Virüsler ekosistemin ayrılmaz bir parçasıdır işletim sistemleri. Çoğu durumda, Windows ve Android'den bahsediyoruz ve tamamen şanssızsanız, OS X ve Linux'tan bahsediyoruz. Ayrıca, daha önceki toplu virüsler yalnızca kişisel verilerin çalınmasını ve çoğu durumda yalnızca dosyalara zarar vermeyi hedefliyorsa, artık şifreleyiciler "topa hükmediyor".

Ve bu şaşırtıcı değil - hem PC'lerin hem de akıllı telefonların bilgi işlem gücü bir çığ gibi arttı, bu da bu tür "şakalar" için donanımın daha güçlü hale geldiği anlamına geliyor.

Bir süre önce uzmanlar Petya virüsünü keşfetti. G DATA SecurityLabs, virüsün sisteme yönetici erişimine ihtiyacı olduğunu, ancak dosyaları şifrelemediğini, yalnızca bunlara erişimi engellediğini keşfetti. Bugün itibariyle, Petya'nın (Win32.Trojan-Ransom.Petya.A') araçları zaten var. Virüsün kendisi, sistem sürücüsündeki önyükleme kaydını değiştirir ve diskte veri bozulması hakkında bir mesaj görüntüleyerek bilgisayarın çökmesine neden olur. Aslında, bu sadece şifrelemedir.

Kötü amaçlı yazılımın geliştiricileri, erişimi geri yüklemek için ödeme talep etti.

Ancak bugüne kadar Petya virüsüne ek olarak daha da karmaşık bir virüs ortaya çıktı - Misha. Yönetici haklarına ihtiyaç duymaz ve klasik bir Ransomware gibi verileri şifreleyerek, şifrelenmiş verilerle bir diskte veya bir klasörde YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyaları oluşturur. Fiyatı yaklaşık 875 $ olan anahtarı almak için talimatlar içerirler.

Bulaşmanın, pdf belgesi kılığında virüsler içeren bir exe dosyası alan e-posta yoluyla gerçekleştiğine dikkat etmek önemlidir. Ve burada tekrar hatırlatmaya devam ediyor - ekli dosyalarla birlikte harfleri dikkatlice kontrol edin ve ayrıca internetten belge indirmemeye çalışın, çünkü artık bir virüs veya kötü amaçlı bir makro bir doc dosyasına veya bir web sayfasına gömülebilir.

Ayrıca, şu ana kadar Misha virüsünün "çalışmasının" şifresini çözmek için hiçbir yardımcı programın olmadığını da not ediyoruz.

Birkaç ay önce, biz ve diğer BT Güvenliği uzmanları yeni bir kötü amaçlı yazılım keşfettik - Petya (Win32.Trojan-Ransom.Petya.A). Klasik anlamda bir fidye yazılımı değildi, virüs sadece belirli dosya türlerine erişimi engelledi ve fidye talep etti. Virüs, sabit sürücüdeki önyükleme kaydını değiştirdi, bilgisayarı zorla yeniden başlattı ve "veriler şifrelendi - şifreyi çözmek için paranızı kovalayın" mesajını gösterdi. Genel olarak, fidye yazılımı virüslerinin standart şeması, dosyaların gerçekte şifrelenmemiş olması dışında. En popüler antivirüsler, kullanıma sunulmasından sonraki birkaç hafta içinde Win32.Trojan-Ransom.Petya.A'yı belirleyip kaldırmaya başladı. Ek olarak, aşağıdakiler için talimatlar vardır: elle kaldırma. Neden Petya'nın klasik bir fidye yazılımı olmadığını düşünüyoruz? Bu virüs, Ana Önyükleme Kaydında değişiklikler yapar ve işletim sisteminin önyüklenmesini engeller ve ayrıca Ana Dosya Tablosunu (ana dosya tablosu) şifreler. Dosyaların kendisini şifrelemez.

