Virusi vya petya vilikuwa lini. Peter au sio Peter? Ni aina gani ya virusi imeshambulia makampuni duniani kote na nini cha kufanya ikiwa kompyuta yako imeambukizwa. Nani aliunda virusi vya Petya

Virusi "Petya": jinsi ya kutoikamata, jinsi ya kuamua ilitoka wapi - habari za hivi punde juu ya virusi vya Petya ransomware, ambayo hadi siku ya tatu ya "shughuli" yake ilikuwa imeambukiza kompyuta elfu 300 katika nchi tofauti za ulimwengu, na hadi sasa hakuna. mmoja ameisimamisha.

Virusi vya Petya - jinsi ya kufuta, habari za hivi karibuni. Baada ya kushambulia kompyuta, waundaji wa ransomware ya Petya wanadai fidia ya $ 300 (katika bitcoins), lakini hakuna njia ya kufuta virusi vya Petya hata kama mtumiaji hulipa pesa. Wataalamu wa Kaspersky Lab, ambao waliona tofauti kutoka kwa Petya katika virusi vipya na kuiita ExPetr, wanadai kuwa kitambulisho cha kipekee cha usakinishaji maalum wa Trojan kinahitajika ili kusimbua.

Katika matoleo yanayojulikana awali ya Petya/Mischa/GoldenEye ransomware sawa, kitambulisho cha usakinishaji kilikuwa na maelezo muhimu kwa hili. Katika kesi ya ExPetr, kitambulisho hiki hakipo, RIA Novosti anaandika.

Virusi "Petya" - ilitoka wapi, habari za hivi punde. Wataalamu wa usalama wa Ujerumani walitoa toleo la kwanza la mahali ambapo programu hii ya ukombozi ilitoka. Kwa maoni yao, virusi vya Petya vilianza kuzunguka kompyuta kutoka kwa ufunguzi wa faili za M.E.Doc. Huu ni mpango wa uhasibu unaotumiwa nchini Ukraine baada ya marufuku ya 1C.

Wakati huo huo, Kaspersky Lab inasema kuwa ni mapema mno kufanya hitimisho kuhusu asili na chanzo cha kuenea kwa virusi vya ExPetr. Inawezekana kwamba washambuliaji walikuwa na data nyingi. Kwa mfano, anwani za barua pepe kutoka kwa barua iliyotangulia au njia nyingine nzuri ya kupenya kompyuta.

Kwa msaada wao, virusi vya "Petya" vilipiga kwa nguvu zake zote kwa Ukraine na Urusi, pamoja na nchi nyingine. Lakini kiwango halisi cha shambulio hili la wadukuzi kitakuwa wazi katika siku chache - ripoti.

Virusi "Petya": jinsi ya kutokamata, jinsi ya kuamua, ilitoka wapi - habari za hivi karibuni kuhusu virusi vya Petya ransomware, ambayo tayari imepokea jina jipya kutoka kwa Kaspersky Lab - ExPetr.

Takriban kila mtumiaji ana programu ya kuzuia virusi kwenye kompyuta yake, lakini wakati mwingine Trojan au virusi huonekana ambayo inaweza kukwepa ulinzi bora na kuambukiza kifaa chako, au mbaya zaidi, kusimba data yako kwa njia fiche. Wakati huu, encoder ya trojan "Petya" au, kama inaitwa pia, "Petya" ikawa virusi hivyo. Kiwango cha kuenea kwa tishio hili ni cha kushangaza sana: katika siku chache aliweza "kutembelea" Urusi, Ukraine, Israel, Australia, USA, nchi zote kuu za Ulaya na kwingineko. Iliwakumba zaidi watumiaji wa mashirika (viwanja vya ndege, mitambo ya kuzalisha umeme, sekta ya utalii), lakini watu wa kawaida pia waliteseka. Kwa upande wa upeo wake na mbinu za ushawishi, ni sawa sana na ile ya hivi karibuni ya kuvutia.

Hakika unahitaji kulinda kompyuta yako ili usiwe mwathirika wa Trojan mpya ya kikombozi "Petya". Katika makala hii, nitakuambia ni nini virusi vya Petya, jinsi inavyoenea, na jinsi ya kujikinga na tishio hili. Kwa kuongeza, tutagusa masuala ya kuondoa Trojan na maelezo ya kufuta.

Virusi vya Petya ni nini?

