Bir necha oy oldin biz va boshqa IT xavfsizligi mutaxassislari yangi zararli dasturni topdik - Petya (Win32.Trojan-Ransom.Petya.A). Klassik ma'noda, bu virus faqat ma'lum turdagi fayllarga kirishni to'sib qo'ygan va to'lovni talab qilgan. Virus qattiq diskdagi yuklash yozuvini o'zgartirdi, kompyuterni majburan qayta ishga tushirdi va "ma'lumotlar shifrlangan - shifrni ochish uchun pulingizni behuda sarflang" degan xabarni ko'rsatdi. Umuman olganda, viruslarni shifrlashning standart sxemasi, bundan mustasno, fayllar aslida shifrlanmagan. Eng mashhur antiviruslar Win32.Trojan-Ransom.Petya.A ni paydo bo'lganidan bir necha hafta o'tgach aniqlash va o'chirishni boshladi. Bundan tashqari, ko'rsatmalar mavjud qo'lda olib tashlash. Nega biz Petya klassik to'lov dasturi emas deb o'ylaymiz? Ushbu virus Master Boot Record-ga o'zgartirishlar kiritadi va OTni yuklanishiga to'sqinlik qiladi, shuningdek, Asosiy fayl jadvalini shifrlaydi. U fayllarni o'zi shifrlamaydi.

Biroq, bir necha hafta oldin yanada murakkab virus paydo bo'ldi Mischa, aftidan, xuddi shu scammers tomonidan yozilgan. Bu virus fayllarni shifrlaydi va shifrni hal qilish uchun 500-875 dollar toʻlashingizni talab qiladi. turli versiyalar 1,5 - 1,8 bitkoinlar). “Shifrni yechish” va uning uchun toʻlov boʻyicha koʻrsatmalar YOUR_FILES_ARE_ENCRYPTED.HTML va YOUR_FILES_ARE_ENCRYPTED.TXT fayllarida saqlanadi.

Mischa virusi – YOUR_FILES_ARE_ENCRYPTED.HTML fayli tarkibi

Endi, aslida, xakerlar foydalanuvchilarning kompyuterlarini ikkita zararli dastur bilan yuqtirishadi: Petya va Mischa. Birinchisiga tizimda administrator huquqlari kerak. Ya'ni, agar foydalanuvchi Petyaga administrator huquqlarini berishdan bosh tortsa yoki ushbu zararli dasturni qo'lda o'chirib tashlasa, Mischa aralashadi. Ushbu virus administrator huquqlarini talab qilmaydi, bu klassik shifrlovchi va aslida kuchli AES algoritmidan foydalangan holda va Master Boot Record va jabrlanuvchining qattiq diskidagi fayllar jadvaliga hech qanday o'zgartirish kiritmasdan fayllarni shifrlaydi.

Mischa zararli dasturi nafaqat standart fayl turlarini (videolar, rasmlar, taqdimotlar, hujjatlar), balki .exe fayllarni ham shifrlaydi. Virus faqat \Windows, \$Recycle.Bin, \Microsoft, \ kataloglariga ta'sir qilmaydi. Mozilla Firefox,\Opera,\ Internet Explorer, \Temp, \Local, \LocalLow va \Chrome.

INFEKTSION asosan elektron pochta orqali sodir bo'ladi, bu erda biriktirilgan fayl - virus o'rnatuvchisi bilan xat olinadi. U Soliq xizmatidan, buxgalteringizdan kelgan xat, ilova qilingan kvitansiyalar va xaridlar uchun kvitansiyalar va boshqalar sifatida shifrlanishi mumkin. Bunday harflardagi fayl kengaytmalariga e'tibor bering - agar u bajariladigan fayl (.exe) bo'lsa, unda katta ehtimollik bilan Petya\Mischa virusi bo'lgan konteyner bo'lishi mumkin. Va agar zararli dastur o'zgartirilgan bo'lsa, antivirusingiz javob bermasligi mumkin.

Yangilanish 30/06/2017: 27 iyun, Petya virusining o'zgartirilgan versiyasi (Petya.A) Ukrainadagi foydalanuvchilarga ommaviy hujum uyushtirildi. Ushbu hujumning ta'siri juda katta bo'lib, iqtisodiy zarar hali hisoblab chiqilmagan. Bir kunda o‘nlab banklar, savdo tarmoqlari, davlat idoralari va turli mulkchilik shaklidagi korxonalar ishi falaj bo‘ldi. Virus asosan ushbu dasturiy ta'minotning so'nggi avtomatik yangilanishi bilan Ukrainaning MeDoc buxgalteriya hisoboti tizimidagi zaiflik orqali tarqaldi. Bundan tashqari, virus Rossiya, Ispaniya, Buyuk Britaniya, Frantsiya va Litva kabi mamlakatlarga ta'sir ko'rsatdi.

