الفيروسات misha ما يفعله. جديد Petya ransomware سميت على اسم رئيس أوكرانيا - خبير

حقوق التأليف والنشر الصورةالسلطة الفلسطينيةتعليق على الصورة يقول الخبراء إن محاربة برامج الفدية الجديدة أصعب من WannaCry

في 27 يونيو ، منعت برامج الفدية أجهزة الكمبيوتر والملفات المشفرة في عشرات الشركات حول العالم.

يُذكر أن الشركات الأوكرانية هي الأكثر تضرراً - أصاب الفيروس أجهزة كمبيوتر الشركات الكبيرة والوكالات الحكومية ومرافق البنية التحتية.

لفك تشفير الملفات ، يتطلب الفيروس من الضحايا دفع 300 دولار من عملات البيتكوين.

خدمة بي بي سي الروسية تجيب على الأسئلة الرئيسية حول التهديد الجديد.

من تأذى؟

بدأ انتشار الفيروس في أوكرانيا. تأثر مطار بوريسبيل ، وبعض الأقسام الإقليمية في أوكرنرجو ، وسلسلة المتاجر ، والبنوك ، ووسائل الإعلام وشركات الاتصالات. تم أيضًا إيقاف تشغيل أجهزة الكمبيوتر في حكومة أوكرانيا.

بعد ذلك ، جاء دور الشركات في روسيا: روسنفت ، باشنفت ، مونديليز إنترناشونال ، مارس ، نيفيا وغيرها وقعت أيضًا ضحية للفيروس.

كيف يعمل الفيروس؟

لم يتوصل الخبراء بعد إلى توافق في الآراء بشأن أصل الفيروس الجديد. تعتبر Group-IB و Positive Technologies أنها تباين في فيروس Petya لعام 2016.

"تستخدم برامج الفدية هذه تقنيات وأدوات مساعدة للقرصنة ، بالإضافة إلى أدوات مساعدة لإدارة النظام القياسية ،" يعلق رئيس قسم الاستجابة للتهديدات أمن المعلوماتالتقنيات الإيجابية إلمار نبيجيف. - كل هذا يضمن نسبة انتشار عالية داخل الشبكة والطبيعة الجماعية للوباء ككل (إذا كان واحدًا على الأقل كمبيوتر شخصي). والنتيجة هي عدم تشغيل الكمبيوتر وتشفير البيانات بشكل كامل ".

ترى شركة Bitdefender الرومانية المزيد من القواسم المشتركة مع فيروس GoldenEye ، الذي يقرن Petya ببرنامج ضار آخر يسمى Misha. ميزة هذا الأخير هي أنه من أجل تشفير الملفات ، فإنه لا يتطلب حقوق المسؤول من الضحية المستقبلية ، ولكنه يستخرجها من تلقاء نفسه.

بريان كامبلمن فوجيتسو وعدد من الخبراء الآخرين يعتقدون أن الفيروس الجديد يستخدم برنامج EternalBlue معدل تمت سرقته من وكالة الأمن القومي الأمريكية.

بعد نشر هذا البرنامج من قبل المتسللين The Shadow Brokers في أبريل 2017 ، انتشر فيروس WannaCry ransomware الذي تم إنشاؤه على أساسه في جميع أنحاء العالم.

باستخدام ثغرات Windows ، يسمح هذا البرنامج للفيروس بالانتشار إلى أجهزة الكمبيوتر عبر شبكة الشركة. تم إرسال Petya الأصلي عبر البريد الإلكتروني تحت ستار السيرة الذاتية ويمكن أن يصيب الكمبيوتر فقط حيث تم فتح السيرة الذاتية.

أخبرت شركة Kaspersky Lab وكالة إنترفاكس أن فيروس رانسوم وير لا ينتمي إلى عائلات البرامج الضارة المعروفة سابقًا. برمجة.

قال Vyacheslav Zakorzhevsky ، رئيس قسم أبحاث مكافحة الفيروسات في Kaspersky Lab: "تكتشف منتجات برامج Kaspersky Lab هذه البرامج الضارة باسم UDS: DangeroundObject.Multi.Generic.".

بشكل عام ، إذا سميت فيروسًا جديدًا باسم روسي ، فعليك أن تضع في اعتبارك أنه ظاهريًا يشبه وحش فرانكشتاين ، حيث يتم تجميعه من عدة البرمجيات الخبيثة. من المعروف على وجه اليقين أن الفيروس ولد في 18 يونيو 2017.

