Алғашқы есептерге сәйкес, сейсенбіде шабуылдаушылар белсендірген шифрлау вирусы бұрыннан белгілі Petya төлемдік бағдарламалық қамтамасыз ету тобының мүшесі ретінде жіктелген, бірақ кейінірек бұл айтарлықтай өзгеше функционалдығы бар зиянды бағдарламалардың жаңа тобы екені белгілі болды. Касперский зертханасы дубляждалған жаңа вирус Expetr.

«Біздің сарапшылар жүргізген талдау зардап шеккендердің бастапқыда құжаттарын қайтаруға мүмкіндігі болмағанын көрсетті. «Касперский зертханасының зерттеушілері зиянды бағдарлама кодының файлдарды шифрлаумен байланысты бөлігін талдап, диск шифрланған соң, вирусты жасаушылардың енді оның шифрын қайта ашу мүмкіндігі болмайтынын анықтады», - деп хабарлайды зертхана.

Компания атап өткендей, шифрды шешу белгілі бір трояндық орнату үшін бірегей идентификаторды қажет етеді. Petya/Mischa/GoldenEye ұқсас шифрлағыштардың бұрын белгілі нұсқаларында орнату идентификаторында шифрды шешуге қажетті ақпарат болды. ExPetr жағдайында бұл идентификатор жоқ. Бұл зиянды бағдарламаны жасаушылар файлдардың шифрын шешуге қажетті ақпаратты ала алмайтынын білдіреді. Басқаша айтқанда, төлем бағдарламасының құрбандары өз деректерін қайтара алмайды, деп түсіндіреді Касперский зертханасы.

Вирус компьютерлерді блоктайды және биткоиндер үшін $300 талап етеді, деп хабарлады Group-IB РИА Новостиге. Шабуыл сейсенбі күні сағат 11:00 шамасында басталды. Бұқаралық ақпарат құралдарының хабарлауынша, сәрсенбі күні сағат 18.00-де бопсашыларға ақша аудару үшін белгіленген биткоин әмиянына тоғыз аударым түскен. Аударым комиссиясын есепке алғанда, жәбірленушілер хакерлерге шамамен 2,7 мың доллар аударған.

WannaCry-мен салыстырғанда, бұл вирус деструктивті болып саналады, өйткені ол бірнеше әдістер арқылы таралады - Windows көмегіменБасқару құралдары, PsExec және EternalBlue эксплуатациясы. Сонымен қатар, төлем бағдарламасы енгізілген тегін утилитаМимикатц.

«Жаңа Петя» шифрлау вирусының шабуылына ұшыраған пайдаланушылар саны 2 мыңға жетті, деп сәрсенбіде компьютерлік инфекциялар толқынын зерттеп жатқан Касперский зертханасы хабарлады.

ESET антивирустық компаниясының мәліметінше, шабуыл басқа елдерге қарағанда көбірек зардап шеккен Украинада басталды. Компанияның вирустан зардап шеккен елдер рейтингі бойынша Италия Украинадан кейін екінші орында, ал Израиль үшінші орында. Сондай-ақ алғашқы ондыққа Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия және Германия кірді. Ресей бұл тізімде 14-ші орынға тұрақтады.

Сонымен қатар, Avast нақты нені айтты операциялық жүйелервирустан ең көп зардап шекті.

Windows 7 бірінші орында болды - барлық вирус жұққан компьютерлердің 78%. Одан кейін Windows XP (18%), Windows 10 (6%) және Windows 8.1 (2%) келеді.

Осылайша, WannaCry жаһандық қауымдастыққа іс жүзінде ештеңе үйретпеді - компьютерлер қорғалмаған күйде қалды, жүйелер жаңартылмады және Microsoft корпорациясының тіпті ескірген жүйелерге патчтар шығаруға күш салуы босқа кетті.

Жаңа шифрлау вирусының толқыны WannaCry (басқа атаулары Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) компьютерде құжаттарды шифрлайтын және оларды декодтау үшін 300-600 АҚШ долларын бопсалайды. Компьютеріңіздің жұқтырғанын қалай анықтауға болады? Құрбан болмау үшін не істеу керек? Ал қалпына келтіру үшін не істеу керек?

Жаңартуларды орнатқаннан кейін компьютерді қайта жүктеу қажет.

Wana Decrypt0r ransomware вирусынан қалай қалпына келтіруге болады?

Вирусқа қарсы қызметтік бағдарлама вирусты анықтаған кезде, ол оны дереу жояды немесе оны емдеу керек пе, жоқ па деп сұрайды? Жауабы емделу.

Wana Decryptor арқылы шифрланған файлдарды қалай қалпына келтіруге болады?

Ештеңе жұбаныш емес қазірайта алмаймыз. Файл шифрын шешу құралы әлі жасалмаған. Әзірге шифрлаушы әзірленгенше күту ғана қалды.

Компьютерлік қауіпсіздік бойынша сарапшы Брайан Кребстің айтуынша, осы уақытқа дейін қылмыскерлер небәрі 26 мың АҚШ долларын алған, яғни бопсашыларға төлем төлеуге 58-ге жуық адам ғана келіскен. Құжаттарын қалпына келтірді ме, ешкім білмейді.

Интернетте вирустың таралуын қалай тоқтатуға болады?

WannaCry жағдайында мәселенің шешімі желіаралық қалқандағы 445 портты блоктау болуы мүмкін ( брандмауэр), ол арқылы инфекция жүреді.

Дүние жүзінде төлемдік бағдарламалық жасақтама шабуылдарының жаңа толқыны орын алды, құрбандар арасында ресейлік БАҚ пен украиналық компаниялар болды. Ресейде Интерфакс вирустан зардап шекті, бірақ шабуыл агенттіктің бір бөлігіне ғана әсер етті, өйткені оның IT қызметтері маңызды инфрақұрылымның бір бөлігін өшіре алды, деп хабарлады ресейлік Group-IB компаниясы мәлімдемесінде. Олар вирусты BadRabbit деп атады.

Агенттік директорының орынбасары Юрий Погорели Интерфаксқа бұрын-соңды болмаған вирустық шабуыл туралы Facebook парақшасында хабарлады. «Интерфакстың» екі қызметкері «Ведомости» басылымына компьютерлердің өшірілгенін растады. Олардың біріне сәйкес, визуалды түрде құлыпталған экран әрекеттердің нәтижесі сияқты көрінеді белгілі вирусПетя. Интерфаксқа шабуыл жасаған вирус файлдардың шифрын өзіңіз ашуға тырыспау керектігін ескертіп, 0,05 биткоин (кешегі бағам бойынша 285 АҚШ доллары) көлемінде төлем төлеуді талап етеді, ол үшін сізді Tor желісіндегі арнайы сайтқа шақырады. Вирус шифрланған компьютерге жеке сәйкестендіру кодын тағайындады.

Шифрлау вирусынан Интерфакстен басқа тағы екі ресейлік БАҚ зардап шекті, олардың бірі - Санкт-Петербургтегі Фонтанка басылымы, Group-IB біледі.

«Фонтанка» бас редакторы Александр Горшков «Ведомости» басылымына «Фонтанка» серверлеріне белгісіз шабуылдаушылар шабуыл жасағанын айтты. Бірақ Горшков «Фонтанка» сайтында ransomware вирусының шабуылы туралы сөз жоқ деп сендіреді: редакцияның компьютерлері жұмыс істейді, ал сайттың жұмысына жауапты сервер бұзылған.

Ұлыбритания, Әзірбайжан, Беларусь және Украинадағы «Интерфакс» бөлімшелері, сондай-ақ «Интерфакс-религия» сайты жұмысын жалғастыруда, деп хабарлады Погорели Ведомостиге. Неліктен бүлінудің басқа бөлімшелерге әсер етпегені белгісіз, бұл серверлер географиялық орналасқан Интерфакс желісінің топологиясына және оларда орнатылған операциялық жүйеге байланысты болуы мүмкін, дейді ол.

Украиналық Интерфакс сейсенбі күні түстен кейін хакерлердің шабуылы туралы хабарлады халықаралық әуежайОдесса. Әуежай өз веб-сайтында жолаушылардан «қызмет көрсету уақытын мәжбүрлеп ұлғайтқаны үшін» кешірім сұрады, бірақ оның онлайн таблосына қарағанда, ол сейсенбіде ұшақтарды жіберуді және қабылдауды жалғастырды.

Киев метросы да өзінің Facebook аккаунтында кибершабуыл жасалғаны туралы хабарлады - жол жүру ақысын төлеуде қиындықтар туындады банк карталары. Front News метроға шифрлау вирусы шабуыл жасағанын хабарлады.

Group-IB жаңа індет бар деген қорытындыға келеді. Соңғы айларда бүкіл әлемде ransomware шабуылдарының екі толқыны орын алды: 12 мамырда WannaCry вирусы және 27 маусымда Петя вирусы (NotPetya және ExPetr деп те аталады) пайда болды. Олар жаңартулары орнатылмаған Windows операциялық жүйесі бар компьютерлерге кіріп, қатты дискілердің мазмұнын шифрлап, шифрды шешу үшін 300 доллар талап етті. Кейін белгілі болғандай, Петя құрбандардың компьютерлерінің шифрын ашу туралы ойламаған да. Бірінші шабуыл 150-ден астам елдегі жүздеген мың компьютерді қамтыды, екіншісі 65 елдегі 12500 компьютерді қамтыды. Орыстар да шабуылдардың құрбаны болды. Мегафон », Евраз , « Газпром«Және» Роснефть" Invitro медициналық орталықтары да вирустан зардап шекті, өйткені олар бірнеше күн бойы науқастардан тест қабылдамады.

