بيتيا أول ذكر. من أين أتى فيروس بيتيا؟

يمتلك كل مستخدم تقريبًا برامج مكافحة الفيروسات على أجهزة الكمبيوتر الخاصة به، ولكن في بعض الأحيان يظهر فيروس طروادة أو فيروس يمكنه تجاوز معظم البرامج حماية أفضلوتصيب جهازك، والأسوأ من ذلك، تشفير البيانات الخاصة بك. هذه المرة، أصبح فيروس طروادة المشفر "بيتيا" أو كما يطلق عليه أيضًا "بيتيا" مثل هذا الفيروس. معدل الانتشار نظرا للتهديداتمثير للإعجاب للغاية: في غضون يومين تمكن من "زيارة" روسيا وأوكرانيا وإسرائيل وأستراليا والولايات المتحدة الأمريكية وجميع الدول الأوروبية الكبرى والمزيد. لقد أثر بشكل رئيسي على مستخدمي الشركات (المطارات ومحطات الطاقة وصناعة السياحة)، لكن الأشخاص العاديين تأثروا أيضًا. من حيث الحجم وطرق التأثير، فهو يشبه إلى حد كبير المثير مؤخرًا.

أنت بالتأكيد بحاجة إلى حماية جهاز الكمبيوتر الخاص بك لتجنب الوقوع ضحية لفيروس طروادة Petya Ransomware الجديد. سأخبرك في هذا المقال ما هو نوع فيروس بيتيا وكيف ينتشر وكيف تحمي نفسك من هذا التهديد. بالإضافة إلى ذلك، سنتطرق إلى مشكلات إزالة طروادة وفك تشفير المعلومات.

ما هو فيروس بيتيا؟

أولا، يجب أن نفهم ما هو بيتيا. فيروس بيتيا ضار برمجة، وهو حصان طروادة من نوع برامج الفدية. تم تصميم هذه الفيروسات لابتزاز أصحاب الأجهزة المصابة للحصول على فدية منهم مقابل البيانات المشفرة. على عكس Wanna Cry، لا تزعج Petya نفسها بتشفير الملفات الفردية - فهي على الفور تقريبًا "تزيل" كامل الملفات القرص الصلبتماما.

الاسم الصحيح للفيروس الجديد هو Petya.A. بالإضافة إلى ذلك، يطلق عليه Kaspersky اسم NotPetya/ExPetr.

وصف فيروس بيتيا

بمجرد وصولك إلى جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows، تقوم Petya بالتشفير على الفور تقريبًا MFT(جدول الملفات الرئيسي - الجدول الرئيسي للملفات). ما هو هذا الجدول المسؤول عن؟

تخيل أن القرص الصلب الخاص بك هو أكبر مكتبة في الكون بأكمله. أنه يحتوي على مليارات الكتب. إذًا كيف تجد الكتاب المناسب؟ فقط من خلال فهرس المكتبة. هذا هو الكتالوج الذي يدمره بيتيا. وبالتالي، تفقد أي إمكانية للعثور على أي "ملف" على جهاز الكمبيوتر الخاص بك. ولكي نكون أكثر دقة، بعد "عمل" بيتي، فإن القرص الصلب لجهاز الكمبيوتر الخاص بك سوف يشبه المكتبة بعد الإعصار، حيث تتطاير قصاصات الكتب في كل مكان.

وبالتالي، على عكس Wanna Cry، الذي ذكرته في بداية المقال، فإن Petya.A لا يقوم بالتشفير ملفات منفصلة، وقضاء قدر كبير من الوقت في هذا الأمر - فهو ببساطة يحرمك من أي فرصة للعثور عليهم.

بعد كل تلاعباته، يطلب فدية من المستخدمين - 300 دولار أمريكي، والتي يجب تحويلها إلى حساب بيتكوين.

من خلق فيروس بيتيا؟

عند إنشاء فيروس Petya، تم استخدام استغلال ("ثقب") في نظام التشغيل Windows يسمى "EternalBlue". أصدرت Microsoft تصحيحًا "يغلق" هذه الثغرة منذ عدة أشهر، ومع ذلك، لا يستخدم الجميع الترخيص نسخة من ويندوزويقوم بتثبيت كافة تحديثات النظام، أليس كذلك؟)

تمكن منشئ "Petit" من استغلال إهمال المستخدمين من الشركات والأفراد بحكمة وكسب المال منه. لا تزال هويته مجهولة (ومن غير المرجح أن تكون معروفة)

كيف ينتشر فيروس بيتيا؟

ينتشر فيروس بيتيا في أغلب الأحيان تحت ستار المرفقات رسائل البريد الإلكترونيوفي الأرشيفات التي تحتوي على برامج مقرصنة مصابة. يمكن أن يحتوي المرفق على أي ملف على الإطلاق، بما في ذلك صورة أو ملف mp3 (كما يبدو للوهلة الأولى). بعد تشغيل الملف، سيتم إعادة تشغيل جهاز الكمبيوتر الخاص بك وسيقوم الفيروس بمحاكاة فحص القرص أخطاء CHKDSK، وفي هذه اللحظة سوف يعدل دخول التمهيدجهاز الكمبيوتر الخاص بك (MBR). بعد ذلك، سترى جمجمة حمراء على شاشة جهاز الكمبيوتر الخاص بك. من خلال النقر على أي زر، يمكنك الوصول إلى النص الذي سيُطلب منك فيه الدفع مقابل فك تشفير ملفاتك ونقل المبلغ المطلوب إلى محفظة البيتكوين.

