ไวรัส Misha และ Petya คืออะไร? เช่นเดียวกับ Petya เพื่อน Misha: สิ่งที่รู้เกี่ยวกับไวรัสแรนซัมแวร์ตัวใหม่ ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของแรนซั่มแวร์ Petya และ Mischa

เมื่อต้นเดือนพฤษภาคม คอมพิวเตอร์ประมาณ 230,000 เครื่องในกว่า 150 ประเทศติดไวรัสแรนซัมแวร์ ก่อนที่เหยื่อจะมีเวลากำจัดผลที่ตามมาจากการโจมตีครั้งนี้ ก็มีการโจมตีแบบใหม่ที่เรียกว่า Petya ตามมา ยูเครนที่ใหญ่ที่สุดและ บริษัท รัสเซียตลอดจนหน่วยงานราชการ

ตำรวจไซเบอร์ของประเทศยูเครนยอมรับว่าการโจมตีของไวรัสเริ่มต้นผ่านกลไกการอัพเดตสำหรับซอฟต์แวร์บัญชี M.E.Doc ซึ่งใช้ในการจัดเตรียมและส่งรายงานภาษี ดังนั้นจึงเป็นที่ทราบกันว่าเครือข่ายของ Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo และระบบไฟฟ้า Dnieper ไม่สามารถรอดพ้นจากการติดเชื้อได้ ในยูเครน ไวรัสแพร่กระจายไปยังคอมพิวเตอร์ของรัฐบาล คอมพิวเตอร์ส่วนบุคคลของรถไฟใต้ดินเคียฟ เจ้าหน้าที่โทรคมนาคม และแม้แต่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ในรัสเซีย บริษัท Mondelez International, Mars และ Nivea ได้รับผลกระทบ

ไวรัส Petya ใช้ประโยชน์จากช่องโหว่ EternalBlue ในห้องผ่าตัด ระบบวินโดวส์- ผู้เชี่ยวชาญของไซแมนเทคและ F-Secure กล่าวว่าแม้ว่า Petya จะเข้ารหัสข้อมูลเช่น WannaCry แต่ก็ยังค่อนข้างแตกต่างจากไวรัสเข้ารหัสประเภทอื่น “ไวรัส Petya คือ. รูปลักษณ์ใหม่การขู่กรรโชกด้วยเจตนาร้าย: ไม่เพียงแต่เข้ารหัสไฟล์บนดิสก์เท่านั้น แต่ยังล็อคทั้งดิสก์ ทำให้ไม่สามารถใช้งานได้จริง F-Secure อธิบาย “โดยเฉพาะมันจะเข้ารหัสตารางไฟล์หลัก MFT”

สิ่งนี้เกิดขึ้นได้อย่างไรและสามารถป้องกันกระบวนการนี้ได้?

ไวรัส "Petya" - มันทำงานอย่างไร?

ไวรัส Petya เป็นที่รู้จักกันในชื่ออื่น: Petya.A, PetrWrap, NotPetya, ExPetr เมื่ออยู่ในคอมพิวเตอร์ มันจะดาวน์โหลดแรนซัมแวร์จากอินเทอร์เน็ตและพยายามแพร่เชื้อบางส่วน ฮาร์ดไดรฟ์พร้อมข้อมูลที่จำเป็นในการบูตเครื่องคอมพิวเตอร์ หากเขาทำสำเร็จ ระบบจะออกหน้าจอสีน้ำเงินแห่งความตาย (“ หน้าจอสีน้ำเงินความตาย"). หลังจากรีบูตจะมีข้อความปรากฏขึ้นเกี่ยวกับ ตรวจสอบอย่างหนักดิสก์พร้อมคำขอไม่ให้ปิดเครื่อง ดังนั้นแรนซัมแวร์จึงแสร้งทำเป็น โปรแกรมระบบเพื่อตรวจสอบดิสก์เข้ารหัสไฟล์ด้วยนามสกุลบางอย่างในเวลานี้ เมื่อสิ้นสุดกระบวนการ ข้อความจะปรากฏขึ้นเพื่อระบุว่าคอมพิวเตอร์ถูกบล็อกและข้อมูลเกี่ยวกับวิธีการรับคีย์ดิจิทัลเพื่อถอดรหัสข้อมูล ไวรัส Petya ต้องการค่าไถ่ โดยปกติจะเป็น Bitcoin หากเหยื่อไม่มีสำเนาสำรองของไฟล์ของเขา เขาต้องเผชิญกับทางเลือกในการจ่ายเงิน 300 ดอลลาร์หรือสูญเสียข้อมูลทั้งหมด ตามที่นักวิเคราะห์บางคนระบุว่า ไวรัสกำลังปลอมตัวเป็นแรนซัมแวร์เท่านั้น ในขณะที่เป้าหมายที่แท้จริงของมันคือการสร้างความเสียหายมหาศาล

จะกำจัด Petya ได้อย่างไร?

