Ilang buwan na ang nakalipas, kami at ang iba pang mga espesyalista sa IT Security ay nakadiskubre ng bagong malware - Petya (Win32.Trojan-Ransom.Petya.A). Sa klasikal na kahulugan, hindi ito isang encryptor; hinarang lamang ng virus ang pag-access sa ilang uri ng mga file at humingi ng ransom. Binago ng virus ang boot record sa hard drive, puwersahang i-reboot ang PC at nagpakita ng mensahe na "naka-encrypt ang data - sayangin ang iyong pera para sa pag-decryption." Sa pangkalahatan, ang karaniwang pamamaraan ng mga virus sa pag-encrypt, maliban na ang mga file ay HINDI aktwal na naka-encrypt. Karamihan sa mga tanyag na antivirus ay nagsimulang makilala at alisin ang Win32.Trojan-Ransom.Petya.A ilang linggo pagkatapos ng paglitaw nito. Bilang karagdagan, may mga tagubilin para sa manu-manong pagtanggal. Bakit sa tingin namin na ang Petya ay hindi isang klasikong ransomware? Ang virus na ito ay gumagawa ng mga pagbabago sa Master Boot Record at pinipigilan ang OS mula sa paglo-load, at ini-encrypt din ang Master File Table. Hindi nito ine-encrypt ang mga file mismo.

Gayunpaman, lumitaw ang isang mas sopistikadong virus ilang linggo na ang nakalipas Mischa, tila isinulat ng parehong mga scammer. ENCRYPTS ng virus na ito ang mga file at kailangan mong magbayad ng $500 - $875 para sa decryption (sa iba't ibang bersyon 1.5 – 1.8 bitcoins). Ang mga tagubilin para sa "decryption" at pagbabayad para dito ay naka-store sa mga file na YOUR_FILES_ARE_ENCRYPTED.HTML at YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – mga nilalaman ng YOUR_FILES_ARE_ENCRYPTED.HTML file

Ngayon, sa katunayan, nahahawa ng mga hacker ang mga computer ng mga user ng dalawang malware: Petya at Mischa. Ang una ay nangangailangan ng mga karapatan ng administrator sa system. Iyon ay, kung ang isang user ay tumangging magbigay ng mga karapatan sa admin ng Petya o manu-manong i-delete ang malware na ito, masasangkot si Mischa. Ang virus na ito ay hindi nangangailangan ng mga karapatan ng administrator, ito ay isang klasikong encryptor at aktwal na nag-encrypt ng mga file gamit ang malakas na algorithm ng AES at nang hindi gumagawa ng anumang mga pagbabago sa Master Boot Record at ang file table sa hard drive ng biktima.

Ang Mischa malware ay nag-encrypt hindi lamang ng mga karaniwang uri ng file (mga video, larawan, presentasyon, dokumento), kundi pati na rin ang mga .exe file. Ang virus ay hindi nakakaapekto lamang sa mga direktoryo \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ Internet Explorer, \Temp, \Local, \LocalLow at \Chrome.

Ang impeksyon ay nangyayari pangunahin sa pamamagitan ng e-mail, kung saan ang isang sulat ay natanggap na may nakalakip na file - ang virus installer. Maaari itong i-encrypt bilang isang liham mula sa Tax Service, mula sa iyong accountant, bilang mga kalakip na resibo at resibo para sa mga pagbili, atbp. Bigyang-pansin ang mga extension ng file sa naturang mga titik - kung ito ay isang executable file (.exe), kung gayon na may mataas na posibilidad na ito ay maaaring isang lalagyan na may Petya\Mischa virus. At kung ang pagbabago ng malware ay kamakailan lamang, maaaring hindi tumugon ang iyong antivirus.

Update 06/30/2017: Hunyo 27, isang binagong bersyon ng Petya virus (Petya.A) malawakang inaatake ang mga user sa Ukraine. Ang epekto ng pag-atake na ito ay napakalaki at ang pinsala sa ekonomiya ay hindi pa nakalkula. Sa isang araw, naparalisa ang gawain ng dose-dosenang mga bangko, retail chain, ahensya ng gobyerno at negosyo ng iba't ibang anyo ng pagmamay-ari. Ang virus ay pangunahing kumalat sa pamamagitan ng isang kahinaan sa Ukrainian accounting reporting system MeDoc na may pinakabagong awtomatikong pag-update ng software na ito. Bilang karagdagan, ang virus ay nakaapekto sa mga bansa tulad ng Russia, Spain, Great Britain, France, at Lithuania.

