Kas ir Misha un Petya vīruss? Līdzīgi kā Petja, draugs Miša: kas ir zināms par jauno izspiedējvīrusu. Pārbaudiet, vai nav iespējama Petya un Mischa izpirkuma programmatūras atlikušo komponentu klātbūtne

Maija sākumā aptuveni 230 000 datoru vairāk nekā 150 valstīs bija inficēti ar izspiedējvīrusu. Pirms upuriem bija laiks novērst šī uzbrukuma sekas, sekoja jauns, ko sauca Petja. Lielākais Ukrainas un Krievijas uzņēmumi, kā arī valsts aģentūras.

Ukrainas kiberpolicija konstatēja, ka vīrusa uzbrukums sākās, izmantojot grāmatvedības programmatūras M.E.Doc atjaunināšanas mehānismu, kas tiek izmantots nodokļu atskaišu sagatavošanai un nosūtīšanai. Tādējādi kļuva zināms, ka Bašņeftj, Rosņeftj, Zaporožjeoblenergo, Dņeproenergo un Dņepras elektroenerģijas sistēmas tīkli neizvairījās no inficēšanās. Ukrainā vīruss iekļuva valdības datoros, Kijevas metro personālajos datoros, telekomunikāciju operatoros un pat Černobiļas atomelektrostacijā. Krievijā tika skartas Mondelez International, Marss un Nivea.

Petya vīruss operāciju zālē izmanto EternalBlue ievainojamību Windows sistēma. Symantec un F-Secure eksperti saka, ka, lai gan Petya šifrē datus, piemēram, WannaCry, tas joprojām nedaudz atšķiras no cita veida šifrēšanas vīrusiem. "Petijas vīruss ir jaunais veids izspiešana ar ļaunprātīgu nolūku: tā ne tikai šifrē diskā esošos failus, bet bloķē visu disku, padarot to praktiski nelietojamu, skaidro F-Secure. "Konkrēti, tas šifrē MFT galvenā faila tabulu."

Kā tas notiek un vai šo procesu var novērst?

Vīruss "Petya" - kā tas darbojas?

Petya vīruss ir zināms arī ar citiem nosaukumiem: Petya.A, PetrWrap, NotPetya, ExPetr. Atrodoties datorā, tas lejupielādē no interneta izspiedējvīrusu programmatūru un mēģina inficēt kādu cietais disks ar datiem, kas nepieciešami datora palaišanai. Ja viņam izdodas, sistēma izdod Blue Screen of Death (“ zils ekrāns nāve"). Pēc pārstartēšanas parādās ziņojums par rūpīgi pārbauda disks ar lūgumu neizslēgt strāvu. Tādējādi izpirkuma programmatūra izliekas par tādu sistēmas programma lai pārbaudītu disku, pašlaik šifrējot failus ar noteiktiem paplašinājumiem. Procesa beigās tiek parādīts ziņojums, kas norāda, ka dators ir bloķēts, un informācija par to, kā iegūt digitālo atslēgu datu atšifrēšanai. Petya vīruss pieprasa izpirkuma maksu, parasti Bitcoin. Ja cietušajam nav savu failu rezerves kopijas, viņš ir izvēles priekšā maksāt 300 USD vai pazaudēt visu informāciju. Pēc dažu analītiķu domām, vīruss tikai maskējas kā izspiedējvīruss, bet tā patiesais mērķis ir radīt milzīgus bojājumus.

Kā atbrīvoties no Petijas?

Eksperti ir atklājuši, ka Petya vīruss meklē lokālu failu un, ja šis fails jau eksistē diskā, iziet no šifrēšanas procesa. Tas nozīmē, ka lietotāji var aizsargāt savu datoru no izspiedējvīrusa, izveidojot šo failu un iestatot to kā tikai lasāmu.

