คอมพิวเตอร์ Rosneft ล้มเหลว สื่อต่างประเทศชื่อ Rosneft และ Bashneft เป็นเป้าหมายของการโจมตีของไวรัส Petya เกมและแอปพลิเคชันใน App Store และ Google Play Market

ไวรัสแรนซัมแวร์โจมตีคอมพิวเตอร์ของบริษัทหลายสิบแห่งในรัสเซียและยูเครน ทำให้งานของหน่วยงานรัฐบาลเป็นอัมพาต และเริ่มแพร่กระจายไปทั่วโลก

ในสหพันธรัฐรัสเซีย Bashneft และ Rosneft ตกเป็นเหยื่อของไวรัส Petya ซึ่งเป็นโคลนของแรนซัมแวร์ WannaCry ที่โจมตีคอมพิวเตอร์ทั่วโลกในเดือนพฤษภาคม

คอมพิวเตอร์ทุกเครื่องใน Bashneft ติดไวรัส แหล่งข่าวในบริษัท Vedomosti กล่าว ไวรัสเข้ารหัสไฟล์และเรียกค่าไถ่ $300 สำหรับกระเป๋าเงิน bitcoin

"ไวรัสก่อนปิดใช้งานการเข้าถึงพอร์ทัลไปยังผู้ส่งสารภายใน Skype สำหรับสำหรับ MS Exchange พวกเขาคิดว่ามันเป็นเพียงความล้มเหลวของเครือข่าย จากนั้นคอมพิวเตอร์ก็รีบูทด้วยข้อผิดพลาด "เสียชีวิต" HDDการรีบูตครั้งถัดไปได้แสดงหน้าจอสีแดงแล้ว "- แหล่งข่าวกล่าว

เกือบพร้อมกัน Rosneft ได้ประกาศ "การโจมตีของแฮ็กเกอร์ที่ทรงพลัง" บนเซิร์ฟเวอร์ของตน Mikhail Leontyev โฆษกฝ่ายข่าวของบริษัทบอกกับ TASS ว่า ระบบไอทีและการจัดการการผลิตถูกโอนไปยังความจุสำรองแล้ว บริษัทยังดำเนินการตามปกติ และ "ผู้แจกจ่ายข้อความเท็จและข้อความตื่นตระหนกจะต้องรับผิดชอบร่วมกับผู้จัดการโจมตีของแฮ็กเกอร์"

เว็บไซต์ของ Rosneft และ Bashneft ไม่ทำงาน

บันทึกการโจมตีเมื่อเวลาประมาณ 14.00 น. ตามเวลามอสโก ท่ามกลางเหยื่อที่ ช่วงเวลานี้ 80 บริษัท นอกจากคนงานน้ำมันแล้ว สำนักงานของ Mars, Nivea และ Mondelez International (ผู้ผลิตช็อกโกแลต Alpen Gold) ก็ได้รับผลกระทบเช่นกัน Group-IB ซึ่งเกี่ยวข้องกับการป้องกันและสอบสวนอาชญากรรมทางอินเทอร์เน็ตกล่าว

นอกจากนี้ บริษัทโลหะวิทยา Evraz และธนาคาร Home Credit ซึ่งถูกบังคับให้ระงับการทำงานของสาขาทั้งหมด รายงานเกี่ยวกับการโจมตีทรัพยากรของพวกเขา จากข้อมูลของ RBC ธนาคารรัสเซียอย่างน้อย 10 แห่งได้ติดต่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เมื่อวันอังคารที่เกี่ยวข้องกับการโจมตี

ในยูเครน ไวรัสโจมตีคอมพิวเตอร์ของรัฐบาล ร้าน Auchan Privatbank Kyivstar LifeCell และ Ukrtelecom ผู้ดำเนินการโทรคมนาคม

สนามบิน Boryspil, Kiev Metro, Zaporozhyeoblenergo, Dneproenergo และ Dneprovskaya Electric Power System ถูกโจมตี

เชอร์โนบิล NPP เปลี่ยนไปใช้การตรวจสอบการแผ่รังสีด้วยตนเองของไซต์อุตสาหกรรมเนื่องจากการโจมตีทางไซเบอร์และการปิดเครื่องชั่วคราว ระบบ Windows, Interfax ได้รับการบอกเล่าจากบริการกดของหน่วยงานของรัฐเพื่อการจัดการเขตยกเว้น

ไวรัสแรนซัมแวร์ส่งผลกระทบต่อหลายประเทศทั่วโลก หัวหน้าแผนกวิจัยระหว่างประเทศของ Kaspersky Lab Costin Raiu ในบัญชี Twitter ของเขากล่าว

ตามเขาใน เวอร์ชั่นใหม่ของไวรัสซึ่งปรากฏเมื่อวันที่ 18 มิถุนายนปีนี้ มีลายเซ็นดิจิทัลของ Microsoft ปลอม

เมื่อเวลา 18.05 น. ตามเวลามอสโก บริษัทเดินเรือของเดนมาร์ก A.P. ได้ประกาศโจมตีเซิร์ฟเวอร์ของตน โมลเลอร์-แมร์สค์ นอกจากรัสเซียและยูเครนแล้ว ผู้ใช้ในสหราชอาณาจักร อินเดีย และสเปนได้รับผลกระทบด้วย Reuters รายงานอ้างหน่วยงาน เทคโนโลยีสารสนเทศรัฐบาลสวิส

Natalya Kasperskaya ซีอีโอของ InfoWatch Group อธิบายกับ TASS ว่าไวรัสเข้ารหัสนั้นปรากฏตัวมานานกว่าหนึ่งปีที่ผ่านมา มันแพร่กระจายผ่านข้อความฟิชชิ่งเป็นหลักและเป็นเวอร์ชันที่แก้ไขจากที่รู้จักกันก่อนหน้านี้ มัลแวร์... "เขาร่วมมือกับ Misha ไวรัสแรนซัมแวร์อื่น ๆ ซึ่งมีสิทธิ์ของผู้ดูแลระบบ มันเป็นเวอร์ชันที่ปรับปรุงแล้ว เป็นแรนซัมแวร์สำรอง" แคสเปอร์สกี้กล่าว

