A vírusok megzavarják, amit csinál. Ukrajna elnökéről elnevezett új Petya ransomware - szakértő

A kép szerzői joga PA Képaláírás A szakértők szerint az új ransomware elleni küzdelem nehezebb, mint a WannaCry

Június 27-én a zsarolóprogramok világszerte több tucat vállalatnál blokkolták a számítógépeket és titkosítottak fájlokat.

A hírek szerint az ukrán cégek szenvedtek a legtöbbet – a vírus nagyvállalatok, kormányzati szervek és infrastrukturális létesítmények számítógépeit fertőzte meg.

A fájlok visszafejtéséhez a vírus 300 dollár bitcoin kifizetését követeli meg az áldozatoktól.

A BBC orosz szolgálata válaszol az új fenyegetéssel kapcsolatos fő kérdésekre.

Ki sérült meg?

A vírus terjedése Ukrajnában kezdődött. A boriszpili repülőtér, az Ukrenergo egyes regionális részlegei, üzletláncok, bankok, média és távközlési társaságok érintettek. Az ukrán kormány számítógépeit is kikapcsolták.

Ezt követően Oroszországban cégek kerültek sorra: a Rosneft, a Bashneft, a Mondelez International, a Mars, a Nivea és mások is áldozatul estek a vírusnak.

Hogyan működik egy vírus?

A szakértők még nem jutottak konszenzusra az új vírus eredetét illetően. A Group-IB és a Positive Technologies a 2016-os Petya vírus egy változatának tekintik.

"Ez a zsarolóprogram feltörési technikákat és segédprogramokat, valamint szabványos rendszeradminisztrációs segédprogramokat egyaránt használ" - magyarázza a fenyegetések elleni küzdelem vezetője. információ biztonság Pozitív technológiák Elmar Nabigaev. - Mindez garantálja a hálózaton belüli magas terjedési arányt és a járvány egészének tömeges jellegét (ha legalább egy személyi számítógép). Az eredmény a számítógép és az adattitkosítás teljes működésképtelensége."

A román Bitdefender cég több közös vonást lát a GoldenEye vírussal, amely Petyát egy másik, Misha nevű kártevővel párosítja. Utóbbi előnye, hogy a fájlok titkosításához nem igényel rendszergazdai jogokat a leendő áldozattól, hanem önállóan kibontja azokat.

Brian Campbell A Fujitsu és számos más szakértő úgy véli, hogy az új vírus egy módosított EternalBlue programot használ, amelyet az Egyesült Államok Nemzetbiztonsági Ügynökségétől loptak el.

A The Shadow Brokers hackerek által 2017 áprilisában megjelent program után az ennek alapján létrehozott WannaCry ransomware vírus az egész világon elterjedt.

A Windows biztonsági réseit felhasználva ez a program lehetővé teszi a vírus átterjedését a vállalati hálózat számítógépeire. Az eredeti Petyát e-mailben küldték el önéletrajz leple alatt, és csak azt a számítógépet tudta megfertőzni, ahol az önéletrajzot megnyitották.

A Kaspersky Lab elmondta az Interfaxnak, hogy a ransomware vírus nem tartozik a korábban ismert rosszindulatú programok családjába. szoftver.

"A Kaspersky Lab szoftvertermékei ezt a kártevőt UDS:DangeroundObject.Multi.Generic néven észlelik" - mondta Vjacseszlav Zakorzsevszkij, a Kaspersky Lab víruskereső kutatási részlegének vezetője.

Általánosságban elmondható, hogy ha egy új vírust orosz néven nevezünk, akkor szem előtt kell tartani, hogy külsőleg inkább Frankenstein szörnyetegére hasonlít, mivel több elemből áll össze. rosszindulatú. Biztosan ismert, hogy a vírus 2017. június 18-án született.

Képaláírás A fájlok visszafejtéséhez és a számítógép feloldásához a vírus 300 dollárt igényel

Jobb, mint a WannaCry?