كيف تحمي نفسك من فيروس بيتيا؟

  • الشيء الأكثر أهمية والأساسي هو جعل تثبيت التحديثات لنظام التشغيل الخاص بك قاعدة! هذا مهم بشكل لا يصدق. افعلها الآن، لا تتأخر.
  • انتبه جيدًا لجميع المرفقات المرفقة بالرسائل، حتى لو كانت الرسائل من أشخاص تعرفهم. أثناء الوباء، من الأفضل استخدام مصادر بديلة لنقل البيانات.
  • قم بتنشيط خيار "إظهار امتدادات الملفات" في إعدادات نظام التشغيل - وبهذه الطريقة يمكنك دائمًا رؤية امتداد الملف الحقيقي.
  • قم بتشغيل "التحكم في حساب المستخدم" في إعدادات ويندوز.
  • من الضروري تثبيت واحد منهم لتجنب العدوى. ابدأ بتثبيت تحديث لنظام التشغيل، ثم قم بتثبيت برنامج مكافحة الفيروسات - وستكون أكثر أمانًا من ذي قبل.
  • تأكد من عمل "نسخ احتياطية" - احفظ جميع البيانات المهمة عليها الثابت الخارجيالقرص أو إلى السحابة. بعد ذلك، إذا اخترق فيروس Petya جهاز الكمبيوتر الخاص بك وقام بتشفير جميع البيانات، فسيكون من السهل جدًا عليك تنسيق جهازك القرص الصلبوتثبيت نظام التشغيل مرة أخرى.
  • تحقق دائمًا من الملاءمة قواعد بيانات مكافحة الفيروساتبرنامج مكافحة الفيروسات الخاص بك. تقوم جميع برامج مكافحة الفيروسات الجيدة بمراقبة التهديدات والرد عليها بسرعة عن طريق تحديث توقيعات التهديد.
  • تثبيت مجاني فائدة كاسبيرسكيمكافحة الفدية. سوف يحميك من تشفير الفيروسات. تثبيت هذا البرنامج لا يعفيك من الحاجة إلى تثبيت برنامج مكافحة الفيروسات.

كيفية إزالة فيروس بيتيا؟

كيفية إزالة فيروس Petya.A من القرص الصلب الخاص بك؟ هذا سؤال مثير للاهتمام للغاية. الحقيقة هي أنه إذا قام الفيروس بحظر بياناتك بالفعل، فلن يكون هناك شيء لحذفه. إذا كنت لا تخطط لدفع برامج الفدية (وهو ما لا ينبغي عليك فعله) ولن تحاول استعادة البيانات الموجودة على القرص في المستقبل، فيمكنك ببساطة تهيئة القرص وإعادة تثبيت نظام التشغيل. وبعد ذلك لن يبقى أي أثر للفيروس.

إذا كنت تشك في وجود ملف مصاب على القرص الخاص بك، فقم بفحص القرص الخاص بك باستخدام أحد هذه الملفات، أو قم بتثبيت برنامج مكافحة الفيروسات Kaspersky وقم بإجراء فحص كامل للنظام. وأكد المطور أن قاعدة بيانات التوقيع الخاصة به تحتوي بالفعل على معلومات حول هذا الفيروس.

Petya.A فك التشفير

يقوم Petya.A بتشفير بياناتك باستخدام خوارزمية قوية جدًا. على في اللحظةلا يوجد حل لفك تشفير المعلومات المحظورة. علاوة على ذلك، يجب ألا تحاول الوصول إلى البيانات في المنزل.

مما لا شك فيه أننا جميعًا نحلم بالحصول على برنامج فك التشفير المعجزة Petya.A، ولكن ببساطة لا يوجد مثل هذا الحل. لقد ضرب الفيروس العالم منذ عدة أشهر، ولكن لم يتم العثور على علاج لفك تشفير البيانات التي قام بتشفيرها.

لذلك، إذا لم تصبح بعد ضحية لفيروس بيتيا، فاستمع إلى النصيحة التي قدمتها في بداية المقال. إذا كنت لا تزال تفقد السيطرة على بياناتك، فلديك عدة خيارات.

  • ادفع المال. ليس هناك فائدة من القيام بهذا!لقد اكتشف الخبراء بالفعل أن منشئ الفيروس لا يستعيد البيانات، ولا يمكنه استعادتها، في ظل تقنية التشفير.
  • قم بإزالة القرص الصلب من جهازك، ثم ضعه بعناية في الخزانة واضغط على أداة فك التشفير لتظهر. بالمناسبة، يعمل Kaspersky Lab باستمرار في هذا الاتجاه. تتوفر برامج فك التشفير المتاحة على موقع No Ransom.
  • تهيئة القرص وتثبيت نظام التشغيل. ناقص - سيتم فقدان كافة البيانات.

بيتيا.فيروس في روسيا

في روسيا وأوكرانيا، تعرضت أكثر من 80 شركة للهجوم والإصابة حتى وقت كتابة هذا التقرير، بما في ذلك شركات كبيرة مثل Bashneft وRosneft. تشير إصابة البنية التحتية لهذه الشركات الكبيرة إلى خطورة فيروس Petya.A. ليس هناك شك في أن طروادة برامج الفدية سوف تستمر في الانتشار في جميع أنحاء روسيا، لذا يجب عليك الاهتمام بأمن بياناتك واتباع النصائح الواردة في المقالة.

Petya.A وAndroid وiOS وMac وLinux

يشعر العديد من المستخدمين بالقلق بشأن ما إذا كان فيروس Petya يمكن أن يصيب أجهزتهم التحكم بالاندرويدو دائرة الرقابة الداخلية. سأسارع إلى طمأنتهم - لا، لا يمكن ذلك. وهو مخصص لمستخدمي نظام التشغيل Windows فقط. الأمر نفسه ينطبق على عشاق Linux و Mac - يمكنك النوم بسلام، لا شيء يهددك.

خاتمة

لذلك، ناقشنا اليوم بالتفصيل فيروس Petya.A الجديد. لقد فهمنا ماهية حصان طروادة هذا وكيف يعمل، وتعلمنا كيفية حماية أنفسنا من العدوى وإزالة الفيروس، ومكان الحصول على برنامج فك تشفير Petya. آمل أن تكون المقالة ونصائحي مفيدة لك.

فيروس بيتيا هو فيروس سريع النمو أثر على جميع الشركات الكبيرة تقريبًا في أوكرانيا في 27 يونيو 2017. يقوم فيروس Petya بتشفير ملفاتك ثم يعرض فدية مقابلها.