ตามที่เธอกล่าว การโจมตีของแรนซัมแวร์ WannaCry ในเดือนพฤษภาคมสามารถเอาชนะได้อย่างรวดเร็วเนื่องจากช่องโหว่ของไวรัส “ถ้าไวรัสไม่มีช่องโหว่ดังกล่าว ก็ยากที่จะต่อสู้กับมัน” เธอกล่าวเสริม

การโจมตีทางไซเบอร์ขนาดใหญ่โดยใช้ไวรัสเรียกค่าไถ่ WannaCry ที่ทำให้คอมพิวเตอร์ติดไวรัสมากกว่า 200,000 เครื่องใน 150 ประเทศ เกิดขึ้นเมื่อวันที่ 12 พฤษภาคม 2017

WannaCry เข้ารหัสไฟล์ของผู้ใช้และต้องชำระเงินเป็น bitcoin เท่ากับ $ 300 เพื่อถอดรหัส

ในรัสเซีย การโจมตีมุ่งเป้าไปที่ระบบคอมพิวเตอร์ของกระทรวงมหาดไทย กระทรวงสาธารณสุข คณะกรรมการสอบสวน การรถไฟรัสเซีย ธนาคาร และผู้ให้บริการโทรศัพท์มือถือโดยเฉพาะ

ตามที่ UK Cyber ​​​​Security Center (NCSC) ซึ่งเป็นผู้นำการสอบสวนระหว่างประเทศเกี่ยวกับการโจมตีเมื่อวันที่ 12 พฤษภาคม แฮกเกอร์ชาวเกาหลีเหนือจากกลุ่ม Lazarus ในเครือของรัฐบาลอยู่เบื้องหลัง

ขึ้นอยู่กับวัสดุสื่อ

เมื่อวันที่ 27 มิถุนายน โลกได้รับความทุกข์ทรมานจากการโจมตีของแฮ็กเกอร์อีกครั้ง: ไวรัสชื่อ Petya ที่เยาะเย้ยเยาะเย้ยได้บล็อกคอมพิวเตอร์ในหลายประเทศโดยเรียกร้อง $ 300 เพื่อคืนการเข้าถึงฐานข้อมูลของบริษัท เมื่อรวบรวมได้ประมาณ 8,000 แล้ว "Petya" ก็สงบลง แต่มีคำถามมากมาย

แน่นอนการเผาไหม้ที่สุด - ใครที่ไหน? ตามที่นิตยสารฟอร์จูนซึ่งเป็นสิ่งพิมพ์ที่เชื่อถือได้มาก Petya มาหาเราจากยูเครน ตำรวจไซเบอร์ของเยอรมันมีแนวโน้มที่จะมีมุมมองเดียวกัน และโดยเฉพาะอย่างยิ่งกับยูเครนด้วย "Petya" เข้าสู่โลกใบใหญ่จากส่วนลึกของ บริษัท "Intellect-Service" ของยูเครน - ผู้พัฒนาเพื่อสั่งซื้อซอฟต์แวร์ที่หลากหลายที่สุด

โดยเฉพาะอย่างยิ่งลูกค้ารายใหญ่ที่สุดของ บริษัท คือผู้ประกอบการยูเครน การสื่อสารเคลื่อนที่ Vodafone หรือที่รู้จักกันดีในชื่อ "MTS Ukraine" - มันถูกเรียกจนถึงปี 2015 โดยทั่วไปแล้ว MTS เป็นทรัพย์สินหลักของบริษัท AFK Sistema ซึ่งเป็นเจ้าของโดย Vladimir Yevtushenkov ผู้มีชื่อเสียง นักธุรกิจมีส่วนในการพัฒนาและเปิดตัว Petit หรือไม่?

ตาม Versia สิ่งนี้เป็นไปได้มากกว่า “ Petya” ออกเดินทางบน "ถนนสายหลัก" ของเขาก่อนการพิจารณาคดีของศาลอนุญาโตตุลาการแห่ง Bashkiria ซึ่ง Rosneft อ้างว่า AFK Sistema อดีตเจ้าของ Bashneft ซึ่งถูกยึดครองโดย บริษัท น้ำมันแห่งชาติที่ใหญ่ที่สุด ตามที่ Rosneft ด้วยการจัดการของพวกเขา Yevtushenkov และผู้บริหารระดับสูงของเขาสร้างความเสียหายให้กับ Bashneft ในจำนวน 170 พันล้านรูเบิลซึ่งกำลังได้รับการชดใช้ในศาล

อย่างไรก็ตาม ศาลมีแนวโน้มที่จะเชื่อเจ้าของคนใหม่ เพราะมันได้ยึดทรัพย์สินเก่าไปแล้ว 185 พันล้านรูเบิล รวมถึง 31.76% ของหุ้น MTS เป็นผลให้สภาพของ Yevtushenkov "ผอมแห้ง" เกือบครึ่งและเส้นประสาทของนักธุรกิจเริ่มล้มเหลวมากขึ้นเรื่อย ๆ ข้อตกลงที่เป็นมิตรปลอมซึ่งมาจากที่ไหนสักแห่งในศาล - โจทก์เมื่อมันปรากฏออกมาไม่เห็นมันในสายตาของเขานับประสาลงนาม

หากใช้จดหมายนิรนามไม่ได้ผล ขั้นตอนต่อไปคือการซ่อนหลักฐานการกระทำที่น่าสงสัยของจำเลยที่กล่าวหาเขา และหลักฐานนี้ถูกเก็บไว้ในคอมพิวเตอร์ของ Bashneft ซึ่งโอนไปพร้อมกับทรัพย์สินที่เหลือทั้งหมดไปยัง Rosneft ดังนั้นคุณไม่ควรหัวเราะเยาะ "Petya" - ผู้สร้างไม่ต้องการ "ตัดเงินด้วยวิธีง่ายๆ" แต่เพื่อทำความสะอาดปลาย