Kuanza, tunapaswa kuelewa ni nini Petya. Virusi vya Petya ni programu hasidi ambayo ni trojan ya aina ya ransomware (walaghai). Virusi hivi vimeundwa ili kuwasihi wamiliki wa vifaa vilivyoambukizwa ili kupata fidia kutoka kwao kwa data iliyosimbwa. Tofauti na Wanna Cry, Petya hajisumbui kusimba faili za kibinafsi - karibu mara moja "huondoa" diski nzima kutoka kwako.

Jina sahihi la virusi mpya ni Petya.A. Mbali na hilo, Kaspersky anaiita NotPetya/ExPetr.

Maelezo ya virusi vya Petya

Mara moja kwenye kompyuta yako ya Windows, Petya husimba faili ya MFT(Jedwali la Faili kuu - jedwali kuu la faili). Jedwali hili ni la nini?

Fikiria kuwa diski yako kuu ndiyo maktaba kubwa zaidi katika ulimwengu wote. Ina mabilioni ya vitabu. Kwa hivyo unapataje kitabu sahihi? Tu kwa msaada wa orodha ya maktaba. Ni saraka hii ambayo Petya huharibu. Kwa hivyo, unapoteza uwezekano wowote wa kupata "faili" yoyote kwenye PC yako. Ili kuwa sahihi zaidi, baada ya "kazi" ya Petya, diski kuu ya kompyuta yako itafanana na maktaba baada ya kimbunga, na mabaki ya vitabu yanazunguka.

Kwa hivyo, tofauti na Wanna Cry, ambayo nilitaja mwanzoni mwa kifungu hicho, Petya.A haifiche faili za kibinafsi, ikitumia muda wa kuvutia kwenye hii - inachukua fursa yoyote kwako kuzipata.

Baada ya udanganyifu wake wote, anadai fidia kutoka kwa watumiaji - dola 300 za Marekani, ambazo lazima zihamishwe kwenye akaunti ya bitcoin.

Ni nani aliyeunda virusi vya Petya?

Wakati wa kuunda virusi vya Petya, unyonyaji ("shimo") katika Windows OS inayoitwa "EternalBlue" ilitumiwa. Microsoft ilitoa kiraka ambacho "hufunga" shimo hili miezi michache iliyopita, hata hivyo, si kila mtu anatumia nakala iliyoidhinishwa ya Windows na kusakinisha masasisho yote ya mfumo, sivyo?)

Muumbaji wa "Petya" aliweza kutumia uzembe wa watumiaji wa ushirika na wa kibinafsi kwa busara na kupata pesa juu yake. Utambulisho wake bado haujulikani (na hakuna uwezekano wa kujulikana)

Je, virusi vya Petya hueneaje?

Virusi vya Petya mara nyingi huenea chini ya kivuli cha viambatisho vya barua pepe na kwenye kumbukumbu zilizo na programu iliyoambukizwa na maharamia. Kiambatisho kinaweza kuwa na faili yoyote kabisa, ikijumuisha picha au mp3 (inaonekana hivyo mara ya kwanza). Baada ya kuendesha faili, kompyuta yako itaanza upya na virusi itaiga hundi ya diski kwa makosa ya CHKDSK, na wakati huo itarekebisha rekodi ya boot ya kompyuta yako (MBR). Baada ya hapo, utaona fuvu nyekundu kwenye skrini ya kompyuta yako. Kwa kubofya kifungo chochote, unaweza kufikia maandishi ambayo utaombwa kulipa kwa kufuta faili zako na kuhamisha kiasi kinachohitajika kwenye mkoba wa bitcoin.

Jinsi ya kujikinga na virusi vya Petya?

  • Muhimu zaidi na kimsingi - fanya sheria ya kusakinisha sasisho za mfumo wako wa uendeshaji! Hii ni muhimu sana. Fanya hivi sasa, usichelewe.
  • Zingatia sana viambatisho vyote ambavyo vimeambatanishwa na barua, hata kama barua zinatoka kwa watu unaowajua. Wakati wa janga, ni bora kutumia vyanzo mbadala vya usambazaji wa data.
  • Washa chaguo la "Onyesha viendelezi vya faili" katika mipangilio ya Mfumo wa Uendeshaji - ili uweze kuona kiendelezi cha kweli cha faili kila wakati.
  • Wezesha "Udhibiti wa Akaunti ya Mtumiaji" katika mipangilio ya Windows.
  • Moja ya lazima imewekwa ili kuepuka maambukizi. Anza kwa kufunga sasisho la OS, kisha usakinishe antivirus - na utakuwa tayari kuwa salama zaidi kuliko hapo awali.
  • Hakikisha kufanya "chelezo" - kuhifadhi data zote muhimu kwenye gari la nje ngumu au kwa wingu. Kisha, ikiwa virusi vya Petya hupenya PC yako na kusimba data zote, itakuwa rahisi kwako kuunda gari lako ngumu na kusakinisha OS tena.
  • Daima hakikisha kuwa hifadhidata zako za antivirus zimesasishwa. Antivirus zote nzuri hufuatilia vitisho na kujibu kwa wakati unaofaa kwa kusasisha saini za vitisho.
  • Sakinisha matumizi ya bure ya Kaspersky Anti-Ransomware. Itakulinda kutokana na virusi vya usimbuaji. Kusakinisha programu hii hakuondoi hitaji la kusakinisha antivirus.