Ancak birkaç hafta önce daha karmaşık bir virüs ortaya çıktı. Mischa, görünüşe göre aynı dolandırıcılar tarafından yazılmış. Bu virüs dosyaları ŞİFRELEMEKTEDİR ve şifre çözme için 500 - 875 $ ödemenizi gerektirir ( farklı versiyonlar 1,5 - 1,8 bitcoin). "Şifre çözme" ve bunun için ödeme yapma talimatları YOUR_FILES_ARE_ENCRYPTED.HTML ve YOUR_FILES_ARE_ENCRYPTED.TXT dosyalarında saklanır.

Mischa virüsü - YOUR_FILES_ARE_ENCRYPTED.HTML dosyasının içeriği

Şimdi, aslında, bilgisayar korsanları kullanıcıların bilgisayarlarına iki kötü amaçlı yazılım bulaştırıyor: Petya ve Mischa. İlki, sistemde yönetici haklarına ihtiyaç duyar. Yani, bir kullanıcı Petya'ya yönetici hakları vermeyi reddederse veya bu kötü amaçlı yazılımı manuel olarak kaldırırsa, Mischa devreye girer. Bu virüs yönetici haklarına ihtiyaç duymaz, klasik bir fidye yazılımıdır ve kurbanın sabit diskindeki Ana Önyükleme Kaydında ve dosya tablosunda herhangi bir değişiklik yapmadan güçlü AES algoritmasını kullanarak dosyaları gerçekten şifreler.

Mischa kötü amaçlı yazılımı yalnızca şifrelemekle kalmaz standart tipler dosyalar (videolar, resimler, sunumlar, belgeler), aynı zamanda .exe dosyaları. Virüs yalnızca \Windows, \$Recycle.Bin, \Microsoft, \ dizinlerini etkilemez. Mozilla Firefox, \Opera, \ internet gezgini, \Temp, \Local, \LocalLow ve \Chrome.

Bulaşma, esas olarak, bir mektubun ekli bir dosyayla (bir virüs yükleyici) geldiği e-posta yoluyla gerçekleşir. Vergi Dairesi'nden, muhasebecinizden gelen bir mektup olarak, ekli makbuzlar ve satın alma makbuzları vb. olarak şifrelenebilir. Bu tür harflerdeki dosya uzantılarına dikkat edin - eğer yürütülebilir bir dosya (.exe) ise, o zaman yüksek olasılıkla Petya\Mischa virüsünü içeren bir kap olabilir. Kötü amaçlı yazılımın değişikliği yeniyse, virüsten koruma yazılımınız tepki vermeyebilir.

30.06.2017 Güncellemesi: 27 Haziran, Petya virüsünün değiştirilmiş bir versiyonu (Petya.A) Ukrayna'daki kullanıcılara toplu saldırı düzenledi. Bu saldırının etkisi çok büyüktü ve ekonomik zararı henüz hesaplanmadı. Bir günde düzinelerce bankanın, perakende zincirinin, devlet kurumunun ve çeşitli mülkiyet biçimlerine sahip işletmelerin çalışmaları felç oldu. Virüs öncelikle Ukrayna dosyalama sistemindeki bir güvenlik açığı yoluyla yayıldı. finansal tablolar MeDoc ile en son otomatik güncelleme bu yazılım. Ayrıca virüs Rusya, İspanya, İngiltere, Fransa, Litvanya gibi ülkeleri de etkiledi.

Petya ve Mischa virüsünü otomatik temizleyici ile temizleyin

Genel olarak kötü amaçlı yazılımlarla ve özel olarak da fidye yazılımlarıyla baş etmenin son derece etkili bir yöntemi. Kanıtlanmış bir güvenlik kompleksinin kullanılması, herhangi bir viral bileşenin tespitinin eksiksizliğini garanti eder; tamamen kaldırma tek bir tıklama ile. Not, Konuşuyoruz yaklaşık iki farklı işlem: enfeksiyonun kaldırılması ve PC'nizdeki dosyaların geri yüklenmesi. Bununla birlikte, diğer bilgisayar Truva Atlarının da yardımıyla ortaya çıktığına dair bilgiler olduğundan, tehdidin kesinlikle kaldırılması gerekiyor.