และโดยทั่วไปแล้ว การคำนวณก็ไม่เลว และบริษัทยูเครนไม่ได้ถูกเลือกโดยบังเอิญ ถ้าไม่ใช่ในยูเครน การสอบถามอย่างเป็นทางการทั้งหมดจะติดขัดหรือไม่ และการรวบรวมหลักฐานจะหยุดนิ่งหรือไม่ และระบบคอมพิวเตอร์ของ Rosneft ก็สั่นสะเทือนภายใต้การโจมตีของแฮ็กเกอร์ แต่ต้องขอบคุณระบบ สำเนาสำรองอย่างไรก็ตาม รอดชีวิตมาได้ ซึ่งอดีตเจ้าของไม่สามารถวางใจได้ - เขาอาจคาดว่าระบบป้องกันทางไซเบอร์ของคู่ต่อสู้ของเขาจะเต็มไปด้วยช่องโหว่ เช่นเดียวกับใน Bashneft ตั้งแต่ AFK Sistema

ดังนั้นผู้เขียนการโจมตีจึงอาจรีบกระจายข่าวลือว่า Rosneft ต้องระงับการผลิต ไม่การผลิตไม่ได้หยุด แต่ข่าวลือเหล่านี้บ่งบอกอีกครั้งว่าผู้สร้าง "Petit" สนใจในเรื่องนี้มาก วันนี้ Rosneft ทำให้เสียชื่อเสียงเป็นประเด็นแรกในวาระการประชุมของโครงสร้างของ Vladimir Yevtushenkov

ในรายละเอียด

ใกล้ชิด

สิ่งที่น่าสนใจที่สุดเกี่ยวกับความคิดริเริ่มของ Rosgvardia ในการทำให้การลงโทษรุนแรงขึ้นสำหรับกิจกรรมความปลอดภัยส่วนตัวที่ผิดกฎหมายนั้นไม่ใช่การคว่ำบาตรที่เสนอ แต่เป็นเป้าหมายของการใช้กำลังที่กำหนดไว้อย่างชัดเจนโดยหน่วยบริการพิเศษของรัสเซียที่อายุน้อยที่สุด อันที่จริง มีการวางแผนที่จะประกาศสงครามที่แท้จริงกับกองทัพยามและผู้บริหารหลายฝ่าย

ตอนนี้มีไวรัสตัวใหม่เกิดขึ้น

เป็นไวรัสชนิดใดและควรกลัวหรือไม่?

นี่คือลักษณะที่ปรากฏบนคอมพิวเตอร์ที่ติดไวรัส

ไวรัสชื่อ mbr locker 256 (ซึ่งบนหน้าจอเรียกตัวเองว่า Petya) โจมตีเซิร์ฟเวอร์ของบริษัทรัสเซียและยูเครน

มันล็อคไฟล์ในคอมพิวเตอร์ของคุณและเข้ารหัส สำหรับการปลดล็อก แฮกเกอร์ต้องการ $300 เป็น bitcoins

MBR- นี่คือมาสเตอร์บูตเรคคอร์ด รหัสที่จำเป็นสำหรับการบูตระบบปฏิบัติการที่ตามมา ตั้งอยู่ในภาคแรกของอุปกรณ์

หลังจากเปิดเครื่องคอมพิวเตอร์แล้ว จะผ่านขั้นตอน POST ซึ่งจะทดสอบ ฮาร์ดแวร์และหลังจากนั้น BIOS จะโหลด MBR ลงใน แกะที่ 0x7C00 และโอนการควบคุมไป

ดังนั้นไวรัสจะเข้าสู่คอมพิวเตอร์และติดระบบ มีการดัดแปลงมัลแวร์มากมาย

มันทำงานภายใต้ การควบคุม Windowsเช่นเดียวกับมัลแวร์ก่อนหน้า

ที่ได้รับความเดือดร้อนมาแล้ว

บริษัทยูเครนและรัสเซีย นี่คือบางส่วนของรายการ:

"ซาโปโรซเยอเบลเนอร์โก"

DTEK

"ระบบไฟฟ้าของนีเปอร์"

"คาร์คอฟกัส"

Kyivenergo

"เคียฟโวโดคานัล"

โทนอฟ

เคียฟเมโทร

"จดหมายใหม่"

“อัญชัน”

"มหากาพย์"

PrivatBank

OschadBank

"ธนาคารแห่งชาติของยูเครน"

นีเวีย

ทรอยก้า ผู้ให้บริการมือถือ: Kyivstar, LifeCell และ UkrTeleCom

สนามบินบอริสโปล"

Rosneft

หลายบริษัทเร่งโจมตีอย่างรวดเร็ว แต่ก็ไม่ใช่ทุกบริษัทที่จะทำได้ ด้วยเหตุนี้ เซิร์ฟเวอร์บางตัวจึงใช้งานไม่ได้

ธนาคารไม่สามารถทำธุรกรรมทางการเงินจำนวนมากได้เนื่องจาก "Petit" สนามบินกำลังเลื่อนหรือเลื่อนเที่ยวบิน รถไฟใต้ดินของยูเครนไม่รับการชำระเงินแบบไม่ต้องสัมผัสจนถึงเวลา 15:00 น.

ส่วนเครื่องใช้สำนักงาน คอมพิวเตอร์ ก็ใช้ไม่ได้ ในขณะเดียวกันก็ไม่มีปัญหากับระบบไฟฟ้าด้วยแหล่งจ่ายไฟ ได้รับผลกระทบเท่านั้น คอมพิวเตอร์สำนักงาน(ทำงานบนแพลตฟอร์ม Windows) เราได้รับคำสั่งให้ปิดเครื่องคอมพิวเตอร์ - Ukrenergo

ผู้ประกอบการบ่นว่าพวกเขาได้รับความเดือดร้อนเช่นกัน แต่ในขณะเดียวกันพวกเขาก็พยายามทำงานให้กับสมาชิกในโหมดปกติ

วิธีป้องกันตัวเองจาก Petya.A

คุณต้องปิดพอร์ต TCP 1024-1035, 135 และ 445 บนคอมพิวเตอร์เพื่อป้องกันสิ่งนี้ การทำเช่นนี้ค่อนข้างง่าย:

ขั้นตอนที่ 1... เราเปิดไฟร์วอลล์

ขั้นตอนที่ 2... ที่ด้านซ้ายของหน้าจอ ไปที่ "กฎสำหรับการเชื่อมต่อขาเข้า"

ขั้นตอนที่ 3... เลือก "สร้างกฎ" -> "สำหรับพอร์ต" -> "โปรโตคอล TCP" -> "พอร์ตเฉพาะในเครื่อง"

