Čo je vírus Misha a Petya. Podobne ako Peťa, Mišov priateľ: čo je známe o novom ransomvérovom víruse. Skontrolujte možné zvyškové komponenty ransomvéru Petya a Mischa

Začiatkom mája bolo ransomvérom infikovaných približne 230 000 počítačov vo viac ako 150 krajinách. Kým obete stihli odstrániť následky tohto útoku, nasledoval nový – s názvom Peťa. Najväčší ukrajinský a Ruské spoločnosti ako aj vládne agentúry.

Kybernetická polícia Ukrajiny zistila, že útok vírusu sa začal prostredníctvom mechanizmu aktualizácie účtovného softvéru M.E.Doc, ktorý sa používa na prípravu a odosielanie daňových priznaní. Zistilo sa teda, že siete Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo a elektrizačný systém Dnepra neunikli infekcii. Na Ukrajine vírus prenikol do vládnych počítačov, počítačov kyjevského metra, telekomunikačných operátorov a dokonca aj jadrovej elektrárne v Černobyle. V Rusku trpeli Mondelez International, Mars a Nivea.

Vírus Petya využíva zraniteľnosť EternalBlue na operačnej sále systém Windows. Experti Symantec a F-Secure tvrdia, že zatiaľ čo Petya šifruje dáta ako WannaCry, trochu sa líši od iných typov ransomvéru. „Petyin vírus je nový druh ransomvér so zlým úmyslom: nešifruje len súbory na disku, ale blokuje celý disk, čím sa stáva prakticky nepoužiteľným, vysvetľuje F-Secure. "Šifruje najmä hlavnú tabuľku súborov MFT."

Ako sa to deje a dá sa tomuto procesu zabrániť?

Petya virus - ako to funguje?

Vírus Petya je známy aj pod inými názvami: Petya.A, PetrWrap, NotPetya, ExPetr. Keď sa dostane do počítača, stiahne ransomvér z internetu a pokúsi sa zasiahnuť časť pevný disk s údajmi potrebnými na spustenie počítača. Ak uspeje, systém vydá modrú obrazovku smrti (“ modrá obrazovka smrti"). Po reštarte sa zobrazí správa ťažké disk s výzvou, aby ste nevypínali napájanie. Vírus ransomware teda predstiera, že ním je systémový program kontrolou disku a zároveň šifrovaním súborov s určitými príponami. Na konci procesu sa zobrazí hlásenie o uzamknutí počítača a informácie o tom, ako získať digitálny kľúč na dešifrovanie údajov. Vírus Petya požaduje výkupné, zvyčajne v bitcoinech. Ak obeť nemá záložnú kópiu súborov, stojí pred voľbou - zaplatiť sumu 300 dolárov alebo stratiť všetky informácie. Podľa niektorých analytikov sa vírus iba maskuje ako ransomware, pričom jeho skutočným cieľom je spôsobiť obrovské škody.

Ako sa zbaviť Petya?

Odborníci zistili, že vírus Petya hľadá lokálny súbor a ak tento súbor už na disku existuje, ukončí proces šifrovania. To znamená, že používatelia môžu chrániť svoj počítač pred ransomware vytvorením tohto súboru a jeho nastavením len na čítanie.

Napriek tomu, že táto prefíkaná schéma zabraňuje spusteniu procesu vydierania, možno túto metódu považovať skôr za „počítačové očkovanie“. Používateľ si teda bude musieť súbor vytvoriť sám. Môžete to urobiť nasledujúcim spôsobom:

  • Najprv sa musíte vysporiadať s príponou súboru. Uistite sa, že v okne "Možnosti priečinka" nie je začiarknuté políčko "Skryť rozšírenia pre známe typy súborov".
  • Otvorte priečinok C:\Windows, prejdite nadol, kým neuvidíte program notepad.exe.
  • Kliknite ľavým tlačidlom myši na notepad.exe, potom stlačte Ctrl + C na kopírovanie a potom Ctrl + V na prilepenie súboru. Zobrazí sa výzva na povolenie kopírovania súboru.
  • Kliknite na tlačidlo "Pokračovať" a súbor sa vytvorí ako poznámkový blok - Copy.exe. Kliknite ľavým tlačidlom myši na tento súbor a stlačte kláves F2, potom odstráňte názov súboru Copy.exe a zadajte perfc.
  • Po zmene názvu súboru na perfc stlačte Enter. Potvrďte premenovanie.
  • Teraz, keď bol súbor perfc vytvorený, musíme ho nastaviť len na čítanie. Ak to chcete urobiť, kliknite kliknite pravým tlačidlom myši myšou nad súborom a zvoľte "Vlastnosti".
  • Otvorí sa ponuka vlastností pre tento súbor. V dolnej časti uvidíte „Iba na čítanie“. Začiarknite políčko.
  • Teraz kliknite na tlačidlo "Použiť" a potom na tlačidlo "OK".

Niektorí bezpečnostní experti navrhujú, aby ste okrem súboru C:\windows\perfc vytvorili aj súbory C:\Windows\perfc.dat a C:\Windows\perfc.dll na lepšiu ochranu pred Petya vírus. Pre tieto súbory môžete zopakovať vyššie uvedené kroky.

Gratulujeme, váš počítač je chránený pred NotPetya / Petya!

Odborníci spoločnosti Symantec dávajú používateľom počítačov niekoľko rád, aby im zabránili vo veciach, ktoré by mohli viesť k zablokovaniu súboru alebo strate peňazí.

  1. Neplaťte peniaze podvodníkom. Aj keď prevediete peniaze na ransomvér, neexistuje žiadna záruka, že budete môcť znova získať prístup k svojim súborom. A v prípade NotPetya / Petya je to v podstate bezvýznamné, pretože účelom šifrovača je zničiť dáta, nie získať peniaze.
  2. Uistite sa, že tvoríte pravidelne zálohyúdajov. V tomto prípade, aj keď sa váš počítač stane cieľom ransomvérového útoku, budete môcť obnoviť všetky odstránené súbory.
  3. Neotvárať e-maily s pochybnými adresami.Útočníci sa vás pokúsia oklamať, aby ste si nainštalovali malvér, alebo sa pokúsia získať dôležité údaje o útoku. Nezabudnite upozorniť IT odborníkov, ak vy alebo vaši zamestnanci dostanete podozrivé e-maily alebo odkazy.
  4. Používajte spoľahlivé softvér. Včasná aktualizácia antivírusových programov hrá dôležitú úlohu pri ochrane počítačov pred infekciami. A samozrejme treba využívať produkty renomovaných firiem v tejto oblasti.
  5. Použite mechanizmy na skenovanie a blokovanie spamových správ. Prichádzajúce e-maily by sa mali kontrolovať na hrozby. Je dôležité, aby všetky typy správ, ktoré obsahujú odkazy alebo typické Kľúčové slová phishing.
  6. Uistite sa, že všetky programy sú aktuálne. Pravidelné opravy softvérových zraniteľností sú nevyhnutné na prevenciu infekcií.

Máme očakávať nové útoky?

Vírus Petya sa prvýkrát objavil v marci 2016 a bezpečnostní experti si jeho správanie okamžite všimli. Nový vírus Petya zasiahol počítače na Ukrajine a v Rusku koncom júna 2017. Ale je nepravdepodobné, že sa to skončí. Hackerské útoky využívajúce ransomvérové ​​vírusy podobné Petya a WannaCry sa budú opakovať, povedal Stanislav Kuznecov, podpredseda predstavenstva Sberbank. V rozhovore pre TASS varoval, že k takýmto útokom určite dôjde, no je ťažké vopred predpovedať, v akej forme a formáte by sa mohli objaviť.

Ak ste po všetkých minulých kybernetických útokoch ešte neurobili aspoň minimálne kroky na ochranu počítača pred šifrovacím vírusom, potom je čas pustiť sa do toho.

