27. juunil tabas Euroopa riike kahjutu Petya nime all tuntud lunavararünnak (erinevates allikates on ka nimed Petya.A, NotPetya ja GoldenEye). Krüptograaf nõuab lunaraha bitcoinides, mis on võrdne 300 dollariga. Nakatunud on kümned suured Ukraina ja Venemaa ettevõtted, samuti on registreeritud viiruse levik Hispaanias, Prantsusmaal ja Taanis.
Kes pihta sai?
Ukraina
Ukraina oli üks esimesi riike, mida rünnati. Esialgsete hinnangute kohaselt rünnati umbes 80 ettevõtet ja valitsusasutust:
Tänapäeval ei krüpteeri viirus ainult üksikuid faile, vaid võtab täielikult kasutajalt juurdepääsu kõvakettale. Lunavaraviirus kasutab ka võltsitud Microsofti elektroonilist allkirja, mis näitab kasutajatele, et programmi on välja töötanud usaldusväärne autor ja tagab turvalisuse. Pärast arvuti nakatamist muudab viirus spetsiaalset koodi, mis on vajalik operatsioonisüsteemi käivitamiseks. Selle tulemusena ei laadita arvuti käivitumisel mitte operatsioonisüsteemi, vaid pahatahtlikku koodi.
Kuidas end kaitsta?
- Sulgege TCP-pordid 1024-1035, 135 ja 445.
- Värskendage oma viirusetõrjetoodete andmebaase.
- Kuna Petya levib andmepüügi teel, ärge avage tundmatutest allikatest pärit kirju (kui saatja on teada, kontrollige, kas see kiri on turvaline), olge oma sõprade sotsiaalmeedia sõnumite suhtes ettevaatlik, kuna nende kontodele võidakse häkkida.
- Viirus Otsin faili C:\Windows\perfc, ja kui ta seda ei leia, tekitab ja käivitab nakkuse. Kui selline fail on arvutis juba olemas, lõpetab viirus oma töö ilma nakatumiseta. Peate looma selle nimega tühja faili. Vaatleme seda protsessi üksikasjalikumalt.
— Häkker Fantastic (@hackerfantastic)
Tere päevast sõbrad. Viimati analüüsisime viirust WannaCry lunavara, mis levis mõne tunniga paljudesse maailma riikidesse ja nakatas paljusid arvuteid. Ja juuni lõpus ilmus uus sarnane viirus "Petya". Või nagu seda kõige sagedamini nimetatakse "Petya".
Need viirused kuuluvad lunavara troojalaste hulka ja on üsna sarnased, kuigi neil on ka oma erinevused, pealegi märkimisväärsed. Ametlikel andmetel nakatas "Petya" esmalt korraliku arvu arvuteid Ukrainas ja alustas seejärel oma teekonda ümber maailma.
Mõjutasid Iisraeli, Serbia, Rumeenia, Itaalia, Ungari, Poola jt arvutid, Venemaa on selles edetabelis 14. kohal. Seejärel levis viirus teistele mandritele.
Põhimõtteliselt olid viiruse ohvrid suurettevõtted (üsna sageli naftafirmad), lennujaamad, mobiilsidefirmad jne, kannatasid näiteks Bashneft, Rosneft, Mars, Nestle jt. Teisisõnu on ründajate sihtmärgiks suured ettevõtted, kellelt saab raha võtta.
Mis on "Petya"?
Petya on pahavara, mis on trooja lunavara. Sellised kahjurid loodi nakatunud arvutite omanike väljapressimiseks, krüpteerides arvutis asuva teabe. Petya viirus, erinevalt WannaCryst, ei krüpteeri üksikuid faile. See troojalane krüpteerib kogu ketta täielikult. See on selle suurem oht kui WannaCry viirus.
Kui Petya arvutisse jõuab, krüpteerib see MFT tabeli väga kiiresti. Et see oleks selgem, kasutame analoogiat. Kui võrrelda faile suure linnaraamatukoguga, eemaldab ta selle kataloogi ja sel juhul on õiget raamatut väga raske leida.
Isegi mitte ainult kataloog, vaid omamoodi segab lehti (faile) erinevatest raamatutest. Loomulikult süsteem sel juhul ebaõnnestub. Sellises jaburuses on süsteemist väga raske aru saada. Niipea kui kahjur arvutisse siseneb, taaskäivitab see arvuti ja pärast laadimist ilmub punane kolju. Seejärel, kui klõpsate mis tahes nupul, ilmub bänner pakkumisega maksta bitcoini kontole 300 dollarit.