Alisin ang Petya at Mischa virus gamit ang isang awtomatikong panlinis

Eksklusibo mabisang paraan nagtatrabaho sa malware sa pangkalahatan at ransomware sa partikular. Ang paggamit ng isang napatunayang proteksiyon complex ay ginagarantiyahan ang masusing pagtuklas ng anumang mga bahagi ng viral, ang kanilang kumpletong pagtanggal sa isang click. Pakitandaan na pinag-uusapan natin ang tungkol sa dalawang magkaibang proseso: pag-uninstall ng impeksyon at pagpapanumbalik ng mga file sa iyong PC. Gayunpaman, ang banta ay tiyak na kailangang alisin, dahil mayroong impormasyon tungkol sa pagpapakilala ng ibang mga Trojan ng computer na gumagamit nito.

1. . Pagkatapos simulan ang software, i-click ang pindutan Simulan ang Computer Scan(Simulan ang pag-scan).
2. Ang naka-install na software ay magbibigay ng ulat sa mga banta na nakita sa panahon ng pag-scan. Upang alisin ang lahat ng nakitang pagbabanta, piliin ang opsyon Ayusin ang mga Banta(Alisin ang mga pagbabanta). Ang malware na pinag-uusapan ay ganap na aalisin.

Ibalik ang access sa mga naka-encrypt na file

Gaya ng nabanggit, ang Mischa ransomware ay nagla-lock ng mga file gamit ang isang malakas na algorithm ng pag-encrypt upang hindi maibalik ang naka-encrypt na data sa pamamagitan ng pag-swipe. magic wand– kung hindi mo isasaalang-alang ang pagbabayad ng hindi pa naririnig na halaga ng ransom (minsan ay umaabot sa $1000). Ngunit ang ilang mga pamamaraan ay maaari talagang maging isang lifesaver na makakatulong sa iyong mabawi ang mahalagang data. Sa ibaba maaari mong maging pamilyar sa kanila.

Awtomatikong programa sa pagbawi ng file (decryptor)

Ang isang napaka hindi pangkaraniwang pangyayari ay kilala. Binubura ng impeksyong ito ang orihinal na mga file sa hindi naka-encrypt na anyo. Ang proseso ng pag-encrypt para sa mga layunin ng pangingikil ay nagta-target ng mga kopya ng mga ito. Ginagawa nitong posible para sa software tulad ng pagbawi ng mga nabura na bagay, kahit na ginagarantiyahan ang pagiging maaasahan ng pag-alis ng mga ito. Lubhang inirerekumenda na gamitin ang pamamaraan ng pagbawi ng file ay walang pag-aalinlangan.

Mga anino na kopya ng mga volume

Ang diskarte ay batay sa pamamaraan ng Windows backup file, na paulit-ulit sa bawat recovery point. Isang mahalagang kondisyon para gumana ang pamamaraang ito: ang function na "System Restore" ay dapat na i-activate bago ang impeksyon. Gayunpaman, ang anumang mga pagbabago sa file na ginawa pagkatapos ng restore point ay hindi lalabas sa naibalik na bersyon ng file.

Backup

Ito ang pinakamahusay sa lahat ng mga pamamaraan na hindi pantubos. Kung ang pamamaraan para sa pag-back up ng data sa isang panlabas na server ay ginamit bago ang pag-atake ng ransomware sa iyong computer, upang maibalik ang mga naka-encrypt na file kailangan mo lang ipasok ang naaangkop na interface, piliin ang mga kinakailangang file at ilunsad ang mekanismo ng pagbawi ng data mula sa backup. Bago isagawa ang operasyon, dapat mong tiyakin na ang ransomware ay ganap na naalis.

Suriin ang posibleng pagkakaroon ng mga natitirang bahagi ng Petya at Mischa ransomware

Paglilinis sa manu-manong mode ay puno ng pagtanggal ng mga indibidwal na fragment ng ransomware na maaaring maiwasan ang pag-alis sa anyo ng mga nakatagong operating system object o mga elemento ng registry. Upang alisin ang panganib ng bahagyang pagpapanatili ng mga indibidwal na nakakahamak na elemento, i-scan ang iyong computer gamit ang isang maaasahang pakete ng software ng seguridad na dalubhasa sa nakakahamak na software.

Ilang kumpanya ng Russia at Ukrainian ang inatake ng Petya ransomware virus. Ang online publication site ay nakipag-usap sa mga eksperto mula sa Kaspersky Lab at ang interactive na ahensyang AGIMA at nalaman kung paano protektahan ang mga corporate computer mula sa mga virus at kung paano ang Petya ay katulad ng pantay na kilala. WannaCry ransomware virus.