Pred niekoľkými mesiacmi sme spolu s ďalšími odborníkmi na IT bezpečnosť objavili nový malvér – Petya (Win32.Trojan-Ransom.Petya.A). V klasickom zmysle nešlo o ransomvér, vírus jednoducho zablokoval prístup k určitým typom súborov a požadoval výkupné. Vírus upravený zavádzací záznam na pevnom disku, násilne reštartoval počítač a zobrazil správu, že „údaje sú zašifrované – zažeňte svoje peniaze na dešifrovanie“. Vo všeobecnosti ide o štandardnú schému ransomvérových vírusov, okrem toho, že súbory NEBOLI v skutočnosti šifrované. Najpopulárnejšie antivírusy začali identifikovať a odstraňovať Win32.Trojan-Ransom.Petya.A v priebehu niekoľkých týždňov od jeho vydania. Okrem toho existujú pokyny na manuálne odstránenie. Prečo si myslíme, že Petya nie je klasický ransomvér? Tento vírus robí zmeny v hlavnom zavádzacom zázname a zabraňuje spusteniu operačného systému a tiež šifruje hlavnú tabuľku súborov (hlavnú tabuľku súborov). Nešifruje samotné súbory.

Pred pár týždňami sa však objavil sofistikovanejší vírus. mischa, ktorú zrejme napísali tí istí podvodníci. Tento vírus ŠIFRUJE súbory a vyžaduje, aby ste zaplatili 500 – 875 USD za dešifrovanie (v rôzne verzie 1,5 – 1,8 bitcoinov). Pokyny na „dešifrovanie“ a platbu zaň sú uložené v súboroch YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – obsah súboru YOUR_FILES_ARE_ENCRYPTED.HTML

Teraz v skutočnosti hackeri infikujú počítače používateľov dvoma malvérmi: Petya a Mischa. Prvý potrebuje administrátorské práva v systéme. To znamená, že ak používateľ odmietne udeliť Petyovi administrátorské práva alebo tento malvér odstráni manuálne, Mischa sa zapojí. Tento vírus nepotrebuje práva správcu, je to klasický ransomvér a skutočne šifruje súbory pomocou silného algoritmu AES bez toho, aby vykonal akékoľvek zmeny v hlavnom zavádzacom zázname a tabuľke súborov na pevnom disku obete.

Malvér Mischa šifruje nielen štandardné typy súborov (videá, obrázky, prezentácie, dokumenty), ale aj súbory .exe. Vírus neovplyvňuje iba adresáre \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox, \Opera, \ internet Explorer, \Temp, \Local, \LocalLow a \Chrome.

K infekcii dochádza najmä prostredníctvom e-mailu, kde príde list s priloženým súborom – inštalátor vírusu. Môže byť zašifrovaný ako list z daňového úradu, od vášho účtovníka, ako priložené účtenky a nákupné doklady atď. Dávajte pozor na prípony súborov v takýchto písmenách - ak ide o spustiteľný súbor (.exe), potom s vysokou pravdepodobnosťou môže ísť o kontajner s vírusom Petya\Mischa. A ak je modifikácia škodlivého softvéru čerstvá, váš antivírus nemusí reagovať.

Aktualizácia 30.06.2017: 27. júna upravená verzia vírusu Petya (Petya.A) masívne napádal užívateľov na Ukrajine. Účinok tohto útoku bol obrovský a ekonomické škody ešte neboli vyčíslené. Za jeden deň bola paralyzovaná práca desiatok bánk, obchodné reťazceštátne inštitúcie a podniky rôznych foriem vlastníctva. Vírus sa šíril predovšetkým cez zraniteľnosť v ukrajinskom účtovnom systéme MeDoc s najnovším automatická aktualizácia tento softvér. Okrem toho vírus zasiahol aj krajiny ako Rusko, Španielsko, Veľká Británia, Francúzsko, Litva.

Odstráňte vírus Petya a Mischa pomocou automatického čističa

Výhradne efektívna metóda zaoberajúce sa malvérom vo všeobecnosti a ransomvérom konkrétne. Použitie overeného bezpečnostného komplexu zaručuje dôkladnosť detekcie akýchkoľvek vírusových komponentov, ich úplné odstránenie jedným kliknutím. Upozorňujeme, že sú dve rôzne procesy: odinštalujte infekciu a obnovte súbory v počítači. Hrozbu však určite treba odstrániť, keďže existujú informácie o zavedení ďalších počítačových trójskych koní s jej pomocou.

