コンピューター ウイルス Petya。 新しい Petya 暗号化ウイルスはウクライナ大統領にちなんで命名 - 専門家
2017 年 6 月 27 日、世界は新たなランサムウェアの流行に直面しました。その原因は、2016 年以来専門家の間で知られていた Petya 暗号化ツールの新バージョンでした。 マルウェアのオペレータは明らかに、センセーショナルなマルウェアの開発者からいくつかのテクニックを採用し、新たなパニックを引き起こすことに成功しました。
この資料では、この悪意のあるキャンペーンに関して現在知られているすべての情報を収集しようとしました。
Petyaの特徴
前述したように、Petya ランサムウェアは 2016 年 3 月にリリースされました。 しかし、2017年6月27日に世界が遭遇したバージョンは、その「プチ」とは大きく異なります。
Petya 2016 - コスティン・ライウ (@craiu) 2017 年 6 月 27 日
上のイラストでわかるように、影響を受けた国の中で、ウクライナは昨日だけでも大差でリードしていた。
2017 年 6 月 27 日、ウクライナのサイバー警察に戻る 報告、予備データによると、ランサムウェアは M.E.Doc 社のソフトウェアの「おかげで」ウクライナ全土に急速に広がりました。 Cisco Talos や Microsoft の専門家など、情報セキュリティの専門家も同様の想定を行っています。
したがって、サイバー警察は、6 月 22 日に同社のサーバー (upd.me-doc.com.ua) から配布された最新のアップデートが Petya ランサムウェアに感染していると報告しました。
一方、Microsoft の専門家は、6 月 27 日に M.E.Doc 更新プロセス (EzVit.exe) が Petya のインストールにつながる悪意のあるコマンドの実行を開始したことに気付いたと書いています (下の図を参照)。
同時に、M.E.Docの公式Webサイトに「サーバー上でウイルス攻撃が行われています」というメッセージが表示されましたが、すぐに表示されなくなり、現在はGoogleのキャッシュにのみ保存されています。
また、Microsoft は、Petya の「いくつかのアクティブな感染」が最初は正規の MEDoc アップデーター プロセスから始まったという証拠を持っていると述べています。
Petya.A とは何ですか?
これは、コンピュータ上のデータを暗号化し、復号化するためのキーとして 300 ドルを要求する「ランサムウェア ウイルス」です。 6月27日正午頃からウクライナのコンピュータに感染し始め、その後ロシア、イギリス、フランス、スペイン、リトアニアなど他の国にも感染が広がった。 Microsoft の Web サイトにウイルスが存在しますそれは持っています 「深刻な」脅威レベル。
この感染は、5 月に世界中の数千台のコンピュータに感染し、企業に約 10 億ドルの損害を与えた WannaCry ウイルスの場合と同じ Microsoft Windows の脆弱性が原因です。
夕方、サイバー警察は、ウイルス攻撃は電子報告と文書管理を目的としたものだったと報告した。 法執行当局によると、午前10時30分に次のM.E.Docアップデートがリリースされ、これを利用して悪意のあるソフトウェアがコンピュータにダウンロードされたという。
Petya は従業員の履歴書を装って電子メールで配布されました。 誰かが履歴書を開こうとすると、ウイルスはその人に管理者権限を与えるよう要求します。 ユーザーが同意すると、コンピュータが再起動され、ハードドライブが暗号化され、「身代金」を要求するウィンドウが表示されます。
ビデオ
Petya ウイルスの感染プロセス。 動画:G DATA Software AG / YouTube
同時に、Petya ウイルス自体にも脆弱性があり、特別なプログラムを使用するとデータを復号するためのキーを取得することができました。 この方法は、2016 年 4 月に Geektimes 編集者の Maxim Agadzhanov によって説明されました。
ただし、身代金の支払いを希望するユーザーもいます。 有名なビットコイン ウォレットの 1 つによると、ウイルスの作成者は 3.64 ビットコイン (約 9,100 ドルに相当) を受け取りました。
誰がウイルスの影響を受けますか?