Virus Petya, kuidas mitte püüda
Kes võiks Petya luua? Sellele küsimusele pole veel vastust. Ja üldiselt pole selge, kas autor installitakse (suure tõenäosusega mitte)? Kuid on teada, et leke tuli USAst. Viirus otsib sarnaselt WannaCryga operatsioonisüsteemi auku. Selle augu lappimiseks piisab MS17-010 värskenduse installimisest (välja antud paar kuud tagasi WannaCry rünnaku ajal). Saate selle alla laadida lingilt. Või Microsofti ametlikult veebisaidilt.
Praegu on see värskendus parim viis teie arvuti kaitsmiseks. Samuti ärge unustage head viirusetõrjet. Veelgi enam, Kaspersky Lab teatas, et neil on andmebaasivärskendus, mis selle viiruse blokeerib.
Kuid see ei tähenda, et Kaspersky oleks vaja installida. Kasutage oma viirusetõrjet, kuid ärge unustage värskendada selle andmebaase. Samuti ärge unustage head tulemüüri.
Kuidas Petya viirus levib
Kõige sagedamini jõuab Petya arvutisse e-posti teel. Seetõttu ei tasu Petya viiruse inkubatsiooni ajal avada kirjades erinevaid linke, eriti veel võõrastes. Üldiselt võtke reegel, et võõraste inimeste linke ei avata. Nii et kaitsete end mitte ainult selle viiruse, vaid ka paljude teiste eest.
Seejärel taaskäivitub trooja arvutisse sattudes ja jäljendab kontrollimist. Lisaks, nagu ma juba mainisin, ilmub ekraanile punane pealuu ja seejärel bänner, mis pakub failide dekrüpteerimise eest tasumist, kandes kolmsada dollarit Bitcoini rahakotti.
Ütlen kohe ära, et igal juhul pole vaja maksta! Sa ikka ei dekrüpteeri seda, vaid kulutad raha ja panustad Trooja loojate heaks. See viirus ei ole mõeldud dekrüpteerimiseks.
Petya viirus, kuidas ennast kaitsta
Vaatame lähemalt Petya viiruse eest kaitsmist:
- Mainisin juba süsteemivärskendusi. See on kõige olulisem punkt. Isegi kui teie süsteem on piraat, peate alla laadima ja installima värskenduse MS17-010.
- Lülitage Windowsi seadetes sisse "Kuva faililaiendid". Tänu sellele näete faililaiendit ja kustutate kahtlased. Viirusefaili laiend on .exe.
- Tuleme tagasi kirjade juurde. Ärge klõpsake linke või manuseid inimestelt, keda te ei tunne. Ja üldiselt ärge järgige karantiini ajal meilis olevaid linke (isegi tuttavatelt inimestelt).
- Soovitatav on lubada kasutajakonto kontroll.
- Kopeerige olulised failid irdkandjale. Saab Cloudi kopeerida. See aitab teid paljudest probleemidest välja. Kui teie arvutisse ilmub Petya, piisab pärast kõvaketta vormindamist uue operatsioonisüsteemi installimisest.
- Installige hea viirusetõrje. On soovitav, et see oleks ka tulemüür. Tavaliselt on selliste viirusetõrjete lõpus kiri Turvalisus. Kui teie arvutis on olulisi andmeid, ei tohiks te viirusetõrje pealt kokku hoida.
- Pärast korraliku viirusetõrje installimist ärge unustage selle andmebaase värskendada.
Petya viirus, kuidas eemaldada
See on raske küsimus. Kui Petya on teie arvutiga tööd teinud, pole sisuliselt midagi kustutada. Süsteemis on kõik failid hajutatud. Tõenäoliselt ei saa te neid enam korraldada. Sa ei pea varastele maksma. Jääb üle ketta vormindada ja süsteem uuesti installida. Pärast süsteemi vormindamist ja uuesti installimist viirus kaob.
Samuti tahan lisada - see kahjur ohustab Windowsi süsteemi. Kui teil on mõni muu süsteem, näiteks Venemaa Rosa süsteem, ei tohiks te seda lunavaraviirust karta. Sama kehtib ka telefoniomanike kohta. Enamikule neist on installitud Android, IOS jne. Seetõttu pole rakuomanikel millegi pärast muretseda.