Avtomatik tozalash vositasi yordamida Petya va Mischa virusini olib tashlang

Eksklyuziv ravishda samarali usul umuman zararli dasturlar va xususan, to'lov dasturlari bilan ishlash. Tasdiqlangan himoya kompleksidan foydalanish har qanday virusli komponentlarni to'liq aniqlashni kafolatlaydi, ularning to'liq olib tashlash bir marta bosish bilan. E'tibor bering, biz ikki xil jarayon haqida gapiramiz: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni tiklash. Biroq, tahdidni albatta yo'q qilish kerak, chunki undan foydalanadigan boshqa kompyuter troyanlarining kiritilishi haqida ma'lumotlar mavjud.

1. . Dasturiy ta'minotni ishga tushirgandan so'ng tugmani bosing Kompyuterni skanerlashni boshlang(Skanerlashni boshlang).
2. O'rnatilgan dasturiy ta'minot skanerlash paytida aniqlangan tahdidlar haqida hisobot beradi. Barcha aniqlangan tahdidlarni olib tashlash uchun variantni tanlang Tahdidlarni tuzatish(Tahdidlarni yo'q qilish). Ko'rib chiqilayotgan zararli dastur butunlay o'chiriladi.

Shifrlangan fayllarga kirishni tiklang

Ta'kidlanganidek, Mischa ransomware kuchli shifrlash algoritmi yordamida fayllarni qulflaydi, shunda shifrlangan ma'lumotlarni surish orqali tiklab bo'lmaydi. sehrli tayoqcha- agar siz eshitilmagan to'lov miqdorini to'lashni hisobga olmasangiz (ba'zan 1000 dollarga etadi). Ammo ba'zi usullar haqiqatan ham muhim ma'lumotlarni qayta tiklashga yordam beradigan qutqaruvchi bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin.

Fayllarni avtomatik tiklash dasturi (deshifrlash)

Juda noodatiy holat ma'lum. Ushbu infektsiya asl fayllarni shifrlanmagan shaklda o'chirib tashlaydi. Shunday qilib, tovlamachilik maqsadida shifrlash jarayoni ularning nusxalarini nishonga oladi. Bu o'chirilgan ob'ektlarni tiklash kabi dasturiy ta'minotni, hatto ularni olib tashlashning ishonchliligi kafolatlangan bo'lsa ham, imkon beradi. Faylni tiklash jarayoniga murojaat qilish tavsiya etiladi, uning samaradorligi shubhasizdir.

Jildlarning soyali nusxalari

Yondashuv Windows protsedurasiga asoslangan zaxira har bir tiklash nuqtasida takrorlanadigan fayllar. Ushbu usulning ishlashi uchun muhim shart: "Tizimni tiklash" funktsiyasi infektsiyadan oldin faollashtirilgan bo'lishi kerak. Biroq, tiklash nuqtasidan keyin faylga kiritilgan har qanday o'zgarishlar faylning tiklangan versiyasida ko'rinmaydi.

Zaxira

Bu barcha to'lovsiz usullar orasida eng yaxshisidir. Agar ma'lumotlarni tashqi serverga zaxiralash tartibi kompyuteringizga to'lov dasturi hujumidan oldin qo'llanilgan bo'lsa, shifrlangan fayllarni tiklash uchun siz shunchaki tegishli interfeysga kirishingiz, kerakli fayllarni tanlashingiz va zaxiradan ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. Operatsiyani amalga oshirishdan oldin, to'lov dasturi to'liq o'chirilganligiga ishonch hosil qilishingiz kerak.

Petya va Mischa ransomware-ning qoldiq komponentlari mavjudligini tekshiring

Ichkarida tozalash qo'lda rejim yashirin operatsion tizim ob'ektlari yoki ro'yxatga olish kitobi elementlari ko'rinishida olib tashlanishining oldini olishi mumkin bo'lgan to'lov dasturining alohida qismlarini yo'qotish bilan to'la. Alohida zararli elementlarning qisman saqlanish xavfini bartaraf qilish uchun kompyuteringizni zararli dasturlarga ixtisoslashgan ishonchli xavfsizlik dasturlari paketi yordamida skanerlang.

Bir qator Rossiya va Ukraina kompaniyalari Petya ransomware virusi hujumiga uchradi. Onlayn nashr sayti Kasperskiy laboratoriyasi va AGIMA interaktiv agentligi mutaxassislari bilan suhbatlashdi va korporativ kompyuterlarni viruslardan qanday himoya qilish kerakligini va Petya qanday qilib bir xil darajada taniqli kompyuterga o'xshashligini bilib oldi. WannaCry ransomware virusi.

"Petya" virusi

Rossiyada Rosneft, Bashneft, Mars, Nivea va shokolad ishlab chiqaruvchi Alpen Gold Mondelez International mavjud. Chernobil atom elektr stantsiyasining radiatsiya monitoringi tizimining to'lov dasturi virusi. Bundan tashqari, hujum Ukraina hukumati, Privatbank va aloqa operatorlarining kompyuterlariga ta'sir ko'rsatdi. Virus kompyuterlarni bloklaydi va bitkoinlarda 300 dollar to‘lashni talab qiladi.

Twitter’dagi mikroblogda Rosneft matbuot xizmati kompaniya serverlariga xakerlik hujumi haqida gapirdi. “Kompaniya serverlariga kuchli xakerlik hujumi uyushtirildi, deb umid qilamiz, buning amaldagi sud jarayoniga aloqasi yo‘q, kompaniya kiberhujum bo‘yicha huquq-tartibot idoralariga murojaat qildi”, — deyiladi xabarda.

Kompaniya matbuot kotibi Mixail Leontyevning so‘zlariga ko‘ra, Rosneft va uning sho‘ba korxonalari odatdagidek ishlamoqda. Hujumdan so'ng kompaniya neft ishlab chiqarish va qayta ishlashni to'xtatib qo'ymaslik uchun zaxira jarayonlarni boshqarish tizimiga o'tdi. Home Credit bank tizimi ham hujumga uchradi.

"Petya" "Misha"siz yuqmaydi

Ga binoan AGIMA ijrochi direktori Evgeniy Lobanov, aslida, hujum ikkita shifrlash virusi tomonidan amalga oshirildi: Petya va Misha.

"Ular birga ishlaydi" Petya "Misha" yuqtirmaydi, lekin kechagi hujum ikkita virus edi: birinchi navbatda Petya, keyin "Petya" yuklash moslamasini qayta yozadi yuklash kompyuter) va Misha ma'lum bir algoritm yordamida fayllarni shifrlaydi», - deya tushuntirdi mutaxassis. - Petya shifrlaydi yuklash sektori disk (MBR) va uni o'zi bilan almashtiradi, Misha allaqachon diskdagi barcha fayllarni shifrlaydi (har doim ham emas)."

Uning qayd etishicha, joriy yilning may oyida yirik global kompaniyalarga hujum qilgan WannaCry shifrlash virusi Petyaga o‘xshamaydi, bu yangi versiya.

“Petya.A WannaCry (aniqrog‘i WannaCrypt) oilasidandir, lekin asosiy farqi, nima uchun u bir xil virus emasligi, uning o‘rnini o‘zining yuklash sektoriga ega MBR egallaganligidir – bu Ransomware uchun yangi mahsulot. Petya virusi uzoq vaqt oldin paydo bo'lgan, GitHabda (IT-loyihalar va qo'shma dasturlash uchun onlayn xizmat - veb-sayt) https://github.com/leo-stone/hack-petya" target="_blank">deshifrlash vositasi mavjud edi. bu shifrlovchi uchun, lekin hech qanday shifrlovchi yangi modifikatsiyaga mos kelmaydi.

Evgeniy Lobanovning ta'kidlashicha, hujum Ukrainaga Rossiyadan ko'ra ko'proq zarba bergan.

"Biz boshqa G'arb davlatlariga qaraganda hujumlarga ko'proq moyilmiz. Biz virusning ushbu versiyasidan himoyalanamiz, lekin uning modifikatsiyasidan emas. Bizning internetimiz xavfli, Ukrainada bundan ham kamroq. Asosan, transport kompaniyalari, banklar, uyali aloqa operatorlari(Vodafone, Kyivstar) va tibbiyot kompaniyalari, o'sha Pharmamag, Shell yoqilg'i quyish shoxobchalari - barchasi juda yirik transkontinental kompaniyalar», - dedi u saytga bergan intervyusida.

AGIMA ijrochi direktorining taʼkidlashicha, hozircha virus tarqalishining geografik joylashuvini koʻrsatadigan faktlar yoʻq. Uning fikricha, virus Rossiyada paydo bo'lgan. Afsuski, buning to'g'ridan-to'g'ri isboti yo'q.

“Bu bizning xakerlarimiz, degan taxmin bor, chunki birinchi modifikatsiya Rossiyada paydo bo'lgan va virusning o'zi hech kimga sir bo'lmagan, bu rossiyalik xakerlarning rivojlanishi edi, ammo buni aytish qiyin Buni kim o'zgartirganligi aniq, masalan, siz Rossiyada bo'lsangiz ham, geolokatsiyaga ega kompyuterga ega bo'lish oson», - deya tushuntirdi ekspert.

"Agar kompyuteringiz to'satdan "infektsiyalangan" bo'lsa, kompyuteringizni o'chirmasligingiz kerak, agar siz qayta ishga tushsangiz, hech qachon tizimga kirmaysiz."

"Agar sizning kompyuteringiz to'satdan "infektsiyalangan" bo'lsa, siz kompyuterni o'chira olmaysiz, chunki Petya virusi MBR o'rnini egallaydi - agar siz qayta ishga tushirsangiz, tizimga qayta kirmaysiz. Bu qochish yo'llarini uzib qo'yadi, hatto "planshet" paydo bo'lsa ham, endi ma'lumotlarni qaytarib bo'lmaydi, keyin kompyuter Internetga o'tmasligi uchun siz darhol Internetdan uzishingiz kerak U allaqachon chiqarilgan, 98 foiz xavfsizlik kafolati, afsuski, hali 100 foiz emas, virusning ma'lum bir modifikatsiyasi (ularning uchta qismi) hozircha chetlab o'tmoqda ", dedi Lobanov. - Ammo, agar siz qayta ishga tushirsangiz va "diskni tekshirish" jarayoni boshlanganini ko'rsangiz, bu vaqtda siz darhol kompyuterni o'chirib qo'yishingiz kerak va fayllar shifrlanmagan holda qoladi.

Bundan tashqari, ekspert nima uchun MacOSX (Apple operatsion tizimi - veb-sayt) va Unix tizimlari emas, balki Microsoft foydalanuvchilari tez-tez hujumga uchraganini ham tushuntirib berdi.

"Bu erda nafaqat MacOSX, balki barcha Unix tizimlari haqida gapirish to'g'riroq (printsip bir xil). Virus faqat kompyuterlarga tarqaladi, ularsiz mobil qurilmalar. Operatsiya xonasi hujum ostida Windows tizimi va faqat funksiyani o'chirib qo'ygan foydalanuvchilarga tahdid soladi avtomatik yangilash tizimlari. Yangilanishlar hatto eski egalari uchun ham istisno sifatida mavjud Windows versiyalari endi yangilanmaganlar: XP, Windows 8 va Windows Server 2003”, - dedi ekspert.

"MacOSX va Unix global miqyosda bunday viruslarga sezgir emas, chunki ko'plab yirik korporatsiyalar Microsoft infratuzilmasidan foydalanadilar. MacOSX sezgir emas, chunki u davlat idoralarida keng tarqalgan emas. Buning uchun kamroq viruslar mavjud, ularni yaratish foydali emas, chunki hujum segmenti Microsoft hujumiga qaraganda kichikroq bo'ladi», - deya xulosa qildi mutaxassis.

"Hujum qilingan foydalanuvchilar soni ikki mingga yetdi"

Kasperskiy laboratoriyasi matbuot xizmatida Mutaxassislari infektsiyalarning so'nggi to'lqinini tekshirishda davom etmoqda, "bu to'lov dasturi allaqachon ma'lum bo'lgan Petya to'lov dasturlari oilasiga tegishli emas, garchi u bilan umumiy kodlar qatori mavjud bo'lsa ham".

Laboratoriya bunga amin Ushbu holatda Biz Petyadan sezilarli darajada farq qiladigan funksionallikka ega zararli dasturlarning yangi oilasi haqida gapiramiz. Kasperskiy laboratoriyasi nomini oldi yangi to'lov dasturi Expetr.

"Kasperskiy laboratoriyasi maʼlumotlariga koʻra, hujumga uchragan foydalanuvchilar soni ikki mingga yetgan. Aksariyat hodisalar Rossiya va Ukrainada qayd etilgan, infektsiyani yuqtirish hollari Polsha, Italiya, Buyuk Britaniya, Germaniya, Fransiya, AQSh va boshqa qator mamlakatlarda ham kuzatilgan. mamlakatlar. hozirgi paytda Mutaxassislarimiz ushbu zararli dastur bir nechta hujum vektorlaridan foydalanganligini ta'kidlamoqda. Aniqlanishicha, korporativ tarmoqlarda tarqatish uchun modifikatsiyalangan EternalBlue ekspluati va EternalRomance ekspluatidan foydalanilgan”, — deyiladi matbuot xizmati xabarida.

Mutaxassislar, shuningdek, ma'lumotlar shifrini ochish uchun ishlatilishi mumkin bo'lgan shifrni ochish vositasini yaratish imkoniyatini o'rganmoqda. Laboratoriya shuningdek, barcha tashkilotlarga kelajakda virus hujumining oldini olish uchun tavsiyalar berdi.

"Biz tashkilotlarga Windows operatsion tizimi uchun yangilanishlarni o'rnatishni tavsiya qilamiz. Windows XP va Windows 7 uchun ular MS17-010 xavfsizlik yangilanishini o'rnatishlari va samarali ma'lumotlarni zahiralash tizimiga ega bo'lishlarini ta'minlashlari kerak. Ma'lumotlarni o'z vaqtida va xavfsiz tarzda zahiralash imkonini beradi. Agar ular zararli dastur bilan shifrlangan bo'lsa ham, asl fayllarni qayta tiklashingiz kerak”, - maslahat berdi Kasperskiy laboratoriyasi mutaxassislari.