  1. . Po spustení softvéru kliknite na tlačidlo Spustite kontrolu počítača(Spustiť skenovanie).
  2. Nainštalovaný softvér poskytne správu o hrozbách zistených počas kontroly. Ak chcete odstrániť všetky nájdené hrozby, vyberte túto možnosť Opravte hrozby(Odstrániť hrozby). Príslušný malvér bude úplne odstránený.

Obnovte prístup k zašifrovaným súborom

Ako už bolo uvedené, ransomvér Mischa uzamkne súbory pomocou silného šifrovacieho algoritmu, takže šifrované údaje nie je možné obnoviť mávnutím čarovného prútika - pokiaľ neberiete do úvahy platbu neslýchaného výkupného (niekedy až 1 000 $). Niektoré metódy sa však skutočne môžu stať záchrancom, ktorý vám pomôže obnoviť dôležité údaje. Nižšie sa s nimi môžete zoznámiť.

Program na automatické obnovenie súborov (decryptor)

Je známa veľmi nezvyčajná okolnosť. Táto infekcia vymaže pôvodné súbory v nezašifrovanej forme. Vydieračský proces šifrovania sa tak zameriava na ich kópie. To umožňuje softvérovým nástrojom, ako je obnova odstránených objektov, aj keď je zaručená spoľahlivosť ich odstránenia. Dôrazne sa odporúča uchýliť sa k postupu obnovy súboru, jeho účinnosť je nepochybná.

Objemové tieňové kópie

Tento prístup je založený na postupe Windows Rezervovať kópiu súborov, čo sa opakuje v každom bode obnovenia. Dôležitá podmienka práca túto metódu: Obnovenie systému musí byť aktivované pred infekciou. Akékoľvek zmeny vykonané v súbore po bode obnovenia sa však neprejavia v obnovenej verzii súboru.

Zálohovanie

Toto je najlepšia zo všetkých metód bez výkupu. Ak je postup zálohovania údajov zapnutý externý server bol použitý predtým, ako ransomvér zaútočil na váš počítač, na obnovenie zašifrovaných súborov stačí zadať príslušné rozhranie, vybrať potrebné súbory a spustite mechanizmus na obnovu dát zo zálohy. Pred vykonaním operácie sa musíte uistiť, že ransomvér je úplne odstránený.

Skontrolujte možné zvyškové komponenty ransomvéru Petya a Mischa

Upratovanie v manuálny mód je plná vynechania jednotlivých fragmentov ransomvéru, ktoré sa môžu vyhnúť odstráneniu vo forme skrytých objektov operačného systému alebo položiek registra. Aby ste eliminovali riziko čiastočného uchovania jednotlivých škodlivých prvkov, skenujte svoj počítač pomocou spoľahlivého bezpečnostného softvérového balíka, ktorý sa špecializuje na malvér.

V utorok 27. júna ukrajinské a ruské spoločnosti ohlásili masívny vírusový útok: počítače v podnikoch zobrazili správu požadujúcu výkupné. Prišiel som na to, kto opäť trpel kvôli hackerom a ako sa chrániť pred krádežou dôležitých údajov.

Peter, dosť

Ako prvý bol napadnutý energetický sektor: na vírus sa sťažovali ukrajinské spoločnosti Ukrenergo a Kyivenergo. Votrelci ich paralyzovali počítačové systémy, čo však neovplyvnilo stabilitu elektrární.

Ukrajinci začali zverejňovať následky infekcie na sieti: súdiac podľa množstva obrázkov, počítače boli napadnuté vírusom ransomware. Na obrazovke dotknutých zariadení vyskočila správa, že všetky dáta sú zašifrované a majitelia zariadení musia zaplatiť výkupné 300 dolárov v bitcoinoch. Hackeri zároveň nepovedali, čo sa stane s informáciami v prípade nečinnosti, a nenastavili ani odpočítavanie času, kým budú dáta zničené, ako to bolo v prípade útoku vírusom WannaCry.