1. . Yazılımı başlattıktan sonra, düğmesine tıklayın Bilgisayar Taramasını Başlat(Taramayı başlat).
2. Yüklenen yazılım, tarama sırasında algılanan tehditler hakkında bir rapor sağlayacaktır. Bulunan tüm tehditleri kaldırmak için seçeneği belirleyin Tehditleri gidermek(Tehditleri kaldırmak). Söz konusu kötü amaçlı yazılım tamamen kaldırılacaktır.

Şifrelenmiş dosyalara erişimi geri yükleyin

Belirtildiği gibi, Mischa fidye yazılımı, dosyaları güçlü bir şifreleme algoritmasıyla kilitler, böylece duyulmamış bir fidye ödemesini (bazen 1.000 $ 'a kadar) hesaba katmazsanız, şifrelenmiş veriler sihirli bir değnek dalgasıyla geri yüklenemez. Ancak bazı yöntemler, önemli verileri kurtarmanıza yardımcı olacak gerçekten bir cankurtaran olabilir. Aşağıda onlara aşina olabilirsiniz.

programı otomatik kurtarma dosyalar (kod çözücü)

Çok alışılmadık bir durum biliniyor. Bu enfeksiyon yok eder kaynak dosyalarışifrelenmemiş biçimde. Zorla şifreleme işlemi bu nedenle kopyalarını hedefler. Bu, böyle bir fırsat sağlar yazılım araçları Kaldırılmalarının güvenilirliği garanti edilse bile, silinen nesnelerin nasıl geri yükleneceği. Dosya kurtarma prosedürüne başvurmanız şiddetle tavsiye edilir, etkinliği şüphesizdir.

Birim Gölge Kopyaları

Yaklaşım, Windows prosedürüne dayanmaktadır Yedek kopya her geri yükleme noktasında tekrarlanan dosyalar. Önemli bir çalışma koşulu Bu method: Sistem Geri Yükleme, bulaşmadan önce etkinleştirilmelidir. Ancak, geri yükleme noktasından sonra dosyada yapılan herhangi bir değişiklik, dosyanın geri yüklenen sürümüne yansıtılmayacaktır.

Destek olmak

Bu, tüm satın alma dışı yöntemler arasında en iyisidir. Verileri yedekleme prosedürü harici sunucu fidye yazılımı bilgisayarınıza saldırmadan önce kullanılmışsa, şifrelenmiş dosyaları kurtarmak için uygun arayüze girmeniz, gerekli dosyaları seçmeniz ve yedekten veri kurtarma mekanizmasını başlatmanız yeterlidir. İşlemi gerçekleştirmeden önce, fidye yazılımının tamamen kaldırıldığından emin olmanız gerekir.

Olası kalıntı Petya ve Mischa fidye yazılımı bileşenlerini kontrol edin

temizlik manuel mod işletim sisteminin gizli nesneleri veya kayıt defteri girdileri biçiminde kaldırılmasını önleyebilecek bireysel fidye yazılımı parçalarının ihmal edilmesiyle doludur. Tek tek kötü amaçlı öğelerin kısmen korunma riskini ortadan kaldırmak için güvenilir bir güvenlik kullanarak bilgisayarınızı tarayın. yazılım paketi kötü amaçlı yazılım konusunda uzman.

27 Haziran Salı günü Ukrayna ve Rus şirketleri büyük bir virüs saldırısı bildirdi: işletmelerdeki bilgisayarlar fidye talep eden bir mesaj görüntüledi. Bilgisayar korsanları yüzünden kimin acı çektiğini ve önemli verilerin çalınmasından nasıl korunacağını bir kez daha anladım.

Peter, yeter

İlk saldırıya uğrayan enerji sektörü oldu: Ukraynalı şirketler Ukrenergo ve Kyivenergo virüsten şikayet etti. Davetsiz misafirler onları felç etti bilgisayar sistemleri, ancak bu santrallerin stabilitesini etkilemedi.

