Түүний хийдэг зүйлд вирусууд миша. Украины Ерөнхийлөгчийн нэрэмжит шинэ Petya ransomware - шинжээч

Зургийн зохиогчийн эрх PAЗургийн тайлбар Шинэ ransomware-тэй тэмцэх нь WannaCry-ээс илүү хэцүү гэж шинжээчид үзэж байна

6-р сарын 27-нд ransomware нь дэлхийн олон арван компанийн компьютеруудыг хааж, файлуудыг шифрлэсэн байна.

Украины компаниуд хамгийн их хохирол амссан гэж мэдээлсэн - вирус нь томоохон компаниуд, төрийн байгууллагууд, дэд бүтцийн байгууламжуудын компьютерт халдсан.

Файлын шифрийг тайлахын тулд вирус хохирогчдоос биткойноор 300 доллар төлөхийг шаарддаг.

Шинэ аюул заналхийллийн талаарх гол асуултуудад ВВС-ийн орос үйлчилгээ хариулж байна.

Хэн гэмтсэн бэ?

Вирусын тархалт Украинд эхэлсэн. Борисполь нисэх онгоцны буудал, Укренергогийн зарим бүс нутгийн хэлтэс, сүлжээ дэлгүүрүүд, банкууд, хэвлэл мэдээлэл, харилцаа холбооны компаниуд өртсөн байна. Украины засгийн газрын компьютерууд мөн унтарчээ.

Үүний дараа Оросын компаниудын ээлж ирсэн: Роснефть, Башнефть, Монделез Интернэшнл, Марс, Нивеа болон бусад компаниуд мөн вирусын золиос болсон.

Вирус хэрхэн ажилладаг вэ?

Мэргэжилтнүүд шинэ вирусын гарал үүслийн талаар нэгдсэн ойлголтод хүрээгүй байна. Group-IB болон Positive Technologies үүнийг 2016 оны Петя вирусын хувилбар гэж үздэг.

"Энэхүү ransomware нь хакердах арга техник, хэрэгслүүд, системийн удирдлагын стандарт хэрэгслүүдийг хоёуланг нь ашигладаг" гэж Аюултай тэмцэх албаны дарга тайлбарлав. мэдээллийн нууцлалЭерэг технологи Эльмар Набигаев. - Энэ бүхэн нь сүлжээн доторх өндөр тархалт, тархалтын нийт шинж чанарыг баталгаажуулдаг (дор хаяж нэг нь бол). Хувийн компьютер). Үүний үр дүнд компьютер болон мэдээллийн шифрлэлт бүрэн ажиллахгүй байна."

Румыний Bitdefender компани нь Алтан нүдтэй вирустэй илүү төстэй зүйл олж хардаг бөгөөд энэ нь Петя-г Миша хэмээх өөр хортой програмтай хослуулдаг. Сүүлчийн давуу тал нь файлуудыг шифрлэхийн тулд ирээдүйн хохирогчоос администраторын эрхийг шаарддаггүй, харин тэдгээрийг өөрөө гаргаж авдаг.

Брайан Кэмпбелл Fujitsu болон бусад олон мэргэжилтнүүд шинэ вирус нь АНУ-ын Үндэсний аюулгүй байдлын агентлагаас хулгайлагдсан EternalBlue программыг өөрчилсөн гэж үзэж байна.

2017 оны 4-р сард The ​​Shadow Brokers хакерууд энэхүү программыг нийтлэсний дараа түүний үндсэн дээр үүсгэсэн WannaCry ransomware вирус дэлхий даяар тархсан.

Windows-ийн эмзэг байдлыг ашиглан энэ програм нь вирусыг корпорацийн сүлжээний бүх компьютерт тархах боломжийг олгодог. Жинхэнэ Петя нь анкет нэрийн дор цахим шуудангаар илгээгдсэн бөгөөд зөвхөн анкет нээсэн компьютерт халдварлах боломжтой байв.

Kaspersky Lab-д Интерфакс агентлагт мэдээлснээр ransomware вирус нь урьд өмнө мэдэгдэж байсан хортой програмын гэр бүлд хамаарахгүй. програм хангамж.

"Касперскийн лабораторийн програм хангамжийн бүтээгдэхүүнүүд энэ хортой програмыг UDS:DangeroundObject.Multi.Generic гэж илрүүлдэг" гэж Касперскийн лабораторийн вирусын эсрэг судалгааны албаны дарга Вячеслав Закоржевский хэлэв.

Ерөнхийдөө, хэрэв та шинэ вирусыг орос нэрээр нэрлэвэл энэ нь хэд хэдэн вирусээс угсардаг тул гаднах байдал нь Франкенштейн мангастай төстэй гэдгийг санах хэрэгтэй. хортой програм. Вирус 2017 оны 6-р сарын 18-нд төрсөн нь тодорхой болсон.