فيروس جديديصيب القرص الصلب لجهاز الكمبيوتر ويعمل كفيروس تشفير الملفات. خلال وقت معين، يقوم فيروس Petya "بأكل" الملفات الموجودة على جهاز الكمبيوتر الخاص بك وتصبح مشفرة (كما لو تم أرشفة الملفات وتم تعيين كلمة مرور ثقيلة)
لا يمكن استعادة الملفات التي تأثرت بفيروس Petya Ransomware لاحقًا (هناك نسبة يمكنك استعادتها ولكنها صغيرة جدًا)
لا توجد خوارزمية تستعيد الملفات المتأثرة بفيروس بيتيا
بمساعدة هذه المقالة القصيرة والمفيدة للغاية، يمكنك حماية نفسك من #virusPetya

كيفية التعرف على فيروس Petya أو WannaCry وعدم الإصابة بالفيروس

عند تنزيل ملف عبر الإنترنت، تحقق منه باستخدام أحد برامج مكافحة الفيروسات عبر الإنترنت. برامج مكافحة الفيروسات عبر الإنترنتيمكنه اكتشاف فيروس في ملف مسبقًا ومنع الإصابة بفيروس بيتيا. كل ما عليك فعله هو التحقق من الملف الذي تم تنزيله باستخدام VirusTotal، ثم تشغيله. حتى إذا قمت بتنزيل فيروس PETYA، ولكنك لم تقم بتشغيل ملف الفيروس، فإن الفيروس ليس نشطًا ولا يسبب أي ضرر. فقط بعد تشغيل ملف ضار، يتم تشغيل الفيروس، تذكر ذلك

إن استخدام هذه الطريقة يمنحك كل فرصة لعدم الإصابة بفيروس بيتيا
يبدو فيروس بيتيا كما يلي:

كيف تحمي نفسك من فيروس بيتيا

شركة سيمانتيكاقترح حلاً يسمح لك بحماية نفسك من فيروس Petya من خلال التظاهر بأنك قمت بتثبيته بالفعل.
يقوم فيروس Petya، عند دخوله إلى الكمبيوتر، بإنشاء المجلد جيم:\ويندوز\بيرفكملف com.perfcأو perfc.dll
لجعل الفيروس يعتقد أنه مثبت بالفعل ولا يستمر في نشاطه، قم بإنشائه في المجلد جيم:\ويندوز\بيرفكملف يحتوي على محتوى فارغ واحفظه عن طريق ضبط وضع التحرير على "للقراءة فقط"
أو قم بتنزيلvirus-petya-perfc.zip وفك ضغط المجلد com.perfcإلى مجلد ج:\ويندوز\واضبط وضع التغيير على "للقراءة فقط"
تنزيل فيروس petya-perfc.zip



تم التحديث في 29/06/2017
أوصي أيضًا بتنزيل كلا الملفين ببساطة مجلد ويندوز. تكتب العديد من المصادر أن الملف com.perfcأو perfc.dllيجب أن يكون في المجلد ج:\ويندوز\

ماذا تفعل إذا كان جهاز الكمبيوتر الخاص بك مصابًا بالفعل بفيروس بيتيا؟

لا تقم بتشغيل جهاز الكمبيوتر الذي أصابك بالفعل بفيروس بيتيا. يعمل فيروس Petya بطريقة تجعله يقوم بتشفير الملفات أثناء تشغيل الكمبيوتر المصاب. أي أنه طالما أبقيت جهاز الكمبيوتر الخاص بك مصابًا بفيروس Petya قيد التشغيل، فمن الممكن إصابة المزيد والمزيد من الملفات وتشفيرها.
وينشستر لهذا الكمبيوتريستحق التدقيق بها. يمكنك التحقق من ذلك مع باستخدام قرص حيأو LIVEUSB مع برنامج مكافحة الفيروسات
محرك أقراص فلاش USB قابل للتشغيل مع Kaspersky Rescue Disk 10
محرك أقراص فلاش Dr.Web LiveDisk قابل للتمهيد

من ينشر فيروس بيتيا في جميع أنحاء أوكرانيا؟

أعربت Microsoft عن وجهة نظرها فيما يتعلق بعدوى الشبكة العالمية في الشركات الأوكرانية الكبيرة. كان السبب هو التحديث لبرنامج M.E.Doc. M.E.Doc - مشهور برنامج المحاسبةولهذا السبب ارتكبت الشركة خطأً كبيرًا حيث دخل الفيروس إلى التحديث وقام بتثبيت فيروس Petya على آلاف أجهزة الكمبيوتر التي تم تثبيت برنامج M.E.Doc عليها. وبما أن الفيروس يؤثر على أجهزة الكمبيوتر الموجودة على نفس الشبكة، فإنه ينتشر بسرعة البرق.
#: فيروس بيتيا يؤثر على الاندرويد، فيروس بيتيا، كيفية اكتشاف فيروس بيتيا وإزالته، كيفية علاج فيروس بيتيا، M.E.Doc، مايكروسوفت، إنشاء مجلد فيروس بيتيا

اليوم، هاجم فيروس طلب الفدية العديد من أجهزة الكمبيوتر في القطاعات العامة والتجارية والخاصة في أوكرانيا

أدى هجوم غير مسبوق للقراصنة إلى تعطيل العديد من أجهزة الكمبيوتر والخوادم في الوكالات الحكومية والمؤسسات التجارية في جميع أنحاء البلاد

أدى هجوم سيبراني واسع النطاق ومخطط له بعناية إلى تعطيل البنية التحتية الحيوية للعديد من المؤسسات والشركات المملوكة للدولة اليوم. أفاد جهاز الأمن (SBU) بذلك.

ابتداءً من الغداء، بدأت الرسائل حول إصابة أجهزة الكمبيوتر في القطاعين العام والخاص بالظهور على الإنترنت مثل كرة الثلج. أعلن ممثلو الوكالات الحكومية عن هجمات قرصنة على البنية التحتية لتكنولوجيا المعلومات الخاصة بهم.

وفقًا لجهاز الأمن الأوكراني، حدثت الإصابة بشكل أساسي نتيجة فتح ملفات Word وPDF، والتي أرسلها المهاجمون عبر البريد الإلكتروني. استغل فيروس الفدية Petya.A ثغرة أمنية في الشبكة في غرفة العمليات نظام ويندوز. ولفتح البيانات المشفرة، طالب مجرمو الإنترنت بالدفع بعملة البيتكوين بقيمة 300 دولار.

وقال أمين مجلس الأمن القومي والدفاع ألكسندر تورتشينوف، إن الوكالات الحكومية التي أدرجت في الدائرة المحمية - وهي عقدة إنترنت خاصة - لم تتعرض لأي ضرر. ومن الواضح أن مجلس الوزراء لم ينفذ بشكل صحيح توصيات الوطني نقطة محوريةالأمن السيبراني لأن أجهزة الكمبيوتر الحكومية تأثرت بـ Petya.A. وزارة المالية، محطة تشيرنوبيل للطاقة النووية، أوكرينرغو، أوكربوشتا لم تتمكن من مقاومة هجوم اليوم، بريد جديدوعدد من البنوك.