Jinsi ya kuondoa virusi vya Petya?

Jinsi ya kuondoa virusi vya Petya.A kutoka kwa gari lako ngumu? Hili ni swali la kuvutia sana. Ukweli ni kwamba ikiwa virusi tayari imezuia data yako, basi kutakuwa, kwa kweli, hakuna kitu cha kufuta. Ikiwa huna mpango wa kulipa wanyang'anyi (ambao hupaswi kufanya) na hautajaribu kurejesha data kwenye diski katika siku zijazo, unahitaji tu kuunda diski na kurejesha tena OS. Baada ya hapo, hakutakuwa na athari ya virusi.

Ikiwa unashuku kuwa kuna faili iliyoambukizwa kwenye diski yako, soma diski yako na mmoja wao au usakinishe Kaspersky Anti-Virus na ufanyie uchunguzi kamili wa mfumo. Msanidi programu alihakikisha kuwa hifadhidata yake ya sahihi tayari ina habari kuhusu virusi hivi.

Kisimbuaji Petya.A

Petya.A husimba data yako kwa njia kali sana. Kwa sasa hakuna suluhisho la kusimbua maelezo yaliyozuiwa. Kwa kuongeza, haupaswi kujaribu kupata data nyumbani.

Bila shaka, sote tungeota ndoto ya kupata decryptor ya kimiujiza (decryptor) Petya.A, lakini hakuna suluhisho kama hilo. Virusi vilikumba dunia miezi michache iliyopita, lakini hakuna tiba iliyopatikana ya kusimbua data iliyosimbwa.

Kwa hivyo, ikiwa bado haujawa mwathirika wa virusi vya Petya, sikiliza ushauri ambao nilitoa mwanzoni mwa kifungu hicho. Ikiwa bado umepoteza udhibiti wa data yako, basi una njia kadhaa.

  • Lipa pesa. Kufanya hivi hakuna maana! Wataalam tayari wamegundua kuwa muumbaji wa virusi harudishi data, na hawezi kurejesha, kutokana na njia ya encryption.
  • Vuta gari ngumu kutoka kwa kifaa chako, uiweke kwa uangalifu kwenye baraza la mawaziri na ubonyeze decryptor ili kuonekana. Kwa njia, Kaspersky Lab inafanya kazi kila wakati katika mwelekeo huu. Visimbuaji vinavyopatikana viko kwenye tovuti ya No Ransom.
  • Fomati diski na usakinishe mfumo wa uendeshaji. Ondoa - data zote zitapotea.

Petya.A virusi nchini Urusi

Huko Urusi na Ukraine, zaidi ya kampuni 80 zimeshambuliwa na kuambukizwa wakati wa kuandika, pamoja na kubwa kama vile Bashneft na Rosneft. Maambukizi ya miundombinu ya makampuni makubwa hayo yanazungumzia uzito wa virusi vya Petya.A. Hakuna shaka kwamba Trojan ya ransomware itaendelea kuenea kote Urusi, kwa hiyo unapaswa kutunza usalama wa data yako na kufuata ushauri uliotolewa katika makala.

Petya.A na Android, iOS, Mac, Linux

Watumiaji wengi wana wasiwasi kuhusu ikiwa virusi vya Petya vinaweza kuambukiza vifaa vyao vinavyoendesha Android na iOS. Ninaharakisha kuwahakikishia - hapana, haiwezi. Imeundwa kwa watumiaji wa Windows pekee. Vile vile hutumika kwa mashabiki wa Linux na Mac - unaweza kulala kwa amani, hakuna kitu kinachotishia.

