특이한 랜섬웨어 악성코드. Petya 랜섬웨어는 오래된 랜섬웨어로 대체되었습니다. 최근에암호학자가 도착했습니다. 그러나 Petya는 데스크톱이나 브라우저 창을 차단할 뿐만 아니라 운영 체제가 전혀 로드되지 않도록 합니다. 몸값 메시지에는 악성 코드가 "군사 암호화 알고리즘"을 사용하여 암호화한다고 명시되어 있습니다. 모두 열심히즉시 디스크.

최근에는 로커(차단기라고도 함)가 매우 일반적인 유형의 맬웨어였습니다. 그들 중 일부는 데스크톱을 차단했고 다른 일부는 브라우저 창만 차단했지만 모두 액세스 복원을 위해 피해자에게 몸값을 요구했습니다. 사물함은 데이터를 차단할 뿐만 아니라 암호화하는 암호화 장치로 대체되어 몸값을 지불할 가능성이 크게 높아졌습니다.

그러나 G DATA 전문가들은 Petya라고 불리는 사물함의 새로운 샘플을 발견했습니다. 몸값 메시지에서 악성코드는 차단 기능과 암호화 기능을 동시에 결합한다고 명시합니다.

HR 전문가에게 보내는 피싱 이메일

Petya는 주로 HR 전문가를 공격합니다. 이를 위해 공격자는 고도로 표적화된 피싱 이메일을 보냅니다. 이 메시지는 어떤 직책에 대한 후보자의 이력서인 것으로 추정됩니다. 편지에는 지원자의 전체 포트폴리오에 대한 링크가 함께 제공되며 해당 파일은 Dropbox에 호스팅되어 있습니다. 물론 포트폴리오 대신 링크에는 악성 코드인 application_portfolio-packed.exe 파일(독일어로 번역됨)이 포함되어 있습니다.

가짜 포트폴리오

이 .exe 파일을 실행하면 시스템이 충돌하여 " 블루 스크린사망" 및 이후 재부팅. G DATA 전문가들은 악성코드가 재부팅하기 전에 부팅 프로세스의 제어권을 장악하기 위해 MBR의 작동을 방해한다고 믿고 있습니다.

가짜 CHKDSK

컴퓨터를 다시 시작한 후 피해자는 디스크 검사(CHKDSK) 모방을 보게 되며, 그 후 컴퓨터 화면에는 운영 체제가 전혀 로드되지 않고 Petya 잠금 화면이 로드됩니다. 랜섬웨어는 피해자에게 모든 데이터가 자신에게 있다는 것을 알립니다. 하드 드라이브"군사 암호화 알고리즘"을 사용하여 암호화되어 복구할 수 없습니다.

시스템에 대한 액세스를 복원하고 데이터의 암호를 해독하려면 피해자는 .onion 영역에 있는 공격자의 웹 사이트로 이동하여 몸값을 지불해야 합니다. 7일 이내에 결제하지 않으면 몸값이 두 배로 늘어납니다. 공격자에게는 "구매"할 수 있는 특별한 "암호 해독 코드"가 제공되며, 이 코드는 라커 화면에 직접 입력해야 합니다.

G DATA 전문가들은 Petya의 작동 방식을 아직 완전히 이해하지 못했지만 악성 코드가 단순히 데이터 암호화에 대해 거짓말을 하고 있다고 의심합니다. 대부분의 경우 악성 코드는 파일에 대한 액세스를 차단하고 허용하지 않습니다. 운영 체제부팅. 전문가들은 공격자에게 몸값을 지불하지 말 것을 강력히 권고하며 가까운 시일 내에 위협에 대한 업데이트된 정보를 게시할 것을 약속합니다.

아래 비디오에서 "Petya"가 실제로 작동하는 모습을 볼 수 있습니다.

6월 27일, 우크라이나 정부 기관과 민간 기업이 Petya.A라는 랜섬웨어 바이러스에 감염되었습니다. 내각, Oschadbank, Ukrenergo, Nova Poshta, Boryspil 공항, 체르노빌 원자력 발전소 및 기타 조직이 사이버 공격을 받았습니다. "GORDON"은 Petya.A 바이러스의 작동 방식과 이 바이러스로부터 자신을 보호할 수 있는지 여부를 알려줍니다.

사진: Evgeny Borodai / VKontakte

데니스 콘닥

Petya.A는 무엇인가요?

이는 컴퓨터의 데이터를 암호화하고 이를 해독하기 위해 키로 300달러를 요구하는 “랜섬웨어 바이러스”입니다. 감염되기 시작했어요 우크라이나어 컴퓨터 6월 27일 정오쯤 러시아, 영국, 프랑스, ​​스페인, 리투아니아 등 다른 국가로 확산됐다. 현재 Microsoft 웹사이트에 바이러스가 있습니다.그것은 가지고있다 "심각한" 위협 수준.

