Petya

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Petya/NotPetya
Petya.Random.png
Екран після шифрування хробаком NotPetya (Після перезавантаження системи)
Тип Комп'ютерний хробак / винищувач даних прихований під здирник
Розробник угрупування типу розвинена стала загроза пов'язана з російськими військовими[1]
Операційна система Microsoft Windows
Також відома як Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]

CMNS: Petya/NotPetya на Вікісховищі

Petya — сімейство шкідливих програм, що вражає комп'ютери під управлінням сімейства ОС Microsoft Windows. Перші представники були виявлені в 2016 році та були звичайними зразками здирницьких вірусів[3][4]. 27 червня 2017 року сталась масштабна атака останнім представником сімейства, який запозичив деякі модулі з попердніх зразків, але можливо був створений іншими розробниками та вже був вірусом-винищувачем даних, замаскованим під програму-вимагач[5].

Програма шифрує файли на жорсткому диску комп'ютера-жертви, а також перезаписує і шифрує головний завантажувальний запис (MBR) — дані, необхідні для завантаження операційної системи[6]. В результаті всі файли, що зберігаються на комп'ютері, стають недоступними. Потім програма вимагає грошовий викуп у біткоїнах за розшифровку і відновлення доступу до файлів. При цьому перша версія вірусу шифрувала не самі файли, а MFT-таблицю — базу даних з інформацією про файли, що зберігаються на диску.

На думку Адміністрації Президента США Дональда Трампа атака із використанням вірусу NotPetya в червні 2017 року стала найбільшою хакерською атакою в історії. У спільній заяві країни альянсу Five Eyes поклали відповідальність за дану атаку на російську владу[7][8][9][10][1]. Відповідальність за атаку покладають на Росію також уряди Данії та України[11][12].

Історія[ред. | ред. код]

Petya[ред. | ред. код]

Вперше вірус Petya був виявлений в березні 2016 року. Компанія Check Point тоді зазначила, що, хоча йому вдалося заразити менше комп'ютерів, ніж іншим програмам-здирникам початку 2016 року, таким як CryptoWall, поведінка нового вірусу помітно відрізняється, завдяки чому він негайно був відзначений, як наступний крок в еволюції програм-вимагачів"[13]. За відновлення доступу до файлів програма вимагала від користувача 0,9 біткоїнів, що, за станом на березень 2016 року, становило близько 380 доларів США[14].

Petya/Mischa[ред. | ред. код]

Інший різновид програми виявили в травні 2016 року. Вона містила додаткове корисне навантаження: якщо вірусу не вдавалося отримати права адміністратора для перезапису MBR і подальшого шифрування MFT, він встановлював на заражений комп'ютер іншу шкідливу програму — Mischa. Mischa шифрував файли користувача безпосередньо (така операція зазвичай не вимагає прав адміністратора), а потім вимагав викуп у розмірі 1,93 біткоїни, що на той момент було еквівалентно 875 доларів США[15][16].

NotPetya[ред. | ред. код]

На думку частини аналітиків, називати нову загрозу «Petya», строго кажучи, невірно. Шкідливе ПЗ дійсно володіє значною кількістю коду з більш старої області, призначеної для вимагання, яка ідентифікується антивірусними системами як Petya. Проте вже через кілька годин після початку епідемії деякі дослідники інформаційної безпеки помітили, що ця схожість досить поверхова[17]. Дослідники з Лабораторії Касперського відмовилися називати шкідливу програму «Petya» — замість цього вони використовують терміни New Petya, NotPetya, ExPetr. Поширюються й інші варіанти цієї назви — Petna, Pneytna та інші. Крім того, інші дослідники, які самостійно виявили шкідливе ПО, визначили його зовсім іншими назвами: наприклад, румунська компанія Bitdefender назвала його Goldeneye. З іншого боку, американська компанія Symantec вважає нову загрозу різновидом вірусу Petya, не привласнюючи їй якоїсь іншої назви.

27 червня 2017 року почалося масове поширення нової модифікації програми. На цей раз вірус використовує ті ж вразливості системи, що і WannaCry (наприклад, експлойт EternalBlue і бекдор DoublePulsar), а за відновлення доступу до даних вимагає відправити 300 доларів в біткоїнах. При цьому фахівці не рекомендують користувачам йти на поводу у вимагачів, оскільки це все одно не допоможе їм відновити доступ до даних; електронна адреса, на яку зловмисники просять відправити дані після здійснення платежу, вже заблокована провайдером[18]. На думку головного інженера компанії McAfee Крістіана Біка, ця версія була розроблена так, щоб максимально швидко поширюватися[19]. Вірус отримував пароль адміна завдяки утиліті Mimikatz.[20] У компанії ESET заявили, що поширення шкідливої програми почалося в Україні[21].