Virus na "Petya"

Sa Russia mayroong Rosneft, Bashneft, Mars, Nivea at tagagawa ng tsokolate na Alpen Gold Mondelez International. Ransomware virus ng radiation monitoring system ng Chernobyl nuclear power plant. Bilang karagdagan, ang pag-atake ay nakaapekto sa mga computer ng gobyerno ng Ukrainian, Privatbank at mga operator ng telecom. Ang virus ay nagla-lock ng mga computer at humihingi ng ransom na $300 sa mga bitcoin.

Sa microblog sa Twitter, nagsalita ang Rosneft press service tungkol sa pag-atake ng hacker sa mga server ng kumpanya. “Isang malakas na pag-atake ng hacker ang isinagawa sa mga server ng kumpanya, umaasa kami na wala itong kinalaman sa kasalukuyang mga legal na paglilitis.

Ayon sa press secretary ng kumpanya na si Mikhail Leontyev, ang Rosneft at ang mga subsidiary nito ay gumagana bilang normal. Matapos ang pag-atake, lumipat ang kumpanya sa isang backup na sistema ng kontrol sa proseso upang hindi tumigil ang produksyon at paggamot ng langis. Inatake din ang sistema ng Home Credit bank.

Ang "Petya" ay hindi nakakahawa nang walang "Misha"

Ayon sa Executive Director ng AGIMA Evgeniy Lobanov, sa katunayan, ang pag-atake ay isinagawa ng dalawang virus ng pag-encrypt: Petya at Misha.

"Nagtutulungan silang "Petya" ay hindi nakakahawa nang walang "Misha", ngunit ang pag-atake kahapon ay dalawang virus: una si Petya, pagkatapos ay muling isinulat ni Misha ang boot device (mula sa kung saan naglo-load computer), at ini-encrypt ni Misha ang mga file gamit ang isang partikular na algorithm," paliwanag ng espesyalista. – Nag-encrypt si Petya sektor ng boot disk (MBR) at pinapalitan ito ng sarili nitong, na-encrypt na ni Misha ang lahat ng mga file sa disk (hindi palaging)."

Nabanggit niya na ang WannaCry encryption virus, na umatake sa malalaking pandaigdigang kumpanya noong Mayo ng taong ito, ay hindi katulad ng Petya, ito ay isang bagong bersyon.

"Ang Petya.A ay mula sa WannaCry (o sa halip WannaCrypt) na pamilya, ngunit ang pangunahing pagkakaiba, kung bakit hindi ito ang parehong virus, ay pinalitan ito ng MBR na may sarili nitong boot sector - ito ay isang bagong produkto para sa Ransomware. Matagal nang lumitaw ang Petya virus, sa GitHab (isang online na serbisyo para sa mga proyekto ng IT at magkasanib na programming - website) https://github.com/leo-stone/hack-petya" target="_blank">mayroong decryptor para sa encryptor na ito, ngunit walang decryptor na angkop para sa bagong pagbabago.

Binigyang-diin ni Yevgeny Lobanov na ang pag-atake ay tumama sa Ukraine nang mas mahirap kaysa sa Russia.

"Kami ay mas madaling kapitan sa mga pag-atake kaysa sa ibang mga bansa sa Kanluran. Kami ay mapoprotektahan mula sa bersyon na ito ng virus, ngunit hindi mula sa mga pagbabago nito. Ang aming Internet ay hindi ligtas, sa Ukraine kahit na mas mababa. Karamihan, mga kumpanya ng transportasyon, mga bangko, mga mobile operator(Vodafone, Kyivstar) at mga medikal na kumpanya, ang parehong Pharmamag, Shell gas station - lahat ng napakalaking transcontinental na kumpanya," aniya sa isang pakikipanayam sa site.

Sinabi ng executive director ng AGIMA na wala pang mga katotohanan na magsasaad ng heograpikal na lokasyon ng kumakalat ng virus. Sa kanyang opinyon, lumitaw ang virus sa Russia. Sa kasamaang palad, walang direktang katibayan nito.

"May isang pagpapalagay na ito ang aming mga hacker, dahil ang unang pagbabago ay lumitaw sa Russia, at ang virus mismo, na hindi lihim sa sinuman, ay pinangalanan sa Petro Poroshenko, ito ay ang pag-unlad ng mga hacker ng Russia, ngunit mahirap sabihin kung sino pa ang nagpabago nito Malinaw na kahit na nasa Russia ka, madaling magkaroon ng isang computer na may geolocation sa USA, "paliwanag ng eksperto.

"Kung ang iyong computer ay biglang "nahawa," hindi mo dapat i-off ang iyong computer Kung mag-reboot ka, hindi ka na muling mag-log in.