Зургийн тайлбар Файлын шифрийг тайлж, компьютерийн түгжээг тайлахад вирус 300 доллар шаарддаг

WannaCry-ээс дээр үү?

WannaCry 2017 оны 5-р сард түүхэн дэх хамгийн том кибер халдлагын статуст хүрэхэд хэдхэн хоног зарцуулсан. Гүйцэх үү шинэ ransomware вирустүүний сүүлийн үеийн өмнөх үү?

Нэг өдөр хүрэхгүй хугацаанд халдагчид хохирогчдоос 2.1 биткойн буюу 5000 орчим доллар хүлээн авсан байна. WannaCry мөн хугацаанд 7 биткойн цуглуулжээ.

Үүний зэрэгцээ Positive Technologies-ийн Эльмар Набигаевын хэлснээр шинэ хулгайчтай тэмцэх нь илүү хэцүү юм.

"[Windows дахь эмзэг байдал] ашиглахаас гадна энэ аюул нь хэрэглэгчийн бүртгэлийг ашиглан тархдаг үйлдлийн системүүдтусгай хакерын хэрэгслийн тусламжтайгаар хулгайлсан" гэж шинжээч тэмдэглэв.

Вирустай хэрхэн харьцах вэ?

Урьдчилан сэргийлэх арга хэмжээний хувьд мэргэжилтнүүд үйлдлийн системийн шинэчлэлтүүдийг цаг тухайд нь суулгаж, цахим шуудангаар хүлээн авсан файлуудыг шалгахыг зөвлөж байна.

Нарийвчилсан администраторуудад серверийн мессежийн блок (SMB) сүлжээний холбооны протоколыг түр идэвхгүй болгохыг зөвлөж байна.

Хэрэв компьютерууд халдвар авсан бол ямар ч тохиолдолд халдагчид төлөхгүй. Тэд төлбөрөө авахдаа файлын кодыг тайлж, илүү ихийг шаардахгүй гэх баталгаа байхгүй.

Шифр тайлагчийг хүлээх л үлдлээ: WannaCry-ийн хувьд Францын Quarkslab компанийн мэргэжилтэн Адриен Гугнет үүнийг бүтээхэд долоо хоног зарцуулсан.

Анхны ДОХ-ын ransomware (PC Cyborg)-ийг биологич Жозеф Попп 1989 онд бичсэн. Тэрээр лавлах болон шифрлэгдсэн файлуудыг нууж, 189 доллар шаардсан" лицензийг сунгах" Панам дахь данс руу. Попп өөрийн оюун санаагаа уян диск ашиглан энгийн шуудангаар тарааж, нийтдээ 20 мянга орчим болжээ.эсявах. Попп чекээ мөнгө болгох гэж байгаад баривчлагдсан боловч шүүхээс мултарч, 1991 онд түүнийг галзуу гэж зарлав.

6-р сарын 27-ны Мягмар гарагт Украйн ба Оросын компаниудасар их хэмжээний вирусын халдлага болсон тухай мэдээлсэн: аж ахуйн нэгжүүдийн компьютерууд золиослохыг шаардсан мессежийг харуулсан. Хакеруудын улмаас дахин хэн хохирч, чухал мэдээллийг хулгайлахаас өөрсдийгөө хэрхэн хамгаалахаа би олж мэдэв.

Петр, хангалттай

Эрчим хүчний салбар хамгийн түрүүнд халдлагад өртсөн: Украины Укренерго, Киевэнерго компаниуд вирусын талаар гомдолложээ. Халдагчид тэднийг саа болгов компьютерийн системүүд, гэхдээ энэ нь цахилгаан станцуудын тогтвортой байдалд нөлөөлсөнгүй.

Украинчууд халдварын үр дагаврыг сүлжээнд нийтэлж эхлэв: олон тооны зургуудаас харахад компьютерууд ransomware вирусын халдлагад өртсөн байна. Нөлөөлөлд өртсөн төхөөрөмжүүдийн дэлгэц дээр бүх өгөгдөл шифрлэгдсэн гэсэн мессеж гарч ирсэн бөгөөд төхөөрөмжийн эзэмшигчид биткойноор 300 долларын золиос төлөх шаардлагатай болсон. Үүний зэрэгцээ хакерууд идэвхгүй болсон тохиолдолд мэдээлэлд юу тохиолдохыг хэлээгүй бөгөөд WannaCry вирусын дайралттай адил өгөгдлийг устгаж дуустал цаг тоологч хүртэл тавиагүй байна.

Украйны Үндэсний банк (NBU) вирусын улмаас хэд хэдэн банкны ажил хэсэгчлэн саатсан гэж мэдэгдэв. Украины хэвлэл мэдээллийн хэрэгслүүдийн мэдээлснээр халдлагад Осчадбанк, Укрсоцбанк, Укргасбанк, Приватбанкны оффисууд өртсөн байна.