Ukraynalılar ağdaki enfeksiyonun sonuçlarını yayınlamaya başladılar: çok sayıda fotoğrafa bakılırsa, bilgisayarlara bir fidye yazılımı virüsü saldırdı. Etkilenen cihazların ekranında, tüm verilerin şifrelendiğini ve cihaz sahiplerinin bitcoin cinsinden 300 dolarlık bir fidye ödemesi gerektiğini belirten bir mesaj belirdi. Aynı zamanda bilgisayar korsanları, hareketsizlik durumunda bilgilere ne olacağını söylemedi ve WannaCry virüs saldırısında olduğu gibi veriler yok olana kadar bir geri sayım sayacı bile kurmadı.

Ukrayna Ulusal Bankası (NBU), virüs nedeniyle birkaç bankanın çalışmalarının kısmen felç olduğunu bildirdi. Ukrayna medyasına göre saldırı Oschadbank, Ukrsotsbank, Ukrgasbank ve PrivatBank ofislerini etkiledi.

enfekte oldu bilgisayar ağları"Ukrtelecom", havaalanı "Borispol", "Ukrposhta", " Yeni posta”, “Kyivvodokanal” ve Kiev Metrosu. Ek olarak, virüs Ukraynalı mobil operatörleri - Kyivstar, Vodafone ve Lifecell'i de vurdu.

Daha sonra Ukrayna medyası bunun Petya.A kötü amaçlı yazılımı olduğunu açıkladı. Bilgisayar korsanları için olağan şemaya göre dağıtılır: sahtekarlardan kurbanlara gömülü bir bağlantıyı açmalarını isteyen kimlik avı e-postaları gönderilir. Bundan sonra virüs bilgisayara girer, dosyaları şifreler ve şifrelerinin çözülmesi için fidye talep eder.

Bilgisayar korsanları, paranın transfer edilmesi gereken bitcoin cüzdanlarının numarasını belirtti. İşlemlerle ilgili bilgilere bakılırsa, kurbanlar şimdiden 1,2 bitcoin (168 bin rubleden fazla) transfer ettiler.

uzmanlarına göre bilgi Güvenliği Group-IB'den 80'den fazla şirket saldırıdan etkilendi. Suç laboratuvarlarının başkanı, virüsün WannaCry ile ilgili olmadığını belirtti. Sorunu çözmek için 1024–1035, 135 ve 445 numaralı TCP bağlantı noktalarını kapatmayı önerdi.

kim suçlu

Saldırının Rusya veya Donbass topraklarından organize edildiğini varsaymak için acele etti, ancak herhangi bir kanıt sunmadı. Ukrayna Altyapı Bakanı testere"virüs" kelimesini ima etti ve Facebook'ta "RUS'ta bitmesi tesadüf değil" yazdı ve tahminini göz kırpan bir ifadeyle sağladı.

Bu arada, saldırının Petya ve Mischa olarak bilinen mevcut "kötü amaçlı yazılım" ile hiçbir ilgisi olmadığını iddia ediyor. Güvenlik yetkilileri, yeni dalganın sadece Ukraynalı ve Rus şirketleri değil, diğer ülkelerdeki işletmeleri de vurduğunu iddia ediyor.

Bununla birlikte, arayüz açısından mevcut "kötü amaçlı yazılım", birkaç yıl önce kimlik avı bağlantılarıyla dağıtılan, iyi bilinen Petya virüsüne benziyor. Aralık ayının sonunda, Petya ve Mischa fidye yazılımını oluşturan kimliği belirsiz bilgisayar korsanı, GoldenEye adlı gömülü bir virüsle virüslü e-postalar göndermeye başladı. önceki sürümler kriptograflar.

Ekli normal mektup personel departmanı çalışanları tarafından sıklıkla alınan , sahte bir aday hakkında bilgiler içeriyordu. Dosyalardan birinde gerçekten bir özet ve diğerinde bir virüs yükleyici bulunabilir. Ardından saldırganın asıl hedefi Almanya'daki şirketlerdi. Gün boyunca Alman şirketinin 160'tan fazla çalışanı tuzağa düştü.

Hacker'ı hesaplamak mümkün olmadı ancak Bond hayranı olduğu aşikar. Petya ve Mischa programları - isimler Rus uyduları Olay örgüsüne göre "Altın Göz" (Altın Göz) filminden "Petya" ve "Misha" elektromanyetik silahlardı.