ผู้เชี่ยวชาญได้ค้นพบว่าไวรัส Petya ค้นหาไฟล์ในเครื่อง และหากไฟล์นี้มีอยู่แล้วในดิสก์ ก็จะออกจากกระบวนการเข้ารหัส ซึ่งหมายความว่าผู้ใช้สามารถปกป้องคอมพิวเตอร์ของตนจากแรนซัมแวร์ได้โดยการสร้างไฟล์นี้และตั้งค่าเป็นแบบอ่านอย่างเดียว

แม้ว่าแผนการอันชาญฉลาดนี้จะป้องกันไม่ให้กระบวนการขู่กรรโชกเริ่มต้นขึ้น แต่วิธีนี้ก็ถือได้ว่าเป็น "การฉีดวัคซีนทางคอมพิวเตอร์" มากกว่า ดังนั้นผู้ใช้จะต้องสร้างไฟล์ขึ้นมาเอง คุณสามารถทำได้ดังนี้:

  • ก่อนอื่นคุณต้องเข้าใจนามสกุลไฟล์ก่อน ในหน้าต่างตัวเลือกโฟลเดอร์ ตรวจสอบให้แน่ใจว่าไม่ได้ทำเครื่องหมายในช่องซ่อนส่วนขยายสำหรับประเภทไฟล์ที่รู้จัก
  • เปิดโฟลเดอร์ C:\Windows เลื่อนลงไปจนกว่าคุณจะเห็นโปรแกรม notepad.exe
  • คลิกซ้ายที่ notepad.exe จากนั้นกด Ctrl + C เพื่อคัดลอก จากนั้นกด Ctrl + V เพื่อวางไฟล์ คุณจะได้รับคำขอขออนุญาตคัดลอกไฟล์
  • คลิกปุ่มดำเนินการต่อ จากนั้นไฟล์จะถูกสร้างขึ้นเป็นแผ่นจดบันทึก - Copy.exe คลิกซ้ายที่ไฟล์นี้แล้วกด F2 จากนั้นลบชื่อไฟล์ Copy.exe แล้วป้อน perfc
  • หลังจากเปลี่ยนชื่อไฟล์เป็น perfc แล้วให้กด Enter ยืนยันการเปลี่ยนชื่อ
  • เมื่อสร้างไฟล์ perfc แล้ว เราจำเป็นต้องทำให้เป็นแบบอ่านอย่างเดียว โดยคลิก คลิกขวาวางเมาส์เหนือไฟล์แล้วเลือก "คุณสมบัติ"
  • เมนูคุณสมบัติของไฟล์นี้จะเปิดขึ้น ที่ด้านล่างคุณจะเห็น "อ่านอย่างเดียว" ทำเครื่องหมายในช่อง
  • ตอนนี้คลิกปุ่มใช้แล้วคลิกปุ่มตกลง

ผู้เชี่ยวชาญด้านความปลอดภัยบางคนแนะนำให้สร้างไฟล์ C:\Windows\perfc.dat และ C:\Windows\perfc.dll นอกเหนือจากไฟล์ C:\windows\perfc เพื่อป้องกันได้ละเอียดยิ่งขึ้น ไวรัสเพ็ตย่า- คุณสามารถทำซ้ำขั้นตอนข้างต้นสำหรับไฟล์เหล่านี้ได้

ยินดีด้วย คอมพิวเตอร์ของคุณได้รับการปกป้องจาก NotPetya/Petya!

ผู้เชี่ยวชาญของไซแมนเทคให้คำแนะนำแก่ผู้ใช้พีซีเพื่อป้องกันไม่ให้พวกเขาทำสิ่งที่อาจทำให้ไฟล์ถูกล็อคหรือสูญเสียเงิน

  1. อย่าจ่ายเงินให้อาชญากรแม้ว่าคุณจะโอนเงินไปยังแรนซัมแวร์ แต่ก็ไม่มีการรับประกันว่าคุณจะสามารถเข้าถึงไฟล์ของคุณได้อีกครั้ง และในกรณีของ NotPetya / Petya โดยทั่วไปแล้วสิ่งนี้ไม่มีความหมายเพราะเป้าหมายของแรนซัมแวร์คือการทำลายข้อมูลไม่ใช่เพื่อรับเงิน
  2. ตรวจสอบให้แน่ใจว่าคุณสร้างอย่างสม่ำเสมอ การสำรองข้อมูลข้อมูล.ในกรณีนี้ แม้ว่าพีซีของคุณจะกลายเป็นเป้าหมายของการโจมตีของไวรัสแรนซัมแวร์ คุณก็จะสามารถกู้คืนไฟล์ที่ถูกลบได้
  3. อย่าเปิดอีเมลจากที่อยู่ที่น่าสงสัยผู้โจมตีจะพยายามหลอกให้คุณติดตั้งมัลแวร์หรือพยายามรับข้อมูลสำคัญสำหรับการโจมตี อย่าลืมแจ้งผู้เชี่ยวชาญด้านไอทีหากคุณหรือพนักงานของคุณได้รับอีเมลหรือลิงก์ที่น่าสงสัย
  4. ใช้ซอฟต์แวร์ที่เชื่อถือได้มีบทบาทสำคัญในการปกป้องคอมพิวเตอร์จากการติดไวรัส อัปเดตทันเวลาซอฟต์แวร์ป้องกันไวรัส และแน่นอนว่าคุณต้องใช้ผลิตภัณฑ์จากบริษัทที่มีชื่อเสียงในสาขานี้
  5. ใช้กลไกในการสแกนและบล็อกข้อความสแปมอีเมลขาเข้าควรสแกนหาภัยคุกคาม สิ่งสำคัญคือข้อความประเภทใดก็ตามที่มีลิงก์หรือข้อความทั่วไป คำหลักฟิชชิ่ง
  6. ตรวจสอบให้แน่ใจว่าโปรแกรมทั้งหมดเป็นปัจจุบันจำเป็นต้องมีการแก้ไขช่องโหว่ของซอฟต์แวร์เป็นประจำเพื่อป้องกันการติดไวรัส

เราควรคาดหวังการโจมตีครั้งใหม่หรือไม่?