Národná banka Ukrajiny (NBÚ) informovala, že v dôsledku vírusu bola čiastočne paralyzovaná práca viacerých bánk. Podľa ukrajinských médií útok zasiahol kancelárie Oschadbank, Ukrsotsbank, Ukrgasbank a PrivatBank.

boli infikovaní počítačové siete Ukrtelecom, letisko Boryspil, Ukrposhta, Novaya Poshta, Kievvodokanal a metro v Kyjeve. Okrem toho vírus zasiahol ukrajinských mobilných operátorov - Kyivstar, Vodafone a Lifecell.

Neskôr ukrajinské médiá spresnili, že išlo o malvér Petya.A. Je distribuovaný podľa bežnej schémy pre hackerov: phishingové e-maily sú posielané obetiam od figurín, ktoré ich žiadajú, aby otvorili vložený odkaz. Potom sa vírus dostane do počítača, zašifruje súbory a za ich dešifrovanie požaduje výkupné.

Hackeri uviedli číslo svojej bitcoinovej peňaženky, na ktorú majú byť prevedené peniaze. Súdiac podľa informácií o transakciách, obete už previedli 1,2 bitcoinov (viac ako 168 tisíc rubľov).

Podľa odborníkov v informačná bezpečnosť zo skupiny Group-IB bolo útokom zasiahnutých viac ako 80 spoločností. Vedúci ich kriminálneho laboratória poznamenal, že vírus nesúvisí s WannaCry. Na vyriešenie problému odporučil zatvoriť porty TCP 1024–1035, 135 a 445.

Kto je vinný

Ponáhľala sa predpokladať, že útok bol organizovaný z územia Ruska alebo Donbasu, no neposkytla žiadne dôkazy. Minister infraštruktúry Ukrajiny videl naznačil v slove „vírus“ a na svojom Facebooku napísal, že „nie je náhoda, že končí v RUS“, pričom svoj odhad opatril žmurkajúcim emotikonom.

Medzitým tvrdí, že útok nemá nič spoločné s existujúcim „malvérom“ známym ako Petya a Mischa. Bezpečnostní predstavitelia tvrdia, že nová vlna zasiahla nielen ukrajinské a ruské spoločnosti, ale aj podniky v iných krajinách.

Súčasný „malvér“ však z hľadiska rozhrania pripomína známy vírus Petya, ktorý bol pred niekoľkými rokmi distribuovaný prostredníctvom phishingových odkazov. Neznámy hacker zodpovedný za vytvorenie ransomvéru Petya a Mischa začal koncom decembra odosielať infikované e-maily so zabudovaným vírusom GoldenEye, ktorý bol identický s predchádzajúce verzie kryptografov.

Príloha k bežnému listu, ktorý často dostávalo personálne oddelenie, obsahovala informácie o fiktívnom kandidátovi. V jednom zo súborov sa skutočne dalo nájsť zhrnutie a v ďalšom inštalátor vírusov. Potom boli hlavným cieľom útočníka firmy v Nemecku. Počas dňa padlo do pasce viac ako 160 zamestnancov nemeckej spoločnosti.

Hackera nebolo možné vypočítať, no je zrejmé, že je fanúšikom Bonda. Programy Petya a Mischa sú názvy ruských satelitov "Petya" a "Misha" z filmu "Golden Eye", ktoré boli podľa sprisahania elektromagnetickými zbraňami.

Pôvodná verzia Petya sa začala aktívne distribuovať v apríli 2016. Šikovne sa zamaskovala na počítačoch a vydávala sa za legitímne programy so žiadosťou o rozšírené administrátorské práva. Po aktivácii sa program správal mimoriadne agresívne: stanovil tvrdý termín na zaplatenie výkupného, ​​požadoval 1,3 bitcoinov a po termíne zdvojnásobil peňažnú kompenzáciu.

Pravda, potom jeden z Používatelia služby Twitter rýchlo našiel slabé miesta ransomvéru a vytvoril jednoduchý program, ktorý za sedem sekúnd vygeneroval kľúč, ktorý vám umožní odomknúť počítač a dešifrovať všetky dáta bez akýchkoľvek následkov.

