Potrivit primelor rapoarte, virusul de criptare activat de atacatori marți a fost clasificat ca membru al familiei deja cunoscute de ransomware Petya, dar ulterior s-a dovedit că aceasta era o nouă familie de malware cu funcționalități semnificativ diferite. Kaspersky Lab dublat virus nou Expetr.

„Analiza efectuată de experții noștri a arătat că inițial victimele nu au avut nicio șansă să-și recupereze dosarele. „Cercetătorii de la Kaspersky Lab au analizat partea din codul malware care este asociată cu criptarea fișierelor și au descoperit că, odată ce discul este criptat, creatorii virusului nu mai au capacitatea de a-l decripta înapoi”, raportează laboratorul.

După cum observă compania, decriptarea necesită un identificator unic pentru o anumită instalare troiană. În versiunile cunoscute anterior ale criptoarelor similare Petya/Mischa/GoldenEye, identificatorul de instalare conținea informațiile necesare pentru decriptare. În cazul ExPetr, acest identificator nu există. Aceasta înseamnă că creatorii malware-ului nu pot obține informațiile de care au nevoie pentru a decripta fișierele. Cu alte cuvinte, victimele ransomware-ului nu au cum să-și recupereze datele, explică Kaspersky Lab.

Virusul blochează computerele și solicită 300 de dolari în bitcoini, a declarat Group-IB pentru RIA Novosti. Atacul a început marți în jurul orei 11:00. Potrivit informațiilor din presă, miercuri, la ora 18:00, portofelul Bitcoin care a fost specificat pentru transferul de fonduri către extorsionari a primit nouă transferuri. Ținând cont de comisionul pentru transferuri, victimele au transferat hackerilor circa 2,7 mii de dolari.

În comparație cu WannaCry, acest virus este considerat mai distructiv, deoarece se răspândește folosind mai multe metode - de la folosind Windows Management Instrumentation, PsExec și EternalBlue exploit. În plus, ransomware-ul este încorporat utilitate gratuită Mimikatz.

Numărul utilizatorilor atacați de noul virus de criptare „noul Petya” a ajuns la 2 mii, a anunțat miercuri Kaspersky Lab, care investighează valul de infecții computerizate.

Potrivit companiei antivirus ESET, atacul a început în Ucraina, care a suferit mai mult decât alte țări. Potrivit ratingului companiei pentru țările afectate de virus, Italia se află pe locul doi după Ucraina, iar Israelul pe locul trei. Primele zece au inclus și Serbia, Ungaria, România, Polonia, Argentina, Cehia și Germania. Rusia a ocupat locul 14 în această listă.

În plus, Avast a spus ce anume sisteme de operare a suferit cel mai mult din cauza virusului.

Windows 7 a fost pe primul loc - 78% din toate computerele infectate. Urmează Windows XP (18%), Windows 10 (6%) și Windows 8.1 (2%).

Astfel, WannaCry a învățat comunitatea globală practic nimic - computerele au rămas neprotejate, sistemele nu au fost actualizate, iar eforturile Microsoft de a emite patch-uri chiar și pentru sistemele învechite au fost pur și simplu irosite.

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitarul antivirus detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nimic reconfortant în acest moment Nu putem spune. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, expert în securitate informatică, până acum infractorii au primit doar 26.000 USD, adică doar aproximativ 58 de persoane au fost de acord să plătească răscumpărarea extorsionarilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe firewall ( firewall), prin care apare infecția.

Un nou val de atacuri ransomware s-a răspândit în întreaga lume, printre victime mass-media rusă și companii ucrainene. În Rusia, Interfax a suferit de virus, dar atacul a afectat doar o parte a agenției, deoarece serviciile sale IT au reușit să închidă o parte din infrastructura critică, a spus compania rusă Group-IB într-un comunicat. Au numit virusul BadRabbit.

Directorul adjunct al agenției Yuri Pogorely a relatat pe pagina sa de Facebook despre atacul de virus fără precedent asupra Interfax. Doi angajați Interfax au confirmat lui Vedomosți că calculatoarele au fost oprite. Potrivit unuia dintre ei, ecranul blocat vizual arată ca rezultatul acțiunilor virus cunoscut Petya. Virusul care a atacat Interfax avertizează că nu ar trebui să încerci să decriptezi singur fișierele și solicită să plătești o răscumpărare de 0,05 bitcoin (285 USD la tariful de ieri), pentru care te invită pe un site special din rețeaua Tor. Virusul a atribuit un cod personal de identificare computerului criptat.

Pe lângă Interfax, alte două instituții media ruse au suferit de virusul criptării, dintre care unul este publicația din Sankt Petersburg Fontanka, știe Group-IB.

Editorul-șef al Fontanka, Alexander Gorshkov, i-a spus lui Vedomosti că serverele Fontanka au fost atacate de atacatori necunoscuți. Dar Gorshkov asigură că nu se pune problema unui atac de către un virus ransomware asupra Fontanka: computerele redacției funcționează, iar serverul responsabil de funcționarea site-ului a fost spart.

