Mail.ruПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискСмотриComboВсе проекты

Откуда пришел Petya: программу M.E doc обвинили в хакерской атаке

27 июня почти сто компаний России и Украины пострадали от новой атаки с использованием шифровальщика-вымогателя Petya. По свидетельствам экспертов, новая вирусная кампания никак не связана с WannaCry. Киберполиция Украины уже назвала способ распространения зловреда на территории страны.

Вирус-вымогатель Petya атаковал компьютеры Украины, России, Швеции, Голландии, Дании и других стран. Только что появление вируса зафиксировано в Азии: в Индии вышла из строя система управления грузопотоком крупнейшего в стране контейнерного порта. Однако, Украина пострадала больше всего — аэропорт Харькова полностью парализован, в аэропорту Борисполь работа восстановлена, но все еще не работает главный сервер. Всего заблокировано около 300 тысяч компьютеров, пользователь должен заплатить 300 долларов за разблокировку данных. На данный момент, хакерам выплачено около 5000 долларов от 20 пользователей, сообщает Next Web.

Кто виноват?

Ночью департамент киберполиции Национальной полиции Украины сообщил у себя на странице в Facebook, что атака на Украину осуществлялась через программу для отчетности и документооборота «M.E.doc»:

Полицейские сообщают, что атака началась в 10:30 по Московскому времени, после того как разработчики софта выкатили очередное обновление. При этом сами авторы программ для автоматизации документооборота свою причастность категорически отрицают и приводят подробные аргументы:

Позже на странице Киберполиции появилось сообщение о том, что они не обвиняют компанию «M.E.doc», а лишь констатируют: выявлены факты, которые следует детально проверить. Однако ставить обновление все равно не рекомендуют:

Кто такой Петя?

Как эксперты Positive Technologies рассказали Hi-Tech Mail.ru, это зловред, принцип действия которого основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. 

Даже после того как компьютер был заражен, у пользователя остается 1-2 часа, за которые можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС, однако расшифровать файлы не удастся.

Кроме того, Petya умеет обходить обновления безопасности системы, которые были установлены после атаки WannaCry, поэтому он настолько эффективен и распространяется на другие компьютеры лавинообразно. Он борется за контроль над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

Как с ним бороться?

Эксперты из «Лаборатории Касперского» рекомендуют полностью обновить систему и антивирусы; также с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals. В момент атаки Petya ищет файл C:\Windows\perfc, и если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения, сообщает Symantec.

Кроме того, рекомендуется отключить протокол SMBv1. Как это сделать, можно найти на официальном сайте компании «Microsoft». Рекомендуется, по возможности, заблокировать на сетевом оборудовании или в настройках файервола (брандмауэра) порты 137, 138, 139 и 445, которые зловред использует для распространения в локальных сетях.

Также имеет смысл установить программное обеспечение для защиты главной загрузочной записи (MBR) от внесения несанкционированных изменений.

Также читайте наши материалы о том, что показала атака WannaCry, и как распознать фишинг.

Новость дополняется...