동일한 취약점으로 인해 감염이 발생합니다. 마이크로소프트 윈도우, 의 경우와 마찬가지로 워너크라이 바이러스, 이는 5월에 전 세계 수천 대의 컴퓨터를 공격하여 회사에 약 10억 달러의 피해를 입혔습니다.

이날 저녁 사이버경찰서는 이번 바이러스 공격이 전자신고 및 문서관리를 목적으로 이뤄졌다고 밝혔다. 법 집행 기관에 따르면 오전 10시 30분에 다음 M.E.Doc 업데이트가 출시되었으며 이를 통해 악성 소프트웨어가 컴퓨터에 다운로드되었습니다.

Petya는 직원의 이력서로 가장하여 이메일을 통해 배포되었습니다. 어떤 사람이 이력서를 열려고 하면 바이러스는 그에게 관리자 권한을 요청했습니다. 사용자가 동의하면 컴퓨터가 재부팅된 다음 HDD암호화되어 몸값을 요구하는 창이 나타났습니다.

동영상

Petya 바이러스 감염 과정. 비디오: G DATA Software AG / YouTube

동시에 페트야 바이러스취약점이 있었습니다. 다음을 사용하여 데이터를 해독하는 키를 얻을 수 있었습니다. 특별 프로그램. 이 방법은 2016년 4월 Geektimes 편집자 Maxim Agadzhanov에 의해 설명되었습니다.

그러나 일부 사용자는 몸값을 지불하는 것을 선호합니다. 잘 알려진 비트코인 ​​지갑 중 하나에 따르면 바이러스 제작자는 약 9,100달러에 해당하는 3.64비트코인을 받았습니다.

누가 바이러스에 영향을 받나요?

우크라이나에서 Petya.A의 피해자는 주로 정부 기관, 은행, 미디어, 에너지 회사 및 기타 조직 등 기업 고객이었습니다.

그 중에서도 Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24 및 Boryspil 공항, 우크라이나 내각, 국가 등의 기업이 타격을 받았습니다. 재정 서비스 및 기타.

공격은 지역으로도 확산됐다. 예를 들어, n사이버공격으로 체르노빌 원전이 가동을 멈췄다. 전자문서관리스테이션은 방사선 수준을 수동으로 모니터링하도록 전환했습니다. 하리코프에서는 대형 로스트(Rost) 슈퍼마켓 운영이 차단됐고, 공항에서는 항공편 탑승수속이 수동 모드로 전환됐다.

Petya.A 바이러스로 인해 Rost 슈퍼마켓의 금전 등록기가 작동을 멈췄습니다. 사진: Kh...evy Kharkov / VKontakte

간행물에 따르면 러시아에서는 Rosneft, Bashneft, Mars, Nivea 등의 회사가 공격을 받았습니다.

Petya.A로부터 자신을 보호하는 방법은 무엇입니까?

Petya.A로부터 자신을 보호하는 방법에 대한 지침은 우크라이나 보안국과 사이버 경찰에 의해 게시되었습니다.

사이버경찰, 이용자에게 설치 권고 윈도우 업데이트공식 Microsoft 웹사이트에서 바이러스 백신을 업데이트 또는 설치하고, 이메일에서 의심스러운 파일을 다운로드하지 말고, 문제가 발견되면 즉시 컴퓨터를 네트워크에서 연결 해제하세요.

SBU는 재부팅 중에 파일 암호화가 정확하게 발생하므로 의심스러운 경우 컴퓨터를 재부팅할 수 없다고 강조했습니다. 정보국에서는 우크라이나 국민에게 귀중한 파일을 별도의 매체에 저장하고 운영 체제의 백업 복사본을 만들 것을 권장했습니다.

사이버 보안 전문가 Vlad Styran 썼다페이스북에서 바이러스 확산에 대해 지역 네트워크 Windows에서 TCP 포트 1024-1035, 135, 139 및 445를 차단하여 중지할 수 있습니다. 이를 수행하는 방법에 대한 지침은 인터넷에 있습니다.

미국 회사 Symantec의 전문가

Rosneft 회사는 Twitter에 보고된 바와 같이 강력한 해커 공격을 받았습니다.

“회사 서버에 강력한 해커 공격이 감행됐습니다. 현재 진행 중인 법적 절차와 관련이 없기를 바란다”고 밝혔다. 해당 메모가 게시되는 시점에는 Rosneft 웹사이트를 이용할 수 없었습니다.

석유회사는 연락을 했다고 전했다. 법 집행 기관사건과 관련하여. 보안 서비스의 신속한 조치 덕분에 Rosneft의 업무는 중단되지 않았으며 정상적으로 계속되었습니다.