халдвар авсан байсан компьютерийн сүлжээнүүд"Укртелеком", "Бориспол" нисэх онгоцны буудал, "Укрпошта", " Шинэ шуудан”, “Киевводоканал” болон Киевийн метро. Үүнээс гадна вирус Украины үүрэн холбооны операторууд болох Kyivstar, Vodafone, Lifecell компаниудад нэрвэгдсэн байна.

Дараа нь Украины хэвлэл мэдээллийн хэрэгслүүд үүнийг Petya.A хортой програм гэж тодотгосон. Үүнийг хакеруудын ердийн схемийн дагуу тараадаг: дамми хүмүүсээс фишинг имэйлийг хохирогчдод илгээж, суулгагдсан холбоосыг нээхийг хүсдэг. Үүний дараа вирус компьютерт нэвтэрч, файлуудыг шифрлэж, шифрлэлтийг нь тайлах төлбөрийг шаарддаг.

Хакерууд мөнгө шилжүүлэх ёстой биткойн түрийвчнийхээ дугаарыг зааж өгсөн байна. Гүйлгээний талаарх мэдээллээс харахад хохирогчид аль хэдийн 1.2 биткойн (168 мянга гаруй рубль) шилжүүлсэн байна.

Групп-IB-ийн мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн мэдээлснээр халдлагад 80 гаруй компани өртсөн байна. Тэдний гэмт хэргийн лабораторийн дарга уг вирус нь WannaCry-тэй холбоогүй гэж тэмдэглэжээ. Асуудлыг засахын тулд тэрээр TCP 1024–1035, 135, 445 портуудыг хаахыг зөвлөсөн.

Хэн буруутай юм

Тэрээр халдлагыг Орос эсвэл Донбассын нутаг дэвсгэрээс зохион байгуулсан гэж яаран таамаглаж байсан ч ямар ч нотлох баримт өгөөгүй байна. Украины Дэд бүтцийн сайд харсан"вирус" гэсэн үгээр сануулж, өөрийн фэйсбүүк дээрээ "Энэ нь RUS хэлээр төгссөн нь тохиолдлын зүйл биш" гэж бичээд нүд ирмэх эмотиконоор таамаглалаа.

Үүний зэрэгцээ тэрээр энэхүү халдлага нь одоо байгаа Петя, Миша гэгддэг "хорлонтой програм"-тай ямар ч холбоогүй гэж мэдэгджээ. Аюулгүй байдлын албаныхан шинэ давалгаа зөвхөн Украин, Оросын компаниуд төдийгүй бусад орны аж ахуйн нэгжүүдийг хамарсан гэж мэдэгджээ.

Гэсэн хэдий ч интерфэйсийн хувьд одоогийн "хорлонтой програм" нь хэдэн жилийн өмнө фишинг холбоосоор тархсан алдартай Петя вирустай төстэй юм. 12-р сарын сүүлээр Petya болон Mischa ransomware-г үүсгэсэн үл мэдэгдэх хакер нь GoldenEye хэмээх суулгагдсан вирус бүхий цахим шуудан илгээж эхэлсэн. өмнөх хувилбаруудкриптографчид.

Боловсон хүчний хэлтэст ихэвчлэн ирдэг ердийн захидлын хавсралт нь хуурамч нэр дэвшигчийн тухай мэдээллийг агуулсан байв. Файлуудын аль нэгэнд нь хураангуй, дараагийнх нь вирус суулгагчийг олох боломжтой. Дараа нь халдлагын гол бай нь Герман дахь компаниуд байв. Өдрийн турш Германы компанийн 160 гаруй ажилтан урхинд орсон байна.

Хакерыг тооцоолох боломжгүй байсан ч Бондын шүтэн бишрэгч гэдэг нь илт. Петя, Миша хөтөлбөрүүд нь хуйвалдааны дагуу цахилгаан соронзон зэвсэг байсан "Алтан нүд" киноны Оросын "Петя", "Миша" хиймэл дагуулуудын нэр юм.

Петягийн анхны хувилбар 2016 оны 4-р сард идэвхтэй тарааж эхэлсэн. Тэрээр компьютер дээр өөрийгөө чадварлаг хувиргаж, хууль ёсны программын дүрд хувирч, администраторын өргөтгөсөн эрхийг хүсчээ. Идэвхжүүлсний дараа хөтөлбөр нь маш түрэмгий зан авир гаргасан: золиос төлөх хатуу хугацааг тогтоож, 1.3 биткойн шаардсан бөгөөд эцсийн хугацаа дууссаны дараа мөнгөн нөхөн олговрыг хоёр дахин нэмэгдүүлсэн.

Үнэн бол Twitter хэрэглэгчдийн нэг нь хурдан олдсон сул талууд ransomware болон үүсгэсэн энгийн програм, энэ нь долоон секундын дотор компьютерийн түгжээг тайлж, бүх өгөгдлийг ямар ч үр дагаваргүйгээр тайлах боломжийг олгодог түлхүүрийг бий болгосон.