A WannaCry-nek mindössze néhány napba telt 2017 májusában, hogy elérje a történelem legmasszívabb ilyen jellegű kibertámadásának státuszát. Előzni fog új ransomware vírus legutóbbi elődje?

Kevesebb mint egy nap alatt a támadók 2,1 bitcoint kaptak áldozataiktól – körülbelül 5000 dollárt. A WannaCry 7 bitcoint gyűjtött be ugyanebben az időszakban.

Ugyanakkor Elmar Nabigaev, a Positive Technologies munkatársa szerint nehezebb felvenni a harcot az új zsaroló ellen.

"A kizsákmányolás [a Windows sebezhetősége] mellett ez a fenyegetés felhasználói fiókokkal is terjed operációs rendszer speciális hackereszközök segítségével lopták el” – jegyezte meg a szakember.

Hogyan kezeljük a vírust?

Megelőző intézkedésként a szakértők azt tanácsolják, hogy időben telepítse az operációs rendszerek frissítéseit, és ellenőrizze az e-mailben kapott fájlokat.

A haladó rendszergazdáknak azt tanácsoljuk, hogy ideiglenesen tiltsák le a Server Message Block (SMB) hálózati kommunikációs protokollt.

Ha a számítógépek fertőzöttek, semmi esetre se fizessen a támadóknak. Nincs garancia arra, hogy amikor fizetést kapnak, dekódolják a fájlokat, és nem követelnek többet.

Már csak a visszafejtőre kell várni: a WannaCry esetében egy hétbe telt, amíg Adrien Guignet, a francia Quarkslab cég szakembere elkészítette.

Az első AIDS ransomware-t (PC Cyborg) Joseph Popp biológus írta 1989-ben. Könyvtárakat és titkosított fájlokat rejtett el, és 189 dollárt követelt érte" engedély megújítása" egy panamai számlára. Popp floppy lemezekkel terjesztette ötletét hagyományos levélben, így összesen mintegy 20 ezersejtIndulás. Poppot őrizetbe vették, miközben megpróbált beváltani egy csekket, de megúszta a tárgyalást – 1991-ben őrültnek nyilvánították.

Június 27-én, kedden az ukrán ill orosz cégek hatalmas vírustámadásról számoltak be: a vállalatok számítógépei váltságdíjat követelő üzenetet jelenítettek meg. Rájöttem, hogy ki szenvedett ismét a hackerek miatt, és hogyan védhetik meg magukat a fontos adatok ellopásától.

Péter, elég

Elsőként az energiaszektort támadták meg: az ukrán Ukrenergo és Kyivenergo cégek panaszkodtak a vírusra. A betolakodók megbénították őket számítógépes rendszerek, de ez nem befolyásolta az erőművek stabilitását.

Az ukránok elkezdték közzétenni a hálózaton a fertőzés következményeit: a számos kép alapján a számítógépeket zsarolóvírus támadta meg. Az érintett készülékek képernyőjén egy üzenet bukkant fel, amely szerint minden adat titkosítva van, és az eszköztulajdonosoknak 300 dolláros váltságdíjat kell fizetniük bitcoinban. A hackerek ugyanakkor nem árulták el, hogy inaktivitás esetén mi lesz az információval, és még visszaszámlálót sem állítottak be az adatok megsemmisüléséig, ahogy az a WannaCry vírustámadásnál történt.

Az Ukrán Nemzeti Bank (NBU) jelentése szerint a vírus miatt több bank munkája részben megbénult. Az ukrán sajtó szerint a támadás az Oschadbank, az Ukrsotsbank, az Ukrgasbank és a PrivatBank irodáit érintette.

fertőzöttek voltak számítógépes hálózatok"Ukrtelecom", repülőtér "Borispol", "Ukrposhta", " Új levél”, „Kyivvodokanal” és a kijevi metró. Emellett a vírus az ukrán mobilszolgáltatókat – a Kyivstart, a Vodafone-t és a Lifecellt – is elérte.