“해커의 공격은 심각한 결과를 초래할 수도 있었지만 회사가 전환한 덕분에 백업 시스템생산 공정 관리, 생산이나 석유 준비가 중단되지 않았습니다.”라고 회사 대표는 Gazeta.Ru 특파원에게 말했습니다.

그들은 거짓 정보를 퍼뜨리는 사람은 누구나 “공격 조직자의 공범으로 간주되어 그들과 함께 책임을 지게 될 것”이라고 경고했습니다.

또한 Bashneft 회사의 컴퓨터도 감염되었다고 보고했습니다. "베도모스티". 악명 높은 WannaCry와 같은 랜섬웨어 바이러스는 모든 컴퓨터 데이터를 차단하고 범죄자에게 300달러에 해당하는 비트코인을 몸값으로 송금할 것을 요구합니다.

안타깝게도 Cybersecurity and Co. Telegram 채널이라는 대규모 해커 공격의 유일한 피해자는 아닙니다. Mondelez International(Alpen Gold 및 Milka 브랜드), Oschadbank, Mars의 사이버 해킹을 보고합니다. 노바 포쉬타, Nivea, TESA 및 기타 회사.

채널 작성자인 알렉산더 리트레예프(Alexander Litreyev)는 이 바이러스의 이름이 Petya.A이며 올해 5월 전 세계 30만 대 이상의 컴퓨터를 감염시킨 워너크라이(WannaCry)와 정말 유사하다고 말했습니다. Petya.A는 하드 드라이브를 공격하고 MFT(마스터 파일 테이블)를 암호화합니다. Litreev에 따르면 바이러스는 감염된 첨부 파일이 포함된 피싱 이메일을 통해 배포되었습니다.

안에 블로그 Kaspersky Lab은 감염이 발생하는 방법에 대한 정보가 포함된 출판물을 게시했습니다. 저자에 따르면 편지가 특정 직위 후보자의 메시지로 위장되어 있기 때문에 바이러스는 주로 HR 관리자를 통해 확산됩니다.

“HR 전문가가 Dropbox 링크가 포함된 가짜 이메일을 받았습니다. Dropbox를 통해 '이력서'를 다운로드할 수 있다고 합니다. 하지만 링크에 있는 파일은 무해하지 않습니다 텍스트 문서, 확장자가 .EXE인 자동 추출 아카이브입니다.”라고 전문가는 말합니다.

파일을 열면 사용자에게 "죽음의 블루 스크린"이 표시되고 그 후 Petya.A가 시스템을 차단합니다.

Group-IB 전문가는 Gazeta.Ru에 최근 Cobalt 그룹이 금융 기관에 대한 표적 공격의 흔적을 숨기기 위해 Petya 암호화 도구를 사용했다고 말했습니다.

또 러시아 해커들

우크라이나는 Petya.A 바이러스로 인해 가장 큰 피해를 입었습니다. 피해자 중에는 Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, 우크라이나어가 있습니다. 이동통신사 Kyivstar, LifeCell 및 UkrTeleCom, Auchan 매장, PrivatBank, Boryspil 공항 및 기타 조직 및 구조.

전체적으로 러시아와 우크라이나의 80개 이상의 회사가 공격을 받았습니다.

내무부 이사회 위원이자 인민전선의 우크라이나 라다 회원인 안톤 게라쉬첸코(Anton Gerashchenko)는 사이버 공격에 대한 책임이 러시아 특별 서비스에 있다고 말했습니다.

“예비 정보에 따르면 이는 러시아 특별 서비스가 조직한 시스템입니다. 이 사이버 공격의 대상은 은행, 미디어, Ukrzaliznytsia, Ukrtelecom입니다. 바이러스는 다양한 유형의 전자 메일 메시지 형태로 며칠, 심지어 몇 주 동안 컴퓨터에 도착했으며, 이러한 메시지를 연 사용자는 바이러스가 모든 컴퓨터에 확산되도록 허용했습니다. 이는 우리나라에 대한 하이브리드 전쟁에서 사이버 공격을 사용한 또 다른 예입니다.”라고 Gerashchenko는 말했습니다.

WannaCry 랜섬웨어 공격은 2017년 5월 중순에 발생했으며 전 세계 여러 국제 기업의 업무를 마비시켰습니다. 대규모 워너크라이 바이러스가 글로벌 커뮤니티에 입힌 피해는 10억 달러로 추산된다.

악성코드는 수술실 취약점을 악용했다. 윈도우 시스템, 컴퓨터를 차단하고 몸값을 요구했습니다. 한 영국 프로그래머가 우연히 바이러스 확산을 막았습니다. 도메인 이름, 프로그램이 액세스한 것입니다.

워너크라이(WannaCry) 사이버 공격이 전 세계적인 규모였음에도 불구하고 몸값 지불은 총 302건에 불과했으며 그 결과 해커들은 11만 6천 달러를 벌 수 있었습니다.

