Появился новый опасный вирус-вымогатель Petya.A: заражены «Роснефть» и десятки других

|
FavoriteLoading В закладки
Появился новый опасный вирус-вымогатель Petya.A: заражены «Роснефть» и десятки других

Не успели мировые компании оправиться после атаки вируса WannyCry, так теперь появился новый вирус.

Что за вирус и стоит ли его бояться


Вот так он выглядит на зараженном компьютере

Вирус под названием mbr locker 256 (который на мониторе именует себя Petya) атаковал сервера российских и украинских компаний.

Он блокирует Файлы на компьютере и шифрует их. За разблокировку хакеры требуют $300 в биткоинах.

MBR – это главная загрузочная запись, код, необходимый для последующей загрузки ОС. Он расположен в первом секторе устройства.

После включения питания компьютера проходит процедура POST, тестирующая аппаратное обеспечение, а после неё BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление.

Таким образом вирус попадает в компьютер и поражает систему. Модификаций зловреда существует много.

Работает он под управлением Windows, как и прежний зловред.

Кто уже пострадал

Украинские и российские компании. Вот часть из всего списка:

  • «Запорожьеоблэнерго»
  • «ДТЭК»
  • «Днепровская электроэнергетическая система»
  • «Харьковгаз»
  • «Киевэнерго»
  • «Киевводоканал»
  • «Антонов»
  • «Киевский метрополитен»
  • «Новая Почта»
  • «Ашан»
  • «Эпицентр»
  • «ПриватБанк»
  • «ОщадБанк»
  • «Национальный банк Украины»
  • Nivea
  • Mars
  • тройка мобильных операторов: «Киевстар», LifeCell и «УкрТелеКом»
  • аэропорт «Борисполь»
  • Роснефть
  • Многие компании оперативно отразили атаку, но не все это сделать смогли. Из-за него не работает часть серверов.

    Банки не могут осуществить из-за «Пети» ряд денежных операций. Аэропорты откладывают или задерживают рейсы. Метрополитен Украины не принимал бесконтактные платежи до 15:00.

    Что касается офисной техники, компьютеров, они не работают. При этом с энергосистемой, с энергообеспечением никаких проблем нет. Это коснулось только офисных компьютеров (работают на платформе Windows). Нам дали команду отключить компьютеры. — Укрэнерго

    Операторы жалуются на то, что тоже пострадали. Но при этом стараются работать для абонентов в штатном режиме.

    Как защититься от Petya.A

    Для защиты от него нужно закрыть на компьютере TCP-порты 1024-1035, 135 и 445. Это сделать достаточно просто:

    Шаг 1. Открываем брэндмауэр.

    Шаг 2. В левой части экрана переходим в «Правила для входящих подключений».

    Шаг 3. Выбираем «Создать правило» -> «Для порта» -> «Протокол TCP» -> «Определенные локальные порты».

    Шаг 4. Пишем «1024-1035, 135, 445», выбираем все профили, щелкаем «Блокировать подключение» и везде «Далее».

    Шаг 5. Повторяем действия для исходящих подключений.

    PROFIT!

    Ну и второе — обновить антивирус. Эксперты сообщают, что необходимые обновления уже появились в базах антивирусного ПО.

    Поставьте оценку:

    1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
    Оставайся в теме. Подпишись на наш Telegram 👏
    ... и не забывай читать наш Facebook и Twitter 🍒
    FavoriteLoading В закладки
    undefined
    iPhones.ru
    Очередной опасный вымогатель.
    Прокомментировать

    🙈 Комментарии 40

    1. vlasova avatar
      vlasova27 июня 2017
      0

      Интересное название вируса.

      somebodythatiusedtoknow avatar
      somebodythatiusedtoknow27 июня 2017
      3

      @vlasova, неграмотность писателей данного ресурса поражает все мыслимые и немыслемые границы, особенно описание внедрения зловреда, но как быть с ГПТ и УЕФИ чото эксперты молчат. закрывать мсдс в корпаративной сети это просто верх идиотзма 135 порт это ваще огонь руки оторвать идиоту которое это предложил

      boshlin avatar
      boshlin27 июня 2017
      0

      @somebodythatiusedtoknow, какой умный нашелся. Благодаря закрытию этих портов удалось в роснефти не все машины потерять

      pLoskutov28 июня 2017
      0

      @boshlin, зачем нужен комп в корпоративной сети если он не виден в сети, и онине видит сетевого сервера ра котором не только его файлы (локально ща ничего не хранится), но и учетка возможно с сервака тянется!!??

      boshlin avatar
      boshlin28 июня 2017
      0

      @pLoskutov, сейчас бы учётки по самбе грузить. Плюс для ограничения распространения, отправить компы в карантин

    2. pinconew avatar
      pinconew27 июня 2017
      1

      В ПриватБанке практически повсеместно Линукс и iOS. Так что информация о нем в этой статье не очень корректно упоминается.
      Нет, наверное последствия и на нем могут сказаться (часть банкоматов и терминалов самообслуживания на 3G), если непроверенная информация про то, что Киевстар тоже пострадал от этого вируса.

      Patriktw avatar
      Patriktw27 июня 2017
      0

      @pinconew, не думал что в приватбанке работают на айфонах и айпадах)))))))

      Dargalon avatar
      Dargalon27 июня 2017
      2

      @Patriktw, у всех (кажется) сотрудников в отделениях iPad с 2014 года, если не раньше, вместо ноутбуков и компьютеров – просто планшет.

