ไวรัส Petya ตัวใหม่ปลอมตัวเป็นเรซูเม่ของเจ้าหน้าที่ฝ่ายบุคคล ไวรัส Petya: ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับไวรัสนี้ ไวรัส Petya การติดเชื้อเกิดขึ้นได้อย่างไร

ข้อสรุปนี้เป็นผลจากการศึกษาของบริษัทสองแห่งพร้อมกัน ได้แก่ Comae Technologies และ Kaspersky Lab

มัลแวร์ Petya ดั้งเดิมซึ่งค้นพบในปี 2559 เป็นเครื่องจักรสร้างรายได้ ตัวอย่างนี้ไม่ได้มีไว้สำหรับสร้างรายได้อย่างแน่นอน ภัยคุกคามได้รับการออกแบบให้แพร่กระจายอย่างรวดเร็วและสร้างความเสียหายและปลอมตัวเป็นแรนซัมแวร์

NotPetya ไม่ใช่เครื่องมือล้างข้อมูลบนดิสก์ ภัยคุกคามไม่ได้ลบข้อมูล แต่เพียงทำให้ไม่สามารถใช้งานได้โดยการล็อกไฟล์และทิ้งคีย์ถอดรหัส

นักวิจัยอาวุโสจาก Kaspersky Lab Juan Andre Guerrero-Saade แสดงความคิดเห็นเกี่ยวกับสถานการณ์นี้:

ในหนังสือของฉัน การติดแรนซัมแวร์โดยไม่มีกลไกการถอดรหัสที่เป็นไปได้นั้นเทียบเท่ากับการล้างดิสก์ โดยไม่คำนึงถึงกลไกการถอดรหัสที่ทำงานได้ ผู้โจมตีแสดงให้เห็นถึงการไม่คำนึงถึงผลประโยชน์ทางการเงินในระยะยาวโดยสิ้นเชิง

ผู้เขียน Petya ransomware ดั้งเดิมทวีตว่าเขาไม่มีส่วนเกี่ยวข้องกับการพัฒนา NotPetya เขากลายเป็นอาชญากรไซเบอร์คนที่สองที่ปฏิเสธการมีส่วนร่วมในการสร้างภัยคุกคามใหม่ที่คล้ายคลึงกัน ก่อนหน้านี้ ผู้เขียน AES-NI ransomware ระบุว่าเขาไม่มีส่วนเกี่ยวข้องกับ XData ซึ่งใช้ในการโจมตียูเครนแบบกำหนดเป้าหมายด้วย นอกจากนี้ XData เช่น NotPetya ยังใช้เวกเตอร์การกระจายที่เหมือนกัน - อัปเดตเซิร์ฟเวอร์จากผู้ผลิตชาวยูเครน ซอฟต์แวร์สำหรับการบัญชี

สัญญาณทางอ้อมจำนวนมากสนับสนุนทฤษฎีที่ว่ามีคนแฮ็กแรนซัมแวร์ที่รู้จัก และใช้เวอร์ชันดัดแปลงเพื่อโจมตีผู้ใช้ชาวยูเครน

โมดูลการทำลายล้างที่ปลอมตัวเป็นแรนซัมแวร์เป็นเรื่องปกติหรือไม่?

กรณีที่คล้ายกันนี้เคยเกิดขึ้นมาก่อนแล้ว การใช้โมดูลที่เป็นอันตรายเพื่อสร้างความเสียหายอย่างถาวรให้กับไฟล์ภายใต้หน้ากากของแรนซัมแวร์ทั่วไปไม่ใช่กลยุทธ์ใหม่ ใน โลกสมัยใหม่นี่กำลังกลายเป็นเทรนด์ไปแล้ว

เมื่อปีที่แล้ว กลุ่มมัลแวร์ Shamoon และ KillDisk ได้รวม “ส่วนประกอบของแรนซัมแวร์” ไว้ด้วย และใช้เทคนิคที่คล้ายกันในการทำลายข้อมูล ทุกวันนี้ แม้แต่มัลแวร์ทางอุตสาหกรรมก็ยังได้รับฟีเจอร์การล้างข้อมูลบนดิสก์อีกด้วย

การจัด NotPetya ให้เป็นเครื่องมือทำลายข้อมูลสามารถจัดประเภทมัลแวร์ใหม่เป็นอาวุธไซเบอร์ได้อย่างง่ายดาย ในกรณีนี้ ควรพิจารณาการวิเคราะห์ผลที่ตามมาจากภัยคุกคามจากมุมมองที่ต่างออกไป

เมื่อพิจารณาถึงจุดเริ่มต้นของการติดเชื้อและจำนวนเหยื่อ เห็นได้ชัดว่าเป้าหมายของการโจมตีของแฮ็กเกอร์คือยูเครน บน ในขณะนี้ไม่มีหลักฐานที่ชัดเจนที่ชี้นิ้วไปที่ผู้โจมตี แต่เจ้าหน้าที่ยูเครนได้กล่าวโทษรัสเซียแล้ว ซึ่งพวกเขายังได้ตำหนิเกี่ยวกับเหตุการณ์ทางไซเบอร์ในอดีตย้อนหลังไปถึงปี 2014

NotPetya อาจทัดเทียมกับกลุ่มมัลแวร์ Stuxnet และ BlackEnergy ที่รู้จักกันดี ซึ่งถูกนำมาใช้เพื่อจุดประสงค์ทางการเมืองและเพื่อผลกระทบในการทำลายล้าง หลักฐานแสดงให้เห็นชัดเจนว่า NotPetya เป็นอาวุธไซเบอร์และไม่ใช่แค่แรนซัมแวร์รูปแบบก้าวร้าวเท่านั้น

สวัสดีตอนบ่ายเพื่อนๆ เมื่อไม่นานมานี้เราได้วิเคราะห์ไวรัส แรนซัมแวร์ WannaCryซึ่งแพร่กระจายไปทั่วหลายประเทศทั่วโลกในเวลาไม่กี่ชั่วโมงและติดไวรัสคอมพิวเตอร์จำนวนมาก และเมื่อปลายเดือนมิถุนายนก็มีไวรัสตัวใหม่ชื่อ Petya ปรากฏขึ้น หรือที่มักเรียกกันว่า "เพชร"

ไวรัสเหล่านี้จัดอยู่ในประเภทโทรจันแรนซัมแวร์และค่อนข้างคล้ายกัน แม้ว่าจะมีความแตกต่างในตัวเอง แต่ก็มีความสำคัญเช่นกัน ตามข้อมูลอย่างเป็นทางการ “Petya” ติดเชื้อคอมพิวเตอร์ในจำนวนที่เหมาะสมในยูเครนเป็นครั้งแรก จากนั้นจึงเริ่มการเดินทางรอบโลก

คอมพิวเตอร์ในอิสราเอล เซอร์เบีย โรมาเนีย อิตาลี ฮังการี โปแลนด์ และอื่นๆ ได้รับผลกระทบ รัสเซียอยู่ในอันดับที่ 14 ในรายการนี้ จากนั้นไวรัสก็แพร่กระจายไปยังทวีปอื่น

โดยพื้นฐานแล้ว เหยื่อของไวรัสคือบริษัทขนาดใหญ่ (มักเป็นบริษัทน้ำมัน) สนามบิน การสื่อสารเคลื่อนที่ฯลฯ ตัวอย่างเช่น บริษัท Bashneft, Rosneft, Mars, Nestlé และบริษัทอื่นๆ ที่ต้องทนทุกข์ทรมาน กล่าวอีกนัยหนึ่ง ผู้โจมตีกำลังกำหนดเป้าหมายไปยังบริษัทขนาดใหญ่ที่พวกเขาสามารถรับเงินได้

“เพชร” คืออะไร?