Petya 바이러스 설명. Petya 바이러스에 대해 알아야 할 모든 것

Petya 바이러스는 사용자 파일을 차단하는 또 다른 랜섬웨어입니다. 이 랜섬웨어는 매우 위험할 수 있으며 모든 PC를 감염시킬 수 있지만 주요 대상은 독일 기업의 컴퓨터입니다. 이 악성코드는 피해자의 컴퓨터에 침입하여 은밀하게 활동을 수행하며, 컴퓨터가 위험에 빠질 수 있습니다. Petya는 RSA-4096 및 AES-256 알고리즘으로 파일을 암호화하며 군사 목적으로도 사용됩니다. 이러한 코드는 개인 키 없이는 해독할 수 없습니다. Locky 바이러스, CryptoWall 바이러스 및 CryptoLocker와 같은 다른 랜섬웨어와 마찬가지로 이 개인 키는 일부 원격 서버에 저장되어 있으며 바이러스 작성자에게 몸값을 지불해야만 액세스할 수 있습니다.

다른 랜섬웨어와 달리 이 바이러스는 실행되면 즉시 컴퓨터를 다시 시작하고 다시 부팅할 때 화면에 다음과 같은 메시지가 나타납니다. “PC를 끄지 마십시오! 이 프로세스를 중단하면 모든 데이터가 파괴될 수 있습니다! 컴퓨터가 충전기에 연결되어 있는지 확인하세요!” 처럼 보일 수도 있지만 시스템 오류, 실제로는 이 순간 Petya는 자동으로 암호화를 수행합니다. 숨겨진 모드. 사용자가 시스템을 재부팅하거나 파일 암호화를 중지하려고 하면 "PRESS ANY KEY!"라는 텍스트와 함께 깜박이는 빨간색 뼈대가 화면에 나타납니다. 마지막으로 키를 누르면 몸값 메모가 포함된 새 창이 나타납니다. 이 메모에는 피해자에게 0.9비트코인(약 400달러)을 지불하라는 요청이 담겨 있습니다. 그러나 이 가격은 컴퓨터 한 대에만 해당됩니다. 따라서 컴퓨터가 많은 회사의 경우 그 양은 수천 대에 이를 수 있습니다. 또한 이 랜섬웨어가 다른 점은 이 범주에 속하는 다른 바이러스가 일반적으로 제공하는 12~72시간 대신 몸값을 지불하는 데 일주일 전체가 걸린다는 것입니다.

게다가 Petya의 문제는 여기서 끝나지 않습니다. 이 바이러스가 시스템에 들어가면 부팅을 다시 쓰려고 시도합니다. 윈도우 파일, 또는 운영 체제를 부팅하는 데 필요한 소위 부팅 기록 마스터입니다. MBR(마스터 부트 레코더) 설정을 복원하지 않으면 컴퓨터에서 Petya 바이러스를 제거할 수 없습니다. 이러한 설정을 수정하고 시스템에서 바이러스를 제거하더라도 안타깝게도 바이러스 제거는 파일의 암호를 해독하지 않고 감염성 파일만 제거하기 때문에 파일은 암호화된 상태로 유지됩니다. 물론 컴퓨터를 계속 사용하려면 바이러스를 제거하는 것이 중요합니다. Petya 제거를 처리하려면 Reimage와 같은 신뢰할 수 있는 바이러스 백신 도구를 사용하는 것이 좋습니다.

Petya 바이러스가 확산되고 있습니다.

이 바이러스는 어떻게 확산되며 어떻게 컴퓨터에 침투할 수 있습니까?

Petya 바이러스는 일반적으로 "folder-gepackt.exe 애플리케이션"이라는 파일에 대한 Dropbox 다운로드 링크가 첨부된 스팸 이메일을 통해 확산됩니다. 다운로드하여 열면 바이러스가 활성화됩니다. 특정 파일. 이 바이러스가 어떻게 확산되는지 이미 알고 있으므로 바이러스로부터 컴퓨터를 보호하는 방법에 대한 몇 가지 아이디어가 있어야 합니다. 바이러스 공격. 물론 개봉할 때 조심해야 합니다 전자 파일, 의심스러운 사용자가 보낸 것 출처를 알 수없는, 예상한 것과 다른 정보를 나타냅니다. 또한 대부분의 이메일 서비스 제공업체는 자동으로 이메일을 필터링하여 적절한 디렉토리에 배치하므로 "스팸" 범주에 속하는 이메일을 피해야 합니다. 그러나 잠재적인 위협이 이를 통과할 수 있으므로 이러한 필터를 신뢰해서는 안 됩니다. 또한 시스템에 신뢰할 수 있는 바이러스 백신 도구가 제공되는지 확인하십시오. 마지막으로 항상 유지하는 것이 좋습니다. 백업어떤 것에는 외장 드라이브, 위험한 상황이 발생한 경우.