تعليق على الصورة لفك تشفير الملفات وإلغاء قفل الكمبيوتر ، يتطلب الفيروس 300 دولار

أفضل من WannaCry؟

لقد استغرق WannaCry بضعة أيام فقط في مايو 2017 للوصول إلى حالة أكبر هجوم إلكتروني من نوعه في التاريخ. هل ستتفوق فيروس رانسومواري جديدسابقتها الأخيرة؟

في أقل من يوم ، تلقى المهاجمون 2.1 بيتكوين من ضحاياهم - حوالي 5000 دولار. جمعت WannaCry 7 عملات بيتكوين في نفس الفترة.

في الوقت نفسه ، وفقًا لإلمار نبيجيف من شركة Positive Technologies ، من الصعب محاربة المبتز الجديد.

"بالإضافة إلى الاستغلال [الثغرة الأمنية في Windows] ، ينتشر هذا التهديد أيضًا باستخدام حسابات المستخدمين أنظمة التشغيلسرقت بمساعدة أدوات قرصنة خاصة ".

كيف تتعامل مع الفيروس؟

كإجراء وقائي ، ينصح الخبراء بتثبيت التحديثات لأنظمة التشغيل في الوقت المحدد وفحص الملفات المستلمة عن طريق البريد الإلكتروني.

يُنصح المسؤولون المتقدمون بتعطيل بروتوكول اتصال شبكة Server Message Block (SMB) مؤقتًا.

في حالة إصابة أجهزة الكمبيوتر ، لا تدفع بأي حال من الأحوال للمهاجمين. ليس هناك ما يضمن أنه عندما يتقاضون رواتبهم ، سيقومون بفك تشفير الملفات ولن يطلبوا المزيد.

يبقى فقط انتظار فك التشفير: في حالة WannaCry ، استغرق الأمر أسبوعًا لإنشاء Adrien Guignet ، المتخصص من شركة Quarkslab الفرنسية.

كتب عالم الأحياء جوزيف بوب أول برنامج فدية لمكافحة الإيدز (PC Cyborg) في عام 1989. لقد أخفت الدلائل والملفات المشفرة ، وطالبت بمبلغ 189 دولارًا" تجديد الرخصة" لحساب في بنما. قام بوب بتوزيع بنات أفكاره باستخدام الأقراص المرنة بالبريد العادي ، ليصبح المجموع حوالي 20 ألفًاخليةالمغادرة. تم اعتقال بوب أثناء محاولته صرف شيك ، لكنه هرب من المحاكمة - في عام 1991 أُعلن أنه مجنون.

يوم الثلاثاء ، 27 يونيو ، الأوكرانية و الشركات الروسيةأبلغت عن هجوم فيروسي ضخم: عرضت أجهزة الكمبيوتر في المؤسسات رسالة تطالب بفدية. لقد اكتشفت من عانى مرة أخرى بسبب المتسللين وكيفية حماية أنفسهم من سرقة البيانات المهمة.

كفى يا بيتر

كان قطاع الطاقة أول من تعرض للهجوم: اشتكت شركتا Ukrenergo و Kyivenergo الأوكرانيتان من الفيروس. أصابهم المتسللون بالشلل أنظمة الكمبيوترلكن ذلك لم يؤثر على استقرار محطات توليد الكهرباء.

بدأ الأوكرانيون في نشر نتائج العدوى على الشبكة: وفقًا للصور العديدة ، تعرضت أجهزة الكمبيوتر لهجوم من قبل فيروس رانسوم وير. على شاشة الأجهزة المتأثرة ، ظهرت رسالة تفيد بأن جميع البيانات مشفرة ، وأن مالكي الأجهزة بحاجة إلى دفع فدية بقيمة 300 دولار من عملات البيتكوين. في الوقت نفسه ، لم يخبر المتسللون ما سيحدث للمعلومات في حالة عدم النشاط ، ولم يضبطوا حتى عدادًا للعد التنازلي حتى يتم إتلاف البيانات ، كما كان الحال مع هجوم فيروس WannaCry.

أفاد البنك الوطني الأوكراني (NBU) أنه بسبب الفيروس ، أصيب عمل العديد من البنوك بالشلل الجزئي. وفقًا لوسائل الإعلام الأوكرانية ، أثر الهجوم على مكاتب Oschadbank و Ukrsotsbank و Ukrgasbank و PrivatBank.