ไวรัส Petya ปรากฏตัวครั้งแรกในเดือนมีนาคม 2559 และผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นพฤติกรรมของมันทันที ไวรัส Petya ตัวใหม่ติดคอมพิวเตอร์ในยูเครนและรัสเซียเมื่อปลายเดือนมิถุนายน 2560 แต่นี่ไม่น่าจะเป็นจุดสิ้นสุด การโจมตีของแฮกเกอร์การใช้ไวรัสเรียกค่าไถ่ที่คล้ายคลึงกับ Petya และ WannaCry จะเกิดขึ้นอีกครั้ง Stanislav Kuznetsov รองประธานคณะกรรมการ Sberbank กล่าว ในการให้สัมภาษณ์กับ TASS เขาเตือนว่าการโจมตีดังกล่าวจะเกิดขึ้นอย่างแน่นอน แต่เป็นการยากที่จะคาดเดาล่วงหน้าว่าการโจมตีดังกล่าวจะเกิดขึ้นในรูปแบบใด

หลังจากการโจมตีทางไซเบอร์ผ่านไปแล้ว หากคุณยังไม่ได้ดำเนินการตามขั้นตอนขั้นต่ำในการปกป้องคอมพิวเตอร์ของคุณจากไวรัสแรนซัมแวร์ เป็นอย่างน้อย ก็ถึงเวลาที่จะต้องจริงจังกับเรื่องนี้

เมื่อไม่กี่เดือนที่ผ่านมา เราและผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีคนอื่นๆ ค้นพบมัลแวร์ตัวใหม่ - Petya (Win32.Trojan-Ransom.Petya.A)- ในแง่ดั้งเดิม ไวรัสไม่ใช่ตัวเข้ารหัส แต่เพียงแต่บล็อกการเข้าถึงไฟล์บางประเภทและเรียกร้องค่าไถ่ ไวรัสมีการปรับเปลี่ยน รายการบูตบนฮาร์ดไดรฟ์บังคับให้รีบูทพีซีและแสดงข้อความว่า "ข้อมูลถูกเข้ารหัส - เสียเงินเพื่อถอดรหัส" โดยทั่วไป รูปแบบมาตรฐานของไวรัสเข้ารหัส ยกเว้นว่าไฟล์นั้นไม่ได้เข้ารหัสจริงๆ โปรแกรมป้องกันไวรัสที่ได้รับความนิยมส่วนใหญ่เริ่มระบุและลบ Win32.Trojan-Ransom.Petya.A ไม่กี่สัปดาห์หลังจากการปรากฏตัว นอกจากนี้ยังมีคำแนะนำสำหรับการลบด้วยตนเองอีกด้วย เหตุใดเราจึงคิดว่า Petya ไม่ใช่แรนซัมแวร์แบบคลาสสิก ไวรัสนี้ทำการเปลี่ยนแปลง Master Boot Record และป้องกันไม่ให้ระบบปฏิบัติการโหลด และยังเข้ารหัส Master File Table มันไม่ได้เข้ารหัสไฟล์ด้วยตัวเอง

อย่างไรก็ตาม ไวรัสที่มีความซับซ้อนมากขึ้นปรากฏขึ้นเมื่อไม่กี่สัปดาห์ก่อน มิสชาเห็นได้ชัดว่าเขียนโดยนักต้มตุ๋นคนเดียวกัน ไฟล์เข้ารหัสไวรัสนี้และคุณต้องจ่ายเงิน 500 - 875 เหรียญสหรัฐสำหรับการถอดรหัส (ในรูปแบบ รุ่นที่แตกต่างกัน 1.5 – 1.8 บิตคอยน์) คำแนะนำสำหรับ “การถอดรหัส” และการชำระเงินจะถูกเก็บไว้ในไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML และ YOUR_FILES_ARE_ENCRYPTED.TXT

ไวรัส Mischa – เนื้อหาของไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML

ในตอนนี้ ที่จริงแล้ว แฮกเกอร์ทำให้คอมพิวเตอร์ของผู้ใช้ติดเชื้อด้วยมัลแวร์สองตัว ได้แก่ Petya และ Mischa คนแรกต้องการสิทธิ์ของผู้ดูแลระบบในระบบ นั่นคือหากผู้ใช้ปฏิเสธที่จะให้สิทธิ์ผู้ดูแลระบบ Petya หรือลบมัลแวร์นี้ด้วยตนเอง Mischa ก็เข้ามามีส่วนร่วม ไวรัสนี้ไม่ต้องการสิทธิ์ของผู้ดูแลระบบ มันเป็นตัวเข้ารหัสแบบคลาสสิกและเข้ารหัสไฟล์โดยใช้อัลกอริธึม AES ที่แข็งแกร่ง และไม่มีการเปลี่ยนแปลงใด ๆ กับ Master Boot Record และตารางไฟล์บนฮาร์ดไดรฟ์ของเหยื่อ

มัลแวร์ Mischa ไม่เพียงแต่เข้ารหัสไฟล์ประเภทมาตรฐานเท่านั้น (วิดีโอ รูปภาพ การนำเสนอ เอกสาร) แต่ยังรวมถึงไฟล์ .exe อีกด้วย ไวรัสไม่ส่งผลกระทบเฉพาะไดเร็กทอรี \Windows, \$Recycle.Bin, \Microsoft, \ มอซซิลา ไฟร์ฟอกซ์,\โอเปร่า\ อินเทอร์เน็ตเอ็กซ์พลอเรอร์, \Temp, \Local, \LocalLow และ \Chrome

การติดเชื้อเกิดขึ้นผ่านทางอีเมลเป็นหลัก โดยจะได้รับจดหมายพร้อมไฟล์แนบซึ่งก็คือตัวติดตั้งไวรัส สามารถเข้ารหัสได้ภายใต้จดหมายจาก Tax Service จากบัญชีของคุณ เช่น ใบเสร็จรับเงินและใบเสร็จรับเงินสำหรับการซื้อที่แนบมา ฯลฯ ให้ความสนใจกับนามสกุลไฟล์ในตัวอักษรดังกล่าว - หากเป็นไฟล์ปฏิบัติการ (.exe) มีความเป็นไปได้สูงว่าอาจเป็นคอนเทนเนอร์ที่มีไวรัส Petya\Mischa และหากมีการแก้ไขมัลแวร์เมื่อเร็ว ๆ นี้ โปรแกรมป้องกันไวรัสของคุณอาจไม่ตอบสนอง