Samuti, kui olete lihtne inimene, mitte suure ettevõtte omanik, siis tõenäoliselt ründajad teist ei huvita. Nad vajavad suuri ettevõtteid, mille jaoks 300 dollarit ei tähenda midagi ja kes suudavad neile seda raha maksta. Kuid see ei tähenda, et viirus ei saaks teie arvutisse sattuda. Parem veenduge!
Siiski loodame, et Petya viirus läheb teist mööda! Hoolitsege oma arvutis oleva teabe eest. Edu!
, 18. juuli 2017Vastused kõige olulisematele küsimustele Petya lunavaraviiruse (NotPetya, ExPetr) kohta, Petya-põhise lunavara, mis on nakatanud paljusid arvuteid üle maailma.
Sel kuul olime tunnistajaks järjekordsele massilisele lunavararünnakule, mis toimus vaid paar nädalat pärast . Mõne päeva jooksul sai see lunavara modifikatsioon palju erinevaid nimesid, sealhulgas Petya (algse viiruse nimi), NotPetya, EternalPetya, Nyetya ja teised. Algselt nimetasime seda "Petya perekonna viiruseks", kuid mugavuse huvides nimetame seda lihtsalt Petnaks.
Petna ümbruses on peale nime ka piisavalt ebaselgust. Kas see on sama lunavara, mis Petya või mõni muu versioon? Kas Petnat tuleks pidada lunavaraks või viiruseks, mis lihtsalt hävitab andmeid? Täpsustame mõningaid varasema rünnaku aspekte.
Kas Petna jagamine veel käib?
Aktiivsus tipphetk paar päeva tagasi. Viiruse levik algas 27. juuni hommikul. Samal päeval saavutas tema aktiivsus kõrgeima taseme – iga tund tehti tuhandeid rünnakukatseid. Pärast seda vähenes nende intensiivsus sama päeva jooksul oluliselt ja pärast seda täheldati vaid väikest arvu nakkusi.
Kas seda rünnakut saab võrrelda WannaCryga?
Ei, otsustades meie kasutajabaasi ulatuse järgi. Oleme kogu maailmas täheldanud umbes 20 000 rünnakukatset, mis on võrreldamatult vähem kui 1,5 miljonit WannaCry rünnakut, mille oleme ära hoidnud.
Millised riigid on kõige rohkem mõjutatud?
Meie telemeetria andmed näitavad, et viiruse peamine mõju oli Ukrainas, kus tuvastati üle 90% rünnakukatsetest. Kannatada said ka Venemaa, USA, Leedu, Valgevene, Belgia ja Brasiilia. Kõigis neis riikides on registreeritud mitukümmend kuni mitusada nakatumiskatset.
Millised operatsioonisüsteemid on nakatunud?
Kõige rohkem ründeid registreeriti seadmetele, kus töötab Windows 7 (78%) ja Windows XP (14%). Moodsamate süsteemide rünnakute arv osutus palju väiksemaks.
Kuidas Petna viirus arvutisse sattus?
Pärast küberepideemia arenguteede analüüsi leidsime esmase nakkusvektori, mis on seotud Ukraina raamatupidamistarkvara M.E.Doc uuendamisega. Seetõttu on Ukraina nii tõsiselt kannatanud.
Mõru paradoks: turvakaalutlustel soovitatakse kasutajatel alati oma tarkvara uuendada, kuid antud juhul hakkas viirus massiliselt levima M.E.Doc välja antud tarkvarauuendusega.
Miks said kannatada ka arvutid väljaspool Ukrainat?
Üks põhjus on see, et mõnel mõjutatud ettevõttel on Ukraina tütarettevõtted. Kui viirus nakatab arvuti, levib see võrgus. Nii õnnestus tal jõuda teiste riikide arvutiteni. Jätkame teiste võimalike nakkusvektorite uurimist.
Mis juhtub pärast nakatumist?
Kui seade on nakatunud, proovib Petna teatud laienditega faile krüptida. Sihtfailide loend ei ole nii suur kui algse Petya viiruse ja muu lunavara nimekirjad, kuid see sisaldab fotode, dokumentide, lähtekoodide, andmebaaside, kettapiltide ja muu laiendusi. Lisaks ei krüpteeri see tarkvara mitte ainult faile, vaid ka seda, kuidas uss levib teistele kohtvõrku ühendatud seadmetele.