أصيبوا شبكات الحاسب"Ukrtelecom" ، مطار "Borispol" ، "Ukrposhta" ، " بريد جديد"و" Kyivvodokanal "ومترو كييف. بالإضافة إلى ذلك ، أصاب الفيروس شركات تشغيل الهواتف المحمولة الأوكرانية - Kyivstar و Vodafone و Lifecell.

في وقت لاحق ، أوضحت وسائل الإعلام الأوكرانية أنه كان Petya.A برنامج ضار. يتم توزيعه وفقًا للمخطط المعتاد للمتسللين: يتم إرسال رسائل التصيد الاحتيالي عبر البريد الإلكتروني إلى الضحايا من دمى تطلب منهم فتح رابط مضمن. بعد ذلك ، يدخل الفيروس إلى الكمبيوتر ، ويقوم بتشفير الملفات ويطلب فدية لفك تشفيرها.

أشار المتسللون إلى عدد محفظة البيتكوين الخاصة بهم التي يجب تحويل الأموال إليها. بناءً على المعلومات المتعلقة بالمعاملات ، قام الضحايا بالفعل بتحويل 1.2 بيتكوين (أكثر من 168 ألف روبل).

تضررت أكثر من 80 شركة من الهجوم ، وفقا لمتخصصي أمن المعلومات من Group-IB. لاحظ رئيس مختبر الجريمة أن الفيروس لا علاقة له بـ WannaCry. لإصلاح المشكلة ، نصح بإغلاق منافذ TCP 1024-1035 و 135 و 445.

من هو المذنب

سارعت إلى افتراض أن الهجوم تم تنظيمه من أراضي روسيا أو دونباس ، لكنها لم تقدم أي دليل. وزير البنية التحتية في أوكرانيا رأىتلمح في كلمة "فيروس" وكتب على صفحته على فيسبوك أنه "ليس من قبيل المصادفة أن ينتهي الأمر بالروسية" ، مقدمًا تخمينه برمز يغمز.

في غضون ذلك ، يدعي أن الهجوم لا علاقة له بـ "البرامج الضارة" الموجودة والمعروفة باسم بيتيا وميشا. يزعم مسؤولو الأمن أن الموجة الجديدة لم تضرب الشركات الأوكرانية والروسية فحسب ، بل شملت أيضًا الشركات في البلدان الأخرى.

ومع ذلك ، فإن "البرامج الضارة" الحالية من حيث الواجهة تشبه فيروس Petya المعروف ، والذي تم توزيعه قبل بضع سنوات من خلال روابط التصيد الاحتيالي. في نهاية شهر ديسمبر ، بدأ المخترق المجهول المسؤول عن إنشاء Petya و Mischa ransomware في إرسال رسائل بريد إلكتروني مصابة بفيروس مضمن يسمى GoldenEye ، والذي كان مطابقًا لـ الإصدارات السابقةالمشفرون.

يحتوي المرفق برسالة عادية ، غالبًا ما يتلقاها قسم شؤون الموظفين ، على معلومات حول مرشح وهمي. في أحد الملفات ، يمكن للمرء أن يجد بالفعل ملخصًا ، وفي الملف التالي ، مثبت فيروسات. ثم كان الهدف الرئيسي للمهاجم هو الشركات في ألمانيا. خلال النهار ، سقط أكثر من 160 موظفًا في الشركة الألمانية في الفخ.

لم يكن من الممكن حساب المخترق ، لكن من الواضح أنه معجب بوند. برنامجي بيتيا وميشا هما اسمان للقمرين الصناعيين الروسيين "بيتيا" و "ميشا" من فيلم "العين الذهبية" ، والتي كانت بحسب المؤامرة أسلحة كهرومغناطيسية.

بدأت النسخة الأصلية من Petya في التوزيع النشط في أبريل 2016. تنكرت بمهارة على أجهزة الكمبيوتر وقدمت نفسها كبرامج شرعية ، مطالبة بحقوق المسؤول الممتدة. بعد التنشيط ، تصرف البرنامج بشكل عدواني للغاية: فقد حدد موعدًا نهائيًا صارمًا لدفع الفدية ، وطالب بـ 1.3 بيتكوين ، وبعد الموعد النهائي ، ضاعف التعويض النقدي.

صحيح ، ثم سرعان ما وجد أحد مستخدمي Twitter الجوانب الضعيفةرانسومواري وخلقت برنامج بسيط، والذي أنشأ في سبع ثوان مفتاحًا يسمح لك بإلغاء قفل الكمبيوتر وفك تشفير جميع البيانات دون أي عواقب.