Lai gan šī viltīgā shēma neļauj sākt izspiešanas procesu, šo metodi vairāk var uzskatīt par "vakcināciju ar datoru". Tādējādi lietotājam fails būs jāizveido pašam. To var izdarīt šādi:

  • Vispirms jums ir jāsaprot faila paplašinājums. Logā Mapes opcijas pārbaudiet, vai nav atzīmēta izvēles rūtiņa Paslēpt zināmo failu tipu paplašinājumus.
  • Atveriet mapi C:\Windows, ritiniet uz leju, līdz tiek parādīta programma notepad.exe.
  • Ar peles kreiso taustiņu noklikšķiniet uz notepad.exe, pēc tam nospiediet Ctrl + C, lai kopētu, un pēc tam Ctrl + V, lai ielīmētu failu. Jūs saņemsit pieprasījumu, kurā tiek lūgta atļauja kopēt failu.
  • Noklikšķiniet uz pogas Turpināt, un fails tiks izveidots kā piezīmju grāmatiņa - Copy.exe. Ar peles kreiso taustiņu noklikšķiniet uz šī faila un nospiediet F2, pēc tam izdzēsiet faila nosaukumu Copy.exe un ievadiet perfc.
  • Pēc faila nosaukuma maiņas uz perfc nospiediet taustiņu Enter. Apstipriniet pārdēvēšanu.
  • Tagad, kad perfc fails ir izveidots, mums tas jāpadara tikai lasāms. Lai to izdarītu, noklikšķiniet uz ar peles labo pogu noklikšķiniet virziet peles kursoru virs faila un atlasiet "Properties".
  • Tiks atvērta šī faila rekvizītu izvēlne. Apakšā jūs redzēsit "Tikai lasāms". Atzīmējiet izvēles rūtiņu.
  • Tagad noklikšķiniet uz pogas Lietot un pēc tam uz pogas Labi.

Daži drošības eksperti iesaka papildus failam C:\windows\perfc izveidot C:\Windows\perfc.dat un C:\Windows\perfc.dll failus, lai rūpīgāk aizsargātu pret Petijas vīruss. Šiem failiem varat atkārtot iepriekš minētās darbības.

Apsveicam, jūsu dators ir aizsargāts no NotPetya/Petya!

Symantec eksperti piedāvā dažus padomus datoru lietotājiem, lai tie neļautu viņiem veikt darbības, kas var izraisīt failu bloķēšanu vai naudas zaudēšanu.

  1. Nemaksājiet naudu noziedzniekiem. Pat ja jūs pārskaitāt naudu uz izspiedējvīrusu, nav garantijas, ka varēsit atgūt piekļuvi saviem failiem. Un NotPetya / Petya gadījumā tas būtībā ir bezjēdzīgi, jo izpirkuma programmatūras mērķis ir iznīcināt datus, nevis iegūt naudu.
  2. Pārliecinieties, ka veidojat regulāri dublējumkopijas datus.Šādā gadījumā, pat ja jūsu dators kļūs par izspiedējvīrusa uzbrukuma mērķi, jūs varēsiet atgūt visus izdzēstos failus.
  3. Neatveriet e-pastus no apšaubāmām adresēm. Uzbrucēji mēģinās jūs pievilināt instalēt ļaunprātīgu programmatūru vai mēģināt iegūt svarīgus datus uzbrukumiem. Noteikti informējiet IT speciālistus, ja jūs vai jūsu darbinieki saņem aizdomīgus e-pastus vai saites.
  4. Izmantojiet uzticamu programmatūru. Spēlē svarīgu lomu datoru aizsardzībā no infekcijām. savlaicīga atjaunināšana pretvīrusu programmatūra. Un, protams, šajā jomā ir jāizmanto produkti no cienījamiem uzņēmumiem.
  5. Izmantojiet mehānismus, lai skenētu un bloķētu surogātpasta ziņojumus. Ienākošie e-pasta ziņojumi ir jāpārbauda, ​​​​vai nav draudu. Ir svarīgi, lai jebkāda veida ziņojumi, kas satur saites vai tipiski atslēgvārdi pikšķerēšana.
  6. Pārliecinieties, vai visas programmas ir atjauninātas. Lai novērstu infekcijas, ir nepieciešama regulāra programmatūras ievainojamību novēršana.

Vai mums vajadzētu sagaidīt jaunus uzbrukumus?

