În urmă cu câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu era un criptator, virusul a blocat pur și simplu accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virusul a modificat înregistrarea de pornire de pe hard disk, a repornit forțat computerul și a afișat un mesaj că „datele sunt criptate - irosește-ți banii pentru decriptare”. În general, schema standard a virușilor de criptare, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A la câteva săptămâni după apariția sa. În plus, există instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică încărcarea sistemului de operare și, de asemenea, criptează tabelul de fișiere master. Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni Mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă solicită să plătiți 500 USD - 875 USD pentru decriptare (în versiuni diferite 1,5 – 1,8 bitcoin). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa – conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator pe sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau șterge manual acest malware, Mischa se implică. Acest virus nu necesită drepturi de administrator, este un criptator clasic și de fapt criptează fișierele folosind algoritmul puternic AES și fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Malware-ul Mischa criptează nu numai tipurile de fișiere standard (videoclipuri, imagini, prezentări, documente), ci și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Operă,\ Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde se primește o scrisoare cu un fișier atașat - programul de instalare a virusului. Poate fi criptat ca scrisoare de la Serviciul Fiscal, de la contabilul dvs., ca chitante atasate si chitante pentru cumparari etc. Acordați atenție extensiilor de fișiere din astfel de litere - dacă este un fișier executabil (.exe), atunci cu mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este recentă, este posibil ca antivirusul dvs. să nu răspundă.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm, iar prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, agenții guvernamentale și întreprinderi cu diferite forme de proprietate a fost paralizată. Virusul s-a răspândit în principal printr-o vulnerabilitate din sistemul ucrainean de raportare contabilă MeDoc cu cea mai recentă actualizare automată a acestui software. În plus, virusul a afectat țări precum Rusia, Spania, Marea Britanie, Franța și Lituania.

Eliminați virusul Petya și Mischa folosind un agent de curățare automat

Exclusiv metoda eficienta lucrul cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Remediați amenințările(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu o glisare bagheta magică– dacă nu țineți cont de plata unei sume de răscumpărare nemaivăzute (uneori ajungând la 1000 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor eficiența acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procedura Windows backup fișiere, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale ransomware-ului Petya și Mischa

Curatenie in modul manual este plin de omiterea fragmentelor individuale de ransomware care pot evita eliminarea sub formă de obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.

O serie de companii rusești și ucrainene au fost atacate de virusul ransomware Petya. Site-ul de publicații online a discutat cu experți de la Kaspersky Lab și de la agenția interactivă AGIMA și a descoperit cum să protejăm computerele corporative de viruși și cum se aseamănă Petya cu cel la fel de bine-cunoscut. Virusul ransomware WannaCry.

Virusul „Petya”

În Rusia există Rosneft, Bashneft, Mars, Nivea și producătorul de ciocolată Alpen Gold Mondelez International. Virusul ransomware al sistemului de monitorizare a radiațiilor din centrala nucleară de la Cernobîl. În plus, atacul a afectat computerele guvernului ucrainean, Privatbank și operatorii de telecomunicații. Virusul blochează computerele și solicită o răscumpărare de 300 USD în bitcoin.

În microblogul de pe Twitter, serviciul de presă Rosneft a vorbit despre un atac al hackerilor asupra serverelor companiei. „Un atac puternic de hacker a fost efectuat pe serverele companiei. Sperăm că acest lucru nu are nimic de-a face cu procedurile legale curente. Compania a contactat agențiile de aplicare a legii cu privire la atacul cibernetic.

Potrivit secretarului de presă al companiei, Mikhail Leontyev, Rosneft și filialele sale funcționează normal. După atac, compania a trecut la un sistem de control al procesului de rezervă, astfel încât producția și tratarea petrolului să nu se oprească. A fost atacat și sistemul bancar Home Credit.

„Petya” nu infectează fără „Misha”

Conform Director executiv al AGIMA Evgeniy Lobanov, de fapt, atacul a fost efectuat de doi viruși de criptare: Petya și Misha.

„Ei lucrează împreună, „Petya” nu infectează fără „Misha”, dar atacul de ieri a fost de doi viruși: mai întâi Petya, apoi „Petya” rescrie dispozitivul de pornire încărcare computer), iar Misha criptează fișierele folosind un anumit algoritm”, a explicat specialistul. – Petya criptează sectorul de boot disc (MBR) și îl înlocuiește cu al său, Misha criptează deja toate fișierele de pe disc (nu întotdeauna)."

El a menționat că virusul de criptare WannaCry, care a atacat mari companii globale în luna mai a acestui an, nu este similar cu Petya, este o versiune nouă.

„Petya.A este din familia WannaCry (sau mai bine zis WannaCrypt), dar principala diferență, de ce nu este același virus, este că este înlocuit de MBR cu propriul sector de boot - acesta este un produs nou pentru Ransomware. Virusul Petya a apărut cu mult timp în urmă, pe GitHab (un serviciu online pentru proiecte IT și programare comună - site web) https://github.com/leo-stone/hack-petya" target="_blank">a existat un decriptor pentru acest criptator, dar niciun decriptor nu este potrivit pentru noua modificare.

Evgheni Lobanov a subliniat că atacul a lovit Ucraina mai tare decât Rusia.

„Suntem mai susceptibili la atacuri decât alte țări occidentale. Vom fi protejați de această versiune a virusului, dar nu de modificările sale. Internetul nostru este nesigur, în Ucraina și mai puțin. În mare parte, companiile de transport, băncile, operatori de telefonie mobilă(Vodafone, Kyivstar) și companii medicale, aceeași Pharmamag, benzinării Shell - toate companii transcontinentale foarte mari”, a spus el într-un interviu acordat site-ului.

Directorul executiv al AGIMA a remarcat că nu există încă fapte care să indice locația geografică a răspânditorului virusului. În opinia sa, se presupune că virusul a apărut în Rusia. Din păcate, nu există dovezi directe în acest sens.

„Se presupune că aceștia sunt hackeri noștri, de când a apărut prima modificare în Rusia, iar virusul în sine, care nu este un secret pentru nimeni, a fost numit după Petro Poroșenko. A fost dezvoltarea hackerilor ruși, dar este greu de spus care a schimbat-o mai departe. Este clar că, chiar dacă ești în Rusia, este ușor să ai un computer cu geolocalizare în SUA”, a explicat expertul.

„Dacă computerul este „infectat” brusc, nu trebuie să-l închideți dacă reporniți, nu vă veți mai conecta niciodată”.

„Dacă computerul este „infectat” brusc, nu puteți opri computerul, deoarece virusul Petya înlocuiește MBR - primul sector de pornire din care este încărcat sistemul de operare. Dacă reporniți, nu vă veți mai conecta niciodată la sistem. Acest lucru va întrerupe rutele de evacuare, chiar dacă apare „tabletă”, nu va mai fi posibilă returnarea datelor. Apoi, trebuie să vă deconectați imediat de la Internet, astfel încât computerul să nu fie conectat la un patch oficial de la Microsoft a fost deja lansat, oferă o garanție de securitate de 98 la sută, din păcate, nu este încă 100 la sută o anumită modificare a virusului (cele trei bucăți) pe care o ocolește pentru moment”, a recomandat Lobanov. – Cu toate acestea, dacă reporniți și vedeți începutul procesului de „verificare a discului”, în acest moment trebuie să opriți imediat computerul, iar fișierele vor rămâne necriptate.

În plus, expertul a explicat și de ce utilizatorii Microsoft sunt cel mai des atacați, și nu MacOSX (sistem de operare Apple - site web) și sistemele Unix.

„Aici este mai corect să vorbim nu numai despre MacOSX, ci și despre toate sistemele Unix (principiul este același). Virusul se răspândește doar la computere, fără dispozitive mobile. Sala de operație este atacată sistem Windowsși amenință doar acei utilizatori care au dezactivat funcția actualizare automată sisteme. Actualizările sunt disponibile ca excepție chiar și pentru proprietarii vechi versiuni Windows care nu mai sunt actualizate: XP, Windows 8 și Windows Server 2003”, a spus expertul.

„MacOSX și Unix nu sunt susceptibile la astfel de viruși la nivel global, deoarece multe corporații mari folosesc infrastructura Microsoft. MacOSX nu este susceptibil pentru că nu este atât de comun în agențiile guvernamentale. Există mai puțini viruși pentru el, nu este profitabil să le produci, pentru că segmentul de atac va fi mai mic decât dacă ataca Microsoft”, a conchis specialistul.