ليست المرة الأولى

في منتصف شهر مايو ، تعرضت أجهزة الكمبيوتر في جميع أنحاء العالم لهجوم من فيروس فدية مشابه ، WannaCrypt0r 2.0 ، المعروف أيضًا باسم WannaCry. في غضون ساعات قليلة ، شل عمل مئات الآلاف من العمال أجهزة Windowsفي أكثر من 70 دولة. وكان من بين الضحايا وكالات إنفاذ القانون الروسية والمصارف و مشغلي الهاتف المحمول. بمجرد وصول الفيروس إلى جهاز كمبيوتر الضحية ، يتم تشفيره HDDوطالب بإرسال المهاجمين 300 دولار من عملات البيتكوين. تم تخصيص ثلاثة أيام للتفكير ، وبعد ذلك تضاعف المبلغ ، وبعد أسبوع تم تشفير الملفات إلى الأبد.

ومع ذلك ، لم يكن الضحايا في عجلة من أمرهم لنقل الفدية ، ومنشئي "البرامج الضارة"

قبل بضعة أشهر ، اكتشفنا نحن ومتخصصون آخرون في أمن تكنولوجيا المعلومات برنامجًا ضارًا جديدًا - Petya (Win32.Trojan-Ransom.Petya.A). بالمعنى الكلاسيكي ، لم يكن برنامج الفدية ، الفيروس ببساطة منع الوصول إلى أنواع معينة من الملفات وطالب بفدية. تعديل الفيروس سجل التمهيدعلى القرص الصلب ، أعاد تشغيل الكمبيوتر بالقوة وأظهر رسالة تفيد بأن "البيانات مشفرة - ادفع أموالك لفك التشفير". بشكل عام ، المخطط القياسي لفيروسات الفدية ، باستثناء أن الملفات لم يتم تشفيرها بالفعل. بدأت معظم برامج مكافحة الفيروسات الشائعة في تحديد وإزالة Win32.Trojan-Ransom.Petya.A في غضون أسابيع قليلة من إصداره. بالإضافة إلى ذلك ، هناك تعليمات للإزالة اليدوية. لماذا نعتقد أن Petya ليس برنامج رانسومواري كلاسيكي؟ يقوم هذا الفيروس بإجراء تغييرات على سجل التمهيد الرئيسي ويمنع نظام التشغيل من التمهيد ، كما يقوم أيضًا بتشفير جدول الملفات الرئيسية (جدول الملفات الرئيسية). لا يقوم بتشفير الملفات نفسها.

ومع ذلك ، ظهر فيروس أكثر تعقيدًا قبل بضعة أسابيع. ميشا، على ما يبدو كتبها نفس المحتالين. يقوم هذا الفيروس ENCRYPTS بملفات ويتطلب منك دفع 500 دولار - 875 دولارًا أمريكيًا لفك التشفير (بتنسيق إصدارات مختلفة 1.5 - 1.8 بيتكوين). يتم تخزين تعليمات "فك التشفير" والدفع مقابل ذلك في الملفين YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT.

فيروس ميشا - محتويات ملف YOUR_FILES_ARE_ENCRYPTED.HTML

الآن ، في الواقع ، يصيب المتسللون أجهزة كمبيوتر المستخدمين ببرنامجين ضارين: بيتيا وميشا. يحتاج الأول إلى حقوق المسؤول في النظام. بمعنى ، إذا رفض المستخدم منح حقوق مسؤول Petya أو أزال هذه البرامج الضارة يدويًا ، فإن Mischa يتدخل. لا يحتاج هذا الفيروس إلى حقوق المسؤول ، فهو برنامج فدية كلاسيكي ويقوم بالفعل بتشفير الملفات باستخدام خوارزمية AES القوية دون إجراء أي تغييرات على سجل التمهيد الرئيسي وجدول الملفات على القرص الصلب للضحية.

لا تقوم برامج Mischa بتشفير أنواع الملفات القياسية فقط (مقاطع الفيديو والصور والعروض التقديمية والمستندات) ، ولكن أيضًا ملفات exe. لا يؤثر الفيروس فقط على الدلائل \ Windows ، \ $ Recycle.Bin ، \ Microsoft ، \ موزيلا فايرفوكس، \ أوبرا، \ متصفح الانترنتو \ Temp و \ Local و \ LocalLow و \ Chrome.