Petya เป็นมัลแวร์ที่เป็นแรนซัมแวร์โทรจัน ศัตรูพืชดังกล่าวถูกสร้างขึ้นโดยมีจุดประสงค์เพื่อแบล็กเมล์เจ้าของคอมพิวเตอร์ที่ติดไวรัสโดยการเข้ารหัสข้อมูลที่อยู่ในพีซี ไวรัส Petya ต่างจาก WannaCry ตรงที่ไม่ได้เข้ารหัส แยกไฟล์- โทรจันนี้จะเข้ารหัสทั้งดิสก์ ด้วยเหตุนี้จึงเป็นอันตรายมากกว่าไวรัส WannaCry

เมื่อ Petya โจมตีคอมพิวเตอร์ มันจะเข้ารหัสตาราง MFT อย่างรวดเร็ว เพื่อให้ชัดเจนยิ่งขึ้น เรามาเปรียบเทียบกัน หากคุณเปรียบเทียบไฟล์กับห้องสมุดเมืองใหญ่ เขาจะลบแคตตาล็อกออก และในกรณีนี้ เป็นการยากมากที่จะหาหนังสือที่ต้องการ

แม้จะไม่ใช่แค่ไดเร็กทอรีเท่านั้น แต่ยังรวมหน้า (ไฟล์) จากหนังสือต่างๆ เข้าด้วยกัน แน่นอนว่าในกรณีนี้ระบบล้มเหลว เป็นเรื่องยากมากสำหรับระบบที่จะคัดแยกขยะดังกล่าว เมื่อสัตว์รบกวนเข้าสู่คอมพิวเตอร์ มันจะรีบูทพีซี และหลังจากบู๊ตแล้ว กะโหลกสีแดงจะปรากฏขึ้น จากนั้นเมื่อคุณคลิกที่ปุ่มใดๆ แบนเนอร์จะปรากฏขึ้นเพื่อขอให้คุณจ่ายเงิน $300 ไปยังบัญชี Bitcoin ของคุณ

ไวรัส Petya วิธีที่จะไม่จับมัน

ใครสามารถสร้าง Petya ได้บ้าง? ยังไม่มีคำตอบสำหรับคำถามนี้ และโดยทั่วไปยังไม่ชัดเจนว่าจะมีการระบุตัวผู้เขียนหรือไม่ (ส่วนใหญ่จะไม่)? แต่ทราบมาว่าการรั่วไหลมีต้นกำเนิดมาจากประเทศสหรัฐอเมริกา ไวรัสก็เหมือนกับ WannaCry ที่กำลังมองหาช่องโหว่ในระบบปฏิบัติการ หากต้องการแก้ไขรูนี้ เพียงติดตั้งอัปเดต MS17-010 (เผยแพร่เมื่อไม่กี่เดือนก่อนระหว่างการโจมตี WannaCry) คุณสามารถดาวน์โหลดได้จากลิงค์ หรือจากเว็บไซต์ทางการของ Microsoft

ในขณะนี้ การอัปเดตนี้เป็นวิธีที่เหมาะสมที่สุดในการปกป้องคอมพิวเตอร์ของคุณ นอกจากนี้อย่าลืมเกี่ยวกับ โปรแกรมป้องกันไวรัสที่ดี- นอกจากนี้ Kaspersky Lab ยังระบุว่ามีการอัพเดตฐานข้อมูลที่บล็อกไวรัสนี้

แต่ไม่ได้หมายความว่าคุณต้องติดตั้ง Kaspersky ใช้โปรแกรมป้องกันไวรัสของคุณ เพียงอย่าลืมอัปเดตฐานข้อมูล นอกจากนี้อย่าลืมเกี่ยวกับไฟร์วอลล์ที่ดี

ไวรัส Petya แพร่กระจายได้อย่างไร?


บ่อยครั้งที่ Petya เข้าสู่คอมพิวเตอร์ของคุณผ่าน อีเมล- ดังนั้นคุณไม่ควรเปิดลิงก์ต่าง ๆ ด้วยตัวอักษร โดยเฉพาะลิงค์ที่ไม่คุ้นเคยในขณะที่ไวรัส Petya กำลังฟักตัว โดยทั่วไป ให้ตั้งกฎไว้ว่าจะไม่เปิดลิงก์จากคนแปลกหน้า ด้วยวิธีนี้ คุณจะป้องกันตัวเองไม่เพียงแต่จากไวรัสนี้ แต่ยังจากไวรัสอื่นๆ อีกมากมายด้วย

จากนั้นเมื่ออยู่ในคอมพิวเตอร์ โทรจันจะรีบูตและจำลองการตรวจสอบไฟล์ . ต่อไป ตามที่ฉันได้กล่าวไปแล้ว กะโหลกสีแดงปรากฏขึ้นบนหน้าจอ จากนั้นแบนเนอร์เสนอให้ชำระค่าถอดรหัสไฟล์โดยการโอนเงินสามร้อยดอลลาร์ไปยังกระเป๋าเงิน Bitcoin

ฉันจะบอกทันทีว่าคุณไม่จำเป็นต้องจ่ายเงินไม่ว่าในกรณีใด ๆ ! พวกเขาจะไม่ถอดรหัสมันให้คุณอยู่แล้ว เพียงแค่ใช้เงินของคุณและบริจาคให้กับผู้สร้างโทรจัน ไวรัสนี้ไม่ได้มีไว้สำหรับการถอดรหัส

ไวรัส Petya ป้องกันตัวเองอย่างไร

มาดูการป้องกันไวรัส Petya กันดีกว่า:

  1. ฉันได้กล่าวถึงการอัปเดตระบบแล้ว นี่คือจุดที่สำคัญที่สุด แม้ว่าคุณจะมีระบบละเมิดลิขสิทธิ์ คุณก็ต้องดาวน์โหลดและติดตั้งอัพเดต MS17-010
  2. ใน การตั้งค่าวินโดวส์เปิดใช้งาน "แสดงนามสกุลไฟล์" ด้วยเหตุนี้คุณจึงสามารถดูนามสกุลไฟล์และลบไฟล์ที่น่าสงสัยได้ ไฟล์ไวรัสมีนามสกุล - exe
  3. กลับมาที่ตัวอักษรกันดีกว่า อย่าคลิกลิงก์หรือไฟล์แนบจากคนแปลกหน้า และโดยทั่วไป ในระหว่างการกักกัน อย่าติดตามลิงก์ทางไปรษณีย์ (แม้จะมาจากคนที่คุณรู้จักก็ตาม)
  4. ขอแนะนำให้เปิดใช้งานการควบคุมบัญชีผู้ใช้
  5. คัดลอกไฟล์สำคัญไปที่ สื่อที่ถอดออกได้- สามารถคัดลอกไปยังคลาวด์ได้ สิ่งนี้จะช่วยคุณหลีกเลี่ยงปัญหามากมาย หาก Petya ปรากฏบนพีซีของคุณ ก็เพียงพอที่จะติดตั้งระบบปฏิบัติการใหม่หลังจากฟอร์แมตฮาร์ดไดรฟ์
  6. ติดตั้งโปรแกรมป้องกันไวรัสที่ดี เป็นที่พึงประสงค์ว่ามันจะเป็นไฟร์วอลล์ด้วย โดยทั่วไปแล้ว โปรแกรมป้องกันไวรัสดังกล่าวจะมีคำว่า “ความปลอดภัย” ต่อท้าย หากคุณมีข้อมูลสำคัญบนคอมพิวเตอร์ของคุณ คุณไม่ควรละทิ้งโปรแกรมป้องกันไวรัส
  7. เมื่อคุณติดตั้งแอนตี้ไวรัสที่ดีแล้ว อย่าลืมอัพเดตฐานข้อมูลด้วย

