Menurut laporan pertama, virus enkripsi yang diaktifkan oleh penyerang pada hari Selasa diklasifikasikan sebagai anggota keluarga ransomware Petya yang sudah dikenal, namun kemudian ternyata ini adalah keluarga malware baru dengan fungsi yang sangat berbeda. Lab Kaspersky di-dubbing virus baru MantanPetr.

“Analisis yang dilakukan oleh para ahli kami menunjukkan bahwa para korban pada awalnya tidak memiliki kesempatan untuk mendapatkan kembali file mereka. “Peneliti Kaspersky Lab menganalisis bagian kode malware yang terkait dengan enkripsi file dan menemukan bahwa setelah disk dienkripsi, pembuat virus tidak lagi memiliki kemampuan untuk mendekripsinya kembali,” laboratorium tersebut melaporkan.

Seperti yang dicatat oleh perusahaan, dekripsi memerlukan pengidentifikasi unik untuk instalasi Trojan tertentu. Dalam versi enkripsi serupa Petya/Mischa/GoldenEye yang diketahui sebelumnya, pengidentifikasi instalasi berisi informasi yang diperlukan untuk dekripsi. Dalam kasus ExPetr, pengidentifikasi ini tidak ada. Ini berarti pembuat malware tidak dapat memperoleh informasi yang mereka perlukan untuk mendekripsi file. Dengan kata lain, korban ransomware tidak memiliki cara untuk mendapatkan kembali datanya, jelas Kaspersky Lab.

Virus ini memblokir komputer dan meminta bitcoin senilai $300, kata Group-IB kepada RIA Novosti. Serangan dimulai pada hari Selasa sekitar pukul 11.00. Menurut laporan media, pada hari Rabu pukul 6 sore, dompet Bitcoin yang ditentukan untuk mentransfer dana ke pemeras telah menerima sembilan transfer. Dengan memperhitungkan komisi transfer, para korban mentransfer sekitar 2,7 ribu dolar kepada para peretas.

Dibandingkan WannaCry, virus ini dinilai lebih merusak karena menyebar melalui beberapa cara - mulai dari menggunakan Windows Instrumentasi Manajemen, eksploitasi PsExec dan EternalBlue. Selain itu, ransomware juga tertanam utilitas gratis Meniru.

Jumlah pengguna yang diserang oleh virus enkripsi “Petya baru” telah mencapai 2 ribu, Kaspersky Lab, yang sedang menyelidiki gelombang infeksi komputer, melaporkan pada hari Rabu.

Menurut perusahaan antivirus ESET, serangan itu dimulai di Ukraina, yang paling menderita dibandingkan negara lain. Menurut peringkat negara-negara yang terkena dampak virus oleh perusahaan, Italia berada di peringkat kedua setelah Ukraina, dan Israel di peringkat ketiga. Sepuluh teratas juga mencakup Serbia, Hongaria, Rumania, Polandia, Argentina, Republik Ceko, dan Jerman. Rusia menempati posisi ke-14 dalam daftar ini.

Selain itu, Avast menceritakan apa sebenarnya sistem operasi yang paling menderita akibat virus ini.

Windows 7 berada di urutan pertama - 78% dari semua komputer yang terinfeksi. Berikutnya adalah Windows XP (18%), Windows 10 (6%) dan Windows 8.1 (2%).

Oleh karena itu, WannaCry tidak mengajarkan apa pun kepada komunitas global - komputer tetap tidak terlindungi, sistem tidak diperbarui, dan upaya Microsoft untuk memberikan patch bahkan untuk sistem yang sudah ketinggalan zaman sia-sia belaka.

Gelombang virus enkripsi baru, WannaCry (nama lain Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), telah melanda seluruh dunia, yang mengenkripsi dokumen di komputer dan memeras 300-600 USD untuk mendekodekannya. Bagaimana cara mengetahui apakah komputer Anda terinfeksi? Apa yang harus Anda lakukan agar tidak menjadi korban? Dan apa yang harus dilakukan untuk pulih?

Setelah menginstal pembaruan, komputer perlu di-boot ulang.

Bagaimana cara memulihkan dari virus ransomware Wana Decrypt0r?

Ketika utilitas antivirus mendeteksi virus, ia akan segera menghapusnya atau menanyakan apakah Anda akan mengobatinya atau tidak? Jawabannya adalah dengan mengobati.

Bagaimana memulihkan file yang dienkripsi oleh Wana Decryptor?