Laboratoriya, shuningdek, korporativ mijozlarga barcha himoya mexanizmlari faollashtirilganligiga ishonch hosil qilishni tavsiya qiladi, xususan, bulutli infratuzilmaga ulanishga ishonch hosil qiling. Kasperskiy xavfsizligi Tarmoq, qo'shimcha chora sifatida, "perfc.dat" deb nomlangan faylga barcha dastur guruhlariga kirishni (va shunga mos ravishda bajarilishini) rad etish uchun Ilova imtiyozlarini boshqarish komponentidan foydalanish tavsiya etiladi.

“Agar siz Kasperskiy laboratoriyasi mahsulotlaridan foydalanmasangiz, biz sizga perfc.dat deb nomlangan faylning bajarilishini o‘chirib qo‘yishingizni, shuningdek, Windows OS (operatsion tizim) tarkibiga kiritilgan AppLocker funksiyasidan foydalangan holda Sysinternals paketidan PSExec yordam dasturini ishga tushirishni bloklashni tavsiya qilamiz. – veb-sayt),” laboratoriyada tavsiya etilgan.

2017 yil 12 may kuni ko'pchilik - ma'lumotlarni shifrlovchi yoqilgan qattiq disklar kompyuterlar. U qurilmani bloklaydi va to'lovni talab qiladi.
Virus dunyoning oʻnlab mamlakatlaridagi tashkilot va idoralarga taʼsir koʻrsatdi, shu jumladan Rossiya Sogʻliqni saqlash vazirligi, Favqulodda vaziyatlar vazirligi, Ichki ishlar vazirligi va serverlari hujumga uchragan. uyali aloqa operatorlari va bir qancha yirik banklar.

Virus tarqalishi tasodifan va vaqtinchalik to‘xtatildi: agar xakerlar bir necha qator kodlarni o‘zgartirsa, zararli dastur yana ishlay boshlaydi. Dasturdan ko'rilgan zarar milliard dollarga baholanmoqda. Sud-lingvistik tahlildan so‘ng ekspertlar WannaCry Xitoy yoki Singapurdan kelgan odamlar tomonidan yaratilganligini aniqladilar.

Viruslar ekotizimning ajralmas qismidir operatsion tizimlar. Ko'pgina hollarda, biz Windows va Android haqida gapiramiz va agar omadingiz bo'lmasa, OS X va Linux haqida. Bundan tashqari, agar ilgari ommaviy viruslar faqat shaxsiy ma'lumotlarni o'g'irlashga va ko'p hollarda oddiygina fayllarga zarar etkazishga qaratilgan bo'lsa, endi shifrlovchilar "o'rindiqni boshqaradi".

Buning ajablanarli joyi yo'q - shaxsiy kompyuterlar va smartfonlarning hisoblash quvvati ko'chki kabi o'sdi, bu esa bunday "hazillar" uchun uskunalar tobora kuchayib borayotganini anglatadi.

Bir muncha vaqt oldin mutaxassislar Petya virusini aniqladilar. G DATA SecurityLabs virus tizimga ma'muriy kirishni talab qilishini aniqladi va u fayllarni shifrlamaydi, faqat ularga kirishni bloklaydi. Bugungi kunda Petya (Win32.Trojan-Ransom.Petya.A‘) vositalari allaqachon mavjud. Virusning o'zi tizim diskidagi yuklash yozuvini o'zgartiradi va diskdagi ma'lumotlarning buzilishi haqida xabarni ko'rsatib, kompyuterning ishdan chiqishiga olib keladi. Aslida, bu shunchaki shifrlash.

Zararli dastur ishlab chiquvchilari kirishni tiklash uchun to'lov talab qilishdi.

Biroq, bugungi kunda, Petya virusidan tashqari, yanada murakkabroq - Misha paydo bo'ldi. Unga ma'muriy huquqlar kerak emas va shifrlangan ma'lumotlarga ega disk yoki papkada YOUR_FILES_ARE_ENCRYPTED.HTML va YOUR_FILES_ARE_ENCRYPTED.TXT fayllarni yaratib, klassik Ransomware kabi ma'lumotlarni shifrlaydi. Ularda kalitni qanday olish bo'yicha ko'rsatmalar mavjud bo'lib, uning narxi taxminan 875 dollarni tashkil qiladi.

Shuni ta'kidlash kerakki, INFEKTSION elektron pochta orqali sodir bo'ladi, u pdf hujjati sifatida niqoblangan virusli exe faylini oladi. Va bu erda yana bir bor eslatib o'tish kerak - biriktirilgan fayllar bilan harflarni diqqat bilan tekshiring, shuningdek, Internetdan hujjatlarni yuklab olmaslikka harakat qiling, chunki endi virus yoki zararli so'l doc fayliga yoki veb-sahifaga joylashtirilishi mumkin.

Shuni ham ta'kidlaymizki, Misha virusining "ishini" hal qilish uchun hozircha hech qanday yordamchi dasturlar mavjud emas.

27-iyun, seshanba kuni Ukraina va Rossiya kompaniyalari yirik virus hujumi haqida xabar berishdi: korxonalardagi kompyuterlarda to‘lov xabari paydo bo‘ldi. Men xakerlar tufayli yana kim jabrlanganini va muhim ma'lumotlarni o'g'irlashdan o'zingizni qanday himoya qilishni tushundim.

Petya, kifoya

Energetika sektori birinchi bo‘lib hujumga uchradi: Ukrainaning “Ukrenergo” va “Kiyevergo” kompaniyalari virusdan shikoyat qilishdi. Hujumchilar kompyuter tizimlarini falaj qildilar, ammo bu elektr stantsiyalarining barqarorligiga ta'sir qilmadi.

Ukrainaliklar infektsiyaning oqibatlarini Internetda nashr eta boshladilar: ko'plab rasmlarga qaraganda, kompyuterlar to'lov dasturi virusi hujumiga uchragan. Ta'sir qilingan qurilmalar ekranida barcha ma'lumotlar shifrlangani va qurilma egalari Bitcoin uchun 300 dollar to'lashlari kerakligi haqida xabar paydo bo'ldi. Biroq, xakerlar harakatsizlik holatida axborot bilan nima bo‘lishini aytishmadi va hatto WannaCry virusi hujumida bo‘lgani kabi ma’lumotlar yo‘q qilinmaguncha ortga hisoblash taymerini ham o‘rnatmadi.

Ukraina Milliy banki (NBU) virus tufayli bir qancha banklar ishi qisman falaj bo‘lganini ma’lum qildi. Ukraina matbuotiga ko‘ra, hujum Oschadbank, Ukrsotsbank, Ukrgasbank va PrivatBank ofislariga ta’sir qilgan.

“Ukrtelekom”, “Borispil” aeroporti, “Ukrposhta”, “Nova pochta”, “Kievvodokanal” va Kiyev metrosining kompyuter tarmoqlari zararlangan. Bundan tashqari, virus Ukraina uyali aloqa operatorlari - Kyivstar, Vodafone va Lifecell kompaniyalariga ta'sir qildi.

Keyinroq Ukraina OAVlari gap Petya.A zararli dasturi haqida ketayotganiga aniqlik kiritishdi. U xakerlar uchun odatiy sxema bo'yicha taqsimlanadi: qurbonlarga qo'g'irchoqlar orqali biriktirilgan havolani ochishni so'ragan fishing elektron pochta xabarlari yuboriladi. Shundan so'ng, virus kompyuterga kirib, fayllarni shifrlaydi va ularni hal qilish uchun to'lov talab qiladi.

Xakerlar pul o'tkazilishi kerak bo'lgan Bitcoin hamyonining raqamini ko'rsatdi. Tranzaksiya ma'lumotlariga qaraganda, qurbonlar allaqachon 1,2 bitkoin (168 ming rubldan ortiq) o'tkazgan.

Mutaxassislarning fikriga ko'ra axborot xavfsizligi Group-IB kompaniyasidan, hujum natijasida 80 dan ortiq kompaniya zarar ko'rdi. Ularning jinoyat laboratoriyasi rahbari virus WannaCry bilan bog'liq emasligini ta'kidladi. Muammoni hal qilish uchun u 1024–1035, 135 va 445 TCP portlarini yopishni maslahat berdi.

Kim aybdor

U hujum Rossiya yoki Donbass hududidan uyushtirilgan deb taxmin qilishga shoshildi, ammo hech qanday dalil keltirmadi. Ukraina infratuzilma vaziri ko'rgan"virus" so'ziga maslahat berdi va o'zining Facebook sahifasida "uning RUS bilan tugashi tasodif emas" deb yozdi va uning taxminiga ko'z qisib kulgich qo'shdi.

Shu bilan birga, u hujum Petya va Mischa deb nomlanuvchi mavjud "zararli dastur" bilan hech qanday aloqasi yo'qligini da'vo qilmoqda. Xavfsizlik bo‘yicha ekspertlarning ta’kidlashicha, yangi to‘lqin nafaqat Ukraina va Rossiya kompaniyalariga, balki boshqa mamlakatlardagi korxonalarga ham ta’sir ko‘rsatdi.

Shunga qaramay, joriy "zararli dastur" interfeysga o'xshaydi mashhur virus Bir necha yil oldin fishing havolalari orqali tarqatilgan Petya. Dekabr oyi oxirida Petya va Mischa to'lov dasturini yaratish uchun mas'ul bo'lgan noma'lum xaker GoldenEye deb nomlangan biriktirilgan virus bilan zararlangan elektron pochta xabarlarini yuborishni boshladi. oldingi versiyalar kriptograflar.