Атака була в основному спрямована проти України, на яку припало 75 % всіх постраждалих від атаки комп'ютерів.[22][23] Атаці піддалися енергетичні компанії[24], українські банки[25], Аеропорт Харкова[26], Чорнобильська АЕС[27], урядові сайти, київський метрополітен[28]. Національний банк України опублікував на своєму сайті офіційну заяву про хакерську атаку на банки країни і боротьби з нею[29]. Пізніше стали з'являтися повідомлення про хакерську атаку на російські банки, компанії Хоум Кредит, Роснафта і Башнафта[30]. Також повідомлення про зараження стали надходити з Італії, Ізраїлю, Сербії, Угорщини, Румунії, Польщі, Аргентини, Чехії, Німеччини, Великої Британії, США, Данії, Нідерландів, Іспанії, Індії, Франції та Естонії[31][32][33].

Розповсюдження[ред. | ред. код]

Попри зовнішню схожість новий вірус має істотні відмінності від вже відомого Petya й тому отримав нові назви від різних дослідників (NotPetya, Eternal Petya, Petna, тощо). У цілому він має добре написаний код, який використовує для свого поширення низку шляхів:[34]

  • Вразливості EternalBlue та EternalRomance (CVE-2017-0144 та CVE-2017-0145 відповідно, обидві виправлені в оновленні MS17-010)[35]
  • Виявлення гешів паролів зареєстрованих на комп'ютері користувачів і навіть адміністраторів[20] (алгоритм LSA Dump, схожий на Win32/Mimikatz)[35]
  • Використання стандартних можливостей операційної системи[35]:
    Спочатку передає свої файли установки через мережеві диски (Windows Share), а потім намагається їх запустити або віддаленим виконанням команд PowerShell (psexec), або ж через систему WMIC (Windows Management Instrumentation Command-line).

Таким чином, заражений цим хробаком комп'ютер здатен, за певних умов, вражати інші комп'ютери в мережі, навіть ті, які отримали останні оновлення операційної системи.

Аби не бути виявленим антивірусними програмами, бінарні коди вірусу застосовують[34]:

  • підроблений цифровий підпис Microsoft,
  • шифрування алгоритмом XOR (для обходу перевірок на сигнатуру).

Проте, попри досить високий рівень реалізації самого вірусу, його розробники скористались вкрай вразливим та ненадійним способом спілкування з жертвами, що створює враження, що здирництво не було основним мотивом:[34][36]

  • всім жертвам пропонується перерахувати криптовалюту біткоїн вартістю 300$ на гаманець автора віруса,
  • та передати вказаний на екрані довгий код на вказану адресу електронної пошти.

Поштова служба, де була зареєстрована скринька зловмисників, заблокувала її вже через кілька годин після початку атаки і, таким чином, унеможливила спілкування між жертвами та зловмисниками[34]. Тобто, сплата викупу не має сенсу, оскільки гарантовано не дасть бажаного результату[37]. В оприлюдненій заяві компанія-провайдер поштової скриньки повідомила, що не лише заблокувала скриню, а й активно працює з німецькою федеральною службою інформаційної безпеки в розслідуванні цієї події[38].

Шкідлива дія[ред. | ред. код]

Шифрування файлів

Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії[35].

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску[35]. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників[39]. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма[40].

Слід також зазначити, що у функції шифрування файлів зловмисник припустився помилки, яка може істотно ускладнити (якщо не унеможливити) їхнє відновлення: вірус шифрує лише перший мегабайт даних у файлах більшого розміру, але не скидає стан алгоритму шифрування при переході до наступного файлу. Таким чином, для відновлення файлів слід виконувати в ідентичному порядку.

Знищення файлової системи

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

  • змінює головний завантажувальний запис (MBR) кодами свого запуску,
  • обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел,
  • обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR,
  • встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та
  • знищує всі записи в системних журналах.

При завантаженні комп'ютера завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код віруса, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диску Chkdsk[35]. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем[41].

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye)[41].

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення[39].

Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади[37].

Захист[ред. | ред. код]

Більшість великих антивірусних компаній заявляють, що їхнє програмне забезпечення оновлено, щоб активно виявляти і захищати від проникнення вірусу: наприклад, продукти компанії Symantec використовують сигнатури оновленої версії 20170627.009. Лабораторія Касперського також заявляє, що її програмне забезпечення готове до виявлення і захист від шкідливого ПЗ[2]. Крім того, актуальні оновлення Windows виправляють вразливість EternalBlue, що дозволяє зупинити один з основних способів зараження, а також захистити користувачів від майбутніх атак з різного роду корисними навантаженнями[42].