Nie prvýkrát

V polovici mája napadol počítače po celom svete podobný ransomvérový vírus WannaCrypt0r 2.0, známy aj ako WannaCry. Len za pár hodín paralyzoval prácu státisícov robotníkov na Zariadenia so systémom Windows vo viac ako 70 krajinách. Medzi obeťami boli ruské orgány činné v trestnom konaní, banky a mobilných operátorov. Keď sa vírus dostal do počítača obete, zašifroval sa HDD a požadovali poslať útočníkom 300 dolárov v bitcoinoch. Na rozmyslenie boli pridelené tri dni, po ktorých sa suma zdvojnásobila a o týždeň neskôr boli súbory navždy zašifrované.

Obete sa však s prevodom výkupného neponáhľali a tvorcovia „malvéru“

Vírusy sú neoddeliteľnou súčasťou ekosystému operačné systémy. Vo väčšine prípadov hovoríme o Windowse a Androide a ak máte úplnú smolu, tak o OS X a Linuxe. Navyše, ak sa predchádzajúce masové vírusy zameriavali iba na krádež osobných údajov a vo väčšine prípadov jednoducho na poškodenie súborov, teraz „vládnu šifry“.


A nie je sa čomu čudovať – výpočtový výkon PC aj smartfónov narástol ako lavína, čo znamená, že hardvér na takéto „huncútstvo“ je čoraz výkonnejší.

Pred časom odborníci objavili vírus Petya. G DATA SecurityLabs zistili, že vírus potrebuje administratívny prístup do systému, pričom súbory nešifruje, ale iba blokuje prístup k nim. Od dnešného dňa už nástroje od Petya (Win32.Trojan-Ransom.Petya.A‘) existujú. Samotný vírus upraví zavádzací záznam na systémovej jednotke a spôsobí zlyhanie počítača, pričom zobrazí hlásenie o poškodení údajov na disku. V skutočnosti je to len šifrovanie.

Vývojári malvéru požadovali platbu za obnovenie prístupu.


K dnešnému dňu sa však okrem vírusu Petya objavil ešte sofistikovanejší - Misha. Nepotrebuje administrátorské práva a dáta šifruje ako klasický Ransomware, pričom vytvára súbory YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT na disku alebo v priečinku so zašifrovanými dátami. Obsahujú návod na získanie kľúča, ktorého cena je približne 875 dolárov.

Je dôležité poznamenať, že infekcia sa vyskytuje prostredníctvom e-mailu, ktorý dostane exe súbor s vírusmi maskovaný ako pdf dokument. A tu zostáva pripomenúť - starostlivo skontrolujte písmená s pripojenými súbormi a tiež sa snažte nesťahovať dokumenty z internetu, pretože teraz môže byť vírus alebo škodlivé makro vložené do súboru doc ​​alebo webovej stránky.

Poznamenávame tiež, že zatiaľ neexistujú žiadne nástroje na dešifrovanie „práce“ vírusu Misha.

Autorské práva k obrázku PA Popis obrázku Boj proti novému ransomvéru je podľa odborníkov ťažší ako WannaCry

27. júna ransomvér zablokoval počítače a zašifroval súbory v desiatkach spoločností po celom svete.

Uvádza sa, že najviac utrpeli ukrajinské spoločnosti - vírus infikoval počítače veľkých spoločností, vládnych agentúr a infraštruktúrnych zariadení.

Na dešifrovanie súborov vírus vyžaduje, aby obete zaplatili 300 dolárov v bitcoinoch.

Ruská služba BBC odpovedá na hlavné otázky o novej hrozbe.

Kto sa zranil?

Šírenie vírusu sa začalo na Ukrajine. Postihnuté boli letisko Boryspil, niektoré regionálne divízie Ukrenerga, obchodné reťazce, banky, médiá a telekomunikačné spoločnosti. Vypnuté boli aj počítače vo vláde Ukrajiny.

Potom prišli na rad spoločnosti v Rusku: obeťou vírusu sa stali aj Rosneft, Bashneft, Mondelez International, Mars, Nivea a ďalšie.

Ako funguje vírus?

Odborníci zatiaľ nedospeli ku konsenzu o pôvode nového vírusu. Group-IB a Positive Technologies to považujú za variáciu vírusu Petya z roku 2016.