Később az ukrán média tisztázta, hogy a Petya.A kártevőről van szó. Terjesztése a hackerek számára szokásos séma szerint történik: az áldozatoknak adathalász e-maileket küldenek a dumák, amelyben arra kérik őket, hogy nyissanak meg egy beágyazott hivatkozást. Ezt követően a vírus behatol a számítógépbe, titkosítja a fájlokat, és váltságdíjat követel a visszafejtésükért.

A hackerek jelezték bitcoin pénztárcájuk számát, amelybe pénzt kell utalni. A tranzakciókkal kapcsolatos információk alapján az áldozatok már 1,2 bitcoint (több mint 168 ezer rubelt) utaltak át.

A Group-IB információbiztonsági szakemberei szerint több mint 80 vállalatot érintett a támadás. A bűnügyi laborjuk vezetője megjegyezte, hogy a vírus nem állt kapcsolatban a WannaCry-vel. A probléma megoldásához az 1024–1035-ös, 135-ös és 445-ös TCP-portok bezárását javasolta.

Ki a bűnös

Sietett azt feltételezni, hogy a támadást Oroszország vagy Donbass területéről szervezték, de bizonyítékkal nem szolgált. Ukrajna infrastrukturális minisztere fűrész utalt a "vírus" szóra, és Facebook-oldalán azt írta, hogy "nem véletlen, hogy RUS-ra végződik", kacsintó hangulatjellel látva el sejtését.

Eközben azt állítja, hogy a támadásnak semmi köze a Petya és Mischa néven ismert „rosszindulatú programokhoz”. Biztonsági tisztviselők azt állítják, hogy az új hullám nemcsak ukrán és orosz cégeket sújtott, hanem más országok vállalatait is.

Ennek ellenére a jelenlegi „kártevő” felületét tekintve a jól ismert Petya vírusra hasonlít, amelyet néhány éve adathalász linkeken keresztül terjesztettek. December végén a Petya és Mischa zsarolóvírus létrehozásáért felelős ismeretlen hacker fertőzött e-maileket kezdett kiküldeni egy GoldenEye nevű beágyazott vírussal, amely azonos volt előző verziók kriptográfusok.

A személyzeti osztályhoz gyakran érkezett rendes levél melléklete egy áljelöltre vonatkozó információkat tartalmazott. Az egyik fájlban valóban találhattunk egy összefoglalót, a másikban pedig egy vírustelepítőt. Akkor a támadó fő célpontja németországi cégek voltak. A nap folyamán a német cég több mint 160 alkalmazottja esett csapdába.

A hackert nem lehetett kiszámítani, de nyilvánvaló, hogy Bond rajongója. A Petya és Mischa programok az "Aranyszem" című filmből származó "Petya" és "Misha" orosz műholdak nevei, amelyek a cselekmény szerint elektromágneses fegyverek voltak.

A Petya eredeti verziója 2016 áprilisában kezdett aktívan terjeszteni. Ügyesen álcázta magát a számítógépeken, és legitim programnak adta ki magát, kiterjesztett rendszergazdai jogokat kérve. Az aktiválás után a program rendkívül agresszíven viselkedett: kemény határidőt szabott a váltságdíj kifizetésére, 1,3 bitcoint követelt, a határidő lejárta után pedig megduplázta a pénzbeli ellentételezést.

Igaz, akkor az egyik Twitter-felhasználó gyorsan megtalálta gyenge oldalai ransomware és létrehozta egy egyszerű program, amely hét másodperc alatt generált egy kulcsot, amely lehetővé teszi a számítógép zárolásának feloldását és az összes adat visszafejtését minden következmény nélkül.