Згодом на сайті хабр були повідомлення від сисадмінів українських компаній, що постраждали із повідомленнями про те, що у них в компанії вже були встановлені всі останні оновлення, встановлений файєрвол, обмежені права користувачів, антифішинг фільтр для поштовиків і все одно ПК компанії були зашифровані.[20][43]

Для цієї шкідливої атаки був виявлений ще один вектор захисту. Petya перевіряє наявність файлу perfc.dat, що перебуває в системній папці тільки для читання. Якщо він виявить цей файл, то не буде запускати шифрування програмного забезпечення та інформації. Однак така «вакцина» насправді не запобігає зараженню: шкідливе ПО, як і раніше буде використовувати «точку опори» на зараженому ПК, з метою поширитися на інші комп'ютерні системи через локальну мережу.

Атака на Україну[ред. | ред. код]

Підготовка атаки[ред. | ред. код]

Згідно з повідомленнями кіберполіції України, атака, ймовірно, була «засіяна» механізмом оновлення програмного забезпечення, вбудованим в бугалтерську програму M.E.Doc, яку використовують компанії, які працюють з документами українського уряду[44]. Це може пояснити, чому постраждала величезна кількість українських організацій, в тому числі уряд, банки, державні енергетичні компанії, київський аеропорт і метро. Так, наприклад, система радіаційного моніторингу Чорнобильської АЕС була відключена від мережі, змушуючи працівників перейти на ручні лічильники і ручне управління в цілому. Друга хвиля епідемії була відтворена фішинговою компанією зі шкідливими вкладеннями. Сама компанія M.E.Doc спростовує, що поширення вірусу може бути пов'язано з її файлами оновлення[45]. Однак фахівці Microsoft підтверджують, що деякі випадки зараження почалися саме з установки оновлення M.E.Doc[46].

Організатори[ред. | ред. код]

На думку деяких аналітиків, вірус лише маскується під здирника, у той час як його справжня мета — заподіяння шкоди, зокрема — українському уряду. Дослідник кібербезпеки Ніколас Вівер висунув таку гіпотезу: Petya був «навмисною, зловмисною, руйнівною атакою або, можливо, випробуванням, замаскованим під вимагання»[47]. Фахівець під псевдонімом Grugq зазначив, що перша версія вірусу була «злочинним підприємством з метою вимагання грошей», але нова версія явно призначена не для цього. Також він сказав:

Ліві лапки Найімовірніше, цей хробак призначений для швидкого поширення і нанесення максимального збитку за допомогою правдоподібного, на перший погляд, вимагання. Праві лапки

На користь цієї версії говорить і те, що 28 червня — День Конституції в Україні[48][49].

До того ж, було виявлено, що серед інших повідомлень, механізм вимагання шкідливого ПО сконструйований невміло і був зовсім марним: єдина адреса погано зашифрована, тобто рух грошей можна відстежити. Ще однією недоробкою можна зазначити вимогу відправити 60-значний персональний ідентифікаційний ключ зараженої машини з комп'ютера, на якому неможливо копіювати і вставляти текст з екрану.

За офіційно не підтвердженими даними, іще в листопаді 2017 року ЦРУ дійшло остаточного висновку, що за атаками із використанням NotPetya стоять відповідні підрозділи під управлінням ГРУ ГШ РФ. За даними Washington Post, яка оприлюднила цю інформацію, цей підрозділ має назву рос. Главный центр специальных технологий[50].

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія[7], Велика Британія[8], Канада[9], Нова Зеландія[10], Сполучені Штати[1], а також уряди Данії[11] та України[12]. Зокрема:

  • «Уряд Сполученого Королівства приходить до висновку, що відповідальність за руйнівну кібератаку Petya в червні 2017 року лежить на російській владі, а саме російській армії», — заявив заступник міністра закордонних справ Великої Британії Тарік Ахмад.[51][8]
  • Адміністрація Президента США Дональда Трампа заявила: «В червні 2017 року російські військові здійснили наймасштабнішу хакерську атаку, що завдала найбільших збитків в історії. Атака, нині відома як „NotPetya“ стрімко поширилась на весь світ, та завдала мільярдні збитки підприємствам в Європі, Азії, та в обох Америках. Ця атака була складовою частиною спроб Кремля дестабілізувати Україну та ясно свідчить про залучення Кремля у поточний конфлікт. Також ця хакерська атака була безвідповідальною та невибірковою, вона не залишиться без наслідків з боку міжнародного товариства.»[1]
  • «Австралійський уряд спільно з урядами Сполучених Штатів та Об'єднаного Королівства засуджує здійснену Росією атаку із використанням вірусу „NotPetya“ на критичну інфраструктуру та приватні підприємства в червні 2017 року»[7].