Эхний удаа биш

Тавдугаар сарын дундуур дэлхий даяарх компьютерууд WannaCry гэгддэг WannaCrypt0r 2.0 гэсэн ижил төстэй ransomware вирусын халдлагад өртжээ. Хэдхэн цагийн дотор тэрээр хэдэн зуун мянган ажилчдын хөдөлмөрийг саатуулжээ Windows төхөөрөмжүүд 70 гаруй оронд. Хохирогчдын дунд Оросын хууль сахиулах байгууллагууд, банкууд болон гар утасны операторууд. Хохирогчийн компьютер дээр нэг удаа вирус шифрлэгдсэн байна HDDмөн халдагчдад 300 доллар биткойн илгээхийг шаардсан байна. Тусгал хийхэд гурван өдөр хуваарилагдсан бөгөөд үүний дараа дүнг хоёр дахин нэмэгдүүлж, долоо хоногийн дараа файлуудыг үүрд шифрлэв.

Гэсэн хэдий ч хохирогчид золиосыг шилжүүлэх гэж яарсангүй бөгөөд "хорлонтой програм" -ыг бүтээгчид

Хэдэн сарын өмнө бид болон мэдээллийн технологийн бусад мэргэжилтнүүд шинэ хортой програм илрүүлсэн. Петя (Win32.Trojan-Ransom.Petya.A). Сонгодог утгаараа энэ нь ransomware биш байсан бөгөөд вирус зүгээр л тодорхой төрлийн файлд хандах хандалтыг хааж, золиос шаарддаг. Вирус өөрчлөгдсөн ачаалах бичлэгхатуу диск дээр компьютерээ хүчээр дахин ачаалж, "өгөгдөл шифрлэгдсэн байна - шифрийг тайлахын тулд мөнгөө жолоодоорой" гэсэн мессеж гарч ирэв. Ерөнхийдөө ransomware вирусын стандарт схем нь файлууд нь үнэхээр шифрлэгдсэнгүй. Ихэнх алдартай вирусны эсрэг програмууд гарч ирснээс хойш хэдхэн долоо хоногийн дотор Win32.Trojan-Ransom.Petya.A-г тодорхойлж, устгаж эхэлсэн. Үүнээс гадна гараар зайлуулах заавар байдаг. Петя яагаад сонгодог ransomware биш гэж бид бодож байна вэ? Энэ вирус нь Мастер ачаалах бичлэгт өөрчлөлт оруулж, үйлдлийн системийг ачаалахаас сэргийлж, Мастер файлын хүснэгтийг (мастер файлын хүснэгт) шифрлэдэг. Энэ нь файлуудыг өөрөө шифрлэдэггүй.

Гэсэн хэдий ч хэдхэн долоо хоногийн өмнө илүү боловсронгуй вирус гарч ирэв. Миша, ижил луйварчид бичсэн бололтой. Энэ вирус нь файлуудыг шифрлэдэг бөгөөд код тайлахад 500-875 доллар төлөх шаардлагатай. өөр өөр хувилбарууд 1.5 - 1.8 биткойн). "Шифр тайлах" зааварчилгаа болон төлбөрийн төлбөр нь YOUR_FILES_ARE_ENCRYPTED.HTML болон YOUR_FILES_ARE_ENCRYPTED.TXT файлд хадгалагдана.

Mischa вирус - YOUR_FILES_ARE_ENCRYPTED.HTML файлын агуулга

Одоо үнэндээ хакерууд хэрэглэгчдийн компьютерт Петя, Миша гэсэн хоёр хортой програмаар халдварладаг. Эхнийх нь систем дэх администраторын эрхийг шаарддаг. Өөрөөр хэлбэл, хэрэв хэрэглэгч Петяд админ эрх өгөхөөс татгалзвал эсвэл энэ хортой програмыг гараар устгавал Миша үүнд оролцдог. Энэ вирус нь администраторын эрх шаарддаггүй, энэ нь сонгодог ransomware бөгөөд Мастер ачаалах бичлэг болон хохирогчийн хатуу диск дээрх файлын хүснэгтэд ямар ч өөрчлөлт оруулахгүйгээр хүчирхэг AES алгоритм ашиглан файлуудыг шифрлэдэг.

Mischa хортой програм нь стандарт файлын төрлийг (видео, зураг, танилцуулга, баримт бичиг) төдийгүй .exe файлуудыг шифрлэдэг. Вирус нь зөвхөн \Windows, \$Recycle.Bin, \Microsoft, \ лавлахуудад нөлөөлөхгүй. Mozilla Firefox, \Дуурь, \ Internet Explorer, \Temp, \Local, \LocalLow, \Chrome.