Nem először

Május közepén világszerte megtámadta a számítógépeket egy hasonló zsarolóvírus, a WannaCrypt0r 2.0, más néven WannaCry. Néhány óra leforgása alatt több százezer dolgozó munkáját bénította meg Windows eszközök több mint 70 országban. Az áldozatok között orosz rendvédelmi szervek, bankok és mobilszolgáltatók. Miután az áldozat számítógépére került, a vírus titkosítva lett HDDés azt követelte, hogy küldjenek a támadóknak 300 dollárt bitcoinban. Három napot szántak a gondolkodásra, utána megduplázták az összeget, egy héttel később pedig örökre titkosították a fájlokat.

Az áldozatok azonban nem siettek a váltságdíj átutalásával, a „rosszindulatú program” alkotói pedig

Néhány hónappal ezelőtt más IT-biztonsági szakemberekkel együtt egy új rosszindulatú programot fedeztünk fel - Petya (Win32.Trojan-Ransom.Petya.A). Klasszikus értelemben nem ransomware volt, a vírus egyszerűen blokkolta a hozzáférést bizonyos típusú fájlokhoz, és váltságdíjat követelt. Vírus módosult boot rekord a merevlemezen, erőszakkal újraindította a számítógépet, és egy üzenetet mutatott ki, amely szerint „az adatok titkosítva vannak – hajtsa a pénzét a visszafejtésre”. Általában a ransomware vírusok szabványos sémája, kivéve, hogy a fájlok valójában NEM voltak titkosítva. A legtöbb népszerű vírusirtó a megjelenést követő néhány héten belül elkezdte azonosítani és eltávolítani a Win32.Trojan-Ransom.Petya.A fájlt. Ezenkívül vannak utasítások a kézi eltávolításhoz. Miért gondoljuk, hogy a Petya nem egy klasszikus ransomware? Ez a vírus módosítja a Master Boot Record-ot, és megakadályozza az operációs rendszer indítását, valamint titkosítja a Master File Table-t (főfájltábla). Magukat a fájlokat nem titkosítja.

Néhány héttel ezelőtt azonban megjelent egy kifinomultabb vírus. mischa, nyilván ugyanazok a csalók írták. Ez a vírus TITKOSÍTOJA a fájlokat, és 500-875 dollárt kell fizetnie a visszafejtésért különböző verziók 1,5-1,8 bitcoin). A "visszafejtéshez" és a fizetéshez szükséges utasításokat a YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájl tartalmazza.

Mischa vírus – a YOUR_FILES_ARE_ENCRYPTED.HTML fájl tartalma

Valójában a hackerek két rosszindulatú programmal fertőzik meg a felhasználók számítógépét: Petya és Mischa. Az elsőhöz rendszergazdai jogok szükségesek a rendszerben. Vagyis ha egy felhasználó megtagadja Petya adminisztrátori jogokat, vagy manuálisan eltávolítja ezt a kártevőt, Mischa belekeveredik. Ennek a vírusnak nincs szüksége adminisztrátori jogosultságra, egy klasszikus zsarolóprogram, és valóban titkosítja a fájlokat az erős AES algoritmus segítségével anélkül, hogy bármit is módosítana a Master Boot Record-on és az áldozat merevlemezén lévő fájltáblázaton.

A Mischa malware nem csak a szabványos fájltípusokat (videókat, képeket, prezentációkat, dokumentumokat), hanem az .exe fájlokat is titkosítja. A vírus nem csak a \Windows, \$Recycle.Bin, \Microsoft, \ könyvtárakat érinti Mozilla Firefox, \Opera, \ internet böngésző, \Temp, \Local, \LocalLow és \Chrome.

A fertőzés főként keresztül történik email, ahol egy levél érkezik csatolt fájllal - a vírustelepítővel. Titkosítható levélként az Adóhivataltól, könyvelőjétől, mellékelt bizonylatként és vásárlási bizonylatként stb. Ügyeljen az ilyen betűk fájlkiterjesztésére - ha ez egy futtatható fájl (.exe), akkor nagy valószínűséggel a Petya\Mischa vírus tárolója lehet. És ha a rosszindulatú program módosítása friss, előfordulhat, hogy a víruskereső nem reagál.