تحدث العدوى بشكل رئيسي من خلال بريد إلكتروني، حيث تصل رسالة مع ملف مرفق - مثبت الفيروسات. يمكن تشفيرها كرسالة من مكتب الضرائب ، من محاسبك ، كإيصالات وإيصالات شراء ، إلخ. انتبه إلى امتدادات الملفات في مثل هذه الأحرف - إذا كان ملفًا قابلاً للتنفيذ (.exe) ، فمن المحتمل أن يكون حاوية تحتوي على فيروس Petya \ Mischa. وإذا كان تعديل البرنامج الضار حديثًا ، فقد لا يتفاعل برنامج مكافحة الفيروسات.

تحديث 06/30/2017: 27 يونيو نسخة معدلة من فيروس بيتيا (بيتيا أ)هاجموا مستخدمين على نطاق واسع في أوكرانيا. كان تأثير هذا الهجوم هائلاً ولم يتم حساب الضرر الاقتصادي بعد. في يوم واحد عمل عشرات البنوك وسلاسل البيع بالتجزئة ، المؤسسات العامةوالشركات ذات الأشكال المختلفة للملكية. انتشر الفيروس بشكل أساسي من خلال ثغرة أمنية في نظام المحاسبة الأوكراني MeDoc بأحدث تحديث أوتوماتيكيهذا البرنامج. بالإضافة إلى ذلك ، أصاب الفيروس أيضًا دولًا مثل روسيا وإسبانيا وبريطانيا العظمى وفرنسا وليتوانيا.

إزالة فيروس Petya و Mischa باستخدام المنظف التلقائي

طريقة فعالة للغاية للتعامل مع البرامج الضارة بشكل عام وبرامج الفدية بشكل خاص. يضمن استخدام مجمع الأمان المثبت دقة الكشف عن أي مكونات فيروسية الإزالة الكاملةبنقرة واحدة. يرجى ملاحظة أننا نتحدث عن عمليتين مختلفتين: إلغاء تثبيت العدوى واستعادة الملفات على جهاز الكمبيوتر الخاص بك. ومع ذلك ، يجب بالتأكيد إزالة التهديد ، حيث توجد معلومات حول إدخال أحصنة طروادة للكمبيوتر الأخرى بمساعدتها.

  1. . بعد تشغيل البرنامج ، انقر فوق الزر ابدأ فحص الكمبيوتر(ابدأ المسح).
  2. سيوفر البرنامج المثبت تقريرًا عن التهديدات المكتشفة أثناء الفحص. لإزالة جميع التهديدات التي تم العثور عليها ، حدد الخيار إصلاح التهديدات(ازالة التهديدات). ستتم إزالة البرامج الضارة المعنية تمامًا.

استعادة الوصول إلى الملفات المشفرة

كما لوحظ ، يقوم Mischa ransomware بتأمين الملفات باستخدام خوارزمية تشفير قوية بحيث لا يمكن إعادة فتح البيانات المشفرة بتمريرة سريعة. عصا سحرية- إذا كنت لا تأخذ في الاعتبار دفع مبلغ فدية غير مسموع (يصل أحيانًا إلى 1000 دولار). لكن بعض الطرق يمكن أن تصبح حقًا منقذًا تساعدك على استعادة البيانات المهمة. أدناه يمكنك التعرف عليهم.

برنامج الاسترداد التلقائي للملفات (فك التشفير)

هناك ظرف غير عادي للغاية معروف. هذه العدوى تدمر ملفات المصدرفي شكل غير مشفر. وبالتالي ، فإن عملية التشفير الابتزازية تستهدف نسخًا منها. هذا يوفر فرصة لمثل هذا أدوات البرمجياتكيفية استعادة العناصر المحذوفة ، حتى لو كانت موثوقية إزالتها مضمونة. يوصى بشدة باللجوء إلى إجراء استرداد الملفات ، فعاليته لا شك فيها.

حجم نسخ الظل

يعتمد النهج على إجراء Windows نسخة احتياطيةالملفات ، والتي تتكرر في كل نقطة استعادة. حالة مهمةلكي تعمل هذه الطريقة: يجب تنشيط وظيفة "استعادة النظام" قبل الإصابة. ومع ذلك ، فإن أي تغييرات يتم إجراؤها على الملف بعد نقطة الاستعادة لن تنعكس في النسخة المستعادة من الملف.