„Numărul utilizatorilor atacați a ajuns la două mii”

În serviciul de presă al Kaspersky Lab, ai cărui experți continuă să investigheze ultimul val de infecții, a spus că „acest ransomware nu aparține familiei deja cunoscute de ransomware Petya, deși are mai multe linii de cod în comun cu acesta”.

Laboratorul are încredere că în acest caz, Vorbim despre o nouă familie de software rău intenționat cu funcționalități semnificativ diferite față de Petya. Kaspersky Lab numit nou ransomware Expetr.

„Potrivit Kaspersky Lab, numărul utilizatorilor atacați a ajuns la două mii. Cele mai multe incidente au fost înregistrate în Rusia și Ucraina, iar cazuri de infecție au fost observate și în Polonia, Italia, Marea Britanie, Germania, Franța, SUA și o serie de altele. ţări. în acest moment Experții noștri sugerează că acest malware a folosit mai mulți vectori de atac. S-a stabilit că un exploit EternalBlue modificat și un exploit EternalRomance au fost folosite pentru distribuție în rețelele corporative”, a spus serviciul de presă.

Experții explorează, de asemenea, posibilitatea de a crea un instrument de decriptare care ar putea fi folosit pentru a decripta datele. Laboratorul a făcut, de asemenea, recomandări pentru toate organizațiile pentru a evita un atac de virus în viitor.

„Recomandăm organizațiilor să instaleze actualizări pentru sistemul de operare Windows. Pentru Windows XP și Windows 7, acestea ar trebui să instaleze actualizarea de securitate MS17-010 și să se asigure că au un sistem eficient de copiere a datelor. Copierea de rezervă a datelor în timp util și în mod sigur permite trebuie să restaurați fișierele originale, chiar dacă au fost criptate cu programe malware”, au sfătuit experții Kaspersky Lab.

De asemenea, Laboratorul recomandă clienților săi corporativi să se asigure că toate mecanismele de protecție sunt activate, în special, să se asigure că conexiunea la infrastructura cloud Kaspersky Security Rețea, ca măsură suplimentară, se recomandă utilizarea componentei Application Privilege Control pentru a interzice accesul tuturor grupurilor de aplicații (și, în consecință, execuția) unui fișier numit „perfc.dat”, etc.

„Dacă nu utilizați produse Kaspersky Lab, vă recomandăm să dezactivați execuția fișierului numit perfc.dat și, de asemenea, să blocați lansarea utilitarului PSExec din pachetul Sysinternals folosind funcția AppLocker inclusă în sistemul de operare Windows (sistemul de operare). – site web),” recomandat în Laborator.

12 mai 2017 multe – criptare de date activată hard disk-uri calculatoare. El blochează dispozitivul și cere să plătească o răscumpărare.
Virusul a afectat organizații și departamente din zeci de țări din întreaga lume, inclusiv Rusia, unde au fost atacate Ministerul Sănătății, Ministerul Situațiilor de Urgență, Ministerul Afacerilor Interne și serverele. operatori de telefonie mobilăși mai multe bănci mari.

Răspândirea virusului a fost oprită accidental și temporar: dacă hackerii ar schimba doar câteva linii de cod, malware-ul ar începe să funcționeze din nou. Prejudiciul din program este estimat la un miliard de dolari. După o analiză lingvistică criminalistică, experții au stabilit că WannaCry a fost creat de oameni din China sau Singapore.

Virușii sunt o parte integrantă a ecosistemului sisteme de operare. În cele mai multe cazuri, vorbim despre Windows și Android, iar dacă ești cu adevărat ghinionist, despre OS X și Linux. Mai mult decât atât, dacă anterior virușii în masă aveau ca scop doar furtul datelor personale și, în cele mai multe cazuri, pur și simplu să distrugă fișierele, acum criptatorii „stăpânesc pe loc”.

Și acest lucru nu este surprinzător - puterea de calcul atât a computerelor, cât și a smartphone-urilor a crescut ca o avalanșă, ceea ce înseamnă că hardware-ul pentru astfel de „farse” devine din ce în ce mai puternic.