Frissítés 2017.06.30.: Június 27., a Petya vírus módosított változata (Petya.A) tömegesen támadták meg a felhasználókat Ukrajnában. A támadás hatása óriási volt, és a gazdasági károkat még nem számolták ki. Egy nap alatt több tucat bank, kiskereskedelmi lánc munkája, közintézményekés a különböző tulajdonformájú vállalkozások. A vírus elsősorban az ukrán MeDoc számviteli rendszer sérülékenységén keresztül terjedt a legújabb verzióval automatikus frissítés ezt a szoftvert. Emellett a vírus olyan országokat is érintett, mint Oroszország, Spanyolország, Nagy-Britannia, Franciaország, Litvánia.

Távolítsa el a Petya és Mischa vírust automatikus tisztítóval

Rendkívül hatékony módszer általában a rosszindulatú programok és különösen a zsarolóprogramok kezelésére. A bevált biztonsági komplexum alkalmazása garantálja az esetleges víruskomponensek, azok kimutatásának alaposságát teljes eltávolítása egy kattintással. Felhívjuk figyelmét, hogy két különböző folyamatról beszélünk: a fertőzés eltávolításáról és a fájlok visszaállításáról a számítógépen. A fenyegetést azonban mindenképpen el kell távolítani, hiszen más számítógépes trójaiak bevezetéséről is van információ a segítségével.

  1. . A szoftver elindítása után kattintson a gombra Indítsa el a Computer Scan(Indítsa el a szkennelést).
  2. A telepített szoftver jelentést ad a vizsgálat során észlelt fenyegetésekről. Az összes talált fenyegetés eltávolításához válassza a lehetőséget Fenyegetések javítása(Eltávolítsák azokat a fenyegetéseket). A szóban forgó rosszindulatú program teljesen eltávolításra kerül.

A titkosított fájlokhoz való hozzáférés visszaállítása

Mint már említettük, a Mischa ransomware erős titkosítási algoritmussal zárolja a fájlokat, így a titkosított adatokat nem lehet újra megnyitni egy ellopással. varázspálca- ha nem veszi figyelembe a hallatlan váltságdíj befizetését (néha akár 1000 USD-t is). De bizonyos módszerek valóban életmentővé válhatnak, amelyek segítenek visszaállítani a fontos adatokat. Az alábbiakban megismerkedhet velük.

Automatikus fájlhelyreállító program (dekódoló)

Egy nagyon szokatlan körülmény ismert. Ez a fertőzés elpusztítja forrás fájlok titkosítatlan formában. A zsaroló titkosítási eljárás tehát ezek másolatait veszi célba. Ez lehetőséget ad az ilyenekre szoftver eszközök hogyan lehet visszaállítani a törölt objektumokat, még akkor is, ha az eltávolításuk megbízhatósága garantált. Erősen ajánlott a fájl-helyreállítási eljárás igénybevétele, hatékonysága kétségtelen.

Kötet árnyékmásolatok

A megközelítés a Windows eljáráson alapul Tartalékmásolat fájlokat, ami minden visszaállítási pontban megismétlődik. Fontos feltétel Ahhoz, hogy ez a módszer működjön: a „Rendszer-visszaállítás” funkciót a fertőzés előtt aktiválni kell. A visszaállítási pont után a fájlban végrehajtott módosítások azonban nem jelennek meg a fájl visszaállított verziójában.

biztonsági mentés

Ez a legjobb az összes nem vásárlási módszer közül. Ha az adatok külső szerverre történő biztonsági mentésének eljárását alkalmazták, mielőtt a ransomware megtámadta volna a számítógépét, a titkosított fájlok visszaállításához egyszerűen be kell lépnie a megfelelő felületre, ki kell választania a szükséges fájlokat, és el kell indítania az adat-helyreállítási mechanizmust a biztonsági másolatból. A művelet végrehajtása előtt meg kell győződnie arról, hogy a zsarolóprogramot teljesen eltávolította.