"Kung ang iyong computer ay biglang "nahawa", hindi mo maaaring i-off ang computer, dahil pinapalitan ng Petya virus ang MBR - ang unang sektor ng boot kung saan na-load ang operating system Kung nag-reboot ka, hindi ka na muling mag-log in sa system. Puputulin nito ang mga ruta ng pagtakas, kahit na lumilitaw na "tablet" ay hindi na posible na ibalik ang data nai-release na, nagbibigay ito ng 98 porsiyentong garantiya sa seguridad, sa kasamaang palad, hindi pa 100 porsiyento ang isang partikular na pagbabago ng virus (ang kanilang tatlong piraso) na kanyang nilalampasan sa ngayon. – Gayunpaman, kung magre-reboot ka at makita ang simula ng proseso ng “check disk”, sa puntong ito kailangan mong agad na patayin ang computer at ang mga file ay mananatiling hindi naka-encrypt.

Bilang karagdagan, ipinaliwanag din ng eksperto kung bakit ang mga gumagamit ng Microsoft ang madalas na inaatake, at hindi ang MacOSX (Apple operating system - website) at Unix system.

"Narito, mas tama na pag-usapan hindi lamang ang tungkol sa MacOSX, kundi pati na rin ang tungkol sa lahat ng mga sistema ng Unix (ang prinsipyo ay pareho). Ang virus ay kumakalat lamang sa mga computer, nang walang mga mobile device. Inaatake ang operating room Sistema ng Windows at nagbabanta lamang sa mga user na hindi pinagana ang function awtomatikong pag-update mga sistema. Available ang mga update bilang eksepsiyon kahit para sa mga may-ari noon Mga bersyon ng Windows na hindi na na-update: XP, Windows 8 at Windows Server 2003,” sabi ng eksperto.

"Ang MacOSX at Unix ay hindi madaling kapitan ng mga ganitong virus sa buong mundo, dahil maraming malalaking korporasyon ang gumagamit ng imprastraktura ng Microsoft. Ang MacOSX ay hindi madaling kapitan dahil hindi ito karaniwan sa mga ahensya ng gobyerno. Mas kaunting mga virus para dito, hindi kumikita ang paggawa nito, dahil ang segment ng pag-atake ay magiging mas maliit kaysa sa pag-atake sa Microsoft," pagtatapos ng espesyalista.

"Ang bilang ng mga inaatakeng user ay umabot na sa dalawang libo"

Sa serbisyo ng pindutin ng Kaspersky Lab, na ang mga eksperto ay patuloy na nag-iimbestiga sa pinakabagong alon ng mga impeksyon, ay nagsabi na "ang ransomware na ito ay hindi kabilang sa kilalang Petya na pamilya ng ransomware, bagama't mayroon itong ilang linya ng code na karaniwan dito."

Ang Laboratory ay tiwala na sa kasong ito Pinag-uusapan natin ang tungkol sa isang bagong pamilya ng malisyosong software na may makabuluhang naiibang pag-andar mula sa Petya. Kaspersky Lab na pinangalanan bagong ransomware ExPetr.

"Ayon sa Kaspersky Lab, ang bilang ng mga inaatakeng user ay umabot sa dalawang libo. Karamihan sa mga insidente ay naitala sa Russia at Ukraine, at ang mga kaso ng impeksyon ay naobserbahan din sa Poland, Italy, Great Britain, Germany, France, USA at marami pang iba. mga bansa. sa ngayon Iminumungkahi ng aming mga eksperto na gumamit ang malware na ito ng maraming vector ng pag-atake. Itinatag na ang isang binagong EternalBlue exploit at isang EternalRomance exploit ay ginamit para sa pamamahagi sa mga corporate network," sabi ng press service.

Sinisiyasat din ng mga eksperto ang posibilidad ng paglikha ng tool sa pag-decryption na maaaring magamit upang i-decrypt ang data. Gumawa rin ang Laboratory ng mga rekomendasyon para sa lahat ng organisasyon upang maiwasan ang pag-atake ng virus sa hinaharap.

"Inirerekomenda namin na ang mga organisasyon ay mag-install ng mga update para sa Windows operating system. Para sa Windows XP at Windows 7, dapat nilang i-install ang MS17-010 security update at tiyaking mayroon silang epektibong data backup system. Ang pag-back up ng data sa isang napapanahong paraan at secure na paraan ay nagbibigay-daan ibalik mo ang mga orihinal na file, kahit na naka-encrypt ang mga ito gamit ang malware," payo ng mga eksperto sa Kaspersky Lab.