Tidak ada yang menenangkan saat ini Kami tidak tahu. Belum ada alat dekripsi file yang dibuat. Untuk saat ini, yang tersisa hanyalah menunggu hingga decryptor dikembangkan.

Menurut Brian Krebs, pakar keamanan komputer, saat ini para penjahat hanya menerima 26.000 USD, artinya hanya sekitar 58 orang yang setuju untuk membayar uang tebusan kepada para pemeras. Tidak ada yang tahu apakah mereka memulihkan dokumennya.

Bagaimana cara menghentikan penyebaran virus secara online?

Dalam kasus WannaCry, solusi masalahnya mungkin dengan memblokir port 445 di Firewall ( firewall), melalui mana infeksi terjadi.

Gelombang baru serangan ransomware telah melanda seluruh dunia, dengan media Rusia dan perusahaan Ukraina menjadi salah satu korbannya. Di Rusia, Interfax terkena virus ini, namun serangan tersebut hanya berdampak pada sebagian dari lembaga tersebut, karena layanan TI berhasil menonaktifkan sebagian infrastruktur penting, kata perusahaan Rusia Group-IB dalam sebuah pernyataan. Mereka menyebut virus itu BadRabbit.

Wakil direktur agensi tersebut Yuri Pogorely melaporkan di halaman Facebook-nya tentang serangan virus yang belum pernah terjadi sebelumnya di Interfax. Dua karyawan Interfax mengonfirmasi kepada Vedomosti bahwa komputer telah dimatikan. Menurut salah satu dari mereka, layar yang terkunci secara visual tampak seperti hasil tindakan virus yang diketahui Petya. Virus yang menyerang Interfax memperingatkan bahwa Anda tidak boleh mencoba mendekripsi file sendiri, dan menuntut untuk membayar uang tebusan sebesar 0,05 bitcoin ($285 dengan kurs kemarin), yang kemudian mengundang Anda ke situs khusus di jaringan Tor. Virus memberikan kode identifikasi pribadi ke komputer terenkripsi.

Selain Interfax, dua outlet media Rusia lainnya terkena virus enkripsi, salah satunya adalah Fontanka terbitan St. Petersburg, Group-IB tahu.

Pemimpin redaksi Fontanka Alexander Gorshkov mengatakan kepada Vedomosti bahwa server Fontanka diserang oleh penyerang tak dikenal. Namun Gorshkov meyakinkan bahwa tidak ada pertanyaan tentang serangan virus enkripsi di Fontanka: komputer staf editorial berfungsi, dan server yang bertanggung jawab atas pengoperasian situs tersebut telah diretas.

Divisi Interfax di Inggris, Azerbaijan, Belarus dan Ukraina, serta situs web agama Interfax, terus beroperasi, kata Pogorely kepada Vedomosti. Tidak jelas mengapa kerusakan tidak berdampak pada divisi lain; mungkin hal ini disebabkan oleh topologi jaringan Interfax, lokasi server secara geografis, dan sistem operasi yang diinstal pada server tersebut, katanya.

Interfax Ukraina melaporkan pada Selasa sore tentang serangan hacker bandara internasional Odessa. Bandara tersebut meminta maaf kepada penumpang di situs webnya “atas peningkatan waktu layanan yang dipaksakan,” namun dilihat dari papan skor online, bandara tersebut masih terus mengirim dan menerima pesawat pada hari Selasa.

Metro Kyiv juga melaporkan tentang serangan dunia maya di akun Facebooknya – ada masalah dalam pembayaran tarif kartu bank. Front News melaporkan bahwa metro diserang oleh virus enkripsi.

Grup-IB menyimpulkan tentang epidemi baru. Dalam beberapa bulan terakhir, dua gelombang serangan ransomware telah melanda seluruh dunia: pada tanggal 12 Mei, virus WannaCry muncul, dan pada tanggal 27 Juni, virus Petya (juga dikenal sebagai NotPetya dan ExPetr). Mereka menyusup ke komputer dengan sistem operasi Windows yang tidak menginstal pembaruan, mengenkripsi konten hard drive dan meminta $300 untuk dekripsi. Ternyata kemudian, Petya bahkan tidak berpikir untuk mendekripsi komputer korbannya. Serangan pertama berdampak pada ratusan ribu komputer di lebih dari 150 negara, serangan kedua berdampak pada 12.500 komputer di 65 negara. Warga Rusia juga menjadi korban serangan tersebut. Megafon », Evraz , « Gazprom" Dan " Rosneft" Pusat kesehatan Invitro juga terkena dampak virus ini, karena mereka tidak menerima tes dari pasien selama beberapa hari.