دعم

هذا هو الأفضل بين جميع طرق عدم الشراء. إذا تم استخدام إجراء نسخ البيانات احتياطيًا إلى خادم خارجي قبل أن تهاجم برامج الفدية جهاز الكمبيوتر الخاص بك ، لاستعادة الملفات المشفرة ، فأنت تحتاج ببساطة إلى إدخال الواجهة المناسبة وتحديد الملفات الضرورية وبدء آلية استعادة البيانات من النسخة الاحتياطية. قبل إجراء العملية ، تحتاج إلى التأكد من إزالة برنامج الفدية بالكامل.

تحقق من وجود مكونات رانسومواري Petya و Mischa المتبقية المحتملة

التنظيف اليدوي محفوف بمخاطر فقدان أجزاء من برامج الفدية التي يمكن أن تتجنب الإزالة في شكل كائنات مخفية في نظام التشغيل أو إدخالات التسجيل. للتخلص من مخاطر الحفظ الجزئي للعناصر الضارة الفردية ، قم بفحص جهاز الكمبيوتر الخاص بك باستخدام حزمة برامج أمان موثوقة ومتخصصة في البرامج الضارة.

في أوائل شهر مايو ، أصيب حوالي 230.000 جهاز كمبيوتر في أكثر من 150 دولة ببرامج الفدية الضارة. قبل أن يتاح للضحايا الوقت لإزالة عواقب هذا الهجوم ، تبعه هجوم جديد - يسمى بيتيا. عانت منه أكبر الشركات الأوكرانية والروسية ، وكذلك مؤسسات الدولة.

وجدت الشرطة الإلكترونية في أوكرانيا أن هجوم الفيروس بدأ من خلال آلية تحديث برنامج المحاسبة M.E.Doc ، والذي يستخدم لإعداد وإرسال الإقرارات الضريبية. لذلك ، أصبح معروفًا أن شبكات Bashneft و Rosneft و Zaporozhyeoblenergo و Dneproenergo ونظام الطاقة الكهربائية Dnieper لم تفلت من العدوى. في أوكرانيا ، اخترق الفيروس أجهزة الكمبيوتر الحكومية ، وأجهزة الكمبيوتر في مترو كييف ، ومشغلي الاتصالات ، وحتى محطة تشيرنوبيل للطاقة النووية. في روسيا ، عانت شركة مونديليز الدولية ومارس ونيفيا.

يستغل فيروس Petya ثغرة EternalBlue في غرفة العمليات نظام ويندوز. يقول خبراء Symantec و F-Secure أنه بينما يقوم Petya بتشفير البيانات مثل WannaCry ، فإنه يختلف إلى حد ما عن الأنواع الأخرى من برامج الفدية. "فيروس بيتيا هو النوع الجديدبرامج الفدية ذات النوايا الخبيثة: فهي لا تقوم فقط بتشفير الملفات الموجودة على القرص ، بل تحجب القرص بأكمله ، مما يجعله غير قابل للاستخدام عمليًا ، كما أوضح F-Secure. "على وجه الخصوص ، يقوم بتشفير جدول الملفات الرئيسية MFT."

كيف يحدث هذا وهل يمكن منع هذه العملية؟

فيروس بيتيا - كيف يعمل؟

يُعرف فيروس Petya أيضًا بأسماء أخرى: Petya.A و PetrWrap و NotPetya و ExPetr. عند الدخول إلى الكمبيوتر ، يقوم بتنزيل برنامج الفدية من الإنترنت ويحاول الوصول إلى جزء منه قرص صلببالبيانات اللازمة لتشغيل الكمبيوتر. إذا نجح ، ثم مشاكل النظام شاشة زرقاءمن الموت (" شاشة زرقاءمن الموت"). بعد إعادة التشغيل ، تظهر رسالة صعبالقرص يطلب منك عدم إيقاف تشغيل الطاقة. وهكذا ، يتظاهر فيروس رانسومواري بأنه كذلك برنامج النظامعن طريق فحص القرص ، أثناء تشفير الملفات بامتدادات معينة. في نهاية العملية ، تظهر رسالة حول قفل الكمبيوتر ومعلومات حول كيفية الحصول على مفتاح رقمي لفك تشفير البيانات. يتطلب فيروس بيتيا فدية ، عادةً بعملة البيتكوين. إذا لم يكن لدى الضحية نسخة احتياطية من الملفات ، فإنه يواجه خيارًا - دفع مبلغ 300 دولار أو فقدان جميع المعلومات. وفقًا لبعض المحللين ، يتنكر الفيروس في صورة برنامج فدية فقط ، في حين أن هدفه الحقيقي هو إحداث أضرار جسيمة.

