Dne 27. června zasáhl evropské země ransomwarový útok známý pod neškodným jménem Petya (různé zdroje uvádějí i jména Petya.A, NotPetya a GoldenEye). Kryptograf požaduje výkupné v bitcoinech v hodnotě 300 dolarů. Infikovány byly desítky velkých ukrajinských a ruských firem, zaznamenáno je i šíření viru ve Španělsku, Francii a Dánsku.
Kdo byl zasažen?
Ukrajina
Ukrajina byla jednou z prvních zemí, které byly napadeny. Podle předběžných odhadů bylo napadeno asi 80 společností a vládních agentur:
Virus dnes nešifruje jen jednotlivé soubory, ale zcela odebere uživateli přístup k pevnému disku. Virus ransomware také používá falešný elektronický podpis společnosti Microsoft, který uživatelům ukazuje, že program byl vyvinut důvěryhodným autorem a zaručuje bezpečnost. Po infikování počítače virus modifikuje speciální kód nutný k zavedení operačního systému. V důsledku toho se při startu počítače nenačítá operační systém, ale škodlivý kód.
Jak se chránit?
- Zavřete porty TCP 1024-1035, 135 a 445.
- Aktualizujte databáze svých antivirových produktů.
- Vzhledem k tomu, že se Petya šíří phishingem, neotevírejte e-maily z neznámých zdrojů (pokud je odesílatel znám, zkontrolujte, zda je tento e-mail bezpečný), dávejte si pozor na zprávy na sociálních sítích od svých přátel, protože jejich účty mohou být hacknuty.
- Virus hledat soubor C:\Windows\perfc a pokud ji nenajde, vytvoří a spustí infekci. Pokud již takový soubor v počítači existuje, pak virus dokončí svou práci bez infekce. Musíte vytvořit prázdný soubor s tímto názvem. Zvažme tento proces podrobněji.
— Hacker Fantastic (@hackerfantastic)
Dobré odpoledne přátelé. Nedávno jsme virus analyzovali Ransomware WannaCry, který se během několika hodin rozšířil do mnoha zemí světa a infikoval mnoho počítačů. A na konci června se objevil nový podobný virus "Petya". Nebo, jak se tomu nejčastěji říká „Petya“.
Tyto viry patří mezi ransomwarové trojské koně a jsou si velmi podobné, i když mají také své rozdíly, navíc významné. Podle oficiálních údajů "Péťa" nejprve infikoval slušný počet počítačů na Ukrajině a poté začal svou cestu kolem světa.
Postiženy byly počítače Izraele, Srbska, Rumunska, Itálie, Maďarska, Polska aj. Rusko je v tomto seznamu na 14. místě. Poté se virus rozšířil na další kontinenty.
Obětí viru byly v zásadě velké společnosti (často ropné společnosti), letiště, mobilní komunikační společnosti atd., například Bashneft, Rosneft, Mars, Nestlé a další. Jinými slovy, cílem útočníků jsou velké společnosti, od kterých můžete brát peníze.
Co je to "Petya"?
Petya je malware, který je trojským ransomwarem. Takoví škůdci byli vytvořeni, aby vydírali majitele infikovaných počítačů šifrováním informací umístěných na PC. Virus Petya na rozdíl od WannaCry nešifruje jednotlivé soubory. Tento trojský kůň zašifruje kompletně celý disk. To je jeho větší nebezpečí než virus WannaCry.
Když se Péťa dostane k počítači, velmi rychle zašifruje tabulku MFT. Aby to bylo jasnější, použijeme přirovnání. Pokud soubory porovnáte s velkou městskou knihovnou, odstraní její katalog a v tomto případě je velmi obtížné najít tu správnou knihu.
Dokonce nejen katalog, ale jakousi směsici stránek (souborů) z různých knih. Systém v tomto případě samozřejmě selže. V takovém svinstvu je velmi těžké pochopit systém. Jakmile se škůdce dostane do počítače, restartuje PC a po načtení se objeví červená lebka. Poté, když kliknete na libovolné tlačítko, objeví se banner s nabídkou zaplatit 300 $ na bitcoinový účet.