Бір жарым айдың ішінде Петя бар болғаны 18 000 доллар жинап үлгерді. Оның құрбандарының бірі, даниялық логистикалық алпауыт Моллер-Маерск кибершабуылдан жоғалған кірісті 200-300 миллион долларға бағалады.

Моллер-Маерск бөлімшелерінің арасында негізгі соққы контейнерлерді теңізде тасымалдаумен айналысатын Maersk Line компаниясына түсті (2016 жылы Maersk Line жалпы сомасы 20,7 млрд доллар табыс тапты, бөлімшеде 31 900 адам жұмыс істейді).

Кәсіпорындар шабуылдан тез қалпына келді, бірақ компаниялар мен реттеушілер сақтық танытты. Осылайша, тамыз айында Федералдық желілік компания UES (бүкілресейлік электр желісін басқарады) және бірнеше күннен кейін ресейлік банктер FinCERT-тен (киберқауіпсіздікпен айналысатын Орталық банк құрылымы) осындай ескерту алды.

Жаңа шифрлау вирусының шабуылын Касперский зертханасы да байқады, оған сәйкес шабуыл құрбандарының көпшілігі Ресейде, бірақ инфекциялар Украинада, Түркияда және Германияда бар. Барлық белгілер бұл корпоративтік желілерге бағытталған шабуыл екенін көрсетеді, - дейді Касперский зертханасының антивирустық зерттеулер бөлімінің басшысы Вячеслав Закоржевский: ExPetr құралдарына ұқсас әдістер қолданылады, бірақ бұл вируспен байланысын байқау мүмкін емес.

Ал Eset антивирустық компаниясының айтуынша, төлемдік бағдарлама әлі де Петяның туысы болып табылады. Шабуыл шифрлағыштың жаңа модификациясы болып табылатын Diskcoder.D зиянды бағдарламалық құралын пайдаланды.

Погорели Интерфакс компьютерлеріне Symantec антивирусы орнатылғанын айтты. Symantec өкілдері кеше «Ведомости» өтінішіне жауап бермеді.

Facebook

Twitter

В.К

Одноклассники

Telegram

Жаратылыстану

WannaCry ransomware вирусы: не істеу керек?

Жаңа шифрлау вирусының толқыны WannaCry (басқа атаулары Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) компьютерде құжаттарды шифрлайтын және оларды декодтау үшін 300-600 АҚШ долларын бопсалайды. Компьютеріңіздің жұқтырғанын қалай анықтауға болады? Құрбан болмау үшін не істеу керек? Ал қалпына келтіру үшін не істеу керек?

Сіздің компьютеріңіз Wana Decryptor ransomware вирусын жұқтырды ма?

Avast-тен Джейкоб Крустектің () айтуынша, қазірдің өзінде 100 мыңнан астам компьютерлер вирус жұқтырған. Олардың 57 пайызы Ресейде (бұл біртүрлі таңдамалы емес пе?). 45 мыңнан астам инфекцияның тіркелгенін хабарлайды. Тек серверлер ғана емес, операциялық жүйелер орнатылған қарапайым адамдардың компьютерлері де жұқтырылған. Windows жүйелері XP, Windows Vista, Windows 7, Windows 8 және Windows 10. Барлық шифрланған құжаттардың атауында WNCRY префиксі бар.

Вирустан қорғау Microsoft корпорациясы «патч» жариялаған кезде наурыз айында табылды, бірақ эпидемияның өршуіне қарағанда, көптеген пайдаланушылар, соның ішінде жүйелік әкімшілер, компьютердің қауіпсіздік жаңартуын елемеді. Оқиға болды - Мегафон, Ресей темір жолдары, Ішкі істер министрлігі және басқа ұйымдар вирус жұққан компьютерлерін емдеумен айналысуда.

Эпидемияның жаһандық ауқымын ескере отырып, 12 мамырда Microsoft ұзақ уақыт бойы қолдау көрсетілмейтін өнімдер үшін қорғаныс жаңартуын жариялады - Windows XP және Windows Vista.

Компьютеріңізге вирусқа қарсы қызметтік бағдарламаны, мысалы, Kaspersky немесе (сонымен қатар Kaspersky қолдау форумында ұсынылады) арқылы вирус жұқтырылғанын тексеруге болады.

Wana Decryptor ransomware вирусының құрбаны болудан қалай аулақ болуға болады?

Ең алдымен, тесікті жабу керек. Мұны істеу үшін жүктеп алыңыз