อัปเดต 30/06/2017: 27 มิถุนายน ไวรัส Petya เวอร์ชันแก้ไข (เพชรยา.เอ)โจมตีผู้ใช้จำนวนมากในยูเครน ผลกระทบของการโจมตีครั้งนี้มีมหาศาลและยังไม่มีการคำนวณความเสียหายทางเศรษฐกิจ ในวันเดียว งานของธนาคารหลายสิบแห่งก็กลายเป็นอัมพาต เครือข่ายค้าปลีกหน่วยงานราชการและรัฐวิสาหกิจที่มีกรรมสิทธิ์ในรูปแบบต่างๆ ไวรัสแพร่กระจายผ่านช่องโหว่ในระบบการรายงานทางบัญชีของยูเครน MeDoc ล่าสุด อัปเดตอัตโนมัติของซอฟต์แวร์นี้ นอกจากนี้ ไวรัสยังส่งผลกระทบต่อประเทศต่างๆ เช่น รัสเซีย สเปน สหราชอาณาจักร ฝรั่งเศส และลิทัวเนีย

ลบไวรัส Petya และ Mischa โดยใช้ตัวทำความสะอาดอัตโนมัติ

พิเศษเฉพาะ วิธีการที่มีประสิทธิภาพการทำงานกับมัลแวร์โดยทั่วไปและโดยเฉพาะแรนซัมแวร์ การใช้คอมเพล็กซ์การป้องกันที่ได้รับการพิสูจน์แล้วรับประกันการตรวจจับส่วนประกอบของไวรัสอย่างละเอียด การกำจัดที่สมบูรณ์ได้ด้วยคลิกเดียว โปรดทราบว่าเรากำลังพูดถึงสอง กระบวนการที่แตกต่างกัน: ถอนการติดตั้งการติดไวรัสและกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามจำเป็นต้องถูกกำจัดออกไปอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการนำโทรจันคอมพิวเตอร์เครื่องอื่นมาใช้

  1. - หลังจากเริ่มซอฟต์แวร์ให้คลิกปุ่ม เริ่มการสแกนคอมพิวเตอร์(เริ่มการสแกน)
  2. ซอฟต์แวร์ที่ติดตั้งจะจัดทำรายงานภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่ตรวจพบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(ขจัดภัยคุกคาม) มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์

คืนค่าการเข้าถึงไฟล์ที่เข้ารหัส

ตามที่ระบุไว้ Mischa ransomware ล็อคไฟล์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง เพื่อไม่ให้ข้อมูลที่เข้ารหัสไม่สามารถกู้คืนได้ด้วยคลื่นเวทย์มนตร์ - ไม่ต้องจ่ายค่าไถ่จำนวนที่ไม่เคยได้ยินมาก่อน (บางครั้งก็สูงถึง 1,000 ดอลลาร์) แต่วิธีการบางอย่างสามารถช่วยชีวิตได้จริงๆ ซึ่งจะช่วยคุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้

โปรแกรม การกู้คืนอัตโนมัติไฟล์ (ถอดรหัส)

เป็นที่รู้กันว่ามีเหตุการณ์ที่ไม่ปกติมาก การติดเชื้อนี้จะลบไฟล์ต้นฉบับในรูปแบบที่ไม่ได้เข้ารหัส กระบวนการเข้ารหัสเพื่อวัตถุประสงค์ในการขู่กรรโชกจึงมุ่งเป้าไปที่สำเนาของพวกมัน นี่เป็นการเปิดโอกาสให้เช่นนี้ ซอฟต์แวร์วิธีการกู้คืนวัตถุที่ถูกลบแม้ว่าจะรับประกันความน่าเชื่อถือของการลบออกก็ตาม ขอแนะนำอย่างยิ่งให้หันไปใช้ขั้นตอนการกู้คืนไฟล์

Shadow Copy ของเล่มต่างๆ

วิธีการนี้ขึ้นอยู่กับขั้นตอนของ Windows การสำรองข้อมูลซึ่งจะถูกทำซ้ำในแต่ละจุดกู้คืน เงื่อนไขที่สำคัญงาน วิธีนี้: ต้องเปิดใช้งานฟังก์ชัน “System Restore” ก่อนที่จะติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ ในไฟล์ที่ทำหลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์

สำรองข้อมูล

นี่เป็นวิธีที่ดีที่สุดในบรรดาวิธีการที่ไม่ใช่ค่าไถ่ทั้งหมด หากทำตามขั้นตอนการสำรองข้อมูลแล้ว เซิร์ฟเวอร์ภายนอกถูกใช้ก่อนการโจมตี ransomware บนคอมพิวเตอร์ของคุณ เพื่อกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องเข้าสู่อินเทอร์เฟซที่เหมาะสม เลือก ไฟล์ที่จำเป็นและเริ่มกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการ คุณต้องตรวจสอบให้แน่ใจว่าได้ลบแรนซัมแวร์ออกอย่างสมบูรณ์แล้ว

ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของแรนซั่มแวร์ Petya และ Mischa

ทำความสะอาดใน โหมดแมนนวลเต็มไปด้วยการละเว้นแต่ละส่วนของ ransomware ที่สามารถหลบหนีการลบออกในรูปแบบของวัตถุระบบปฏิบัติการที่ซ่อนอยู่หรือองค์ประกอบรีจิสทรี เพื่อลดความเสี่ยงในการคงองค์ประกอบที่เป็นอันตรายไว้บางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้ชุดซอฟต์แวร์ความปลอดภัยที่เชื่อถือได้ซึ่งเชี่ยวชาญด้านซอฟต์แวร์ที่เป็นอันตราย