لبعض الوقت، صفحات الإنترنت الخاصة بجهاز الأمن الأوكراني والشرطة السيبرانية و الخدمة المدنيةالاتصالات الخاصة وحماية المعلومات (GSSSZI).

وحتى مساء الثلاثاء 27 يونيو، لم يكن أي من وكالات إنفاذ القانونولم يذكر، الذي تشمل مسؤولياته مكافحة الهجمات الإلكترونية، من أين جاءت Petya.A أو من يقف وراءها. حافظت إدارة أمن الدولة (SBU)، والشرطة السيبرانية (التي كان موقعها الإلكتروني معطلاً طوال اليوم)، وSSSSZI على الصمت الأولمبي فيما يتعلق بمدى الضرر الناجم عن فيروس الفدية.

أصدر فريق الاستجابة لطوارئ الكمبيوتر (CERT-UA، وهو جزء من SSSSZI) نصائح للتخفيف من عواقب برنامج Petya Ransomware. وللقيام بذلك، أوصى الفنيون باستخدام برنامج ESET. وفي وقت لاحق، تحدثت إدارة أمن الدولة أيضًا عن كيفية حماية نفسك أو تقليل الضرر الناجم عن الفيروس.

فيروس "بيتيا":كيف لا يتم الإمساك به، وكيفية فك تشفيره من أين أتى - آخر الأخبار عن فيروس Petya Ransomware، الذي أصاب حوالي 300 ألف جهاز كمبيوتر في مختلف بلدان العالم بحلول اليوم الثالث من "نشاطه"، وحتى الآن لم يتم اكتشافه لقد أوقفه أحد.

فيروس بيتيا - كيفية فك التشفير وآخر الأخبار.بعد الهجوم على جهاز كمبيوتر، يطالب مبتكرو برنامج الفدية "Petya" بفدية قدرها 300 دولار (بالبيتكوين)، ولكن لا توجد طريقة لفك تشفير فيروس Petya، حتى لو دفع المستخدم المال. يزعم المتخصصون في Kaspersky Lab، الذين رأوا اختلافات في الفيروس الجديد من Petit وأطلقوا عليه اسم ExPetr، أن فك التشفير يتطلب معرفًا فريدًا لتثبيت حصان طروادة معين.

في الإصدارات المعروفة مسبقًا من برامج التشفير المماثلة Petya/Mischa/GoldenEye، يحتوي معرف التثبيت على المعلومات اللازمة لذلك. في حالة ExPetr، هذا المعرف غير موجود، حسبما كتبت وكالة RIA Novosti.

فيروس "بيتيا" – من أين أتى، آخر الأخبار.طرح خبراء الأمن الألمان الإصدار الأول من مصدر برنامج الفدية هذا. في رأيهم، بدأ فيروس Petya في الانتشار عبر أجهزة الكمبيوتر عندما تم فتح ملفات M.E.Doc. هذا برنامج محاسبة يستخدم في أوكرانيا بعد الحظر المفروض على 1C.

وفي الوقت نفسه، يقول كاسبيرسكي لاب أن الاستنتاجات حول أصل ومصدر التوزيع فيروس اكسبيترمن السابق لأوانه القيام بذلك. ومن الممكن أن يكون لدى المهاجمين بيانات واسعة النطاق. على سبيل المثال، عناوين البريد الإلكتروني من النشرة الإخبارية السابقة أو غيرها طرق فعالةاختراق أجهزة الكمبيوتر.

وبمساعدتهم، ضرب فيروس "بيتيا" أوكرانيا وروسيا، بالإضافة إلى دول أخرى، بكامل قوته. لكن الحجم الحقيقي لهجوم القراصنة هذا سوف يصبح واضحًا في غضون أيام قليلة، وفقًا للتقارير.

فيروس "بيتيا": كيف لا نصاب به، وكيف نفك شفرته، ومن أين أتى - آخر الأخبارحول فيروس Petya Ransomware، الذي حصل بالفعل على اسم جديد من Kaspersky Lab – ExPetr.

رحلة قصيرة إلى تاريخ تسمية البرامج الضارة.

الإشارات المرجعية

Petya.A شعار الفيروس

في 27 يونيو، ما لا يقل عن 80 روسيًا و الشركات الأوكرانيةتعرضوا للهجوم من قبل فيروس Petya.A. قام البرنامج بحظر المعلومات الموجودة على أجهزة الكمبيوتر الخاصة بالإدارات والمؤسسات، ومثل فيروس برامج الفدية المعروفة، طالب المستخدمين بعملات البيتكوين.

عادة ما يتم تسمية البرامج الضارة من قبل موظفي شركات مكافحة الفيروسات. الاستثناءات هي برامج الفدية وبرامج الفدية والمدمرات ولصوص الهوية الذين، بالإضافة إلى التهابات الكمبيوترتسبب الأوبئة الإعلامية - زيادة الضجيج في وسائل الإعلام والمناقشة النشطة على الإنترنت.

ومع ذلك، فإن فيروس Petya.A هو ممثل لجيل جديد. يعد الاسم الذي يقدم نفسه به جزءًا من استراتيجية التسويق للمطورين التي تهدف إلى زيادة شهرته وشعبيته المتزايدة في سوق الإنترنت المظلم.

ظاهرة ثقافية فرعية

في تلك الأيام، عندما كان هناك عدد قليل من أجهزة الكمبيوتر ولم تكن جميعها متصلة ببعضها البعض، كانت هناك بالفعل برامج ذاتية النشر (وليست فيروسات بعد). واحدة من أولى هذه الرسائل كانت تلك التي استقبلت المستخدم مازحًا وعرضت عليه الإمساك به وحذفه. التالي كان Cookie Monster، الذي طلب "إعطائه ملف تعريف الارتباط" عن طريق إدخال كلمة "ملف تعريف الارتباط".

كانت البرمجيات الخبيثة المبكرة تتمتع أيضًا بروح الدعابة، على الرغم من أن ذلك لم يكن موجودًا دائمًا في أسمائها. وهكذا، قام ريتشارد سكرانت، المصمم لجهاز كمبيوتر Apple-2، بقراءة قصيدة للضحية مرة واحدة كل 50 عملية بدء تشغيل للكمبيوتر، وتشير أسماء الفيروسات، التي غالبًا ما تكون مخفية في الكود ولا يتم عرضها، إلى النكات والكلمات الفرعية الشائعة بين المهووسين. من ذلك الوقت. يمكن ربطها بأسماء فرق الميتال والأدب الشعبي وألعاب لعب الأدوار على الطاولة.