ウクライナでは、Petya.A の被害者は主に政府機関、銀行、メディア、エネルギー会社、その他の組織といった法人顧客でした。
とりわけ、以下の企業が被害を受けた:ノヴァ・ポシュタ、ウクレネルゴ、OTP銀行、オシャドバンク、DTEK、ロジェトカ、ボリス、ウクルザリズニツャ、TNK、アントノフ、エピセンター、チャンネル24、さらにボルィースピリ空港、ウクライナ閣僚内閣、国家財政サービスなど。
攻撃は地域にも広がった。 たとえば、nチェルノブイリ原子力発電所では、サイバー攻撃により電子文書管理が機能しなくなり、放射線レベルの手動監視に切り替わりました。 ハリコフでは大型スーパーマーケット「ロスト」の営業が遮断され、空港では飛行機のチェックインが手動モードに切り替わった。
Petya.A ウイルスの影響で、Rost スーパーマーケットのレジが機能しなくなりました。 写真:Kh...evy Kharkov / VKontakte
同紙によると、ロシアではロスネフチ、バシネフチ、マース、ニベアなどが攻撃を受けた。
Petya.A から身を守るにはどうすればよいですか?
Petya.A から身を守る方法に関する説明書が、ウクライナ保安局とサイバー警察によって公開されました。
サイバー警察はユーザーに対し、Microsoftの公式WebサイトからWindowsアップデートをインストールすること、ウイルス対策ソフトを更新またはインストールすること、電子メールから不審なファイルをダウンロードしないこと、異常に気づいた場合は直ちにコンピュータをネットワークから切断することなどを勧告している。
SBU は、ファイルの暗号化は再起動中に正確に行われるため、疑わしい場合にはコンピュータを再起動することはできないと強調しました。 諜報機関は、ウクライナ国民に対し、貴重なファイルを別の媒体に保存し、オペレーティングシステムのバックアップコピーを作成することを推奨した。
サイバーセキュリティ専門家 ヴラド・スティラン 書きました Facebook では、Windows で TCP ポート 1024 ~ 1035、135、139、および 445 をブロックすることで、ローカル ネットワーク上でのウイルスの拡散を阻止できると報告しています。その方法については、インターネット上に説明があります。
米国シマンテック社のスペシャリスト
新型ウイルスは WannaCry と同じ「穴」をくぐり抜けていますが、全世界がこの新しいウイルスに対する防御策を考え出しています。
WannaCry ランサムウェアの蔓延後、世界中のコンピューターが再びサイバー攻撃にさらされました。 Petya ウイルスは、ヨーロッパおよび米国のさまざまな国のデバイスに影響を与えました。 しかし、被害のほとんどはロシアとウクライナのコンピュータで発生しており、約80社が影響を受けた。 ランサムウェア ウイルスは、影響を受けた PC の所有者に金銭または暗号通貨を要求しましたが、サイバー専門家は詐欺師に騙されない方法を見つけました。 Petya が誰であるか、Realnoe Vremya の資料で彼に会わないようにする方法について読んでください。
「プチ」の犠牲者たち:ロスネフチからチェルノブイリ原子力発電所まで
Petya ウイルスの大規模な蔓延は 6 月 27 日に始まりました。 最初に被害を受けたのはウクライナで、大手エネルギー会社ウクレネルゴ、DTEK、キイヴェネルゴのコンピューターが攻撃されたと地元メディアが報じた。 ある企業の従業員は記者団に対し、6月27日朝に職場のコンピューターが再起動し、その後システムがハードドライブのチェックを開始したと述べた。 その後、オフィス内のすべてのコンピュータで同じことが起こっていることに気づきました。 彼はコンピュータの電源を切りましたが、電源を入れた後、デバイスの画面に身代金を要求するメッセージが表示されました。 このウイルスは、ウクライナの一部の銀行、ウクライナ財務省、大臣内閣、ウクルテレコム会社、ボルィースピリ空港の PC にも影響を及ぼしました。