„Tento ransomvér využíva hackerské techniky aj nástroje a štandardné služby správa systému, - komentuje Elmar Nabigaev, vedúci oddelenia reakcie na hrozby informačnej bezpečnosti v spoločnosti Positive Technologies. - To všetko zaručuje vysoká rýchlosť distribúcia v rámci siete a hromadná povaha epidémie ako celku (keď je aspoň jedna osobný počítač). Výsledkom je úplná nefunkčnosť počítača a šifrovania dát.“

Rumunská spoločnosť Bitdefender vidí viac spoločného s vírusom GoldenEye, ktorý spája Petya s ďalším malvérom s názvom Misha. Výhodou toho druhého je, že na šifrovanie súborov nevyžaduje od budúcej obete práva správcu, ale extrahuje ich sám.

Brian Campbell od Fujitsu a množstvo ďalších odborníkov sa domnieva, že nový vírus využíva upravený program EternalBlue ukradnutý z americkej Národnej bezpečnostnej agentúry.

Po zverejnení tohto programu hackermi The Shadow Brokers v apríli 2017 sa ransomvérový vírus WannaCry vytvorený na jeho základe rozšíril po celom svete.

Využitím zraniteľností systému Windows tento program umožňuje šírenie vírusu do počítačov firemná sieť. Pôvodná Petya bola odoslaná cez e-mail pod rúškom životopisu a mohol by infikovať iba počítač, kde bol tento životopis otvorený.

Spoločnosť Kaspersky Lab pre Interfax uviedla, že vírus ransomware nepatrí do predtým známych rodín malvéru.

„Softvérové ​​produkty Kaspersky Lab detegujú tento malvér ako UDS:DangeroundObject.Multi.Generic,“ povedal Vyacheslav Zakorzhevsky, vedúci oddelenia výskumu antivírusov v Kaspersky Lab.

Vo všeobecnosti, ak nazvete nový vírus ruským menom, musíte mať na pamäti, že navonok vyzerá skôr ako Frankensteinovo monštrum, pretože je zostavený z niekoľkých škodlivých programov. Je isté, že vírus sa narodil 18. júna 2017.

Popis obrázku Na dešifrovanie súborov a odomknutie počítača vírus vyžaduje 300 dolárov

Lepšie ako WannaCry?

WannaCry trvalo len pár dní v máji 2017, kým dosiahol status najmasovejšieho kybernetického útoku svojho druhu v histórii. Prekoná nový ransomvér svojho nedávneho predchodcu?

Za necelý deň útočníci dostali od svojich obetí 2,1 bitcoinu – asi 5000 dolárov. WannaCry za rovnaké obdobie nazbieralo 7 bitcoinov.

Podľa Elmara Nabigaeva z Positive Technologies je zároveň s novým vydieračom ťažšie bojovať.

„Okrem exploitu [zraniteľnosti vo Windowse] sa táto hrozba šíri aj pomocou účtov operačného systému ukradnutých pomocou špeciálnych hackerských nástrojov,“ poznamenal expert.

Ako sa vysporiadať s vírusom?

Ako preventívne opatrenie odborníci odporúčajú včasnú inštaláciu aktualizácií operačných systémov a kontrolu súborov prijatých e-mailom.

Pokročilým správcom sa odporúča dočasne vypnúť sieťový komunikačný protokol Server Message Block (SMB).

Ak sú počítače infikované, v žiadnom prípade útočníkom neplaťte. Neexistuje žiadna záruka, že keď dostanú zaplatené, dešifrujú súbory a nebudú požadovať viac.

Zostáva len čakať na dešifrovací program: v prípade WannaCry ho bude musieť vytvoriť špecialista francúzska spoločnosť Quarkslab od Adriena Guiniera je týždeň preč.

Prvý ransomvér proti AIDS (PC Cyborg) napísal biológ Joseph Popp v roku 1989. Skryla adresáre a zašifrované súbory, za ktoré požadovala 189 dolárov" Obnovenie licencie" na účet v Paname. Popp distribuoval svoje duchovné dieťa pomocou diskiet bežnou poštou, čím bolo spolu asi 20 tis.bunkaodchody. Popp bol zadržaný pri pokuse preplatiť šek, ale unikol súdu - v roku 1991 bol vyhlásený za nepríčetného.