في نهاية القرن العشرين، لم يخفي منشئو الفيروسات الكثير - علاوة على ذلك، في كثير من الأحيان، عندما خرج البرنامج عن السيطرة، حاولوا المشاركة في القضاء على الضرر الذي لحق به. كان هذا هو الحال مع الحالة الباكستانية والمدمرة التي أنشأها المؤسس المشارك المستقبلي لحاضنة الأعمال Y-Combinator.

أحد الفيروسات الروسية التي ذكرها يفغيني كاسبيرسكي في كتابه الصادر عام 1992 “ فيروسات الكمبيوترفي MS-DOS." يُظهر برنامج Condom-1581 من وقت لآخر للضحية أنه مخصص لمشاكل انسداد محيطات العالم بمنتجات النفايات البشرية.

الجغرافيا والتقويم

في عام 1987، سمي فيروس القدس، المعروف أيضًا باسم الفيروس الإسرائيلي، على اسم المكان الذي اكتشف فيه لأول مرة، ومكان انتشاره. اسم بديلكان سبب الجمعة السوداء هو أنها ستقوم بتنشيط وحذف الملفات القابلة للتنفيذ إذا صادف اليوم الثالث عشر من الشهر يوم جمعة.

تم تسمية فيروس مايكل أنجلو، الذي أثار الذعر في وسائل الإعلام في ربيع عام 1992، أيضًا وفقًا لمبدأ التقويم. ثم قال جون مكافي، الذي اشتهر لاحقًا بإنشاء أحد أكثر برامج مكافحة الفيروسات تدخلاً، خلال مؤتمر للأمن السيبراني في سيدني، للصحفيين والجمهور: "إذا قمت بتشغيل نظام مصاب في السادس من مارس، فستكون جميع البيانات الموجودة على القرص الصلب تالفة". ما علاقة مايكل أنجلو بهذا؟ 6 مارس كان عيد ميلاد الفنان الإيطالي. ومع ذلك، فإن الفظائع التي تنبأ بها مكافي انتهى بها الأمر إلى المبالغة فيها إلى حد كبير.

الوظيفة

غالبًا ما تكون قدرات الفيروس وخصوصيته بمثابة الأساس للاسم. في عام 1990، تم تسمية أحد الفيروسات متعددة الأشكال الأولى باسم الحرباء، وهو الذي يتمتع بقدرات واسعة على إخفاء وجوده (وبالتالي ينتمي إلى فئة الفيروسات الخفية)، تم تسميته فرودو، في إشارة إلى بطل “سيد العالم”. "الخواتم" والخاتم المختبئ عن أعين الآخرين. وعلى سبيل المثال، حصل فيروس OneHalf لعام 1994 على اسمه لأنه أظهر العدوان فقط من خلال إصابة نصف قرص الجهاز المهاجم.

عناوين الخدمة

تمت تسمية معظم الفيروسات منذ فترة طويلة في المختبرات، حيث يتم تحليلها إلى أجزاء بواسطة المحللين.

عادةً ما تكون هذه أسماء تسلسلية مملة وأسماء "عائلية" عامة تصف فئة الفيروس والأنظمة التي يهاجمها وماذا يفعل بها (مثل Win32.HLLP.DeTroie). ومع ذلك، في بعض الأحيان، عندما يتم الكشف عن التلميحات التي تركها المطورون في كود البرنامج، تكتسب الفيروسات القليل من الشخصية. هكذا ظهرت فيروسات MyDoom وKooKoo، على سبيل المثال.

ومع ذلك، فإن هذه القاعدة لا تعمل دائمًا - على سبيل المثال، لم يُطلق على فيروس Stuxnet، الذي أوقف أجهزة الطرد المركزي لتخصيب اليورانيوم في إيران، اسم Myrtus، على الرغم من أن هذه الكلمة ("الآس") في الكود كانت تقريبًا تلميحًا مباشرًا لمشاركة إسرائيل. أجهزة المخابرات في تطورها. وفي هذه الحالة، فاز الاسم الذي أصبح معروفاً لدى عامة الناس، والمخصص للفيروس في المراحل الأولى من اكتشافه.

المهام

غالبًا ما يحدث أن الفيروسات التي تتطلب الكثير من الاهتمام والجهد لدراستها تتلقى أسماء جميلة من شركات مكافحة الفيروسات يسهل نطقها وكتابتها - حدث هذا مع أكتوبر الأحمر والمراسلات الدبلوماسية والبيانات التي يمكن أن تؤثر على العلاقات الدولية، وكذلك مع IceFog، تجسس صناعي واسع النطاق.

امتداد الملف

هناك طريقة شائعة أخرى للتسمية وهي الامتداد الذي يعينه الفيروس للملفات المصابة. وهكذا، تم تسمية أحد الفيروسات "العسكرية"، Duqu، بهذا الاسم ليس بسبب الكونت Dooku من Star Wars، ولكن بسبب البادئة ~DQ، التي تميز الملفات التي أنشأها.

حصل فيروس WannaCry، الذي أحدث ضجة كبيرة هذا الربيع، على اسمه أيضًا، حيث قام بتمييز البيانات المشفرة بامتداد .wncry.

الاسم السابق للفيروس، Wanna Decrypt0r، لم ينتشر – فقد بدا أسوأ وكان له تهجئات مختلفة. لم يهتم الجميع بوضع "0" على أنه "o".

"لقد أصبحت ضحية لفيروس Petya Ransomware"

هذه هي بالضبط الطريقة التي تقدم بها البرامج الضارة الأكثر شيوعًا اليوم نفسها بعد أن أكملت تشفير الملفات على الكمبيوتر الذي تمت مهاجمته. لا يمتلك فيروس Petya A. اسمًا مميزًا فحسب، بل يحمل أيضًا شعارًا على شكل جمجمة قرصان وعظمتين متقاطعتين، وترويجًا تسويقيًا كاملاً. وقد جذب الفيروس، الذي تم رصده مع شقيقه "ميشا"، انتباه المحللين على وجه التحديد لهذا السبب.