Наступні версії[ред. | ред. код]

Bad Rabbit[ред. | ред. код]

В жовтні 2017 року сталась чергова епідемія ураження інформаційних систем вірусом-хробаком для здирництва через шифрування файлів Bad Rabbit (Win32/Diskcoder.D, Ransom.BadRabbit). Спочатку зловмисники отримали несанкційований доступ до низки веб-сайтів, де вставили власні сценарії JavaScript у сторінки. Ці сценарії звертались на сервер управління зловмисників, звідки отримували основну частину подальшого сценарію. Отриманий сценарій JavaScript попереджав користувача про необхідність оновити встановлений модуль Flash Player, але замість завантаження оновлення користувач завантажував програму-інсталятор вірусу з іменем файлу install_flash_player.exe[52][53].

На відміну від NotPetya, в цій версії були виправлені помилки шифрування. Тут вже використана утиліта з відкритими кодами DiskCryptor. Ключі шифрування генеруються CryptGenRandom, для алгоритму AES-128-CBC а потім захищаються відкритим ключем RSA-2048[52][53].

Окрім завантаження через уражені веб-сайти, даний вірус має властивості мережевого хробака, оскільки здатен поширювати себе через спільні теки SMB (Server Message Block) та використовує уразливість EternalRomance. Для отримання прав адміністратора вірус використовує програму mimikatz[52][53].

Пік заражень вірусом припав на 24 жовтня 2017 року. Найбільше ним було уражено комп'ютерів в Росії 65-86 %, та Україні 1-12,2 %. Проте, попри порівняно невелику кількість заражень, відомо про тимчасове виведення з ладу інформаційних систем Київського метрополітену та Одеський аеропорт[52][53].

Голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства . Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. А атака хробаком була лише яскравим прикриттям. І попри більше поширення хробака в Росії друга частина атаки служить доказом того, що основною мішенню були підприємства в Україні. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки[54].

За даними британського Національного центру комп'ютерної безпеки (NCSC) відповідальність за цю атаку можна з високою впевненістю слід покласти на російських військових хакерів (ГУ ГШ ЗС РФ) з угрупування Fancy Bear. Серед постраждалих підприємств є Київський метрополітен, Міжнародний аеропорт «Одеса», Центральний банк РФ, два російських ЗМІ[55].

Примітки[ред. | ред. код]