Petya vīruss pirmo reizi parādījās 2016. gada martā, un drošības speciālisti nekavējoties pamanīja tā uzvedību. Jaunais Petya vīruss inficēja datorus Ukrainā un Krievijā 2017. gada jūnija beigās. Bet diez vai šīs būs beigas. Hakeru uzbrukumi Petya un WannaCry līdzīgu izspiedējvīrusu izmantošana notiks atkārtoti, sacīja Sberbank valdes priekšsēdētāja vietnieks Staņislavs Kuzņecovs. Intervijā TASS viņš brīdināja, ka šādi uzbrukumi noteikti notiks, taču ir grūti iepriekš paredzēt, kādā formā un formātā tie var parādīties.

Ja pēc visiem notikušajiem kiberuzbrukumiem jūs vēl neesat veicis vismaz minimālās darbības, lai aizsargātu datoru no izspiedējvīrusa, tad ir pienācis laiks nopietni pievērsties tam.

Pirms dažiem mēnešiem mēs un citi IT drošības speciālisti atklājām jaunu ļaunprātīgu programmatūru - Petja (Win32.Trojan-Ransom.Petya.A). Klasiskā izpratnē tas nebija šifrētājs, vīruss vienkārši bloķēja piekļuvi noteikta veida failiem un pieprasīja izpirkuma maksu. Vīruss ir modificēts sāknēšanas ievade cietajā diskā piespiedu kārtā pārstartēja datoru un parādīja ziņojumu, ka "dati ir šifrēti - tērējiet naudu atšifrēšanai." Kopumā šifrēšanas vīrusu standarta shēma, izņemot to, ka faili faktiski NAV šifrēti. Populārākie antivīrusi sāka identificēt un noņemt Win32.Trojan-Ransom.Petya.A dažas nedēļas pēc tā parādīšanās. Turklāt parādījās instrukcijas manuālai noņemšanai. Kāpēc mēs domājam, ka Petja nav klasiska izpirkuma programmatūra? Šis vīruss veic izmaiņas galvenajā sāknēšanas ierakstā un neļauj OS ielādēt, kā arī šifrē galveno failu tabulu. Tas nešifrē pašus failus.

Tomēr pirms dažām nedēļām parādījās sarežģītāks vīruss Mischa, acīmredzot rakstījuši tie paši krāpnieki. Šis vīruss KRIPTĒ failus, un par atšifrēšanu ir jāmaksā USD 500–875 dažādas versijas 1,5–1,8 bitkoīni). Norādījumi “atšifrēšanai” un samaksai par to tiek glabāti failos YOUR_FILES_ARE_ENCRYPTED.HTML un YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus — faila YOUR_FILES_ARE_ENCRYPTED.HTML saturs

Tagad patiesībā hakeri inficē lietotāju datorus ar divām ļaunprātīgām programmām: Petya un Mischa. Pirmajam ir nepieciešamas sistēmas administratora tiesības. Tas ir, ja lietotājs atsakās piešķirt Petya administratora tiesības vai manuāli izdzēš šo ļaunprogrammatūru, Mischa iesaistās. Šim vīrusam nav nepieciešamas administratora tiesības, tas ir klasisks šifrētājs un faktiski šifrē failus, izmantojot spēcīgu AES algoritmu un neveicot nekādas izmaiņas galvenajā sāknēšanas ierakstā un failu tabulā cietušā cietajā diskā.

Mischa ļaunprogrammatūra šifrē ne tikai standarta failu tipus (video, attēlus, prezentācijas, dokumentus), bet arī .exe failus. Vīruss neietekmē tikai direktorijus \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ Internet Explorer, \Temp, \Local, \LocalLow un \Chrome.

Inficēšanās notiek galvenokārt ar e-pasta starpniecību, kur tiek saņemta vēstule ar pievienotu failu – vīrusu instalētāju. To var šifrēt zem Nodokļu dienesta, jūsu grāmatveža vēstules, kā pievienotās kvītis un pirkumu kvītis utt. Pievērsiet uzmanību failu paplašinājumiem šādos burtos - ja tas ir izpildāms fails (.exe), tad ar lielu varbūtību tas var būt konteiners ar Petya\Mischa vīrusu. Un, ja ļaunprogrammatūras modifikācija ir nesen veikta, jūsu antivīruss var nereaģēt.

