Bir neçə ay əvvəl biz və digər İT Təhlükəsizlik mütəxəssisləri yeni zərərli proqram aşkarladıq - Petya (Win32.Trojan-Ransom.Petya.A). Klassik mənada o, şifrələyici deyildi; virus sadəcə girişi blokladı müəyyən növlər faylları və fidyə tələb etdi. Virus sabit diskdəki yükləmə qeydini dəyişdirdi, kompüteri məcburi şəkildə yenidən başladın və "məlumatlar şifrələndi - şifrəni açmaq üçün pulunuzu boş yerə xərcləyin" mesajı göstərdi. Ümumiyyətlə, şifrələmə viruslarının standart sxemi, faylların əslində şifrələnməməsi istisna olmaqla. Ən məşhur antiviruslar Win32.Trojan-Ransom.Petya.A-nı göründükdən bir neçə həftə sonra müəyyən etməyə və silməyə başladı. Bundan əlavə, əl ilə çıxarılması üçün təlimatlar ortaya çıxdı. Nə üçün Petyanın klassik ransomware olmadığını düşünürük? Bu virus Master Boot Record-da dəyişikliklər edir və OS-nin yüklənməsinin qarşısını alır, həmçinin Master Fayl Cədvəlini şifrələyir. O, faylların özlərini şifrələmir.

Ancaq bir neçə həftə əvvəl daha mürəkkəb bir virus ortaya çıxdı Mischa, görünür, eyni fırıldaqçılar tərəfindən yazılmışdır. Bu virus faylları ŞİFRELƏR və şifrənin açılması üçün 500 - 875 $ ödəmənizi tələb edir (müxtəlif versiyalarda 1.5 - 1.8 bitcoins). “Şifrənin açılması” və bunun üçün ödəniş üçün təlimatlar YOUR_FILES_ARE_ENCRYPTED.HTML və YOUR_FILES_ARE_ENCRYPTED.TXT fayllarında saxlanılır.

Mischa virus – YOUR_FILES_ARE_ENCRYPTED.HTML faylının məzmunu

İndi əslində hakerlər istifadəçilərin kompüterlərini iki zərərli proqramla yoluxdururlar: Petya və Mischa. Birincisi sistemdə administrator hüquqlarına ehtiyac duyur. Yəni istifadəçi Petya admin hüquqlarını verməkdən imtina edərsə və ya bu zərərli proqramı əl ilə silirsə, Mischa işə qarışır. Bu virus administrator hüquqlarını tələb etmir, klassik şifrələyicidir və həqiqətən faylları təhlükəsiz şəkildə şifrələyir AES alqoritmi və Master Boot Record-a və qurbanın sabit diskindəki fayl cədvəlinə heç bir dəyişiklik etmədən.

Mischa zərərli proqramı yalnız standart fayl növlərini (videolar, şəkillər, təqdimatlar, sənədlər) deyil, həm də .exe fayllarını şifrələyir. Virus təkcə \Windows, \$Recycle.Bin, \Microsoft, \ qovluqlarına təsir etmir. Mozilla Firefox,\Opera,\ internet Explorer, \Temp, \Local, \LocalLow və \Chrome.

İnfeksiya ilk növbədə elektron poçt vasitəsilə baş verir, burada məktub əlavə edilmiş fayl - virus quraşdırıcısı ilə alınır. O, Vergi Xidmətindən, mühasibinizdən məktubla, əlavə edilmiş qəbzlər və alışlar üçün qəbzlər və s. kimi şifrələnə bilər. Belə hərflərlə fayl uzantılarına diqqət yetirin - əgər bu icra edilə bilən fayldırsa (.exe), o zaman böyük ehtimalla Petya\Mischa virusu olan konteyner ola bilər. Zərərli proqramın modifikasiyası yenidirsə, antivirusunuz cavab verməyə bilər.

Yeniləmə 06/30/2017: 27 iyun Petya virusunun dəyişdirilmiş versiyası (Petya.A) Ukraynada istifadəçilərə kütləvi hücum olub. Bu hücumun təsiri çox böyük idi və iqtisadi zərər hələ hesablanmayıb. Bir gündə onlarla bankın, pərakəndə satış şəbəkəsinin, dövlət qurumunun və müxtəlif mülkiyyət formasında olan müəssisələrin işi iflic olub. Virus əsasən bu proqram təminatının ən son avtomatik yenilənməsi ilə Ukraynanın MeDoc mühasibat uçotu sistemindəki boşluq vasitəsilə yayılıb. Bundan əlavə, virus Rusiya, İspaniya, Böyük Britaniya, Fransa və Litva kimi ölkələrə də təsir edib.