Sarnaselt viiruse levikuks kasutatakse kolme erinevat viisi: kasutades EternalBlue'i (tuntud kui WannaCry) või EternalRomance'i ärakasutusi, Windowsi võrgu jagamist, kasutades ohvrilt varastatud mandaate (kasutades utiliite, nagu Mimikatz, mis saab paroole välja võtta), samuti usaldusväärseid tööriistu, nagu PsExec. ja WMIC.
Pärast failide krüptimist ja levimist üle võrgu üritab viirus Windowsi alglaadimist murda (muutes alglaadimisrekordit (MBR)) ning pärast sunnitud taaskäivitamist krüpteerib süsteemidraivi põhifailitabeli (MFT). See takistab arvutil Windowsi käivitamist ja muudab arvuti kasutuskõlbmatuks.
Kas Petna võib minu arvutit nakatada kõigi installitud turvapaikadega?
Jah, see on võimalik tänu ülalkirjeldatud pahavara horisontaalsele levikule. Isegi kui konkreetne seade on kaitstud nii EternalBlue'i kui ka EternalRomance'i eest, võib see siiski nakatuda kolmandal viisil.
Kas see on Retua, WannaCry 2.0 või midagi muud?
Petna viirus põhineb kindlasti originaalsel Petna lunavaral. Näiteks peamise failitabeli krüptimise eest vastutavas osas on see peaaegu identne varem esinenud ohuga. See pole aga lunavara vanemate versioonidega täiesti identne. Eeldatakse, et viirust muutis kolmas osapool, mitte algversiooni autor, tuntud kui Janus, kes rääkis sellest ka aastal. Twitter ja avaldas hiljem kõigi programmi varasemate versioonide dekrüpteerimisvõtme.
Peamine sarnasus Petna ja WannaCry vahel on see, et nad kasutasid levitamiseks EternalBlue'i ärakasutamist.
Kas vastab tõele, et viirus ei krüpteeri midagi, vaid lihtsalt hävitab ketastel olevad andmed?
See ei ole tõsi. See pahavara krüpteerib ainult faile ja põhifailitabelit (MFT). Teine küsimus on, kas neid faile saab dekrüpteerida.
Kas on saadaval tasuta dekrüpteerimistööriist?
Kahjuks ei. Viirus kasutab üsna võimsat krüpteerimisalgoritmi, millest ei saa üle. See krüpteerib mitte ainult faile, vaid ka põhifailitabelit (MFT), mis muudab dekrüpteerimisprotsessi oluliselt keerulisemaks.
Kas ma peaksin lunaraha maksma?
Mitte! Me ei soovita kunagi lunaraha maksta, kuna see ainult julgustab kurjategijaid ja julgustab neid selliseid tegevusi jätkama. Pealegi on tõenäoline, et ka pärast maksmist ei saa sa oma andmeid tagasi. Sel juhul on see ilmsem kui kunagi varem. Ja sellepärast.
Lunarahaaknas antud ametlik meiliaadress [e-postiga kaitstud], millele ohvritel paluti saata lunaraha, suleti e-posti teenusepakkuja poolt varsti pärast viiruserünnakut. Seetõttu ei saa lunavara loojad välja selgitada, kes maksis ja kes mitte.
MFT-partitsiooni dekrüpteerimine on põhimõtteliselt võimatu, kuna võti kaob pärast seda, kui lunavara selle krüpteerib. Viiruse eelmistes versioonides oli see võti salvestatud ohvri ID-sse, kuid viimase modifikatsiooni puhul on see lihtsalt juhuslik string.
Lisaks on failidele rakendatud krüpteerimine üsna kaootiline. Kuidas
See järeldus sündis kahe ettevõtte korraga - Comae Technologies ja Kaspersky Lab uuringus.
Algne Petya pahavara, mis avastati 2016. aastal, oli raha teenimise masin. See näidis ei ole kindlasti mõeldud raha teenimiseks. Oht on loodud kiireks levimiseks ja kahju tekitamiseks ning maskeerub lunavaraks.
NotPetya ei ole kettapuhastaja. Oht ei kustuta andmeid, vaid muudab need lihtsalt kasutuskõlbmatuks, lukustades failid ja visates ära dekrüpteerimisvõtmed.
