Ayon sa mga unang ulat, ang pag-encrypt na virus na na-activate ng mga umaatake noong Martes ay inuri bilang isang miyembro ng kilala nang Petya na pamilya ng ransomware, ngunit sa kalaunan ay lumabas na ito ay isang bagong pamilya ng malware na may makabuluhang naiibang pag-andar. Tinatawag na Kaspersky Lab bagong virus ExPetr.

"Ang pagsusuri na isinagawa ng aming mga eksperto ay nagpakita na ang mga biktima sa simula ay walang pagkakataon na maibalik ang kanilang mga file. "Sinuri ng mga mananaliksik ng Kaspersky Lab ang bahagi ng malware code na nauugnay sa pag-encrypt ng file at nalaman na kapag na-encrypt na ang disk, wala nang kakayahan ang mga tagalikha ng virus na i-decrypt ito pabalik," ulat ng laboratoryo.

Tulad ng tala ng kumpanya, ang pag-decryption ay nangangailangan ng isang natatanging identifier para sa isang partikular na pag-install ng Trojan. Sa mga dating kilalang bersyon ng mga katulad na encryptor na Petya/Mischa/GoldenEye, ang installation identifier ay naglalaman ng impormasyong kinakailangan para sa pag-decryption. Sa kaso ng ExPetr, hindi umiiral ang identifier na ito. Nangangahulugan ito na hindi makuha ng mga tagalikha ng malware ang impormasyong kailangan nila para i-decrypt ang mga file. Sa madaling salita, ang mga biktima ng ransomware ay walang paraan upang maibalik ang kanilang data, paliwanag ng Kaspersky Lab.

Hinaharang ng virus ang mga computer at humihingi ng $300 sa mga bitcoin, sinabi ng Group-IB sa RIA Novosti. Nagsimula ang pag-atake noong Martes bandang 11:00. Ayon sa mga ulat ng media, noong 6 p.m. Miyerkules, ang Bitcoin wallet na tinukoy upang maglipat ng mga pondo sa mga extortionist ay nakatanggap ng siyam na paglilipat. Isinasaalang-alang ang komisyon para sa mga paglilipat, inilipat ng mga biktima ang halos 2.7 libong dolyar sa mga hacker.

Kung ikukumpara sa WannaCry, ang virus na ito ay itinuturing na mas mapanira, dahil kumakalat ito gamit ang ilang mga pamamaraan - mula sa gamit ang Windows Management Instrumentation, PsExec at EternalBlue na pagsasamantala. Bilang karagdagan, ang ransomware ay naka-embed libreng utility Mimikatz.

Ang bilang ng mga gumagamit na inatake ng bagong "bagong Petya" encryption virus ay umabot sa 2 libo, ang Kaspersky Lab, na nag-iimbestiga sa alon ng mga impeksyon sa computer, ay iniulat noong Miyerkules.

Ayon sa kumpanya ng antivirus na ESET, nagsimula ang pag-atake sa Ukraine, na nagdusa ng higit sa ibang mga bansa. Ayon sa rating ng kumpanya sa mga bansang apektado ng virus, ang Italy ay nasa pangalawang lugar pagkatapos ng Ukraine, at ang Israel ay nasa ikatlong pwesto. Kasama rin sa nangungunang sampung ang Serbia, Hungary, Romania, Poland, Argentina, Czech Republic at Germany. Nakuha ng Russia ang ika-14 na lugar sa listahang ito.

Bilang karagdagan, sinabi ni Avast kung ano ang eksaktong OS higit na nagdusa mula sa virus.

Ang Windows 7 ay nasa unang lugar - 78% ng lahat ng mga nahawaang computer. Susunod ang Windows XP (18%), Windows 10 (6%) at Windows 8.1 (2%).

Kaya, halos walang itinuro ang WannaCry sa pandaigdigang komunidad - ang mga computer ay nanatiling hindi protektado, ang mga system ay hindi na-update, at ang mga pagsisikap ng Microsoft na mag-isyu ng mga patch kahit na para sa mga lumang sistema ay nasayang lamang.

Isang wave ng bagong encryption virus, ang WannaCry (iba pang pangalan na Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ay kumalat sa buong mundo, na nag-e-encrypt ng mga dokumento sa isang computer at nangikil ng 300-600 USD para sa pag-decode ng mga ito. Paano mo malalaman kung nahawaan ang iyong computer? Ano ang dapat mong gawin upang maiwasan ang pagiging biktima? At ano ang gagawin para gumaling?

Pagkatapos i-install ang mga update, kakailanganin mong i-reboot ang iyong computer.

Paano makabawi mula sa Wana Decrypt0r ransomware virus?

Kapag may nakitang virus ang antivirus utility, aalisin ito kaagad o tatanungin ka kung gagamutin ito o hindi? Ang sagot ay gamutin.

Paano mabawi ang mga file na naka-encrypt ng Wana Decryptor?

Walang nakakaaliw sa sandaling ito Hindi namin masabi. Wala pang nagagawang tool sa pag-decryption ng file. Sa ngayon, ang natitira na lang ay maghintay hanggang sa mabuo ang decryptor.

Ayon kay Brian Krebs, isang computer security expert, sa ngayon ay 26,000 USD lamang ang natatanggap ng mga kriminal, ibig sabihin, humigit-kumulang 58 katao lamang ang sumang-ayon na magbayad ng ransom sa mga extortionist. Walang nakakaalam kung naibalik nila ang kanilang mga dokumento.

Paano mapipigilan ang pagkalat ng virus online?

Sa kaso ng WannaCry, ang solusyon sa problema ay maaaring harangan ang port 445 sa Firewall ( firewall), kung saan nangyayari ang impeksiyon.

Isang bagong alon ng pag-atake ng ransomware ang dumaan sa buong mundo, kasama ang Russian media at mga kumpanyang Ukrainian sa mga biktima. Sa Russia, ang Interfax ay nagdusa mula sa virus, ngunit ang pag-atake ay apektado lamang ng bahagi ng ahensya, dahil ang mga serbisyong IT nito ay pinamamahalaang upang hindi paganahin ang bahagi ng kritikal na imprastraktura, sinabi ng kumpanya ng Russia na Group-IB sa isang pahayag. Tinawag nila ang virus na BadRabbit.

Iniulat ng Deputy Director ng ahensya na si Yuri Pogorely ang tungkol sa hindi pa naganap na pag-atake ng virus sa Interfax sa kanyang Facebook page. Dalawang empleyado ng Interfax ang nagkumpirma kay Vedomosti na ang mga computer ay naka-off. Ayon sa isa sa kanila, ang biswal na naka-lock na screen ay mukhang resulta ng mga aksyon kilalang virus Petya. Ang virus na umatake sa Interfax ay nagbabala na hindi mo dapat subukang mag-decrypt ng mga file sa iyong sarili, at hinihiling na magbayad ng ransom na 0.05 bitcoin ($285 sa rate kahapon), kung saan iniimbitahan ka nito sa isang espesyal na site sa network ng Tor. Nagtalaga ang virus ng personal na identification code sa naka-encrypt na computer.

Bilang karagdagan sa Interfax, dalawa pang Russian media outlet ang nagdusa mula sa encryption virus, isa na rito ang St. Petersburg publication na Fontanka, alam ng Group-IB.

Sinabi ng editor-in-chief ng Fontanka na si Alexander Gorshkov kay Vedomosti na ang mga server ng Fontanka ay inaatake ng hindi kilalang mga umaatake. Ngunit tinitiyak ni Gorshkov na walang tanong tungkol sa pag-atake ng isang ransomware virus sa Fontanka: gumagana ang mga computer ng mga kawani ng editoryal, at ang server na responsable para sa pagpapatakbo ng site ay na-hack.

Ang mga dibisyon ng Interfax sa UK, Azerbaijan, Belarus at Ukraine, pati na rin ang website ng Interfax-religion, ay patuloy na gumagana, sinabi ni Pogorely kay Vedomosti. Hindi malinaw kung bakit hindi nakaapekto ang pinsala sa iba pang mga dibisyon; marahil ito ay dahil sa topology ng Interfax network, kung saan matatagpuan ang mga server sa heograpiya, at ang operating system na naka-install sa kanila, sabi niya.

Iniulat ng Ukrainian Interfax noong Martes ng hapon tungkol sa pag-atake ng hacker sa internasyonal na paliparan Odessa. Humingi ng paumanhin ang paliparan sa mga pasahero sa website nito "para sa sapilitang pagtaas ng oras ng serbisyo," ngunit sa paghusga sa online scoreboard nito, nagpatuloy pa rin ito sa pagpapadala at pagtanggap ng mga eroplano noong Martes.

Iniulat din ng Kyiv metro ang tungkol sa cyber attack sa Facebook account nito - may mga problema sa pagbabayad ng pamasahe mga bank card. Iniulat ng Front News na ang metro ay inatake ng isang encryption virus.

Napagpasyahan ng Group-IB na may bagong epidemya. Sa nakalipas na mga buwan, dalawang alon ng pag-atake ng ransomware ang dumaan sa buong mundo: noong Mayo 12, lumitaw ang WannaCry virus, at noong Hunyo 27, ang Petya virus (kilala rin bilang NotPetya at ExPetr). Napasok nila ang mga computer na may operating system ng Windows na walang mga update na naka-install, na-encrypt ang mga nilalaman ng mga hard drive at humingi ng $300 para sa pag-decryption. Nang maglaon, hindi naisip ni Petya na i-decrypt ang mga computer ng mga biktima. Ang unang pag-atake ay nakaapekto sa daan-daang libong mga computer sa higit sa 150 mga bansa, ang pangalawa - 12,500 mga computer sa 65 mga bansa. Ang mga Ruso ay naging biktima rin ng mga pag-atake. Megaphone », Evraz , « Gazprom"At" Rosneft" Ang mga sentrong medikal ng Invitro ay dumanas din ng virus, dahil hindi sila tumanggap ng mga pagsusuri mula sa mga pasyente sa loob ng ilang araw.

