Virușii misha ceea ce face. Noul ransomware Petya numit după Președintele Ucrainei - expert

Drepturi de autor pentru imagine PA Legendă imagine Lupta cu noul ransomware este mai dificilă decât WannaCry, spun experții

Pe 27 iunie, ransomware-ul a blocat computerele și fișierele criptate la zeci de companii din întreaga lume.

Se raportează că companiile ucrainene au suferit cel mai mult - virusul a infectat computerele marilor companii, agențiile guvernamentale și infrastructura.

Pentru decriptarea fișierelor, virusul cere victimelor să plătească 300 USD în bitcoins.

Serviciul rusesc BBC răspunde la principalele întrebări despre noua amenințare.

Cine a fost rănit?

Răspândirea virusului a început în Ucraina. Aeroportul Boryspil, unele divizii regionale ale Ukrenergo, lanțuri de magazine, bănci, mass-media și companii de telecomunicații au fost afectate. Calculatoarele din guvernul Ucrainei au fost, de asemenea, oprite.

Ulterior, a venit rândul companiilor din Rusia: Rosneft, Bashneft, Mondelez International, Mars, Nivea și altele au căzut și ele victime ale virusului.

Cum funcționează un virus?

Experții nu au ajuns încă la un consens cu privire la originea noului virus. Group-IB și Positive Technologies îl văd ca pe o variație a virusului Petya din 2016.

„Acest ransomware folosește atât tehnici și utilitare de hacking, cât și utilitare standard de administrare a sistemului”, comentează șeful Threat Response securitatea informatiei Tehnologii pozitive Elmar Nabigaev. - Toate acestea garantează o rată mare de răspândire în cadrul rețelei și natura în masă a epidemiei în ansamblu (dacă cel puțin un calculator personal). Rezultatul este o inoperabilitate completă a computerului și a criptării datelor.”

Compania românească Bitdefender vede mai multe în comun cu virusul GoldenEye, care asociază Petya cu un alt malware numit Misha. Avantajul acestuia din urmă este că, pentru a cripta fișierele, nu necesită drepturi de administrator de la viitoarea victimă, ci le extrage de la sine.

Brian Campbell de la Fujitsu și o serie de alți experți consideră că noul virus folosește un program modificat EternalBlue, furat de la Agenția de Securitate Națională a SUA.

După publicarea acestui program de către hackerii The Shadow Brokers în aprilie 2017, virusul ransomware WannaCry creat pe baza sa s-a răspândit în întreaga lume.

Folosind vulnerabilitățile Windows, acest program permite virusului să se răspândească pe computere din întreaga rețea corporativă. Petya inițial a fost trimis prin e-mail sub pretextul unui CV și nu putea infecta decât computerul pe care a fost deschis CV-ul.

Kaspersky Lab a declarat pentru Interfax că virusul ransomware nu aparține familiilor de malware cunoscute anterior. software.

„Produsele software Kaspersky Lab detectează acest malware ca UDS:DangeroundObject.Multi.Generic.”, a declarat Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus al Kaspersky Lab.

În general, dacă numiți un virus nou cu un nume rusesc, trebuie să aveți în vedere că în exterior seamănă mai mult cu monstrul lui Frankenstein, deoarece este asamblat din mai multe malware. Se știe cu siguranță că virusul s-a născut pe 18 iunie 2017.

Legendă imagine Pentru decriptarea fișierelor și deblocarea computerului, virusul necesită 300 USD

Mai bine decât WannaCry?

WannaCry a avut nevoie de doar câteva zile în mai 2017 pentru a ajunge la statutul de cel mai masiv atac cibernetic de acest gen din istorie. Va depăși nou virus ransomware recentul său predecesor?

În mai puțin de o zi, atacatorii au primit 2,1 bitcoini de la victimele lor - aproximativ 5.000 de dolari. WannaCry a colectat 7 bitcoini în aceeași perioadă.

În același timp, potrivit lui Elmar Nabigaev de la Positive Technologies, este mai dificil să lupți cu noul extorsionar.

„Pe lângă exploatarea [vulnerabilitatea în Windows], această amenințare este răspândită și folosind conturile de utilizator sisteme de operare furate cu ajutorul unor instrumente speciale de hacking”, a remarcat expertul.

