Ensitietojen mukaan hyökkääjien tiistaina aktivoima salaava virus luokiteltiin jo tunnetun Petya-lunastusohjelmaperheen jäseneksi, mutta myöhemmin kävi ilmi, että kyseessä oli uusi haittaohjelmaperhe, jonka toiminnallisuus on huomattavasti erilainen. Kaspersky Lab dubattu uusi virus ExPetr.

– Asiantuntijoidemme tekemä analyysi osoitti, että uhreilla ei aluksi ollut mahdollisuutta saada tiedostojaan takaisin. "Kaspersky Labin tutkijat analysoivat haittaohjelmakoodin osan, joka liittyy tiedostojen salaukseen ja havaitsivat, että kun levy on salattu, viruksen luojat eivät enää pysty purkamaan sen salausta", laboratorio raportoi.

Kuten yritys huomauttaa, salauksen purku vaatii tietyn troijalaisen asennuksen yksilöllisen tunnisteen. Aiemmin tunnetuissa vastaavien Petya/Mischa/GoldenEye-salauslaitteiden versioissa asennustunniste sisälsi salauksen purkamiseen tarvittavat tiedot. ExPetrin tapauksessa tätä tunnistetta ei ole olemassa. Tämä tarkoittaa, että haittaohjelman luojat eivät voi saada tietoja, joita he tarvitsevat tiedostojen salauksen purkamiseen. Toisin sanoen kiristysohjelman uhreilla ei ole mahdollisuutta saada tietojaan takaisin, Kaspersky Lab selittää.

Virus estää tietokoneita ja vaatii 300 dollaria bitcoineina, Group-IB kertoi RIA Novostille. Hyökkäys alkoi tiistaina noin kello 11.00. Mediatietojen mukaan keskiviikkona kello 18.00 mennessä Bitcoin-lompakko, joka oli määrätty siirtämään varoja kiristäjille, oli saanut yhdeksän siirtoa. Kun otetaan huomioon siirtoprovisio, uhrit siirsivät hakkereille noin 2,7 tuhatta dollaria.

WannaCryyn verrattuna tätä virusta pidetään tuhoisampana, koska se leviää useilla menetelmillä - alkaen Windowsin avulla Management Instrumentation, PsExec ja EternalBlue hyödyntää. Lisäksi ransomware on upotettu ilmainen apuohjelma Mimikatz.

Uuden "uuden Petya" salausviruksen hyökkäämien käyttäjien määrä on noussut 2 000:een, raportoi tietokonetartuntojen aaltoa tutkiva Kaspersky Lab keskiviikkona.

Virustorjuntayrityksen ESETin mukaan hyökkäys alkoi Ukrainasta, joka kärsi muita maita enemmän. Yhtiön viruksen vaikutusmaiden luokituksen mukaan Italia on Ukrainan jälkeen toisella sijalla ja Israel kolmannella. Kymmenen parhaan joukkoon kuuluivat myös Serbia, Unkari, Romania, Puola, Argentiina, Tšekki ja Saksa. Venäjä sijoittui tällä listalla 14. sijalle.

Lisäksi Avast kertoi mitä tarkalleen käyttöjärjestelmät kärsivät eniten viruksesta.

Windows 7 oli ensimmäisellä sijalla – 78 % kaikista tartunnan saaneista tietokoneista. Seuraavaksi tulevat Windows XP (18 %), Windows 10 (6 %) ja Windows 8.1 (2 %).

Siten WannaCry ei opettanut globaalille yhteisölle käytännössä mitään – tietokoneet jäivät suojaamattomiksi, järjestelmiä ei päivitetty, ja Microsoftin pyrkimykset julkaista korjauksia jopa vanhentuneisiin järjestelmiin menivät yksinkertaisesti hukkaan.

Uuden salausviruksen WannaCry (muut nimet Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) aalto on pyyhkäissyt ympäri maailmaa, joka salaa asiakirjoja tietokoneella ja kiristää 300-600 USD niiden purkamisesta. Mistä tiedät, onko tietokoneesi saastunut? Mitä sinun tulee tehdä, jotta et joutuisi uhriksi? Ja mitä tehdä palautumiseksi?

Päivitysten asentamisen jälkeen tietokone on käynnistettävä uudelleen.

Kuinka toipua Wana Decrypt0r ransomware -viruksesta?

Kun virustorjuntaohjelma havaitsee viruksen, se joko poistaa sen välittömästi tai kysyy, hoidetaanko se vai ei? Vastaus on hoitaa.

Kuinka palauttaa Wana Decryptorilla salatut tiedostot?