Virus Petya jak nechytit
Kdo mohl vytvořit Péťu? Na tuto otázku zatím neexistuje odpověď. A obecně není jasné, zda se autor nainstaluje (s největší pravděpodobností ne)? Ví se ale, že únik pocházel ze Spojených států. Virus, stejně jako WannaCry, hledá díru v operačním systému. K záplatě této díry stačí nainstalovat aktualizaci MS17-010 (vydaná před pár měsíci při útoku WannaCry). Stáhnout si ho můžete z odkazu. Nebo z oficiálních stránek Microsoftu.
V tuto chvíli je tato aktualizace nejlepším způsobem, jak chránit váš počítač. Nezapomeňte také na dobrý antivirus. Společnost Kaspersky Lab navíc uvedla, že má aktualizaci databáze, která tento virus blokuje.
To však neznamená, že je nutné nainstalovat Kaspersky. Používejte svůj antivirus, ale nezapomeňte aktualizovat jeho databáze. Nezapomeňte také na dobrý firewall.
Jak se šíří virus Petya
Nejčastěji se Péťa dostane k počítači přes e-mail. Proto se během inkubace viru Petya nevyplatí otevírat různé odkazy v dopisech, zejména v neznámých. Obecně platí pravidlo neotevírat odkazy od cizích lidí. Chráníte se tedy nejen před tímto virem, ale i před mnoha dalšími.
Poté, jakmile je v počítači, trojský kůň se restartuje a napodobuje kontrolu pro . Dále, jak jsem již zmínil, se na obrazovce objeví červená lebka a poté banner s nabídkou zaplatit za dešifrování souborů převodem tří set dolarů do bitcoinové peněženky.
Hned řeknu, že v žádném případě nemusíte platit! Stále to nedešifrujete, jen utratíte peníze a přispějete tvůrcům trojského koně. Tento virus není určen k dešifrování.
Petya virus jak se chránit
Pojďme se blíže podívat na ochranu proti viru Petya:
- Aktualizace systému jsem již zmínil. Toto je nejdůležitější bod. I když je váš systém pirátský, musíte si stáhnout a nainstalovat aktualizaci MS17-010.
- V nastavení Windows zapněte "Zobrazit přípony souborů". Díky tomu můžete vidět příponu souboru a odstranit podezřelé. Soubor viru má příponu .exe.
- Vraťme se k písmenům. Neklikejte na odkazy nebo přílohy od lidí, které neznáte. A obecně během karantény nesledujte odkazy v poště (ani od lidí, které znáte).
- Je vhodné povolit Řízení uživatelských účtů.
- Zkopírujte důležité soubory na vyměnitelné médium. Lze zkopírovat do cloudu. Tím se dostanete ze spousty problémů. Pokud se Petya objeví na vašem PC, bude stačit nainstalovat nový operační systém po zformátování pevného disku.
- Nainstaluj si dobrý antivirus. Je žádoucí, aby to byl také firewall. Obvykle mají takové antiviry na konci nápis Security. Pokud máte v počítači důležitá data, neměli byste na antiviru šetřit.
- Po instalaci slušného antiviru nezapomeňte aktualizovat jeho databáze.
Petya virus jak odstranit
To je těžká otázka. Pokud Péťa udělal práci na vašem počítači, v podstatě nebude co mazat. V systému budou všechny soubory rozptýleny. S největší pravděpodobností je již nemůžete organizovat. Nemusíte platit zlodějům. Zbývá naformátovat disk a přeinstalovat systém. Po zformátování a přeinstalaci systému virus zmizí.
Také chci dodat - tento škůdce představuje hrozbu pro systém Windows. Pokud máte jakýkoli jiný systém, například ruský systém Rosa, neměli byste se tohoto ransomwarového viru bát. Totéž platí pro majitele telefonu. Většina z nich má nainstalovaný Android, IOS atd. Majitelé buněk se proto nemají čeho obávat.