Petya virus วิธีกำจัด

นี่เป็นคำถามที่ยาก หาก Petya ทำงานบนคอมพิวเตอร์ของคุณเสร็จแล้ว ก็จะไม่มีอะไรต้องลบ ไฟล์ทั้งหมดจะกระจัดกระจายทั่วทั้งระบบ เป็นไปได้มากว่าคุณจะไม่สามารถจัดระเบียบได้อีกต่อไป ไม่มีประโยชน์ที่จะจ่ายเงินให้ผู้โจมตี สิ่งที่เหลืออยู่คือการฟอร์แมตดิสก์และติดตั้งระบบใหม่ หลังจากฟอร์แมตและติดตั้งระบบใหม่แล้ว ไวรัสจะหายไป

นอกจากนี้ ฉันอยากจะเสริมว่าศัตรูพืชชนิดนี้ก่อให้เกิดภัยคุกคามต่อระบบ Windows โดยเฉพาะ หากคุณมีระบบอื่น เช่น ระบบ Russian Rosa ก็ไม่ต้องกลัว ของไวรัสตัวนี้คุณไม่จำเป็นต้องมีแรนซัมแวร์ เช่นเดียวกับเจ้าของโทรศัพท์ ส่วนใหญ่มี ระบบแอนดรอย, iOS เป็นต้น ดังนั้นเจ้าของโทรศัพท์มือถือจึงไม่มีอะไรต้องกังวล

นอกจากนี้ หากคุณเป็นคนธรรมดาและไม่ใช่เจ้าของบริษัทขนาดใหญ่ ผู้โจมตีก็มักจะไม่สนใจคุณ พวกเขาต้องการบริษัทขนาดใหญ่ที่เงิน 300 ดอลลาร์ไม่มีความหมายอะไร และใครสามารถจ่ายเงินจำนวนนี้ให้พวกเขาได้จริงๆ แต่ไม่ได้หมายความว่าไวรัสไม่สามารถเข้าสู่คอมพิวเตอร์ของคุณได้ ปลอดภัยไว้ก่อนดีกว่า!

หวังว่าไวรัส Petya จะผ่านคุณไปได้! ดูแลข้อมูลของคุณบนคอมพิวเตอร์ของคุณ ขอให้โชคดี!

อังกฤษ สหรัฐอเมริกา และออสเตรเลียกล่าวหารัสเซียอย่างเป็นทางการว่าแพร่เชื้อ NotPetya

เมื่อวันที่ 15 กุมภาพันธ์ 2018 กระทรวงการต่างประเทศอังกฤษออกแถลงการณ์อย่างเป็นทางการกล่าวหารัสเซียว่าจัดการโจมตีทางไซเบอร์โดยใช้ไวรัสเรียกค่าไถ่ NotPetya


ทางการอังกฤษกล่าวว่าการโจมตีดังกล่าวแสดงให้เห็นถึงการเพิกเฉยต่ออธิปไตยของยูเครน และการกระทำที่ประมาทเลินเล่อดังกล่าวได้ส่งผลกระทบต่อองค์กรหลายแห่งทั่วยุโรป ทำให้เกิดการสูญเสียมูลค่าหลายล้านดอลลาร์


กระทรวงตั้งข้อสังเกตว่าข้อสรุปเกี่ยวกับการมีส่วนร่วมของรัฐบาลรัสเซียและเครมลินในการโจมตีทางไซเบอร์นั้นเกิดขึ้นบนพื้นฐานของข้อสรุปของศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักรซึ่ง “เกือบจะมั่นใจอย่างสมบูรณ์ว่ากองทัพรัสเซียอยู่เบื้องหลัง การโจมตีของ NotPetya” นอกจากนี้ในแถลงการณ์ยังระบุด้วยว่าพันธมิตรจะไม่ทนต่อกิจกรรมทางไซเบอร์ที่เป็นอันตราย

แองกัส เทย์เลอร์ รัฐมนตรีกระทรวงบังคับใช้กฎหมายและความปลอดภัยทางไซเบอร์ของออสเตรเลีย อ้างอิงจากข้อมูลจากหน่วยข่าวกรองของออสเตรเลีย รวมถึงการปรึกษาหารือกับสหรัฐอเมริกาและบริเตนใหญ่ รัฐบาลออสเตรเลียสรุปว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียต้องรับผิดชอบต่อเหตุการณ์ดังกล่าว “รัฐบาลออสเตรเลียประณามพฤติกรรมของรัสเซียที่ก่อให้เกิดความเสี่ยงร้ายแรงต่อเศรษฐกิจโลก การดำเนินงานและบริการของรัฐบาล กิจกรรมทางธุรกิจ ตลอดจนความปลอดภัยและความเป็นอยู่ที่ดีของบุคคล” แถลงการณ์ระบุ

เครมลินซึ่งก่อนหน้านี้ปฏิเสธซ้ำแล้วซ้ำอีกว่าทางการรัสเซียไม่มีส่วนเกี่ยวข้องในการโจมตีของแฮ็กเกอร์ เรียกคำแถลงของกระทรวงการต่างประเทศอังกฤษว่าเป็นส่วนหนึ่งของ “การรณรงค์ต่อต้านรัสเซีย”

อนุสาวรีย์ "อยู่ที่นี่ ไวรัสคอมพิวเตอร์ เพชรยา พ่ายแพ้คนเมื่อวันที่ 27 มิถุนายน 2560"

อนุสาวรีย์ไวรัสคอมพิวเตอร์ Petya ถูกสร้างขึ้นในเดือนธันวาคม 2017 ใกล้กับอาคาร Skolkovo Technopark อนุสาวรีย์สูงสองเมตรพร้อมจารึก: "นี่คือไวรัสคอมพิวเตอร์ Petya ซึ่งพ่ายแพ้โดยผู้คนเมื่อวันที่ 27 มิถุนายน 2017" สร้างขึ้นในรูปแบบของฮาร์ดไดรฟ์ที่ถูกกัดถูกสร้างขึ้นโดยได้รับการสนับสนุนจาก บริษัท INVITRO ท่ามกลางบริษัทอื่น ๆ ที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์ครั้งใหญ่ หุ่นยนต์ชื่อนู ซึ่งทำงานที่อุทยานฟิสิกส์และเทคโนโลยีและ (MIT) มาร่วมพิธีกล่าวสุนทรพจน์อย่างเคร่งขรึมเป็นพิเศษ