Petya 바이러스 제거.

내 PC에서 Petya 바이러스를 어떻게 제거할 수 있나요?

이미 언급했듯이 향후 파일의 안전을 위해서는 Petya 바이러스를 제거하는 것이 필수적입니다. 또한, 외장 드라이브의 데이터 복구는 바이러스와 모든 구성 요소가 PC에서 완전히 제거된 경우에만 수행할 수 있습니다. 그렇지 않으면 Petya가 다음 위치의 파일에 침투하여 감염시킬 수 있습니다. 외장 드라이브.
Petya는 이 악성 코드와 작동하지 않기 때문에 간단한 제거 절차를 사용하여 컴퓨터에서 Petya를 제거할 수 없습니다. 이는 이 바이러스를 자동으로 제거해야 함을 의미합니다. 자동 제거 Petya 바이러스 제거는 컴퓨터에서 이 바이러스를 감지하고 제거하는 신뢰할 수 있는 바이러스 백신 도구를 사용하여 수행되어야 합니다. 그러나 예를 들어 제거 문제가 발생하는 경우 이 바이러스가 귀하의 프로그램을 차단할 수 있습니다. 바이러스 백신 프로그램, 기사 마지막 부분에 제공된 제거 지침을 언제든지 확인할 수 있습니다.

Petya 바이러스를 수동으로 제거하는 방법:

• 방법 1: 다음을 사용하여 Petya 제거 안전 모드네트워킹으로
• 방법 2: 시스템 복원을 사용하여 Petya 제거
• Petya 바이러스 이후 데이터 복원

네트워킹이 포함된 안전 모드를 사용하여 Petya 제거

랜섬웨어가 네트워킹을 통한 안전 모드를 차단하는 경우 다음 방법을 시도해 보세요.

시스템 복원을 사용하여 Petya 제거

• 1 단계: 명령 프롬프트를 사용하여 안전 모드로 컴퓨터를 다시 시작하세요.

  
  윈도우 7/비스타/XP
  
  윈도우 10/윈도우 8

• 2 단계: 복원 시스템 파일및 설정

  
  시스템을 이전 날짜로 복원한 후 컴퓨터를 부팅하고 검사하여 제거가 성공했는지 확인하세요.

마지막으로 암호화폐 랜섬웨어로부터의 보호를 항상 고려해야 합니다. Petya 및 다른 사람으로부터 컴퓨터를 보호하려면 유사한 응용 프로그램, Reimage, Plumbytes Anti-Malware와 같은 안정적인 스파이웨어 방지 프로그램을 사용하거나 Malwarebytes 안티악성 코드

랜섬웨어는 2017년 10월에 나타났습니다. 최근 보고서에 따르면, 최신 버전랜섬웨어는 주로 러시아와 우크라이나 조직에 영향을 미칩니다.

이 악성코드는 피해자의 컴퓨터에 침입하여 은밀하게 활동을 수행하며, 컴퓨터가 위험에 빠질 수 있습니다. Petya는 RSA-4096 및 AES-256 알고리즘으로 파일을 암호화하며 군사 목적으로도 사용됩니다. 이러한 코드는 개인 키 없이는 해독할 수 없습니다.

Locky 바이러스, CryptoWall 바이러스 및 CryptoLocker와 같은 다른 랜섬웨어와 마찬가지로 이 개인 키는 일부 원격 서버에 저장되어 있으며 바이러스 작성자에게 몸값을 지불해야만 액세스할 수 있습니다.

다른 랜섬웨어와 달리 이 바이러스는 실행되면 즉시 컴퓨터를 다시 시작하고 다시 부팅하면 화면에 다음 메시지가 나타납니다.

“PC를 끄지 마세요! 이 프로세스를 중단하면 모든 데이터가 파괴될 수 있습니다! 컴퓨터가 충전에 연결되어 있는지 확인하세요!”

이는 시스템 오류처럼 보일 수 있지만 Petya는 실제로 스텔스 모드에서 자동으로 암호화를 수행하고 있습니다.

사용자가 시스템을 재부팅하거나 파일 암호화를 중지하려고 하면 "PRESS ANY KEY!"라는 텍스트와 함께 깜박이는 빨간색 뼈대가 화면에 나타납니다. 마지막으로 키를 누르면 몸값 메모가 포함된 새 창이 나타납니다. 이 메모에는 피해자에게 0.9비트코인(약 400달러)을 지불하라는 요청이 담겨 있습니다.

그러나 이 가격은 컴퓨터 한 대에만 해당됩니다. 따라서 컴퓨터가 많은 회사의 경우 그 양은 수천 대에 이를 수 있습니다. 또한 이 랜섬웨어가 다른 점은 이 범주에 속하는 다른 바이러스가 일반적으로 제공하는 12~72시간 대신 몸값을 지불하는 데 일주일 전체가 걸린다는 것입니다.