Diviziile Interfax din Marea Britanie, Azerbaidjan, Belarus și Ucraina, precum și site-ul web Interfax-religie continuă să funcționeze, a declarat Pogorely pentru Vedomosti. Nu este clar de ce daunele nu au afectat alte divizii, poate că acest lucru se datorează topologiei rețelei Interfax, unde serverele sunt amplasate geografic, și sistemul de operare care este instalat pe acestea;

Interfax ucrainean a raportat marți după-amiază despre un atac al unui hacker aeroport international Odesa. Aeroportul și-a cerut scuze pasagerilor pe site-ul său „pentru creșterea forțată a timpului de serviciu”, dar, judecând după tabloul de bord online, a continuat să trimită și să primească avioane marți.

Metroul din Kiev a raportat și despre atacul cibernetic pe contul său de Facebook - au existat probleme cu plata tarifelor carduri bancare. Front News a raportat că metroul a fost atacat de un virus de criptare.

Grupul-IB concluzionează că există o nouă epidemie. În ultimele luni, două valuri de atacuri de tip ransomware s-au extins deja în întreaga lume: pe 12 mai a apărut virusul WannaCry, iar pe 27 iunie, virusul Petya (cunoscut și sub numele de NotPetya și ExPetr). Au pătruns în computere cu sistemul de operare Windows care nu aveau actualizări instalate, au criptat conținutul hard disk-urilor și au cerut 300 de dolari pentru decriptare. După cum sa dovedit mai târziu, Petya nici măcar nu s-a gândit să decripteze computerele victimelor. Primul atac a afectat sute de mii de computere din peste 150 de țări, al doilea a afectat 12.500 de computere din 65 de țări. De asemenea, rușii au devenit victime ale atacurilor. Megafon », Evraz , « Gazprom" Și " Rosneft" Centrele medicale Invitro au suferit și ele de virus, întrucât nu au acceptat teste de la pacienți timp de câteva zile.

Petya a reușit să strângă doar 18.000 de dolari în aproape o lună și jumătate, dar pagubele au fost incomparabil mai mari. Una dintre victimele sale, gigantul danez al logisticii Moller-Maersk, a estimat veniturile pierdute din atacul cibernetic la 200-300 de milioane de dolari.

Printre diviziile Moller-Maersk, lovitura principală a căzut pe Maersk Line, care este angajată în transportul maritim de containere (în 2016, Maersk Line a câștigat un total de 20,7 miliarde de dolari, divizia are 31.900 de angajați).

Afacerile și-au revenit rapid după atac, dar companiile și autoritățile de reglementare au rămas precaute. Astfel, în august, Federal companie de rețea UES (gestionează rețeaua electrică integrală rusească), iar câteva zile mai târziu băncile rusești au primit un avertisment similar de la FinCERT (structura Băncii Centrale care se ocupă de securitatea cibernetică).

Noul atac al virusului de criptare a fost observat și de Kaspersky Lab, conform căruia majoritatea victimelor atacului sunt în Rusia, dar există infecții în Ucraina, Turcia și Germania. Toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative, spune Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus de la Kaspersky Lab: se folosesc metode similare instrumentelor ExPetr, dar nu poate fi urmărită nicio legătură cu acest virus.

Și conform companiei antivirus Eset, ransomware-ul este încă o rudă cu Petya. Atacul a folosit malware Diskcoder.D, o nouă modificare a criptorului.

Pogorely a spus că antivirusul Symantec a fost instalat pe computerele Interfax. Reprezentanții Symantec nu au răspuns ieri solicitării lui Vedomosți.

Facebook

Stare de nervozitate

VK

Odnoklassniki

Telegramă

Știința naturii

Virusul ransomware WannaCry: ce să faci?

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

Este computerul dumneavoastră infectat cu virusul ransomware Wana Decryptor?

Potrivit lui Jacob Krustek () de la Avast, peste 100 de mii de computere au fost deja infectate. 57% dintre ei sunt în Rusia (nu este o selectivitate ciudată?). raportează înregistrarea a peste 45 de mii de infecții. Nu sunt infectate doar serverele, ci și computerele oamenilor obișnuiți pe care sunt instalate sisteme de operare. sisteme Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10. Toate documentele criptate au prefixul WNCRY în numele lor.

Protecția împotriva virusului a fost găsită în martie, când Microsoft a publicat un „patch”, dar, judecând după izbucnirea epidemiei, mulți utilizatori, inclusiv administratorii de sistem, a ignorat actualizarea de securitate a computerului. Și s-a întâmplat ceea ce s-a întâmplat - Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne și alte organizații lucrează la tratarea computerelor lor infectate.

Având în vedere amploarea globală a epidemiei, pe 12 mai, Microsoft a publicat o actualizare de protecție pentru produsele neacceptate de mult timp – Windows XP și Windows Vista.

Puteți verifica dacă computerul dvs. este infectat utilizând un utilitar antivirus, de exemplu, Kaspersky sau (recomandat și pe forumul de asistență Kaspersky).

Cum să evitați să deveniți o victimă a virusului ransomware Wana Decryptor?

Primul lucru pe care trebuie să-l faceți este să închideți gaura. Pentru a face acest lucru, descărcați