Také, pokud jste jednoduchý člověk a nejste vlastníkem velké společnosti, útočníci s největší pravděpodobností o vás nemají zájem. Potřebují velké společnosti, pro které 300 dolarů nic neznamená a kteří jim tyto peníze skutečně mohou zaplatit. To však neznamená, že se virus nemůže dostat do vašeho počítače. Raději se ujistěte!
Přesto doufejme, že vás virus Petya obejde! Postarejte se o své informace v počítači. Hodně štěstí!
, 18. července 2017Odpovědi na nejdůležitější otázky týkající se ransomwarového viru Petna (NotPetya, ExPetr), ransomwaru založeného na Petya, který infikoval mnoho počítačů po celém světě.
Tento měsíc jsme byli svědky dalšího masivního ransomwarového útoku, který přišel jen pár týdnů po . Během několika dní získala tato modifikace ransomwaru mnoho různých jmen, včetně Petya (název původního viru), NotPetya, EternalPetya, Nyetya a dalších. Zpočátku jsme mu říkali "Petya family virus", ale pro pohodlí ho budeme nazývat jednoduše Petna.
Kolem Petny je kromě názvu dost nejasností. Je to stejný ransomware jako Petya nebo jiná verze? Má být Petna považována za ransomware nebo za virus, který jednoduše ničí data? Pojďme si objasnit některé aspekty minulého útoku.
Probíhá ještě distribuce Petny?
Nejvyšší aktivita před několika dny. Šíření viru začalo 27. června ráno. Ve stejný den dosáhla jeho aktivita nejvyšší úrovně, s tisíci pokusů o útok každou hodinu. Poté se jejich intenzita během téhož dne výrazně snížila a poté byl pozorován pouze malý počet infekcí.
Dá se tento útok srovnat s WannaCry?
Ne, soudě podle dosahu naší uživatelské základny. Celosvětově jsme zaznamenali asi 20 000 pokusů o útok, což je nesrovnatelně méně než 1,5 milionu útoků WannaCry, kterým jsme zabránili.
Které země byly postiženy nejvíce?
Naše telemetrická data ukazují, že hlavní dopad viru byl na Ukrajině, kde bylo detekováno více než 90 % pokusů o útok. Utrpělo také Rusko, USA, Litva, Bělorusko, Belgie a Brazílie. V každé z těchto zemí bylo zaznamenáno několik desítek až několik stovek pokusů o infekci.
Jaké operační systémy byly infikovány?
Největší počet útoků byl zaznamenán na zařízení se systémem Windows 7 (78 %) a Windows XP (14 %). Počet útoků na modernější systémy se ukázal být mnohem menší.
Jak se virus Petna dostal na PC?
Po analýze vývojových cest kybernetické epidemie jsme našli primární vektor infekce, který je spojen s aktualizací ukrajinského účetního softwaru M.E.Doc. Proto Ukrajina tak vážně trpěla.
Hořký paradox: z bezpečnostních důvodů je uživatelům vždy doporučeno aktualizovat software, ale v tomto případě se virus začal šířit ve velkém s aktualizací softwaru, kterou vydala společnost M.E.Doc.
Proč trpěly i počítače mimo Ukrajinu?
Jedním z důvodů je, že některé z dotčených společností mají ukrajinské dceřiné společnosti. Jakmile virus napadne počítač, šíří se v síti. Tak se mu podařilo dostat se do počítačů v jiných zemích. Pokračujeme ve zkoumání dalších možných infekčních vektorů.
Co se stane po infekci?
Jakmile je zařízení infikováno, Petna se pokusí zašifrovat soubory s určitými příponami. Seznam cílových souborů není tak velký jako seznamy původního viru Petya a dalšího ransomwaru, ale obsahuje rozšíření o fotografie, dokumenty, zdrojové kódy, databáze, obrazy disků a další. Tento software navíc nejen šifruje soubory, ale také to, jak se červ šíří do dalších zařízení připojených k místní síti.
