Computervirus Petya Misha. Wie zit er achter de massale infectie van Oekraïne?

Virussen vormen een integraal onderdeel van het ecosysteem van het besturingssysteem. In de meeste gevallen hebben we het over Windows en Android, en als je echt pech hebt, over OS X en Linux. Bovendien, terwijl voorheen massale virussen alleen gericht waren op het stelen van persoonlijke gegevens, en in de meeste gevallen eenvoudigweg op het beschadigen van bestanden, hebben encryptors nu “de overheersing”.

En dit is niet verrassend: de rekenkracht van zowel pc's als smartphones is als een lawine gegroeid, wat betekent dat de hardware voor dergelijke "grappen" steeds krachtiger wordt.

Enige tijd geleden ontdekten experts het Petya-virus. G DATA SecurityLabs ontdekte dat het virus beheerderstoegang tot het systeem vereist en dat het de bestanden niet codeert, maar alleen de toegang daartoe blokkeert. Tegenwoordig bestaan er al remedies van Petya (Win32.Trojan-Ransom.Petya.A‘). Het virus wijzigt zelf de opstartrecord op de systeemschijf en zorgt ervoor dat de computer crasht, waarbij een bericht wordt weergegeven over gegevensbeschadiging op de schijf. In feite is dit slechts encryptie.

De malware-ontwikkelaars eisten betaling om de toegang te herstellen.

Tegenwoordig is er echter naast het Petya-virus een nog geavanceerder virus verschenen: Misha. Het heeft geen beheerdersrechten nodig en codeert gegevens zoals klassieke Ransomware, waarbij YOUR_FILES_ARE_ENCRYPTED.HTML- en YOUR_FILES_ARE_ENCRYPTED.TXT-bestanden op de schijf of map worden gemaakt met gecodeerde gegevens. Ze bevatten instructies voor het verkrijgen van de sleutel, die ongeveer $ 875 kost.

Het is belangrijk op te merken dat de infectie plaatsvindt via e-mail, die een exe-bestand met virussen ontvangt, vermomd als pdf-document. En hier moeten we er nog eens aan worden herinnerd: controleer zorgvuldig de brieven met bijgevoegde bestanden en probeer ook geen documenten van internet te downloaden, aangezien nu een virus of een kwaadaardige macro kan worden ingesloten in een doc-bestand of webpagina.

We merken ook op dat er tot nu toe geen hulpprogramma's zijn om het “werk” van het Misha-virus te ontcijferen.

Een aantal Russische en Oekraïense bedrijven werden aangevallen door het Petya-ransomwarevirus. De online publicatiesite sprak met experts van Kaspersky Lab en het interactieve bureau AGIMA en ontdekte hoe bedrijfscomputers tegen het virus kunnen worden beschermd en hoe Petya lijkt op het even beroemde WannaCry-ransomwarevirus.

Virus "Petya"

In Rusland zijn er Rosneft, Bashneft, Mars, Nivea en Alpen Gold chocoladefabrikant Mondelez International. Ransomwarevirus van het stralingsmonitoringsysteem van de kerncentrale van Tsjernobyl. Bovendien trof de aanval computers van de Oekraïense overheid, Privatbank en telecomoperatoren. Het virus vergrendelt computers en eist een losgeld van $300 in bitcoins.

In de microblog op Twitter sprak de persdienst van Rosneft over een hackeraanval op de servers van het bedrijf. “Er is een krachtige hackeraanval uitgevoerd op de servers van het bedrijf. We hopen dat dit niets te maken heeft met de huidige juridische procedure. Het bedrijf heeft contact opgenomen met wetshandhavingsinstanties over de cyberaanval”, aldus het bericht.

Volgens perssecretaris Michail Leontyev van het bedrijf functioneren Rosneft en zijn dochterondernemingen normaal. Na de aanval schakelde het bedrijf over op een back-upprocescontrolesysteem, zodat de olieproductie en -behandeling niet stopten. Het Home Credit-banksysteem werd ook aangevallen.

"Petya" infecteert niet zonder "Misha"

Volgens Uitvoerend directeur van AGIMA Evgeniy Lobanov In feite werd de aanval uitgevoerd door twee encryptievirussen: Petya en Misha.