Hitimisho

Kwa hiyo, leo tulijadili virusi vya Petya.A kwa undani. Tulielewa ni nini Trojan hii na jinsi inavyofanya kazi, tulijifunza jinsi ya kujikinga na maambukizi na kuondoa virusi, wapi kupata decryptor ya Petya. Natumaini kwamba makala na vidokezo vyangu vilikuwa na manufaa kwako.

Kulingana na Positive Technologies, zaidi ya mashirika 80 nchini Urusi na Ukraine yameathiriwa na vitendo vya Petya. Ikilinganishwa na WannaCry, virusi hivi vinachukuliwa kuwa vya uharibifu zaidi, kwani vinaenezwa kwa njia kadhaa - kwa kutumia Windows Management Instrumentation, PsExec, na EternalBlue exploit. Kwa kuongeza, matumizi ya bure ya Mimikatz yameingizwa kwenye encryptor.

"Seti hii ya zana inaruhusu Petya kubaki kufanya kazi hata katika miundomsingi ambayo somo la WannaCry lilizingatiwa na masasisho ya usalama yaliwekwa, ndiyo maana ransomware ni nzuri sana," Positive Technologies ilisema.

Kama Elmar Nabigaev, mkuu wa idara ya kujibu vitisho vya usalama wa habari, aliambia Gazeta.Ru,

Ikiwa tunazungumzia juu ya sababu za hali ya sasa, basi tatizo ni tena katika mtazamo wa kutojali kwa matatizo ya usalama wa habari.

Mkuu wa maabara ya virusi vya Avast, Jakub Kroustek, katika mahojiano na Gazeta.Ru, alisema kuwa haiwezekani kujua ni nani hasa alikuwa nyuma ya shambulio hili la cyber, lakini ilikuwa tayari inajulikana kuwa virusi vya Petya vilisambazwa kwenye mtandao wa giza. kutumia RaaS (programu hasidi kama huduma) modeli ya biashara.

"Kwa hivyo, sehemu ya wasambazaji wa programu hufikia 85% kutoka kwa fidia, 15% huenda kwa waandishi wa virusi vya ukombozi," Croustek alisema. Alibainisha kuwa waandishi wa Petya hutoa miundombinu yote, seva za C & C na mifumo ya uhamisho wa fedha, ambayo husaidia kuvutia watu kueneza virusi, hata kama hawana uzoefu wa programu.

Kwa kuongeza, Avast aliiambia ni mifumo gani ya uendeshaji iliyoathiriwa zaidi na virusi.

Windows 7 ilichukua nafasi ya kwanza - 78% ya kompyuta zote zilizoambukizwa. Hii inafuatwa na Windows XP (18%), Windows 10 (6%) na Windows 8.1 (2%).

Kaspersky Lab ilizingatia kwamba ingawa virusi ni sawa na familia ya Petya, bado ni ya jamii tofauti, na ikampa jina tofauti - ExPetr, yaani, "Peter wa zamani".

Dmitry Khomutov, Naibu Mkurugenzi wa Maendeleo wa Aideco, alimweleza mwandishi wa Gazeta.Ru kwamba mashambulizi ya mtandaoni na virusi vya WannaCry na Petya yalisababisha kile nimekuwa nikikionya kwa muda mrefu, yaani, hatari ya kimataifa ya mifumo ya habari inayotumiwa kila mahali.

"Mianya iliyoachwa na mashirika ya Kimarekani kwa ajili ya huduma za kijasusi ilipatikana kwa wadukuzi na ilivuka haraka na safu ya jadi ya wahalifu wa mtandao - ransomware, wateja wa botnet, na wadudu wa mtandao," Khomutov alisema.

Kwa hivyo, WannaCry haikufundisha chochote jumuiya ya ulimwengu - kompyuta zilibaki bila ulinzi, mifumo haikusasishwa, na juhudi za kutoa viraka hata kwa mifumo iliyopitwa na wakati zilipotea.

Wataalam wanahimiza wasilipe fidia inayohitajika katika bitcoins, kwani anwani ya barua ambayo wadukuzi waliacha kwa mawasiliano ilizuiwa na mtoa huduma wa ndani. Kwa hiyo, hata katika kesi ya "nia ya uaminifu na nzuri" ya wahalifu wa mtandao, mtumiaji hatapoteza pesa tu, lakini pia hatapokea maelekezo ya kufungua data zao.

Zaidi ya yote, Petya alidhuru Ukraine. Miongoni mwa wahasiriwa walikuwa Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, waendeshaji simu za Kiukreni Kyivstar, LifeCell na Ukrtelecom, duka la Auchan, Privatbank, uwanja wa ndege wa Boryspil na wengine.