Cum să faci față virusului?

Ca măsură preventivă, experții recomandă instalarea la timp a actualizărilor pentru sistemele de operare și verificarea fișierelor primite prin e-mail.

Administratorii avansați sunt sfătuiți să dezactiveze temporar protocolul de comunicare în rețea Server Message Block (SMB).

Dacă computerele sunt infectate, în niciun caz nu plătiți atacatorii. Nu există nicio garanție că, atunci când vor fi plătiți, vor decripta fișierele și nu vor cere mai mult.

Rămâne doar să așteptăm decriptorul: în cazul WannaCry, a fost nevoie de o săptămână pentru ca Adrien Guignet, specialist de la compania franceză Quarkslab, să-l creeze.

Primul ransomware SIDA (PC Cyborg) a fost scris de biologul Joseph Popp în 1989. Ea a ascuns directoare și fișiere criptate, cerând 189 USD pentru" Reînnoirea licenței" la un cont în Panama. Popp și-a distribuit creația folosind dischete prin poștă obișnuită, făcând un total de aproximativ 20 de mii.celulăPlecări. Popp a fost reținut în timp ce încerca să încaseze un cec, dar a scăpat de proces - în 1991 a fost declarat nebun.

Marți, 27 iunie, ucraineană și companiile rusești a raportat un atac masiv de viruși: computerele din întreprinderi au afișat un mesaj care solicita o răscumpărare. Mi-am dat seama cine a suferit încă o dată din cauza hackerilor și cum să se protejeze de furtul de date importante.

Peter, destul

Sectorul energetic a fost primul atacat: companiile ucrainene Ukrenergo și Kyivenergo s-au plâns de virus. Intrușii i-au paralizat sisteme informatice, dar acest lucru nu a afectat stabilitatea centralelor electrice.

Ucrainenii au început să publice consecințele infecției în rețea: judecând după numeroasele imagini, computerele au fost atacate de un virus ransomware. Pe ecranul dispozitivelor afectate, a apărut un mesaj care spunea că toate datele au fost criptate, iar proprietarii de dispozitive trebuiau să plătească o răscumpărare de 300 USD în bitcoins. În același timp, hackerii nu au spus ce s-ar întâmpla cu informațiile în caz de inactivitate și nici măcar nu au setat un cronometru până când datele au fost distruse, așa cum a fost cazul atacului virusului WannaCry.

Banca Națională a Ucrainei (BNU) a raportat că, din cauza virusului, activitatea mai multor bănci a fost parțial paralizată. Potrivit presei ucrainene, atacul a afectat birourile Oschadbank, Ukrsotsbank, Ukrgasbank și PrivatBank.

au fost infectate retele de calculatoare„Ukrtelecom”, aeroportul „Borispol”, „Ukrposhta”, „ E-mail nou”, „Kyivvodokanal” și metroul Kiev. În plus, virusul a lovit operatorii de telefonie mobilă ucraineană - Kyivstar, Vodafone și Lifecell.

Ulterior, presa ucraineană a clarificat că este vorba de malware Petya.A. Este distribuit conform schemei obișnuite pentru hackeri: e-mailurile de phishing sunt trimise victimelor de la manechin care le cer să deschidă un link încorporat. După aceea, virusul intră în computer, criptează fișierele și solicită o răscumpărare pentru decriptarea acestora.

Hackerii au indicat numărul portofelului lor bitcoin în care ar trebui să fie transferați banii. Judecând după informațiile despre tranzacții, victimele au transferat deja 1,2 bitcoini (mai mult de 168 de mii de ruble).

Peste 80 de companii au fost afectate de atac, potrivit specialiștilor în securitatea informațiilor de la Group-IB. Șeful laboratorului lor criminalistic a remarcat că virusul nu are legătură cu WannaCry. Pentru a remedia problema, el a sfătuit să închideți porturile TCP 1024–1035, 135 și 445.