ペティアはまた、チェルノブイリ原子力発電所の背景放射線を監視するコンピュータシステムも攻撃した。 同時に、ステーションのすべてのシステムは正常に動作し、放射線バックグラウンドは管理レベルを超えなかったとメドゥーザは報告しています。 6月27日夜、ウクライナ内務省の公式フェイスブックページに、 訴えるウイルスと戦う方法が開発されるまで、コンピュータの電源を切ることを国の住民に勧告した。
ロシアでは、ロスネフチのサーバーが Petya ランサムウェア ウイルスによって攻撃されました。 ロスネフチ報道官のミハイル・レオンチェフ氏は、ペチャウイルスによるハッカー攻撃とAFKシステマに対する同社の主張との間に関連性があると見ていた。 ビジネスFMで同氏は、ウイルスを使用してバシネフチ経営上のデータを破壊しようとするのは合理的だと述べた。 ロシアの銀行システムの情報インフラストラクチャオブジェクトが感染した孤立した事例が記録されています。 住宅信用銀行はサイバー攻撃により業務を停止し、金融機関のウェブサイトも運営に支障をきたした。 Interfaxの報道によると、支店は勧告モードでのみ稼働し、ATMは通常通り稼働していたという。
6月28日、メディアは英国、オランダ、デンマーク、スペイン、インド、リトアニア、フランス、米国でもコンピュータへの攻撃があったと報じた。
ミハイル・レオンチェフ氏は、Petyaウイルスによるハッカー攻撃とAFKシステマに対する主張との関連性を指摘した。 写真ポリット.ru
WannaCry 保護は Petit に対しては無力です
Petya の動作原理は、ディスクのブート セクターのマスター ブート レコード (MBR) の暗号化に基づいています。 このエントリはハードディスクの最初のセクタで、パーティション テーブルと、システムがどのパーティションから起動するかについての情報をこのテーブルから読み取るブートローダ プログラムが含まれています。 元の MBR はディスクの 0x22 番目のセクターに保存され、0x07 とのバイトバイト XOR を使用して暗号化されます。 その結果、コンピュータのディスク上の情報がウイルス データに置き換えられると、Positive Technologies の専門家は報告しています。
悪意のあるファイルを実行した後、コンピュータを再起動するタスクが作成され、1 ~ 2 時間遅れます。 再起動後にディスクが正常に暗号化された場合は、ファイルのロック解除キーを受け取るために 300 ドルの身代金を支払う (または暗号通貨で渡す) ように求めるメッセージが画面に表示されます。 ちなみに、恐喝者が使用したメールアドレスはすでにブロックされており、送金は不可能になっている。
Petya は Windows の脆弱性、つまりコードネーム EternalBlue を悪用します。 悪名高い WannaCry 攻撃でも、同じ脆弱性を利用してコンピュータに侵入しました。 このエクスプロイトのおかげで、Petya は Windows Management Instrumentation (Windows プラットフォームを実行しているコンピューター インフラストラクチャのさまざまな部分の動作を集中管理および監視するためのツール) および PsExec (リモート システム上でプロセスを実行できるようにする) を通じて拡散し、最大の権限を取得しました。脆弱なシステムについて。 これにより、コンピュータに WannaCry 対策アップデートがインストールされている場合でも、ウイルスは引き続き機能することが可能になりました。
bootrec /fixMbr コマンドを実行し、メモ帳に書き込みます
フランスの有名なハッカーでソフトウェア開発者のマシュー・スーシェ氏が自身のツイッターで
5 月初旬、150 か国以上の約 230,000 台のコンピュータがランサムウェア ウイルスに感染しました。 被害者がこの攻撃の影響を排除する間もなく、Petya と呼ばれる新たな攻撃が続きました。 ウクライナとロシアの最大手企業や政府機関も被害を受けた。