Kaspersky Labi vanemteadur Juan Andre Guerrero-Saade kommenteeris olukorda:
Minu raamatus on lunavaranakkus ilma võimaliku dekrüpteerimismehhanismita samaväärne ketta puhastamisega. Eirates elujõulist dekrüpteerimismehhanismi, on ründajad näidanud üles täielikku hoolimatust pikaajalise rahalise kasu suhtes.
Algse Petya lunavara autor säutsus, et tal pole NotPetya arendamisega mingit pistmist. Temast on saanud juba teine küberkurjategija, kes eitab seotust uue sarnase ohu loomisega. Varem on AES-NI lunavara autor väitnud, et tal pole XDataga mingit pistmist, mida kasutati ka Ukraina vastu suunatud rünnakutes. Lisaks kasutas XData, nagu ka NotPetya, sama jaotusvektorit - Ukraina raamatupidamistarkvara tootja värskendusservereid.
Paljud kaudsed viited toetavad teooriat, et keegi häkib tuntud lunavarasse ja kasutab Ukraina kasutajate ründamiseks muudetud versioone.
Kas lunavaraks maskeeritud hävitavad moodulid on juba levinud praktika?
Sarnaseid juhtumeid on varemgi ette tulnud. Pahatahtlike moodulite kasutamine failide jäädavalt kahjustamiseks tavalise lunavara varjus pole kaugeltki uus taktika. Tänapäeva maailmas on see juba muutumas trendiks.
Eelmisel aastal sisaldasid Shamoon ja KillDiski pahavara perekonnad lunavarakomponente ja kasutasid andmete hävitamiseks sarnaseid tehnikaid. Nüüd saab isegi tööstuslik pahavara kettapuhastusfunktsioone.
NotPetya klassifitseerimine andmete hävitamise tööriistaks võib kergesti tõsta pahavara küberrelvaks. Sel juhul tuleks ohu tagajärgede analüüsi käsitleda teisest vaatenurgast.
Arvestades nakatumise alguspunkti ja ohvrite arvu, saab selgeks, et häkkerirünnaku sihtmärk oli Ukraina. Hetkel puuduvad selged tõendid ründaja suunas näpuga näitamiseks, kuid Ukraina ametiisikud on juba süüdistanud Venemaad, keda on süüdistanud ka varasemates 2014. aastast pärinevates küberintsidentides.
NotPetya võiks olla samaväärne tuntud Stuxneti ja BlackEnergy pahavaraperekondadega, mida on kasutatud poliitilistel eesmärkidel ja hävitava mõju saavutamiseks. Tõendid näitavad selgelt, et NotPetya on küberrelv, mitte ainult väga agressiivne lunavara.
Petya krüpteerimisviirus ründas mitmeid Venemaa ja Ukraina ettevõtteid. Saidi veebiväljaanne vestles interaktiivse agentuuri AGIMA Kaspersky Lab ekspertidega ja selgitas välja, kuidas kaitsta ettevõtete arvuteid viiruse eest ja kuidas Petya sarnaneb sama tuntud WannaCry krüpteerimisviirusega.
Viirus "Petya"
Venemaal firmad Rosneft, Bashneft, Mars, Nivea ja šokolaaditootja Alpen Gold Mondelez International. Lunavaraviirus Tšernobõli tuumaelektrijaama kiirgusseiresüsteemis. Lisaks mõjutas rünnak Ukraina valitsuse, Privatbanki ja sideoperaatorite arvuteid. Viirus blokeerib arvutid ja nõuab 300 dollari suurust lunaraha bitcoinides.
Rosnefti pressiteenistus rääkis Twitteri mikroblogis häkkerite rünnakust ettevõtte serveritele. "Ettevõtte serveritele viidi läbi võimas häkkerite rünnak. Loodame, et sellel pole praeguse kohtumenetlusega mingit pistmist. Ettevõte pöördus seoses küberrünnakuga õiguskaitseorganite poole," seisab teates.
Firma pressisekretäri Mihhail Leontjevi sõnul töötavad Rosneft ja selle tütarfirmad tavapäraselt. Pärast rünnakut läks ettevõte üle varuprotsesside juhtimissüsteemile, nii et õli tootmist ja ettevalmistamist ei peatatud. Samuti rünnati Home Credit pangasüsteemi.