Предупреди друзей о Petya — используй кнопки ниже
Обзоры новинок
Подробности о главных премьерах
Комментарии
114
Ilia test
оаоаоааь
СсылкаПожаловаться
Владимир Пасошников
А насчет игрушек так это дома, на личном компе у меня трое сыновей и у каждого свои хотелки по поводу игр, кстати большую часть игр тоже под убунтой запустил.
СсылкаПожаловаться
Владимир Пасошников
1c работает, терминальный доступ работает, в АД виндоус подключен, таймвивер работает, кстати офис тоже работает причем майкросафт с остальным не заморачивался поскольку оно нам не надо.
СсылкаПожаловаться
Hard Rock!
В ответ на комментарий от Владимир Пасошников История переписки3
Владимир Пасошников
Ну батенька хреновые у вас линуксоиды! Прекрасно все работает, без лагов и в АД виндоус подключается, а винду держу на домашнем компе для игрулек которые пока ни под линукс ни под вайн не заточилию
СсылкаПожаловаться
вот и продолжай играть. хотел бы я посмотреть как та своем лине запустишь написанные под винду программы РЖД или минздрава. я про корпоративные проги, а не про твои игрушки.
СсылкаПожаловаться
Hard Rock!
В ответ на комментарий от 33
33
Используйте Linux, *BSD, настраивайте правила iptables на запрет прохождения пакетов по портам 137, 138, 139, 445 и будет вам счастье.
СсылкаПожаловаться
всегда с ржал с тех советчиков для которых комп это в игрушку поиграть. Мальчик, здесь дяди о серьезный программах разговаривают, иди играйся, не мешай тут
СсылкаПожаловаться
Иван Павлов
оооочень напоминает сюжет фильма "Я Робот"
СсылкаПожаловаться
unknown
Если я такое сделаю на работе, меня там же линчуют...
СсылкаПожаловаться
unknown
Кроме того, рекомендуется отключить протокол SMBv1. Как это сделать, можно найти на официальном сайте компании «Microsoft». Рекомендуется, по возможности, заблокировать на сетевом оборудовании или в настройках файервола (брандмауэра) порты 137, 138, 139 и 445, которые зловред использует для распространения в локальных сетях.
СсылкаПожаловаться
Алексей Головин
"Надо было юзать Linux"
СсылкаПожаловаться
jonikus
"5000 долларов от 20 пользователей". Оболдеть, такие люди еще существуют!!!
СсылкаПожаловаться
Владимир Пасошников
В ответ на комментарий от Юрий Щербаков История переписки2
Юрий Щербаков
А я вот сижу в Винде, на ХРюшке,
и даже без антивируса.
За 10 лет ни одного заражения.
Правда, всё поотключал. Всякие автоматы запуска, обновления и проч.дребедень.
Конечно, бывает видео не пашет,
ну а мне такое видео надо ?
Тем более на работе, когда начальство в затылок дышит.
------------------------------
Теперь о Лине :
Мы в Винде - как в команде единой.
А пара наших пацанов - линухов даже друг у друга компы не могут поднастроить.
Не знаю, говорят, у него другая версия...
----------------------------
И ещё.
Не обольщайтесь !
В Лине багов м.б. не меньше.
Только люди знающие об этом болтать особо не желают.
СсылкаПожаловаться
Ну батенька хреновые у вас линуксоиды! Прекрасно все работает, без лагов и в АД виндоус подключается, а винду держу на домашнем компе для игрулек которые пока ни под линукс ни под вайн не заточилию
СсылкаПожаловаться
Prophet
В ответ на комментарий от артур акбашев История переписки2
артур акбашев
Без работы себя оставят эти хакеры ))))
СсылкаПожаловаться
Не останутся хакеры без работы, у них то инет работал и работать будет, как же кибер-атаки проводить!
СсылкаПожаловаться
артур акбашев
В ответ на комментарий от Prophet
Prophet
Хакеры, придумайте вирус для пожизненной блокировки инета у пользователя, автоматического форматирования и шифрования диска С без возможности восстановления данных!!! Переключения напряжения на процессор с последующим его сгоранием!!! Цены вам не будет, а я порадуюсь за Вас!!! Удачи!!!
СсылкаПожаловаться
Без работы себя оставят эти хакеры ))))
СсылкаПожаловаться
33
Используйте Linux, *BSD, настраивайте правила iptables на запрет прохождения пакетов по портам 137, 138, 139, 445 и будет вам счастье.
СсылкаПожаловаться
Вита
В ответ на комментарий от Евгений Кит
Евгений Кит
На работе вылечили с парнем компьютер от этого вируса безболезненно документы все целы все работает)
СсылкаПожаловаться
как?
СсылкаПожаловаться
Сувлехиим Такац
В ответ на комментарий от ДАРМИДОН ЕВЛАМПЫЧЪ История переписки3
ДАРМИДОН ЕВЛАМПЫЧЪ
Умное изречение.. Ну поделитесь "правильными настройками Винды"... Утрите носы всем программистам..
СсылкаПожаловаться
Software Restriction Policy настройка называется )))
СсылкаПожаловаться
ДАРМИДОН ЕВЛАМПЫЧЪ
В ответ на комментарий от S B История переписки2
S B
в Винде при правильных настройках нет прав вирусу что-то делать
СсылкаПожаловаться
Умное изречение.. Ну поделитесь "правильными настройками Винды"... Утрите носы всем программистам..
СсылкаПожаловаться
седой
мыле меняет информацию по 5 раз на дню..вчера писалось о 300 битконах..сегодня уже фигурируют доллары..
СсылкаПожаловаться
Prophet
В ответ на комментарий от АЛЕКСЕЙ История переписки2
АЛЕКСЕЙ
По мне так лучше ? вообще уничтожить , всеми любимый интернет !
СсылкаПожаловаться
Это невозможно, тогда некому будет разводить лохов на бабки!
СсылкаПожаловаться
S B
В ответ на комментарий от Владимир Шушпанов
Владимир Шушпанов
Немного создатели неправильно состряпали "петю". Если бы сделали таймаут с недельку - другую до активации вредоноса -- то есть заразил - продолжай заражать до истечения отсрочки. Отсрочка прошла - включается вредонос. Вот тогда объём заражения был бы значительно больше. Так что ещё повезло. А вообще винда дырявая насквозь. Да тут ещё говорят, что исходники 10 винды спёрли. Так что виндоуз-пиплам надо приготовиться к более масштабным ситуациям... Соболезную. У меня Linux как дома, так и на работе. В нём при правильных настройках подобные заразы не проходят. Хотя тоже встречаются уязвимости в ядре и ПО, но их очень быстро латают. Желаю всем удачи в борьбе с напастью.
СсылкаПожаловаться
в Винде при правильных настройках нет прав вирусу что-то делать
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас