Június 27-én az európai országokat egy ártalmatlan Petya néven ismert ransomware támadás érte (különböző források között megtalálható a Petya.A, NotPetya és GoldenEye neve is). A kriptográfus 300 dollárnak megfelelő váltságdíjat követel bitcoinban. Több tucat ukrán és orosz nagyvállalat fertőződött meg, és a vírus terjedését Spanyolországban, Franciaországban és Dániában is rögzítik.
Kit ütöttek meg?
Ukrajna
Ukrajna volt az egyik első ország, amelyet megtámadtak. Az előzetes becslések szerint mintegy 80 vállalatot és kormányzati szervet támadtak meg:
Ma a vírus nem csak az egyes fájlokat titkosítja, hanem teljesen elveszi a felhasználó hozzáférését a merevlemezhez. A zsarolóvírus hamis Microsoft elektronikus aláírást is használ, amely megmutatja a felhasználóknak, hogy a programot megbízható szerző fejlesztette ki, és garantálja a biztonságot. A számítógép megfertőzése után a vírus módosít egy speciális kódot, amely az operációs rendszer indításához szükséges. Ennek eredményeként a számítógép indulásakor nem az operációs rendszer, hanem a rosszindulatú kód töltődik be.
Hogyan védd meg magad?
- Zárja be az 1024-1035, 135 és 445 TCP-portokat.
- Frissítse víruskereső termékeinek adatbázisait.
- Mivel a Petya adathalászat útján terjed, ne nyisson meg ismeretlen forrásból származó leveleket (ha ismert a feladó, ellenőrizze, hogy az e-mail biztonságos-e), ügyeljen az ismerősei közösségi médiás üzeneteire, mert a fiókjuk feltörhető.
- Vírus keresni fájlt C:\Windows\perfc, és ha nem találja, létrehozza és elindítja a fertőzést. Ha már létezik ilyen fájl a számítógépen, akkor a vírus fertőzés nélkül fejezi be a munkáját. Létre kell hoznia egy üres fájlt ezzel a névvel. Tekintsük ezt a folyamatot részletesebben.
— Hacker Fantastic (@hackerfantastic)
Kellemes délutánt barátaim. Legutóbb a vírust elemeztük WannaCry ransomware, amely néhány óra alatt a világ számos országába terjedt, és számos számítógépet megfertőzött. Június végén pedig megjelent egy új, hasonló vírus, a "Petya". Vagy ahogy leggyakrabban "Petya"-nak hívják.
Ezek a vírusok a ransomware trójaiak közé tartoznak, és meglehetősen hasonlóak, bár vannak különbségeik is, sőt jelentősek. A hivatalos adatok szerint "Petya" először Ukrajnában fertőzött meg megfelelő számú számítógépet, majd megkezdte világkörüli útját.
Izrael, Szerbia, Románia, Olaszország, Magyarország, Lengyelország és mások számítógépei érintettek, Oroszország ezen a listán a 14. helyen áll. Ezután a vírus más kontinensekre is átterjedt.
A vírus áldozatai alapvetően nagyvállalatok (gyakran olajtársaságok), repülőterek, mobilkommunikációs cégek stb. voltak, például a Bashneft, a Rosneft, a Mars, a Nestle és mások. Más szóval, a támadók célpontjai a nagy cégek, amelyektől pénzt vehet el.
Mi az a "Petya"?
A Petya egy rosszindulatú program, amely egy trójai zsarolóprogram. Az ilyen kártevőket azért hozták létre, hogy a számítógépen található információk titkosításával zsarolják a fertőzött számítógépek tulajdonosait. A Petya vírus a WannaCry-vel ellentétben nem titkosítja az egyes fájlokat. Ez a trójai teljesen titkosítja a teljes lemezt. Ez nagyobb veszélyt jelent, mint a WannaCry vírus.
Amikor Petya a számítógéphez ül, nagyon gyorsan titkosítja az MFT-táblát. Hogy világosabb legyen, használjunk egy hasonlatot. Ha összehasonlítja a fájlokat egy nagy városi könyvtárral, eltávolítja a katalógust, és ebben az esetben nagyon nehéz megtalálni a megfelelő könyvet.
Sőt, nem csak egy katalógus, hanem mintegy keveri a különböző könyvek oldalait (fájlokat). Természetesen ebben az esetben a rendszer meghibásodik. Ilyen szemétben nagyon nehéz megérteni a rendszert. Amint a kártevő belép a számítógépbe, újraindítja a számítógépet, és a betöltés után megjelenik egy vörös koponya. Ezután, ha bármelyik gombra kattint, megjelenik egy banner, amely felajánlja, hogy fizessen be 300 dollárt a bitcoin számlára.
Vírus Petya hogyan ne elkapja
Ki teremthetné Petyát? Erre a kérdésre még nincs válasz. És általában nem világos, hogy a szerző telepítve lesz-e (valószínűleg nem)? De ismert, hogy a kiszivárogtatás az Egyesült Államokból érkezett. A vírus a WannaCry-hez hasonlóan lyukat keres az operációs rendszerben. Ennek a lyuknak a befoltozásához elég telepíteni az MS17-010 frissítést (amely néhány hónappal ezelőtt jelent meg a WannaCry támadás során). A linkről tudod letölteni. Vagy a Microsoft hivatalos webhelyéről.
Jelenleg ez a frissítés a legjobb módja a számítógép védelmének. Ezenkívül ne feledkezzünk meg egy jó víruskeresőről sem. Sőt, a Kaspersky Lab kijelentette, hogy van egy adatbázis-frissítésük, amely blokkolja ezt a vírust.
Ez azonban nem jelenti azt, hogy telepíteni kell a Kaspersky-t. Használja víruskeresőjét, de ne felejtse el frissíteni az adatbázisait. Ne feledkezzünk meg egy jó tűzfalról sem.
Hogyan terjed a Petya vírus
Petya leggyakrabban e-mailen keresztül jut el a számítógéphez. Ezért a Petya vírus inkubációja idején nem érdemes különféle hivatkozásokat megnyitni a levelekben, különösen az ismeretlenekben. Általában véve legyen szabály, hogy ne nyisson meg idegenektől származó hivatkozásokat. Így nemcsak ettől a vírustól védi meg magát, hanem sok mástól is.
Ezután a számítógépen a trójai újraindul, és utánozza a . Továbbá, ahogy már említettem, megjelenik a képernyőn egy piros koponya, majd egy transzparens, amely felajánlja, hogy háromszáz dollár átutalásával fizet a fájlok visszafejtéséért egy Bitcoin pénztárcába.
Azonnal mondom, hogy semmi esetre sem kell fizetni! Továbbra sem fogja visszafejteni, csak költse el a pénzt, és járuljon hozzá a trójai alkotóihoz. Ezt a vírust nem arra tervezték, hogy visszafejthető legyen.
Petya vírus hogyan védekezhet
Nézzük meg közelebbről a Petya vírus elleni védekezést:
- Már említettem a rendszerfrissítéseket. Ez a legfontosabb szempont. Még ha rendszere kalóz, le kell töltenie és telepítenie kell az MS17-010 frissítést.
- Kapcsolja be a „Fájlkiterjesztések megjelenítése” lehetőséget a Windows beállításaiban. Ennek köszönhetően láthatja a fájl kiterjesztését, és törölheti a gyanúsakat. A vírusfájl kiterjesztése .exe.
- Térjünk vissza a levelekhez. Ne kattintson olyan személyek hivatkozásaira vagy mellékleteire, akiket nem ismer. És általában a karantén ideje alatt ne kövesd a levelekben lévő linkeket (még az ismerősöktől sem).
- Célszerű engedélyezni a Felhasználói fiókok felügyeletét.
- Másolja át a fontos fájlokat cserélhető adathordozóra. Felhőbe másolható. Ezzel sok problémától megszabadulhatsz. Ha a Petya megjelenik a számítógépén, elegendő egy új operációs rendszer telepítése a merevlemez formázása után.
- Telepítsen egy jó víruskeresőt. Kívánatos, hogy ez egyben tűzfal is legyen. Általában az ilyen víruskeresők végén a Security felirat található. Ha fontos adatok vannak a számítógépen, ne spóroljon a víruskeresővel.
- Egy tisztességes víruskereső telepítése után ne felejtse el frissíteni az adatbázisait.
Petya vírus, hogyan kell eltávolítani
Ez egy nehéz kérdés. Ha Petya munkát végzett a számítógépén, akkor lényegében nem lesz mit törölni. A rendszerben az összes fájl szétszórtan jelenik meg. Valószínűleg már nem tudod megszervezni őket. Nem kell fizetnie a tolvajoknak. Marad a lemez formázása és a rendszer újratelepítése. A rendszer formázása és újratelepítése után a vírus eltűnik.
Továbbá szeretném hozzátenni - ez a kártevő veszélyt jelent a Windows rendszerre. Ha bármilyen más rendszerrel rendelkezik, például az orosz Rosa rendszerrel, akkor nem kell félnie ettől a ransomware vírustól. Ugyanez vonatkozik a telefontulajdonosokra is. A legtöbben Android, IOS stb. van telepítve. Ezért a sejttulajdonosoknak nincs miért aggódniuk.
Továbbá, ha Ön egyszerű ember, és nem egy nagy cég tulajdonosa, valószínűleg a támadók nem érdeklődnek irántad. Nagy cégekre van szükségük, amelyeknek 300 dollár semmit sem jelent, és akik valóban ki tudják fizetni ezt a pénzt. Ez azonban nem jelenti azt, hogy a vírus nem juthat el a számítógépére. Inkább bizonyosodj meg róla!
Ennek ellenére reméljük, hogy a Petya vírus elkerül! Vigyázzon a számítógépén lévő adatokra. Sok szerencsét!
, 2017. július 18Válaszok a Petna ransomware vírussal (NotPetya, ExPetr) kapcsolatos legfontosabb kérdésekre, egy Petya-alapú zsarolóvírussal, amely számos számítógépet megfertőzött világszerte.
Ebben a hónapban egy újabb hatalmas ransomware támadásnak lehettünk tanúi, amely alig néhány héttel a . Néhány napon belül a ransomware ezen módosítása számos különböző nevet kapott, köztük Petya (az eredeti vírus neve), NotPetya, EternalPetya, Nyetya és mások. Kezdetben "Petya család vírusának" hívtuk, de az egyszerűség kedvéért egyszerűen Petnának nevezzük.
Petna körül a néven kívül is van elég kétértelműség. Ez ugyanaz a ransomware, mint a Petya, vagy egy másik verzió? A Petnát zsarolóprogramnak vagy vírusnak kell tekinteni, amely egyszerűen megsemmisíti az adatokat? Tisztázzuk a múltbeli támadás néhány vonatkozását.
Folyamatban van még a Petna forgalmazása?
Csúcsaktivitás néhány napja. A vírus terjedése június 27-én reggel kezdődött. Ugyanazon a napon az aktivitása elérte legmagasabb szintjét, óránként több ezer támadási kísérlettel. Ezt követően intenzitásuk jelentősen csökkent ugyanazon a napon, és ezt követően már csak kis számú fertőzést figyeltek meg.
Összehasonlítható ez a támadás a WannaCry-vel?
Nem, a felhasználói bázisunk elérése alapján. Körülbelül 20 000 támadási kísérletet figyeltünk meg világszerte, ami összehasonlíthatatlanul kevesebb, mint az általunk megakadályozott 1,5 millió WannaCry támadás.
Mely országok érintettek a leginkább?
Telemetriai adataink szerint a vírus fő hatása Ukrajnában volt, ahol a támadási kísérletek több mint 90%-át észlelték. Oroszország, az USA, Litvánia, Fehéroroszország, Belgium és Brazília is szenvedett. Ezen országok mindegyikében több tucattól több száz fertőzési kísérletet észleltek.
Milyen operációs rendszerek fertőződtek meg?
A legtöbb támadást Windows 7 (78%) és Windows XP (14%) operációs rendszert futtató eszközökön jegyezték fel. A modernebb rendszerek elleni támadások száma sokkal kevesebbnek bizonyult.
Hogyan került a Petna vírus a számítógépre?
A kiberjárvány fejlődési útjait elemezve megtaláltuk a fertőzés elsődleges vektorát, amely az ukrán M.E.Doc számviteli szoftver frissítéséhez kapcsolódik. Ezért szenvedett Ukrajna olyan súlyosan.
Keserű paradoxon: biztonsági okokból mindig azt tanácsolják a felhasználóknak, hogy frissítsék szoftvereiket, de ebben az esetben a vírus az M.E.Doc által kiadott szoftverfrissítéssel kezdett el nagy léptékben terjedni.
Miért szenvedtek az Ukrajnán kívüli számítógépek is?
Ennek egyik oka, hogy az érintett cégek egy része ukrán leányvállalattal rendelkezik. Amint egy vírus megfertőz egy számítógépet, a hálózaton belül terjed. Így sikerült elérnie más országok számítógépeit. Folytatjuk a lehetséges fertőzési vektorok feltárását.
Mi történik fertőzés után?
Ha egy eszköz megfertőződött, a Petna megpróbálja titkosítani a fájlokat bizonyos kiterjesztéssel. A célfájlok listája nem olyan nagy, mint az eredeti Petya vírus és más ransomware listái, de tartalmaz fényképeket, dokumentumokat, forráskódokat, adatbázisokat, lemezképeket és egyebeket. Ráadásul ez a szoftver nem csak a fájlokat titkosítja, hanem azt is, hogy a féreg hogyan terjed a helyi hálózathoz csatlakozó egyéb eszközökre.
A vírushoz hasonlóan a vírus három különböző módot használ a terjedésre: EternalBlue (a WannaCry-ből ismert) vagy EternalRomance exploit segítségével, Windows hálózati megosztásokon keresztül az áldozattól ellopott hitelesítő adatok használatával (jelszavak kinyerésére képes Mimikatz segédprogramokkal), valamint megbízható eszközökkel, mint a PsExec. és a WMIC.
A fájlok titkosítása és a hálózaton való terjedés után a vírus megpróbálja megtörni a Windows rendszerindítást (a master boot rekord, MBR megváltoztatásával), majd egy kényszerű újraindítás után titkosítja a rendszermeghajtó master fájltábláját (MFT). Ez megakadályozza, hogy a számítógép elinduljon a Windows rendszerbe, és a számítógép használhatatlanná válik.
Megfertőzheti a Petna a számítógépemet az összes telepített biztonsági javítással?
Igen, ez lehetséges a fent leírt kártevő vízszintes eloszlása miatt. Még ha egy adott eszköz az EternalBlue és az EternalRomance ellen is védett, akkor is megfertőződhet harmadik úton.
Retua, WannaCry 2.0 vagy valami más?
A Petna vírus egyértelműen az eredeti Petna ransomware-en alapul. Például a fő fájltábla titkosításáért felelős részben szinte teljesen megegyezik a korábban talált fenyegetéssel. Ez azonban nem teljesen azonos a ransomware régebbi verzióival. Feltételezhető, hogy a vírust egy harmadik fél módosította, és nem az eredeti verzió szerzője, Janus, aki szintén beszélt erről a Twitter, és később közzétett egy fő visszafejtő kulcsot a program összes korábbi verziójához.
A fő hasonlóság Petna és WannaCry között az, hogy az EternalBlue exploitot használták a terjedéshez.
Igaz, hogy a vírus nem titkosít semmit, hanem egyszerűen megsemmisíti a lemezeken lévő adatokat?
Ez nem igaz. Ez a rosszindulatú program csak a fájlokat és a Master File Table-t (MFT) titkosítja. Más kérdés, hogy ezek a fájlok visszafejthetők-e.
Létezik ingyenes visszafejtő eszköz?
Sajnos nincs. A vírus meglehetősen erős titkosítási algoritmust használ, amelyet nem lehet legyőzni. Nem csak a fájlokat titkosítja, hanem a főfájltáblázatot (MFT) is, ami nagymértékben megnehezíti a visszafejtési folyamatot.
Fizessem a váltságdíjat?
Nem! Soha nem tanácsoljuk váltságdíj fizetését, mivel ez csak bátorítja a bűnözőket, és arra ösztönzi őket, hogy folytassák az ilyen tevékenységeket. Sőt, valószínű, hogy fizetés után sem kapja vissza az adatait. Ebben az esetben nyilvánvalóbb, mint valaha. És ezért.
A váltságdíj ablakban megadott hivatalos e-mail cím [e-mail védett], amelyre váltságdíjat kértek az áldozatoktól, az e-mail szolgáltató röviddel a vírustámadás után leállította. Ezért a ransomware készítői nem tudják megtudni, ki fizetett és ki nem.
Az MFT-partíció visszafejtése alapvetően lehetetlen, mert a kulcs elveszik, miután a ransomware titkosította azt. A vírus korábbi verzióiban ez a kulcs az áldozatazonosítóban volt tárolva, de a legújabb módosításnál ez csak egy véletlenszerű karakterlánc.
Ráadásul a fájlok titkosítása meglehetősen kaotikus. Hogyan
Ez a következtetés két vállalat – a Comae Technologies és a Kaspersky Lab – vizsgálatának eredménye.
Az eredeti Petya kártevő, amelyet 2016-ban fedeztek fel, egy pénzkereső gép volt. Ez a minta határozottan nem pénzkeresetre szolgál. A fenyegetést úgy tervezték, hogy gyorsan terjedjen és károkat okozzon, és zsarolóprogramnak álcázza magát.
A NotPetya nem lemeztisztító. A fenyegetés nem törli az adatokat, hanem egyszerűen használhatatlanná teszi azokat a fájlok zárolásával és a visszafejtési kulcsok eldobásával.
Juan Andre Guerrero-Saade, a Kaspersky Lab vezető kutatója így kommentálta a helyzetet:
Könyvemben a ransomware fertőzés lehetséges visszafejtési mechanizmus nélkül egyenértékű a lemeztörléssel. Egy működőképes visszafejtési mechanizmus figyelmen kívül hagyásával a támadók teljes figyelmen kívül hagyták a hosszú távú pénznyereséget.
Az eredeti Petya ransomware szerzője a Twitteren azt írta, hogy semmi köze a NotPetya fejlesztéséhez. Már a második kiberbűnözővé vált, aki tagadja, hogy részt vett volna egy új, hasonló fenyegetés létrehozásában. Korábban az AES-NI ransomware szerzője kijelentette, hogy semmi köze az XData-hoz, amelyet Ukrajna elleni célzott támadásokhoz is használtak. Ezenkívül az XData, a NotPetya-hoz hasonlóan, azonos elosztási vektort használt - egy ukrán számviteli szoftvergyártó frissítési szervereit.
Számos közvetett jel támasztja alá azt az elméletet, hogy valaki ismert ransomware-t tör fel, és módosított verziókat használ az ukrán felhasználók megtámadására.
A ransomware-nek álcázott destruktív modulok már általános gyakorlatnak számítanak?
Hasonló esetek már korábban is előfordultak. A rosszindulatú modulok használata a fájlok végleges károsodására a közönséges ransomware leple alatt messze nem új taktika. A mai világban ez már kezd trend lenni.