ขั้นตอนที่ 4... เราเขียน "1024-1035, 135, 445" เลือกโปรไฟล์ทั้งหมดคลิก "บล็อกการเชื่อมต่อ" และทุกที่ "ถัดไป"

ขั้นตอนที่ 5... เราทำซ้ำขั้นตอนสำหรับการเชื่อมต่อขาออก

และอย่างที่สองคือการอัพเดตโปรแกรมป้องกันไวรัสของคุณ ผู้เชี่ยวชาญรายงานว่ามีการอัปเดตที่จำเป็นในฐานข้อมูลซอฟต์แวร์ป้องกันไวรัสแล้ว

Rosneft บ่นเกี่ยวกับการโจมตีของแฮ็กเกอร์ที่ทรงพลังบนเซิร์ฟเวอร์ บริษัทประกาศสิ่งนี้ใน

ไวรัสแรนซัมแวร์โจมตีคอมพิวเตอร์ของบริษัทหลายสิบแห่งในรัสเซียและยูเครน ทำให้งานของหน่วยงานรัฐบาลเป็นอัมพาต และเริ่มแพร่กระจายไปทั่วโลก

ในสหพันธรัฐรัสเซีย Bashneft และ Rosneft ตกเป็นเหยื่อของไวรัส Petya ซึ่งเป็นโคลนของแรนซัมแวร์ WannaCry ที่โจมตีคอมพิวเตอร์ทั่วโลกในเดือนพฤษภาคม

คอมพิวเตอร์ทุกเครื่องใน Bashneft ติดไวรัส แหล่งข่าวในบริษัท Vedomosti กล่าว ไวรัสเข้ารหัสไฟล์และเรียกค่าไถ่ $300 สำหรับกระเป๋าเงิน bitcoin

"ไวรัสได้ปิดการเข้าถึงพอร์ทัล, Skype สำหรับธุรกิจภายใน, ไปยัง MS Exchange พวกเขาคิดว่ามันเป็นเพียงความล้มเหลวของเครือข่าย จากนั้นคอมพิวเตอร์ก็รีบูทด้วยข้อผิดพลาด ฮาร์ดไดรฟ์เสียชีวิต การรีบูตครั้งถัดไปแสดงให้เห็นแล้ว หน้าจอสีแดง” แหล่งข่าวกล่าว

เกือบพร้อมกัน Rosneft ได้ประกาศ "การโจมตีของแฮ็กเกอร์ที่ทรงพลัง" บนเซิร์ฟเวอร์ของตน Mikhail Leontyev โฆษกฝ่ายข่าวของบริษัทบอกกับ TASS ว่า ระบบไอทีและการจัดการการผลิตถูกโอนไปยังความจุสำรองแล้ว บริษัทยังดำเนินการตามปกติ และ "ผู้แจกจ่ายข้อความเท็จและข้อความตื่นตระหนกจะต้องรับผิดชอบร่วมกับผู้จัดการโจมตีของแฮ็กเกอร์"

เว็บไซต์ของ Rosneft และ Bashneft ไม่ทำงาน

การโจมตีถูกบันทึกเมื่อเวลาประมาณ 14.00 น. ตามเวลามอสโก ในบรรดาผู้ที่ตกเป็นเหยื่อขณะนี้มี 80 บริษัท นอกจากคนงานน้ำมันแล้ว สำนักงานของ Mars, Nivea และ Mondelez International (ผู้ผลิตช็อกโกแลต Alpen Gold) ก็ได้รับผลกระทบเช่นกัน Group-IB ซึ่งเกี่ยวข้องกับการป้องกันและสอบสวนอาชญากรรมทางอินเทอร์เน็ตกล่าว

นอกจากนี้ บริษัทโลหะวิทยา Evraz และธนาคาร Home Credit ซึ่งถูกบังคับให้ระงับการทำงานของสาขาทั้งหมด รายงานเกี่ยวกับการโจมตีทรัพยากรของพวกเขา จากข้อมูลของ RBC ธนาคารรัสเซียอย่างน้อย 10 แห่งได้ติดต่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เมื่อวันอังคารที่เกี่ยวข้องกับการโจมตี

ในยูเครน ไวรัสโจมตีคอมพิวเตอร์ของรัฐบาล ร้าน Auchan Privatbank Kyivstar LifeCell และ Ukrtelecom ผู้ดำเนินการโทรคมนาคม

สนามบิน Boryspil, Kiev Metro, Zaporozhyeoblenergo, Dneproenergo และ Dneprovskaya Electric Power System ถูกโจมตี

โรงไฟฟ้านิวเคลียร์เชอร์โนบิลได้เปลี่ยนไปใช้การตรวจสอบการแผ่รังสีด้วยตนเองของพื้นที่อุตสาหกรรมเนื่องจากการโจมตีทางไซเบอร์และการปิดระบบ Windows ชั่วคราว บริการกดของหน่วยงานของรัฐเพื่อการจัดการเขตยกเว้นบอกกับ Interfax

ไวรัสแรนซัมแวร์ส่งผลกระทบต่อหลายประเทศทั่วโลก หัวหน้าแผนกวิจัยระหว่างประเทศของ Kaspersky Lab Costin Raiu ในบัญชี Twitter ของเขากล่าว

ตามที่เขาพูดไวรัสเวอร์ชันใหม่ซึ่งปรากฏเมื่อวันที่ 18 มิถุนายนปีนี้มีลายเซ็นดิจิทัลปลอมจาก Microsoft

เมื่อเวลา 18.05 น. ตามเวลามอสโก บริษัทเดินเรือของเดนมาร์ก A.P. ได้ประกาศโจมตีเซิร์ฟเวอร์ของตน โมลเลอร์-แมร์สค์ นอกจากรัสเซียและยูเครนแล้ว ผู้ใช้ในสหราชอาณาจักร อินเดีย และสเปนได้รับผลกระทบด้วย Reuters รายงาน โดยอ้างหน่วยงานเทคโนโลยีสารสนเทศของรัฐบาลสวิส