เมื่อวันอังคารที่ 27 มิถุนายน บริษัทในยูเครนและรัสเซียรายงานการโจมตีของไวรัสครั้งใหญ่ คอมพิวเตอร์ในองค์กรแสดงข้อความเรียกค่าไถ่ ฉันรู้แล้วว่าใครต้องทนทุกข์ทรมานจากแฮกเกอร์อีกครั้งและจะป้องกันตัวเองจากการโจรกรรมข้อมูลสำคัญได้อย่างไร

เพียญ่า ก็พอแล้ว

ภาคพลังงานเป็นกลุ่มแรกที่ถูกโจมตี: บริษัทยูเครน Ukrenergo และ Kyivenergo ร้องเรียนเกี่ยวกับไวรัส ผู้โจมตีทำให้พวกเขาเป็นอัมพาต ระบบคอมพิวเตอร์แต่ไม่กระทบต่อความมั่นคงของโรงไฟฟ้า

ชาวยูเครนเริ่มเผยแพร่ผลที่ตามมาของการติดเชื้อทางออนไลน์: เมื่อพิจารณาจากรูปภาพจำนวนมาก คอมพิวเตอร์ถูกโจมตีโดยไวรัสแรนซัมแวร์ ข้อความปรากฏขึ้นบนหน้าจอของอุปกรณ์ที่ได้รับผลกระทบ โดยระบุว่าข้อมูลทั้งหมดได้รับการเข้ารหัส และเจ้าของอุปกรณ์จำเป็นต้องจ่ายค่าไถ่ 300 ดอลลาร์เป็น Bitcoin อย่างไรก็ตาม แฮกเกอร์ไม่ได้บอกว่าจะเกิดอะไรขึ้นกับข้อมูลในกรณีที่ไม่มีการดำเนินการ และไม่ได้ตั้งเวลานับถอยหลังจนกว่าข้อมูลจะถูกทำลาย เช่นเดียวกับกรณีการโจมตีของไวรัส WannaCry

ธนาคารแห่งชาติยูเครน (NBU) รายงานว่าการทำงานของธนาคารหลายแห่งเป็นอัมพาตบางส่วนเนื่องจากไวรัส ตามรายงานของสื่อยูเครน การโจมตีดังกล่าวส่งผลกระทบต่อสำนักงานของ Oschadbank, Ukrsotsbank, Ukrgasbank และ PrivatBank

ติดเชื้อ เครือข่ายคอมพิวเตอร์"Ukrtelecom", สนามบิน "Borispol", "Ukrposhta", " จดหมายใหม่, "Kievvodokanal" และรถไฟใต้ดิน Kyiv นอกจากนี้ ไวรัสยังส่งผลกระทบต่อผู้ให้บริการมือถือชาวยูเครน ได้แก่ Kyivstar, Vodafone และ Lifecell

ต่อมาสื่อของยูเครนชี้แจงว่าเรากำลังพูดถึงมัลแวร์ Petya.A มีการเผยแพร่ตามรูปแบบปกติสำหรับแฮกเกอร์: เหยื่อจะได้รับอีเมลฟิชชิ่งจากหุ่นจำลองเพื่อขอให้พวกเขาเปิดลิงก์ที่แนบมา หลังจากนั้นไวรัสจะแทรกซึมเข้าไปในคอมพิวเตอร์ เข้ารหัสไฟล์ และเรียกร้องค่าไถ่สำหรับการถอดรหัส

แฮกเกอร์ระบุหมายเลขกระเป๋าเงิน Bitcoin ที่ควรโอนเงินไป เมื่อพิจารณาจากข้อมูลการทำธุรกรรม เหยื่อได้โอนไปแล้ว 1.2 bitcoins (มากกว่า 168,000 รูเบิล)

ตามที่ผู้เชี่ยวชาญเรื่อง ความปลอดภัยของข้อมูลจากบริษัท Group-IB บริษัทมากกว่า 80 แห่งได้รับผลกระทบจากการโจมตี หัวหน้าห้องปฏิบัติการอาชญากรรมตั้งข้อสังเกตว่าไวรัสไม่เกี่ยวข้องกับ WannaCry เพื่อแก้ไขปัญหา เขาแนะนำให้ปิดพอร์ต TCP 1024–1035, 135 และ 445

ใครจะตำหนิ

เธอรีบสรุปว่าการโจมตีดังกล่าวเกิดขึ้นจากดินแดนของรัสเซียหรือดอนบาสส์ แต่ไม่ได้ให้หลักฐานใดๆ รัฐมนตรีว่าการกระทรวงโครงสร้างพื้นฐานของประเทศยูเครน เลื่อยเบาะแสในคำว่า "ไวรัส" และเขียนบน Facebook ของเขาว่า "ไม่ใช่เรื่องบังเอิญที่มันจะลงท้ายด้วย RUS" โดยเพิ่มอิโมติคอนขยิบตาในการเดาของเขา

ในขณะเดียวกันเขาอ้างว่าการโจมตีไม่เกี่ยวข้องกับ "มัลแวร์" ที่มีอยู่ซึ่งเรียกว่า Petya และ Mischa ผู้เชี่ยวชาญด้านความปลอดภัยอ้างว่าคลื่นลูกใหม่ส่งผลกระทบไม่เพียงแต่บริษัทในยูเครนและรัสเซียเท่านั้น แต่ยังรวมถึงบริษัทในประเทศอื่นๆ ด้วย