โจมตีรัฐบาลเซวาสโทพอล

ผู้เชี่ยวชาญของ Main Directorate of Information and Communications of Sevastopol สามารถยับยั้งการโจมตีของไวรัสเข้ารหัสเครือข่าย Petya บนเซิร์ฟเวอร์ของรัฐบาลในภูมิภาคได้สำเร็จ สิ่งนี้ประกาศเมื่อวันที่ 17 กรกฎาคม 2017 ในการประชุมเจ้าหน้าที่ของรัฐบาลเซวาสโทพอลโดยหัวหน้าแผนกสารสนเทศ Denis Timofeev

เขาระบุว่ามัลแวร์ Petya ไม่มีผลกระทบต่อข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ในหน่วยงานของรัฐในเซวาสโทพอล


การมุ่งเน้นที่การใช้ซอฟต์แวร์เสรีนั้นฝังอยู่ในแนวคิดของการให้ข้อมูลของเซวาสโทพอล ซึ่งได้รับการอนุมัติในปี 2558 โดยระบุว่าเมื่อซื้อและพัฒนาซอฟต์แวร์พื้นฐานตลอดจนซอฟต์แวร์ระบบข้อมูลสำหรับระบบอัตโนมัติ ขอแนะนำให้วิเคราะห์ความเป็นไปได้ในการใช้ผลิตภัณฑ์ฟรีที่สามารถลดต้นทุนงบประมาณและลดการพึ่งพาซัพพลายเออร์และนักพัฒนา

ก่อนหน้านี้ เมื่อปลายเดือนมิถุนายน ส่วนหนึ่งของการโจมตีบริษัทการแพทย์ Invitro ขนาดใหญ่ สาขาของบริษัทที่ตั้งอยู่ในเซวาสโทพอลก็ได้รับความเสียหายเช่นกัน เนื่องจากไวรัส เครือข่ายคอมพิวเตอร์สาขาได้ระงับการออกผลการทดสอบเป็นการชั่วคราวจนกว่าสาเหตุจะหมดไป

Invitro ประกาศระงับการรับการทดสอบเนื่องจากการโจมตีทางไซเบอร์

บริษัทการแพทย์ Invitro ระงับการรวบรวมวัสดุชีวภาพและการออกผลการทดสอบผู้ป่วยเนื่องจากการโจมตีของแฮ็กเกอร์เมื่อวันที่ 27 มิถุนายน Anton Bulanov ผู้อำนวยการฝ่ายสื่อสารองค์กรของบริษัทบอกกับ RBC เกี่ยวกับเรื่องนี้

ดังที่บริษัทกล่าวในแถลงการณ์ Invitro จะกลับมาดำเนินการตามปกติในไม่ช้า ผลการศึกษาที่ดำเนินการหลังจากเวลานี้จะถูกส่งไปยังผู้ป่วยหลังจากข้อผิดพลาดทางเทคนิคได้รับการแก้ไขแล้ว ปัจจุบันมีห้องปฏิบัติการ ระบบสารสนเทศกลับคืนมาแล้ว อยู่ระหว่างดำเนินการตั้งค่า “เราเสียใจกับสถานการณ์เหตุสุดวิสัยในปัจจุบัน และขอขอบคุณลูกค้าของเราสำหรับความเข้าใจ” Invitro กล่าวสรุป

ตามข้อมูลเหล่านี้การโจมตี ไวรัสคอมพิวเตอร์คลินิกในรัสเซีย เบลารุส และคาซัคสถานถูกเปิดเผย

โจมตีแก๊ซพรอมและบริษัทน้ำมันและก๊าซอื่นๆ

เมื่อวันที่ 29 มิถุนายน 2017 เป็นที่ทราบกันดีเกี่ยวกับการโจมตีทางไซเบอร์ทั่วโลกต่อระบบคอมพิวเตอร์ของ Gazprom ดังนั้นอีกหนึ่ง บริษัท รัสเซียได้รับผลกระทบจากไวรัส Petya ransomware

ตาม สำนักข่าวสำนักข่าวรอยเตอร์ อ้างแหล่งข่าวในรัฐบาลรัสเซียและบุคคลที่เกี่ยวข้องกับการสืบสวนเหตุการณ์ดังกล่าว แก๊ซพรอมต้องทนทุกข์ทรมานจากการแพร่กระจายของมัลแวร์ Petya ซึ่งโจมตีคอมพิวเตอร์ในกว่า 60 ประเทศทั่วโลก

คู่สนทนาของสิ่งพิมพ์ไม่ได้ให้รายละเอียดเกี่ยวกับจำนวนและระบบที่ติดไวรัสที่ Gazprom รวมถึงขอบเขตของความเสียหายที่เกิดจากแฮกเกอร์ บริษัทปฏิเสธที่จะแสดงความคิดเห็นเมื่อได้รับการติดต่อจากรอยเตอร์

ในขณะเดียวกัน แหล่งข่าว RBC ระดับสูงที่ Gazprom บอกกับสื่อสิ่งพิมพ์ว่าคอมพิวเตอร์ในสำนักงานกลางของบริษัททำงานโดยไม่หยุดชะงักเมื่อมีการส่งข้อมูลขนาดใหญ่ การโจมตีของแฮ็กเกอร์(27 มิถุนายน 2560) และดำเนินการต่ออีกสองวันต่อมา แหล่งข่าว RBC อีกสองแห่งที่ Gazprom ยังรับประกันว่า "ทุกอย่างอยู่ในความสงบ" ในบริษัท และไม่มีไวรัส

ในภาคน้ำมันและก๊าซ Bashneft และ Rosneft ได้รับผลกระทบจากไวรัส Petya หลังประกาศเมื่อวันที่ 28 มิถุนายนว่าบริษัทเปิดให้บริการตามปกติ และ “ปัญหาส่วนบุคคล” ได้รับการแก้ไขโดยทันที

ธนาคารและอุตสาหกรรม

เป็นที่รู้กันว่าคอมพิวเตอร์ติดไวรัสที่ Evraz ซึ่งเป็นสาขาของ Royal Canin ของรัสเซีย (ผลิตเครื่องแบบสำหรับสัตว์) และแผนก Mondelez ของรัสเซีย (ผู้ผลิตช็อคโกแลต Alpen Gold และ Milka)

ตามที่กระทรวงกิจการภายในของประเทศยูเครนระบุ ชายคนหนึ่งได้เผยแพร่วิดีโอบนเว็บไซต์แชร์ไฟล์และโซเชียลเน็ตเวิร์กด้วย คำอธิบายโดยละเอียดกระบวนการเรียกใช้ ransomware บนคอมพิวเตอร์ ในความคิดเห็นต่อวิดีโอ ชายคนดังกล่าวโพสต์ลิงก์ไปยังเพจของเขา เครือข่ายทางสังคมซึ่งเขาดาวน์โหลดโปรแกรมที่เป็นอันตรายลงไป ระหว่างการตรวจค้นในอพาร์ตเมนต์ของ "แฮ็กเกอร์" เจ้าหน้าที่บังคับใช้กฎหมายได้เข้ายึดได้ อุปกรณ์คอมพิวเตอร์ใช้เพื่อแจกจ่าย NotPetya ตำรวจยังพบไฟล์ที่มีมัลแวร์ หลังจากวิเคราะห์แล้ว ได้รับการยืนยันแล้วว่าคล้ายกับแรนซัมแวร์ NotPetya เมื่อเจ้าหน้าที่ตำรวจไซเบอร์ก่อตั้งขึ้น โปรแกรมแรนซัมแวร์ซึ่งลิงก์ดังกล่าวเผยแพร่โดยชาว Nikopol ก็ถูกดาวน์โหลดโดยผู้ใช้โซเชียลเน็ตเวิร์ก 400 ครั้ง

