Pēc pirmajiem ziņojumiem, uzbrucēju otrdien aktivizētais šifrējošais vīruss tika klasificēts kā jau zināmās Petya saimes izspiedējvīruss, taču vēlāk izrādījās, ka šī ir jauna ļaunprogrammatūras saime ar ievērojami atšķirīgu funkcionalitāti. Dublēts Kaspersky Lab jauns vīruss ExPetr.

"Mūsu ekspertu veiktā analīze parādīja, ka upuriem sākotnēji nebija nekādu iespēju atgūt savus failus. "Kaspersky Lab pētnieki analizēja ļaunprogrammatūras koda daļu, kas ir saistīta ar failu šifrēšanu, un atklāja, ka pēc diska šifrēšanas vīrusa radītājiem vairs nav iespējas to atšifrēt," ziņo laboratorija.

Kā atzīmē uzņēmums, atšifrēšanai ir nepieciešams unikāls identifikators konkrētai Trojas zirga instalācijai. Iepriekš zināmajās līdzīgu šifrētāju Petya/Mischa/GoldenEye versijās instalācijas identifikators saturēja atšifrēšanai nepieciešamo informāciju. ExPetr gadījumā šis identifikators neeksistē. Tas nozīmē, ka ļaunprātīgas programmatūras veidotāji nevar iegūt informāciju, kas nepieciešama failu atšifrēšanai. Citiem vārdiem sakot, izspiedējvīrusa upuriem nav iespējas atgūt savus datus, skaidro Kaspersky Lab.

Vīruss bloķē datorus un pieprasa 300 USD bitkoinos, aģentūrai RIA Novosti pastāstīja Group-IB. Uzbrukums sākās otrdien ap pulksten 11.00. Saskaņā ar plašsaziņas līdzekļu ziņām, līdz plkst. 18:00 Bitcoin maciņš, kas bija norādīts naudas līdzekļu pārskaitīšanai izspiedējiem, bija saņēmis deviņus pārskaitījumus. Ņemot vērā komisijas maksu par pārskaitījumiem, cietušie hakeriem pārskaitījuši aptuveni 2,7 tūkstošus dolāru.

Salīdzinot ar WannaCry, šis vīruss tiek uzskatīts par postošāku, jo izplatās, izmantojot vairākas metodes – no izmantojot Windows Pārvaldības instrumentācija, PsExec un EternalBlue izmantošana. Turklāt izpirkuma programmatūra ir iegulta bezmaksas lietderība Mimikatz.

Jaunā “jaunā Petya” šifrēšanas vīrusa uzbrūkošo lietotāju skaits sasniedzis 2 tūkstošus, trešdien ziņoja Kaspersky Lab, kas izmeklē datoru inficēšanās vilni.

Kā ziņo antivīrusu kompānija ESET, uzbrukums sākās Ukrainā, kas cieta vairāk nekā citas valstis. Pēc uzņēmuma veiktā vīrusa skarto valstu reitinga Itālija ir otrajā vietā aiz Ukrainas, bet Izraēla – trešajā vietā. Pirmajā desmitniekā iekļuva arī Serbija, Ungārija, Rumānija, Polija, Argentīna, Čehija un Vācija. Krievija šajā sarakstā ieņēma 14. vietu.

Turklāt Avast pastāstīja, ko tieši operētājsistēmas visvairāk cieta no vīrusa.

Pirmajā vietā bija Windows 7 – 78% no visiem inficētajiem datoriem. Tālāk seko Windows XP (18%), Windows 10 (6%) un Windows 8.1 (2%).

Tādējādi WannaCry praktiski neko neiemācīja globālajai sabiedrībai – datori palika neaizsargāti, sistēmas netika atjauninātas, un Microsoft centieni izdot ielāpus pat novecojušām sistēmām vienkārši aizgāja velti.

Pasauli ir pārņēmis jauna šifrēšanas vīrusa WannaCry (citi nosaukumi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) vilnis, kas šifrē dokumentus datorā un izspiež 300-600 USD par to atšifrēšanu. Kā noteikt, vai jūsu dators ir inficēts? Kas jādara, lai nekļūtu par upuri? Un ko darīt, lai atgūtos?

Pēc atjauninājumu instalēšanas dators būs jārestartē.

Kā atgūties no Wana Decrypt0r izspiedējvīrusa?

Kad pretvīrusu utilīta konstatē vīrusu, tā nekavējoties to noņems vai jautās, vai to ārstēt vai nē? Atbilde ir ārstēt.

Kā atgūt Wana Decryptor šifrētos failus?

Nekas mierinošs šobrīd Mēs nevaram pateikt. Failu atšifrēšanas rīks vēl nav izveidots. Pagaidām atliek tikai pagaidīt, līdz tiks izstrādāts atšifrētājs.

Pēc datordrošības eksperta Braiena Krebsa teiktā, uz doto brīdi noziedznieki saņēmuši tikai 26 000 USD, proti, tikai aptuveni 58 cilvēki piekrituši maksāt izpirkuma maksu izspiedējiem. Neviens nezina, vai viņi ir atjaunojuši savus dokumentus.

Kā apturēt vīrusa izplatību tiešsaistē?

WannaCry gadījumā problēmas risinājums var būt ugunsmūra porta 445 bloķēšana ( ugunsmūris), caur kuru notiek infekcija.

Jauns izspiedējvīrusu uzbrukumu vilnis ir pārņēmis visu pasauli, un upuru vidū ir Krievijas mediji un Ukrainas uzņēmumi. Krievijā no vīrusa cieta Interfax, taču uzbrukums skāra tikai daļu aģentūras, jo tās IT dienestiem izdevās atspējot daļu no kritiskās infrastruktūras, teikts Krievijas uzņēmuma Group-IB paziņojumā. Viņi vīrusu sauca par BadRabbit.

Aģentūras direktora vietnieks Jurijs Pogorelijs savā Facebook lapā ziņoja par bezprecedenta vīrusu uzbrukumu Interfax. Divi "Interfax" darbinieki izdevumam "Vedomosti" apstiprināja, ka datori bijuši izslēgti. Saskaņā ar vienu no tiem vizuāli bloķētais ekrāns izskatās kā darbību rezultāts zināms vīruss Petja. Interfax uzbrukušais vīruss brīdina, ka nevajag mēģināt pašiem atšifrēt failus, un pieprasa samaksāt izpirkuma maksu 0,05 bitkoinu apmērā (285 USD pēc vakardienas kursa), par ko aicina uz īpašu vietni Tor tīklā. Vīruss šifrētajam datoram piešķīra personas kodu.

Bez Interfax no šifrēšanas vīrusa cietuši vēl divi Krievijas mediji, no kuriem viens ir Sanktpēterburgas izdevums Fontanka, zināms Group-IB.

Fontanka galvenais redaktors Aleksandrs Gorškovs portālam Vedomosti pastāstīja, ka Fontanka serveriem uzbrukuši nezināmi uzbrucēji. Bet Gorškovs apliecina, ka par šifrēšanas vīrusa uzbrukumu Fontankai nav runas: redakcijas personāla datori darbojas, un par vietnes darbību atbildīgais serveris tika uzlauzts.

Interfax nodaļas Apvienotajā Karalistē, Azerbaidžānā, Baltkrievijā un Ukrainā, kā arī Interfax-reliģijas vietne turpina darboties, Pogorelija pastāstīja Vedomosti. Nav skaidrs, kāpēc bojājumi nav skāruši citas nodaļas, iespējams, tas ir saistīts ar Interfax tīkla topoloģiju, kur serveri atrodas ģeogrāfiski, un uz tiem instalēto operētājsistēmu.

Ukrainas Interfax otrdienas pēcpusdienā ziņoja par hakeru uzbrukumu starptautiskā lidosta Odesa. Lidosta savā tīmekļa vietnē atvainojās pasažieriem par "piespiedu apkalpošanas laika pagarināšanu", taču, spriežot pēc tās tiešsaistes tablo, tā otrdien joprojām turpināja sūtīt un saņemt lidmašīnas.

Par kiberuzbrukumu savā Facebook kontā ziņoja arī Kijevas metro – bijušas problēmas ar biļešu apmaksu bankas kartes. Front News ziņoja, ka metro uzbruka šifrēšanas vīruss.

Grupa-IB secina par jaunu epidēmiju. Pēdējos mēnešos pasauli jau pārņēmuši divi izspiedējvīrusu uzbrukumu viļņi: 12. maijā parādījās WannaCry vīruss, bet 27. jūnijā – Petya vīruss (pazīstams arī kā NotPetya un ExPetr). Viņi iekļuva datoros ar Windows operētājsistēmu, kuriem nebija instalēti atjauninājumi, šifrēja cieto disku saturu un pieprasīja 300 USD par atšifrēšanu. Kā vēlāk izrādījās, Petja pat nedomāja par upuru datoru atšifrēšanu. Pirmais uzbrukums skāra simtiem tūkstošu datoru vairāk nekā 150 valstīs, otrais skāra 12 500 datorus 65 valstīs. Par uzbrukumu upuriem kļuva arī krievi. Megafons », Evraz , « Gazprom"Un" Rosņeftj" No vīrusa cieta arī invitro medicīnas centri, kas vairākas dienas nepieņēma no pacientiem pārbaudes.