ウクライナのサイバー警察は、このウイルス攻撃は、税務報告書の作成と送信に使用される会計ソフトウェア「M.E.Doc」のアップデートの仕組みを通じて始まったと断定した。 したがって、バシネフチ、ロスネフチ、ザポリージョブレネルゴ、ドネプロエネルゴ、ドニエプル電力システムのネットワークは感染を免れないことが知られるようになりました。 ウクライナでは、ウイルスが政府のコンピューター、キエフ地下鉄のコンピューター、通信事業者、さらにはチェルノブイリ原子力発電所にまで侵入した。 ロシアでは、モンデリーズ・インターナショナル、マース、ニベアが影響を受けた。
Petya ウイルスは、Windows オペレーティング システムの EternalBlue 脆弱性を悪用します。 シマンテックとエフセキュアの専門家らは、Petya は WannaCry と同様にデータを暗号化するものの、他の種類の暗号化ウイルスとは多少異なると述べています。 「Petya ウイルスは、悪意のある新しいタイプの恐喝です。ディスク上のファイルを暗号化するだけでなく、ディスク全体をロックして、実質的に使用できなくします」と F-Secure は説明します。 「具体的には、MFT マスター ファイル テーブルを暗号化します。」
これはどのようにして起こるのでしょうか?また、このプロセスは防止できるのでしょうか?
ウイルス「Petya」 - それはどのように機能しますか?
Petya ウイルスは、Petya.A、PetrWrap、NotPetya、ExPetr という別名でも知られています。 コンピュータに侵入すると、インターネットからランサムウェアをダウンロードし、コンピュータの起動に必要なデータを含むハード ドライブの一部を攻撃しようとします。 成功すると、システムは死のブルー スクリーン (「死のブルー スクリーン」) を発行します。 再起動後、ハードディスクのチェックに関するメッセージが表示され、電源を切らないでください。 したがって、暗号化ウイルスはシステム ディスク スキャン プログラムを装い、特定の拡張子を持つファイルを同時に暗号化します。 プロセスの最後に、コンピューターがブロックされていることを示すメッセージと、データを復号化するためのデジタル キーの取得方法に関する情報が表示されます。 Petya ウイルスは、通常はビットコインで身代金を要求します。 被害者がファイルのバックアップ コピーを持っていない場合、300 ドルを支払うか、すべての情報を失うかの選択を迫られます。 一部のアナリストによると、このウイルスはランサムウェアを装っているだけで、真の目的は大規模な損害を引き起こすことです。
Petyaを取り除くにはどうすればよいですか?
専門家は、Petya ウイルスがローカル ファイルを探し、そのファイルがディスク上にすでに存在する場合、暗号化プロセスを終了することを発見しました。 つまり、ユーザーはこのファイルを作成し、読み取り専用に設定することで、コンピューターをランサムウェアから保護できます。
この狡猾な計画により恐喝プロセスの開始は阻止されますが、この方法は「コンピューターワクチン接種」に似ていると考えることができます。 したがって、ユーザーは自分でファイルを作成する必要があります。 これは次のようにして実行できます。
- まず、ファイル拡張子を理解する必要があります。 [フォルダー オプション] ウィンドウで、[既知のファイル タイプの拡張子を非表示にする] チェックボックスがオフになっていることを確認します。
- C:\Windows フォルダーを開き、notepad.exe プログラムが表示されるまで下にスクロールします。
- notepad.exe を左クリックし、Ctrl + C を押してコピーし、Ctrl + V を押してファイルを貼り付けます。 ファイルをコピーする許可を求めるリクエストを受け取ります。
- [続行] ボタンをクリックすると、ファイルがメモ帳 (Copy.exe) として作成されます。 このファイルを左クリックして F2 を押し、ファイル名 Copy.exe を消去して「perfc」と入力します。