“Ze werken samen. “Petya” infecteert niet zonder “Misha”. Hij kan infecteren, maar de aanval van gisteren bestond uit twee virussen: eerst Petya, daarna herschrijft “Petya” het opstartapparaat (waar de computer vanaf opstart) en Misha – “versleutelt bestanden met behulp van een specifiek algoritme”, legde de specialist uit. “Petya codeert de opstartsector van de schijf (MBR) en vervangt deze door zijn eigen, Misha codeert al alle bestanden op de schijf (niet altijd).”

Hij merkte op dat het WannaCry-encryptievirus, dat in mei van dit jaar grote mondiale bedrijven aanviel, niet vergelijkbaar is met Petya, maar een nieuwe versie is.

"Petya.A komt uit de WannaCry-familie (of beter gezegd WannaCrypt), maar het belangrijkste verschil, waarom het niet hetzelfde virus is, is dat het is vervangen door de MBR met een eigen opstartsector - dit is een nieuw product voor Ransomware. Het Petya-virus verscheen lang geleden, op GitHab (een online dienst voor IT-projecten en gezamenlijke programmering - website) https://github.com/leo-stone/hack-petya" target="_blank">er was een decryptor voor deze encryptor, maar geen enkele decryptor is geschikt voor de nieuwe wijziging.

Jevgeni Lobanov benadrukte dat de aanval Oekraïne harder trof dan Rusland.

“We zijn gevoeliger voor aanvallen dan andere westerse landen. We zullen beschermd zijn tegen deze versie van het virus, maar niet tegen de wijzigingen ervan. Ons internet is onveilig, in Oekraïne is dat zelfs nog minder het geval mobiele operators werden aangevallen (Vodafone, Kyivstar) en medische bedrijven, dezelfde Pharmamag en Shell-tankstations – allemaal zeer grote transcontinentale bedrijven”, zei hij in een interview met de site.

De uitvoerend directeur van AGIMA merkte op dat er nog geen feiten zijn die zouden wijzen op de geografische locatie van de verspreider van het virus. Volgens hem zou het virus in Rusland zijn verschenen. Helaas is daar geen direct bewijs voor.

“Er wordt aangenomen dat dit onze hackers zijn, aangezien de eerste wijziging in Rusland verscheen, en het virus zelf, dat voor niemand een geheim is, vernoemd is naar Petro Porosjenko. Het was de ontwikkeling van Russische hackers, maar het is moeilijk te zeggen die het verder heeft veranderd. Het is duidelijk dat zelfs als je in Rusland bent, het gemakkelijk is om bijvoorbeeld een computer met geolocatie in de VS te hebben”, legde de expert uit.

“Als uw computer plotseling ‘geïnfecteerd’ is, mag u uw computer niet uitschakelen. Als u opnieuw opstart, logt u nooit meer in.”

“Als uw computer plotseling ‘geïnfecteerd’ is, kunt u de computer niet uitschakelen, omdat het Petya-virus de MBR vervangt – de eerste opstartsector van waaruit het besturingssysteem wordt geladen. Als u opnieuw opstart, logt u nooit meer in op het systeem. Hierdoor worden de ontsnappingsroutes afgesloten, zelfs als het "tablet" lijkt, is het niet langer mogelijk om de gegevens terug te sturen. Vervolgens moet u de verbinding met internet onmiddellijk verbreken, zodat de computer niet online gaat. Een officiële patch van Microsoft is al vrijgegeven, het biedt een veiligheidsgarantie van 98 procent. Helaas nog niet 100 procent. Een bepaalde wijziging van het virus (hun drie delen) omzeilt hij voorlopig, ‘raadde Lobanov aan. – Als u echter opnieuw opstart en het proces “controleer schijf” ziet, moet u op dit punt de computer onmiddellijk uitschakelen en blijven de bestanden niet-versleuteld.

Daarnaast legde de expert ook uit waarom Microsoft-gebruikers het vaakst worden aangevallen, en niet MacOSX (Apple-besturingssysteem - website) en Unix-systemen.

"Hier is het juister om niet alleen over MacOSX te praten, maar ook over alle Unix-systemen (het principe is hetzelfde). Het virus verspreidt zich alleen naar computers, zonder mobiele apparaten. Het Windows-besturingssysteem is onderhevig aan aanvallen en bedreigt alleen die Gebruikers die bij wijze van uitzondering de automatische systeemupdatefunctie hebben uitgeschakeld, zijn zelfs beschikbaar voor bezitters van oudere versies van Windows die niet langer worden bijgewerkt: XP, Windows 8 en Windows Server 2003”, aldus de expert.