Podobně jako , virus používá tři různé způsoby šíření: pomocí exploitů EternalBlue (známý pro WannaCry) nebo EternalRomance, prostřednictvím sdílení v síti Windows pomocí přihlašovacích údajů odcizených oběti (pomocí utilit, jako je Mimikatz, které dokážou získat hesla), a také důvěryhodných nástrojů, jako je PsExec. a WMIC.
Po zašifrování souborů a šíření po síti se virus pokusí prolomit spouštění systému Windows (změnou hlavního spouštěcího záznamu, MBR) a po vynuceném restartu zašifruje hlavní tabulku souborů (MFT) systémového disku. Tím se zabrání spuštění počítače do systému Windows a počítač bude nepoužitelný.
Může Petna infikovat můj počítač se všemi nainstalovanými bezpečnostními záplatami?
Ano, je to možné díky horizontálnímu rozložení malwaru popsaného výše. I když je konkrétní zařízení chráněno před EternalBlue i EternalRomance, stále může být infikováno třetím způsobem.
Je to Retua, WannaCry 2.0 nebo něco jiného?
Virus Petna je rozhodně založen na původním ransomwaru Petna. Například v části zodpovědné za šifrování hlavní tabulky souborů je téměř totožná s dříve zjištěnou hrozbou. Není však zcela identický se staršími verzemi ransomwaru. Předpokládá se, že virus byl upraven třetí stranou, nikoli autorem původní verze, známým jako Janus, který o tom také hovořil v Cvrlikání a později zveřejnila hlavní dešifrovací klíč pro všechny předchozí verze programu.
Hlavní podobnost mezi Petnou a WannaCry spočívá v tom, že k šíření použili exploit EternalBlue.
Je pravda, že virus nic nezašifruje, ale jednoduše zničí data na discích?
To není pravda. Tento malware šifruje pouze soubory a hlavní tabulku souborů (MFT). Další otázkou je, zda lze tyto soubory dešifrovat.
Je k dispozici bezplatný dešifrovací nástroj?
Bohužel ne. Virus používá poměrně výkonný šifrovací algoritmus, který nelze překonat. Šifruje nejen soubory, ale také hlavní tabulku souborů (MFT), což značně komplikuje proces dešifrování.
Mám zaplatit výkupné?
Ne! Nikdy nedoporučujeme platit výkupné, protože to pouze povzbuzuje zločince a povzbuzuje je, aby v podobných aktivitách pokračovali. Navíc je pravděpodobné, že svá data nedostanete zpět ani po zaplacení. V tomto případě je to zjevnější než kdykoli předtím. A právě proto.
Oficiální e-mailová adresa uvedená v okně výkupného [e-mail chráněný], na kterou byly oběti požádány, aby poslaly výkupné, byla poskytovatelem e-mailových služeb krátce po virovém útoku vypnuta. Tvůrci ransomwaru proto nemohou zjistit, kdo zaplatil a kdo ne.
Dešifrování oddílu MFT je v podstatě nemožné, protože klíč je ztracen poté, co jej ransomware zašifruje. V předchozích verzích viru byl tento klíč uložen v ID oběti, ale v případě poslední úpravy se jedná pouze o náhodný řetězec.
Šifrování aplikované na soubory je navíc značně chaotické. Jak
Tento závěr byl výsledkem studie dvou společností najednou – Comae Technologies a Kaspersky Lab.
Původní malware Petya, objevený v roce 2016, byl strojem na vydělávání peněz. Tento vzorek rozhodně není určen k vydělávání peněz. Hrozba je navržena tak, aby se rychle šířila a způsobila škody a maskovala se jako ransomware.
NotPetya není čistič disků. Hrozba neodstraní data, ale jednoduše je udělá nepoužitelnými tím, že zamkne soubory a zahodí dešifrovací klíče.
