Vírusy sú neoddeliteľnou súčasťou ekosystému operačné systémy. Vo väčšine prípadov hovoríme o Windowse a Androide a ak máte naozaj smolu, tak o OS X a Linuxe. Navyše, ak boli predtým masové vírusy zamerané iba na krádež osobných údajov a vo väčšine prípadov jednoducho na poškodenie súborov, teraz „vládnu šifry“.

A to nie je prekvapujúce - výpočtová sila počítačov a smartfónov rástla ako lavína, čo znamená, že hardvér pre takéto „žarty“ je čoraz výkonnejší.

Pred časom odborníci objavili vírus Petya. G DATA SecurityLabs zistili, že vírus vyžaduje administratívny prístup do systému a súbory nešifruje, ale iba blokuje prístup k nim. Dnes už existujú prostriedky od Petya (Win32.Trojan-Ransom.Petya.A‘). Samotný vírus upraví zavádzací záznam na systémovej jednotke a spôsobí zlyhanie počítača, pričom zobrazí hlásenie o poškodení údajov na disku. V skutočnosti je to len šifrovanie.

Vývojári škodlivého softvéru požadovali platbu za obnovenie prístupu.

Dnes sa však okrem vírusu Petya objavil ešte sofistikovanejší - Misha. Nepotrebuje administrátorské práva a šifruje dáta ako klasický Ransomware, pričom na disku alebo v priečinku so zašifrovanými dátami vytvára súbory YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT. Obsahujú návod, ako získať kľúč, ktorý stojí približne 875 dolárov.

Je dôležité poznamenať, že infekcia sa vyskytuje prostredníctvom e-mailu, ktorý dostane súbor exe s vírusmi, ktorý sa vydáva za dokument PDF. A tu je potrebné opäť pripomenúť - starostlivo skontrolujte písmená s pripojenými súbormi a tiež sa snažte nesťahovať dokumenty z internetu, pretože teraz môže byť vírus alebo škodlivé makro vložené do súboru doc ​​alebo webovej stránky.

Poznamenávame tiež, že zatiaľ neexistujú žiadne nástroje na dešifrovanie „práca“ vírusu Misha.

Pred niekoľkými mesiacmi sme spolu s ďalšími odborníkmi na IT bezpečnosť objavili nový malvér – Petya (Win32.Trojan-Ransom.Petya.A). V klasickom zmysle to nebol šifrovač, vírus jednoducho zablokoval prístup k určitým typom súborov a požadoval výkupné. Vírus upravil zavádzací záznam na pevnom disku, násilne reštartoval počítač a ukázal správu, že „údaje sú zašifrované – zbytočne míňajte peniaze na dešifrovanie“. Vo všeobecnosti ide o štandardnú schému šifrovacích vírusov, okrem toho, že súbory v skutočnosti NEBOLI šifrované. Najpopulárnejšie antivírusy začali identifikovať a odstraňovať Win32.Trojan-Ransom.Petya.A niekoľko týždňov po jeho objavení. Okrem toho je tam návod na manuálne odstránenie. Prečo si myslíme, že Petya nie je klasický ransomvér? Tento vírus robí zmeny v hlavnom zavádzacom zázname a zabraňuje načítaniu operačného systému a tiež šifruje hlavnú tabuľku súborov. Nešifruje samotné súbory.

Pred pár týždňami sa však objavil sofistikovanejší vírus Mišo, zrejme napísali tí istí podvodníci. Tento vírus ŠIFRUJE súbory a vyžaduje, aby ste zaplatili 500 – 875 USD za dešifrovanie (v rôzne verzie 1,5 – 1,8 bitcoinov). Pokyny na „dešifrovanie“ a platbu zaň sú uložené v súboroch YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – obsah súboru YOUR_FILES_ARE_ENCRYPTED.HTML

Teraz v skutočnosti hackeri infikujú počítače používateľov dvoma malvérmi: Petya a Mischa. Prvý potrebuje administrátorské práva v systéme. To znamená, že ak používateľ odmietne udeliť Petyovi administrátorské práva alebo tento malvér manuálne vymaže, Mischa sa do toho zapojí. Tento vírus nevyžaduje administrátorské práva, je to klasický šifrovač a v skutočnosti šifruje súbory pomocou silného algoritmu AES a bez akýchkoľvek zmien v hlavnom zavádzacom zázname a tabuľke súborov na pevnom disku obete.