- ファイル名を perfc に変更した後、Enter キーを押します。 名前の変更を確認します。
- perfc ファイルが作成されたので、それを読み取り専用にする必要があります。 これを行うには、ファイルを右クリックして「プロパティ」を選択します。
- このファイルのプロパティ メニューが開きます。 一番下に「読み取り専用」と表示されます。 ボックスにチェックを入れます。
- 次に、「適用」ボタンをクリックしてから、「OK」ボタンをクリックします。
一部のセキュリティ専門家は、Petya ウイルスからより徹底的に保護するために、C:\windows\perfc ファイルに加えて C:\Windows\perfc.dat および C:\Windows\perfc.dll ファイルを作成することを提案しています。 これらのファイルに対して上記の手順を繰り返すことができます。
おめでとうございます。お使いのコンピューターは NotPetya/Petya から保護されています。
シマンテックの専門家は、ファイルのロックや金銭の損失につながる可能性のある行為を PC ユーザーが行わないようにするためのアドバイスをいくつか提供しています。
- 犯罪者に金を払うな。ランサムウェアに送金したとしても、ファイルに再びアクセスできるという保証はありません。 NotPetya / Petya の場合、ランサムウェアの目的はデータを破壊することであり、金銭を得ることではないため、これは基本的に無意味です。
- データを定期的にバックアップしてください。この場合、PC がランサムウェア ウイルス攻撃のターゲットになった場合でも、削除されたファイルを復元することができます。
- 疑わしいアドレスの電子メールを開かないでください。攻撃者は、ユーザーをだましてマルウェアをインストールさせたり、攻撃用の重要なデータを取得しようとします。 あなたまたはあなたの従業員が不審な電子メールやリンクを受け取った場合は、必ず IT スペシャリストに知らせてください。
- 信頼できるソフトウェアを使用してください。ウイルス対策プログラムをタイムリーに更新することは、コンピュータを感染から保護する上で重要な役割を果たします。 そしてもちろん、この分野で評判の良い企業の製品を使用する必要があります。
- スパム メッセージをスキャンしてブロックするメカニズムを使用します。受信メールは脅威をスキャンする必要があります。 テキストにリンクや典型的なフィッシング キーワードが含まれるあらゆる種類のメッセージをブロックすることが重要です。
- すべてのプログラムが最新であることを確認してください。感染を防ぐには、ソフトウェアの脆弱性を定期的に修正する必要があります。
新たな攻撃を予期すべきでしょうか?
Petya ウイルスは 2016 年 3 月に初めて出現し、セキュリティ専門家はすぐにその動作に気づきました。 新しい Petya ウイルスは、2017 年 6 月末にウクライナとロシアのコンピューターに感染しました。 しかし、これで終わりではなさそうです。 ズベルバンク取締役会の副会長スタニスラフ・クズネツォフ氏は、「Petya」や「WannaCry」に似たランサムウェアウイルスを使ったハッカー攻撃は今後も繰り返されるだろうと述べた。 同氏はタス通信とのインタビューで、このような攻撃は間違いなく起こるが、どのような形で現れるかを事前に予測するのは難しいと警告した。
あらゆるサイバー攻撃が発生した後でも、コンピュータをランサムウェア ウイルスから保護するための最低限の手順をまだ講じていない場合は、真剣に取り組む時期が来ています。
火曜日、Petya/PetWrap/NotPetya ウイルスはロシア、ウクライナ、ヨーロッパ、米国の機関や企業を攻撃し、被害者は合計約 2,000 人に達しました。 このマルウェアはコンピュータ上のデータを暗号化し、ビットコインでの身代金を要求しました。 これがどのようなウイルスなのか、誰が感染し、誰が作成したのかについて説明します。
これはどのようなウイルスですか?