Mamlaka ya Ukraine mara moja ililaumu Urusi kwa shambulio hilo la mtandao.

"Vita katika mtandao, ambayo inaleta hofu na hofu kati ya mamilioni ya watumiaji wa kompyuta binafsi na kusababisha uharibifu wa nyenzo moja kwa moja kutokana na uharibifu wa kazi ya biashara na mashirika ya serikali, ni sehemu ya mkakati wa jumla wa vita vya mseto wa Dola ya Kirusi. dhidi ya Ukraine," alisema naibu wa Rada kutoka Front Popular ".

Ukraine ingeweza kuteseka zaidi kuliko wengine kutokana na usambazaji wa awali wa Petya kupitia sasisho la kiotomatiki la M.E.doc, programu ya uhasibu. Hivi ndivyo idara za Kiukreni, vifaa vya miundombinu na makampuni ya biashara yalivyoambukizwa - wote wanatumia huduma hii.

Huduma ya vyombo vya habari ya ESET Russia ilielezea Gazeta.Ru kwamba kuambukiza mtandao wa ushirika na virusi vya Petya, kompyuta moja ya mazingira magumu ni ya kutosha, ambayo sasisho za usalama hazijawekwa. Kwa msaada wake, programu hasidi huingia kwenye mtandao, hupata haki za msimamizi na huenea kwa vifaa vingine.

Hata hivyo, M.E.doc alitoa kanusho rasmi la toleo hili.

"Majadiliano ya vyanzo vya kuibuka na kuenea kwa shambulio la cyber hufanywa kikamilifu na watumiaji katika mitandao ya kijamii, vikao na rasilimali zingine za habari, kwa maneno ambayo moja ya sababu zinaonyesha kusasishwa kwa programu ya M.E.Doc. . Timu ya ukuzaji ya M.E.Doc inakanusha habari hii na inatangaza kwamba hitimisho kama hilo ni potofu kabisa, kwa sababu msanidi wa M.E.Doc, kama msambazaji wa bidhaa za programu anayewajibika, anafuatilia usalama na usafi wa nambari yake mwenyewe, "anasema.

Kampuni kadhaa za Urusi na Kiukreni zilishambuliwa na virusi vya usimbaji vya Petya. Toleo la mtandaoni la tovuti lilizungumza na wataalamu kutoka Kaspersky Lab, wakala wa maingiliano wa AGIMA na kujua jinsi ya kulinda kompyuta za kampuni dhidi ya virusi na jinsi Petya inavyofanana na virusi vya usimbuaji wa WannaCry vinavyojulikana kwa usawa.

Virusi "Petya"

Huko Urusi, kampuni za Rosneft, Bashneft, Mars, Nivea na mtengenezaji wa chokoleti Alpen Gold Mondelez International. Virusi vya ukombozi katika mfumo wa ufuatiliaji wa mionzi ya kiwanda cha nguvu cha nyuklia cha Chernobyl. Aidha, shambulio hilo liliathiri kompyuta za serikali ya Ukraine, Privatbank na waendeshaji wa mawasiliano ya simu. Virusi huzuia kompyuta na kudai fidia ya $300 katika bitcoins.

Katika blogi ndogo kwenye Twitter, huduma ya waandishi wa habari ya Rosneft ilizungumza juu ya shambulio la wadukuzi kwenye seva za kampuni hiyo. "Shambulio la nguvu la wadukuzi lilifanywa kwenye seva za kampuni. Tunatumai kuwa hii haina uhusiano wowote na taratibu za sasa za mahakama. Kampuni iligeukia vyombo vya kutekeleza sheria kuhusiana na shambulio la mtandao," ujumbe unasema.

Kulingana na katibu wa vyombo vya habari wa kampuni hiyo Mikhail Leontiev, Rosneft na matawi yake wanafanya kazi kama kawaida. Baada ya shambulio hilo, kampuni ilibadilisha mfumo wa udhibiti wa mchakato wa chelezo, ili uzalishaji na utayarishaji wa mafuta usitishwe. Mfumo wa benki ya Home Credit pia ulishambuliwa.

"Petya" haiambukizi bila "Misha"

Kulingana na Mkurugenzi Mtendaji wa AGIMA Evgeny Lobanov, kwa kweli, shambulio hilo lilifanywa na virusi viwili vya ukombozi: Petya na Misha.