Cu ceva timp în urmă, experții au descoperit virusul Petya. G DATA SecurityLabs a descoperit că virusul necesită acces administrativ la sistem și nu criptează fișierele, ci doar blochează accesul la acestea. Astăzi, remediile de la Petya (Win32.Trojan-Ransom.Petya.A‘) există deja. Virusul în sine modifică înregistrarea de pornire de pe unitatea de sistem și provoacă blocarea computerului, afișând un mesaj despre coruperea datelor de pe disc. De fapt, aceasta este doar criptare.

Dezvoltatorii de programe malware au cerut plata pentru restabilirea accesului.

Cu toate acestea, astăzi, pe lângă virusul Petya, a apărut unul și mai sofisticat - Misha. Nu are nevoie de drepturi administrative și criptează datele precum ransomware clasic, creând fișiere YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT pe disc sau folder cu date criptate. Acestea conțin instrucțiuni despre cum să obțineți cheia, care costă aproximativ 875 USD.

Este important de reținut că infecția are loc prin e-mail, care primește un fișier exe cu viruși, mascandu-se ca un document pdf. Și aici rămâne de reamintit din nou - verificați cu atenție scrisorile cu fișiere atașate și încercați, de asemenea, să nu descărcați documente de pe Internet, deoarece acum un virus sau o macrocomandă rău intenționată poate fi încorporat într-un fișier document sau o pagină web.

De asemenea, observăm că până acum nu există utilități pentru a descifra „lucrarea” virusului Misha.

Marți, 27 iunie, companiile ucrainene și ruse au raportat un atac masiv de viruși: computerele întreprinderilor au afișat un mesaj de răscumpărare. Mi-am dat seama cine a suferit încă o dată din cauza hackerilor și cum să te protejezi de furtul de date importante.

Petya, e suficient

Sectorul energetic a fost primul atacat: companiile ucrainene Ukrenergo și Kyivenergo s-au plâns de virus. Atacatorii și-au paralizat sistemele informatice, dar acest lucru nu a afectat stabilitatea centralelor electrice.

Ucrainenii au început să publice consecințele infecției online: judecând după numeroase imagini, computerele au fost atacate de un virus ransomware. Pe ecranul dispozitivelor afectate a apărut un mesaj care afirmă că toate datele au fost criptate și că proprietarii de dispozitive trebuiau să plătească o răscumpărare de 300 USD în Bitcoin. Totuși, hackerii nu au spus ce s-ar întâmpla cu informațiile în caz de inacțiune și nici măcar nu au setat un cronometru până când datele au fost distruse, așa cum a fost cazul atacului virusului WannaCry.

Banca Națională a Ucrainei (BNU) a raportat că activitatea mai multor bănci a fost parțial paralizată din cauza virusului. Potrivit presei ucrainene, atacul a afectat birourile Oschadbank, Ukrsotsbank, Ukrgasbank și PrivatBank.

Rețelele de calculatoare ale Ukrtelecom, Aeroportul Boryspil, Ukrposhta, Nova Poshta, Kievvodokanal și Metrou Kiev au fost infectate. În plus, virusul a lovit operatorii de telefonie mobilă ucraineană - Kyivstar, Vodafone și Lifecell.

Ulterior, presa ucraineană a clarificat că vorbim despre malware Petya.A. Este distribuit conform schemei obișnuite pentru hackeri: victimelor li se trimit e-mailuri de phishing de la manechin care le cer să deschidă un link atașat. După aceasta, virusul pătrunde în computer, criptează fișierele și solicită o răscumpărare pentru decriptarea acestora.

Hackerii au indicat numărul portofelului lor Bitcoin în care ar trebui să fie transferați banii. Judecând după informațiile despre tranzacție, victimele au transferat deja 1,2 bitcoini (mai mult de 168 de mii de ruble).

Potrivit experților pe securitatea informatiei de la compania Group-IB, peste 80 de companii au fost afectate în urma atacului. Șeful laboratorului lor criminalistic a remarcat că virusul nu are legătură cu WannaCry. Pentru a remedia problema, el a sfătuit să închideți porturile TCP 1024–1035, 135 și 445.