"MacOSX en Unix zijn wereldwijd niet vatbaar voor dergelijke virussen, omdat veel grote bedrijven de infrastructuur van Microsoft gebruiken. MacOSX is niet vatbaar omdat het niet zo gebruikelijk is bij overheidsinstanties. Er zijn minder virussen voor, het is niet rendabel om ze te maken." omdat het aanvalssegment kleiner zal zijn dan bij een aanval op Microsoft”, concludeerde de specialist.

'Het aantal aangevallen gebruikers heeft de tweeduizend bereikt'

In de persdienst van Kaspersky Lab, wiens experts de laatste golf van infecties blijven onderzoeken, zeiden dat “deze ransomware niet tot de reeds bekende Petya-ransomwarefamilie behoort, hoewel er verschillende regels code mee gemeen zijn.”

Het Laboratorium is ervan overtuigd dat we het in dit geval hebben over een nieuwe familie kwaadaardige software met functionaliteit die aanzienlijk verschilt van die van Petya. Kaspersky Lab heeft zijn nieuwe ransomware ExPetr genoemd.

“Volgens Kaspersky Lab bedroeg het aantal aangevallen gebruikers tweeduizend. De meeste incidenten werden geregistreerd in Rusland en Oekraïne; er werden ook gevallen van infectie waargenomen in Polen, Italië, Groot-Brittannië, Duitsland, Frankrijk, de VS en een aantal andere landen Op dit moment suggereren onze experts “dat deze malware verschillende aanvalsvectoren gebruikte. Er werd vastgesteld dat een aangepaste EternalBlue-exploit en een EternalRomance-exploit werden gebruikt voor distributie in bedrijfsnetwerken”, aldus de persdienst.

Deskundigen onderzoeken ook de mogelijkheid om een decoderingstool te creëren die kan worden gebruikt om de gegevens te decoderen. Het Laboratorium deed ook aanbevelingen voor alle organisaties om een virusaanval in de toekomst te voorkomen.

“Wij raden organisaties aan updates voor het Windows-besturingssysteem te installeren. Voor Windows XP en Windows 7 moeten ze de beveiligingsupdate MS17-010 installeren en ervoor zorgen dat ze over een effectief gegevensback-upsysteem beschikken. Door op een tijdige en veilige manier een back-up van gegevens te maken, kunnen u de originele bestanden kunt herstellen, zelfs als ze met malware zijn gecodeerd”, adviseren experts van Kaspersky Lab.

Het Laboratorium raadt zijn zakelijke klanten ook aan ervoor te zorgen dat alle beschermingsmechanismen worden geactiveerd, en er vooral voor te zorgen dat de verbinding met de Kaspersky Security Network-cloudinfrastructuur wordt geweigerd; toegang tot alle applicatiegroepen (en dienovereenkomstig de uitvoering) van een bestand met de naam "perfc.dat", enz.

“Als u geen Kaspersky Lab-producten gebruikt, raden we u aan de uitvoering van het bestand met de naam perfc.dat uit te schakelen en ook de start van het PSExec-hulpprogramma vanuit het Sysinternals-pakket te blokkeren met behulp van de AppLocker-functie die is opgenomen in het Windows-besturingssysteem (besturingssysteem – website)”, aanbevolen in het laboratorium.

12 mei 2017 voor velen – een encryptor van gegevens op de harde schijven van computers. Hij blokkeert het apparaat en eist losgeld.
Het virus trof organisaties en afdelingen in tientallen landen over de hele wereld, waaronder Rusland, waar het ministerie van Volksgezondheid, het ministerie van Noodsituaties, het ministerie van Binnenlandse Zaken, servers van mobiele operators en verschillende grote banken werden aangevallen.

De verspreiding van het virus werd per ongeluk en tijdelijk gestopt: als hackers slechts een paar regels code zouden wijzigen, zou de malware weer gaan werken. De schade van het programma wordt geschat op een miljard dollar. Na forensische taalkundige analyse hebben experts vastgesteld dat WannaCry is gemaakt door mensen uit China of Singapore.