"Wanafanya kazi kwa kushirikiana. "Petya" haiambukizi bila "Misha". Inaweza kuambukiza, lakini mashambulizi ya jana yalikuwa virusi viwili: kwanza Petya, kisha Misha. "Petya" inafuta kifaa cha boot (ambapo boti za kompyuta kutoka), na Misha - husimba faili kulingana na algorithm fulani," mtaalam huyo alielezea, "Petya husimba sekta ya boot ya diski (MBR) na kuibadilisha na yake mwenyewe, Misha tayari anasimba faili zote kwenye diski (sio kila wakati)."

Alibainisha kuwa virusi vya usimbuaji wa WannaCry, ambavyo vilishambulia makampuni makubwa ya kimataifa mwezi Mei mwaka huu, si sawa na Petya, hii ni toleo jipya.

"Petya.A anatoka kwa familia ya WannaCry (WannaCrypt), lakini tofauti kuu ni kwa nini sio virusi sawa, ni kwamba MBR inabadilishwa na sekta yake ya boot - hii ni riwaya kwa Ransomware. Virusi vya Petya vilionekana. muda mrefu uliopita, kwenye GitHab (huduma ya mtandaoni kwa miradi ya IT na programu ya pamoja - tovuti) https://github.com/leo-stone/hack-petya" target="_blank"> kulikuwa na decryptor kwa encryptor hii, lakini hakuna decryptor inayofaa kwa urekebishaji mpya.

Yevgeny Lobanov alisisitiza kuwa shambulio hilo liliipiga Ukraine zaidi kuliko Urusi.

"Tunahusika zaidi na mashambulizi kuliko nchi nyingine za Magharibi. Tutalindwa kutokana na toleo hili la virusi, lakini sio kutokana na marekebisho yake. Mtandao wetu sio salama, huko Ukraine ni mdogo. Kimsingi, makampuni ya usafiri, benki, waendeshaji wa simu za mkononi. walishambuliwa ( Vodafone, Kyivstar) na makampuni ya matibabu, Pharmmag sawa, vituo vya gesi vya Shell - makampuni yote makubwa sana ya transcontinental," alisema katika mahojiano na tovuti.

Mkurugenzi mtendaji wa AGIMA alibainisha kuwa hadi sasa hakuna ukweli wowote ambao ungeonyesha eneo la kijiografia la msambazaji wa virusi hivyo. Kwa maoni yake, virusi vinadaiwa kuonekana nchini Urusi. Kwa bahati mbaya, hakuna ushahidi wa moja kwa moja kwa hili.

"Kuna dhana kwamba hawa ni wadukuzi wetu, tangu marekebisho ya kwanza yalionekana nchini Urusi, na virusi yenyewe, ambayo sio siri kwa mtu yeyote, iliitwa jina la Petro Poroshenko. Ilikuwa maendeleo ya wadukuzi wa Kirusi, lakini ni vigumu kusema. ambaye aliibadilisha zaidi. kwamba kuwa hata nchini Urusi, ni rahisi kupata kompyuta yenye geolocation nchini Marekani, kwa mfano, "mtaalamu huyo alielezea.

"Ikiwa ghafla kulikuwa na "maambukizi" ya kompyuta - huwezi kuzima kompyuta. Ikiwa upya upya, hutaingia tena "

"Ikiwa ghafla kompyuta "imeambukizwa" - huwezi kuzima kompyuta, kwa sababu virusi vya Petya huchukua nafasi ya MBR - sekta ya kwanza ya boot ambayo mfumo wa uendeshaji umewekwa. Ikiwa upya upya, hutaingia tena kwenye mfumo. Hii inakata njia za taka, hata kama inaonekana "kompyuta kibao" haitawezekana tena kurudisha data. Kisha, unahitaji kukata muunganisho wa Mtandao mara moja ili kompyuta isiende mtandaoni. Kiraka rasmi kutoka kwa Microsoft kina tayari imetolewa, inatoa dhamana ya usalama ya asilimia 98. Kwa bahati mbaya, si asilimia 100 bado. Marekebisho fulani ya virusi (vipande vyao vitatu) anavipita kwa sasa," Lobanov alipendekeza. - Walakini, ikiwa ulianza tena na ukaona mwanzo wa mchakato wa "angalia diski", kwa wakati huu unahitaji kuzima kompyuta mara moja, na faili zitabaki ambazo hazijasimbwa ..