Cine este vinovat

Ea s-a grăbit să presupună că atacul a fost organizat de pe teritoriul Rusiei sau Donbass, dar nu a oferit nicio dovadă. Ministrul Infrastructurii al Ucrainei a văzut aluzie în cuvântul „virus” și a scris pe Facebook că „nu este o coincidență că se termină în RUS”, oferind ghicirii sale cu o emoticon care face cu ochiul.

Între timp, el susține că atacul nu are nimic de-a face cu „malware-ul” existent, cunoscut sub numele de Petya și Mischa. Oficialii din securitate susțin că noul val a lovit nu numai companiile ucrainene și ruse, ci și întreprinderile din alte țări.

Cu toate acestea, actualul „malware” din punct de vedere al interfeței seamănă cu binecunoscutul virus Petya, care în urmă cu câțiva ani era distribuit prin link-uri de phishing. La sfârșitul lunii decembrie, hackerul necunoscut responsabil pentru crearea ransomware-ului Petya și Mischa a început să trimită e-mailuri infectate cu un virus încorporat numit GoldenEye, care era identic cu Versiuni anterioare criptografii.

Atașarea la o scrisoare obișnuită, primită adesea de departamentul de personal, conținea informații despre un candidat fals. Într-unul dintre fișiere, se putea găsi într-adevăr un rezumat, iar în următorul, un program de instalare a virușilor. Atunci ținta principală a atacatorului au fost companiile din Germania. În cursul zilei, peste 160 de angajați ai companiei germane au căzut în capcană.

Nu s-a putut calcula hackerul, dar este evident că este un fan al lui Bond. Programele Petya și Mischa sunt numele sateliților ruși „Petya” și „Misha” din filmul „Golden Eye”, care conform intrigii erau arme electromagnetice.

Versiunea originală a lui Petya a început să se distribuie activ în aprilie 2016. Ea s-a deghizat cu pricepere pe computere și s-a prezentat drept programe legitime, solicitând drepturi de administrator extinse. După activare, programul s-a comportat extrem de agresiv: a stabilit un termen greu de plată a răscumpărării, cerând 1,3 bitcoini, iar după termen, a dublat compensația bănească.

Adevărat, atunci unul dintre utilizatorii Twitter a găsit rapid părţile slabe ransomware și creat un program simplu, care în șapte secunde a generat o cheie care vă permite să deblocați computerul și să decriptați toate datele fără nicio consecință.

Nu este prima dată

La mijlocul lunii mai, computerele din întreaga lume au fost atacate de un virus ransomware similar, WannaCrypt0r 2.0, cunoscut și sub numele de WannaCry. În doar câteva ore, el a paralizat munca a sute de mii de muncitori Dispozitive Windowsîn peste 70 de țări. Printre victime s-au numărat agențiile ruse de aplicare a legii, băncile și operatori de telefonie mobilă. Odată ajuns pe computerul victimei, virusul a fost criptat HDDși a cerut să le trimită atacatorilor 300 de dolari în bitcoini. Trei zile au fost alocate pentru reflecție, după care suma a fost dublată, iar o săptămână mai târziu fișierele au fost criptate pentru totdeauna.

Cu toate acestea, victimele nu s-au grăbit să transfere răscumpărarea, iar creatorii „malware-ului”

În urmă cu câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu a fost un ransomware, virusul a blocat pur și simplu accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virus modificat înregistrarea de pornire pe hard disk, a repornit forțat computerul și a afișat un mesaj care spunea că „datele sunt criptate - conduceți-vă banii pentru decriptare”. În general, schema standard a virușilor ransomware, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A în câteva săptămâni de la lansare. În plus, există instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică pornirea sistemului de operare și, de asemenea, criptează tabelul de fișiere master (tabelul de fișiere master). Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni. mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă solicită să plătiți 500 USD - 875 USD pentru decriptare (în versiuni diferite 1,5 - 1,8 bitcoin). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa - conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator în sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau elimină manual acest malware, Mischa se implică. Acest virus nu are nevoie de drepturi de administrator, este un ransomware clasic și criptează într-adevăr fișierele folosind algoritmul puternic AES fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Malware Mischa criptează nu numai tipurile de fișiere standard (videoclipuri, imagini, prezentări, documente), ci și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde sosește o scrisoare cu un fișier atașat - programul de instalare a virusului. Poate fi criptat ca scrisoare de la Fisc, de la contabilul dvs., ca chitanțe anexate și chitanțe de cumpărare etc. Acordați atenție extensiilor de fișiere în astfel de litere - dacă este un fișier executabil (.exe), atunci cu o mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este proaspătă, este posibil ca antivirusul dvs. să nu reacționeze.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm, iar prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, institutii publiceși întreprinderi de diferite forme de proprietate. Virusul s-a răspândit în principal printr-o vulnerabilitate din sistemul de contabilitate ucrainean MeDoc cu cele mai recente actualizare automata acest software. În plus, virusul a afectat și țări precum Rusia, Spania, Marea Britanie, Franța, Lituania.