Ei mitään lohduttavaa tällä hetkellä Emme voi kertoa. Tiedoston salauksen purkutyökalua ei ole vielä luotu. Toistaiseksi ei jää muuta kuin odottaa, kunnes salauksenpurku on kehitetty.

Tietoturvaasiantuntija Brian Krebsin mukaan rikolliset ovat tällä hetkellä saaneet vain 26 000 USD, eli vain noin 58 ihmistä suostui maksamaan lunnaita kiristäjille. Kukaan ei tiedä, ovatko he palauttaneet asiakirjansa.

Kuinka estää viruksen leviäminen verkossa?

WannaCryn tapauksessa ratkaisu ongelmaan voi olla estää palomuurin portti 445 ( palomuuri), jonka kautta infektio tapahtuu.

Uusi kiristysohjelmahyökkäysten aalto on pyyhkäissyt ympäri maailmaa, ja uhrien joukossa ovat venäläiset tiedotusvälineet ja ukrainalaiset yritykset. Venäjällä Interfax kärsi viruksesta, mutta hyökkäys vaikutti vain osaan virastosta, koska sen IT-palvelut onnistuivat poistamaan osan kriittisestä infrastruktuurista, venäläinen Group-IB sanoi lausunnossaan. He kutsuivat virusta BadRabbitiksi.

Viraston apulaisjohtaja Juri Pogorely raportoi Facebook-sivullaan ennennäkemättömästä Interfaxiin kohdistuneesta virushyökkäyksestä. Kaksi Interfaxin työntekijää vahvisti Vedomostille, että tietokoneet oli sammutettu. Yhden heistä visuaalisesti lukittu näyttö näyttää toimien tulokselta tunnettu virus Petya. Interfaxiin hyökännyt virus varoittaa, että sinun ei pitäisi yrittää purkaa tiedostoja itse, ja vaatii maksamaan 0,05 bitcoinin (285 dollaria eilisellä kurssilla) lunnaita, joista se kutsuu sinut erityiselle Tor-verkon sivustolle. Virus antoi salatulle tietokoneelle henkilökohtaisen tunnuskoodin.

Salausviruksesta kärsi Interfaxin lisäksi kaksi venäläistä mediaa, joista toinen on pietarilainen Fontanka, Group-IB tietää.

Fontankan päätoimittaja Alexander Gorshkov kertoi Vedomostille, että tuntemattomat hyökkääjät hyökkäsivät Fontankan palvelimiin. Mutta Gorshkov vakuuttaa, ettei Fontankaan ole kysymys salausviruksen hyökkäyksestä: toimituksen tietokoneet toimivat ja sivuston toiminnasta vastaava palvelin hakkeroitiin.

Interfax-jaostot Isossa-Britanniassa, Azerbaidžanissa, Valko-Venäjällä ja Ukrainassa sekä Interfax-uskontosivusto jatkavat toimintaansa, Pogorely kertoi Vedomostille. Ei ole selvää, miksi vauriot eivät vaikuttaneet muihin divisiooniin, ehkä tämä johtuu Interfax-verkon topologiasta, jossa palvelimet sijaitsevat maantieteellisesti, ja niihin asennetusta käyttöjärjestelmästä.

Ukrainan Interfax raportoi tiistaina iltapäivällä hakkerihyökkäyksestä kansainvälinen lentokenttä Odessa. Lentokenttä pahoitteli matkustajilta verkkosivuillaan "palveluajan pakotettua pidentämistä", mutta verkkotulostaulukon perusteella se jatkoi lentokoneiden lähettämistä ja vastaanottamista tiistaina.

Myös Kiovan metro ilmoitti kyberhyökkäyksestä Facebook-tilillään – lippujen maksamisessa oli ongelmia pankkikortit. Front News kertoi, että salausvirus hyökkäsi metroon.

Group-IB päättelee uudesta epidemiasta. Viime kuukausina kaksi kiristysohjelmahyökkäysten aaltoa on pyyhkäissyt ympäri maailmaa: 12. toukokuuta ilmestyi WannaCry-virus ja 27. kesäkuuta Petya-virus (tunnetaan myös nimellä NotPetya ja ExPetr). He tunkeutuivat tietokoneisiin, joissa oli Windows-käyttöjärjestelmä, joihin ei ollut asennettuna päivityksiä, salasivat kiintolevyjen sisällön ja vaativat 300 dollaria salauksen purkamisesta. Kuten myöhemmin kävi ilmi, Petya ei edes ajatellut uhrien tietokoneiden salauksen purkamista. Ensimmäinen hyökkäys vaikutti satoihin tuhansiin tietokoneisiin yli 150 maassa ja toinen 12 500 tietokoneeseen 65 maassa. Myös venäläiset joutuivat iskujen uhreiksi. Megafoni », Evraz , « Gazprom"ja" Rosneft" Myös invitro-lääkärikeskukset kärsivät viruksesta, koska ne eivät ottaneet potilaiden testejä vastaan ​​moneen päivään.