Natalya Kasperskaya ซีอีโอของ InfoWatch Group อธิบายกับ TASS ว่าไวรัสเข้ารหัสนั้นปรากฏตัวมานานกว่าหนึ่งปีที่ผ่านมา ส่วนใหญ่แพร่กระจายผ่านข้อความฟิชชิ่งและเป็นเวอร์ชันแก้ไขของมัลแวร์ที่รู้จักก่อนหน้านี้ “เขาร่วมมือกับ Misha ไวรัสแรนซัมแวร์ตัวอื่น ซึ่งมีสิทธิ์ของผู้ดูแลระบบ มันเป็นเวอร์ชันที่ปรับปรุงแล้ว เป็นแรนซัมแวร์สำรอง” แคสเปอร์สกี้กล่าว

ตามที่เธอกล่าว การโจมตีของแรนซัมแวร์ WannaCry ในเดือนพฤษภาคมสามารถเอาชนะได้อย่างรวดเร็วเนื่องจากช่องโหว่ของไวรัส “ถ้าไวรัสไม่มีช่องโหว่ดังกล่าว ก็ยากที่จะต่อสู้กับมัน” เธอกล่าวเสริม

การโจมตีทางไซเบอร์ขนาดใหญ่โดยใช้ไวรัสเรียกค่าไถ่ WannaCry ที่ทำให้คอมพิวเตอร์ติดไวรัสมากกว่า 200,000 เครื่องใน 150 ประเทศ เกิดขึ้นเมื่อวันที่ 12 พฤษภาคม 2017

WannaCry เข้ารหัสไฟล์ของผู้ใช้และต้องชำระเงินเป็น bitcoin เท่ากับ $ 300 เพื่อถอดรหัส

ในรัสเซีย การโจมตีมุ่งเป้าไปที่ระบบคอมพิวเตอร์ของกระทรวงมหาดไทย กระทรวงสาธารณสุข คณะกรรมการสอบสวน การรถไฟรัสเซีย ธนาคาร และผู้ให้บริการโทรศัพท์มือถือโดยเฉพาะ

ตามที่ UK Cyber ​​​​Security Center (NCSC) ซึ่งเป็นผู้นำการสอบสวนระหว่างประเทศเกี่ยวกับการโจมตีเมื่อวันที่ 12 พฤษภาคม แฮกเกอร์ชาวเกาหลีเหนือจากกลุ่ม Lazarus ในเครือของรัฐบาลอยู่เบื้องหลัง

ขึ้นอยู่กับวัสดุสื่อ

เมื่อวันที่ 27 มิถุนายน โลกได้รับความทุกข์ทรมานจากการโจมตีของแฮ็กเกอร์อีกครั้ง: ไวรัสชื่อ Petya ที่เยาะเย้ยเยาะเย้ยได้บล็อกคอมพิวเตอร์ในหลายประเทศโดยเรียกร้อง $ 300 เพื่อคืนการเข้าถึงฐานข้อมูลของบริษัท เมื่อรวบรวมได้ประมาณ 8,000 แล้ว "Petya" ก็สงบลง แต่มีคำถามมากมาย

แน่นอนการเผาไหม้ที่สุด - ใครที่ไหน? ตามที่นิตยสารฟอร์จูนซึ่งเป็นสิ่งพิมพ์ที่เชื่อถือได้มาก Petya มาหาเราจากยูเครน ตำรวจไซเบอร์ของเยอรมันมีแนวโน้มที่จะมีมุมมองเดียวกัน และโดยเฉพาะอย่างยิ่งกับยูเครนด้วย "Petya" เข้าสู่โลกใบใหญ่จากส่วนลึกของ บริษัท "Intellect-Service" ของยูเครน - ผู้พัฒนาเพื่อสั่งซื้อซอฟต์แวร์ที่หลากหลายที่สุด

โดยเฉพาะอย่างยิ่งลูกค้ารายใหญ่ที่สุดของ บริษัท คือ Vodafone ผู้ให้บริการโทรศัพท์มือถือยูเครนหรือที่รู้จักกันดีในชื่อ "MTS Ukraine" - ตามที่เรียกว่าจนถึงปี 2015 โดยทั่วไปแล้ว MTS เป็นทรัพย์สินหลักของบริษัท AFK Sistema ซึ่งเป็นเจ้าของโดย Vladimir Yevtushenkov ผู้มีชื่อเสียง นักธุรกิจมีส่วนในการพัฒนาและเปิดตัว Petit หรือไม่?

ตาม Versia สิ่งนี้เป็นไปได้มากกว่า “ Petya” ออกเดินทางบน "ถนนสายหลัก" ของเขาก่อนการพิจารณาคดีของศาลอนุญาโตตุลาการแห่ง Bashkiria ซึ่ง Rosneft อ้างว่า AFK Sistema อดีตเจ้าของ Bashneft ซึ่งถูกยึดครองโดย บริษัท น้ำมันแห่งชาติที่ใหญ่ที่สุด ตามที่ Rosneft ด้วยการจัดการของพวกเขา Yevtushenkov และผู้บริหารระดับสูงของเขาสร้างความเสียหายให้กับ Bashneft ในจำนวน 170 พันล้านรูเบิลซึ่งกำลังได้รับการชดใช้ในศาล

อย่างไรก็ตาม ศาลมีแนวโน้มที่จะเชื่อเจ้าของคนใหม่ เพราะมันได้ยึดทรัพย์สินเก่าไปแล้ว 185 พันล้านรูเบิล รวมถึง 31.76% ของหุ้น MTS เป็นผลให้สภาพของ Yevtushenkov "ผอมแห้ง" เกือบครึ่งและเส้นประสาทของนักธุรกิจเริ่มล้มเหลวมากขึ้นเรื่อย ๆ ข้อตกลงที่เป็นมิตรปลอมซึ่งมาจากที่ไหนสักแห่งในศาล - โจทก์เมื่อมันปรากฏออกมาไม่เห็นมันในสายตาของเขานับประสาลงนาม