Халдвар нь голчлон дамждаг имэйл, хавсаргасан файлын хамт захидал ирдэг - вирус суулгагч. Үүнийг Татварын албанаас, нягтлан бодогчоос ирүүлсэн захидал, хавсаргасан баримт, худалдан авалтын баримт гэх мэтээр шифрлэж болно. Ийм үсгээр бичигдсэн файлын өргөтгөлүүдэд анхаарлаа хандуулаарай - хэрэв энэ нь гүйцэтгэгдэх файл бол (.exe) бол Petya\Mischa вирустай сав байх магадлал өндөр. Хэрэв хортой програмыг шинэчилсэн бол таны антивирус хариу үйлдэл үзүүлэхгүй байж магадгүй юм.

2017 оны 06/30 шинэчлэл: 6-р сарын 27, Петя вирусын өөрчлөгдсөн хувилбар (Петя.А)Украин дахь хэрэглэгчид рүү асар их халдлага үйлдсэн. Энэ халдлагын үр дагавар асар их байсан бөгөөд эдийн засгийн хохирлыг хараахан тооцоогүй байна. Нэг өдрийн дотор олон арван банк, худалдааны сүлжээ, төрийн байгууллагуудболон өмчийн янз бүрийн хэлбэрийн аж ахуйн нэгжүүд. Вирус нь Украины нягтлан бодох бүртгэлийн MeDoc системийн хамгийн сүүлийн үеийн эмзэг байдлаас болж тархсан автомат шинэчлэлтэнэ програм хангамж. Үүнээс гадна Орос, Испани, Их Британи, Франц, Литва зэрэг орнуудад вирус өртсөн.

Петя, Миша вирусыг автомат цэвэрлэгчээр устгана

Ерөнхийдөө хортой програм, ялангуяа ransomware-тэй тэмцэх маш үр дүнтэй арга. Батлагдсан аюулгүй байдлын цогцолборыг ашиглах нь аливаа вирусын бүрэлдэхүүн хэсгүүдийг илрүүлэх, тэдгээрийн бүрэн арилгахнэг товшилтоор. Бид халдварыг устгах, компьютер дээрээ файлуудыг сэргээх гэсэн хоёр өөр процессын тухай ярьж байгааг анхаарна уу. Гэсэн хэдий ч түүний тусламжтайгаар бусад компьютерийн троянуудыг нэвтрүүлэх тухай мэдээлэл байгаа тул аюулыг арилгах шаардлагатай байна.

  1. . Програм хангамжийг ажиллуулсны дараа товчлуур дээр дарна уу Компьютерийн сканыг эхлүүлнэ үү(Скан хийж эхлэх).
  2. Суулгасан програм хангамж нь сканнердах явцад илэрсэн аюулын талаар тайлан гаргах болно. Олдсон бүх аюулыг арилгахын тулд сонголтыг сонгоно уу Аюул занал засах(Аюул заналхийллийг арилгах). Тухайн хортой програмыг бүрэн устгах болно.

Шифрлэгдсэн файлуудын хандалтыг сэргээх

Өмнө дурьдсанчлан Mischa ransomware нь файлуудыг хүчтэй шифрлэлтийн алгоритмаар түгждэг тул шифрлэгдсэн өгөгдлийг шударснаар дахин нээх боломжгүй. шидэт саваа- хэрэв та урьд өмнө байгаагүй золиосны төлбөрийг тооцохгүй бол (заримдаа 1000 доллар хүртэл). Гэхдээ зарим аргууд нь чухал мэдээллийг сэргээхэд тань туслах аврагч болж чадна. Доор та тэдэнтэй танилцаж болно.

Автомат файл сэргээх програм (шифр тайлагч)

Маш ер бусын нөхцөл байдал мэдэгдэж байна. Энэ халдвар нь устгадаг эх файлуудшифрлэгдээгүй хэлбэрээр. Хөдөлгөөнт шифрлэлтийн процесс нь тэдний хуулбарыг онилдог. Энэ нь ийм боломжийг олгодог програм хангамжийн хэрэгслүүдустгасан объектыг устгах найдвартай байдал баталгаатай байсан ч хэрхэн сэргээх талаар. Файл сэргээх процедурт хандахыг зөвлөж байна, түүний үр нөлөө нь эргэлзээгүй юм.

Эзлэхүүн сүүдрийн хуулбар

Энэ арга нь Windows үйлдлийн систем дээр суурилдаг Нөөц хуулбарсэргээх цэг бүрт давтагддаг файлууд. Чухал нөхцөлЭнэ аргыг ажиллуулахын тулд: "Системийг сэргээх" функцийг халдвар авахаас өмнө идэвхжүүлсэн байх ёстой. Гэхдээ сэргээх цэгийн дараа файлд хийсэн аливаа өөрчлөлт нь файлын сэргээгдсэн хувилбарт тусгагдахгүй.