Petya onnistui keräämään vain 18 000 dollaria melkein puolessatoista kuukaudessa, mutta vahinko oli verrattoman suurempi. Yksi sen uhreista, tanskalainen logistiikkajätti Moller-Maersk, arvioi kyberhyökkäyksen menetetyiksi tuloiksi 200–300 miljoonaa dollaria.

Moller-Maerskin toimialoista suurin isku osui konttien merikuljetuksia harjoittavaan Maersk Line -yhtiöön (vuonna 2016 Maersk Line ansaitsi yhteensä 20,7 miljardia dollaria, divisioona työllistää 31 900 henkilöä).

Yritykset toipuivat nopeasti hyökkäyksestä, mutta yritykset ja sääntelyviranomaiset pysyivät varovaisina. Siten elokuussa liittovaltion verkkoyhtiö UES (ylläpitää koko Venäjän sähköverkkoa) ja muutamaa päivää myöhemmin venäläiset pankit saivat samanlaisen varoituksen FinCERT:ltä (kyberturvallisuutta käsittelevä keskuspankkirakenne).

Uuden salausvirushyökkäyksen huomasi myös Kaspersky Lab, jonka mukaan suurin osa hyökkäyksen uhreista on Venäjällä, mutta tartuntoja on Ukrainassa, Turkissa ja Saksassa. Kaikki merkit viittaavat siihen, että kyseessä on kohdennettu hyökkäys yritysverkkoja vastaan, sanoo Kaspersky Labin virustorjuntatutkimusosaston johtaja Vjatšeslav Zakorževski: ExPetr-työkalujen kaltaisia ​​menetelmiä käytetään, mutta yhteyttä tähän virukseen ei voida jäljittää.

Ja virustorjuntayhtiö Esetin mukaan salaaja on edelleen Petyan sukulainen. Hyökkäys käytti Diskcoder.D-haittaohjelmaa, joka on salauksen uusi muunnos.

Pogorely sanoi, että Symantec antivirus oli asennettu Interfax-tietokoneisiin. Symantecin edustajat eivät vastanneet Vedomostin pyyntöön eilen.

Facebook

Viserrys

VK

Odnoklassniki

Telegram

Luonnontieteet

WannaCry ransomware virus: mitä tehdä?

Uuden salausviruksen WannaCry (muut nimet Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) aalto on pyyhkäissyt ympäri maailmaa, joka salaa asiakirjoja tietokoneella ja kiristää 300-600 USD niiden purkamisesta. Mistä tiedät, onko tietokoneesi saastunut? Mitä sinun tulee tehdä, jotta et joutuisi uhriksi? Ja mitä tehdä palautumiseksi?

Onko tietokoneesi Wana Decryptor ransomware -viruksen tartuttama?

Avastin Jacob Krustekin () mukaan yli 100 tuhatta tietokonetta on jo saanut tartunnan. 57% heistä on Venäjällä (eikö olekin outoa valikoivuutta?). raportoi yli 45 tuhannen tartunnan rekisteröinnin. Ei vain palvelimia, vaan myös tavallisten ihmisten tietokoneita, joihin käyttöjärjestelmä on asennettu. Windows-järjestelmät XP, Windows Vista, Windows 7, Windows 8 ja Windows 10. Kaikkien salattujen asiakirjojen nimessä on etuliite WNCRY.

Suojaus virusta vastaan ​​löydettiin jo maaliskuussa, kun Microsoft julkaisi ”korjauksen”, mutta epidemian puhkeamisesta päätellen monet käyttäjät, mm. järjestelmänvalvojat, ohitti tietokoneen tietoturvapäivityksen. Ja mitä tapahtui, tapahtui - Megafon, Venäjän rautatiet, sisäministeriö ja muut organisaatiot työskentelevät hoitaakseen saastuneita tietokoneitaan.

Epidemian maailmanlaajuisen laajuuden vuoksi Microsoft julkaisi 12. toukokuuta suojauspäivityksen tuotteille, joita ei tueta pitkään aikaan – Windows XP ja Windows Vista.

Voit tarkistaa, onko tietokoneesi saastunut käyttämällä virustorjuntaohjelmaa, esimerkiksi Kasperskyä tai (suositellaan myös Kasperskyn tukifoorumissa).

Kuinka välttää joutumasta Wana Decryptor ransomware -viruksen uhriksi?

Ensimmäinen asia, joka sinun on tehtävä, on sulkea reikä. Voit tehdä tämän lataamalla