Atjauninājums 30.06.2017. 27. jūnijs, modificēta Petya vīrusa versija (Petya.A) masveidā uzbruka lietotājiem Ukrainā. Šī uzbrukuma ietekme bija milzīga, un ekonomiskie zaudējumi vēl nav aprēķināti. Vienas dienas laikā tika paralizēts desmitiem banku darbs, mazumtirdzniecības ķēdes, valsts aģentūras un dažādu īpašumtiesību formu uzņēmumi. Vīruss izplatījās galvenokārt Ukrainas grāmatvedības atskaišu sistēmas MeDoc ievainojamības dēļ ar jaunāko automātiska atjaunināšana no šīs programmatūras. Turklāt vīruss ir skāris tādas valstis kā Krievija, Spānija, Lielbritānija, Francija un Lietuva.

Noņemiet Petya un Mischa vīrusu, izmantojot automātisko tīrīšanas līdzekli

Ekskluzīvi efektīva metode darbs ar ļaunprātīgu programmatūru kopumā un jo īpaši ar izspiedējprogrammatūru. Pārbaudīta aizsargkompleksa izmantošana garantē rūpīgu jebkādu vīrusu komponentu noteikšanu, to pilnīga noņemšana ar vienu klikšķi. Lūdzu, ņemiet vērā, ka mēs runājam par diviem dažādi procesi: atinstalējiet infekciju un atjaunojiet failus datorā. Tomēr draudi noteikti ir jānovērš, jo ir informācija par citu datoru Trojas zirgu ieviešanu, kas to izmanto.

  1. . Pēc programmatūras palaišanas noklikšķiniet uz pogas Sāciet datora skenēšanu(Sāciet skenēšanu).
  2. Instalētā programmatūra sniegs ziņojumu par skenēšanas laikā atklātajiem draudiem. Lai noņemtu visus atklātos draudus, atlasiet opciju Novērst draudus(Novērst draudus). Attiecīgā ļaunprogrammatūra tiks pilnībā noņemta.

Atjaunojiet piekļuvi šifrētiem failiem

Kā jau minēts, Mischa ransomware bloķē failus, izmantojot spēcīgu šifrēšanas algoritmu, lai šifrētos datus nevarētu atjaunot ar burvju nūjiņas vilni, kas pietrūks, lai samaksātu nedzirdētu izpirkuma maksu (dažreiz sasniedzot pat 1000 USD). Taču dažas metodes patiešām var būt glābiņš, kas palīdzēs atgūt svarīgus datus. Zemāk varat ar tiem iepazīties.

Programma automātiska atkopšana faili (atšifrētājs)

Ir zināms ļoti neparasts apstāklis. Šī infekcija izdzēš sākotnējos failus nešifrētā veidā. Tādējādi šifrēšanas process izspiešanas nolūkos ir vērsts uz to kopijām. Tas dod iespēju tādiem programmatūra kā atjaunot izdzēstos objektus, pat ja tiek garantēta to noņemšanas uzticamība. Ļoti ieteicams izmantot failu atkopšanas procedūru, tās efektivitāte nav apšaubāma.

Sējumu ēnu kopijas

Šī pieeja ir balstīta uz Windows procedūru Rezerves kopija failus, kas tiek atkārtots katrā atkopšanas punktā. Svarīgs nosacījums strādāt šī metode: Pirms inficēšanās ir jāaktivizē funkcija “System Restore”. Tomēr pēc atjaunošanas punkta veiktās izmaiņas failā netiks parādītas atjaunotajā faila versijā.

Dublējums

Šī ir labākā no visām bezizpirkuma metodēm. Ja datu dublēšanas procedūra ir ārējais serveris tika izmantots pirms izspiedējvīrusa uzbrukuma jūsu datoram, lai atjaunotu šifrētus failus, jums vienkārši jāievada atbilstošais interfeiss, atlasiet nepieciešamie faili un sāciet datu atkopšanas mehānismu no dublējuma. Pirms operācijas veikšanas ir jāpārliecinās, ka izpirkuma programmatūra ir pilnībā noņemta.