Нөөц

Энэ нь худалдан авахгүй бүх аргуудаас хамгийн шилдэг нь юм. Хэрэв ransomware таны компьютерт халдахаас өмнө гадны серверт өгөгдлийг нөөцлөх процедурыг ашигласан бол шифрлэгдсэн файлуудыг сэргээхийн тулд та тохирох интерфэйсийг оруулж, шаардлагатай файлуудыг сонгож, нөөцөөс өгөгдөл сэргээх механизмыг эхлүүлэх хэрэгтэй. Үйл ажиллагаа явуулахын өмнө ransomware бүрэн устгагдсан эсэхийг шалгах хэрэгтэй.

Petya болон Mischa ransomware-ийн бүрэлдэхүүн хэсгүүдийн үлдэгдэл байгаа эсэхийг шалгана уу

Гар аргаар цэвэрлэх нь үйлдлийн системийн далд объект эсвэл бүртгэлийн бичилт хэлбэрээр устгахаас зайлсхийж болох ransomware-ийн хэсгүүдийг алдах эрсдэлтэй байдаг. Бие даасан хортой элементүүдийг хэсэгчлэн хадгалах эрсдэлийг арилгахын тулд хортой програм дээр мэргэшсэн найдвартай хамгаалалтын програм хангамжийн багцыг ашиглан компьютерээ сканнердах хэрэгтэй.

Тавдугаар сарын эхээр дэлхийн 150 гаруй орны 230,000 орчим компьютер ransomware-ийн халдвар авсан байна. Хохирогчид энэхүү халдлагын үр дагаврыг арилгах цаг гарахаас өмнө Петя хэмээх шинэ хүн гарч ирэв. Үүнээс Украин, Оросын томоохон компаниуд, төрийн байгууллагууд хохирсон.

Украйны кибер цагдаа нар вирусын халдлага татварын тайлан бэлтгэх, илгээхэд ашигладаг нягтлан бодох бүртгэлийн M.E.Doc программ хангамжийг шинэчлэх механизмаар эхэлсэн болохыг тогтоожээ. Тиймээс "Башнефть", "Роснефть", "Запорожьеобленерго", "Днепроэнерго", "Днепр" цахилгаан эрчим хүчний системийн сүлжээнүүд халдвараас зайлсхийсэнгүй. Украинд вирус нь засгийн газрын компьютер, Киевийн метроны компьютер, харилцаа холбооны операторууд, тэр ч байтугай Чернобылийн атомын цахилгаан станцад нэвтэрчээ. Орос улсад Mondelez International, Mars, Nivea нар хохирсон.

Петя вирус нь мэс заслын өрөөнд EternalBlue-ийн эмзэг байдлыг ашигладаг Windows систем. Symantec болон F-Secure-ийн мэргэжилтнүүд Петя нь WannaCry гэх мэт өгөгдлийг шифрлэдэг ч бусад төрлийн ransomware-аас арай өөр гэж хэлж байна. "Петягийн вирус шинэ төрөлХорлонтой зорилготой ransomware: энэ нь зөвхөн дискэн дээрх файлуудыг шифрлээд зогсохгүй дискийг бүхэлд нь хааж, ашиглах боломжгүй болгодог гэж F-Secure тайлбарлав. "Ялангуяа MFT мастер файлын хүснэгтийг шифрлэдэг."

Энэ нь хэрхэн тохиолддог, энэ үйл явцыг урьдчилан сэргийлэх боломжтой юу?

Петя вирус - энэ нь хэрхэн ажилладаг вэ?

Петя вирусыг өөр нэрээр нэрлэдэг: Petya.A, PetrWrap, NotPetya, ExPetr. Компьютерт орохдоо интернетээс ransomware татаж аваад хэсэг рүү нь цохихыг оролддог хатуу дисккомпьютерийг ачаалахад шаардлагатай өгөгдөлтэй. Хэрэв тэр амжилтанд хүрвэл системд асуудал гардаг цэнхэр дэлгэцҮхлийн тухай (" цэнхэр дэлгэцүхлийн тухай"). Дахин ачаалсны дараа мессеж гарч ирнэ хэцүүцахилгааныг унтраахгүй байхыг хүссэн диск. Тиймээс ransomware вирус дүр эсгэж байна системийн програмтодорхой өргөтгөлтэй файлуудыг шифрлэх явцад дискийг шалгах замаар. Процессын төгсгөлд компьютер түгжигдсэн тухай мессеж гарч ирэх ба өгөгдлийг тайлах дижитал түлхүүрийг хэрхэн олж авах тухай мэдээлэл гарч ирнэ. Петя вирус нь ихэвчлэн биткойноор золиослохыг шаарддаг. Хэрэв хохирогч файлуудын нөөц хуулбаргүй бол 300 доллар төлөх эсвэл бүх мэдээллээ алдах сонголттой тулгарна. Зарим шинжээчдийн үзэж байгаагаар вирус нь зөвхөн ransomware маягаар хувирдаг бол түүний жинхэнэ зорилго нь асар их хохирол учруулах явдал юм.

Петягаас яаж салах вэ?