Inirerekomenda din ng Laboratory na tiyakin ng mga corporate client nito na ang lahat ng mekanismo ng proteksyon ay aktibo, lalo na, siguraduhin na ang koneksyon sa cloud infrastructure Kaspersky Security Ang network, bilang karagdagang panukala, inirerekumenda na gamitin ang bahagi ng Application Privilege Control upang tanggihan ang lahat ng mga pangkat ng application na ma-access (at, nang naaayon, pagpapatupad) ng isang file na tinatawag na "perfc.dat", atbp.

"Kung hindi ka gumagamit ng mga produkto ng Kaspersky Lab, inirerekomenda namin na huwag paganahin ang pagpapatupad ng file na tinatawag na perfc.dat, at i-block din ang paglulunsad ng PSExec utility mula sa Sysinternals package gamit ang AppLocker function na kasama sa Windows OS (operating system – website),” inirerekomenda sa Laboratory.

Mayo 12, 2017 marami – naka-on ang data encryptor mga hard drive mga kompyuter. Hinarangan niya ang device at humiling na magbayad ng ransom.
Naapektuhan ng virus ang mga organisasyon at departamento sa dose-dosenang mga bansa sa buong mundo, kabilang ang Russia, kung saan inatake ang Ministry of Health, Ministry of Emergency Situations, Ministry of Internal Affairs, at mga server. mga mobile operator at ilang malalaking bangko.

Ang pagkalat ng virus ay nahinto nang hindi sinasadya at pansamantala: kung binago ng mga hacker ang ilang linya lamang ng code, magsisimulang gumana muli ang malware. Ang pinsala mula sa programa ay tinatantya sa isang bilyong dolyar. Pagkatapos ng forensic linguistic analysis, natukoy ng mga eksperto na ang WannaCry ay nilikha ng mga tao mula sa China o Singapore.

Ang mga virus ay isang mahalagang bahagi ng ecosystem mga operating system. Sa karamihan ng mga kaso, pinag-uusapan natin ang tungkol sa Windows at Android, at kung talagang malas ka, tungkol sa OS X at Linux. Higit pa rito, kung ang mga mass virus noon ay naglalayong lamang sa pagnanakaw ng personal na data, at sa karamihan ng mga kaso ay simpleng sa pagsira ng mga file, ngayon ang mga encryptors ay "namumuno sa rurok."

At ito ay hindi nakakagulat - ang kapangyarihan ng pag-compute ng parehong mga PC at smartphone ay lumago tulad ng isang avalanche, na nangangahulugang ang hardware para sa naturang "mga kalokohan" ay nagiging mas at mas malakas.

Noong nakaraan, natuklasan ng mga eksperto ang Petya virus. Nalaman ng G DATA SecurityLabs na ang virus ay nangangailangan ng administratibong pag-access sa system, at hindi nito ine-encrypt ang mga file, ngunit hinaharangan lamang ang pag-access sa kanila. Ngayon, mayroon nang mga remedyo mula sa Petya (Win32.Trojan-Ransom.Petya.A‘). Binabago mismo ng virus ang boot record sa system drive at nagiging sanhi ng pag-crash ng computer, na nagpapakita ng mensahe tungkol sa data corruption sa disk. Sa katunayan, ito ay pag-encrypt lamang.

Ang mga developer ng malware ay humingi ng bayad para maibalik ang access.

Gayunpaman, ngayon, bilang karagdagan sa Petya virus, isang mas sopistikadong isa ang lumitaw - Misha. Hindi nito kailangan ng mga karapatang pang-administratibo at nag-e-encrypt ng data tulad ng classic na Ransomware, na gumagawa ng YOUR_FILES_ARE_ENCRYPTED.HTML at YOUR_FILES_ARE_ENCRYPTED.TXT na file sa disk o folder na may naka-encrypt na data. Naglalaman ang mga ito ng mga tagubilin kung paano makuha ang susi, na nagkakahalaga ng humigit-kumulang $875.

Mahalagang tandaan na ang impeksiyon ay nangyayari sa pamamagitan ng email, na tumatanggap ng exe file na may mga virus, na nagpapanggap bilang isang pdf na dokumento. At dito ay nananatiling paalalahanan muli - maingat na suriin ang mga titik na may mga nakalakip na file, at subukan din na huwag mag-download ng mga dokumento mula sa Internet, dahil ngayon ang isang virus o nakakahamak na macro ay maaaring mai-embed sa isang doc file o web page.

Napansin din namin na sa ngayon ay walang mga kagamitan upang matukoy ang "trabaho" ng Misha virus.

Noong Martes, Hunyo 27, ang mga kumpanya ng Ukrainian at Ruso ay nag-ulat ng isang napakalaking pag-atake ng virus: ang mga computer sa mga negosyo ay nagpakita ng isang mensahe ng ransom. Naisip ko kung sino ang muling nagdusa dahil sa mga hacker at kung paano protektahan ang iyong sarili mula sa pagnanakaw ng mahalagang data.