게다가 Petya의 문제는 여기서 끝나지 않습니다. 이 바이러스가 시스템에 들어가면 덮어쓰려고 시도합니다. 부팅 파일운영 체제를 부팅하는 데 필요한 Windows 또는 소위 부팅 기록 마법사.

MBR(마스터 부트 레코더) 설정을 복원하지 않으면 컴퓨터에서 Petya 바이러스를 제거할 수 없습니다.

이러한 설정을 수정하고 시스템에서 바이러스를 제거하더라도 안타깝게도 바이러스 제거는 파일의 암호를 해독하지 않고 감염성 파일만 제거하기 때문에 파일은 암호화된 상태로 유지됩니다.

물론 컴퓨터를 계속 사용하려면 바이러스를 제거하는 것이 중요합니다. Petya 제거를 처리하려면 와 같은 신뢰할 수 있는 바이러스 백신 도구를 사용하는 것이 좋습니다.

NotPetya라는 바이러스가 체르노빌 발전소를 교란시킵니다.

2017년 6월 27일, Petya를 모방한 NotPetya라는 바이러스가 기업과 국제 정부 기관의 컴퓨터 시스템에 침입했습니다. 이로 인해 시스템이 정상적으로 시작될 수 없습니다. 액세스하려면 $300의 수수료가 필요합니다. 추가 분석에 따르면 해당 바이러스는 실제 Petya가 아닌 것으로 나타났습니다. .

공격 규모를 목격한 우크라이나는 큰 영향을 받았습니다. 시스템 오류로 인해 키예프 공항은 일부 항공편을 취소해야 했습니다. 게다가 체르노빌 발전소의 작업자들은 방사선 수준을 수동으로 조정해야 했습니다.

흥미롭게도 일부 IT 전문가는 손상된 제조업체 관련 업데이트를 통해 바이러스가 확산된다는 사실을 발견했습니다. 컴퓨터 프로그램우크라이나의 "MeDoc". 그러나 그러한 비난에는 여전히 추가 증거가 필요합니다.

다행스럽게도 다른 사이버 보안 전문가들은 NotPetya/Petya.a 공격을 방지할 수 있는 임시 솔루션을 찾았습니다.

위 이미지는 Petya의 몸값 메모를 표시합니다.
방법 1. (안전 모드)
"네트워킹을 통한 안전 모드"를 선택하십시오. 방법 1. (안전 모드)
"네트워킹으로 안전 모드 활성화"를 선택하십시오.

"명령 프롬프트가 포함된 안전 모드"를 선택하세요. 방법 2. (시스템 복원)
"명령 프롬프트로 안전 모드 활성화"를 선택하십시오.
방법 2. (시스템 복원)
따옴표 없이 "cd 복원"을 입력하고 "Enter" 키를 누르세요.
방법 2. (시스템 복원)
따옴표 없이 "rstrui.exe"를 입력하고 "Enter" 키를 누르세요.
방법 2. (시스템 복원)
나타나는 "시스템 복원" 창에서 "다음"을 선택하세요.
방법 2. (시스템 복원)
복원 지점을 선택하고 "다음"을 클릭하세요.
방법 2. (시스템 복원)
"예"를 클릭하고 시스템 복구를 시작하세요 ⇦ ⇒

미끄러지 다 1 ~에서 10

이 바이러스는 어떻게 확산되며 어떻게 컴퓨터에 침투할 수 있습니까?

Petya 바이러스는 일반적으로 "folder-gepackt.exe 애플리케이션"이라는 파일에 대한 Dropbox 다운로드 링크가 첨부된 스팸 이메일을 통해 확산됩니다. 특정 파일을 다운로드하여 열면 바이러스가 활성화됩니다. 이 바이러스가 어떻게 확산되는지 이미 알고 있으므로 바이러스 공격으로부터 컴퓨터를 보호하는 방법에 대한 몇 가지 아이디어가 있어야 합니다.

물론 의심스러운 사용자나 알 수 없는 출처가 보낸 전자 파일을 열 때 예상과 다른 정보를 제공하는 경우에는 주의해야 합니다. 또한 대부분의 이메일 서비스 제공업체는 자동으로 이메일을 필터링하여 적절한 디렉토리에 배치하므로 "스팸" 범주에 속하는 이메일을 피해야 합니다.

그러나 잠재적인 위협이 이를 통과할 수 있으므로 이러한 필터를 신뢰해서는 안 됩니다. 또한 시스템에 신뢰할 수 있는 바이러스 백신 도구가 제공되는지 확인하십시오. 마지막으로, 위험한 상황에 대비해 항상 외부 드라이브에 백업을 보관하는 것이 좋습니다.