หากใช้จดหมายนิรนามไม่ได้ผล ขั้นตอนต่อไปคือการซ่อนหลักฐานการกระทำที่น่าสงสัยของจำเลยที่กล่าวหาเขา และหลักฐานนี้ถูกเก็บไว้ในคอมพิวเตอร์ของ Bashneft ซึ่งโอนไปพร้อมกับทรัพย์สินที่เหลือทั้งหมดไปยัง Rosneft ดังนั้นคุณไม่ควรหัวเราะเยาะ "Petya" - ผู้สร้างไม่ต้องการ "ตัดเงินด้วยวิธีง่ายๆ" แต่เพื่อทำความสะอาดปลาย

และโดยทั่วไปแล้ว การคำนวณก็ไม่เลว และบริษัทยูเครนไม่ได้ถูกเลือกโดยบังเอิญ ถ้าไม่ใช่ในยูเครน การสอบถามอย่างเป็นทางการทั้งหมดจะติดขัดหรือไม่ และการรวบรวมหลักฐานจะหยุดนิ่งหรือไม่ และระบบคอมพิวเตอร์ของ Rosneft ก็พังทลายลงภายใต้การโจมตีของแฮ็กเกอร์ แต่ต้องขอบคุณระบบสำรองที่มันยังคงอยู่รอด ซึ่งอดีตเจ้าของไม่สามารถวางใจได้ - เขาอาจคาดว่าระบบป้องกันทางไซเบอร์ของคู่ต่อสู้ของเขาจะเต็มไปด้วยหลุมเหมือนที่เป็นอยู่ Bashneft ตั้งแต่ AFK Sistema

ดังนั้นผู้เขียนการโจมตีจึงอาจรีบกระจายข่าวลือว่า Rosneft ต้องระงับการผลิต ไม่การผลิตไม่ได้หยุด แต่ข่าวลือเหล่านี้บ่งบอกอีกครั้งว่าผู้สร้าง "Petit" สนใจในเรื่องนี้มาก วันนี้ Rosneft ทำให้เสียชื่อเสียงเป็นประเด็นแรกในวาระการประชุมของโครงสร้างของ Vladimir Yevtushenkov

ในรายละเอียด

นักวิเคราะห์การเมือง Anton Bredikhin เชื่อมั่นว่ารัสเซียจะต้องพยายามทุกวิถีทางเพื่อส่งเพื่อนพลเมืองของเรากลับจากลิเบีย เรากำลังพูดถึงนักสังคมวิทยาของมูลนิธิเพื่อการปกป้องค่านิยมแห่งชาติ Maxim Shugaley และ Samer Sueifan ซึ่งถูกควบคุมตัวในตริโปลีในเดือนพฤษภาคม 2019 พวกเขายังอยู่ในเรือนจำมิทิกาอย่างไม่เป็นทางการและไม่ถูกตั้งข้อหา

รูปถ่ายทั้งหมด

ไวรัสเรียกค่าไถ่ WannaCry ถูกแทนที่ด้วยแรนซัมแวร์ตัวเดียวกัน แต่มีชื่อที่ซับซ้อนน้อยกว่า -
... ในช่วงบ่ายของวันที่ 27 มิถุนายน Petya โจมตีองค์กร 80 แห่งในยูเครนและรัสเซีย ต่อมารายงานการโจมตีของแฮ็กเกอร์มาจากยุโรปและอินเดีย ตามข้อมูลเบื้องต้น เครือข่ายคอมพิวเตอร์ในเนเธอร์แลนด์ ฝรั่งเศส และสเปนติดไวรัสแรนซัมแวร์ที่คล้ายกัน

ในยูเครน เครือข่ายของรัฐบาลถูกโจมตี ในรัสเซีย - บริษัท "Rosneft", Mars, Nivea และอื่น ๆ เครมลินกล่าวว่าไวรัสของพวกเขาไม่ได้รับผลกระทบ ในขณะเดียวกัน เคียฟกล่าวโทษการโจมตีของหน่วยบริการพิเศษของรัสเซีย เรียกมันว่าองค์ประกอบของสงครามลูกผสม

ตาม Group-IB ไวรัส Petya.A บล็อกคอมพิวเตอร์และป้องกันไม่ให้เริ่มทำงาน ระบบปฏิบัติการ... สำหรับการกลับมาทำงานและถอดรหัสไฟล์ เขาเรียกร้องค่าไถ่ $300 ใน bitcoins TASS รายงานการโจมตีขนาดใหญ่ต่อบริษัทน้ำมัน โทรคมนาคม และการเงินในรัสเซียและยูเครนเมื่อเวลาประมาณ 14:00 น. ตามเวลามอสโก

ตาม Kaspersky Lab แรนซัมแวร์ใช้ลายเซ็นอิเล็กทรอนิกส์ของ Microsoft ปลอม เทคโนโลยีการเซ็นชื่อรหัสอิเล็กทรอนิกส์ใช้เพื่อแสดงให้ผู้ใช้เห็นว่าโปรแกรมได้รับการพัฒนาโดยผู้เขียนที่เชื่อถือได้และรับประกันว่าจะไม่ก่อให้เกิดอันตราย Kaspersky Lab เชื่อว่าไวรัสถูกสร้างขึ้นเมื่อวันที่ 18 มิถุนายน 2017

เพื่อหยุดการแพร่กระจายของไวรัส Group-IB แนะนำให้ปิดพอร์ต TCP 1024-1035, 135 และ 445 ทันที

ไวรัส Petya แพร่กระจายไปทั่วโลก

ผู้เชี่ยวชาญได้รายงานไปแล้วว่าไวรัส Petya ransomware ตัวใหม่ได้แพร่กระจายไปไกลกว่า CIS และโจมตีเครือข่ายคอมพิวเตอร์ทั่วโลก

"ไวรัส Petya พร้อมที่อยู่ติดต่อ [ป้องกันอีเมล]แพร่กระจายไปทั่วโลก จำนวนมากของประเทศได้รับผลกระทบ ", - เขียนบนหน้าของเขาใน ทวิตเตอร์หัวหน้าทีมวิจัยนานาชาติของ "Kaspersky Lab" Costin Raiu

แจงว่าเพชราใช้ของปลอม ลายเซ็นดิจิทัลไมโครซอฟต์. ตามรายงานของ Raiu แฮกเกอร์แรนซัมแวร์ได้รับการชำระเงินค่าไถ่อย่างน้อยเจ็ดครั้งเพื่อให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากไวรัสได้อีกครั้ง