Mischa malvér nielen šifruje štandardné typy súbory (videá, obrázky, prezentácie, dokumenty), ale aj súbory .exe. Vírus neovplyvňuje iba adresáre \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ internet Explorer, \Temp, \Local, \LocalLow a \Chrome.

K infekcii dochádza predovšetkým prostredníctvom e-mailu, kde je doručený list s priloženým súborom – inštalátor vírusu. Môže byť zašifrovaný listom od daňovej služby, od vášho účtovníka, ako priložené potvrdenky a potvrdenia o nákupoch atď. Dávajte pozor na prípony súborov v takýchto písmenách - ak ide o spustiteľný súbor (.exe), potom s vysokou pravdepodobnosťou môže ísť o kontajner s vírusom Petya\Mischa. A ak je zmena škodlivého softvéru nedávna, váš antivírus nemusí reagovať.

Aktualizácia 30.06.2017: 27. júna upravená verzia vírusu Petya (Petya.A) masívne napádal užívateľov na Ukrajine. Účinok tohto útoku bol obrovský a ekonomické škody ešte neboli vyčíslené. V jeden deň bola paralyzovaná práca desiatok bánk, obchodných reťazcov, vládnych agentúr a podnikov rôznych foriem vlastníctva. Vírus sa šíril predovšetkým prostredníctvom zraniteľnosti v ukrajinskom doručovacom systéme finančné výkazy MeDoc s najnovším automatická aktualizácia tohto softvéru. Okrem toho vírus zasiahol krajiny ako Rusko, Španielsko, Veľká Británia, Francúzsko a Litva.

Odstráňte vírus Petya a Mischa pomocou automatického čističa

Mimoriadne efektívna metóda práce s malvérom vo všeobecnosti a ransomvérom zvlášť. Použitie osvedčeného ochranného komplexu zaručuje dôkladnú detekciu akýchkoľvek vírusových zložiek, ich úplné odstránenie jedným kliknutím. Poznámka, hovoríme o o dvoch rôznych procesoch: odinštalovanie infekcie a obnovenie súborov v počítači. Hrozbu je však určite potrebné odstrániť, pretože existujú informácie o zavedení ďalších počítačových trójskych koní, ktoré ju používajú.

1. . Po spustení softvéru kliknite na tlačidlo Spustite kontrolu počítača(Začnite skenovať).
2. Nainštalovaný softvér poskytne správu o hrozbách zistených počas kontroly. Ak chcete odstrániť všetky zistené hrozby, vyberte túto možnosť Opravte hrozby(odstrániť hrozby). Príslušný malvér bude úplne odstránený.

Obnovte prístup k šifrovaným súborom

Ako už bolo poznamenané, ransomvér Mischa uzamkne súbory pomocou silného šifrovacieho algoritmu, takže šifrované údaje nie je možné obnoviť mávnutím čarovného prútika – bez zaplatenia neslýchaného výkupného (niekedy dosahujúceho až 1 000 USD). Niektoré metódy však môžu byť skutočne záchranou, ktorá vám pomôže obnoviť dôležité údaje. Nižšie sa s nimi môžete zoznámiť.

Program automatické obnovenie súbory (decryptor)

Je známa veľmi nezvyčajná okolnosť. Táto infekcia sa vymaže zdrojové súbory v nezašifrovanej podobe. Proces šifrovania na účely vydierania sa tak zameriava na ich kópie. To poskytuje príležitosť na to softvér ako obnoviť vymazané predmety, aj keď je zaručená spoľahlivosť ich odstránenia. Dôrazne sa odporúča uchýliť sa k postupu obnovy súborov.

Tieňové kópie zväzkov

Tento prístup je založený na postupe Windows Rezervovať kópiu súbory, čo sa opakuje v každom bode obnovy. Dôležitý pracovný stav túto metódu: Pred infekciou musí byť aktivovaná funkcia „Obnovenie systému“. Akékoľvek zmeny v súbore vykonané po bode obnovenia sa však v obnovenej verzii súboru nezobrazia.