อย่างไรก็ตาม “มัลแวร์” ในปัจจุบันมีลักษณะคล้ายกับไวรัส Petya ที่รู้จักกันดีในอินเทอร์เฟซ ซึ่งแพร่กระจายผ่านลิงก์ฟิชชิ่งเมื่อไม่กี่ปีก่อน เมื่อปลายเดือนธันวาคม แฮกเกอร์ที่ไม่รู้จักซึ่งรับผิดชอบในการสร้างแรนซัมแวร์ Petya และ Mischa เริ่มส่งอีเมลที่ติดไวรัสพร้อมกับไวรัสที่แนบมาชื่อว่า GoldenEye ซึ่งเหมือนกับ รุ่นก่อนหน้าผู้เข้ารหัส

เอกสารแนบไปกับจดหมายปกติซึ่งพนักงานแผนกทรัพยากรบุคคลมักได้รับมีข้อมูลเกี่ยวกับผู้สมัครปลอม ในไฟล์หนึ่งสามารถค้นหาเรซูเม่ได้จริงและในไฟล์ถัดไปคือตัวติดตั้งไวรัส จากนั้นเป้าหมายหลักของผู้โจมตีคือบริษัทในเยอรมนี ตลอดระยะเวลา 24 ชั่วโมง พนักงานของบริษัทเยอรมันมากกว่า 160 คนตกหลุมพราง

ไม่สามารถระบุแฮ็กเกอร์ได้ แต่ชัดเจนว่าเขาเป็นแฟนบอนด์ โปรแกรม Petya และ Mischa เป็นชื่อของดาวเทียมรัสเซีย "Petya" และ "Misha" จากภาพยนตร์เรื่อง "Golden Eye" ซึ่งในโครงเรื่องเป็นอาวุธแม่เหล็กไฟฟ้า

Petya เวอร์ชันดั้งเดิมเริ่มจำหน่ายในเดือนเมษายน 2559 มันพรางตัวเองอย่างชำนาญบนคอมพิวเตอร์และปลอมตัวเป็นโปรแกรมที่ถูกต้องตามกฎหมาย โดยขอสิทธิ์ผู้ดูแลระบบเพิ่มเติม หลังจากเปิดใช้งาน โปรแกรมมีพฤติกรรมก้าวร้าวอย่างยิ่ง โดยกำหนดเส้นตายที่เข้มงวดในการจ่ายค่าไถ่ โดยเรียกร้อง 1.3 bitcoins และหลังจากกำหนดเวลา มันเพิ่มค่าชดเชยเป็นสองเท่า

จริงแล้วหนึ่งในนั้น ผู้ใช้ทวิตเตอร์พบจุดอ่อนของแรนซัมแวร์อย่างรวดเร็วและสร้างขึ้นมา โปรแกรมง่ายๆซึ่งภายในเจ็ดวินาทีจะสร้างคีย์ที่อนุญาตให้คุณปลดล็อคคอมพิวเตอร์และถอดรหัสข้อมูลทั้งหมดโดยไม่มีผลกระทบใด ๆ

ไม่ใช่ครั้งแรก

ในช่วงกลางเดือนพฤษภาคม คอมพิวเตอร์ทั่วโลกถูกโจมตีโดยไวรัสแรนซัมแวร์ที่คล้ายกัน WannaCrypt0r 2.0 หรือที่รู้จักกันในชื่อ WannaCry ในเวลาเพียงไม่กี่ชั่วโมง เขาก็ทำให้งานของคนงานหลายแสนคนเป็นอัมพาต อุปกรณ์วินโดวส์ในกว่า 70 ประเทศ ในบรรดาผู้ที่ตกเป็นเหยื่อ ได้แก่ กองกำลังความมั่นคงของรัสเซีย ธนาคาร และ ผู้ให้บริการโทรศัพท์มือถือ- เมื่ออยู่ในคอมพิวเตอร์ของเหยื่อ ไวรัสจะถูกเข้ารหัส ฮาร์ดไดรฟ์และเรียกร้องให้ส่ง bitcoins มูลค่า 300 ดอลลาร์ให้กับผู้โจมตี มีการจัดสรรเวลาสามวันเพื่อการไตร่ตรอง หลังจากนั้นจำนวนก็เพิ่มขึ้นเป็นสองเท่า และหลังจากนั้นหนึ่งสัปดาห์ ไฟล์ก็จะถูกเข้ารหัสตลอดไป

อย่างไรก็ตามเหยื่อไม่รีบร้อนที่จะจ่ายค่าไถ่และผู้สร้างมัลแวร์

ไวรัสเป็นส่วนสำคัญของระบบนิเวศ ระบบปฏิบัติการ- ในกรณีส่วนใหญ่ เรากำลังพูดถึง Windows และ Android และหากคุณโชคร้ายจริงๆ ก็เกี่ยวกับ OS X และ Linux ยิ่งไปกว่านั้น หากก่อนหน้านี้ไวรัสจำนวนมากมุ่งเป้าไปที่การขโมยข้อมูลส่วนบุคคลเท่านั้น และในกรณีส่วนใหญ่เพียงแค่สร้างความเสียหายให้กับไฟล์ ตอนนี้ตัวเข้ารหัสจะ “ควบคุมพื้นที่ทั้งหมด”


และนี่ก็ไม่น่าแปลกใจเลย - พลังการประมวลผลของทั้งพีซีและสมาร์ทโฟนเติบโตขึ้นเหมือนหิมะถล่มซึ่งหมายความว่าฮาร์ดแวร์สำหรับ "การเล่นแผลง ๆ" ดังกล่าวมีพลังมากขึ้นเรื่อย ๆ