Juan Andre Guerrero-Saade, vedoucí výzkumný pracovník společnosti Kaspersky Lab, k situaci uvedl:
V mé knize je ransomwarová infekce bez možného dešifrovacího mechanismu ekvivalentní vymazání disku. Ignorováním životaschopného dešifrovacího mechanismu útočníci prokázali naprostou lhostejnost k dlouhodobému peněžnímu zisku.
Autor původního ransomwaru Petya tweetoval, že s vývojem NotPetya nemá nic společného. Stal se již druhým kyberzločincem, který podíl na vytváření nové podobné hrozby popírá. Již dříve autor ransomwaru AES-NI uvedl, že nemá nic společného s XData, která byla také použita při cílených útocích na Ukrajinu. Kromě toho XData, stejně jako NotPetya, použila stejný distribuční vektor - aktualizační servery ukrajinského výrobce účetního softwaru.
Mnoho nepřímých indicií podporuje teorii, že někdo hackuje známý ransomware a pomocí upravených verzí útočí na ukrajinské uživatele.
Jsou destruktivní moduly maskované jako ransomware již běžnou praxí?
Podobné případy se již staly dříve. Využití škodlivých modulů k trvalému poškození souborů pod rouškou obyčejného ransomwaru zdaleka není novou taktikou. V dnešním světě se to již stává trendem.
V loňském roce rodiny malwaru Shamoon a KillDisk zahrnovaly „komponenty ransomwaru“ a používaly podobné techniky ke zničení dat. Nyní i průmyslový malware získává funkce čištění disku.
Klasifikace NotPetya jako nástroje pro likvidaci dat by mohla snadno přesunout malware do kategorie kybernetických zbraní. V tomto případě by se analýza důsledků hrozby měla posuzovat z jiného úhlu pohledu.
Vzhledem k výchozímu bodu infekce a počtu obětí je zřejmé, že cílem hackerského útoku byla Ukrajina. V tuto chvíli neexistují žádné jasné důkazy ukazující prstem na útočníka, ale ukrajinští představitelé již obvinili Rusko, které rovněž obvinili z minulých kybernetických incidentů z roku 2014.
NotPetya by mohla být srovnatelná se známými rodinami malwaru Stuxnet a BlackEnergy, které byly používány pro politické účely a pro destruktivní účinky. Důkazy jasně ukazují, že NotPetya je kybernetická zbraň a ne jen velmi agresivní druh ransomwaru.
Šifrovací virus Petya napadl řadu ruských a ukrajinských společností. Online vydání stránek hovořilo s odborníky z Kaspersky Lab, interaktivní agentury AGIMA, a zjišťovalo, jak chránit firemní počítače před virem a jak je Petya podobný neméně známému šifrovacímu viru WannaCry.
Virus "Petya"
V Rusku společnosti Rosneft, Bashneft, Mars, Nivea a výrobce čokolády Alpen Gold Mondelez International. Virus ransomwaru v systému monitorování radiace jaderné elektrárny v Černobylu. Útok navíc zasáhl počítače ukrajinské vlády, Privatbanky a telekomunikačních operátorů. Virus blokuje počítače a požaduje výkupné ve výši 300 dolarů v bitcoinech.
V mikroblogu na Twitteru tisková služba Rosněftu hovořila o hackerském útoku na servery společnosti. "Na serverech společnosti byl proveden silný hackerský útok. Doufáme, že to nemá nic společného s aktuálním soudním řízením. Společnost se v souvislosti s kybernetickým útokem obrátila na orgány činné v trestním řízení," píše se ve zprávě.
Podle tiskového tajemníka společnosti Michaila Leontieva Rosněfť a její dceřiné společnosti fungují jako obvykle. Po útoku firma přešla na záložní systém řízení procesů, takže těžba a příprava ropy nebyla zastavena. Napaden byl i bankovní systém Home Credit.
"Petya" se nenakazí bez "Mishy"
Podle Výkonný ředitel AGIMA Evgeny Lobanov Ve skutečnosti útok provedly dva ransomwarové viry: Petya a Misha.