Kwa kuongeza, mtaalam pia alielezea kwa nini watumiaji wa Microsoft wanashambuliwa mara nyingi, na sio MacOSX (mfumo wa uendeshaji wa Apple - tovuti) na mifumo ya Unix.

"Hapa ni sahihi zaidi kuzungumza sio tu kuhusu MacOSX, lakini pia kuhusu mifumo yote ya unix (kanuni ni sawa). Virusi huathiri tu kompyuta, bila vifaa vya simu. Mashambulizi huathiri mfumo wa uendeshaji wa Windows na kutishia wale tu watumiaji ambao wamezima kipengele cha kusasisha mfumo kiotomatiki. Masasisho kama ubaguzi, yanapatikana hata kwa wamiliki wa matoleo ya zamani ya Windows ambayo hayajasasishwa tena: XP, Windows 8 na Windows Server 2003," mtaalam huyo alisema.

"MacOSX na Unix hazipatikani na virusi hivyo duniani, kwa sababu mashirika mengi makubwa yanatumia miundombinu ya Microsoft. MacOSX haiathiriwi, kwa sababu haipatikani sana katika mashirika ya serikali. Kuna virusi vichache chini yake, haina faida kuwatengeneza. , kwa sababu sehemu ya shambulio itakuwa ndogo kuliko ikiwa itashambulia Microsoft," mtaalam alihitimisha.

"Idadi ya watumiaji walioshambuliwa imefikia elfu mbili"

Huduma ya vyombo vya habari ya Kaspersky Lab, ambao wataalam wanaendelea kuchunguza wimbi la hivi karibuni la maambukizo, walisema kwamba "ransomware hii si ya familia inayojulikana tayari ya Petya ransomware, ingawa inashiriki mistari kadhaa ya kanuni nayo."

Maabara ina hakika kwamba katika kesi hii tunazungumza juu ya familia mpya ya programu hasidi na utendaji ambao ni tofauti sana na Petya. Kaspersky Lab ilimtaja msimbazi mpya wa ExPetr.

"Kwa mujibu wa Kaspersky Lab, idadi ya watumiaji walioshambuliwa imefikia elfu mbili. Matukio mengi yalirekodiwa nchini Urusi na Ukraine, na kesi za maambukizo zilizingatiwa pia katika Poland, Italia, Uingereza, Ujerumani, Ufaransa, Marekani na idadi ya nchi nyingine. Kwa sasa, wataalam wetu wanapendekeza "Programu hasidi hii ilitumia vekta kadhaa za kushambulia. Imeanzishwa kuwa unyonyaji wa EternalBlue uliorekebishwa na unyonyaji wa EternalRomance ulitumiwa kuenea katika mitandao ya ushirika," huduma ya vyombo vya habari ilisema.

Wataalamu pia wanachunguza uwezekano wa kuunda zana ya decryptor ambayo kwayo unaweza kusimbua data. Maabara pia ilitoa mapendekezo kwa mashirika yote ili kuepuka mashambulizi ya virusi katika siku zijazo.

"Tunapendekeza mashirika yasasishe mfumo wao wa uendeshaji wa Windows. Kwa Windows XP na Windows 7, sakinisha sasisho la usalama la MS17-010 na uhakikishe kuwa wana mfumo madhubuti wa kuhifadhi data. Hifadhi ya data kwa wakati na salama hukuruhusu kurejesha faili asili, hata kama zilisimbwa na programu hasidi," wataalam wa Kaspersky Lab walishauri.

Maabara pia inapendekeza kwamba wateja wake wa kampuni wahakikishe kuwa njia zote za ulinzi zimeamilishwa, haswa, hakikisha kwamba unganisho la miundombinu ya wingu ya Mtandao wa Usalama wa Kaspersky, kama hatua ya ziada, inashauriwa kutumia "Udhibiti wa Upendeleo wa Maombi" kipengele cha kunyima ufikiaji wa vikundi vyote vya programu (na, ipasavyo, utekelezaji) wa faili inayoitwa "perfc.dat", n.k.

"Ikiwa hutumii bidhaa za Kaspersky Lab, tunapendekeza kuzima utekelezaji wa faili inayoitwa perfc.dat, na pia kuzuia uzinduzi wa shirika la PSExec kutoka kwa kifurushi cha Sysinternals kwa kutumia kazi ya AppLocker, ambayo ni sehemu ya OS (inayofanya kazi). mfumo - tovuti) Windows," ilipendekeza katika maabara.