Pārbaudiet, vai nav iespējama Petya un Mischa izpirkuma programmatūras atlikušo komponentu klātbūtne

Tīrīšana iekšā manuālais režīms ir pilns ar atsevišķu izpirkuma programmatūras fragmentu izlaišanu, kas var izvairīties no noņemšanas slēptu operētājsistēmas objektu vai reģistra elementu veidā. Lai novērstu atsevišķu ļaunprātīgu elementu daļējas saglabāšanas risku, skenējiet datoru, izmantojot uzticamu drošības programmatūras pakotni, kas specializējas ļaunprātīgā programmatūra.

Otrdien, 27. jūnijā, Ukrainas un Krievijas uzņēmumi ziņoja par masveida vīrusu uzbrukumu: uzņēmumu datori rādīja izpirkuma ziņojumu. Es sapratu, kurš kārtējo reizi cieta hakeru dēļ un kā pasargāt sevi no svarīgu datu zādzības.

Petja, ar to pietiek

Enerģētikas sektors tika uzbrukts pirmais: par vīrusu sūdzējās Ukrainas uzņēmumi Ukrenergo un Kyivenergo. Uzbrucēji viņus paralizēja datorsistēmas, taču tas neietekmēja spēkstaciju stabilitāti.

Ukraiņi internetā sāka publicēt infekcijas sekas: spriežot pēc daudzajiem attēliem, datoriem uzbruka izspiedējvīruss. Ietekmēto ierīču ekrānā parādījās ziņojums, ka visi dati ir šifrēti un ierīču īpašniekiem bija jāmaksā 300 USD izpirkuma maksa Bitcoin. Tomēr hakeri nepateica, kas notiks ar informāciju bezdarbības gadījumā, un pat neiestatīja atpakaļskaitīšanas taimeri līdz datu iznīcināšanai, kā tas bija WannaCry vīrusa uzbrukuma gadījumā.

Ukrainas Nacionālā banka (NBU) ziņoja, ka vīrusa dēļ vairāku banku darbs ir daļēji paralizēts. Kā ziņo Ukrainas mediji, uzbrukums skāra Oschadbank, Ukrsotsbank, Ukrgasbank un PrivatBank birojus.

bija inficēti datortīkli"Ukrtelecom", lidosta "Borispol", "Ukrposhta", " Jauns pasts", "Kievvodokanal" un Kijevas metro. Turklāt vīruss skāra Ukrainas mobilo sakaru operatorus - Kyivstar, Vodafone un Lifecell.

Vēlāk Ukrainas mediji noskaidroja, ka runa ir par Petya.A ļaunprogrammatūru. Tas tiek izplatīts saskaņā ar hakeriem ierasto shēmu: upuriem tiek sūtīti pikšķerēšanas e-pasta ziņojumi no manekeniem ar lūgumu atvērt pievienoto saiti. Pēc tam vīruss iekļūst datorā, šifrē failus un pieprasa izpirkuma maksu par to atšifrēšanu.

Hakeri norādīja sava Bitcoin maka numuru, uz kuru nauda jāpārskaita. Spriežot pēc darījuma informācijas, cietušie jau pārskaitījuši 1,2 bitkoīnus (vairāk nekā 168 tūkstošus rubļu).

Pēc ekspertu domām par informācijas drošība no grupas-IB uzņēmuma uzbrukuma rezultātā tika ietekmēti vairāk nekā 80 uzņēmumi. Viņu noziedzības laboratorijas vadītājs atzīmēja, ka vīruss nav saistīts ar WannaCry. Lai atrisinātu problēmu, viņš ieteica aizvērt TCP portus 1024–1035, 135 un 445.

Kurš vainīgs

Viņa steidzās pieļaut, ka uzbrukums organizēts no Krievijas vai Donbasa teritorijas, taču nekādus pierādījumus nesniedza. Ukrainas infrastruktūras ministrs ieraudzīja norāde uz vārdu “vīruss” un savā Facebook ierakstīja, ka “nav nejaušība, ka tas beidzas ar RUS”, savam minējumam pievienojot mirgojošu emocijzīmi.