Zálohovanie

Toto je najlepšia zo všetkých metód bez výkupného. Ak je postup zálohovania údajov externý server bol použitý pred útokom ransomvéru na váš počítač, na obnovenie zašifrovaných súborov stačí vstúpiť do príslušného rozhrania, vybrať potrebné súbory a spustiť mechanizmus obnovy dát zo zálohy. Pred vykonaním operácie sa musíte uistiť, že ransomvér je úplne odstránený.

Skontrolujte možnú prítomnosť zvyškových komponentov ransomvéru Petya a Mischa

Upratovanie v manuálny mód je plná vynechania jednotlivých fragmentov ransomvéru, ktoré sa môžu vyhnúť odstráneniu vo forme skrytých objektov operačného systému alebo prvkov registra. Aby ste eliminovali riziko čiastočného zadržania jednotlivých škodlivých prvkov, skenujte počítač pomocou spoľahlivého bezpečnostného softvéru. softvérový balík, špecializujúca sa na malvér.

V utorok 27. júna ukrajinský a Ruské spoločnosti ohlásil masívny vírusový útok: počítače v podnikoch zobrazili správu o výkupnom. Prišiel som na to, kto opäť trpel kvôli hackerom a ako sa chrániť pred krádežou dôležitých údajov.

Peťo, to stačí

Ako prvý bol napadnutý energetický sektor: na vírus sa sťažovali ukrajinské spoločnosti Ukrenergo a Kyivenergo. Útočníci ich paralyzovali počítačové systémy, ale to neovplyvnilo stabilitu elektrární.

Ukrajinci začali zverejňovať následky infekcie online: súdiac podľa mnohých obrázkov, počítače boli napadnuté vírusom ransomware. Na obrazovke dotknutých zariadení vyskočila správa, že všetky dáta sú zašifrované a majitelia zariadení musia zaplatiť výkupné 300 dolárov v bitcoinoch. Hackeri však nepovedali, čo sa stane s informáciami v prípade nečinnosti, a dokonca nenastavili ani odpočítavanie času, kým budú dáta zničené, ako to bolo v prípade útoku vírusom WannaCry.

Ukrajinská národná banka (NBÚ) informovala, že v dôsledku vírusu bola čiastočne paralyzovaná práca viacerých bánk. Podľa ukrajinských médií útok zasiahol kancelárie Oschadbank, Ukrsotsbank, Ukrgasbank a PrivatBank.

boli infikovaní počítačové siete"Ukrtelecom", letisko "Borispol", "Ukrposhta", " Nová pošta“, „Kievvodokanal“ a kyjevské metro. Okrem toho vírus zasiahol ukrajinských mobilných operátorov - Kyivstar, Vodafone a Lifecell.

Neskôr ukrajinské médiá objasnili, že hovoríme o malvéri Petya.A. Distribuuje sa podľa bežnej schémy pre hackerov: obetiam sa posielajú phishingové e-maily od figurín, ktoré ich žiadajú, aby otvorili priložený odkaz. Potom vírus prenikne do počítača, zašifruje súbory a za ich dešifrovanie požaduje výkupné.

Hackeri uviedli číslo svojej bitcoinovej peňaženky, na ktorú by mali byť peniaze prevedené. Súdiac podľa informácií o transakcii, obete už previedli 1,2 bitcoinov (viac ako 168 tisíc rubľov).

Podľa odborníkov na informačná bezpečnosť zo spoločnosti Group-IB bolo v dôsledku útoku postihnutých viac ako 80 spoločností. Vedúci ich kriminálneho laboratória poznamenal, že vírus nesúvisí s WannaCry. Na vyriešenie problému odporučil zatvoriť porty TCP 1024–1035, 135 a 445.

Kto je vinný

Ponáhľala sa predpokladať, že útok bol organizovaný z územia Ruska alebo Donbasu, no nepredložila žiadne dôkazy. Minister infraštruktúry Ukrajiny videl vodítko v slove „vírus“ a na svojom Facebooku napísal, že „nie je náhoda, že to končí v RUS“, pričom k svojmu odhadu pridal žmurkajúci emotikon.

Medzitým tvrdí, že útok v žiadnom prípade nesúvisí s existujúcim „malvérom“ známym ako Petya a Mischa. Bezpečnostní experti tvrdia, že nová vlna zasiahla nielen ukrajinské a ruské spoločnosti, ale aj podniky v iných krajinách.

Rozhranie súčasného „malvéru“ však pripomína známy vírus Petya, ktorý bol pred niekoľkými rokmi distribuovaný prostredníctvom phishingových odkazov. Neznámy hacker zodpovedný za vytvorenie ransomvéru Petya a Mischa začal koncom decembra posielať infikované e-maily s pripojeným vírusom s názvom GoldenEye, ktorý bol identický s predchádzajúce verzie kryptografov.

Pripojený k obyčajný list, ktoré zamestnanci HR oddelenia často dostávali, obsahovali informácie o falošnom kandidátovi. V jednom zo súborov je možné nájsť životopis av ďalšom inštalátor vírusu. Potom boli hlavnými cieľmi útočníka firmy v Nemecku. V priebehu 24 hodín padlo do pasce viac ako 160 zamestnancov nemeckej spoločnosti.

Identifikovať hackera sa nepodarilo, no je zrejmé, že ide o fanúšika Bonda. Programy Petya a Mischa - mená Ruské satelity„Petya“ a „Misha“ z filmu „Golden Eye“, ktoré boli v zápletke elektromagnetickými zbraňami.

Pôvodná verzia Petya sa začala aktívne distribuovať v apríli 2016. Zručne sa maskoval na počítačoch a vystupoval ako legitímne programy, ktoré požadovali rozšírené práva správcu. Po aktivácii sa program správal mimoriadne agresívne: stanovil prísny termín na zaplatenie výkupného, ​​požadoval 1,3 bitcoinov a po termíne zdvojnásobil peňažnú kompenzáciu.

Je pravda, že potom jeden z používateľov Twitteru rýchlo našiel slabiny ransomvéru a vytvoril jednoduchý program, ktorý za sedem sekúnd vygeneroval kľúč, ktorý vám umožnil odomknúť počítač a dešifrovať všetky dáta bez akýchkoľvek následkov.

Nie po prvý raz

V polovici mája napadol počítače po celom svete podobný ransomvérový vírus WannaCrypt0r 2.0, známy aj ako WannaCry. Len za pár hodín ochromil prácu státisícov robotníkov Zariadenia so systémom Windows vo viac ako 70 krajinách. Medzi obeťami boli ruské bezpečnostné zložky, banky a mobilných operátorov. Keď sa vírus dostal do počítača obete, zašifroval sa HDD a požadovali poslať útočníkom 300 dolárov v bitcoinoch. Na rozmyslenie boli vyčlenené tri dni, po ktorých sa suma zdvojnásobila a po týždni boli súbory navždy zašifrované.

Obete sa však neponáhľali zaplatiť výkupné a tvorcovia škodlivého softvéru

Autorské práva na ilustráciu PA Popis obrázku Podľa odborníkov je boj s novým ransomvérom náročnejší ako WannaCry

27. júna ransomvér uzamkol počítače a zašifroval súbory v desiatkach spoločností po celom svete.

Uvádza sa, že najviac utrpeli ukrajinské spoločnosti - vírus infikoval počítače veľkých spoločností, vládnych agentúr a infraštruktúrnych zariadení.

Vírus požaduje od obetí 300 dolárov v bitcoinoch na dešifrovanie súborov.

Ruská služba BBC odpovedá na hlavné otázky o novej hrozbe.

Kto bol zranený?

Šírenie vírusu sa začalo na Ukrajine. Zasiahnuté bolo letisko Boryspil, niektoré regionálne divízie Ukrenerga, obchodné reťazce, banky, médiá a telekomunikačné spoločnosti. Pokazili sa aj počítače v ukrajinskej vláde.

Potom prišli na rad spoločnosti v Rusku: obeťami vírusu sa stali aj Rosneft, Bashneft, Mondelеz International, Mars, Nivea a ďalšie.

Ako vírus funguje?

Odborníci zatiaľ nedospeli ku konsenzu o pôvode nového vírusu. Group-IB a Positive Technologies to vidia ako variant vírusu Petya z roku 2016.

„Toto je vydieranie softvér využíva hackerské metódy a nástroje, ako aj štandardné nástroje na správu systému,“ komentuje Elmar Nabigaev, vedúci oddelenia reakcie na hrozby informačnej bezpečnosti v spoločnosti Positive Technologies. - Toto všetko zaručuje vysoká rýchlosťšírenie v rámci siete a masívnosť epidémie ako celku (ak je aspoň jedna osobný počítač). Výsledkom je úplná nefunkčnosť počítača a šifrovanie údajov.“

Rumunská spoločnosť Bitdefender vidí viac spoločného s vírusom GoldenEye, v ktorom je Petya kombinovaný s ďalším malvérom s názvom Misha. Výhodou toho druhého je, že od budúcej obete nevyžaduje administrátorské práva na šifrovanie súborov, ale extrahuje ich nezávisle.

Brian Cambell z Fujitsu a rad ďalších odborníkov sa domnievajú nový vírus používa ukradnuté peniaze z agentúry Národná bezpečnosť USA, upravený program EternalBlue.

Po zverejnení tohto programu hackermi The Shadow Brokers v apríli 2017 sa ransomvérový vírus WannaCry vytvorený na jeho základe rozšíril do celého sveta.

Pomocou zraniteľností systému Windows tento program umožňuje šírenie vírusu do počítačov firemná sieť. Pôvodná Petya bola odoslaná cez e-mail zamaskovaný ako životopis a mohol infikovať iba počítač, kde bol životopis otvorený.

Spoločnosť Kaspersky Lab pre Interfax uviedla, že vírus ransomware nepatrí do predtým známych rodín škodlivého softvéru.

„Softvérové ​​produkty Kaspersky Lab detegujú tento malvér ako UDS:DangeroundObject.Multi.Generic,“ poznamenal Vyacheslav Zakorzhevsky, vedúci oddelenia výskumu antivírusov v Kaspersky Lab.

Vo všeobecnosti, ak nazvete nový vírus jeho ruským menom, musíte mať na pamäti, že vzhľadom vyzerá skôr ako Frankensteinovo monštrum, pretože je zostavený z niekoľkých malvér. Je isté, že vírus sa narodil 18. júna 2017.

Chladnejšie ako WannaCry?

WannaCry trvalo len niekoľko dní v máji 2017, kým sa stal najväčším kybernetickým útokom svojho druhu v histórii. Prekoná nový ransomware vírus svojho nedávneho predchodcu?

Za necelý deň dostali útočníci od svojich obetí 2,1 bitcoinu – asi 5-tisíc dolárov. WannaCry za rovnaké obdobie nazbieralo 7 bitcoinov.

Zároveň je podľa Elmara Nabigaeva z Positive Technologies náročnejšie bojovať s novým ransomvérom.

„Okrem zneužitia [zraniteľnosti Windowsu] sa táto hrozba šíri aj prostredníctvom účtov operačného systému ukradnutých pomocou špeciálnych hackerských nástrojov,“ poznamenal expert.

Ako proti vírusu bojovať?

Ako preventívne opatrenie odborníci odporúčajú včasnú inštaláciu aktualizácií operačných systémov a kontrolu súborov prijatých e-mailom.

Pokročilým správcom sa odporúča dočasne deaktivovať sieťový prenosový protokol Server Message Block (SMB).

Ak sú vaše počítače infikované, za žiadnych okolností by ste nemali platiť útočníkom. Neexistuje žiadna záruka, že akonáhle dostanú platbu, dešifrujú súbory namiesto toho, aby požadovali viac.

Ostáva už len počkať na dešifrovací program: v prípade WannaCry trvalo jeho vytvorenie Adrienovi Guinierovi, špecialistovi z francúzskej spoločnosti Quarkslab, týždeň.

Prvý ransomvér proti AIDS (PC Cyborg) napísal biológ Joseph Popp v roku 1989. Skryla adresáre a zašifrované súbory a požadovala za to platbu 189 dolárov" Obnovenie licencie" na účet v Paname. Popp distribuoval svoje duchovné dieťa pomocou diskiet bežnou poštou, čím bolo spolu asi 20 tis.jachtazásielky. Poppa zadržali pri pokuse o preplatenie šeku, ale súdu sa vyhol – v roku 1991 ho vyhlásili za nepríčetného.