ในบรรดาผู้ที่ดาวน์โหลด NotPetya เจ้าหน้าที่บังคับใช้กฎหมายระบุบริษัทที่จงใจติดแรนซัมแวร์ในระบบเพื่อซ่อนกิจกรรมทางอาญาและหลบเลี่ยงการจ่ายค่าปรับให้กับรัฐ เป็นที่น่าสังเกตว่าตำรวจไม่ได้เชื่อมโยงกิจกรรมของชายคนนี้กับการโจมตีของแฮ็กเกอร์เมื่อวันที่ 27 มิถุนายนปีนี้ กล่าวคือ ไม่มีการพูดคุยถึงความเกี่ยวข้องใดๆ กับผู้เขียน NotPetya การกระทำที่เขาถูกกล่าวหานั้นเกี่ยวข้องกับการกระทำที่กระทำในเดือนกรกฎาคมของปีนี้เท่านั้น หลังจากเกิดการโจมตีทางไซเบอร์ครั้งใหญ่

มีการเริ่มดำเนินคดีอาญากับชายตามส่วนที่ 1 ของมาตรา มาตรา 361 (การแทรกแซงการทำงานของคอมพิวเตอร์โดยไม่ได้รับอนุญาต) แห่งประมวลกฎหมายอาญาของประเทศยูเครน ชาว Nikopol ต้องเผชิญกับโทษจำคุกสูงสุด 3 ปี

การแพร่กระจายในโลก

มีการบันทึกการแพร่กระจายของไวรัส Petya ransomware ในสเปน เยอรมนี ลิทัวเนีย จีน และอินเดีย ตัวอย่างเช่น เนื่องจากโปรแกรมที่เป็นอันตรายในอินเดีย เทคโนโลยีสำหรับการจัดการการขนส่งสินค้าของท่าเรือคอนเทนเนอร์ Jawaharlal Nehru ที่ดำเนินการโดย A.P. Moller-Maersk หยุดรับรู้ถึงตัวตนของสินค้า

การโจมตีทางไซเบอร์ดังกล่าวรายงานโดยกลุ่มโฆษณา WPP ของอังกฤษ สำนักงานในสเปนของบริษัทกฎหมาย DLA Piper ที่ใหญ่ที่สุดแห่งหนึ่งของโลก และ Mondelez บริษัทอาหารยักษ์ใหญ่ Cie ผู้ผลิตวัสดุก่อสร้างชาวฝรั่งเศสก็เป็นหนึ่งในเหยื่อเช่นกัน เดอ แซง-โกแบ็ง และบริษัทเภสัชกรรม Merck & Co.

เมอร์ค

บริษัทยักษ์ใหญ่ด้านเภสัชกรรมของอเมริกาอย่าง Merck ซึ่งได้รับความเดือดร้อนอย่างมากจากการโจมตีของไวรัสเรียกค่าไถ่ NotPetya เมื่อเดือนมิถุนายน ยังคงไม่สามารถกู้คืนระบบทั้งหมดและกลับสู่การทำงานตามปกติได้ ข้อมูลนี้ได้รับการรายงานในรายงานของบริษัทในแบบฟอร์ม 8-K ซึ่งส่งไปยังสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ของสหรัฐอเมริกา ณ สิ้นเดือนกรกฎาคม 2017 อ่านเพิ่มเติม

โมลเลอร์-มาเออร์สค์ และรอสเนฟต์

เมื่อวันที่ 3 กรกฎาคม 2017 เป็นที่ทราบกันว่าบริษัทขนส่งยักษ์ใหญ่ของเดนมาร์ก Moller-Maersk และ Rosneft ได้กู้คืนระบบไอทีที่ติดไวรัส Petya ransomware เพียงหนึ่งสัปดาห์หลังการโจมตี ซึ่งเกิดขึ้นเมื่อวันที่ 27 มิถุนายน


บริษัทขนส่ง Maersk ซึ่งดูแลตู้สินค้าทุกๆ 7 ลำที่จัดส่งไปทั่วโลก ยังเสริมว่าแอปพลิเคชันทั้งหมด 1,500 รายการที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์จะกลับมาดำเนินการตามปกติภายในวันที่ 9 กรกฎาคม 2017

ระบบไอทีของ APM Terminals ของบริษัท Maersk ซึ่งดำเนินธุรกิจท่าเรือขนส่งสินค้าและท่าเทียบเรือตู้คอนเทนเนอร์หลายสิบแห่งในกว่า 40 ประเทศ ส่วนใหญ่ได้รับผลกระทบ ตู้สินค้ามากกว่า 100,000 ตู้ต่อวันผ่านท่าเรือของ APM Terminals ซึ่งงานเป็นอัมพาตโดยสิ้นเชิงเนื่องจากการแพร่กระจายของไวรัส ท่าเทียบเรือ Maasvlakte II ในเมืองรอตเตอร์ดัม กลับมาให้บริการอีกครั้งในวันที่ 3 กรกฎาคม

16 สิงหาคม 2560 Moller-Maersk ตั้งชื่อจำนวนความเสียหายโดยประมาณจากการโจมตีทางไซเบอร์โดยใช้ไวรัส Petya ซึ่งตามที่ระบุไว้ในบริษัทในยุโรป ว่าติดไวรัสผ่านโปรแกรมของยูเครน จากการคำนวณเบื้องต้นของ Maersk ความสูญเสียทางการเงินจากแรนซัมแวร์ Petya ในไตรมาสที่สองของปี 2017 มีมูลค่าตั้งแต่ 200 ถึง 300 ล้านดอลลาร์

ในขณะเดียวกันเกือบหนึ่งสัปดาห์ในการฟื้นตัว ระบบคอมพิวเตอร์ Rosneft ยังได้รับความเดือดร้อนจากการโจมตีของแฮ็กเกอร์ ตามที่รายงานโดยบริการกดของบริษัทเมื่อวันที่ 3 กรกฎาคม Interfax รายงานว่า:


เมื่อไม่กี่วันก่อนหน้านี้ Rosneft เน้นย้ำว่ายังไม่ได้ประเมินผลที่ตามมาของการโจมตีทางไซเบอร์ แต่การผลิตไม่ได้รับผลกระทบ

Petya ทำงานอย่างไร

แท้จริงแล้วผู้ที่ตกเป็นเหยื่อของไวรัสไม่สามารถปลดล็อกไฟล์ของตนได้หลังจากติดไวรัส ความจริงก็คือผู้สร้างไม่ได้จัดเตรียมความเป็นไปได้ดังกล่าวไว้เลย นั่นคือดิสก์ที่เข้ารหัสเป็นสิ่งที่ไม่สามารถถอดรหัสได้ รหัสมัลแวร์ไม่มีข้อมูลที่จำเป็นสำหรับการถอดรหัส

ในขั้นต้น ผู้เชี่ยวชาญได้จำแนกไวรัส ซึ่งส่งผลกระทบต่อคอมพิวเตอร์ประมาณสองพันเครื่องในรัสเซีย ยูเครน โปแลนด์ อิตาลี เยอรมนี ฝรั่งเศส และประเทศอื่นๆ โดยเป็นส่วนหนึ่งของตระกูลแรนซัมแวร์ Petya ที่รู้จักกันดีอยู่แล้ว อย่างไรก็ตาม ปรากฎว่าเรากำลังพูดถึงมัลแวร์ตระกูลใหม่ แคสเปอร์สกี้ แลป ได้รับการขนานนามว่า แรนซัมแวร์ตัวใหม่อดีต