電子メールの添付ファイルを装う悪意のあるプログラム。 ユーザーがそれをダウンロードし、管理者として実行すると、プログラムはコンピュータを再起動し、想定されるディスク チェック機能を起動しますが、実際には、最初にブート セクタが暗号化され、次に残りのファイルが暗号化されます。 この後、ユーザーには、データ復号化コードと引き換えに 300 ドルに相当する金額をビットコインで支払うよう要求するメッセージが表示されます。
❗️Petyaウイルスが活動中。 注意してください。Windows を更新してください。電子メールで送信されたリンクを開かないでください。 pic.twitter.com/v2z7BAbdZx
— レターズ (@Bykvu) 2017 年 6 月 27 日
これがウイルスの仕組みです
これが Petya ウイルスの仕組みです。 最初のバージョンは 2016 年の春に発見されました。 Kaspersky Lab は、暗号化されたディスク上のデータは復元できると述べています。 その後、復号レシピは Geektimes の編集者 Maxim Agadzhanov によって公開されました。 他のバージョンの復号化プログラムもあります。 これらがどの程度効果があるのか、また新しいバージョンのウイルスに適しているのかどうかは確認できません。 情報セキュリティの専門家であるニキータ・クニシュ氏は、それらは適切ではないと GitHub に書いています。 現時点では、感染後にウイルスと戦う手段はありません。
私たちが現在どのバージョンのウイルスに対処しているのかは不明です。 さらに、多くの専門家は、私たちが Petya に対処していないと信じています。 ウクライナ保安局(SBU)は、国内の政府機関や企業がPetya.Aウイルスによる攻撃を受けており、暗号化されたデータを復元することは不可能であると発表した。 火曜日の夜、Kaspersky Labにて 報告「これは Petya ではなく、専門家によって NotPetya と呼ばれる新しいタイプのウイルスです」。 Doctor Web も同じことを信じています。 Yahoo Newsは匿名の専門家の話として、PetrWrapと呼ばれるPetyaの修正版について話していると書いている。 シマンテックは、Petya についてはまだ話し合っている段階であると述べた。
Kaspersky Lab 国際研究チーム長 コスティン・ライウ 書きますウイルスはその住所からの手紙を介して広がるということも彼は 報告 Petya/PetWrap/NotPetya が 6 月 18 日にまとめたものです。
身代金を要求するページ オプションの 1 つ (写真: アバスト ブログ)
Kaspersky Lab はまた、この新しいウイルスは Windows の WannaCry と同じ脆弱性を悪用したと考えています。 このマルウェアは 5 月 12 日に世界中のコンピューターを襲いました。 彼女はまた、コンピュータ上のデータを暗号化し、身代金を要求した。 犠牲者の中にはロシア内務省や携帯電話会社メガフォンも含まれていた。 Microsoft は 3 月にこの脆弱性を排除しました。システムを更新しなかったユーザーは WannaCry と Petya/PetrWrap/NotPetya の被害を受けました。
誰がそれで苦しみましたか?
ウクライナ
ハリコフのスーパーマーケット「ROST」の写真(コンピューターもウイルスの影響を受けた)
— ウクライナ / Україна (@ウクライナ) 2017 年 6 月 27 日
ウクライナの公式ツイッターが「これでいいよ」というミームを使って国民を元気づけようとしている
大企業「Kievvodokanal」、「Novus」、「Epicenter」、「Arcellor Mittal」、「Arterium」、「Farmak」、「Boris」クリニック、Feofaniya 病院、「Ukrtelecom」、「Ukrposhta」、Auchan スーパーマーケットチェーンのウクライナ支店、シェル、WOG、Klo、TNK ガソリン スタンド。
メディア: 「Korrespondent.net」、「KP in Ukraine」、「Observer」、「24 Channel」、STB、「Inter」、「New Channel」、ATR、ラジオ「Lux」、「Minimum」、「Era-FM」 。
ウクライナ閣僚のコンピューター (写真: Pavel Rozenko)