      Patriktw avatar
      Patriktw27 июня 2017
      0

      @Dargalon, буду теперь знать) хотя почему то никогда не видел чтобы пользовались

      pinconew avatar
      pinconew27 июня 2017
      1

      @Patriktw, наверное были не в том ПриватБанке ;-)

      Dargalon avatar
      Dargalon27 июня 2017
      0

      @pinconew, в Киеве, не такие большие отделения что бы прям выделялись.

      svida avatar
      svida28 июня 2017
      1

      @Patriktw, что примечательно, даже для оформления быстрой карточки, которое реально шустрое – всего минуты 3/4 заняло, фотографируют на все тот же iPad, и просят “расписаться” на нем же :-)

      pinconew avatar
      pinconew27 июня 2017
      2

      @Patriktw, теперь будете знать, что ВСЕ сотрудники, которые обслуживают физлиц (кроме кассиров и клиент-менеджеров) работают только на iPad, ВСЕ кто обслуживаю корпоративных клиентов, руководители в отделениях и филиалах работают на iPad. iPhone только личные. Их немного, большинство юзают личные гуглофоны. Смартфоны у ВСЕХ сотрудников банка. ;-)

      slavonis212227 июня 2017
      2

      @pinconew, подтверждаю ваши слова. Заходил в Приват примерно год назад, ни одного ноута или компа не видел. У всех планшеты.

      boshlin avatar
      boshlin27 июня 2017
      0

      @pinconew, откуда 3г на Украине

      NKTN avatar
      NKTN28 июня 2017
      3

      @boshlin, с вышек

    3. VsG avatar
      VsG27 июня 2017
      0

      И с самого начала «Не успехи мировые компании»

      Артём Баусов avatar
      Артём Баусов27 июня 2017
      0

      @VsG, исправили, спасибо!

      XPEH01 avatar
      XPEH0128 июня 2017
      0

      @Артём Баусов, что за wannycry? :D

      VsG avatar
      VsG28 июня 2017
      0

      @XPEH01, плач Вани, или Винни, не знаю))

    4. stekme avatar
      stekme27 июня 2017
      0

      только на днях MS заявили о краже части исходных кодов Win 10. и тут опа..
      короче.. печаль.
      С первым вирусом ряд знакомых слег, работа встала, заказы не были выжданы в срок, кто то отправил деньги, паре дали ключ и все восстановилось, один даже болтал в пол цены, поплакавшись что денег нет. Других кинули, файлы стерты.

      Ох уж эти вирусы

      boshlin avatar
      boshlin27 июня 2017
      0

      @stekme, windows 10 защищен от этого вируса, пострадали только на 7

      svida avatar
      svida28 июня 2017
      0

      @boshlin, не правда, минимум у 4(!) коллег 10 слегли…

      boshlin avatar
      boshlin28 июня 2017
      0

      @svida, рад за них, но официально 10 никак под влияние не попала

      VsG avatar
      VsG28 июня 2017
      0

      @boshlin, а не официально (что и является самой правдоподобной информацией) попали, как вам и рассказывают. И вы все ещё верите ВСЕЙ «официальной» информации?

    5. Vladim avatar
      Vladim27 июня 2017
      1

      У америкосов на другое название ума не хватило. )))

      pinconew avatar
      pinconew27 июня 2017
      1

      @Vladim, как всегда во всем виноваты пендосы;-)

      Vladim avatar
      Vladim27 июня 2017
      1

      @pinconew, как атомная бомба на Японию, как химия на Вьетнам, как пробирка на Ирак, Сербия, Ливия, Украина … не как? ;-)
      А что им делать, ни как не могут бандюгам в Сирии помочь, на Украине

      dushasmile127827 июня 2017
      5

      @Vladim, Можете выразить ноту протеста и покинуть “америкосовский” интернет.

      Vladim avatar
      Vladim27 июня 2017
      0

      @dushasmile1278, покинуть планету земля для Вас более подходящий вариант а интернет у нас Российский.

      pinconew avatar
      pinconew27 июня 2017
      3

      @Vladim, вы случаем сайтом не ошиблись? ;-)

      Vladim avatar
      Vladim27 июня 2017
      2

      @pinconew, нет, овальные здесь во всю продвигаются, почему другим нет

      zymanch avatar
      zymanch27 июня 2017
      3

      @Vladim, в Интернетах бытует мнение, что название вируса — посвящение президенту Украины

      Vladim avatar
      Vladim27 июня 2017
      0

      @zymanch, путают следы

      NKTN avatar
      NKTN28 июня 2017
      0

      @zymanch, ждёмс на территории необъятной и самой православной руси вирус по имени vova.v

    6. Aron_VT avatar
      Aron_VT28 июня 2017
      1

      “После включения питания компьютера проходит процедура POST, тестирующая аппаратное обеспечение, а после неё BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление.
      Таким образом вирус попадает в компьютер и поражает систему.”

      Таким образом вирус ЗАПУСКАЕТСЯ, а попадает он в компьютер из сети/интернета, а не так, как указано в статье. Грамотеи, блин.

      boshlin avatar
      boshlin28 июня 2017
      1

      @Aron_VT, это очень важное замечание. Находи больше подобных и пиши об этом

      Aron_VT avatar
      Aron_VT28 июня 2017
      2

      @boshlin, хорошо, тогда продолжу: неправильное окончание в слове “важная”))

    7. Igor Katkov avatar
      Igor Katkov28 июня 2017
      2

      Локальный “kill switch” для #Petya: создать файл “C:\Windows\perfc”
      Источник: Твиттер positive technologies

      pinconew avatar
      pinconew28 июня 2017
      0

      @Igor Katkov, dll или без расширения? Ну “только для чтения” наверное.

    Вы должны авторизоваться или зарегистрироваться для комментирования.

    Нашли орфографическую ошибку в новости?

    Выделите ее мышью и нажмите Ctrl+Enter.

    Как установить аватар в комментариях?

    Ответ вот здесь