Îndepărtați virusul Petya și Mischa cu curățarea automată

O metodă extrem de eficientă de a trata malware în general și ransomware în special. Utilizarea unui complex de securitate dovedit garantează minuțiozitatea detectării oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer cu ajutorul acestuia.

  1. . După lansarea software-ului, faceți clic pe butonul Porniți scanarea computerului(Incepe scanarea).
  2. Software-ul instalat va furniza un raport privind amenințările detectate în timpul scanării. Pentru a elimina toate amenințările găsite, selectați opțiunea Repara amenințări(Elimina amenintarile). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele cu un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi redeschise cu o glisare. bagheta magica- dacă nu țineți cont de plata unei sume de răscumpărare nemaivăzute (uneori până la 1000 USD). Dar unele metode pot deveni cu adevărat o salvare care vă va ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție distruge fișiere sursăîn formă necriptată. Procesul de criptare exagerat vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva instrumente software cum să restaurați obiectele șterse, chiar dacă fiabilitatea eliminării lor este garantată. Se recomandă insistent să recurgeți la procedura de recuperare a fișierelor, eficacitatea acesteia este dincolo de orice îndoială.

Copii umbră de volum

Abordarea se bazează pe procedura Windows Rezervă copie fișiere, care se repetă în fiecare punct de restaurare. Stare importantă Pentru ca această metodă să funcționeze: funcția „Restaurare sistem” trebuie să fie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu se vor reflecta în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele non-buyout. Dacă procedura de salvare a datelor pe un server extern a fost folosită înainte ca ransomware-ul să atace computerul dvs., pentru a restaura fișierele criptate, trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați eventualele componente reziduale de ransomware Petya și Mischa

Curățarea manuală este plină de riscul de a lipsi bucăți de ransomware care pot evita eliminarea sub formă de obiecte ascunse ale sistemului de operare sau intrări din registru. Pentru a elimina riscul de conservare parțială a elementelor dăunătoare individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în programe malware.

La începutul lunii mai, aproximativ 230.000 de computere din peste 150 de țări au fost infectate cu ransomware. Înainte ca victimele să aibă timp să elimine consecințele acestui atac, a urmat unul nou - numit Petya. Cele mai mari companii ucrainene și rusești, precum și instituțiile de stat, au avut de suferit de pe urma asta.

Poliția cibernetică a Ucrainei a constatat că atacul virusului a început prin mecanismul de actualizare a software-ului de contabilitate M.E.Doc, care este folosit pentru pregătirea și trimiterea declarațiilor fiscale. Așadar, a devenit cunoscut faptul că rețelele Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo și sistemul de energie electrică a Niprului nu au scăpat de infecție. În Ucraina, virusul a pătruns în calculatoarele guvernamentale, în computerele metroului Kiev, în operatorii de telecomunicații și chiar în centrala nucleară de la Cernobîl. În Rusia, Mondelez International, Mars și Nivea au avut de suferit.

Virusul Petya exploatează vulnerabilitatea EternalBlue în sala de operație sistem Windows. Experții Symantec și F-Secure spun că, în timp ce Petya criptează date precum WannaCry, este oarecum diferit de alte tipuri de ransomware. „Virusul Petya este noul fel ransomware cu intenție rău intenționată: nu doar criptează fișierele de pe disc, ci blochează întregul disc, făcându-l practic inutilizabil, explică F-Secure. „În special, criptează tabelul de fișiere master MFT”.