كيف تتخلص من بيتيا؟

لقد وجد الخبراء أن فيروس بيتيا يبحث عنه ملف محليوإذا كان هذا الملف موجودًا بالفعل على القرص ، فسيتم إنهاء عملية التشفير. هذا يعني أنه يمكن للمستخدمين حماية أجهزة الكمبيوتر الخاصة بهم من برامج الفدية عن طريق إنشاء هذا الملف وتعيينه للقراءة فقط.

على الرغم من أن مخطط الماكرة هذا يمنع بدء عملية الابتزاز ، هذه الطريقةيمكن اعتباره أشبه بـ "التطعيم الحاسوبي". وبالتالي ، سيتعين على المستخدم إنشاء الملف بنفسه. يمكنك القيام بذلك بالطريقة التالية:

  • تحتاج أولاً إلى التعامل مع امتداد الملف. تأكد من إلغاء تحديد نافذة "خيارات المجلد" في مربع الاختيار "إخفاء الامتدادات لأنواع الملفات المعروفة".
  • افتح المجلد C: \ Windows ، وقم بالتمرير لأسفل حتى ترى برنامج notepad.exe.
  • انقر بزر الماوس الأيسر على notepad.exe ، ثم اضغط على Ctrl + C للنسخ ثم Ctrl + V للصق الملف. سيُطلب منك إذنًا لنسخ الملف.
  • انقر فوق الزر "متابعة" وسيتم إنشاء الملف كمفكرة - Copy.exe. انقر بزر الفأرة الأيسر على هذا الملف واضغط على المفتاح F2 ، ثم احذف اسم الملف Copy.exe واكتب perfc.
  • بعد تغيير اسم الملف إلى perfc ، اضغط على Enter. قم بتأكيد إعادة التسمية.
  • الآن بعد أن تم إنشاء ملف perfc ، نحتاج إلى جعله للقراءة فقط. للقيام بذلك ، انقر فوق انقر على اليمينحرك الماوس فوق الملف وحدد "خصائص".
  • سيتم فتح قائمة الخصائص لهذا الملف. في الجزء السفلي سترى عبارة "للقراءة فقط". تفقد الصندوق.
  • الآن انقر فوق الزر "تطبيق" ثم الزر "موافق".

يقترح بعض خبراء الأمن إنشاء ملفات C: \ Windows \ perfc.dat و C: \ Windows \ perfc.dll بالإضافة إلى ملف C: \ windows \ perfc لتوفير حماية أفضل من فيروس Petya. يمكنك تكرار الخطوات المذكورة أعلاه لهذه الملفات.

تهانينا ، جهاز الكمبيوتر الخاص بك محمي من NotPetya / Petya!

يقدم خبراء Symantec بعض النصائح لمستخدمي الكمبيوتر الشخصي لمنعهم من القيام بأشياء قد تؤدي إلى قفل الملفات أو فقدان المال.

  1. لا تدفع المال للمحتالين.حتى إذا قمت بتحويل الأموال إلى برامج الفدية ، فليس هناك ما يضمن أنك ستتمكن من استعادة الوصول إلى ملفاتك. وفي حالة NotPetya / Petya ، فإن هذا لا معنى له أساسًا ، لأن الغرض من المشفر هو تدمير البيانات ، وليس الحصول على المال.
  2. تأكد من إنشاء بانتظام النسخ الاحتياطيةبيانات.في هذه الحالة ، حتى إذا أصبح جهاز الكمبيوتر الخاص بك هدفًا لهجوم برامج الفدية ، فستتمكن من استعادة أي ملفات محذوفة.
  3. لا تفتح رسائل البريد الإلكترونيمع عناوين مشكوك فيها.سيحاول المهاجمون خداعك لتثبيت برامج ضارة أو محاولة الحصول على بيانات هجوم مهمة. تأكد من إبلاغ متخصصي تكنولوجيا المعلومات في حالة تلقيك أنت أو موظفيك لرسائل بريد إلكتروني أو روابط مشبوهة.
  4. استخدم برامج موثوقة.يلعب دورًا مهمًا في حماية أجهزة الكمبيوتر من العدوى التحديث في الوقت المناسبمضادات الفيروسات. وبالطبع تحتاج إلى استخدام منتجات الشركات ذات السمعة الطيبة في هذا المجال.
  5. استخدم آليات لفحص الرسائل العشوائية وحظرها.يجب فحص رسائل البريد الإلكتروني الواردة بحثًا عن التهديدات. من المهم أن تحتوي أي نوع من أنواع الرسائل على روابط أو نموذجية الكلمات الدالةالتصيد.
  6. تأكد من تحديث جميع البرامج.يعد التصحيح المنتظم لثغرات البرامج أمرًا ضروريًا لمنع الإصابات.