Begin mei waren ongeveer 230.000 computers in meer dan 150 landen besmet met een ransomwarevirus. Voordat de slachtoffers tijd hadden om de gevolgen van deze aanval weg te nemen, volgde een nieuwe, genaamd Petya. De grootste Oekraïense en Russische bedrijven, evenals overheidsinstellingen, hadden eronder te lijden.

De cyberpolitie van Oekraïne heeft vastgesteld dat de virusaanval begon via het mechanisme voor het updaten van de boekhoudsoftware M.E.Doc, die wordt gebruikt voor het opstellen en verzenden van belastingaangiften. Zo werd bekend dat de netwerken van Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo en het Dnjepr Electric Power System niet aan infectie ontsnapten. In Oekraïne drong het virus overheidscomputers, pc's van de Kievse metro, telecombedrijven en zelfs de kerncentrale van Tsjernobyl binnen. In Rusland werden Mondelez International, Mars en Nivea getroffen.

Het Petya-virus maakt misbruik van de EternalBlue-kwetsbaarheid in het Windows-besturingssysteem. Experts van Symantec en F-Secure zeggen dat hoewel Petya gegevens versleutelt zoals WannaCry, het nog steeds enigszins verschilt van andere soorten versleutelingsvirussen. “Het Petya-virus is een nieuw soort afpersing met kwaadaardige bedoelingen: het versleutelt niet alleen bestanden op de schijf, maar vergrendelt de hele schijf, waardoor deze praktisch onbruikbaar wordt”, legt F-Secure uit. “Concreet codeert het de MFT-masterbestandstabel.”

Hoe komt dit en kan dit proces worden voorkomen?

Virus "Petya" - hoe werkt het?

Het Petya-virus is ook bekend onder andere namen: Petya.A, PetrWrap, NotPetya, ExPetr. Zodra het de computer binnendringt, downloadt het ransomware van internet en probeert het een deel van de harde schijf aan te vallen met de gegevens die nodig zijn om de computer op te starten. Als hij hierin slaagt, geeft het systeem een Blue Screen of Death (“blauw scherm van de dood”) af. Na het opnieuw opstarten verschijnt er een bericht over het controleren van de harde schijf, waarin u wordt gevraagd de stroom niet uit te schakelen. Het encryptievirus doet zich dus voor als een systeemschijfscanprogramma, dat tegelijkertijd bestanden met bepaalde extensies codeert. Aan het einde van het proces verschijnt er een bericht dat aangeeft dat de computer is geblokkeerd en informatie over hoe u een digitale sleutel kunt verkrijgen om de gegevens te decoderen. Het Petya-virus eist losgeld, meestal in Bitcoin. Als het slachtoffer geen reservekopie van zijn bestanden heeft, wordt hij geconfronteerd met de keuze om 300 dollar te betalen of alle informatie te verliezen. Volgens sommige analisten doet het virus zich alleen voor als ransomware, terwijl het eigenlijke doel is enorme schade aan te richten.

Hoe kom je van Petya af?

Deskundigen hebben ontdekt dat het Petya-virus naar een lokaal bestand zoekt en, als dit bestand al op de schijf bestaat, het coderingsproces afsluit. Dit betekent dat gebruikers hun computer kunnen beschermen tegen ransomware door dit bestand aan te maken en het als alleen-lezen in te stellen.

Hoewel dit sluwe plan verhindert dat het afpersingsproces op gang komt, kan deze methode meer als ‘computervaccinatie’ worden beschouwd. De gebruiker zal het bestand dus zelf moeten maken. U kunt dit als volgt doen:

Eerst moet u de bestandsextensie begrijpen. Zorg ervoor dat in het venster Mapopties het selectievakje Extensies voor bekende bestandstypen verbergen is uitgeschakeld.
Open de map C:\Windows, scroll naar beneden totdat u het programma notepad.exe ziet.
Klik met de linkermuisknop op notepad.exe en druk vervolgens op Ctrl + C om te kopiëren en vervolgens op Ctrl + V om het bestand te plakken. U ontvangt een verzoek om toestemming voor het kopiëren van het bestand.
Klik op de knop Doorgaan en het bestand wordt aangemaakt als kladblok - Copy.exe. Klik met de linkermuisknop op dit bestand en druk op F2. Wis vervolgens de bestandsnaam Copy.exe en voer perfc in.
Nadat u de bestandsnaam hebt gewijzigd in perfc, drukt u op Enter. Bevestig de naamswijziging.
Nu het perfc-bestand is gemaakt, moeten we het alleen-lezen maken. Om dit te doen, klikt u met de rechtermuisknop op het bestand en selecteert u “Eigenschappen”.
Het eigenschappenmenu voor dit bestand wordt geopend. Onderaan zie je ‘Alleen lezen’ staan. Vink het vakje aan.
Klik nu op de knop Toepassen en vervolgens op de knop OK.

Sommige beveiligingsexperts raden aan om naast het bestand C:\windows\perfc ook de bestanden C:\Windows\perfc.dat en C:\Windows\perfc.dll te maken, om zo een grondigere bescherming te bieden tegen het Petya-virus. Voor deze bestanden kunt u de bovenstaande stappen herhalen.

Gefeliciteerd, uw computer is beschermd tegen NotPetya/Petya!

Experts van Symantec geven pc-gebruikers advies om te voorkomen dat ze dingen doen die kunnen leiden tot vergrendelde bestanden of geldverlies.

Betaal geen geld aan criminelen. Zelfs als u geld overmaakt naar de ransomware, is er geen garantie dat u weer toegang tot uw bestanden kunt krijgen. En in het geval van NotPetya/Petya is dit in principe zinloos, omdat het doel van de ransomware het vernietigen van gegevens is, en niet het verkrijgen van geld.
Zorg ervoor dat u regelmatig een back-up van uw gegevens maakt. In dit geval kunt u, zelfs als uw pc het doelwit wordt van een ransomware-virusaanval, alle verwijderde bestanden herstellen.
Open geen e-mails van twijfelachtige adressen. Aanvallers zullen proberen u te misleiden zodat u malware installeert of proberen belangrijke gegevens voor aanvallen te verkrijgen. Zorg ervoor dat u IT-specialisten op de hoogte stelt als u of uw medewerkers verdachte e-mails of links ontvangen.
Gebruik betrouwbare software. Het tijdig updaten van antivirusprogramma's speelt een belangrijke rol bij het beschermen van computers tegen infecties. En natuurlijk moet u producten gebruiken van gerenommeerde bedrijven op dit gebied.
Gebruik mechanismen om spamberichten te scannen en te blokkeren. Inkomende e-mails moeten worden gescand op bedreigingen. Het is belangrijk om elk type bericht te blokkeren dat links of typische phishing-trefwoorden in de tekst bevat.
Zorg ervoor dat alle programma's up-to-date zijn. Regelmatig herstel van softwarekwetsbaarheden is noodzakelijk om infecties te voorkomen.

Moeten we nieuwe aanvallen verwachten?

Het Petya-virus verscheen voor het eerst in maart 2016 en beveiligingsspecialisten merkten onmiddellijk het gedrag ervan op. Het nieuwe Petya-virus infecteerde eind juni 2017 computers in Oekraïne en Rusland. Maar het is onwaarschijnlijk dat dit het einde zal zijn. Hackeraanvallen waarbij gebruik wordt gemaakt van ransomware-virussen vergelijkbaar met Petya en WannaCry zullen worden herhaald, zegt Stanislav Kuznetsov, vice-voorzitter van de raad van bestuur van Sberbank. In een interview met TASS waarschuwde hij dat dergelijke aanvallen zeker zullen plaatsvinden, maar dat het moeilijk is om vooraf te voorspellen in welke vorm en formaat ze zullen verschijnen.

Als u, na alle cyberaanvallen die hebben plaatsgevonden, nog niet op zijn minst de minimale stappen heeft ondernomen om uw computer te beschermen tegen een ransomware-virus, dan is het tijd om er serieus mee aan de slag te gaan.

En dit is niet verrassend: de rekenkracht van zowel pc's als smartphones is als een lawine gegroeid, wat betekent dat de hardware voor dergelijke "grappen" steeds krachtiger wordt.

De malware-ontwikkelaars eisten betaling om de toegang te herstellen.

We merken ook op dat er tot nu toe geen hulpprogramma's zijn om het “werk” van het Misha-virus te ontcijferen.