Petya, tama na

Ang sektor ng enerhiya ang unang inatake: Ang mga kumpanyang Ukrainian na Ukrenergo at Kyivenergo ay nagreklamo tungkol sa virus. Naparalisa ng mga umaatake ang kanilang mga computer system, ngunit hindi ito nakaapekto sa katatagan ng mga power plant.

Ang mga Ukrainians ay nagsimulang mag-publish ng mga kahihinatnan ng impeksyon sa online: sa paghusga sa pamamagitan ng maraming mga larawan, ang mga computer ay inaatake ng isang ransomware virus. Isang mensahe ang lumabas sa screen ng mga apektadong device na nagsasaad na ang lahat ng data ay naka-encrypt at ang mga may-ari ng device ay kailangang magbayad ng $300 ransom sa Bitcoin. Gayunpaman, hindi sinabi ng mga hacker kung ano ang mangyayari sa impormasyon kung sakaling hindi kumilos, at hindi man lang nagtakda ng countdown timer hanggang sa masira ang data, tulad ng nangyari sa pag-atake ng WannaCry virus.

Iniulat ng National Bank of Ukraine (NBU) na ang trabaho ng ilang mga bangko ay bahagyang naparalisa dahil sa virus. Ayon sa Ukrainian media, naapektuhan ng pag-atake ang mga opisina ng Oschadbank, Ukrsotsbank, Ukrgasbank, at PrivatBank.

Ang mga computer network ng Ukrtelecom, Boryspil Airport, Ukrposhta, Nova Poshta, Kievvodokanal at ang Kyiv Metro ay nahawahan. Bilang karagdagan, ang virus ay tumama sa mga Ukrainian mobile operator - Kyivstar, Vodafone at Lifecell.

Nang maglaon, nilinaw ng Ukrainian media na pinag-uusapan natin ang Petya.A malware. Ibinahagi ito ayon sa karaniwang pamamaraan para sa mga hacker: ang mga biktima ay pinadalhan ng mga phishing na email mula sa mga dummies na humihiling sa kanila na buksan ang isang naka-attach na link. Pagkatapos nito, ang virus ay tumagos sa computer, nag-encrypt ng mga file at humihingi ng ransom para sa pag-decryption sa kanila.

Ipinahiwatig ng mga hacker ang bilang ng kanilang Bitcoin wallet kung saan dapat ilipat ang pera. Sa paghusga sa impormasyon ng transaksyon, ang mga biktima ay naglipat na ng 1.2 bitcoins (higit sa 168 libong rubles).

Ayon sa mga eksperto sa seguridad ng impormasyon mula sa kumpanyang Group-IB, mahigit 80 kumpanya ang naapektuhan bilang resulta ng pag-atake. Sinabi ng pinuno ng kanilang crime lab na ang virus ay walang kaugnayan sa WannaCry. Upang ayusin ang problema, pinayuhan niya na isara ang mga TCP port 1024–1035, 135 at 445.

Sino ang dapat sisihin

Nagmadali siyang ipalagay na ang pag-atake ay isinaayos mula sa teritoryo ng Russia o Donbass, ngunit hindi nagbigay ng anumang ebidensya. Ministro ng Imprastraktura ng Ukraine nakita bakas sa salitang "virus" at isinulat sa kanyang Facebook na "hindi nagkataon na magtatapos ito sa RUS," pagdaragdag ng isang kumikindat na emoticon sa kanyang hula.

Samantala, inaangkin niya na ang pag-atake ay hindi konektado sa umiiral na "malware" na kilala bilang Petya at Mischa. Sinasabi ng mga eksperto sa seguridad na ang bagong alon ay nakaapekto hindi lamang sa mga kumpanya ng Ukrainian at Ruso, kundi pati na rin sa mga negosyo sa ibang mga bansa.

Gayunpaman, ang kasalukuyang "malware" ay kahawig ng interface sikat na virus Petya, na ilang taon na ang nakalilipas ay ipinamahagi sa pamamagitan ng mga link sa phishing. Sa katapusan ng Disyembre, isang hindi kilalang hacker na responsable sa paglikha ng Petya at Mischa ransomware ay nagsimulang magpadala ng mga nahawaang email na may naka-attach na virus na tinatawag na GoldenEye, na kapareho ng mga nakaraang bersyon mga cryptographer.