Cine e de vină

Ea s-a grăbit să presupună că atacul a fost organizat de pe teritoriul Rusiei sau Donbass, dar nu a oferit nicio dovadă. Ministrul Infrastructurii al Ucrainei a văzut indiciu în cuvântul „virus” și a scris pe Facebook că „nu este o coincidență că se termină în RUS”, adăugând o emoticon care face cu ochiul la presupunerea sa.

Între timp, el susține că atacul nu are nicio legătură cu „malware” existent, cunoscut sub numele de Petya și Mischa. Experții în securitate susțin că noul val a afectat nu numai companiile ucrainene și rusești, ci și întreprinderile din alte țări.

Cu toate acestea, actualul „malware” seamănă cu interfața celebru virus Petya, care în urmă cu câțiva ani a fost distribuit prin link-uri de phishing. La sfârșitul lunii decembrie, un hacker necunoscut responsabil pentru crearea ransomware-ului Petya și Mischa a început să trimită e-mailuri infectate cu un virus atașat numit GoldenEye, care era identic cu versiunile anterioare criptografii.

Atașamentul la scrisoarea obișnuită, pe care angajații departamentului de resurse umane o primeau adesea, conținea informații despre candidatul fals. Într-unul dintre fișiere se putea găsi de fapt un CV, iar în următorul - instalatorul de viruși. Atunci principalele ținte ale atacatorului au fost companiile din Germania. Pe parcursul a 24 de ore, peste 160 de angajați ai companiei germane au căzut în capcană.

Nu s-a putut identifica hackerul, dar este evident că este fan Bond. Programele Petya și Mischa sunt numele sateliților ruși „Petya” și „Misha” din filmul „Golden Eye”, care în complot erau arme electromagnetice.

Versiunea originală a lui Petya a început să fie distribuită activ în aprilie 2016. S-a camuflat cu pricepere pe computere și s-a prezentat drept programe legitime, solicitând drepturi de administrator extinse. După activare, programul s-a comportat extrem de agresiv: a stabilit un termen strict pentru plata răscumpărării, cerând 1,3 bitcoini, iar după termen, a dublat compensația bănească.

Adevărat, atunci unul dintre utilizatorii Twitter a găsit rapid punctele slabe ale ransomware-ului și a creat un program simplu care, în șapte secunde, a generat o cheie care îți permitea să deblochezi computerul și să decriptezi toate datele fără nicio consecință.

Nu pentru prima dată

La mijlocul lunii mai, computerele din întreaga lume au fost atacate de un virus ransomware similar, WannaCrypt0r 2.0, cunoscut și sub numele de WannaCry. În doar câteva ore, a paralizat munca a sute de mii de muncitori Dispozitive Windowsîn peste 70 de țări. Printre victime s-au numărat forțele de securitate ruse, bănci și operatorii de telefonie mobilă. Odată ajuns pe computerul victimei, virusul a fost criptat hard diskși a cerut să le trimită atacatorilor 300 de dolari în bitcoini. Trei zile au fost alocate pentru reflecție, după care suma a fost dublată, iar după o săptămână fișierele au fost criptate pentru totdeauna.

Cu toate acestea, victimele nu s-au grăbit să plătească răscumpărarea și creatorii malware-ului

Drepturi de autor pentru ilustrație PA Legendă imagine Potrivit experților, lupta cu noul ransomware este mai dificilă decât WannaCry

Pe 27 iunie, ransomware-ul a blocat computere și fișiere criptate la zeci de companii din întreaga lume.

Se raportează că companiile ucrainene au suferit cel mai mult - virusul a infectat computerele marilor companii, agențiile guvernamentale și infrastructura.

Virusul cere 300 USD în Bitcoin de la victime pentru a decripta fișierele.

Serviciul rusesc BBC răspunde la principalele întrebări despre noua amenințare.

Cine a fost rănit?

Răspândirea virusului a început în Ucraina. Au fost afectate aeroportul Boryspil, unele divizii regionale ale Ukrenergo, lanțuri de magazine, bănci, mass-media și companii de telecomunicații. Calculatoarele din guvernul ucrainean au scăzut și ele.

În continuare, a venit rândul companiilor din Rusia: Rosneft, Bashneft, Mondelez International, Mars, Nivea și altele au devenit și ele victime ale virusului.