Cum se întâmplă acest lucru și poate fi prevenit acest proces?

Virusul Petya - cum funcționează?

Virusul Petya este cunoscut și sub alte denumiri: Petya.A, PetrWrap, NotPetya, ExPetr. Intrând în computer, descarcă ransomware-ul de pe Internet și încearcă să lovească o parte hard disk cu datele necesare pentru a porni computerul. Dacă reușește, atunci sistemul emite probleme ecran albastru de moarte (" ecran albastru de moarte"). După o repornire, apare un mesaj greu disc care vă cere să nu opriți alimentarea. Astfel, virusul ransomware pretinde a fi program de sistem prin verificarea discului, în timp ce criptați fișierele cu anumite extensii. La sfârșitul procesului, apare un mesaj despre blocarea computerului și informații despre cum să obțineți o cheie digitală pentru a decripta datele. Virusul Petya cere o răscumpărare, de obicei în bitcoin. Dacă victima nu are o copie de rezervă a fișierelor, se confruntă cu o alegere - să plătească suma de 300 USD sau să piardă toate informațiile. Potrivit unor analiști, virusul se preface doar drept ransomware, în timp ce adevăratul său scop este să provoace daune masive.

Cum să scapi de Petya?

Experții au descoperit că virusul Petya caută fișier localși, dacă acel fișier există deja pe disc, iese din procesul de criptare. Aceasta înseamnă că utilizatorii își pot proteja computerul de ransomware creând acest fișier și setându-l doar pentru citire.

Chiar dacă această schemă vicleană împiedică începerea procesului de extorcare, aceasta metoda poate fi considerată mai mult ca „vaccinarea computerizată”. Astfel, utilizatorul va trebui să creeze el însuși fișierul. Puteți face acest lucru în felul următor:

  • Mai întâi trebuie să vă ocupați de extensia fișierului. Asigurați-vă că în fereastra „Opțiuni folder” din caseta de selectare „Ascunde extensiile pentru tipurile de fișiere cunoscute” este debifată.
  • Deschideți folderul C:\Windows, derulați în jos până când vedeți programul notepad.exe.
  • Faceți clic stânga pe notepad.exe, apoi apăsați Ctrl + C pentru a copia și apoi Ctrl + V pentru a lipi fișierul. Vi se va solicita permisiunea de a copia fișierul.
  • Faceți clic pe butonul „Continuare” și fișierul va fi creat ca notepad - Copy.exe. Faceți clic stânga pe acest fișier și apăsați tasta F2, apoi ștergeți numele fișierului Copy.exe și tastați perfc.
  • După ce ați schimbat numele fișierului în perfc, apăsați Enter. Confirmați redenumirea.
  • Acum că fișierul perfc a fost creat, trebuie să îl facem doar pentru citire. Pentru a face acest lucru, faceți clic Click dreapta mouse-ul peste fișier și selectați „Proprietăți”.
  • Se va deschide meniul de proprietăți pentru acel fișier. În partea de jos veți vedea „Numai citire”. Bifeaza casuta.
  • Acum faceți clic pe butonul „Aplicați” și apoi pe butonul „OK”.

Unii experți în securitate sugerează crearea fișierelor C:\Windows\perfc.dat și C:\Windows\perfc.dll în plus față de fișierul C:\windows\perfc pentru a vă proteja mai bine împotriva virusului Petya. Puteți repeta pașii de mai sus pentru aceste fișiere.

Felicitări, computerul dumneavoastră este protejat de NotPetya / Petya!

Experții Symantec oferă câteva sfaturi utilizatorilor de PC-uri pentru a-i împiedica să facă lucruri care ar putea duce la blocarea fișierelor sau pierderea de bani.