"Fungují ve spojení. "Petya" neinfikuje bez "Mishy". Může infikovat, ale včerejším útokem byly dva viry: nejprve Petya, pak Misha. "Petya" přepíše zaváděcí zařízení (odkud počítač bootuje) a Misha - šifruje soubory podle určitého algoritmu," vysvětlil specialista, "Petya šifruje boot sektor disku (MBR) a nahradí jej vlastním, Misha již šifruje všechny soubory na disku (ne vždy)."
Poznamenal, že šifrovací virus WannaCry, který letos v květnu zaútočil na velké světové společnosti, není podobný Petyi, jde o novou verzi.
"Petya.A je z rodiny WannaCry (WannaCrypt), ale hlavní rozdíl je v tom, proč se nejedná o stejný virus, je v tom, že MBR je nahrazen vlastním boot sektorem - to je novinka pro Ransomware. Objevil se virus Petya kdysi dávno byl na GitHabu (online služba pro IT projekty a společné programování - stránka) https://github.com/leo-stone/hack-petya" target="_blank">decryptor pro tento šifrovač, ale pro novou modifikaci není vhodný žádný decryptor.
Jevgenij Lobanov zdůraznil, že útok zasáhl Ukrajinu tvrději než Rusko.
"Jsme náchylnější k útokům než jiné západní země. Budeme chráněni před touto verzí viru, ale ne před jeho modifikacemi. Náš internet je nebezpečný, na Ukrajině je to ještě méně. V podstatě dopravní společnosti, banky, mobilní operátoři byly napadeny (Vodafone, Kyivstar) a lékařské společnosti, stejné čerpací stanice Pharmmag, Shell – všechny velmi velké transkontinentální společnosti,“ řekl v rozhovoru pro web.
Výkonný ředitel AGIMA poznamenal, že zatím neexistují žádné skutečnosti, které by naznačovaly geografickou polohu šiřitele viru. Podle jeho názoru se virus údajně objevil v Rusku. Bohužel pro to neexistují žádné přímé důkazy.
"Existuje předpoklad, že to jsou naši hackeři, protože první modifikace se objevila v Rusku a samotný virus, který není pro nikoho tajemstvím, byl pojmenován po Petru Porošenkovi. Byl to vývoj ruských hackerů, ale těžko říct kdo to dále změnil. že být i v Rusku je snadné sehnat počítač s geolokací například ve Spojených státech,“ vysvětlil odborník.
"Pokud náhle došlo k "infekci" počítače - nelze počítač vypnout. Pokud restartujete, už se nikdy nepřihlásíte"
"Pokud je počítač náhle "infikován" - nemůžete počítač vypnout, protože virus Petya nahrazuje MBR - první spouštěcí sektor, ze kterého se načítá operační systém. Pokud restartujete, už se nikdy nepřihlásíte. To odřízne odpadní cesty, i když se objeví „tablet“, data již nebude možné vrátit. Dále je potřeba se okamžitě odpojit od internetu, aby počítač nepřešel online. Oficiální patch od Microsoftu již vydán, poskytuje 98procentní záruku bezpečnosti. Bohužel ještě ne 100 procent. Určitou modifikaci viru (jejich tři kusy) zatím obchází," doporučil Lobanov. - Pokud jste však restartovali a viděli začátek procesu „kontroly disku“, v tuto chvíli musíte okamžitě vypnout počítač a soubory zůstanou nezašifrované.
Kromě toho odborník také vysvětlil, proč jsou nejčastěji napadáni uživatelé Microsoftu, a nikoli systémy MacOSX (operační systém Applu – stránky) a unixové systémy.
"Zde je správnější hovořit nejen o MacOSX, ale i o všech unixových systémech (princip je stejný). Virus postihuje pouze počítače, bez mobilních zařízení. Útok se týká operačního systému Windows a ohrožuje pouze ty uživatele, kteří mají vypnutou funkci automatické aktualizace systému. Aktualizace jsou výjimečně dostupné i pro majitele starších verzí Windows, které již nejsou aktualizovány: XP, Windows 8 a Windows Server 2003,“ uvedl odborník.