내 PC에서 Petya 바이러스를 어떻게 제거할 수 있나요?

이미 언급했듯이 향후 파일의 안전을 위해서는 Petya 바이러스를 제거하는 것이 필수적입니다. 또한, 외장 드라이브의 데이터 복구는 바이러스와 모든 구성 요소가 PC에서 완전히 제거된 경우에만 수행할 수 있습니다. 그렇지 않으면 Petya가 외부 드라이브에 있는 파일에 침투하여 감염시킬 수 있습니다.
Petya는 이 악성 코드와 작동하지 않기 때문에 간단한 제거 절차를 사용하여 컴퓨터에서 Petya를 제거할 수 없습니다. 이는 이 바이러스를 자동으로 제거해야 함을 의미합니다.

5월 초에는 150개국 이상에서 약 23만 대의 컴퓨터가 랜섬웨어 바이러스에 감염되었습니다. 피해자들이 이 공격의 결과를 제거할 시간을 갖기 전에 Petya라는 새로운 공격이 뒤따랐습니다. 가장 큰 우크라이나어와 러시아 기업, 정부 기관도 마찬가지입니다.

우크라이나 사이버 경찰은 계정 업데이트 메커니즘을 통해 바이러스 공격이 시작되었음을 확인했습니다. 소프트웨어 M.E.Doc은 세금 보고서를 준비하고 보내는 데 사용됩니다. 따라서 Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo 및 Dnieper Electric Power System의 네트워크가 감염을 피하지 못했다는 것이 알려졌습니다. 우크라이나에서는 바이러스가 침투했습니다. 정부 컴퓨터, 키예프 지하철, 통신 사업자, 심지어 체르노빌 원자력 발전소의 PC. 러시아에서는 Mondelez International, Mars 및 Nivea가 영향을 받았습니다.

Petya 바이러스는 Windows 운영 체제의 EternalBlue 취약점을 이용합니다. Symantec과 F-Secure 전문가들은 Petya가 WannaCry처럼 데이터를 암호화하지만 여전히 다른 유형의 암호화 바이러스와는 다소 다르다고 말합니다. F-Secure는 “Petya 바이러스는 악의적인 의도를 가진 새로운 유형의 강탈입니다. 이는 디스크의 파일을 암호화할 뿐만 아니라 전체 디스크를 잠가서 사실상 사용할 수 없게 만듭니다.”라고 설명합니다. “구체적으로는 MFT 마스터 파일 테이블을 암호화합니다.”

이런 일이 어떻게 발생하며 이 프로세스를 방지할 수 있습니까?

바이러스 "Petya" - 어떻게 작동하나요?

Petya 바이러스는 Petya.A, PetrWrap, NotPetya, ExPetr 등의 다른 이름으로도 알려져 있습니다. 일단 컴퓨터에 접속하면 인터넷에서 랜섬웨어를 다운로드하고 일부를 감염시키려고 시도합니다. 하드 드라이브컴퓨터를 부팅하는 데 필요한 데이터가 있습니다. 성공하면 시스템은 죽음의 블루 스크린("죽음의 블루 스크린")을 발행합니다. 재부팅 후 다음과 같은 메시지가 나타납니다. 열심히 확인 중전원을 끄지 말라고 요청하는 디스크. 따라서 랜섬웨어는 다음과 같은 척합니다. 시스템 프로그램디스크를 확인하기 위해 이때 특정 확장자를 가진 파일을 암호화합니다. 프로세스가 끝나면 컴퓨터가 차단되었음을 알리는 메시지와 데이터 암호 해독을 위한 디지털 키를 얻는 방법에 대한 정보가 나타납니다. Petya 바이러스는 일반적으로 비트코인으로 몸값을 요구합니다. 피해자가 파일의 백업 복사본을 갖고 있지 않은 경우, 그는 300달러를 지불할지 아니면 모든 정보를 잃을지 선택해야 합니다. 일부 분석가에 따르면 이 바이러스는 랜섬웨어로 가장할 뿐이며 실제 목표는 막대한 피해를 입히는 것입니다.

Petya를 제거하는 방법?

전문가들은 Petya 바이러스가 찾고 있는 것을 발견했습니다. 로컬 파일파일이 이미 디스크에 존재하는 경우 암호화 프로세스를 종료합니다. 즉, 사용자는 이 파일을 생성하고 읽기 전용으로 설정하여 랜섬웨어로부터 컴퓨터를 보호할 수 있습니다.

이 교활한 계획은 랜섬웨어 프로세스가 시작되는 것을 방해하지만, 이 방법"컴퓨터 예방접종"에 더 가깝다고 볼 수 있습니다. 따라서 사용자가 직접 파일을 만들어야 합니다. 다음과 같이 이 작업을 수행할 수 있습니다.