Mnamo Mei 12, 2017, wengi ni wasimbaji data kwenye anatoa ngumu za kompyuta. Anazuia kifaa na kudai fidia.
Virusi hivyo viliathiri mashirika na idara katika nchi kadhaa duniani, ikiwa ni pamoja na Urusi, ambapo Wizara ya Afya, Wizara ya Hali ya Dharura, Wizara ya Mambo ya Ndani, seva za waendeshaji simu na benki kadhaa kubwa zilishambuliwa.

Ueneaji wa virusi ulisimamishwa kwa bahati mbaya na kwa muda: ikiwa wadukuzi watabadilisha mistari michache tu ya msimbo, programu hasidi itaanza kufanya kazi tena. Uharibifu kutoka kwa mpango huo unakadiriwa kuwa dola bilioni moja. Baada ya uchambuzi wa kitaalamu wa lugha, wataalamu waligundua kuwa WannaCry iliundwa na watu kutoka China au Singapore.

Makampuni kote ulimwenguni mnamo Jumanne, Juni 27, yalikumbwa na mashambulizi makubwa ya mtandao ya programu hasidi iliyosambazwa kupitia barua pepe. Virusi husimba data ya mtumiaji kwenye anatoa ngumu na kutoa pesa kwa bitcoins. Watu wengi mara moja waliamua kuwa hii ilikuwa virusi vya Petya, vilivyoelezewa nyuma katika chemchemi ya 2016, lakini watengenezaji wa antivirus wanaamini kuwa shambulio hilo lilitokana na programu hasidi nyingine mpya.

Shambulio la nguvu la hacker mchana wa Juni 27 lilipiga kwanza Ukraine, na kisha makampuni kadhaa makubwa ya Kirusi na nje. Virusi hivyo, ambavyo wengi walidhani kuwa ni Petya ya mwaka jana, vinaenea kwenye kompyuta zinazoendesha mfumo wa uendeshaji wa Windows kupitia barua pepe ya barua taka yenye kiungo ambacho, kinapobofya, hufungua dirisha kuomba haki za msimamizi. Ikiwa mtumiaji anaruhusu programu kufikia kompyuta yake, basi virusi huanza kudai pesa kutoka kwa mtumiaji - $ 300 katika bitcoins, na kiasi kinaongezeka mara mbili baada ya muda fulani.

Virusi vya Petya, vilivyogunduliwa mwanzoni mwa 2016, vilienea kulingana na muundo sawa, hivyo watumiaji wengi waliamua kuwa hii ndiyo. Lakini wataalam kutoka kampuni za programu za kukinga virusi tayari wamesema kwamba virusi vingine, vipya kabisa, ambavyo bado wataendelea kuvichunguza, ndivyo vinavyohusika na shambulio hilo. Wataalam kutoka Kaspersky Lab tayari wana alitoa jina la virusi haijulikani ni NotPetya.

Kulingana na data yetu ya awali, hii sio virusi vya Petya, kama ilivyotajwa hapo awali, lakini programu hasidi mpya isiyojulikana kwetu. Ndio maana tuliiita NotPetya.

Kutakuwa na visanduku viwili vya maandishi vinavyoitwa Base64 iliyosimbwa data ya uthibitishaji ya baiti 512 na Base64 iliyosimbwa baiti 8 mara moja. Ili kupata ufunguo, unahitaji kuingiza data iliyotolewa na programu katika nyanja hizi mbili.

Programu itakupa nenosiri. Italazimika kuingizwa kwa kuingiza diski na kuona dirisha la virusi.

Waathiriwa wa shambulio la mtandao

Kampuni za Kiukreni ziliteseka zaidi kutokana na virusi visivyojulikana. Kompyuta za uwanja wa ndege wa Boryspil, serikali ya Ukraine, maduka, benki, vyombo vya habari na makampuni ya mawasiliano yaliambukizwa. Baada ya hapo, virusi vilifika Urusi. Wahasiriwa wa shambulio hilo walikuwa Rosneft, Bashneft, Mondelez International, Mars, Nivea.

Hata baadhi ya mashirika ya kigeni yametangaza matatizo na mifumo ya TEHAMA kutokana na virusi: kampuni ya utangazaji ya Uingereza WPP, kampuni ya dawa ya Marekani ya Merck & Co, shirika kuu la kubeba mizigo la Denmark Maersk na wengine. Costin Rayu, mkuu wa timu ya kimataifa ya utafiti katika Kaspersky Lab, aliandika kuhusu hili kwenye Twitter yake.

MAKALA INAYOHUSIANA