Petya'nın orijinal versiyonu, Nisan 2016'da aktif olarak dağıtılmaya başlandı. Kendini bilgisayarlarda ustaca gizledi ve genişletilmiş yönetici hakları talep ederek meşru programlar gibi göründü. Aktivasyondan sonra program son derece agresif davrandı: fidyeyi ödemek için 1.3 bitcoin talep ederek zor bir son tarih belirledi ve son tarihten sonra parasal tazminatı ikiye katladı.

Doğru, o zaman Twitter kullanıcılarından biri hızla gaspçının zayıflıklarını buldu ve yarattı basit bir program, yedi saniye içinde bilgisayarın kilidini açmanıza ve tüm verilerin şifresini herhangi bir sonuç olmadan çözmenize izin veren bir anahtar oluşturdu.

ilk defa değil

Mayıs ayı ortasında, dünyanın dört bir yanındaki bilgisayarlara benzer bir fidye yazılımı virüsü olan WannaCrypt0r 2.0 (WannaCry olarak da bilinir) tarafından saldırıya uğradı. Sadece birkaç saat içinde yüzbinlerce işçinin işini felç etti. Windows cihazları 70'den fazla ülkede. Kurbanlar arasında Rus kolluk kuvvetleri, bankalar ve mobil operatörler. Virüs kurbanın bilgisayarına girdikten sonra şifrelenir HDD ve saldırganlardan 300 dolarlık bitcoin göndermelerini istedi. Düşünmek için üç gün ayrıldı, ardından miktar iki katına çıktı ve bir hafta sonra dosyalar sonsuza kadar şifrelendi.

Ancak kurbanlar fidyeyi aktarmak için acele etmediler ve "kötü amaçlı yazılımın" yaratıcıları

Görüntü telif hakkı PA Resim yazısı Uzmanlar, yeni fidye yazılımıyla mücadelenin WannaCry'dan daha zor olduğunu söylüyor

27 Haziran'da, fidye yazılımı dünya çapında düzinelerce şirkette bilgisayarları ve şifrelenmiş dosyaları engelledi.

En çok Ukraynalı şirketlerin zarar gördüğü bildirildi - virüs büyük şirketlerin, devlet kurumlarının ve altyapı tesislerinin bilgisayarlarına bulaştı.

Virüs, dosyaların şifresini çözmek için kurbanların bitcoin olarak 300 dolar ödemesini gerektiriyor.

BBC Rus servisi, yeni tehditle ilgili temel soruları yanıtlıyor.

Kim yaralandı?

Virüsün yayılması Ukrayna'da başladı. Boryspil havaalanı, Ukrenergo'nun bazı bölgesel bölümleri, zincir mağazalar, bankalar, medya ve telekomünikasyon şirketleri etkilendi. Ukrayna hükümetindeki bilgisayarlar da kapatıldı.

Bunu takiben sıra Rusya'daki şirketlere geldi: Rosneft, Bashneft, Mondelez International, Mars, Nivea ve diğerleri de virüsün kurbanı oldu.

Bir virüs nasıl çalışır?

Uzmanlar, yeni virüsün kökeni konusunda henüz bir fikir birliğine varamadı. Group-IB ve Positive Technologies bunu 2016 Petya virüsünün bir varyasyonu olarak görüyor.

"Şantaj yazılım Positive Technologies'de bilgi güvenliğine yönelik tehditlere yanıt vermekten sorumlu departman başkanı Elmar Nabigaev, hem bilgisayar korsanı yöntemlerini ve yardımcı programları hem de standart sistem yönetimi yardımcı programlarını kullandığını söylüyor. - Tüm bu garantiler yüksek hız ağ içindeki dağılımı ve bir bütün olarak salgının kitlesel doğası (en az bir kişisel bilgisayar). Sonuç, bilgisayarın tamamen çalışamaz hale gelmesi ve veri şifrelemesidir."

Rumen şirketi Bitdefender, Petya'yı Misha adlı başka bir kötü amaçlı yazılımla eşleştiren GoldenEye virüsü ile daha çok ortak nokta görüyor. İkincisinin avantajı, dosyaları şifrelemek için gelecekteki kurbandan yönetici hakları gerektirmemesi, ancak bunları kendi başına çıkarmasıdır.