Мэргэжилтнүүд Петя вирусыг хайж байгааг олж мэдэв локал файлхэрэв тэр файл дискэн дээр байгаа бол шифрлэлтийн процессоос гарна. Энэ нь хэрэглэгчид энэ файлыг үүсгэж, зөвхөн уншихаар тохируулснаар компьютерээ ransomware-аас хамгаалах боломжтой гэсэн үг юм.

Хэдийгээр энэ зальтай схем нь дээрэмдэх үйл явцыг эхлүүлэхээс сэргийлж байгаа ч, энэ арга"компьютерийн вакцинжуулалт" гэж илүү үзэж болно. Тиймээс хэрэглэгч өөрөө файл үүсгэх шаардлагатай болно. Та үүнийг дараах байдлаар хийж болно.

  • Эхлээд та файлын өргөтгөлтэй ажиллах хэрэгтэй. "Хавтасны сонголтууд" цонхны "Мэдэгдэж буй файлын төрлүүдийн өргөтгөлүүдийг нуух" гэсэн нүдийг сонгоогүй эсэхийг шалгаарай.
  • C:\Windows хавтсыг нээгээд notepad.exe програмыг харах хүртэл доош гүйлгэ.
  • Notepad.exe дээр зүүн товшоод Ctrl + C дарж хуулж, Ctrl + V дарж файлыг буулгана уу. Танаас файлыг хуулах зөвшөөрөл хүсэх болно.
  • "Үргэлжлүүлэх" товчийг дарснаар файл нь тэмдэглэлийн дэвтэр хэлбэрээр үүсгэгдэнэ - Copy.exe. Энэ файл дээр зүүн товшоод F2 товчийг дараад Copy.exe файлын нэрийг устгаад perfc гэж бичнэ үү.
  • Файлын нэрийг perfc болгон өөрчилсний дараа Enter дарна уу. Нэр өөрчлөхийг баталгаажуулна уу.
  • Одоо perfc файлыг үүсгэсэн тул бид үүнийг зөвхөн унших боломжтой болгох хэрэгтэй. Үүнийг хийхийн тулд товшино уу баруун товшино ууфайл дээр хулганаа дараад "Properties" -ийг сонгоно уу.
  • Тухайн файлын шинж чанаруудын цэс нээгдэнэ. Доод талд та "Зөвхөн унших" хэсгийг харах болно. Хайрцагыг шалгана уу.
  • Одоо "Хэрэглэх" товчийг дараад "OK" товчийг дарна уу.

Зарим аюулгүй байдлын мэргэжилтнүүд Petya вирусээс илүү сайн хамгаалахын тулд C:\Windows\perfc.dat болон C:\Windows\perfc.dll файлуудыг C:\windows\perfc файлаас гадна үүсгэхийг зөвлөж байна. Та эдгээр файлын хувьд дээрх алхмуудыг давтаж болно.

Баяр хүргэе, таны компьютер NotPetya / Petya-аас хамгаалагдсан!

Symantec-ийн мэргэжилтнүүд компьютерийн хэрэглэгчдэд файл түгжигдэх эсвэл мөнгө алдахад хүргэж болзошгүй зүйлээс урьдчилан сэргийлэх зөвлөгөө өгдөг.

  1. Луйварчдад мөнгө бүү төл.Хэдийгээр та ransomware руу мөнгө шилжүүлсэн ч файлууддаа дахин хандах боломжтой гэсэн баталгаа байхгүй. NotPetya / Petya-ийн хувьд энэ нь үндсэндээ утгагүй юм, учир нь шифрлэгчийн зорилго нь мөнгө авах биш харин өгөгдлийг устгах явдал юм.
  2. Тогтмол бүтээж байгаарай нөөцлөлтүүдөгөгдөл.Энэ тохиолдолд таны компьютер ransomware халдлагын бай болсон ч устгасан файлуудыг сэргээх боломжтой болно.
  3. Битгий онгойлго имэйлүүдэргэлзээтэй хаягуудтай.Халдагчид таныг хууран мэхэлж, хортой програм суулгах эсвэл халдлагын чухал мэдээллийг авахыг оролдох болно. Хэрэв танд болон танай ажилтнууд сэжигтэй имэйл эсвэл холбоос хүлээн авбал мэдээллийн технологийн мэргэжилтнүүдэд мэдэгдэхээ мартуузай.
  4. Найдвартай програм хангамж ашиглах.Компьютерийг халдвараас хамгаалахад чухал үүрэг гүйцэтгэдэг цаг тухайд нь шинэчлэхвирусын эсрэг. Мэдээжийн хэрэг та энэ чиглэлээр нэр хүндтэй компаниудын бүтээгдэхүүнийг ашиглах хэрэгтэй.
  5. Спам мессежийг сканнердах, хаах механизмуудыг ашиглана уу.Ирж буй имэйлийг аюул заналхийлсэн эсэхийг шалгах хэрэгтэй. Холбоос эсвэл ердийн мессеж агуулсан аливаа төрлийн мессеж байх нь чухал юм түлхүүр үгсфишинг.
  6. Бүх програмууд шинэчлэгдсэн эсэхийг шалгаарай.Халдвараас урьдчилан сэргийлэхийн тулд програм хангамжийн сул талыг тогтмол засварлах нь чухал юм.