من ظاهرة ثقافية فرعية، بعد أن مرت بفترة كان فيها هذا النوع من "القرصنة" يتطلب معرفة تقنية خطيرة للغاية، تحولت الفيروسات إلى سلاح للتوقف السيبراني. الآن يتعين عليهم اللعب وفقًا لقواعد السوق - ومن يحصل على المزيد من الاهتمام يجلب أرباحًا كبيرة لمطوريه.

مساء الخير أيها الأصدقاء. لقد قمنا مؤخرًا بتحليل الفيروس برنامج الفدية WannaCryوالتي انتشرت في العديد من دول العالم في غضون ساعات وأصابت العديد من أجهزة الكمبيوتر. ثم في نهاية شهر يونيو ظهر فيروس جديد مماثل "بيتيا". أو كما يطلق عليها غالبًا "بيتيا".

يتم تصنيف هذه الفيروسات على أنها أحصنة طروادة لبرامج الفدية وهي متشابهة تمامًا، على الرغم من أن لديها أيضًا اختلافات خاصة بها، واختلافات مهمة في ذلك. ووفقا للبيانات الرسمية، أصاب "بيتيا" أولا عددا لا بأس به من أجهزة الكمبيوتر في أوكرانيا، ثم بدأ رحلته حول العالم.

وتضررت أجهزة الكمبيوتر في إسرائيل وصربيا ورومانيا وإيطاليا والمجر وبولندا وغيرها، وتحتل روسيا المركز الرابع عشر في هذه القائمة. ثم انتشر الفيروس إلى قارات أخرى.

في الأساس، كان ضحايا الفيروس هم الشركات الكبيرة (في كثير من الأحيان شركات النفط)، والمطارات، الاتصالات الخلويةوما إلى ذلك، على سبيل المثال، عانت شركات باشنفت، وروزنفت، ومارس، ونستله وغيرها. بمعنى آخر، يستهدف المهاجمون الشركات الكبيرة التي يمكنهم أخذ الأموال منها.

ما هي "بيتيا"؟

Petya عبارة عن برنامج ضار عبارة عن برنامج فدية طروادة. يتم إنشاء مثل هذه الآفات بهدف ابتزاز أصحاب أجهزة الكمبيوتر المصابة عن طريق تشفير المعلومات الموجودة على جهاز الكمبيوتر. لا يقوم فيروس Petya، على عكس WannaCry، بتشفير الملفات الفردية. يقوم حصان طروادة هذا بتشفير القرص بأكمله. ولهذا السبب فهو أخطر من فيروس WannaCry.

عندما يضرب Petya جهاز كمبيوتر، فإنه يقوم بتشفير جدول MFT بسرعة كبيرة. لجعل الأمر أكثر وضوحا، دعونا نعطي تشبيه. إذا قارنت الملفات بمكتبة مدينة كبيرة، فإنه يزيل كتالوجها، وفي هذه الحالة يكون من الصعب جدًا العثور على الكتاب المناسب.

حتى، ليس مجرد دليل، ولكنه نوع من الصفحات (الملفات) المختلطة من كتب مختلفة. وبطبيعة الحال، فشل النظام في هذه الحالة. من الصعب جدًا على النظام فرز مثل هذه القمامة. بمجرد وصول الآفة إلى جهاز الكمبيوتر، تقوم بإعادة تشغيل جهاز الكمبيوتر وبعد التشغيل تظهر جمجمة حمراء. وبعد ذلك، عند النقر فوق أي زر، تظهر لافتة تطلب منك دفع 300 دولار إلى حساب Bitcoin الخاص بك.

فيروس بيتيا كيف لا تصاب به

من يستطيع إنشاء بيتيا؟ لا توجد إجابة على هذا السؤال حتى الآن. وبشكل عام، ليس من الواضح ما إذا كان سيتم تحديد هوية المؤلف (على الأرجح لا)؟ ولكن من المعروف أن مصدر التسريب هو الولايات المتحدة الأمريكية. يبحث الفيروس، مثل WannaCry، عن ثغرة في نظام التشغيل. لتصحيح هذه الثغرة، ما عليك سوى تثبيت التحديث MS17-010 (الذي تم إصداره قبل بضعة أشهر أثناء هجوم WannaCry). يمكنك تنزيله من الرابط. أو من الموقع الرسمي لشركة مايكروسوفت .

في الوقت الحالي، يعد هذا التحديث الطريقة الأمثل لحماية جهاز الكمبيوتر الخاص بك. أيضا، لا تنسى مكافحة الفيروسات جيدة. علاوة على ذلك، ذكرت شركة Kaspersky Lab أن لديهم تحديثًا لقاعدة البيانات يحظر هذا الفيروس.

ولكن هذا لا يعني أنك بحاجة إلى تثبيت برنامج Kaspersky. استخدم برنامج مكافحة الفيروسات الخاص بك، ولا تنسَ تحديث قاعدة البيانات الخاصة به. ولا تنس أيضًا وجود جدار حماية جيد.

كيف ينتشر فيروس بيتيا؟


في أغلب الأحيان، تصل Petya إلى جهاز الكمبيوتر الخاص بك عبر البريد الإلكتروني. لذلك لا ينبغي فتح الروابط المختلفة في الحروف، خاصة في الرسائل غير المألوفة، أثناء احتضان فيروس بيتيا. بشكل عام، اجعل من القاعدة عدم فتح الروابط من الغرباء. بهذه الطريقة سوف تحمي نفسك ليس فقط من هذا الفيروس، ولكن أيضًا من العديد من الفيروسات الأخرى.

وبعد ذلك، بمجرد وصوله إلى الكمبيوتر، يقوم حصان طروادة بإعادة التشغيل ومحاكاة البحث عن ملفات . بعد ذلك، كما ذكرت سابقًا، تظهر جمجمة حمراء على الشاشة، ثم لافتة تعرض الدفع مقابل فك تشفير الملف عن طريق تحويل ثلاثمائة دولار إلى محفظة Bitcoin.

سأقول على الفور أنك لست بحاجة إلى الدفع تحت أي ظرف من الظروف! لن يقوموا بفك تشفيرها لك على أي حال، ما عليك سوى إنفاق أموالك والمساهمة في إنشاء حصان طروادة. هذا الفيروس غير مخصص لفك التشفير.