Ellenőrizze, hogy vannak-e esetleges maradék Petya és Mischa ransomware komponensek

A kézi tisztítás azzal a kockázattal jár, hogy eltűnnek a zsarolóprogramok, amelyek elkerülhetik az operációs rendszer rejtett objektumai vagy a rendszerleíró bejegyzések formájában való eltávolítását. Az egyes rosszindulatú elemek részleges megőrzésének kockázatának kiküszöbölése érdekében ellenőrizze számítógépét egy megbízható, rosszindulatú szoftverekre specializálódott biztonsági szoftvercsomag segítségével.

Május elején több mint 150 országban mintegy 230 000 számítógép fertőződött meg ransomware-rel. Mielőtt az áldozatoknak idejük lett volna felszámolniuk ennek a támadásnak a következményeit, egy új támadás következett - Petya néven. A legnagyobb ukrán és orosz cégek, valamint állami intézmények szenvedtek tőle.

Az ukrán kiberrendőrség megállapította, hogy a vírus támadása az adóbevallások elkészítésére és küldésére szolgáló M.E.Doc könyvelőszoftver frissítési mechanizmusán keresztül indult. Így vált ismertté, hogy a Bashneft, a Rosneft, a Zaporozhyeoblenergo, a Dneproenergo és a Dnyeper villamosenergia-rendszer hálózatai nem kerülték el a fertőzést. Ukrajnában a vírus behatolt a kormányzati számítógépekbe, a kijevi metró számítógépeibe, a távközlési szolgáltatókba, sőt a csernobili atomerőműbe is. Oroszországban a Mondelez International, a Mars és a Nivea szenvedett.

A Petya vírus kihasználja az EternalBlue sebezhetőségét a műtőben Windows rendszer. A Symantec és az F-Secure szakértői azt mondják, hogy bár a Petya titkosítja az adatokat, mint a WannaCry, ez némileg eltér más típusú zsarolóprogramoktól. "Petya vírusa az az újfajta rosszindulatú ransomware: nem csak a lemezen lévő fájlokat titkosítja, hanem blokkolja a teljes lemezt, ami gyakorlatilag használhatatlanná teszi – magyarázza az F-Secure. "Különösen az MFT főfájltáblázatát titkosítja."

Hogyan történik ez, és megelőzhető-e ez a folyamat?

Petya vírus – hogyan működik?

A Petya vírus más néven is ismert: Petya.A, PetrWrap, NotPetya, ExPetr. A számítógépbe kerülve letölti az internetről a zsarolóprogramot, és megpróbálja eltalálni egy részét merevlemez a számítógép indításához szükséges adatokkal. Ha sikerül, akkor a rendszer hibája kék képernyő halál (" kék képernyő halál"). Újraindítás után megjelenik egy üzenet kemény lemezt, amely arra kéri, hogy ne kapcsolja ki a készüléket. Így a ransomware vírus úgy tesz, mintha az lenne rendszerprogram a lemez ellenőrzésével, miközben bizonyos kiterjesztésű fájlokat titkosít. A folyamat végén megjelenik egy üzenet a számítógép zárolásáról, valamint arról, hogyan szerezhet be digitális kulcsot az adatok visszafejtéséhez. A Petya vírus váltságdíjat követel, általában bitcoinban. Ha az áldozat nem rendelkezik biztonsági másolattal a fájlokról, választás előtt áll - 300 dollárt fizet, vagy elveszíti az összes információt. Egyes elemzők szerint a vírus csak ransomware-nek álcázza magát, valódi célja pedig az, hogy hatalmas károkat okozzon.

Hogyan lehet megszabadulni Petyától?