  1. а б в г Statement from the Press Secretary. The White House. 2018-02-15. 
  2. а б в г д Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Процитовано 2017-06-28. 
  3. Petya ransomware eats your hard drives. Kaspersky Lab. 2016-03-30. Процитовано 2017-06-27. 
  4. Ransom.Petya. Symantec | United States. 2016-03-29. Процитовано 2017-06-27. 
  5. УНІАН: События недели: версия читателей УНИАН — на Украине испытали кибероружие. 30.06.2017
  6. Petya ransomware outbreak: Here’s what you need to know. Symantec Security Response. Процитовано 2017-06-27. 
  7. а б в Australian Government attribution of the ‘NotPetya’ cyber incident to Russia. The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 2018-02-16. 
  8. а б в Russian military ‘almost certainly’ responsible for destructive 2017 cyber attack. National Cyber Security Centre. 2018-02-15. 
  9. а б Greta Bossenmaier (2018-02-15). CSE Statement on the NotPetya Malware. Communications Security Establishment. 
  10. а б New Zealand joins international condemnation of NotPetya cyber-attack. Government Communications Security Bureau. 2018-02-16. 
  11. а б Claus Hjort: Rusland stod bag cyberangreb mod Mærsk. Berlingske Business. 2018-02-15. 
  12. а б СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 01-07-2017. 
  13. Decrypting the Petya Ransomware. Check Point Blog. 2016-04-11. Процитовано 2017-06-28. 
  14. Вымогатель Petya шифрует жесткие диски. blog.kaspersky.ru. Процитовано 2017-06-28. 
  15. Constantin, Lucian. Petya ransomware is now double the trouble. Network World (en). Процитовано 2017-06-28. 
  16. Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa. blog.kaspersky.ru. Процитовано 2017-06-28. 
  17. the grugq (2017-06-27). Pnyetya: Yet Another Ransomware Outbreak. the grugq. Процитовано 2017-06-28. 
  18. Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid. Motherboard. Процитовано 2017-06-28. 
  19. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains. WIRED UK (en-GB). Процитовано 2017-06-28. 
  20. а б в Украина подверглась самой крупной в истории кибератаке вирусом Petya, habrahabr.ru, 27 червня 2017
  21. Лаборатория ESET назвала Украину источником заражения вирусом Petya. Interfax.ru (ru-RU). 2017-06-28. Процитовано 2017-06-28. 
  22. Опубліковано карту поширення вірусу Petya.A: Україна зазнала наймасштабнішої атаки
  23. ESET: Главной жертвой вируса-шифровальщика Petya.A стала Украина, где зарегистрировано более 75 % всех случаев заражения, itc.ua
  24. "Киевэнерго" подверглось хакерской атаке, проблемы ощутило и "Укрэнерго". Интерфакс-Украина. Процитовано 2017-06-28. 
  25. Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины. strana.ua. Процитовано 2017-06-28. 
  26. Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме. Interfax.ru (ru-RU). 2017-06-28. Процитовано 2017-06-28. 
  27. Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим. Новости Mail.Ru. Процитовано 2017-06-28. 
  28. 24tv.ua. Метро Киева также страдает из-за вируса Petya A - Телеканал новостей 24. Телеканал новостей 24. Процитовано 2017-06-28. 
  29. НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку. bank.gov.ua. Процитовано 2017-06-28. 
  30. Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний. Пятый канал (ru). Процитовано 2017-06-28. 
  31. ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки. RUS Delfi. 1498635301. Процитовано 2017-06-28. 
  32. Solon, Olivia (2017-06-27). What is the Petya ransomware attack, and how can it be stopped?. The Guardian (en-GB). 0261-3077. Процитовано 2017-06-28. 
  33. Huge cyber attack spreading across the world. The Independent (en-GB). 2017-06-27. Процитовано 2017-06-28. 
  34. а б в г Помилка цитування: Неправильний виклик <ref>: для виносок grugq.59afd1ee89d4 не вказаний текст
  35. а б в г д е Помилка цитування: Неправильний виклик <ref>: для виносок mmpc-27 не вказаний текст
  36. Hern, Alex (2017-06-28). Ransomware attack 'not designed to make money', researchers claim. The Guardian (en-GB). ISSN 0261-3077. Процитовано 2017-06-28. 
  37. а б CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU. 27 червня 2017. 
  38. Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo. 27.Juni 2017. 
  39. а б Andy Patel (2017-06-29). Petya: “I Want To Believe”. F-Secure. 
  40. How EternalPetya Encrypts Files In User Mode. F-Secure. 2017-07-04. 
  41. а б EternalPetya and the lost Salsa20 key. Malwarebytes Labs. June 29, 2017. 
  42. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser. MSPoweruser (en-US). 2017-05-13. Процитовано 2017-06-28. 
  43. Украина подверглась самой крупной в истории кибератаки вирусом Petya, protectmaster.org
  44. Cyberpolice Ukraine (2017-06-27). Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua за допомогою User Agent "medoc1001189". @CyberpoliceUA. Процитовано 2017-06-28. 
  45. M.E.Doc. www.facebook.com. Процитовано 2017-06-28. 
  46. New ransomware, old techniques: Petya adds worm capabilities. Windows Security (en-US). Процитовано 2017-06-28. 
  47. ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security. krebsonsecurity.com. Процитовано 2017-06-28. 
  48. Lee, David (28 June 2017). 'Vaccine' created for huge cyber-attack. BBC News (en-GB). 
  49. Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times. June 27, 2017. Процитовано June 28, 2017. 
  50. Ellen Nakashima (2018-01-12). Russian military was behind ‘NotPetya’ cyberattack in Ukraine, CIA concludes. Washington Post. 
  51. Міністерство закордонних справ Великої Британії офіційно звинуватило російську владу у застосуванні кібератаки з використанням вірусу-здирника Petya.
  52. а б в г MARC-ETIENNE M.LÉVEILLÉ (24 OCT 2017). Bad Rabbit: Not-Petya is back with improved ransomware. We Live Security. 
  53. а б в г BadRabbit: New strain of ransomware hits Russia and Ukraine. Semantec Security Response. 25 жовтня 2017. 
  54. Pavel Polityuk, Alessandra Prentice (2 листопада 2017). Exclusive: Ukraine hit by stealthier phishing attacks during BadRabbit strike. Reuters. 
  55. Reckless campaign of cyber attacks by Russian military intelligence service exposed. National Cyber Security Center. 2018-10-04. Процитовано 2018-10-04. 

Див. також[ред. | ред. код]

Посилання[ред. | ред. код]