ผู้สื่อข่าวรอยเตอร์รายงานว่าการโจมตีของแฮ็กเกอร์ได้แพร่กระจายไปยังประเทศในยุโรป ไวรัส ransomware ได้แทรกซึมเข้าไปในเครือข่ายคอมพิวเตอร์ในสหราชอาณาจักรและนอร์เวย์ นอกจากนี้ยังพบร่องรอยของ Petya ในอินเดียอีกด้วย

รองนายกรัฐมนตรียูเครน Pavel Rozenko บนหน้า Facebook ของเขากล่าวว่าเครือข่ายในสำนักเลขาธิการของรัฐบาลโดยไม่ทราบสาเหตุหยุดทำงาน "ตาดำ! ถ้ามีอะไรเราก็มีเครือข่าย" นอนลง "ธุดงค์! ภาพนี้แสดงโดยคอมพิวเตอร์ทุกเครื่องของคณะรัฐมนตรีของรัฐมนตรีของยูเครน" - เขาเขียน

ธนาคารแห่งชาติของประเทศยูเครน (NBU) ได้เตือนธนาคารและผู้เข้าร่วมรายอื่นในภาคการเงินเกี่ยวกับการโจมตีของแฮ็กเกอร์ภายนอกโดยไวรัสที่ไม่รู้จัก NBU ยังตั้งข้อสังเกตอีกว่าในการเชื่อมต่อกับการโจมตีทางไซเบอร์ในภาคการเงินของยูเครน มาตรการรักษาความปลอดภัยและการตอบโต้การโจมตีของแฮ็กเกอร์มีความเข้มแข็ง ตามข่าวประชาสัมพันธ์จากหน่วยงานกำกับดูแล

Ukrtelecom กล่าวว่าบริษัทยังคงให้บริการอินเทอร์เน็ตและโทรศัพท์ และระบบคอมพิวเตอร์ที่มาพร้อมกับคอลเซ็นเตอร์และศูนย์บริการลูกค้าไม่ทำงาน

ในทางกลับกัน ที่สนามบินบอรีสปิล พวกเขาเตือนว่า "เนื่องจากสถานการณ์ฉุกเฉิน เที่ยวบินล่าช้าจึงเป็นไปได้" ขณะนี้ ตารางเที่ยวบินออนไลน์ไม่มีให้บริการสำหรับผู้โดยสารบนเว็บไซต์ทางการของสนามบิน

รถไฟใต้ดินในเคียฟกล่าวว่าผลจากการโจมตีทำให้ฟังก์ชันการชำระเงินด้วยบัตรธนาคารถูกบล็อก "บัตรรถไฟใต้ดินแบบไร้สัมผัสใช้งานได้ตามปกติ" รถไฟใต้ดินมอสโกกล่าว

Ukrenergo รายงานว่าบริษัทกำลังดำเนินการสอบสวนการโจมตีทางไซเบอร์อยู่แล้ว

นอกจากนี้ การโจมตีของแฮ็กเกอร์ยังนำไปสู่การปิดระบบคอมพิวเตอร์เพื่อตรวจสอบพื้นหลังของรังสีที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล คอมพิวเตอร์ที่ใช้ Windows ต้องปิดชั่วคราว และการตรวจสอบการแผ่รังสีของไซต์อุตสาหกรรมได้เปลี่ยนเป็นโหมดแมนนวล

ปัจจุบัน ศูนย์ตรวจสอบและตอบสนองต่อการโจมตีทางคอมพิวเตอร์ในสินเชื่อและการเงินของธนาคารแห่งรัสเซีย ร่วมกับสถาบันสินเชื่อกำลังทำงานเพื่อขจัดผลที่ตามมาจากการโจมตีทางคอมพิวเตอร์ที่ระบุ ธนาคารกลางเน้นย้ำ

คอมพิวเตอร์ทุกเครื่องถูกโจมตีโดยแฮ็กเกอร์ เซิร์ฟเวอร์ขององค์กรร้านอาหารในมอสโกของ Tanuki - Ruff chain, TASS รายงาน

บริการกดของ Rosenergoatom รายงานว่าโรงไฟฟ้านิวเคลียร์ของรัสเซียทั้งหมดทำงานตามปกติ การไม่มีร่องรอยของการโจมตีของแฮ็กเกอร์ยังได้รับการยืนยันโดย Inter RAO, Enel Russia, Rosseti และ System Operator UES Rosseti กล่าวเสริมว่ามีการใช้มาตรการที่เหมาะสมเพื่อป้องกันการโจมตีของแฮ็กเกอร์ที่อาจเกิดขึ้นได้

ไวรัส Petya

ไวรัสแรนซัมแวร์ที่บล็อกการเข้าถึงข้อมูลและต้องใช้ Bitcoin มูลค่า 300 ดอลลาร์เพื่อปลดบล็อก เป็นที่ทราบกันดีอยู่แล้วในการปรับเปลี่ยนต่างๆ ตั้งแต่ปี 2559

โปรแกรมที่เป็นอันตรายแพร่กระจายผ่านอีเมลขยะ โดยเฉพาะอย่างยิ่ง Petya เวอร์ชันแรกปลอมตัวเป็นประวัติย่อ เมื่อผู้ใช้เปิดอีเมลที่ติดไวรัส โปรแกรม Windows ปรากฏขึ้นบนหน้าจอ ซึ่งต้องการสิทธิ์ของผู้ดูแลระบบ

หากผู้ใช้ที่ไม่ตั้งใจตกลงที่จะให้สิทธิ์ที่เหมาะสมกับโปรแกรม ไวรัสจะเขียนทับพื้นที่บูต ฮาร์ดดิสก์และแสดงให้เห็นว่า " หน้าจอสีน้ำเงินตาย " แนะนำให้รีสตาร์ทคอมพิวเตอร์โดยด่วน