Tikmēr viņš apgalvo, ka uzbrukums nekādā veidā nav saistīts ar esošo “ļaunprātīgo programmatūru”, kas pazīstama kā Petya un Mischa. Drošības eksperti apgalvo, ka jaunais vilnis skāris ne tikai Ukrainas un Krievijas uzņēmumus, bet arī uzņēmumus citās valstīs.

Tomēr pašreizējās “ļaunprātīgās programmatūras” saskarne atgādina labi zināmo Petya vīrusu, kas pirms dažiem gadiem tika izplatīts, izmantojot pikšķerēšanas saites. Decembra beigās nezināms hakeris, kurš bija atbildīgs par Petya un Mischa izpirkuma programmatūras izveidi, sāka sūtīt inficētus e-pastus ar pievienotu vīrusu GoldenEye, kas bija identisks iepriekšējās versijas kriptogrāfi.

Parastās vēstules pielikumā, kuru personāla nodaļas darbinieki bieži saņēma, bija informācija par viltus kandidātu. Vienā no failiem faktiski varēja atrast CV, bet nākamajā - vīrusu instalētāju. Tad galvenie uzbrucēja mērķi bija uzņēmumi Vācijā. 24 stundu laikā slazdā iekļuva vairāk nekā 160 Vācijas uzņēmuma darbinieku.

Hakeri identificēt neizdevās, taču ir acīmredzams, ka viņš ir Bonda fans. Programmas Petya un Mischa ir Krievijas satelītu “Petya” un “Misha” nosaukumi no filmas “Zelta acs”, kas sižetā bija elektromagnētiskie ieroči.

Sākotnējo Petya versiju sāka aktīvi izplatīt 2016. gada aprīlī. Tā prasmīgi maskējās datoros un izlikās kā likumīgas programmas, pieprasot paplašinātas administratora tiesības. Pēc aktivizēšanas programma uzvedās ārkārtīgi agresīvi: noteica stingru izpirkuma maksas samaksas termiņu, pieprasot 1,3 bitkoīnus, un pēc termiņa tā dubultoja naudas kompensāciju.

Tiesa, tad viens no Twitter lietotājiātri atrada izspiedējvīrusa vājās vietas un izveidoja vienkārša programma, kas septiņu sekunžu laikā ģenerēja atslēgu, kas ļāva atbloķēt datoru un atšifrēt visus datus bez jebkādām sekām.

Ne pirmo reizi

Maija vidū datoriem visā pasaulē uzbruka līdzīgs izspiedējvīruss WannaCrypt0r 2.0, kas pazīstams arī kā WannaCry. Tikai dažu stundu laikā viņš paralizēja simtiem tūkstošu strādnieku darbu Windows ierīces vairāk nekā 70 valstīs. Starp upuriem bija Krievijas drošības spēki, bankas un mobilo sakaru operatori. Nokļūstot upura datorā, vīruss tika šifrēts HDD un pieprasīja nosūtīt uzbrucējiem 300 USD bitkoinos. Trīs dienas tika atvēlētas pārdomām, pēc tam summa tika dubultota, un pēc nedēļas faili tika šifrēti uz visiem laikiem.

Tomēr upuri nesteidzās maksāt izpirkuma maksu, un ļaunprogrammatūras radītāji

Vīrusi ir neatņemama ekosistēmas sastāvdaļa operētājsistēmas. Vairumā gadījumu mēs runājam par Windows un Android, un, ja jums patiešām nepaveicas, par OS X un Linux. Turklāt, ja iepriekš masu vīrusi bija vērsti tikai uz personas datu zagšanu un vairumā gadījumu vienkārši uz failu sabojāšanu, tagad šifrētāji “valda pāri”.


Un tas nav pārsteidzoši - gan personālo datoru, gan viedtālruņu skaitļošanas jauda ir augusi kā lavīna, kas nozīmē, ka aparatūra šādām “palaidnībām” kļūst arvien jaudīgāka.