Petya hanya berhasil mengumpulkan $18.000 dalam waktu hampir satu setengah bulan. Namun kerusakannya jauh lebih besar. Salah satu korbannya, raksasa logistik Denmark Moller-Maersk, memperkirakan hilangnya pendapatan akibat serangan siber sebesar $200–300 juta.

Di antara divisi-divisi Moller-Maersk, pukulan terbesar jatuh pada Maersk Line, yang bergerak di bidang pengangkutan kontainer melalui laut (pada tahun 2016, Maersk Line memperoleh total $20,7 miliar, divisi ini mempekerjakan 31.900 orang).

Dunia usaha dengan cepat pulih dari serangan tersebut, namun perusahaan dan regulator tetap waspada. Jadi, pada bulan Agustus, Federal perusahaan jaringan UES (mengelola jaringan listrik seluruh Rusia), dan beberapa hari kemudian bank-bank Rusia menerima peringatan serupa dari FinCERT (struktur Bank Sentral yang menangani keamanan siber).

Serangan virus enkripsi baru juga diketahui oleh Kaspersky Lab, yang menurutnya sebagian besar korban serangan tersebut berada di Rusia, namun terdapat infeksi di Ukraina, Turki, dan Jerman. Semua tanda menunjukkan bahwa ini adalah serangan yang ditargetkan pada jaringan perusahaan, kata Vyacheslav Zakorzhevsky, kepala departemen penelitian anti-virus di Kaspersky Lab: metode yang digunakan mirip dengan alat ExPetr, tetapi tidak ada hubungan dengan virus ini yang dapat dilacak.

Dan menurut perusahaan antivirus Eset, enkripsi tersebut masih kerabat Petya. Serangan tersebut menggunakan malware Diskcoder.D, modifikasi baru dari enkripsi.

Pogorely mengatakan bahwa antivirus Symantec telah diinstal pada komputer Interfax. Perwakilan Symantec tidak menanggapi permintaan Vedomosti kemarin.

Facebook

Twitter

VK

Teman sekelas

Telegram

Ilmu pengetahuan alam

Virus ransomware WannaCry: apa yang harus dilakukan?

Gelombang virus enkripsi baru, WannaCry (nama lain Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), telah melanda seluruh dunia, yang mengenkripsi dokumen di komputer dan memeras 300-600 USD untuk mendekodekannya. Bagaimana cara mengetahui apakah komputer Anda terinfeksi? Apa yang harus Anda lakukan agar tidak menjadi korban? Dan apa yang harus dilakukan untuk pulih?

Apakah komputer Anda terinfeksi virus ransomware Wana Decryptor?

Menurut Jacob Krustek () dari Avast, lebih dari 100 ribu komputer telah terinfeksi. 57% dari mereka berada di Rusia (bukankah ini merupakan selektivitas yang aneh?). melaporkan pencatatan lebih dari 45 ribu infeksi. Tidak hanya server yang terinfeksi, tetapi juga komputer orang biasa yang sistem operasinya diinstal. sistem Windows XP, Windows Vista, Windows 7, Windows 8 dan Windows 10. Semua dokumen terenkripsi memiliki awalan WNCRY di namanya.

Perlindungan terhadap virus ditemukan pada bulan Maret, ketika Microsoft menerbitkan “tambalan”, namun, dilihat dari merebaknya epidemi, banyak pengguna, termasuk administrator sistem, mengabaikan pembaruan keamanan komputer. Dan apa yang terjadi terjadi - Megafon, Kereta Api Rusia, Kementerian Dalam Negeri, dan organisasi lain sedang berupaya merawat komputer mereka yang terinfeksi.

Mengingat skala epidemi global, pada tanggal 12 Mei, Microsoft menerbitkan pembaruan perlindungan untuk produk yang sudah lama tidak didukung – Windows XP dan Windows Vista.

Anda dapat memeriksa apakah komputer Anda terinfeksi menggunakan utilitas antivirus, misalnya Kaspersky atau (juga direkomendasikan di forum dukungan Kaspersky).

Bagaimana cara menghindari menjadi korban virus ransomware Wana Decryptor?

Hal pertama yang harus Anda lakukan adalah menutup lubangnya. Untuk melakukan ini, unduh