Ang attachment sa regular na sulat, na madalas natatanggap ng mga empleyado ng HR department, ay naglalaman ng impormasyon tungkol sa pekeng kandidato. Sa isa sa mga file maaari talagang makahanap ng isang resume, at sa susunod - ang installer ng virus. Pagkatapos ang pangunahing target ng umaatake ay mga kumpanya sa Germany. Sa loob ng 24 na oras, mahigit 160 empleyado ng kumpanyang Aleman ang nahulog sa bitag.

Hindi matukoy ang hacker, ngunit halatang fan siya ng Bond. Ang mga programang Petya at Mischa ay ang mga pangalan ng mga satellite ng Russia na "Petya" at "Misha" mula sa pelikulang "Golden Eye", na sa balangkas ay mga electromagnetic na armas.

Ang orihinal na bersyon ng Petya ay nagsimulang aktibong ipamahagi noong Abril 2016. Mahusay itong nag-camouflag ng sarili sa mga computer at nagpanggap bilang mga lehitimong programa, na humihiling ng pinalawig na mga karapatan ng administrator. Pagkatapos ng pag-activate, ang programa ay kumilos nang labis na agresibo: nagtakda ito ng isang mahigpit na deadline para sa pagbabayad ng ransom, na humihingi ng 1.3 bitcoins, at pagkatapos ng deadline, nadoble nito ang kabayaran sa pera.

Totoo, pagkatapos ay mabilis na natagpuan ng isa sa mga gumagamit ng Twitter ang mga kahinaan ng ransomware at lumikha ng isang simpleng programa na, sa loob ng pitong segundo, ay nakabuo ng isang susi na nagpapahintulot sa iyo na i-unlock ang computer at i-decrypt ang lahat ng data nang walang anumang mga kahihinatnan.

Hindi sa unang pagkakataon

Noong kalagitnaan ng Mayo, ang mga computer sa buong mundo ay inatake ng katulad na ransomware virus, WannaCrypt0r 2.0, na kilala rin bilang WannaCry. Sa loob lamang ng ilang oras, naparalisa niya ang gawain ng daan-daang libong manggagawa Mga Windows device sa mahigit 70 bansa. Kabilang sa mga biktima ang mga pwersang panseguridad ng Russia, mga bangko at mga mobile operator. Sa sandaling nasa computer ng biktima, na-encrypt ang virus hard drive at hiniling na magpadala sa mga umaatake ng $300 sa bitcoins. Tatlong araw ang inilaan para sa pagmuni-muni, pagkatapos nito ay nadoble ang halaga, at pagkatapos ng isang linggo ang mga file ay na-encrypt magpakailanman.

Gayunpaman, ang mga biktima ay hindi nagmamadaling magbayad ng ransom, at ang mga gumawa ng malware

Copyright ng paglalarawan PA Caption ng larawan Ayon sa mga eksperto, ang pakikipaglaban sa bagong ransomware ay mas mahirap kaysa sa WannaCry

Noong Hunyo 27, ni-lock ng ransomware ang mga computer at naka-encrypt na file sa dose-dosenang kumpanya sa buong mundo.

Iniulat na ang mga kumpanyang Ukrainiano ay higit na nagdusa - nahawahan ng virus ang mga computer ng malalaking kumpanya, ahensya ng gobyerno at pasilidad ng imprastraktura.

Ang virus ay nangangailangan ng $300 sa Bitcoin mula sa mga biktima upang i-decrypt ang mga file.

Sinasagot ng serbisyo ng BBC Russian ang mga pangunahing tanong tungkol sa bagong banta.

Sino ang nasaktan?

Ang pagkalat ng virus ay nagsimula sa Ukraine. Ang paliparan ng Boryspil, ilang mga rehiyonal na dibisyon ng Ukrenergo, mga chain store, mga bangko, media at mga kumpanya ng telekomunikasyon ay naapektuhan. Bumagsak din ang mga kompyuter sa pamahalaang Ukrainian.

Kasunod nito, ang turn ng mga kumpanya sa Russia: Rosneft, Bashneft, Mondelez International, Mars, Nivea at iba pa ay naging biktima din ng virus.

Paano gumagana ang virus?

Ang mga eksperto ay hindi pa nakakamit ng isang pinagkasunduan sa pinagmulan ng bagong virus. Nakikita ito ng Group-IB at Positive Technologies bilang isang variant ng 2016 Petya virus.

"Ito ay extortion software gumagamit ng parehong mga paraan ng pag-hack at mga kagamitan at mga karaniwang kagamitan pangangasiwa ng sistema, - komento ni Elmar Nabigaev, pinuno ng departamento ng pagtugon sa banta sa seguridad ng impormasyon sa Positive Technologies. - Lahat ng ito ay ginagarantiyahan ang isang mataas na bilis ng pagkalat sa loob ng network at ang napakalaking sukat ng epidemya sa kabuuan (kung hindi bababa sa isa personal na computer). Ang resulta ay kumpletong inoperability ng computer at data encryption."