Tavaly a Shamoon és a KillDisk kártevőcsaládok tartalmaztak „ransomware összetevőket”, és hasonló technikákat használtak az adatok megsemmisítésére. Most még az ipari rosszindulatú programok is kapnak lemeztisztító funkciókat.
A NotPetya adatmegsemmisítő eszközként való besorolása könnyen kiberfegyverré emelheti a rosszindulatú programokat. Ebben az esetben a fenyegetés következményeinek elemzését más szemszögből kell megvizsgálni.
A fertőzés kiindulási pontját és az áldozatok számát tekintve nyilvánvalóvá válik, hogy Ukrajna volt a hackertámadás célpontja. Jelenleg nincs egyértelmű bizonyíték a támadóra, de az ukrán tisztviselők már Oroszországot hibáztatták, amelyet szintén a 2014 óta történt korábbi kiberincidensekért.
A NotPetya egyenrangú lehet a jól ismert Stuxnet és BlackEnergy rosszindulatú szoftvercsaládokkal, amelyeket politikai célokra és pusztító hatásokra használtak. A bizonyítékok egyértelműen azt mutatják, hogy a NotPetya egy kiberfegyver, és nem csak egy nagyon agresszív ransomware.
Számos orosz és ukrán céget támadott meg a Petya titkosító vírus. Az oldal online kiadása a Kaspersky Lab, az AGIMA interaktív ügynökség szakértőivel beszélgetett, és kiderítette, hogyan lehet megvédeni a vállalati számítógépeket a vírusoktól, és miben hasonlít a Petya a szintén jól ismert WannaCry titkosítóvírusra.
"Petya" vírus
Oroszországban a Rosneft, a Bashneft, a Mars, a Nivea és az Alpen Gold Mondelez International csokoládégyártó cégek. Ransomware vírus a csernobili atomerőmű sugárzásfigyelő rendszerében. Emellett a támadás az ukrán kormány, a Privatbank és a távközlési szolgáltatók számítógépeit is érintette. A vírus blokkolja a számítógépeket, és 300 dolláros váltságdíjat követel bitcoinban.
A Rosneft sajtószolgálata a Twitteren egy mikroblogban beszélt a cég szervereit ért hackertámadásról. "Erőteljes hackertámadást hajtottak végre a cég szerverein. Reméljük, ennek semmi köze a jelenlegi bírósági eljárásokhoz. A cég a kibertámadással kapcsolatban a rendvédelmi szervekhez fordult" - áll az üzenetben.
Mihail Leontyev, a cég sajtótitkára szerint a Rosznyefty és leányvállalatai a megszokott módon működnek. A támadást követően a cég áttért egy tartalék folyamatirányító rendszerre, így az olajtermelés és -előkészítés nem állt le. A Home Credit bankrendszert is megtámadták.
"Petya" nem fertőz "Misha" nélkül
Alapján Jevgenyij Lobanov, az AGIMA ügyvezető igazgatója, valójában a támadást két zsarolóvírus hajtotta végre: Petya és Misha.
"Együtt működnek. A "Petya" nem fertőz "Misha" nélkül. Tud fertőzni, de a tegnapi támadás két vírus volt: először Petya, majd Misha. A "Petya" felülírja a rendszerindító eszközt (ahonnan a számítógép elindul), és Misha - titkosítja a fájlokat egy bizonyos algoritmus szerint” – magyarázta a szakember, „Petya titkosítja a lemez indító szektorát (MBR), és lecseréli a sajátjára, a Misha már titkosítja az összes fájlt a lemezen (nem mindig).
Megjegyezte, hogy a WannaCry titkosítóvírus, amely idén májusban támadta meg a nagy világcégeket, nem hasonlít a Petyához, ez egy új verzió.