วิธีการต่อสู้

การต่อสู้กับภัยคุกคามทางไซเบอร์ต้องอาศัยความพยายามร่วมกันของธนาคาร ธุรกิจไอที และรัฐ

วิธีการกู้คืนข้อมูลจาก Positive Technologies

เมื่อวันที่ 7 กรกฎาคม 2017 Dmitry Sklyarov ผู้เชี่ยวชาญด้าน Positive Technologies นำเสนอวิธีการกู้คืนข้อมูลที่เข้ารหัสโดยไวรัส NotPetya ตามที่ผู้เชี่ยวชาญระบุ วิธีการนี้ใช้ได้หากไวรัส NotPetya มีสิทธิ์ระดับผู้ดูแลระบบและเข้ารหัสดิสก์ทั้งหมด

ความเป็นไปได้ของการกู้คืนข้อมูลเกี่ยวข้องกับข้อผิดพลาดในการใช้งานอัลกอริธึมการเข้ารหัส Salsa20 ที่ทำโดยผู้โจมตีเอง ประสิทธิภาพของวิธีการนี้ได้รับการทดสอบทั้งในสื่อทดสอบและหนึ่งในสื่อที่เข้ารหัส ฮาร์ดไดรฟ์บริษัทขนาดใหญ่ที่เป็นหนึ่งในเหยื่อของโรคระบาด

บริษัทและนักพัฒนาอิสระที่เชี่ยวชาญด้านการกู้คืนข้อมูลสามารถใช้งานได้ฟรีและทำให้สคริปต์ถอดรหัสที่นำเสนอเป็นแบบอัตโนมัติ

ผลการสอบสวนได้รับการยืนยันจากตำรวจไซเบอร์ของยูเครนแล้ว Juscutum ตั้งใจที่จะใช้ผลการสอบสวนเป็นหลักฐานสำคัญในการพิจารณาคดีกับ Intellect-Service ในอนาคต

กระบวนการนี้จะมีลักษณะทางแพ่ง หน่วยงานบังคับใช้กฎหมายของยูเครนกำลังดำเนินการสอบสวนโดยอิสระ ก่อนหน้านี้ตัวแทนของพวกเขาได้ประกาศความเป็นไปได้ในการดำเนินคดีกับพนักงาน Intellect-Service

บริษัท M.E.Doc ระบุเองว่าสิ่งที่เกิดขึ้นคือความพยายามที่จะบุกโจมตีบริษัท ผู้ผลิตซอฟต์แวร์บัญชียูเครนยอดนิยมเพียงรายเดียวเชื่อว่าการค้นหา บริษัท ที่ดำเนินการโดยตำรวจไซเบอร์ของยูเครนเป็นส่วนหนึ่งของการดำเนินการตามแผนนี้

เวกเตอร์การติดไวรัสเริ่มต้นสำหรับตัวเข้ารหัส Petya

เมื่อวันที่ 17 พฤษภาคม การอัปเดต M.E.Doc ได้รับการเผยแพร่ ซึ่งไม่มีโมดูลแบ็คดอร์ที่เป็นอันตราย นี่อาจอธิบายถึงการติดไวรัส XData ในจำนวนที่ค่อนข้างน้อย บริษัทเชื่อ ผู้โจมตีไม่ได้คาดหวังว่าการอัปเดตจะออกในวันที่ 17 พฤษภาคม และเปิดตัวตัวเข้ารหัสในวันที่ 18 พฤษภาคม ซึ่งเป็นช่วงที่ผู้ใช้ส่วนใหญ่ติดตั้งการอัปเดตที่ปลอดภัยแล้ว

แบ็คดอร์อนุญาตให้ดาวน์โหลดและเรียกใช้มัลแวร์อื่น ๆ บนระบบที่ติดไวรัส - นี่คือวิธีการติดไวรัสครั้งแรกด้วยตัวเข้ารหัส Petya และ XData นอกจากนี้ โปรแกรมยังรวบรวมการตั้งค่าพร็อกซีเซิร์ฟเวอร์และอีเมล รวมถึงการเข้าสู่ระบบและรหัสผ่านจากแอปพลิเคชัน M.E.Doc รวมถึงรหัสบริษัทตามทะเบียน Unified State Register of Enterprises and Organisations ของประเทศยูเครน ซึ่งอนุญาตให้ระบุตัวตนของเหยื่อได้

“เราต้องตอบคำถามหลายข้อ” Anton Cherepanov นักวิเคราะห์ไวรัสอาวุโสของ Eset กล่าว - ประตูหลังมีการใช้งานมานานแค่ไหน? คำสั่งและมัลแวร์ใดบ้างที่นอกเหนือจาก Petya และ XData ที่ถูกส่งผ่านช่องทางนี้ มีโครงสร้างพื้นฐานอื่นใดบ้างที่ถูกบุกรุกแต่กลุ่มไซเบอร์ที่อยู่เบื้องหลังการโจมตีครั้งนี้ยังไม่ได้ใช้ประโยชน์”

จากการรวมกันของสัญญาณต่างๆ รวมถึงโครงสร้างพื้นฐาน เครื่องมือที่เป็นอันตราย แผนการ และเป้าหมายการโจมตี ผู้เชี่ยวชาญของ Eset ได้สร้างความเชื่อมโยงระหว่างการแพร่ระบาดของ Diskcoder.C (Petya) และกลุ่มไซเบอร์ Telebots ยังไม่สามารถระบุได้อย่างน่าเชื่อถือว่าใครอยู่เบื้องหลังกิจกรรมของกลุ่มนี้

บริษัทรัสเซียและยูเครนจำนวนหนึ่งถูกโจมตีโดยไวรัส Petya ransomware เว็บไซต์สิ่งพิมพ์ออนไลน์ได้พูดคุยกับผู้เชี่ยวชาญจาก Kaspersky Lab และเอเจนซี่เชิงโต้ตอบ AGIMA และค้นพบวิธีปกป้องคอมพิวเตอร์ขององค์กรจากไวรัสและ Petya มีความคล้ายคลึงกับสิ่งที่เป็นที่รู้จักไม่แพ้กันอย่างไร ไวรัสเรียกค่าไถ่ WannaCry.