"Petya" ei nakata ilma "Misha"
Vastavalt AGIMA tegevdirektor Jevgeni Lobanov, tegelikult korraldasid rünnaku kaks lunavaraviirust: Petya ja Misha.
"Nad töötavad koos. "Petya" ei nakata ilma "Misha". See võib nakatada, kuid eilne rünnak oli kaks viirust: kõigepealt Petya, siis Miša. "Petya" kirjutab alglaadimisseadme (kust arvuti käivitub) üle ja Misha - krüpteerib failid teatud algoritmi järgi," selgitas spetsialist, "Petya krüpteerib ketta alglaadimissektori (MBR) ja asendab selle omaga, Misha krüpteerib juba kõik kettal olevad failid (mitte alati)."
Ta märkis, et tänavu mais globaalseid suurfirmasid rünnanud WannaCry krüpteerimisviirus ei sarnane Petyale, tegemist on uue versiooniga.
"Petya.A on pärit WannaCry (WannaCrypt) perekonnast, kuid peamine erinevus seisneb selles, et see ei ole sama viirus, vaid see, et MBR on asendatud oma alglaadimissektoriga – see on Ransomware jaoks uudsus. Petya viirus ilmus ammu oli GitHabis (IT-projektide ja ühisprogrammeerimise võrguteenus – sait) https://github.com/leo-stone/hack-petya" target="_blank"> selle krüptija jaoks dekrüpteerija, kuid uue modifikatsiooni jaoks ei sobi ükski dekrüpteerija.
Jevgeni Lobanov rõhutas, et rünnak tabas Ukrainat tugevamini kui Venemaad.
"Oleme rünnakutele vastuvõtlikumad kui teised lääneriigid. Oleme kaitstud viiruse selle versiooni eest, kuid mitte selle modifikatsioonide eest. Meie Internet on ebaturvaline, Ukrainas veelgi vähem. Põhimõtteliselt transpordifirmad, pangad, mobiilioperaatorid rünnati (Vodafone, Kyivstar) ja meditsiiniettevõtteid, sama Pharmmag, Shelli bensiinijaamad - kõik väga suured mandritevahelised ettevõtted," ütles ta saidile antud intervjuus.
AGIMA tegevdirektor märkis, et seni puuduvad faktid, mis viitaksid viiruse levitaja geograafilisele asukohale. Tema arvates ilmus viirus väidetavalt Venemaal. Kahjuks puuduvad selle kohta otsesed tõendid.
"Eeldatakse, et tegemist on meie häkkeritega, kuna esimene modifikatsioon ilmus Venemaal ja viirus ise, mis pole kellelegi saladus, sai nime Petro Porošenko järgi. See oli Venemaa häkkerite arendus, kuid seda on raske öelda. kes seda edasi muutis. et isegi Venemaal olles on näiteks USAs lihtne geograafilise asukohaga arvuti kätte saada," selgitas ekspert.
"Kui äkki tekkis arvuti "nakkus" - te ei saa arvutit välja lülitada. Kui taaskäivitate, ei logi te enam kunagi sisse"
"Kui arvuti on ootamatult "nakatatud", ei saa te arvutit välja lülitada, sest Petya viirus asendab MBR-i – esimest alglaadimissektorit, kust operatsioonisüsteem laaditakse. Kui te taaskäivitate, ei sisene te enam kunagi süsteemi. See lõikab ära raiskamisteed, isegi kui ilmub " tahvelarvuti" pole enam võimalik andmeid tagastada. Järgmiseks tuleb kohe internetiühendus katkestada, et arvuti võrku ei läheks Microsofti ametlik plaaster on juba välja antud, annab see 98-protsendilise turvagarantii. Kahjuks veel mitte 100 protsenti. Viiruse teatud modifikatsioonist (nende kolmest tükist) läheb ta praegu mööda," soovitas Lobanov. - Kui aga taaskäivitasite ja nägite "ketta kontrollimise" protsessi algust, peate sel hetkel arvuti kohe välja lülitama ja failid jäävad krüptimata.
Lisaks selgitas ekspert ka, miks rünnatakse kõige sagedamini Microsofti kasutajaid, mitte aga MacOSX-i (Apple'i operatsioonisüsteem – sait) ja Unixi süsteeme.