เมื่อไม่นานมานี้ ผู้เชี่ยวชาญได้ค้นพบไวรัส Petya G DATA SecurityLabs พบว่าไวรัสต้องการการเข้าถึงระบบระดับผู้ดูแลระบบ และไม่ได้เข้ารหัสไฟล์ แต่จะบล็อกการเข้าถึงเท่านั้น ทุกวันนี้ วิธีแก้ไขจาก Petya (Win32.Trojan-Ransom.Petya.A‘) มีอยู่แล้ว ไวรัสจะแก้ไขบันทึกการบูตบนไดรฟ์ระบบและทำให้คอมพิวเตอร์เสียหายโดยแสดงข้อความเกี่ยวกับความเสียหายของข้อมูลบนดิสก์ อันที่จริงนี่เป็นเพียงการเข้ารหัสเท่านั้น

นักพัฒนามัลแวร์เรียกร้องการชำระเงินเพื่อกู้คืนการเข้าถึง


อย่างไรก็ตาม วันนี้นอกเหนือจากไวรัส Petya แล้ว Misha ยังมีไวรัสที่ซับซ้อนยิ่งกว่านั้นอีก ไม่ต้องการสิทธิ์ผู้ดูแลระบบและเข้ารหัสข้อมูลเช่น Ransomware แบบคลาสสิก โดยสร้างไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML และ YOUR_FILES_ARE_ENCRYPTED.TXT บนดิสก์หรือโฟลเดอร์ที่มีข้อมูลที่เข้ารหัส มีคำแนะนำในการรับกุญแจ ซึ่งมีราคาประมาณ 875 ดอลลาร์

สิ่งสำคัญคือต้องทราบว่าการติดไวรัสเกิดขึ้นทางอีเมล ซึ่งได้รับไฟล์ exe ที่มีไวรัส โดยปลอมแปลงเป็นเอกสาร pdf และที่นี่ยังคงต้องเตือนอีกครั้ง - ตรวจสอบตัวอักษรพร้อมไฟล์แนบอย่างระมัดระวังและพยายามอย่าดาวน์โหลดเอกสารจากอินเทอร์เน็ตเนื่องจากขณะนี้ไวรัสหรือมาโครที่เป็นอันตรายสามารถฝังอยู่ในไฟล์ doc หรือหน้าเว็บได้

นอกจากนี้เรายังทราบด้วยว่าจนถึงขณะนี้ยังไม่มียูทิลิตี้ในการถอดรหัส "งาน" ของไวรัส Misha

ลิขสิทธิ์ภาพประกอบพีเอคำบรรยายภาพ ตามที่ผู้เชี่ยวชาญระบุว่า การต่อสู้กับแรนซัมแวร์ตัวใหม่นั้นยากกว่า WannaCry

เมื่อวันที่ 27 มิถุนายน แรนซัมแวร์ได้ล็อกคอมพิวเตอร์และไฟล์ที่เข้ารหัสในบริษัทหลายสิบแห่งทั่วโลก

มีรายงานว่าบริษัทในยูเครนได้รับผลกระทบมากที่สุด - ไวรัสดังกล่าวติดคอมพิวเตอร์ของบริษัทขนาดใหญ่ หน่วยงานภาครัฐ และโครงสร้างพื้นฐาน

ไวรัสต้องการ $300 ใน Bitcoin จากเหยื่อเพื่อถอดรหัสไฟล์

บริการ BBC Russian ตอบคำถามหลักเกี่ยวกับภัยคุกคามใหม่

ใครได้รับบาดเจ็บ?

การแพร่กระจายของไวรัสเริ่มขึ้นในยูเครน สนามบินบอรีสปิล, หน่วยงานภูมิภาคบางแห่งของอูเครเนอร์โก, ร้านค้าสาขา, ธนาคาร, บริษัทสื่อ และโทรคมนาคม ได้รับผลกระทบ คอมพิวเตอร์ในรัฐบาลยูเครนก็ล่มเช่นกัน

ต่อจากนี้ ถึงคราวของบริษัทต่างๆ ในรัสเซีย: Rosneft, Bashneft, Mondelеz International, Mars, Nivea และบริษัทอื่นๆ ก็ตกเป็นเหยื่อของไวรัสเช่นกัน

ไวรัสทำงานอย่างไร?

ผู้เชี่ยวชาญยังไม่บรรลุฉันทามติเกี่ยวกับต้นกำเนิดของไวรัสตัวใหม่ Group-IB และ Positive Technologies มองว่าเป็นตัวแปรหนึ่งของไวรัส Petya ปี 2016

“แรนซัมแวร์นี้ใช้ทั้งเทคนิคการแฮ็กและยูทิลิตี้ และ สาธารณูปโภคมาตรฐาน การบริหารระบบ, - ความคิดเห็น Elmar Nabigaev หัวหน้าแผนกตอบสนองภัยคุกคามความปลอดภัยของข้อมูลที่ Positive Technologies - ทั้งหมดนี้รับประกัน ความเร็วสูงแพร่กระจายภายในเครือข่ายและความหนาแน่นของการแพร่ระบาดโดยรวม (ถ้าอย่างน้อยหนึ่ง คอมพิวเตอร์ส่วนบุคคล- ผลลัพธ์ที่ได้คือคอมพิวเตอร์ใช้งานไม่ได้และการเข้ารหัสข้อมูลโดยสมบูรณ์"

Bitdefender บริษัทโรมาเนียมองว่าไวรัส GoldenEye มีความคล้ายคลึงกันมากกว่า โดยที่ Petya รวมกับมัลแวร์ตัวอื่นที่เรียกว่า Misha ข้อได้เปรียบอย่างหลังคือไม่ต้องการสิทธิ์ผู้ดูแลระบบจากเหยื่อในอนาคตเพื่อเข้ารหัสไฟล์ แต่แยกไฟล์เหล่านั้นอย่างอิสระ