ก่อน Petya มี WannaCry

การโจมตีขนาดใหญ่ก่อนหน้านี้ในองค์กรต่างๆ ทั่วโลก ซึ่งมีอาวุธคือไวรัส WannaCry เกิดขึ้นเมื่อวันที่ 12 พฤษภาคม ไวรัสแรนซัมแวร์ได้ปิดการใช้งานคอมพิวเตอร์จำนวนมากและต้องการเรียกค่าไถ่เพื่อถอดรหัสไฟล์ของผู้ใช้ มีรายงานว่ารัสเซียได้รับความเดือดร้อนจาก WannaCry มากกว่าประเทศอื่นๆ โดยเฉพาะอย่างยิ่งการโจมตีทางไซเบอร์ส่งผลกระทบต่อบริษัท MegaFon กระทรวงกิจการภายใน Sberbank และกระทรวงสาธารณสุข การพยายามติดเชื้อได้รับการรายงานโดย Russian Railways และ Central Bank ซึ่งพวกเขาเน้นย้ำว่าการโจมตีไม่ประสบความสำเร็จ

ผู้เชี่ยวชาญจากบริษัท Flashpoint สัญชาติอเมริกันได้ข้อสรุปว่าผู้สร้างไวรัสเรียกค่าไถ่ WannaCry อาจมาจากจีนตอนใต้ ฮ่องกง ไต้หวัน หรือสิงคโปร์ ใน Group-IB แฮ็กเกอร์จาก DPRK ซึ่งยิ่งพยายามปลอมตัวเป็นรัสเซีย

ตอนนี้มีไวรัสตัวใหม่เกิดขึ้น

เป็นไวรัสชนิดใดและควรกลัวหรือไม่?

นี่คือลักษณะที่ปรากฏบนคอมพิวเตอร์ที่ติดไวรัส

ไวรัสชื่อ mbr locker 256 (ซึ่งบนหน้าจอเรียกตัวเองว่า Petya) โจมตีเซิร์ฟเวอร์ของบริษัทรัสเซียและยูเครน

มันล็อคไฟล์ในคอมพิวเตอร์ของคุณและเข้ารหัส สำหรับการปลดล็อก แฮกเกอร์ต้องการ $300 เป็น bitcoins

MBR- นี่คือมาสเตอร์บูตเรคคอร์ด รหัสที่จำเป็นสำหรับการบูตระบบปฏิบัติการที่ตามมา ตั้งอยู่ในภาคแรกของอุปกรณ์

หลังจากเปิดเครื่องคอมพิวเตอร์ ขั้นตอน POST จะผ่าน ซึ่งทดสอบฮาร์ดแวร์ และหลังจากนั้น BIOS จะโหลด MBR ลงใน RAM ตามที่อยู่ 0x7C00 และโอนการควบคุมไป

ดังนั้นไวรัสจะเข้าสู่คอมพิวเตอร์และติดระบบ มีการดัดแปลงมัลแวร์มากมาย

มันทำงานภายใต้ Windows เช่นเดียวกับมัลแวร์ก่อนหน้า

ที่ได้รับความเดือดร้อนมาแล้ว

บริษัทยูเครนและรัสเซีย นี่คือบางส่วนของรายการ:

"ซาโปโรซเยอเบลเนอร์โก"

DTEK

"ระบบไฟฟ้าของนีเปอร์"

"คาร์คอฟกัส"

Kyivenergo

"เคียฟโวโดคานัล"

โทนอฟ

เคียฟเมโทร

"จดหมายใหม่"

“อัญชัน”

"มหากาพย์"

PrivatBank

OschadBank

"ธนาคารแห่งชาติของยูเครน"

นีเวีย

ผู้ให้บริการโทรศัพท์มือถือสามราย: Kyivstar, LifeCell และ UkrTeleCom

สนามบินบอริสโปล"

Rosneft

หลายบริษัทเร่งโจมตีอย่างรวดเร็ว แต่ก็ไม่ใช่ทุกบริษัทที่จะทำได้ ด้วยเหตุนี้ เซิร์ฟเวอร์บางตัวจึงใช้งานไม่ได้

ธนาคารไม่สามารถทำธุรกรรมทางการเงินจำนวนมากได้เนื่องจาก "Petit" สนามบินกำลังเลื่อนหรือเลื่อนเที่ยวบิน รถไฟใต้ดินของยูเครนไม่รับการชำระเงินแบบไม่ต้องสัมผัสจนถึงเวลา 15:00 น.

ส่วนเครื่องใช้สำนักงาน คอมพิวเตอร์ ก็ใช้ไม่ได้ ในขณะเดียวกันก็ไม่มีปัญหากับระบบไฟฟ้าด้วยแหล่งจ่ายไฟ สิ่งนี้ส่งผลกระทบต่อคอมพิวเตอร์ในสำนักงานเท่านั้น (ทำงานบนแพลตฟอร์ม Windows) เราได้รับคำสั่งให้ปิดเครื่องคอมพิวเตอร์ - Ukrenergo

ผู้ประกอบการบ่นว่าพวกเขาได้รับความเดือดร้อนเช่นกัน แต่ในขณะเดียวกันพวกเขาก็พยายามทำงานให้กับสมาชิกในโหมดปกติ

วิธีป้องกันตัวเองจาก Petya.A

คุณต้องปิดพอร์ต TCP 1024-1035, 135 และ 445 บนคอมพิวเตอร์เพื่อป้องกันสิ่งนี้ การทำเช่นนี้ค่อนข้างง่าย:

ขั้นตอนที่ 1... เราเปิดไฟร์วอลล์

ขั้นตอนที่ 2... ที่ด้านซ้ายของหน้าจอ ไปที่ "กฎสำหรับการเชื่อมต่อขาเข้า"

ขั้นตอนที่ 3... เลือก "สร้างกฎ" -> "สำหรับพอร์ต" -> "โปรโตคอล TCP" -> "พอร์ตเฉพาะในเครื่อง"

ขั้นตอนที่ 4... เราเขียน "1024-1035, 135, 445" เลือกโปรไฟล์ทั้งหมดคลิก "บล็อกการเชื่อมต่อ" และทุกที่ "ถัดไป"

ขั้นตอนที่ 5... เราทำซ้ำขั้นตอนสำหรับการเชื่อมต่อขาออก

และอย่างที่สองคือการอัพเดตโปรแกรมป้องกันไวรัสของคุณ ผู้เชี่ยวชาญรายงานว่ามีการอัปเดตที่จำเป็นในฐานข้อมูลซอฟต์แวร์ป้องกันไวรัสแล้ว

ให้คะแนนมัน.