هل نتوقع هجمات جديدة؟

ظهر فيروس بيتيا لأول مرة في مارس 2016 ، ولاحظ خبراء الأمن على الفور سلوكه. فيروس جديدضرب بيتيا أجهزة الكمبيوتر في أوكرانيا وروسيا في نهاية يونيو 2017. لكن من غير المرجح أن ينتهي هذا. قال ستانيسلاف كوزنتسوف ، نائب رئيس مجلس إدارة سبيربنك ، إن هجمات القراصنة التي تستخدم فيروسات الفدية المشابهة لبيتيا وواناكراي ستتكرر. في مقابلة مع تاس ، حذر من أنه سيكون هناك بالتأكيد مثل هذه الهجمات ، لكن من الصعب التنبؤ مسبقًا بالشكل والشكل الذي قد تظهر به.

إذا لم تقم ، بعد كل الهجمات الإلكترونية السابقة ، باتخاذ خطوات قليلة على الأقل لحماية جهاز الكمبيوتر الخاص بك من فيروس التشفير ، فقد حان الوقت للوصول إليه.

تعد الفيروسات جزءًا لا يتجزأ من النظام البيئي لنظام التشغيل. في معظم الحالات ، نتحدث عن نظامي التشغيل Windows و Android ، وإذا لم تكن محظوظًا تمامًا ، فنحن نتحدث عن OS X و Linux. علاوة على ذلك ، إذا كانت الفيروسات الجماعية السابقة تهدف فقط إلى سرقة البيانات الشخصية ، وفي معظم الحالات ببساطة إلى إتلاف الملفات ، فإن المشفرات الآن "تحكم الكرة".


وهذا ليس مفاجئًا - فقد نمت قوة الحوسبة لكل من أجهزة الكمبيوتر الشخصية والهواتف الذكية مثل الانهيار الجليدي ، مما يعني أن الأجهزة اللازمة لمثل هذه "المقالب" أصبحت أكثر قوة.

منذ بعض الوقت ، اكتشف الخبراء فيروس بيتيا. اكتشفت G DATA SecurityLabs أن الفيروس يحتاج إلى وصول إداري إلى النظام ، بينما لا يقوم بتشفير الملفات ، ولكنه يمنع الوصول إليها فقط. اعتبارًا من اليوم ، الأدوات من Petya (Win32.Trojan-Ransom.Petya.A ') موجودة بالفعل. يعدل الفيروس نفسه سجل التمهيد على محرك أقراص النظام ويؤدي إلى تعطل الكمبيوتر ، وعرض رسالة حول تلف البيانات على القرص. في الواقع ، هذا مجرد تشفير.

طالب مطورو البرمجيات الخبيثة بالدفع مقابل استعادة الوصول.


ومع ذلك ، حتى الآن ، بالإضافة إلى فيروس بيتيا ، ظهر فيروس أكثر تعقيدًا - ميشا. لا يحتاج إلى حقوق إدارية ، ويقوم بتشفير البيانات مثل Ransomware الكلاسيكي ، وإنشاء ملفات YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT على قرص أو في مجلد به بيانات مشفرة. تحتوي على تعليمات للحصول على المفتاح الذي يبلغ سعره حوالي 875 دولارًا.

من المهم ملاحظة أن العدوى تحدث من خلال البريد الإلكتروني ، الذي يتلقى ملف exe به فيروسات متخفية في هيئة مستند pdf. وهنا يبقى التذكير مرة أخرى - تحقق بعناية من الرسائل ذات الملفات المرفقة ، وحاول أيضًا عدم تنزيل المستندات من الإنترنت ، حيث يمكن الآن تضمين فيروس أو ماكرو ضار في ملف مستند أو صفحة ويب.

نلاحظ أيضًا أنه حتى الآن لا توجد أدوات مساعدة لفك تشفير "عمل" فيروس ميشا.



تحميل...
قمة