ไบรอัน แคมเบลล์จากฟูจิตสึและผู้เชี่ยวชาญอีกจำนวนหนึ่งเชื่อว่าไวรัสตัวใหม่นี้ใช้โปรแกรม EternalBlue ที่ได้รับการดัดแปลงซึ่งขโมยมาจากสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา

หลังจากการเผยแพร่โปรแกรมนี้โดยแฮกเกอร์ The Shadow Brokers ในเดือนเมษายน 2560 ไวรัสเรียกค่าไถ่ WannaCry ที่สร้างขึ้นบนพื้นฐานของมันได้แพร่กระจายไปทั่วโลก

โดยใช้ ช่องโหว่ของ Windowsโปรแกรมนี้จะทำให้ไวรัสสามารถแพร่กระจายไปยังคอมพิวเตอร์ได้ตลอด เครือข่ายองค์กร- Petya ดั้งเดิมถูกส่งผ่าน อีเมลซึ่งปลอมตัวเป็นเรซูเม่และสามารถแพร่เชื้อไปยังคอมพิวเตอร์ที่เปิดเรซูเม่เท่านั้น

Kaspersky Lab บอกกับ Interfax ว่าไวรัสแรนซัมแวร์ไม่ได้อยู่ในตระกูลซอฟต์แวร์ที่เป็นอันตรายซึ่งเป็นที่รู้จักก่อนหน้านี้

“ผลิตภัณฑ์ซอฟต์แวร์ของ Kaspersky Lab ตรวจพบมัลแวร์นี้ในชื่อ UDS:DangeroundObject.Multi.Generic” Vyacheslav Zakorzhevsky หัวหน้าแผนกวิจัยต่อต้านไวรัสของ Kaspersky Lab กล่าว

โดยทั่วไป หากคุณเรียกไวรัสตัวใหม่ด้วยชื่อภาษารัสเซีย คุณต้องจำไว้ว่ารูปลักษณ์ภายนอกนั้นดูเหมือนสัตว์ประหลาดของแฟรงเกนสไตน์มากกว่า เนื่องจากมันถูกรวบรวมจากโปรแกรมที่เป็นอันตรายหลายตัว เป็นที่ทราบกันดีอยู่แล้วว่าไวรัสเกิดเมื่อวันที่ 18 มิถุนายน 2017

คำบรรยายภาพ ไวรัสต้องการเงิน 300 ดอลลาร์เพื่อถอดรหัสไฟล์และปลดล็อคคอมพิวเตอร์ของคุณ

เจ๋งกว่า WannaCry เหรอ?

WannaCry ใช้เวลาเพียงไม่กี่วันในเดือนพฤษภาคม 2017 ก็กลายเป็นการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์ ไวรัสแรนซัมแวร์ตัวใหม่จะเหนือกว่ารุ่นก่อนหรือไม่

ภายในเวลาไม่ถึงวัน ผู้โจมตีได้รับ 2.1 bitcoins จากเหยื่อของพวกเขา - ประมาณ 5,000 ดอลลาร์ WannaCry รวบรวม 7 bitcoins ในช่วงเวลาเดียวกัน

ในเวลาเดียวกัน Elmar Nabigaev จาก Positive Technologies กล่าวว่าการต่อสู้กับแรนซัมแวร์ตัวใหม่นั้นยากกว่า

“นอกเหนือจากการใช้ประโยชน์จาก [ช่องโหว่ของ Windows] ภัยคุกคามนี้ยังแพร่กระจายผ่านบัญชีระบบปฏิบัติการที่ถูกขโมยโดยใช้เครื่องมือแฮ็กพิเศษ” ผู้เชี่ยวชาญกล่าว

จะต่อสู้กับไวรัสได้อย่างไร?

เพื่อเป็นมาตรการป้องกัน ผู้เชี่ยวชาญแนะนำให้ติดตั้งการอัปเดตสำหรับระบบปฏิบัติการตรงเวลา และตรวจสอบไฟล์ที่ได้รับทางอีเมล

ผู้ดูแลระบบขั้นสูงควรปิดการใช้งานโปรโตคอลการถ่ายโอนเครือข่าย Server Message Block (SMB) ชั่วคราว

หากคอมพิวเตอร์ของคุณติดไวรัส คุณไม่ควรจ่ายเงินให้กับผู้โจมตีไม่ว่าในกรณีใด ไม่มีการรับประกันว่าเมื่อพวกเขาได้รับการชำระเงิน พวกเขาจะถอดรหัสไฟล์แทนที่จะเรียกร้องมากขึ้น

สิ่งที่เหลืออยู่คือการรอโปรแกรมถอดรหัส: ในกรณีของ WannaCry ผู้เชี่ยวชาญจะต้องสร้างมันขึ้นมา บริษัทฝรั่งเศส Quarkslab ของ Adrien Guinier ใช้เวลาหนึ่งสัปดาห์

แรนซั่มแวร์โรคเอดส์ตัวแรก (PC Cyborg) เขียนโดยนักชีววิทยา Joseph Popp ในปี 1989 เธอซ่อนไดเร็กทอรีและไฟล์ที่เข้ารหัส โดยเรียกร้องการชำระเงิน 189 ดอลลาร์" การต่ออายุใบอนุญาต" ไปยังบัญชีในปานามา Popp แจกจ่ายผลงานของเขาโดยใช้ฟล็อปปี้ดิสก์ทางไปรษณีย์ธรรมดา รวมเป็นเงินประมาณ 20,000เรือยอทช์การจัดส่ง. ป๊อปป์ถูกควบคุมตัวขณะพยายามขึ้นเงินด้วยเช็ค แต่หลีกเลี่ยงการพิจารณาคดี ในปี 1991 เขาถูกประกาศว่าเป็นบ้า