Kadrlar bo‘limi xodimlari tez-tez kelib turadigan oddiy xat ilovasida soxta nomzod haqida ma’lumotlar bor edi. Fayllardan birida rezyumeni, ikkinchisida esa virus o'rnatuvchini topish mumkin edi. Keyin hujumchining asosiy nishonlari Germaniyadagi kompaniyalar edi. 24 soat davomida nemis kompaniyasining 160 dan ortiq xodimlari tuzoqqa tushib qolishdi.

Xakerning shaxsini aniqlashning imkoni bo‘lmadi, lekin u Bond muxlisi ekanligi aniq. Petya va Mischa dasturlari syujetda elektromagnit qurollar bo'lgan "Oltin ko'z" filmidagi "Petya" va "Misha" rus sun'iy yo'ldoshlarining nomlari.

Petyaning asl nusxasi 2016 yil aprel oyida faol ravishda tarqatila boshlandi. U o'zini kompyuterlarda mohirlik bilan kamuflyaj qildi va kengaytirilgan administrator huquqlarini talab qilib, qonuniy dasturlar sifatida namoyon bo'ldi. Faollashtirilgandan so'ng, dastur o'zini juda agressiv tutdi: to'lovni to'lash uchun qat'iy muddat belgilab, 1,3 bitkoin talab qildi va belgilangan muddatdan keyin pul kompensatsiyasini ikki baravar oshirdi.

To'g'ri, keyin Twitter foydalanuvchilaridan biri tezda to'lov dasturining zaif tomonlarini topdi va oddiy dastur yaratdi, u etti soniya ichida kompyuterni qulfdan chiqarish va hech qanday oqibatlarsiz barcha ma'lumotlarni shifrlash imkonini beruvchi kalitni yaratdi.

Birinchi marta emas

May oyining o'rtalarida butun dunyo bo'ylab kompyuterlar WannaCry nomi bilan ham tanilgan WannaCrypt0r 2.0 virusi hujumiga uchradi. Bir necha soat ichida u yuz minglab ishchilarning ishini falaj qildi Windows qurilmalari 70 dan ortiq mamlakatlarda. Qurbonlar orasida Rossiya xavfsizlik kuchlari, banklar va uyali aloqa operatorlari ham bor. Bir marta jabrlanuvchining kompyuterida virus shifrlangan qattiq disk va hujumchilarga bitkoinlarda 300 dollar yuborishni talab qildi. Fikrlash uchun uch kun ajratildi, shundan so'ng miqdor ikki baravar ko'paydi va bir hafta o'tgach, fayllar abadiy shifrlangan.

Biroq, qurbonlar to'lovni to'lashga shoshilmadilar va zararli dastur yaratuvchilari

Tasvirga mualliflik huquqi PA Rasm sarlavhasi Mutaxassislarning fikricha, yangi to'lov dasturiga qarshi kurashish WannaCry-ga qaraganda qiyinroq

27-iyun kuni ransomware butun dunyo bo‘ylab o‘nlab kompaniyalarda kompyuterlarni bloklab qo‘ydi va fayllarni shifrladi.

Ma’lum qilinishicha, Ukraina kompaniyalari eng ko‘p zarar ko‘rgan – virus yirik kompaniyalar, davlat idoralari va infratuzilma ob’yektlarining kompyuterlariga zarar yetkazgan.

Virus fayllar shifrini ochish uchun qurbonlardan 300 dollar Bitcoin talab qiladi.

BBC rus xizmati yangi tahdid haqidagi asosiy savollarga javob beradi.

Kim jabrlandi?

Virusning tarqalishi Ukrainada boshlangan. Borispol aeroporti, Ukrenergoning ayrim hududiy bo‘linmalari, do‘konlar tarmog‘i, banklar, ommaviy axborot vositalari va telekommunikatsiya kompaniyalari zarar ko‘rdi. Ukraina hukumatidagi kompyuterlar ham ishlamay qoldi.

Shundan so'ng navbat Rossiyadagi kompaniyalarga keldi: Rosneft, Bashneft, Mondelez International, Mars, Nivea va boshqalar ham virus qurboniga aylandi.

Virus qanday ishlaydi?

Mutaxassislar yangi virusning kelib chiqishi bo‘yicha haligacha konsensusga erisha olishmadi. Group-IB va Positive Technologies buni 2016 yilgi Petya virusining bir varianti sifatida ko'rishadi.

“Bu tovlamachilik dasturiy ta'minot xakerlik usullaridan ham, yordamchi dasturlardan ham, standart yordamchi dasturlardan ham foydalanadi tizim boshqaruvi, - sharhlaydi Positive Technologies axborot xavfsizligi tahdidlariga qarshi kurashish bo'limi boshlig'i Elmar Nabig'ayev. - Bularning barchasi tarmoq ichida tarqalishning yuqori tezligini va umuman epidemiyaning keng ko'lamini kafolatlaydi (agar kamida bitta bo'lsa). shaxsiy kompyuter). Natijada kompyuterning to'liq ishlamasligi va ma'lumotlarning shifrlanishi."