Pirms kāda laika eksperti atklāja Petya vīrusu. G DATA SecurityLabs atklāja, ka vīrusam nepieciešama administratīvā piekļuve sistēmai, un tas nešifrē failus, bet tikai bloķē piekļuvi tiem. Mūsdienās Petya (Win32.Trojan-Ransom.Petya.A‘) aizsardzības līdzekļi jau pastāv. Vīruss pats pārveido sāknēšanas ierakstu sistēmas diskdzinī un izraisa datora avāriju, parādot ziņojumu par datu bojājumu diskā. Faktiski tā ir tikai šifrēšana.

Ļaunprātīgas programmatūras izstrādātāji pieprasīja samaksu, lai atjaunotu piekļuvi.


Tomēr šodien papildus Petya vīrusam ir parādījies vēl sarežģītāks - Miša. Tam nav nepieciešamas administratīvās tiesības, un tā šifrē datus, piemēram, klasisko Ransomware, izveidojot YOUR_FILES_ARE_ENCRYPTED.HTML un YOUR_FILES_ARE_ENCRYPTED.TXT failus diskā vai mapē ar šifrētiem datiem. Tajos ir norādījumi, kā iegūt atslēgu, kas maksā aptuveni 875 USD.

Ir svarīgi atzīmēt, ka inficēšanās notiek pa e-pastu, kas saņem exe failu ar vīrusiem, kas maskējas kā pdf dokuments. Un šeit atliek vēlreiz atgādināt - rūpīgi pārbaudiet vēstules ar pievienotajiem failiem, kā arī mēģiniet nelejupielādēt dokumentus no interneta, jo tagad doc failā vai tīmekļa lapā var iegult vīrusu vai ļaunprātīgu makro.

Mēs arī atzīmējam, ka līdz šim nav utilītu, lai atšifrētu Misha vīrusa “darbu”.

Ilustrācijas autortiesības PA Attēla paraksts Pēc ekspertu domām, cīnīties ar jauno izspiedējvīrusu ir grūtāk nekā WannaCry

27. jūnijā izpirkuma programmatūra bloķēja datorus un šifrēja failus desmitiem uzņēmumu visā pasaulē.

Tiek ziņots, ka visvairāk cietuši Ukrainas uzņēmumi – vīruss inficējis lielo uzņēmumu, valsts aģentūru un infrastruktūras objektu datorus.

Vīruss pieprasa 300 USD Bitcoin no upuriem, lai atšifrētu failus.

BBC krievu dienests atbild uz galvenajiem jautājumiem par jaunajiem draudiem.

Kurš tika ievainots?

Vīrusa izplatība sākās Ukrainā. Tika ietekmēta Borispiļas lidosta, dažas Ukrenergo reģionālās nodaļas, veikalu ķēdes, bankas, plašsaziņas līdzekļi un telekomunikāciju uzņēmumi. Arī Ukrainas valdībā nokrita datori.

Pēc tam pienāca kārta uzņēmumiem Krievijā: par vīrusa upuriem kļuva arī Rosņeftj, Bašņeftj, Mondelez International, Mars, Nivea un citi.

Kā vīruss darbojas?

Eksperti vēl nav panākuši vienprātību par jaunā vīrusa izcelsmi. Group-IB un Positive Technologies to uzskata par 2016. gada Petya vīrusa variantu.

"Šī izpirkuma programmatūra izmanto gan uzlaušanas paņēmienus, gan utilītas, un standarta komunālie pakalpojumi sistēmas administrēšana, - komentē Positive Technologies Informācijas drošības apdraudējumu reaģēšanas nodaļas vadītājs Elmārs Nabigajevs. – Tas viss garantē liels ātrums izplatību tīklā un epidēmijas masīvumu kopumā (ja vismaz viena personālais dators). Rezultāts ir pilnīga datora nedarbojamība un datu šifrēšana."

Rumānijas uzņēmums Bitdefender vairāk saskata kopīgu ar GoldenEye vīrusu, kurā Petya ir apvienota ar citu ļaunprogrammatūru ar nosaukumu Misha. Pēdējā priekšrocība ir tāda, ka tas neprasa administratora tiesības no nākamā upura, lai šifrētu failus, bet gan tos izvelk neatkarīgi.