Avtomatik təmizləyicidən istifadə edərək Petya və Mischa virusunu çıxarın

Eksklüziv olaraq təsirli üsulümumiyyətlə zərərli proqram və xüsusən də ransomware ilə işləmək. Sübut edilmiş qoruyucu kompleksin istifadəsi hər hansı bir viral komponentin hərtərəfli aşkarlanmasına zəmanət verir, onların tam çıxarılması bir kliklə. Nəzərə alın ki, söhbət iki fərqli prosesdən gedir: infeksiyanın silinməsi və kompüterinizdə faylların bərpası. Bununla belə, təhlükəni mütləq aradan qaldırmaq lazımdır, çünki ondan istifadə edən digər kompüter troyanlarının tətbiqi haqqında məlumatlar var.

1. . Proqramı işə saldıqdan sonra düyməni basın Kompüter Skanını başladın(Skanlamağa başlayın).
2. Quraşdırılmış proqram təminatı skan zamanı aşkar edilmiş təhlükələr haqqında hesabat təqdim edəcək. Bütün aşkar edilmiş təhlükələri aradan qaldırmaq üçün seçimi seçin Təhdidləri düzəldin(Təhlükələri aradan qaldırın). Sözügedən zərərli proqram tamamilə silinəcək.

Şifrələnmiş fayllara girişi bərpa edin

Qeyd edildiyi kimi, Mischa ransomware güclü şifrələmə alqoritmindən istifadə edərək faylları kilidləyir ki, şifrlənmiş verilənləri sehrli çubuq dalğası ilə bərpa etmək mümkün olmasın - eşidilməyən fidyə məbləğini ödəmək (bəzən 1000 dollara çatır). Ancaq bəzi üsullar həqiqətən vacib məlumatları bərpa etməyə kömək edəcək xilasedici ola bilər. Aşağıda onlarla tanış ola bilərsiniz.

Avtomatik fayl bərpa proqramı (şifrə açıcı)

Çox qeyri-adi bir vəziyyət məlumdur. Bu infeksiya orijinal faylları şifrələnməmiş formada silir. Qəsb məqsədləri üçün şifrələmə prosesi beləliklə onların surətlərini hədəf alır. Bu, belə bir fürsət yaradır proqram təminatı silinmiş obyektləri necə bərpa etmək olar, hətta onların çıxarılmasının etibarlılığına zəmanət verilir. Faylın bərpası proseduruna müraciət etmək çox tövsiyə olunur, onun effektivliyi şübhə doğurmur.

Cildlərin kölgə nüsxələri

Bu yanaşma Windows proseduruna əsaslanır Ehtiyat surəti hər bərpa nöqtəsində təkrarlanan fayllar. Bu metodun işləməsi üçün vacib şərt: "Sistem Geri Yükləmə" funksiyası infeksiyadan əvvəl aktivləşdirilməlidir. Bununla belə, bərpa nöqtəsindən sonra faylda edilən hər hansı dəyişiklik faylın bərpa edilmiş versiyasında görünməyəcək.

Yedəkləmə

Bu, bütün fidyəsiz üsullar arasında ən yaxşısıdır. Xarici serverə məlumatların ehtiyat nüsxəsinin çıxarılması proseduru kompüterinizə ransomware hücumundan əvvəl istifadə olunubsa, şifrələnmiş faylları bərpa etmək üçün sadəcə müvafiq interfeysə daxil olmaq kifayətdir. zəruri fayllar və ehtiyat nüsxədən məlumat bərpa mexanizmini işə salın. Əməliyyatı yerinə yetirməzdən əvvəl ransomware proqramının tamamilə silindiyinə əmin olmalısınız.

Petya və Mischa ransomware proqramının qalıq komponentlərinin mümkün olub olmadığını yoxlayın

Əl ilə təmizləmə, gizli obyektlər kimi silinməkdən qaça biləcək fərdi fidyə proqramı hissələrini itirmə riski daşıyır əməliyyat sistemi və ya reyestr elementləri. Fərdi zərərli elementlərin qismən saxlanması riskini aradan qaldırmaq üçün zərərli proqram təminatında ixtisaslaşmış etibarlı təhlükəsizlik proqram paketindən istifadə edərək kompüterinizi skan edin.

Viruslar əməliyyat sistemi ekosisteminin ayrılmaz hissəsidir. Əksər hallarda biz Windows və Android-dən, həqiqətən də şanssızsınızsa, OS X və Linux-dan danışırıq. Üstəlik, əgər əvvəllər kütləvi viruslar yalnız şəxsi məlumatları oğurlamağa, əksər hallarda isə sadəcə faylları zədələməyə yönəlirdisə, indi şifrələyicilər “yeri idarə edir”.

Və bu təəccüblü deyil - həm fərdi kompüterlərin, həm də smartfonların hesablama gücü uçqun kimi artdı, bu da belə "zarafatlar" üçün avadanlıqların getdikcə daha güclü olması deməkdir.