Ruminiyaning Bitdefender kompaniyasi GoldenEye virusi bilan ko'proq umumiylikni ko'radi, unda Petya Misha deb nomlangan boshqa zararli dastur bilan birlashtirilgan. Ikkinchisining afzalligi shundaki, u kelajakdagi qurbondan fayllarni shifrlash uchun administrator huquqlarini talab qilmaydi, balki ularni mustaqil ravishda chiqaradi.

Brayan Kambell Fujitsu va boshqa bir qator mutaxassislar bunga ishonishadi yangi virus AQSh Milliy Xavfsizlik Agentligidan o'g'irlangan o'zgartirilgan EternalBlue dasturidan foydalanadi.

Ushbu dastur 2017-yil aprel oyida The Shadow Brokers xakerlari tomonidan nashr etilgandan so'ng, uning asosida yaratilgan WannaCry ransomware virusi butun dunyoga tarqaldi.

Windows zaifliklaridan foydalanib, ushbu dastur virusni butun korporativ tarmoqdagi kompyuterlarga tarqalishiga imkon beradi. Asl Petya orqali yuborilgan elektron pochta rezyume sifatida niqoblangan va faqat rezyume ochilgan kompyuterga zarar etkazishi mumkin.

Kasperskiy laboratoriyasining Interfaksga ma’lum qilishicha, to‘lov dasturi virusi avval ma’lum bo‘lgan zararli dasturlar oilasiga tegishli emas.

“Kasperskiy laboratoriyasi dasturiy mahsulotlari ushbu zararli dasturni UDS:DangeroundObject.Multi.Generic sifatida aniqlaydi”, dedi Kasperskiy laboratoriyasining virusga qarshi tadqiqot bo‘limi rahbari Vyacheslav Zakorjevskiy.

Umuman olganda, agar siz yangi virusni ruscha nomi bilan chaqirsangiz, tashqi ko'rinishida u Frankenshteyn yirtqich hayvoniga o'xshab ko'rinishini yodda tutishingiz kerak, chunki u bir nechta zararli dasturlardan yig'ilgan. Virus 2017 yil 18 iyunda tug'ilgani aniq ma'lum.

WannaCry'dan sovuqroqmi?

WannaCry 2017 yilning may oyida tarixdagi eng yirik kiberhujumga aylanishi uchun bir necha kun kerak bo'ldi. Yangi ransomware virusi o'zidan oldingisidan oshib ketadimi?

Bir kundan kamroq vaqt ichida hujumchilar o'z qurbonlaridan 2,1 bitkoin olishdi - taxminan 5 ming dollar. WannaCry xuddi shu davrda 7 ta bitkoin to‘plagan.

Shu bilan birga, Positive Technologies kompaniyasidan Elmar Nabig‘ayevning so‘zlariga ko‘ra, yangi to‘lov dasturiga qarshi kurashish qiyinroq.

“Bu tahdid [Windows zaifligidan] foydalanishdan tashqari, maxsus xakerlik vositalari yordamida oʻgʻirlangan operatsion tizim hisoblari orqali ham tarqaladi”, — deya taʼkidladi ekspert.

Virus bilan qanday kurashish mumkin?

Profilaktik chora sifatida mutaxassislar operatsion tizimlar uchun yangilanishlarni o'z vaqtida o'rnatishni va elektron pochta orqali olingan fayllarni tekshirishni maslahat berishadi.

Murakkab ma'murlarga Server Message Block (SMB) tarmoq uzatish protokolini vaqtincha o'chirib qo'yish tavsiya etiladi.

Agar sizning kompyuterlaringiz zararlangan bo'lsa, hech qanday holatda tajovuzkorlarga pul to'lamasligingiz kerak. To'lovni qabul qilgandan so'ng, ular ko'proq talab qilishdan ko'ra, fayllarni parolini hal qilishlariga kafolat yo'q.

Faqat shifrni ochish dasturini kutishgina qoladi: WannaCry misolida uni yaratish uchun frantsuz Quarkslab kompaniyasi mutaxassisi Adrien Guinier bir hafta vaqt sarfladi.

OITSga qarshi birinchi to'lov dasturi (PC Cyborg) 1989 yilda biolog Jozef Popp tomonidan yozilgan. U 189 dollar to'lashni talab qilib, kataloglar va shifrlangan fayllarni yashirdi" litsenziyani yangilash" Panamadagi hisob raqamiga. Popp o'z aqlini floppi disklar yordamida oddiy pochta orqali tarqatib, jami 20 mingga yaqin pulni tashkil qildi.yachyuklar. Popp chekni naqd qilmoqchi bo'lganida hibsga olingan, ammo suddan qochib qutulgan - 1991 yilda u aqldan ozgan deb e'lon qilingan.