Braiens Kambels no Fujitsu un virkne citu ekspertu uzskata, ka jaunais vīruss izmanto modificētu programmu EternalBlue, kas nozagta no ASV Nacionālās drošības aģentūras.

Pēc hakeru The Shadow Brokers šīs programmas publicēšanas 2017. gada aprīlī uz tās bāzes izveidotais WannaCry izspiedējvīruss izplatījās visā pasaulē.

Izmantojot Windows ievainojamības, šī programma ļauj vīrusam izplatīties datoros visā korporatīvais tīkls. Sākotnējā Petja tika nosūtīta caur e-pasts slēpts kā CV un var inficēt tikai datoru, kurā tika atvērts CV.

Kaspersky Lab paziņoja aģentūrai Interfax, ka izspiedējvīruss nepieder iepriekš zināmām ļaunprātīgas programmatūras ģimenēm.

“Kaspersky Lab programmatūras produkti atklāj šo ļaunprātīgo programmatūru kā UDS:DangeroundObject.Multi.Generic,” atzīmēja Kaspersky Lab pretvīrusu izpētes nodaļas vadītājs Vjačeslavs Zakorževskis.

Kopumā, ja saucat jauno vīrusu tā krievu valodā, jums jāpatur prātā, ka pēc izskata tas vairāk izskatās pēc Frankenšteina briesmona, jo tas ir salikts no vairākām ļaunprātīgām programmām. Noteikti zināms, ka vīruss piedzima 2017. gada 18. jūnijā.

Attēla paraksts Vīruss pieprasa 300 USD, lai atšifrētu failus un atbloķētu datoru.

Foršāks par WannaCry?

WannaCry bija nepieciešamas tikai dažas dienas 2017. gada maijā, lai kļūtu par lielāko šāda veida kiberuzbrukumu vēsturē. Vai jaunais ransomware vīruss pārspēs savu neseno priekšgājēju?

Nepilnas dienas laikā uzbrucēji no saviem upuriem saņēma 2,1 bitkoinu – aptuveni 5 tūkstošus dolāru. Tajā pašā laika posmā WannaCry savāca 7 bitkoīnus.

Tajā pašā laikā, pēc Elmāra Nabigajeva no Positive Technologies teiktā, cīnīties ar jauno izspiedējvīrusu ir grūtāk.

"Papildus [Windows ievainojamības] izmantošanai šie draudi tiek izplatīti arī ar operētājsistēmu kontiem, kas nozagti, izmantojot īpašus uzlaušanas rīkus," atzīmēja eksperts.

Kā cīnīties ar vīrusu?

Profilakses nolūkos eksperti iesaka laicīgi instalēt operētājsistēmu atjauninājumus un pārbaudīt pa e-pastu saņemtos failus.

Uzlabotiem administratoriem ieteicams īslaicīgi atspējot servera ziņojumu bloka (SMB) tīkla pārsūtīšanas protokolu.

Ja jūsu datori ir inficēti, nekādā gadījumā nevajadzētu maksāt uzbrucējiem. Nav garantijas, ka pēc maksājuma saņemšanas viņi atšifrēs failus, nevis prasīs vairāk.

Atliek tikai gaidīt atšifrēšanas programmu: WannaCry gadījumā tā būs jāizveido speciālistam Francijas uzņēmums Adrien Guinier's Quarkslab aizņēma nedēļu.

Pirmo AIDS izpirkuma programmu (PC Cyborg) uzrakstīja biologs Džozefs Pops 1989. gadā. Viņa slēpa direktorijus un šifrētus failus, pieprasot par to samaksāt 189 USD" licences atjaunošana" uz kontu Panamā. Pops izplatīja savu ideju, izmantojot disketes pa parasto pastu, kopā veidojot aptuveni 20 tūkst.jahtasūtījumi. Pops tika aizturēts, mēģinot iekasēt čeku, taču izvairījās no tiesas – 1991. gadā viņš tika atzīts par vājprātīgu.