"MacOSX a Unix nejsou globálně vystaveny takovým virům, protože mnoho velkých korporací využívá infrastrukturu Microsoftu. MacOSX to neovlivňuje, protože ve státních úřadech není tak běžný. Je pod ním méně virů, není rentabilní je vyrábět, ale také se nevyplácí." protože útočný segment bude menší, než kdyby zaútočil na Microsoft,“ uzavřel expert.
"Počet napadených uživatelů dosáhl dvou tisíc"
Tisková služba společnosti Kaspersky Lab, jehož experti pokračují ve vyšetřování nejnovější vlny infekcí, uvedl, že "tento ransomware nepatří do již známé rodiny ransomwarů Petya, ačkoli s ní sdílí několik řádků kódu."
Laboratoř si je jistá, že v tomto případě mluvíme o nové rodině škodlivého softwaru s funkčností, která se výrazně liší od Petyi. Společnost Kaspersky Lab pojmenovala nový šifrátor ExPetr.
"Podle společnosti Kaspersky Lab počet napadených uživatelů dosáhl dvou tisíc. Většina incidentů byla zaznamenána v Rusku a na Ukrajině, případy infekce byly pozorovány také v Polsku, Itálii, Velké Británii, Německu, Francii, Spojených státech a v řadě dalších zemí. V tuto chvíli naši experti naznačují: „Tento malware používal několik útočných vektorů. Bylo zjištěno, že k šíření v podnikových sítích byly použity upravené exploity EternalBlue a EternalRomance,“ uvedla tisková služba.
Odborníci také zkoumají možnost vytvoření dešifrovacího nástroje, pomocí kterého by bylo možné data dešifrovat. Laboratoř také vydala doporučení pro všechny organizace, aby se v budoucnu vyhnuly virovému útoku.
"Doporučujeme, aby organizace aktualizovaly svůj operační systém Windows. Pro Windows XP a Windows 7 si nainstalujte aktualizaci zabezpečení MS17-010 a zajistěte, aby měly účinný systém zálohování dat. Včasné a bezpečné zálohování dat umožňuje obnovit původní soubory, i když byly zašifrovány malwarem,“ doporučili odborníci společnosti Kaspersky Lab.
Laboratoř také doporučuje svým firemním klientům, aby se ujistili, že jsou aktivovány všechny ochranné mechanismy, zejména se ujistili, že připojení ke cloudové infrastruktuře Kaspersky Security Network, jako dodatečné opatření se doporučuje použít „Kontrola oprávnění aplikací“ komponenta k odepření přístupu všem skupinám aplikací (a tedy i provádění) souboru s názvem „perfc.dat“ atd.
„Pokud produkty Kaspersky Lab nepoužíváte, doporučujeme zakázat spouštění souboru s názvem perfc.dat a také zablokovat spouštění nástroje PSExec z balíčku Sysinternals pomocí funkce AppLocker, která je součástí OS (provozní system - site) Windows,“ doporučeno v laboratoři.
12. května 2017 jsou mnozí šifrovačem dat na pevných discích počítačů. Blokuje zařízení a požaduje výkupné.
Virus zasáhl organizace a oddělení v desítkách zemí po celém světě, včetně Ruska, kde bylo napadeno ministerstvo zdravotnictví, ministerstvo pro mimořádné situace, ministerstvo vnitra, servery mobilních operátorů a několik velkých bank.
Šíření viru bylo zastaveno náhodně a dočasně: pokud hackeři změní jen několik řádků kódu, malware začne znovu fungovat. Škody způsobené programem se odhadují na jednu miliardu dolarů. Po lingvistické forenzní analýze odborníci zjistili, že WannaCry vytvořili lidé z Číny nebo Singapuru.