"A Petya.A a WannaCry (WannaCrypt) családból származik, de a fő különbség az, hogy miért nem ugyanaz a vírus, hanem az, hogy az MBR-t saját boot szektor váltja fel – ez a Ransomware újdonsága. Megjelent a Petya vírus nagyon régen a GitHabon (informatikai projektek és közös programozás online szolgáltatása - oldal) https://github.com/leo-stone/hack-petya" target="_blank"> volt egy dekódoló ehhez a titkosítóhoz, de az új módosításhoz egyetlen dekódoló sem alkalmas.
Jevgenyij Lobanov hangsúlyozta, hogy a támadás erősebben érte Ukrajnát, mint Oroszországot.
"Mi érzékenyebbek vagyunk a támadásokra, mint más nyugati országok. A vírus ezen verziója ellen védve leszünk, de módosításaitól nem. Internetünk nem biztonságos, Ukrajnában még kevésbé. Alapvetően közlekedési cégek, bankok, mobilszolgáltatók megtámadták (Vodafone, Kyivstar) és orvosi társaságokat, ugyanazt a Pharmmagot, Shell benzinkutakat – mind nagyon nagy transzkontinentális cégeket” – mondta az oldalnak adott interjúban.
Az AGIMA ügyvezető igazgatója megjegyezte: egyelőre nincs olyan tény, amely a vírus terjesztőjének földrajzi elhelyezkedésére utalna. Véleménye szerint a vírus állítólag Oroszországban jelent meg. Sajnos erre nincs közvetlen bizonyíték.
"Van egy feltételezés, hogy ezek a mi hackereink, hiszen az első módosítás Oroszországban jelent meg, és magát a vírust, amely senki előtt sem titok, Petro Porosenko nevéhez fűződik. Az orosz hackerek fejlesztése volt, de nehéz megmondani aki tovább változtatta. hogy még Oroszországban is könnyű kézbe venni például az Egyesült Államokban földrajzi helymeghatározással rendelkező számítógépet" – magyarázta a szakértő.
"Ha hirtelen "fertőzés" történt a számítógépen, akkor nem kapcsolhatja ki a számítógépet. Ha újraindítja, soha többé nem fog bejelentkezni."
"Ha egy számítógép hirtelen "fertőzött", nem kapcsolhatja ki, mert a Petya vírus lecseréli az MBR-t - az első rendszerindítási szektort, amelyből az operációs rendszer betöltődik. Ha újraindítja, soha többé nem lép be a rendszerbe. Ez levágja a pazarlási utakat, még ha "táblagép"-nek tűnik is, többé nem lehet visszaadni az adatokat. Ezután azonnal le kell kapcsolódni az internetről, hogy a számítógép ne kapcsolódjon online. A Microsoft hivatalos javítása már megjelent, 98 százalékos biztonsági garanciát ad. Sajnos még nem 100 százalékot. A vírus bizonyos módosítását (a három darabjukat) egyelőre megkerüli" – ajánlotta Lobanov. - Ha azonban újraindította, és látta a "lemezellenőrzés" folyamat kezdetét, ebben a pillanatban azonnal ki kell kapcsolnia a számítógépet, és a fájlok titkosítatlanok maradnak.
Emellett a szakember azt is kifejtette, miért a Microsoft-felhasználókat támadják leggyakrabban, és nem a MacOSX-et (az Apple operációs rendszere – oldal) és a Unix rendszereket.
"Itt helyesebb nem csak a MacOSX-ről beszélni, hanem az összes unix rendszerről is (az elv ugyanaz). A vírus csak a számítógépeket érinti, mobil eszközök nélkül. A támadás a Windows operációs rendszert érinti, és csak azokat a felhasználókat fenyegeti, akik letiltották az automatikus rendszerfrissítés funkciót. A frissítések kivételként a régebbi Windows-verziók tulajdonosai számára is elérhetőek, amelyek már nem frissülnek: XP, Windows 8 és Windows Server 2003" - mondta a szakember.