A szakértők megállapították, hogy a Petya vírus keresi helyi fájlés ha ez a fájl már létezik a lemezen, kilép a titkosítási folyamatból. Ez azt jelenti, hogy a felhasználók megvédhetik számítógépüket a zsarolóvírusoktól, ha létrehozzák ezt a fájlt, és írásvédettre állítják.

Noha ez a ravasz séma megakadályozza a zsarolási folyamat elindítását, ez a módszer inkább "számítógépes oltásnak" tekinthető. Így a felhasználónak magának kell létrehoznia a fájlt. Ezt a következő módon teheti meg:

  • Először a fájlkiterjesztéssel kell foglalkoznia. Győződjön meg arról, hogy a "Mappabeállítások" ablakban az "Ismert fájltípusok kiterjesztésének elrejtése" jelölőnégyzet nincs bejelölve.
  • Nyissa meg a C:\Windows mappát, görgessen lefelé, amíg meg nem jelenik a notepad.exe program.
  • Kattintson a bal egérgombbal a notepad.exe fájlra, majd nyomja meg a Ctrl + C billentyűket a másoláshoz, majd a Ctrl + V billentyűket a fájl beillesztéséhez. Engedélyt kell kérnie a fájl másolásához.
  • Kattintson a "Folytatás" gombra, és a fájl jegyzettömbként jön létre - Copy.exe. Kattintson a bal egérgombbal erre a fájlra, nyomja meg az F2 billentyűt, majd törölje a Copy.exe fájl nevét, és írja be a perfc parancsot.
  • Miután megváltoztatta a fájl nevét perfc-re, nyomja meg az Enter billentyűt. Erősítse meg az átnevezést.
  • Most, hogy a perfc fájlt létrehoztuk, csak olvashatóvá kell tennünk. Ehhez kattintson a gombra Jobb klikk vigye az egeret a fájl fölé, és válassza a "Tulajdonságok" lehetőséget.
  • Megnyílik a fájl tulajdonságainak menüje. Alul a „Csak olvasható” felirat látható. Jelölje be a négyzetet.
  • Most kattintson az "Alkalmaz" gombra, majd az "OK" gombra.

Egyes biztonsági szakértők azt javasolják, hogy a C:\Windows\perfc.dat és C:\Windows\perfc.dll fájlok mellett hozzon létre C:\Windows\perfc.dll fájlokat a Petya vírus elleni jobb védelem érdekében. A fenti lépéseket megismételheti ezeknél a fájloknál.

Gratulálunk, számítógépe védett a NotPetya / Petya ellen!

A Symantec szakértői tanácsot adnak a PC-felhasználóknak, hogy megakadályozzák őket abban, hogy olyan dolgokat tegyenek, amelyek fájlok zárolásához vagy pénzvesztéshez vezethetnek.

  1. Ne fizessen pénzt a csalóknak. Még ha pénzt is utal át ransomware-nek, nincs garancia arra, hogy újra hozzáférhet a fájljaihoz. Ez pedig a NotPetya / Petya esetében lényegében értelmetlen, mert a titkosító célja az adatok megsemmisítése, nem a pénzszerzés.
  2. Ügyeljen arra, hogy rendszeresen alkosson biztonsági mentések adat. Ebben az esetben még akkor is, ha a számítógépe zsarolóvírus-támadás célpontjává válik, vissza tudja állítani a törölt fájlokat.
  3. Ne nyissa e-maileket megkérdőjelezhető címekkel. A támadók megpróbálják rávenni Önt rosszindulatú programok telepítésére, vagy megpróbálnak fontos támadási adatokat szerezni. Feltétlenül értesítse az informatikai szakembereket, ha Ön vagy alkalmazottai gyanús e-maileket vagy linkeket kapnak.
  4. Használjon megbízható szoftvert. Fontos szerepet játszik a számítógépek fertőzésekkel szembeni védelmében időszerű frissítés vírusellenes szerek. És természetesen ezen a területen jó hírű cégek termékeit kell használni.
  5. Használjon mechanizmusokat a spam üzenetek ellenőrzésére és blokkolására. A bejövő e-maileket meg kell vizsgálni fenyegetések szempontjából. Fontos, hogy minden olyan típusú üzenet, amely hivatkozásokat tartalmaz, vagy tipikus kulcsszavakat adathalászat.
  6. Győződjön meg arról, hogy minden program naprakész. A fertőzések megelőzése érdekében elengedhetetlen a szoftver sebezhetőségeinek rendszeres javítása.