  1. Nu plăti bani escrocilor. Chiar dacă transferați bani către ransomware, nu există nicio garanție că veți putea recâștiga accesul la fișierele dvs. Și în cazul NotPetya / Petya, acest lucru este practic lipsit de sens, deoarece scopul criptorului este să distrugă date, nu să obțină bani.
  2. Asigurați-vă că creați în mod regulat copii de rezervă date.În acest caz, chiar dacă computerul dvs. devine ținta unui atac ransomware, veți putea recupera orice fișiere șterse.
  3. Nu deschide e-mailuri cu adrese îndoielnice. Atacatorii vor încerca să vă păcălească pentru a instala programe malware sau vor încerca să obțină date importante de atac. Asigurați-vă că anunțați profesioniștii IT dacă dvs. sau angajații dvs. primiți e-mailuri sau linkuri suspecte.
  4. Utilizați software de încredere. Joacă un rol important în protejarea computerelor împotriva infecțiilor actualizare în timp util antivirale. Și, desigur, trebuie să utilizați produsele companiilor de renume în acest domeniu.
  5. Utilizați mecanisme pentru a scana și bloca mesajele spam. E-mailurile primite ar trebui scanate pentru amenințări. Este important ca orice tip de mesaje care contin link-uri sau tipice Cuvinte cheie phishing.
  6. Asigurați-vă că toate programele sunt actualizate. Corectarea regulată a vulnerabilităților software este esențială pentru a preveni infecțiile.

Ar trebui să ne așteptăm la noi atacuri?

Virusul Petya a apărut pentru prima dată în martie 2016, iar experții în securitate i-au observat imediat comportamentul. Virus nou Petya a lovit computerele din Ucraina și Rusia la sfârșitul lunii iunie 2017. Dar este puțin probabil să se termine. Atacurile hackerilor care folosesc viruși ransomware similari Petya și WannaCry vor fi repetate, a declarat Stanislav Kuznetsov, vicepreședintele consiliului de administrație al Sberbank. Într-un interviu acordat TASS, el a avertizat că cu siguranță vor exista astfel de atacuri, dar este greu de prezis din timp în ce formă și format ar putea apărea.

Dacă, după toate atacurile cibernetice din trecut, nu ați luat încă măcar pași minimi pentru a vă proteja computerul de un virus de criptare, atunci este timpul să treceți la treabă.

Virușii sunt o parte integrantă a ecosistemului sistemului de operare. În cele mai multe cazuri, vorbim despre Windows și Android, iar dacă ești complet ghinionist, despre OS X și Linux. Mai mult decât atât, dacă virușii anteriori în masă vizau doar furtul datelor personale și, în majoritatea cazurilor, pur și simplu deteriorarea fișierelor, acum criptatorii „stăpânesc mingea”.


Și acest lucru nu este surprinzător - puterea de calcul atât a PC-urilor, cât și a smartphone-urilor a crescut ca o avalanșă, ceea ce înseamnă că hardware-ul pentru astfel de „farse” devine din ce în ce mai puternic.

Cu ceva timp în urmă, experții au descoperit virusul Petya. G DATA SecurityLabs a aflat că virusul are nevoie de acces administrativ la sistem, în timp ce nu criptează fișierele, ci doar blochează accesul la acestea. Începând de astăzi, instrumentele de la Petya (Win32.Trojan-Ransom.Petya.A‘) există deja. Virusul în sine modifică înregistrarea de pornire de pe unitatea de sistem și provoacă blocarea computerului, afișând un mesaj despre coruperea datelor de pe disc. De fapt, aceasta este doar criptare.

Dezvoltatorii malware-ului au cerut plata pentru restabilirea accesului.


Cu toate acestea, până în prezent, pe lângă virusul Petya, a apărut unul și mai sofisticat - Misha. Nu are nevoie de drepturi administrative și criptează datele ca un ransomware clasic, creând fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT pe un disc sau într-un folder cu date criptate. Acestea conțin instrucțiuni pentru obținerea cheii, al cărei preț este de aproximativ 875 USD.

Este important de reținut că infecția are loc prin e-mail, care primește un fișier exe cu viruși deghizat în document pdf. Și aici rămâne să reamintești din nou - verificați cu atenție scrisorile cu fișiere atașate și încercați, de asemenea, să nu descărcați documente de pe Internet, deoarece acum un virus sau o macrocomandă rău intenționată poate fi încorporată într-un fișier document sau o pagină web.

De asemenea, menționăm că până acum nu există utilități pentru decriptarea „lucrării” virusului Misha.



Se încarcă...
Top