"A MacOSX és a Unix globálisan nincs kitéve ilyen vírusoknak, mert sok nagyvállalat használja a Microsoft infrastruktúráját. A MacOSX nem érintett, mert nem olyan elterjedt az állami szerveknél. Kevesebb vírus van alatta, nem kifizetődő a gyártás , mert a támadási szegmens kisebb lesz, mintha a Microsoftot támadná” – zárta a szakértő.
"A megtámadott felhasználók száma elérte a kétezret"
A Kaspersky Lab sajtószolgálata, amelynek szakértői továbbra is vizsgálják a legújabb fertőzési hullámot, azt mondták, hogy "ez a ransomware nem tartozik a már jól ismert Petya ransomware családhoz, bár több sornyi kódot is megoszt vele."
A Laboratórium biztos abban, hogy ebben az esetben egy új rosszindulatú szoftvercsaládról beszélünk, amelynek funkcionalitása jelentősen eltér a Petya-tól. A Kaspersky Lab ExPetr nevű titkosítót adott el.
"A Kaspersky Lab szerint a megtámadott felhasználók száma elérte a kétezret. A legtöbb incidenst Oroszországban és Ukrajnában jegyezték fel, és fertőzéses eseteket is megfigyeltek Lengyelországban, Olaszországban, Nagy-Britanniában, Németországban, Franciaországban, az Egyesült Államokban, ill. Számos más országban. Jelenleg szakértőink azt sugallják, hogy "Ez a kártevő számos támadási vektort használt. Megállapítást nyert, hogy egy módosított EternalBlue exploit és egy EternalRomance exploit terjedt el a vállalati hálózatokban" - közölte a sajtószolgálat.
A szakértők egy olyan dekódoló eszköz létrehozásának lehetőségét is vizsgálják, amellyel az adatok visszafejthetők. A Laboratórium ajánlásokat is fogalmazott meg minden szervezet számára a vírustámadások jövőbeni elkerülésére.
"Javasoljuk, hogy a szervezetek frissítsék Windows operációs rendszerüket. Windows XP és Windows 7 esetén telepítse az MS17-010 biztonsági frissítést, és gondoskodjon arról, hogy hatékony adatmentési rendszerrel rendelkezzenek. Az időszerű és biztonságos adatmentés lehetővé teszi az eredeti fájlok visszaállítását, még akkor is, ha rosszindulatú programok titkosították őket” – tanácsolták a Kaspersky Lab szakértői.
A Laboratórium azt is javasolja vállalati ügyfelei számára, hogy minden védelmi mechanizmus aktiválva legyen, különös tekintettel arra, hogy a Kaspersky Security Network felhő infrastruktúrájához való kapcsolódás során kiegészítő intézkedésként az Application Privilege Control komponens használata javasolt. megtagadja az összes alkalmazáscsoport hozzáférését (és ennek megfelelően a végrehajtását) a „perfc.dat” nevű fájlhoz stb.
"Ha nem használ Kaspersky Lab termékeket, javasoljuk, hogy tiltsa le a perfc.dat nevű fájl végrehajtását, valamint blokkolja a PSExec segédprogram elindítását a Sysinternals csomagból az AppLocker funkcióval, amely az operációs rendszer része (operációs rendszer). rendszer - site) Windows", ajánlott a laboratóriumban.
2017. május 12-én sokan a számítógép merevlemezén található adattitkosítók. Letiltja a készüléket, és váltságdíjat követel.
A vírus a világ több tucat országának szervezeteit és részlegeit érintette, köztük Oroszországot, ahol az Egészségügyi Minisztériumot, a rendkívüli helyzetek minisztériumát, a Belügyminisztériumot, a mobilszolgáltatók szervereit és több nagy bankot is megtámadták.
A vírus terjedését véletlenül és átmenetileg sikerült megállítani: ha a hackerek csak néhány sornyi kódot változtatnak, a kártevő újra működésbe lép. A program kárát egymilliárd dollárra becsülik. Egy nyelvi kriminalisztikai elemzés után a szakértők megállapították, hogy a WannaCry-t Kínából vagy Szingapúrból származó emberek hozták létre.