Új támadásokra kell számítanunk?

A Petya vírus először 2016 márciusában jelent meg, és a biztonsági szakértők azonnal felfigyeltek viselkedésére. Új vírus Petya 2017 júniusának végén került számítógépekhez Ukrajnában és Oroszországban. De ennek nem valószínű, hogy vége lesz. Sztanyiszlav Kuznyecov, a Sberbank igazgatótanácsának alelnöke elmondta, hogy a Petya-hoz és a WannaCry-hez hasonló ransomware vírusokat használó hackertámadások megismétlődnek. A TASS-nak adott interjújában arra figyelmeztetett, hogy biztosan lesznek ilyen támadások, de nehéz előre megjósolni, hogy milyen formában és formában jelenhetnek meg.

Ha a múltbeli kibertámadások után még nem tett meg legalább minimális lépéseket számítógépe titkosítási vírus elleni védelmére, akkor ideje nekilátni.

A vírusok az operációs rendszer ökoszisztémájának szerves részét képezik. A legtöbb esetben Windowsról és Androidról beszélünk, ha pedig teljesen balszerencsés vagy, akkor OS X-ről és Linuxról. Sőt, ha korábban a tömeges vírusok csak személyes adatok ellopását, és a legtöbb esetben egyszerűen fájlok megrongálását célozták, most a titkosítók „uralják a labdát”.


És ez nem meglepő - mind a PC-k, mind az okostelefonok számítási teljesítménye lavinaszerűen nőtt, ami azt jelenti, hogy az ilyen "csínyek" hardvere egyre erősebb.

Néhány évvel ezelőtt a szakértők felfedezték a Petya vírust. A G DATA SecurityLabs kiderítette, hogy a vírusnak adminisztrátori hozzáférésre van szüksége a rendszerhez, miközben nem titkosítja a fájlokat, csak blokkolja a hozzáférést. A mai naptól kezdve a Petya eszközei (Win32.Trojan-Ransom.Petya.A‘) már léteznek. A vírus maga módosítja a rendszerindító rekordot a rendszermeghajtón, és a számítógép összeomlását okozza, és egy üzenetet jelenít meg a lemezen lévő adatsérülésről. Valójában ez csak titkosítás.

A kártevő fejlesztői fizetést követeltek a hozzáférés visszaállításáért.


A mai napig azonban a Petya vírus mellett egy még kifinomultabb is megjelent - Misha. Nem igényel rendszergazdai jogokat, és titkosítja az adatokat, mint egy klasszikus Ransomware, létrehozva a YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájlokat lemezen vagy titkosított adatokat tartalmazó mappában. Utasításokat tartalmaznak a kulcs beszerzéséhez, amelynek ára körülbelül 875 dollár.

Fontos megjegyezni, hogy a fertőzés e-mailen keresztül történik, amely pdf-dokumentumnak álcázott exe fájlt kap a vírusokkal. És itt kell ismét emlékeztetni - gondosan ellenőrizze a csatolt fájlokkal ellátott leveleket, és ne próbáljon meg dokumentumokat letölteni az internetről, mivel most egy vírus vagy egy rosszindulatú makró beágyazható egy doc fájlba vagy egy weboldalba.

Azt is megjegyezzük, hogy eddig nem léteztek segédprogramok a Misha vírus "munkájának" visszafejtésére.



Betöltés...
Top