Бид шинэ халдлага хүлээх ёстой юу?

Петя вирус анх 2016 оны 3-р сард гарч ирсэн бөгөөд аюулгүй байдлын мэргэжилтнүүд түүний зан авирыг шууд анзаарчээ. Шинэ вирусПетя 2017 оны 6-р сарын сүүлчээр Украин, Орост компьютерт нэвтэрчээ. Гэхдээ энэ нь дуусах магадлал багатай юм. Petya болон WannaCry-тэй төстэй ransomware вирус ашиглан хакерын халдлага давтагдах болно гэж Сбербанкны ТУЗ-ийн орлогч дарга Станислав Кузнецов мэдэгдэв. ТАСС агентлагт өгсөн ярилцлагадаа тэрээр ийм халдлага гарах нь гарцаагүй, гэхдээ ямар хэлбэр, хэлбэрээр гарч болохыг урьдчилан таамаглахад бэрх гэдгийг анхааруулсан байна.

Хэрэв та өнгөрсөн бүх кибер халдлагын дараа компьютерээ шифрлэлтийн вирусаас хамгаалах хамгийн бага арга хэмжээг хараахан хийгээгүй байгаа бол үүнийг хийх цаг болжээ.

Вирус нь үйлдлийн системийн экосистемийн салшгүй хэсэг юм. Ихэнх тохиолдолд бид Windows болон Android-ийн тухай, хэрэв та азгүй бол OS X болон Linux-ийн тухай ярьж байна. Түүгээр ч барахгүй, хэрэв өмнө нь олон нийтийн вирусууд зөвхөн хувийн мэдээллийг хулгайлах, ихэнх тохиолдолд файлуудыг гэмтээх зорилготой байсан бол одоо шифрлэгчид "бөмбөгийг захирч" байна.


Мөн энэ нь гайхах зүйл биш юм - компьютер болон ухаалаг гар утасны тооцоолох хүчин чадал нуранги шиг өссөн бөгөөд энэ нь ийм "хошигнол" хийх техник хангамж улам хүчирхэг болж байна гэсэн үг юм.

Хэсэг хугацааны өмнө мэргэжилтнүүд Петя вирусыг илрүүлсэн. G DATA SecurityLabs нь вирус нь системд захиргааны хандалт шаарддаг бөгөөд файлуудыг шифрлэдэггүй, зөвхөн тэдгээрт хандах хандалтыг блоклодог болохыг олж мэдсэн. Өнөөдрийн байдлаар Петягийн хэрэгслүүд (Win32.Trojan-Ransom.Petya.A‘) аль хэдийн байгаа. Вирус нь өөрөө системийн драйв дээрх ачаалах бичлэгийг өөрчилдөг бөгөөд компьютерийг сүйрүүлэхэд хүргэдэг бөгөөд энэ нь дискэн дээрх өгөгдөл эвдэрсэн тухай мессежийг харуулдаг. Үнэндээ энэ бол зүгээр л шифрлэлт юм.

Хортой програмыг хөгжүүлэгчид хандалтыг сэргээх төлбөрийг шаардсан.


Гэсэн хэдий ч өнөөг хүртэл Петя вирусээс гадна илүү боловсронгуй вирус гарч ирэв - Миша. Үүнд захиргааны эрх шаардлагагүй бөгөөд энэ нь сонгодог Ransomware шиг өгөгдлийг шифрлэж, YOUR_FILES_ARE_ENCRYPTED.HTML болон YOUR_FILES_ARE_ENCRYPTED.TXT файлуудыг диск эсвэл шифрлэгдсэн өгөгдөл бүхий хавтас дотор үүсгэдэг. Тэдгээр нь түлхүүрийг олж авах зааварчилгааг агуулдаг бөгөөд үнэ нь ойролцоогоор 875 доллар юм.

Халдвар нь pdf баримтын дүрд хувирсан вирус бүхий exe файлыг хүлээн авдаг цахим шуудангаар дамждаг гэдгийг анхаарах нь чухал. Энд дахин сануулах нь зүйтэй - хавсаргасан файлтай үсгүүдийг сайтар шалгаж, интернетээс баримт бичгийг татаж авахгүй байхыг хичээгээрэй, учир нь одоо вирус эсвэл хортой макро нь doc файл эсвэл вэб хуудсанд суулгаж болно.

Миша вирусын "ажил"-ыг тайлах хэрэгсэл одоогоор байхгүй байгааг бид бас тэмдэглэж байна.



Ачааж байна...
Топ