Cum funcționează virusul?

Experții nu au ajuns încă la un consens cu privire la originea noului virus. Group-IB și Positive Technologies îl văd ca pe o variantă a virusului Petya din 2016.

„Aceasta este extorcare software folosește atât metode de hacking, cât și utilități și utilități standard administrarea sistemului, - comentează Elmar Nabigaev, șeful departamentului de răspuns la amenințările de securitate a informațiilor la Positive Technologies. - Toate acestea garantează o viteză mare de răspândire în cadrul rețelei și amploarea masivă a epidemiei în ansamblu (dacă cel puțin un computer personal). Rezultatul este inoperabilitatea completă a computerului și criptarea datelor.”

Compania românească Bitdefender vede mai multe în comun cu virusul GoldenEye, în care Petya este combinat cu un alt malware numit Misha. Avantajul celui din urmă este că nu necesită drepturi de administrator de la viitoarea victimă pentru a cripta fișierele, ci le extrage independent.

Brian Cambell de la Fujitsu și o serie de alți experți cred că virus nou folosește un program EternalBlue modificat, furat de la Agenția de Securitate Națională a SUA.

După publicarea acestui program de către hackerii The Shadow Brokers în aprilie 2017, virusul ransomware WannaCry creat pe baza sa s-a răspândit în întreaga lume.

Folosind vulnerabilitățile Windows, acest program permite virusului să se răspândească pe computere din întreaga rețea corporativă. Originalul Petya a fost trimis prin e-mail deghizat în CV și nu putea infecta decât computerul unde era deschis CV-ul.

Kaspersky Lab a declarat pentru Interfax că virusul ransomware nu aparține unor familii de software rău intenționate cunoscute anterior.

„Produsele software Kaspersky Lab detectează acest malware ca UDS:DangeroundObject.Multi.Generic”, a menționat Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus la Kaspersky Lab.

În general, dacă numiți noul virus prin numele său rusesc, trebuie să aveți în vedere că în aparență seamănă mai mult cu monstrul lui Frankenstein, deoarece este asamblat din mai multe programe rău intenționate. Se știe cu siguranță că virusul s-a născut pe 18 iunie 2017.

Mai cool decât WannaCry?

WannaCry a avut nevoie de doar câteva zile în mai 2017 pentru a deveni cel mai mare atac cibernetic de acest gen din istorie. Va depăși noul virus ransomware recentul său predecesor?

În mai puțin de o zi, atacatorii au primit de la victimele lor 2,1 bitcoini - aproximativ 5 mii de dolari. WannaCry a colectat 7 bitcoini în aceeași perioadă.

În același timp, potrivit lui Elmar Nabigaev de la Positive Technologies, este mai dificil să lupți cu noul ransomware.

„Pe lângă exploatarea [vulnerabilitatea Windows], această amenințare este răspândită și prin conturile de sistem de operare furate folosind instrumente speciale de hacking”, a menționat expertul.

Cum să lupți cu virusul?

Ca măsură preventivă, experții recomandă instalarea la timp a actualizărilor pentru sistemele de operare și verificarea fișierelor primite prin e-mail.

Administratorii avansați sunt sfătuiți să dezactiveze temporar protocolul de transfer al rețelei Server Message Block (SMB).

Dacă computerele dumneavoastră sunt infectate, în niciun caz nu trebuie să plătiți atacatorii. Nu există nicio garanție că, odată ce primesc plata, vor decripta fișierele în loc să solicite mai mult.

Rămâne doar să așteptăm programul de decriptare: în cazul WannaCry, a fost nevoie de o săptămână pentru al crea lui Adrien Guinier, specialist de la compania franceză Quarkslab.

Primul ransomware SIDA (PC Cyborg) a fost scris de biologul Joseph Popp în 1989. Ea a ascuns directoare și fișiere criptate, cerând plata de 189 USD pentru" reînnoirea licenței" la un cont în Panama. Popp și-a distribuit creația folosind dischete prin poștă obișnuită, făcând un total de aproximativ 20 de mii.yachexpedierile. Popp a fost reținut în timp ce încerca să încaseze un cec, dar a evitat procesul - în 1991 a fost declarat nebun.