Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 PDF CERT EU 27 chervnya 2017 Arhiv originalu PDF za 3 lyutogo 2019 Procitovano 11 lipnya 2017 Posteo 27 Juni 2017 Arhiv originalu za 27 chervnya 2017 Procitovano 11 lipnya 2017 Andy Patel 29 chervnya 2017 F Secure Arhiv originalu za 30 chervnya 2017 Procitovano 11 lipnya 2017 How EternalPetya Encrypts Files In User Mode F Secure 4 lipnya 2017 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z parametrom url status ale bez parametra archive url posilannya Malwarebytes Labs 29 chervnya 2017 Arhiv originalu za 1 lipnya 2017 Procitovano 11 lipnya 2017 MSPoweruser amer 13 travnya 2017 Arhiv originalu za 29 travnya 2020 Procitovano 28 chervnya 2017 Ukraina podverglas samoj krupnoj v istorii kiberataki virusom Petya 22 veresnya 2017 u Wayback Machine protectmaster org Cyberpolice Ukraine 27 chervnya 2017 Ce PZ maye vbudovanu funkciyu onovlennya yaka periodichno zvertayetsya do serveru http upd me doc com ua za dopomogoyu User Agent medoc1001189 CyberpoliceUA Procitovano 28 chervnya 2017 www facebook com Arhiv originalu za 27 chervnya 2017 Procitovano 28 chervnya 2017 Windows Security amer Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 krebsonsecurity com Arhiv originalu za 13 lyutogo 2021 Procitovano 28 chervnya 2017 Lee David 28 chervnya 2017 BBC News brit Arhiv originalu za 17 serpnya 2019 Procitovano 29 chervnya 2017 The New York Times 27 chervnya 2017 Arhiv originalu za 27 chervnya 2017 Procitovano 28 chervnya 2017 Ellen Nakashima 12 sichnya 2018 Washington Post Arhiv originalu za 13 sichnya 2018 Procitovano 29 sichnya 2018 Arhiv originalu za 12 grudnya 2018 Procitovano 15 lyutogo 2018 MARC ETIENNE M LEVEILLE 24 OCT 2017 We Live Security Arhiv originalu za 27 zhovtnya 2017 Procitovano 27 zhovtnya 2017 Semantec Security Response 25 zhovtnya 2017 Arhiv originalu za 27 zhovtnya 2017 Procitovano 27 zhovtnya 2017 Pavel Polityuk Alessandra Prentice 2 listopada 2017 Reuters Arhiv originalu za 3 listopada 2017 Procitovano 3 listopada 2017 National Cyber Security Center 4 zhovtnya 2018 Arhiv originalu za 8 zhovtnya 2018 Procitovano 4 zhovtnya 2018 RBK Ukraina ros Arhiv originalu za 24 chervnya 2021 Procitovano 20 chervnya 2021 Div takozhHakerski ataki na Ukrayinu 2017 ta rosijsko ukrayinska kibervijna WannaCry EternalBlue Komp yuternij hrobak Ransomware mimikatzPosilannyaPoradi SBU 1 27 chervnya 2017 u Wayback Machine Microsoft Secure Overview of Petya a rapid cyberattack 7 lyutogo 2018 u Wayback Machine

Дата публікації:
Топ