Brian Campbell Fujitsu'dan ve bir dizi başka uzman, yeni virüs Ajanstan çalınan kullanımlar Ulusal Güvenlik Amerika Birleşik Devletleri, değiştirilmiş bir EternalBlue programı.

Bu programın bilgisayar korsanları The Shadow Brokers tarafından Nisan 2017'de yayınlanmasının ardından, temelinde oluşturulan WannaCry fidye yazılımı virüsü tüm dünyaya yayıldı.

Bu program, Windows güvenlik açıklarından yararlanarak virüsün tüm bilgisayarlara yayılmasını sağlar. Şirket ağı. Orijinal Petya şu yolla gönderildi: e-posta bir özgeçmiş kisvesi altında ve yalnızca bu özgeçmişin açıldığı bilgisayara bulaşabilir.

Kaspersky Lab, Interfax'a fidye yazılımı virüsünün daha önce bilinen kötü amaçlı yazılım ailelerine ait olmadığını söyledi.

Kaspersky Lab anti-virüs araştırma departmanı başkanı Vyacheslav Zakorzhevsky, "Kaspersky Lab'in yazılım ürünleri bu kötü amaçlı yazılımı UDS:DangeroundObject.Multi.Generic olarak algılıyor." dedi.

Genel olarak, yeni bir virüse Rus adıyla hitap ederseniz, birkaç kişiden toplandığı için dışarıdan daha çok Frankenstein'ın canavarına benzediğini aklınızda bulundurmanız gerekir. kötü amaçlı yazılım. Virüsün 18 Haziran 2017'de doğduğu kesin olarak biliniyor.

WannaCry'dan daha mı iyi?

WannaCry'ın Mayıs 2017'de tarihindeki türünün en büyük siber saldırısı statüsüne ulaşması sadece birkaç gün sürdü. Yeni fidye yazılımı, yakın zamandaki öncülünü geride bırakacak mı?

Saldırganlar bir günden kısa bir süre içinde kurbanlarından 2.1 bitcoin - yaklaşık 5.000$ - aldı. WannaCry, aynı dönemde 7 bitcoin topladı.

Aynı zamanda, Positive Technologies'den Elmar Nabigaev'e göre yeni gaspçıyla savaşmak daha zor.

Uzman, "[Windows'taki güvenlik açığı] açığına ek olarak, bu tehdit özel bilgisayar korsanlığı araçları kullanılarak çalınan işletim sistemi hesapları kullanılarak da yayılıyor" dedi.

Virüsle nasıl başa çıkılır?

Önleyici bir önlem olarak uzmanlar, işletim sistemleri için güncellemelerin zamanında yüklenmesini ve e-posta ile alınan dosyaların kontrol edilmesini tavsiye ediyor.

Gelişmiş yöneticilere, Sunucu İleti Bloğu (SMB) ağ iletişim protokolünü geçici olarak devre dışı bırakmaları önerilir.

Bilgisayarlara virüs bulaşmışsa, hiçbir durumda saldırganlara ödeme yapmayın. Ödeme aldıklarında dosyaların şifresini çözeceklerinin ve daha fazlasını talep etmeyeceklerinin garantisi yoktur.

Sadece şifre çözücüyü beklemek kalır: WannaCry söz konusu olduğunda, Fransız Quarkslab uzmanı Adrien Guignet'in onu yaratması bir hafta sürdü.

İlk AIDS fidye yazılımı (PC Cyborg), 1989 yılında biyolog Joseph Popp tarafından yazılmıştır. 189 dolar talep ederek dizinleri ve şifreli dosyaları sakladı." Lisans yenilemesi" Panama'daki bir hesaba. Popp beyin çocuğunu disketler kullanarak normal posta yoluyla dağıttı ve toplamda yaklaşık 20 bin yaptı.hücreGidiş. Popp çek bozdurmaya çalışırken gözaltına alındı, ancak mahkemeden kaçtı - 1991'de deli ilan edildi.