"Siin on õigem rääkida mitte ainult MacOSX-ist, vaid ka kõigist unix-süsteemidest (põhimõte on sama). Viirus mõjutab ainult arvuteid, ilma mobiilseadmeteta. Rünnak mõjutab Windowsi operatsioonisüsteemi ja ohustab ainult neid kasutajaid, kes on keelanud automaatse süsteemiuuenduse funktsiooni. Värskendused erandkorras on saadaval isegi Windowsi vanemate versioonide omanikele, mida enam ei uuendata: XP, Windows 8 ja Windows Server 2003," rääkis ekspert.
"MacOSX ja Unix ei puutu globaalselt selliste viirustega kokku, sest paljud suurkorporatsioonid kasutavad Microsofti taristut. MacOSX-i see ei puuduta, sest see pole riigiasutustes nii levinud. Selle all on vähem viiruseid, nende tegemine ei ole tasuv." sest ründesegment on väiksem kui Microsofti ründamisel,“ järeldas ekspert.
"Rünnatud kasutajate arv on jõudnud kahe tuhandeni"
Kaspersky Labi pressiteenistus, mille eksperdid jätkavad viimase nakkuslaine uurimist, ütlesid, et "see lunavara ei kuulu juba tuntud Petya lunavaraperekonda, kuigi jagab sellega mitut koodirida."
Labor on kindel, et antud juhul räägime uuest ründetarkvara perekonnast, mille funktsionaalsus erineb oluliselt Petyast. Kaspersky Lab andis uuele krüpteerijale nimeks ExPetr.
"Kaspersky Labi andmetel on rünnatud kasutajate arv küündinud kahe tuhandeni. Enamik intsidente registreeriti Venemaal ja Ukrainas, nakatumisjuhtumeid täheldati ka Poolas, Itaalias, Suurbritannias, Saksamaal, Prantsusmaal, USA-s ja Paljudes teistes riikides. Hetkel pakuvad meie eksperdid "See pahavara kasutas mitut ründevektorit. On kindlaks tehtud, et korporatiivsetes võrkudes levimiseks kasutati modifitseeritud EternalBlue'i ärakasutamist ja EternalRomance'i ärakasutamist," teatas pressiteenistus.
Eksperdid uurivad ka võimalust luua dekrüpteerimistööriist, mis saaks andmeid dekrüpteerida. Samuti andis labor kõikidele organisatsioonidele soovitusi viiruserünnakute vältimiseks tulevikus.
"Soovitame organisatsioonidel uuendada oma Windowsi operatsioonisüsteemi. Windows XP ja Windows 7 puhul installige turvavärskendus MS17-010 ja veenduge, et neil oleks tõhus andmete varundussüsteem. Õigeaegne ja turvaline andmete varundamine võimaldab taastada originaalfailid, isegi kui need krüpteeriti pahavaraga," andsid Kaspersky Labi eksperdid nõu.
Samuti soovitab labor oma äriklientidel veenduda, et kõik kaitsemehhanismid on aktiveeritud, eelkõige veenduda, et ühendus Kaspersky Security Networki pilvetaristuga, lisameetmena on soovitatav kasutada "Rakenduse privileegide kontrolli" komponent, mis keelab juurdepääsu kõigile rakenduste rühmadele (ja vastavalt ka täitmisele) faili nimega "perfc.dat" jne.
"Kui te Kaspersky Labi tooteid ei kasuta, soovitame keelata faili nimega perfc.dat käitamise, samuti blokeerida PSExec utiliidi käivitamine paketist Sysinternals, kasutades AppLockeri funktsiooni, mis on osa operatsioonisüsteemist (operating). süsteem - sait) Windows", soovitatav laboris.
12. mail 2017 on paljud arvuti kõvaketastel andmete krüpteerijad. Ta blokeerib seadme ja nõuab lunaraha.
Viirus mõjutas organisatsioone ja osakondi kümnetes riikides üle maailma, sealhulgas Venemaal, kus rünnati tervishoiuministeeriumi, eriolukordade ministeeriumi, siseministeeriumi, mobiilioperaatorite servereid ja mitmeid suuri panku.
Viiruse levik peatati kogemata ja ajutiselt: kui häkkerid muudavad vaid mõne koodirea, hakkab pahavara uuesti tööle. Programmi kahju on hinnanguliselt üks miljard dollarit. Pärast keelelist kohtuekspertiisi analüüsi leidsid eksperdid, et WannaCry lõid Hiinast või Singapurist pärit inimesed.