ไวรัส "เพชร"

ในรัสเซียมี Rosneft, Bashneft, Mars, Nivea และผู้ผลิตช็อกโกแลต Alpen Gold Mondelez International ไวรัส Ransomware ของระบบติดตามรังสีของโรงไฟฟ้านิวเคลียร์เชอร์โนบิล นอกจากนี้ การโจมตีดังกล่าวยังส่งผลกระทบต่อคอมพิวเตอร์ของรัฐบาลยูเครน ธนาคาร Privatbank และผู้ให้บริการโทรคมนาคมอีกด้วย ไวรัสจะล็อคคอมพิวเตอร์และเรียกร้องค่าไถ่ 300 ดอลลาร์เป็น bitcoin

ในไมโครบล็อกบน Twitter บริการกดของ Rosneft พูดถึงการโจมตีของแฮ็กเกอร์บนเซิร์ฟเวอร์ของบริษัท “การโจมตีของแฮ็กเกอร์ที่ทรงพลังได้ดำเนินการบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายในปัจจุบัน”

ตามที่เลขาธิการสื่อของบริษัท Mikhail Leontyev ระบุว่า Rosneft และบริษัทในเครือยังคงดำเนินงานตามปกติ หลังจากถูกโจมตีบริษัทก็เปลี่ยนมาเป็น ระบบสำรองข้อมูลควบคุมกระบวนการผลิตไม่ให้หยุดการผลิตและบำบัดน้ำมัน ระบบธนาคารโฮมเครดิตก็ถูกโจมตีเช่นกัน

“เพชรยา” ไม่ติดเชื้อถ้าไม่มี “มิชา”

ตาม กรรมการบริหารของ AGIMA Evgeniy Lobanovในความเป็นจริงการโจมตีนั้นดำเนินการโดยไวรัสเข้ารหัสสองตัว: Petya และ Misha

“ พวกเขาทำงานร่วมกัน “ Petya” จะไม่ติดเชื้อหากไม่มี “Misha” เขาสามารถแพร่เชื้อได้ แต่การโจมตีเมื่อวานคือไวรัสสองตัว: Petya ตัวแรกจากนั้น Misha จะเขียนอุปกรณ์บู๊ตใหม่ – “เข้ารหัสไฟล์โดยใช้อัลกอริธึมเฉพาะ” ผู้เชี่ยวชาญอธิบาย “Petya เข้ารหัส” บูตเซกเตอร์ดิสก์ (MBR) และแทนที่ด้วยตัวมันเอง Misha เข้ารหัสไฟล์ทั้งหมดบนดิสก์แล้ว (ไม่เสมอไป)

เขาตั้งข้อสังเกตว่าไวรัสเข้ารหัส WannaCry ซึ่งโจมตีบริษัทขนาดใหญ่ระดับโลกในเดือนพฤษภาคมของปีนี้ไม่เหมือนกับ Petya แต่เป็นเวอร์ชันใหม่

“Petya.A มาจากตระกูล WannaCry (หรือค่อนข้างจะเป็น WannaCrypt) แต่ความแตกต่างที่สำคัญว่าทำไมมันถึงไม่ใช่ไวรัสตัวเดียวกันก็คือมันจะแทนที่ MBR ด้วยบูตเซกเตอร์ของตัวเอง - นี่คือสิ่งใหม่สำหรับ Ransomware ไวรัสเพ็ตย่าปรากฏตัวเมื่อนานมาแล้วบน GitHab (บริการออนไลน์สำหรับโครงการไอทีและการเขียนโปรแกรมร่วมกัน - เว็บไซต์) https://github.com/leo-stone/hack-petya" target="_blank">มีตัวถอดรหัสสำหรับ ransomware นี้ แต่สำหรับตัวถอดรหัสตัวใหม่นั้นไม่เหมาะสำหรับการดัดแปลง

Yevgeny Lobanov เน้นย้ำว่าการโจมตีดังกล่าวกระทบยูเครนหนักกว่ารัสเซีย

“เราเสี่ยงต่อการโจมตีมากกว่าประเทศตะวันตกอื่นๆ เราจะได้รับการปกป้องจากไวรัสเวอร์ชันนี้ แต่ไม่ใช่จากการดัดแปลง อินเทอร์เน็ตของเราไม่ปลอดภัย ในยูเครนก็น้อยกว่านั้นด้วยซ้ำ ส่วนใหญ่เราตกเป็นเหยื่อการโจมตี บริษัทขนส่ง, ธนาคาร, ผู้ให้บริการโทรศัพท์มือถือ(โวดาโฟน, เคียฟสตาร์) และบริษัททางการแพทย์, ฟาร์มาแม็ก, ปั๊มน้ำมันเชลล์ ล้วนเป็นบริษัทข้ามทวีปขนาดใหญ่มาก” เขากล่าวในการให้สัมภาษณ์กับเว็บไซต์ดังกล่าว

กรรมการบริหารของ AGIMA ตั้งข้อสังเกตว่ายังไม่มีข้อเท็จจริงที่จะระบุตำแหน่งทางภูมิศาสตร์ของผู้แพร่กระจายไวรัส ในความเห็นของเขา ไวรัสน่าจะปรากฏในรัสเซีย น่าเสียดายที่ไม่มีหลักฐานโดยตรงเกี่ยวกับเรื่องนี้

“มีข้อสันนิษฐานว่าสิ่งเหล่านี้คือแฮกเกอร์ของเรา เนื่องจากมีการปรับเปลี่ยนครั้งแรกในรัสเซีย และตัวไวรัสเองซึ่งไม่เป็นความลับสำหรับใครก็ตาม ได้รับการตั้งชื่อตาม Petro Poroshenko มันเป็นพัฒนาการของแฮ็กเกอร์ชาวรัสเซีย แต่ก็ยากที่จะพูด ใครเป็นผู้เปลี่ยนแปลงเพิ่มเติม ชัดเจนว่าแม้ว่าคุณจะอยู่ในรัสเซีย การมีคอมพิวเตอร์ที่มีการระบุตำแหน่งทางภูมิศาสตร์ในสหรัฐอเมริกาก็เป็นเรื่องง่าย” ผู้เชี่ยวชาญอธิบาย

“หากคอมพิวเตอร์ของคุณ “ติดไวรัส” ทันที คุณต้องไม่ปิดคอมพิวเตอร์ หากคุณรีบูท คุณจะไม่เข้าสู่ระบบอีกเลย”

“ หากคอมพิวเตอร์ของคุณ“ ติดไวรัส” คุณจะไม่สามารถปิดคอมพิวเตอร์ได้เนื่องจากไวรัส Petya จะเข้ามาแทนที่ MBR ซึ่งเป็นบูตเซกเตอร์ตัวแรกที่โหลดระบบปฏิบัติการ หากคุณรีบูตคุณจะไม่เข้าสู่ระบบอีกเลย การดำเนินการนี้จะตัดเส้นทางการหลบหนีแม้ว่าจะปรากฏ " แท็บเล็ต" ก็จะไม่สามารถส่งคืนข้อมูลได้อีกต่อไป ถัดไปคุณต้องตัดการเชื่อมต่ออินเทอร์เน็ตทันทีเพื่อไม่ให้คอมพิวเตอร์ออนไลน์ แพตช์อย่างเป็นทางการจาก Microsoft ได้รับการเผยแพร่แล้ว โดยให้การรับประกันความปลอดภัย 98 เปอร์เซ็นต์ น่าเสียดาย ยังไม่ 100 เปอร์เซ็นต์ การปรับเปลี่ยนบางอย่างของไวรัส (ทั้งสามส่วน) ที่เขาข้ามไปในตอนนี้” Lobanov แนะนำ – อย่างไรก็ตาม หากคุณรีบูทและเห็นการเริ่มต้นของกระบวนการ “ตรวจสอบดิสก์” ณ จุดนี้ คุณจะต้องปิดคอมพิวเตอร์ทันทีและไฟล์ต่างๆ จะยังไม่มีการเข้ารหัส

นอกจากนี้ ผู้เชี่ยวชาญยังอธิบายด้วยว่าเหตุใดผู้ใช้ Microsoft จึงถูกโจมตีบ่อยที่สุด ไม่ใช่ MacOSX (ระบบปฏิบัติการ Apple - เว็บไซต์) และระบบ Unix