• 먼저 파일 확장자를 이해해야 합니다. 폴더 옵션 창에서 알려진 파일 형식의 확장명 숨기기 확인란이 선택 취소되어 있는지 확인하세요.
• C:\Windows 폴더를 열고 notepad.exe 프로그램이 나타날 때까지 아래로 스크롤합니다.
• notepad.exe를 마우스 왼쪽 버튼으로 클릭한 다음 Ctrl + C를 눌러 파일을 복사하고 Ctrl + V를 눌러 파일을 붙여넣습니다. 파일 복사 권한을 요청하는 요청을 받게 됩니다.
• 계속 버튼을 클릭하면 파일이 메모장(Copy.exe)으로 생성됩니다. 이 파일을 마우스 왼쪽 버튼으로 클릭하고 F2를 누른 다음 Copy.exe 파일 이름을 지우고 perfc를 입력합니다.
• 파일 이름을 perfc로 변경한 후 Enter 키를 누릅니다. 이름 변경을 확인하세요.
• 이제 perfc 파일이 생성되었으므로 이를 읽기 전용으로 만들어야 합니다. 이렇게 하려면 다음을 클릭하세요. 마우스 오른쪽 버튼으로 클릭파일 위에 마우스를 놓고 "속성"을 선택하십시오.
• 이 파일의 속성 메뉴가 열립니다. 하단에 "읽기 전용"이 표시됩니다. 상자를 확인하십시오.
• 이제 적용 버튼을 클릭한 다음 확인 버튼을 클릭하세요.

일부 보안 전문가는 Petya 바이러스로부터 더욱 철저하게 보호하기 위해 C:\windows\perfc 파일 외에 C:\Windows\perfc.dat 및 C:\Windows\perfc.dll 파일을 생성할 것을 제안합니다. 이러한 파일에 대해 위 단계를 반복할 수 있습니다.

축하합니다. 귀하의 컴퓨터는 NotPetya/Petya로부터 보호됩니다!

시만텍 전문가는 PC 사용자에게 파일 잠김이나 금전 손실을 초래할 수 있는 작업을 방지하기 위한 몇 가지 조언을 제공합니다.

1. 범죄자에게 돈을 지불하지 마십시오.랜섬웨어로 돈을 이체하더라도 파일에 다시 액세스할 수 있다는 보장은 없습니다. 그리고 NotPetya/Petya의 경우 랜섬웨어의 목적은 돈을 벌려는 것이 아니라 데이터를 파괴하는 것이기 때문에 기본적으로 의미가 없습니다.
2. 정기적으로 데이터를 백업하십시오.이 경우 PC가 랜섬웨어 바이러스 공격의 대상이 되더라도 삭제된 파일을 복구할 수 있습니다.
3. 열지 마 이메일모호한 주소로.공격자는 설치 중에 사용자를 속이려고 시도합니다. 악성 코드또는 공격을 위한 중요한 데이터를 얻으려고 합니다. 귀하 또는 귀하의 직원이 의심스러운 이메일이나 링크를 받은 경우 반드시 IT 전문가에게 알리십시오.
4. 신뢰할 수 있는 소프트웨어를 사용하세요.바이러스 백신 프로그램을 적시에 업데이트하는 것은 컴퓨터를 감염으로부터 보호하는 데 중요한 역할을 합니다. 그리고 물론 이 분야에서는 평판이 좋은 회사의 제품을 사용해야 합니다.
5. 메커니즘을 사용하여 스팸 메시지를 검사하고 차단합니다.수신 이메일에 위협이 있는지 검사해야 합니다. 링크나 일반적인 메시지가 포함된 모든 유형의 메시지는 키워드피싱.
6. 모든 프로그램이 최신 상태인지 확인하세요.감염을 예방하려면 소프트웨어 취약점을 정기적으로 교정하는 것이 필요합니다.

새로운 공격을 예상해야 할까요?

Petya 바이러스는 2016년 3월에 처음 등장했으며 보안 전문가들은 즉시 그 동작을 발견했습니다. 신종 바이러스 Petya는 2017년 6월 말 우크라이나와 러시아의 컴퓨터를 강타했습니다. 그러나 이것이 끝이 아닐 것 같습니다. Sberbank 이사회 부회장인 Stanislav Kuznetsov는 Petya 및 WannaCry와 유사한 랜섬웨어 바이러스를 사용한 해커 공격이 반복될 것이라고 말했습니다. 그는 타스(TASS)와의 인터뷰에서 이런 공격은 반드시 일어날 것이지만 어떤 형태와 형식으로 나타날지 미리 예측하기 어렵다고 경고했다.

발생한 모든 사이버 공격 후에도 랜섬웨어 바이러스로부터 컴퓨터를 보호하기 위한 최소한의 조치를 아직 취하지 않았다면 이제 심각하게 대처해야 할 때입니다.