Nakakolekta lamang si Petya ng $18,000 sa loob ng halos isang buwan at kalahati ngunit hindi maihahambing ang pinsala. Isa sa mga biktima nito, ang Danish logistics giant na Moller-Maersk, ay tinantya ang nawalang kita mula sa cyber attack sa $200–300 milyon.

Sa mga dibisyon ng Moller-Maersk, ang pangunahing suntok ay nahulog sa Maersk Line, na nakikibahagi sa transportasyon sa dagat ng mga lalagyan (noong 2016, ang Maersk Line ay nakakuha ng kabuuang $20.7 bilyon, ang dibisyon ay gumagamit ng 31,900 katao).

Mabilis na nakabawi ang mga negosyo mula sa pag-atake, ngunit nanatiling maingat ang mga kumpanya at regulator. Kaya, noong Agosto, ang Federal kumpanya ng network UES (pinamamahalaan ang all-Russian electrical grid), at makalipas ang ilang araw ang mga bangko sa Russia ay nakatanggap ng katulad na babala mula sa FinCERT (ang istruktura ng Central Bank na tumatalakay sa cybersecurity).

Ang bagong pag-atake ng virus sa pag-encrypt ay napansin din ng Kaspersky Lab, ayon sa kung saan karamihan sa mga biktima ng pag-atake ay nasa Russia, ngunit may mga impeksyon sa Ukraine, Turkey at Germany. Ang lahat ng mga palatandaan ay nagpapahiwatig na ito ay isang naka-target na pag-atake sa mga corporate network, sabi ni Vyacheslav Zakorzhevsky, pinuno ng departamento ng pananaliksik ng anti-virus sa Kaspersky Lab: ang mga pamamaraan na katulad ng mga tool ng ExPetr ay ginagamit, ngunit walang koneksyon sa virus na ito ang maaaring masubaybayan.

At ayon sa kumpanya ng antivirus na Eset, ang ransomware ay kamag-anak pa rin ni Petya. Ginamit ng pag-atake ang Diskcoder.D malware, isang bagong pagbabago ng encryptor.

Sinabi ni Pogorely na ang Symantec antivirus ay na-install sa mga Interfax na computer. Ang mga kinatawan ng Symantec ay hindi tumugon sa kahilingan ni Vedomosti kahapon.

Facebook

Twitter

VK

Odnoklassniki

Telegram

Likas na agham

WannaCry ransomware virus: ano ang gagawin?

Isang wave ng bagong encryption virus, ang WannaCry (iba pang pangalan na Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ay kumalat sa buong mundo, na nag-e-encrypt ng mga dokumento sa isang computer at nangikil ng 300-600 USD para sa pag-decode ng mga ito. Paano mo malalaman kung nahawaan ang iyong computer? Ano ang dapat mong gawin upang maiwasan ang pagiging biktima? At ano ang gagawin para gumaling?

Ang iyong computer ba ay nahawaan ng Wana Decryptor ransomware virus?

Ayon kay Jacob Krustek () mula sa Avast, higit sa 100 libong mga computer ang na-infect na. 57% sa kanila ay nasa Russia (hindi ba iyon isang kakaibang pagpili?). iniulat ang pagpaparehistro ng higit sa 45 libong mga impeksyon. Hindi lamang mga server ang nahawahan, kundi pati na rin ang mga computer ng mga ordinaryong tao kung saan naka-install ang mga operating system. Mga sistema ng Windows XP, Windows Vista, Windows 7, Windows 8 at Windows 10. Lahat ng naka-encrypt na dokumento ay may prefix na WNCRY sa kanilang pangalan.

Ang proteksyon laban sa virus ay natagpuan noong Marso, nang ang Microsoft ay nag-publish ng isang "patch", ngunit, sa paghusga sa pagsiklab ng epidemya, maraming mga gumagamit, kabilang ang mga tagapangasiwa ng system, binalewala ang pag-update ng seguridad ng computer. At nangyari ang nangyari - Ang Megafon, Russian Railways, Ministry of Internal Affairs at iba pang mga organisasyon ay nagtatrabaho sa paggamot sa kanilang mga nahawaang computer.

Dahil sa pandaigdigang saklaw ng epidemya, noong Mayo 12, nag-publish ang Microsoft ng isang update sa proteksyon para sa matagal nang hindi sinusuportahang mga produkto – Windows XP at Windows Vista.

Maaari mong suriin kung ang iyong computer ay nahawaan gamit ang isang antivirus utility, halimbawa, Kaspersky o (inirerekomenda rin sa Kaspersky support forum).

Paano maiiwasang maging biktima ng Wana Decryptor ransomware virus?

Ang unang bagay na dapat mong gawin ay isara ang butas. Upang gawin ito, i-download