Petijai gandrīz pusotra mēneša laikā izdevās savākt tikai 18 000 USD, taču zaudējumi bija nesalīdzināmi lielāki. Viens no tā upuriem, Dānijas loģistikas gigants Moller-Maersk, lēsa, ka kiberuzbrukumā zaudētie ieņēmumi ir 200–300 miljoni USD.

Starp Moller-Maersk nodaļām galvenais trieciens ticis Maersk Line, kas nodarbojas ar konteineru pārvadājumiem pa jūru (2016. gadā Maersk Line kopā nopelnīja 20,7 miljardus dolāru, nodaļā strādā 31 900 cilvēku).

Uzņēmumi ātri atguvās no uzbrukuma, taču uzņēmumi un regulatori joprojām bija piesardzīgi. Tādējādi augustā Federālā tīkla uzņēmums UES (pārvalda visas Krievijas elektrotīklu), un dažas dienas vēlāk Krievijas bankas saņēma līdzīgu brīdinājumu no FinCERT (centrālās bankas struktūras, kas nodarbojas ar kiberdrošību).

Jauno šifrēšanas vīrusa uzbrukumu pamanījusi arī Kaspersky Lab, saskaņā ar kuru lielākā daļa uzbrukuma upuru ir Krievijā, bet infekcijas ir Ukrainā, Turcijā un Vācijā. Visas pazīmes liecina, ka šis ir mērķtiecīgs uzbrukums korporatīvajiem tīkliem, norāda Kaspersky Lab pretvīrusu izpētes nodaļas vadītājs Vjačeslavs Zakorževskis: tiek izmantotas ExPetr rīkiem līdzīgas metodes, taču saistību ar šo vīrusu nevar izsekot.

Un saskaņā ar pretvīrusu kompānijas Eset datiem šifrētājs joprojām ir Petjas radinieks. Uzbrukumā tika izmantota Diskcoder.D ļaunprogrammatūra, jauna šifrētāja modifikācija.

Pogorely teica, ka Symantec antivīruss tika instalēts Interfax datoros. Symantec pārstāvji vakar uz Vedomosti lūgumu neatbildēja.

Facebook

Twitter

VK

Odnoklassniki

Telegramma

Dabas zinātne

WannaCry ransomware vīruss: ko darīt?

Pasauli ir pārņēmis jauna šifrēšanas vīrusa WannaCry (citi nosaukumi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) vilnis, kas šifrē dokumentus datorā un izspiež 300-600 USD par to atšifrēšanu. Kā noteikt, vai jūsu dators ir inficēts? Kas jādara, lai nekļūtu par upuri? Un ko darīt, lai atgūtos?

Vai jūsu dators ir inficēts ar Wana Decryptor izspiedējvīrusu?

Pēc Jēkaba ​​Krusteka () no Avast teiktā, jau ir inficēti vairāk nekā 100 tūkstoši datoru. 57% no tiem atrodas Krievijā (vai tā nav dīvaina selektivitāte?). ziņo par vairāk nekā 45 tūkstošu infekciju reģistrāciju. Tiek inficēti ne tikai serveri, bet arī parastu cilvēku datori, kuros ir instalētas operētājsistēmas. Windows sistēmas XP, Windows Vista, Windows 7, Windows 8 un Windows 10. Visu šifrēto dokumentu nosaukumā ir prefikss WNCRY.

Aizsardzība pret vīrusu tika atrasta jau martā, kad Microsoft publicēja “ielāpu”, taču, spriežot pēc epidēmijas uzliesmojuma, daudzi lietotāji, t.sk. sistēmas administratori, ignorēja datora drošības atjauninājumu. Un notika notikušais – Megafon, Krievijas dzelzceļš, Iekšlietu ministrija un citas organizācijas strādā pie savu inficēto datoru ārstēšanas.

Ņemot vērā epidēmijas globālo mērogu, 12. maijā Microsoft publicēja aizsardzības atjauninājumu ilgstoši neatbalstītiem produktiem – Windows XP un Windows Vista.

Varat pārbaudīt, vai jūsu dators ir inficēts, izmantojot pretvīrusu utilītu, piemēram, Kaspersky vai (ieteicams arī Kaspersky atbalsta forumā).

Kā nekļūt par Wana Decryptor izspiedējvīrusa upuri?

Pirmā lieta, kas jums jādara, ir aizvērt caurumu. Lai to izdarītu, lejupielādējiet