فيروس بيتيا كيف تحمي نفسك

دعونا نلقي نظرة فاحصة على الحماية ضد فيروس بيتيا:

  1. لقد ذكرت بالفعل تحديثات النظام. هذه هي النقطة الأكثر أهمية. حتى لو كان لديك نظام مقرصن، فأنت بحاجة إلى تنزيل التحديث MS17-010 وتثبيته.
  2. في إعدادات Windows، قم بتشغيل "إظهار امتدادات الملفات". بفضل هذا، يمكنك رؤية امتداد الملف وحذف الامتدادات المشبوهة. ملف الفيروس له الامتداد - exe.
  3. دعونا نعود إلى الحروف. لا تنقر على الروابط أو المرفقات من الغرباء. وبشكل عام، أثناء الحجر الصحي، لا تتبع الروابط الموجودة في البريد (حتى من الأشخاص الذين تعرفهم).
  4. يُنصح بتمكين التحكم في حساب المستخدم.
  5. انسخ الملفات المهمة إلى الوسائط القابلة للإزالة. يمكن نسخها إلى السحابة. هذا سيساعدك على تجنب العديد من المشاكل. إذا ظهر Petya على جهاز الكمبيوتر الخاص بك، فكل ما عليك فعله هو تثبيت جهاز جديد نظام التشغيل، بعد تهيئة القرص الصلب مسبقًا.
  6. قم بتثبيت مضاد فيروسات جيد. ومن المرغوب فيه أن يكون أيضًا جدار حماية. عادةً ما تحتوي برامج مكافحة الفيروسات هذه على الكلمات "الأمان" في النهاية. إذا كانت لديك بيانات مهمة على جهاز الكمبيوتر الخاص بك، فلا يجب أن تبخل ببرامج مكافحة الفيروسات.
  7. بمجرد تثبيت برنامج مكافحة فيروسات لائق، لا تنس تحديث قاعدة البيانات الخاصة به.

كيفية إزالة فيروس بيتيا

هذا سؤال صعب. إذا قامت Petya بالعمل على جهاز الكمبيوتر الخاص بك، فلن يكون هناك أي شيء لحذفه. سيتم توزيع جميع الملفات في جميع أنحاء النظام. على الأرجح، لن تتمكن من تنظيمها بعد الآن. ليس هناك فائدة من دفع المهاجمين. كل ما تبقى هو تهيئة القرص وإعادة تثبيت النظام. بعد تهيئة النظام وإعادة تثبيته، سيختفي الفيروس.

وأود أيضًا أن أضيف أن هذه الآفة تشكل تهديدًا على وجه التحديد لنظام Windows. إذا كان لديك أي نظام آخر، على سبيل المثال. النظام الروسيروزا، لا يجب أن تخافي من فيروس الفدية هذا. الأمر نفسه ينطبق على أصحاب الهواتف. معظمهم لديهم نظام أندرويد، آي أو إس، إلخ. ولذلك، فإن أصحاب الهواتف المحمولة ليس لديهم ما يدعو للقلق.

كذلك، إذا كنت شخصًا بسيطًا ولست مالكًا لشركة كبيرة، فمن المرجح أن المهاجمين غير مهتمين بك. إنهم بحاجة إلى شركات كبيرة لا تعني لها 300 دولار شيئًا ويمكنها أن تدفع لهم هذه الأموال فعليًا. ولكن هذا لا يعني أن الفيروس لا يمكن أن يصل إلى جهاز الكمبيوتر الخاص بك. من الأفضل أن تكون آمنًا!

ومع ذلك، دعونا نأمل أن يتجاوزك فيروس بيتيا! اعتني بمعلوماتك على جهاز الكمبيوتر الخاص بك. حظ سعيد!

، 18 يوليو 2017

إجابات على أهم الأسئلة حول فيروس Petna Ransomware (NotPetya, ExPetr)، وهو برنامج فدية قائم على Petya أصاب العديد من أجهزة الكمبيوتر حول العالم.

شهدنا هذا الشهر هجومًا ضخمًا آخر ببرامج الفدية، بعد أسابيع فقط من . وفي غضون أيام قليلة، تلقى هذا التعديل لبرنامج الفدية العديد من الأسماء المختلفة، بما في ذلك Petya (اسم الفيروس الأصلي)، وNotPetya، وEternalPetya، وNyetya وغيرها. أطلقنا عليه في البداية اسم "فيروس عائلة بيتيا"، ولكن من أجل الراحة سنسميه ببساطة بيتنا.

هناك الكثير من الغموض حول مدينة بيتنا، حتى فيما هو أبعد من اسمها. هل هذا هو نفس برنامج الفدية الذي يستخدمه Petya، أم أنه إصدار مختلف؟ هل يجب اعتبار Petna برنامج فدية يتطلب فدية أم فيروسًا يدمر البيانات ببساطة؟ دعونا نوضح بعض جوانب الهجوم الماضي.

هل ما زالت مدينة بيتنا تنتشر؟

ذروة النشاط منذ بضعة أيام. وبدأ انتشار الفيروس صباح يوم 27 يونيو. وفي نفس اليوم وصل نشاطها أعلى مستوىووقعت آلاف محاولات الهجوم كل ساعة. وبعد ذلك، انخفضت شدتها بشكل ملحوظ خلال نفس اليوم، ولم يلاحظ بعد ذلك سوى عدد قليل من الإصابات.

هل يمكن مقارنة هذا الهجوم بهجوم WannaCry؟

لا، اذا حكمنا من خلال تغطيتنا قاعدة المستخدمين. لقد لاحظنا ما يقرب من 20 ألف محاولة هجوم في جميع أنحاء العالم، وهو رقم يتضاءل أمام 1.5 مليون هجوم WannaCry قمنا بإحباطها.

ما هي الدول التي عانت أكثر من غيرها؟

وتظهر بيانات القياس عن بعد لدينا أن التأثير الرئيسي للفيروس كان في أوكرانيا، حيث تم اكتشاف أكثر من 90% من محاولات الهجمات. كما تأثرت روسيا والولايات المتحدة وليتوانيا وبيلاروسيا وبلجيكا والبرازيل. ولوحظ في كل من هذه البلدان ما يتراوح بين عشرات إلى عدة مئات من محاولات الإصابة.

ما هي أنظمة التشغيل التي أصيبت؟

تم تسجيل أكبر عدد من الهجمات على الأجهزة قيد التشغيل التحكم بالويندوز 7 (78%) ونظام التشغيل Windows XP (14%). عدد الهجمات انتهى الأنظمة الحديثةتبين أنها أقل بكثير.