Ang kumpanya ng Romania na Bitdefender ay nakikita ang higit na pagkakatulad sa GoldenEye virus, kung saan ang Petya ay pinagsama sa isa pang malware na tinatawag na Misha. Ang bentahe ng huli ay hindi ito nangangailangan ng mga karapatan ng administrator mula sa hinaharap na biktima upang i-encrypt ang mga file, ngunit i-extract ang mga ito nang nakapag-iisa.

Brian Campbell mula sa Fujitsu at maraming iba pang mga eksperto ay naniniwala na bagong virus gumagamit ng binagong EternalBlue program na ninakaw mula sa US National Security Agency.

Matapos ang paglalathala ng programang ito ng mga hacker na The Shadow Brokers noong Abril 2017, ang WannaCry ransomware virus na nilikha sa batayan nito ay kumalat sa buong mundo.

Gamit ang mga kahinaan sa Windows, pinapayagan ng program na ito na kumalat ang virus sa mga computer sa buong corporate network. Ang orihinal na Petya ay ipinadala sa pamamagitan ng email nag disguised bilang resume at maaari lamang makahawa sa computer kung saan binuksan ang resume.

Sinabi ng Kaspersky Lab sa Interfax na ang ransomware virus ay hindi kabilang sa mga dating kilalang pamilya ng malisyosong software.

"Nakikita ng mga produkto ng software ng Kaspersky Lab ang malware na ito bilang UDS:DangeroundObject.Multi.Generic," sabi ni Vyacheslav Zakorzhevsky, pinuno ng anti-virus research department sa Kaspersky Lab.

Sa pangkalahatan, kung tatawagin mo ang bagong virus sa pangalan nitong Ruso, kailangan mong tandaan na sa hitsura ay mas kamukha ito ng halimaw ni Frankenstein, dahil ito ay binuo mula sa maraming malisyosong programa. Ito ay tiyak na kilala na ang virus ay ipinanganak noong Hunyo 18, 2017.

Mas cool kaysa sa WannaCry?

Inabot ng ilang araw ang WannaCry noong Mayo 2017 upang maging pinakamalaking cyberattack sa uri nito sa kasaysayan. Malalampasan ba ng bagong ransomware virus ang kamakailang hinalinhan nito?

Sa wala pang isang araw, ang mga umaatake ay nakatanggap ng 2.1 bitcoin mula sa kanilang mga biktima - mga 5 libong dolyar. Nakakolekta ang WannaCry ng 7 bitcoin sa parehong panahon.

Kasabay nito, ayon kay Elmar Nabigaev mula sa Positive Technologies, mas mahirap labanan ang bagong ransomware.

"Bilang karagdagan sa pagsasamantala [ang kahinaan ng Windows], ang banta na ito ay kumakalat din sa pamamagitan ng mga operating system account na ninakaw gamit ang mga espesyal na tool sa pag-hack," sabi ng eksperto.

Paano labanan ang virus?

Bilang isang hakbang sa pag-iwas, ipinapayo ng mga eksperto na mag-install ng mga update para sa mga operating system sa oras at suriin ang mga file na natanggap sa pamamagitan ng email.

Ang mga advanced na administrator ay pinapayuhan na pansamantalang huwag paganahin ang Server Message Block (SMB) network transfer protocol.

Kung ang iyong mga computer ay nahawahan, sa anumang pagkakataon ay hindi mo dapat bayaran ang mga umaatake. Walang garantiya na sa sandaling makatanggap sila ng bayad, ide-decrypt nila ang mga file sa halip na humingi ng higit pa.

Ang natitira na lang ay maghintay para sa programa ng pag-decryption: sa kaso ng WannaCry, kinailangan ni Adrien Guinier, isang espesyalista mula sa kumpanyang Pranses na Quarkslab, ng isang linggo upang likhain ito.

Ang unang AIDS ransomware (PC Cyborg) ay isinulat ng biologist na si Joseph Popp noong 1989. Nagtago siya ng mga direktoryo at naka-encrypt na mga file, humihingi ng bayad na $189 para sa" pag-renew ng lisensya" sa isang account sa Panama. Ipinamahagi ni Popp ang kanyang ideya gamit ang mga floppy disk sa pamamagitan ng regular na koreo, na umabot sa kabuuang 20 liboyachmga padala. Si Popp ay pinigil habang sinusubukang i-cash ang isang tseke, ngunit iniwasan ang paglilitis - noong 1991 siya ay idineklara na baliw.