“ที่นี่เป็นการถูกต้องมากกว่าที่จะพูดคุยไม่เพียง แต่เกี่ยวกับ MacOSX เท่านั้น แต่ยังรวมถึงระบบ Unix ทั้งหมดด้วย (หลักการก็เหมือนกัน) ไวรัสแพร่กระจายไปยังคอมพิวเตอร์เท่านั้นโดยไม่มี อุปกรณ์เคลื่อนที่- ห้องผ่าตัดถูกโจมตี ระบบวินโดวส์และคุกคามเฉพาะผู้ใช้ที่ปิดใช้งานฟังก์ชันนี้เท่านั้น อัปเดตอัตโนมัติระบบ การอัปเดตนั้นมีเป็นข้อยกเว้นแม้แต่กับเจ้าของรุ่นเก่าก็ตาม เวอร์ชันของ Windowsซึ่งไม่ได้รับการอัพเดตอีกต่อไป: XP, Windows 8 และ วินโดวส์เซิร์ฟเวอร์พ.ศ. 2546” ผู้เชี่ยวชาญกล่าว

"MacOSX และ Unix ไม่ไวต่อไวรัสดังกล่าวทั่วโลก เนื่องจากบริษัทขนาดใหญ่หลายแห่งใช้โครงสร้างพื้นฐานของ Microsoft MacOSX ไม่อ่อนแอเนื่องจากไม่ได้พบเห็นได้ทั่วไปในหน่วยงานของรัฐ มีไวรัสน้อยกว่าสำหรับมัน จึงไม่สร้างผลกำไร เพราะส่วนการโจมตีจะเล็กกว่าการโจมตี Microsoft” ผู้เชี่ยวชาญสรุป

“จำนวนผู้ใช้ที่ถูกโจมตีมีถึงสองพันคนแล้ว”

ในบริการกดของ Kaspersky Labซึ่งผู้เชี่ยวชาญยังคงตรวจสอบการติดเชื้อระลอกล่าสุดกล่าวว่า “แรนซัมแวร์นี้ไม่ได้เป็นของแรนซัมแวร์ตระกูล Petya ที่รู้จักกันอยู่แล้ว แม้ว่าจะมีโค้ดหลายบรรทัดที่เหมือนกันก็ตาม”

ห้องปฏิบัติการมั่นใจว่าในกรณีนี้ เรากำลังพูดถึงซอฟต์แวร์ที่เป็นอันตรายตระกูลใหม่ซึ่งมีฟังก์ชันการทำงานที่แตกต่างจาก Petya อย่างเห็นได้ชัด Kaspersky Lab ได้ตั้งชื่อแรนซัมแวร์ตัวใหม่ว่า ExPetr

จากข้อมูลของ Kaspersky Lab จำนวนผู้ใช้ที่ถูกโจมตีมีจำนวนถึงสองพันคน เหตุการณ์ส่วนใหญ่บันทึกไว้ในรัสเซียและยูเครน กรณีของการติดเชื้อยังพบได้ในโปแลนด์ อิตาลี สหราชอาณาจักร เยอรมนี ฝรั่งเศส สหรัฐอเมริกา และประเทศอื่นๆ อีกจำนวนหนึ่ง ในขณะนี้ ผู้เชี่ยวชาญของเราแนะนำว่า มีการพิจารณาว่ามัลแวร์นี้ใช้เวกเตอร์การโจมตีหลายรูปแบบเพื่อแพร่กระจายไปทั่วโลก เครือข่ายองค์กรมีการใช้ประโยชน์จาก EternalBlue ที่ได้รับการแก้ไขและการใช้ประโยชน์จาก EternalRomance” บริการสื่อมวลชนกล่าว

ผู้เชี่ยวชาญยังกำลังสำรวจความเป็นไปได้ในการสร้างเครื่องมือถอดรหัสที่สามารถใช้เพื่อถอดรหัสข้อมูลได้ ห้องปฏิบัติการยังได้ให้คำแนะนำแก่ทุกองค์กรเพื่อหลีกเลี่ยงการโจมตีของไวรัสในอนาคต

“เราขอแนะนำให้องค์กรต่างๆ ติดตั้งการอัปเดต Windows Windows XP และ Windows 7 ควรติดตั้งการอัปเดตความปลอดภัย MS17-010 และตรวจสอบให้แน่ใจว่าพวกเขามีระบบที่มีประสิทธิภาพ การสำรองข้อมูลข้อมูล. การสำรองข้อมูลทันเวลาและปลอดภัยทำให้สามารถกู้คืนได้ ไฟล์ต้นฉบับแม้ว่าจะถูกเข้ารหัสด้วยมัลแวร์ก็ตาม” ผู้เชี่ยวชาญของ Kaspersky Lab แนะนำ

ของเขา ลูกค้าองค์กรห้องปฏิบัติการยังแนะนำให้แน่ใจว่ามีการเปิดใช้งานกลไกการป้องกันทั้งหมด โดยเฉพาะอย่างยิ่งตรวจสอบให้แน่ใจว่ามีการเชื่อมต่อกับโครงสร้างพื้นฐานคลาวด์ แคสเปอร์สกี้ ซีเคียวริตี้เพื่อเป็นมาตรการเพิ่มเติม ขอแนะนำให้ใช้ส่วนประกอบการควบคุมสิทธิ์แอปพลิเคชันเพื่อปฏิเสธการเข้าถึงกลุ่มแอปพลิเคชันทั้งหมด (และการดำเนินการตามลำดับ) ของไฟล์ชื่อ “perfc.dat” ฯลฯ

"หากคุณไม่ได้ใช้ผลิตภัณฑ์ Kaspersky Lab เราขอแนะนำให้คุณปิดใช้งานการทำงานของไฟล์ชื่อ perfc.dat และบล็อกการเปิดตัวยูทิลิตี้ PSExec จากแพ็คเกจ Sysinternals โดยใช้ฟังก์ชัน AppLocker ที่รวมอยู่ในระบบปฏิบัติการ ( ระบบปฏิบัติการ– เว็บไซต์) Windows” ห้องปฏิบัติการแนะนำ

12 พฤษภาคม 2017 สำหรับหลาย ๆ คน – ตัวเข้ารหัสข้อมูลบนฮาร์ดไดรฟ์คอมพิวเตอร์ เขาบล็อคอุปกรณ์และต้องการจ่ายค่าไถ่
ไวรัสดังกล่าวส่งผลกระทบต่อองค์กรและหน่วยงานต่างๆ ในหลายสิบประเทศทั่วโลก รวมถึงรัสเซีย ซึ่งกระทรวงสาธารณสุข กระทรวงสถานการณ์ฉุกเฉิน กระทรวงกิจการภายใน และเซิร์ฟเวอร์ถูกโจมตี ผู้ให้บริการโทรศัพท์มือถือและธนาคารขนาดใหญ่หลายแห่ง

การแพร่กระจายของไวรัสถูกหยุดโดยไม่ได้ตั้งใจและชั่วคราว: หากแฮกเกอร์เปลี่ยนโค้ดเพียงไม่กี่บรรทัด มัลแวร์ก็จะเริ่มทำงานอีกครั้ง ความเสียหายจากโครงการนี้มีมูลค่าประมาณพันล้านดอลลาร์ หลังจากการวิเคราะห์ทางนิติวิทยาศาสตร์ ผู้เชี่ยวชาญระบุว่า WannaCry ถูกสร้างขึ้นโดยผู้คนจากประเทศจีนหรือสิงคโปร์