كيف وصل فيروس Petna إلى جهاز الكمبيوتر الخاص بك؟

وبعد تحليل مسارات تطور الوباء السيبراني، اكتشفنا الناقل الأساسي للعدوى، والذي يرتبط بتحديث برنامج المحاسبة الأوكراني M.E.Doc. ولهذا السبب عانت أوكرانيا بشدة.

مفارقة مريرة: لأسباب أمنية، يُنصح المستخدمون دائمًا بتحديث برامجهم، ولكن في هذه الحالة، بدأ الفيروس في الانتشار على نطاق واسع على وجه التحديد مع تحديث البرنامج الذي أصدرته شركة M.E.Doc.

لماذا تأثرت أجهزة الكمبيوتر خارج أوكرانيا أيضًا؟

أحد الأسباب هو أن بعض الشركات المتضررة لديها فروع في أوكرانيا. بمجرد أن يصيب الفيروس جهاز الكمبيوتر، فإنه ينتشر عبر الشبكة. وهكذا تمكن من الوصول إلى أجهزة كمبيوتر في بلدان أخرى. نواصل التحقيق في ناقلات العدوى المحتملة الأخرى.

ماذا يحدث بعد الإصابة؟

بمجرد إصابة الجهاز، تحاول Petna تشفير الملفات بامتدادات معينة. قائمة الملفات المستهدفة ليست كبيرة جدًا مقارنة بقوائم فيروس Petya الأصلي وبرامج الفدية الأخرى، ولكنها تتضمن امتدادات للصور والمستندات وأكواد المصدر وقواعد البيانات وصور القرص وغيرها. بالإضافة إلى ذلك، لا يقوم هذا البرنامج بتشفير الملفات فحسب، بل ينتشر أيضًا مثل الدودة إلى الأجهزة الأخرى المتصلة بالشبكة المحلية.

كيف يستخدم الفيروس ثلاثة طرق مختلفةالتوزيع: باستخدام مآثر EternalBlue (المعروفة من WannaCry) أو EternalRomance، من خلال البرامج العامة موارد الشبكةيستخدم Windows بيانات اعتماد مسروقة من الضحية (باستخدام أدوات مساعدة مثل Mimikatz، والتي يمكنها استخراج كلمات المرور)، بالإضافة إلى أدوات جديرة بالثقة مثل PsExec وWMIC.

بعد تشفير الملفات وانتشارها عبر الشبكة، يحاول الفيروس الاختراق تحميل ويندوز(عن طريق تغيير سجل التمهيد الرئيسي، MBR)، وبعد ذلك إعادة التشغيل القسريتشفير جدول الملفات الرئيسية (MFT) قرص النظام. وهذا يمنع الكمبيوتر من تحميل Windows بعد الآن ويجعل استخدام الكمبيوتر مستحيلاً.

هل يمكن لـ Petna إصابة جهاز الكمبيوتر الخاص بي بعد تثبيت كافة التحديثات الأمنية؟

نعم، هذا ممكن بسبب الانتشار الأفقي للبرامج الضارة الموضحة أعلاه. حتى لو جهاز معينمحمي من كل من EternalBlue وEternalRomance، ولا يزال من الممكن إصابته بطريقة ثالثة.

هل هذا Petua أم WannaCry 2.0 أم شيء آخر؟

يعتمد فيروس Petna بالتأكيد على برنامج طلب الفدية Petna الأصلي. على سبيل المثال، في الجزء المسؤول عن تشفير جدول الملف الرئيسي، يكون مطابقًا تقريبًا للتهديد الذي تمت مواجهته مسبقًا. ومع ذلك، فهو ليس مطابقًا تمامًا للإصدارات الأقدم من برنامج الفدية. ويعتقد أن الفيروس تم تعديله من قبل طرف ثالث بدلا من المؤلف الأصلي، المعروف باسم يانوس، والذي علق أيضا على الأمر في تغريد، ونشر لاحقًا مفتاح فك التشفير الرئيسي لجميع الإصدارات السابقة من البرنامج.

التشابه الرئيسي بين Petna وWannaCry هو أنهما استخدما ثغرة EternalBlue للانتشار.

هل صحيح أن الفيروس لا يقوم بتشفير أي شيء، ولكنه ببساطة يدمر البيانات الموجودة على الأقراص؟

هذا ليس صحيحا. تقوم هذه البرامج الضارة بتشفير الملفات وجدول الملفات الرئيسية (MFT) فقط. سؤال آخر هو ما إذا كان يمكن فك تشفير هذه الملفات.

هل هناك أداة فك التشفير المجانية المتاحة؟

للأسف لا. يستخدم الفيروس خوارزمية تشفير قوية إلى حد ما لا يمكن التغلب عليها. فهو لا يقوم بتشفير الملفات فحسب، بل يقوم أيضًا بتشفير جدول الملفات الرئيسية (MFT)، مما يجعل عملية فك التشفير صعبة للغاية.

هل يستحق دفع الفدية؟

لا! لا نوصي أبدًا بدفع فدية، لأن هذا يدعم المجرمين فقط ويشجعهم على مواصلة مثل هذه الأنشطة. علاوة على ذلك، فمن المحتمل أنك لن تستعيد بياناتك حتى لو قمت بالدفع. وفي هذه الحالة، أصبح هذا أكثر وضوحا من أي وقت مضى. وهذا هو السبب.

    العنوان الرسمي المشار إليه في النافذة مع طلب الفدية بريد إلكتروني [البريد الإلكتروني محمي]، والتي طُلب من الضحايا إرسال فدية إليها، تم إغلاقها من قبل مزود خدمة البريد الإلكتروني بعد وقت قصير من هجوم الفيروس. ولذلك، لا يستطيع منشئو برامج الفدية معرفة من دفع ومن لم يدفع.

    يعد فك تشفير قسم MFT مستحيلًا من حيث المبدأ، نظرًا لفقد المفتاح بعد أن يقوم برنامج الفدية بتشفيره. في الإصدارات السابقةالفيروس، تم تخزين هذا المفتاح في معرف الضحية، ولكن في حالة التعديل الأخير، فهو مجرد سلسلة عشوائية.

    بالإضافة إلى ذلك، فإن التشفير المطبق على الملفات فوضوي للغاية. كيف

تحميل...
قمة