Bir müddət əvvəl mütəxəssislər Petya virusunu aşkar etdilər. G DATA SecurityLabs müəyyən edib ki, virus sistemə inzibati giriş tələb edir və o, faylları şifrələmir, sadəcə onlara girişi bloklayır. Bu gün Petyadan (Win32.Trojan-Ransom.Petya.A‘) vasitələr artıq mövcuddur. Virus özü sistem sürücüsündə açılış qeydini dəyişdirir və kompüterin çökməsinə səbəb olur, diskdə məlumatların pozulması haqqında mesaj göstərilir. Əslində, bu sadəcə şifrələmədir.

Zərərli proqram tərtibatçıları girişi bərpa etmək üçün ödəniş tələb ediblər.

Ancaq bu gün Petya virusuna əlavə olaraq daha mürəkkəb bir virus ortaya çıxdı - Misha. O, inzibati hüquqlara ehtiyac duymur və klassik Ransomware kimi məlumatları şifrələyir, diskdə və ya şifrələnmiş data ilə qovluqda YOUR_FILES_ARE_ENCRYPTED.HTML və YOUR_FILES_ARE_ENCRYPTED.TXT faylları yaradır. Onların içərisində açarın necə əldə ediləcəyi ilə bağlı təlimatlar var ki, bu da təxminən 875 dollardır.

Qeyd etmək lazımdır ki, yoluxma e-poçt vasitəsilə baş verir, hansı ki, pdf sənədi kimi maskalanan viruslarla exe faylı alır. Və burada bir daha xatırlatmaq qalır - əlavə edilmiş faylları olan məktubları diqqətlə yoxlayın, həmçinin sənədləri İnternetdən yükləməməyə çalışın, çünki indi bir virus və ya zərərli makro sənəd faylına və ya veb səhifəsinə daxil edilə bilər.

Onu da qeyd edirik ki, bu günə qədər Misha virusunun "işini" deşifrə etmək üçün heç bir kommunal proqram yoxdur.

Viruslar əməliyyat sistemi ekosisteminin ayrılmaz hissəsidir. Əksər hallarda biz Windows və Android-dən, həqiqətən də şanssızsınızsa, OS X və Linux-dan danışırıq. Üstəlik, əgər əvvəllər kütləvi viruslar yalnız şəxsi məlumatları oğurlamağa, əksər hallarda isə sadəcə faylları zədələməyə yönəlirdisə, indi şifrələyicilər “yeri idarə edir”.

Və bu təəccüblü deyil - həm fərdi kompüterlərin, həm də smartfonların hesablama gücü uçqun kimi artdı, bu da belə "zarafatlar" üçün avadanlıqların getdikcə daha güclü olması deməkdir.

Bir müddət əvvəl mütəxəssislər Petya virusunu aşkar etdilər. G DATA SecurityLabs müəyyən edib ki, virus sistemə inzibati giriş tələb edir və o, faylları şifrələmir, sadəcə onlara girişi bloklayır. Bu gün Petyadan (Win32.Trojan-Ransom.Petya.A‘) vasitələr artıq mövcuddur. Virus özü sistem sürücüsündə açılış qeydini dəyişdirir və kompüterin çökməsinə səbəb olur, diskdə məlumatların pozulması haqqında mesaj göstərilir. Əslində, bu sadəcə şifrələmədir.

Zərərli proqram tərtibatçıları girişi bərpa etmək üçün ödəniş tələb ediblər.

Ancaq bu gün Petya virusuna əlavə olaraq daha mürəkkəb bir virus ortaya çıxdı - Misha. O, inzibati hüquqlara ehtiyac duymur və klassik Ransomware kimi məlumatları şifrələyir, diskdə və ya şifrələnmiş data ilə qovluqda YOUR_FILES_ARE_ENCRYPTED.HTML və YOUR_FILES_ARE_ENCRYPTED.TXT faylları yaradır. Onların içərisində açarın necə əldə ediləcəyi ilə bağlı təlimatlar var ki, bu da təxminən 875 dollardır.

Qeyd etmək lazımdır ki, yoluxma e-poçt vasitəsilə baş verir, hansı ki, pdf sənədi kimi maskalanan viruslarla exe faylı alır. Və burada bir daha xatırlatmaq qalır - əlavə edilmiş faylları olan məktubları diqqətlə yoxlayın, həmçinin sənədləri İnternetdən yükləməməyə çalışın, çünki indi bir virus və ya zərərli makro sənəd faylına və ya veb səhifəsinə daxil edilə bilər.

Onu da qeyd edirik ki, bu günə qədər Misha virusunun "işini" deşifrə etmək üçün heç bir kommunal proqram yoxdur.

İllüstrasiya müəllif hüququ PAŞəkil başlığı Ekspertlərin fikrincə, yeni ransomware ilə mübarizə WannaCry-dən daha çətindir

İyunun 27-də ransomware bütün dünyada onlarla şirkətdə kompüterləri və faylları şifrələdi.

Bildirilir ki, ən çox Ukrayna şirkətləri zərər çəkib - virus iri şirkətlərin, dövlət qurumlarının və infrastruktur obyektlərinin kompüterlərini yoluxdurub.

Virus faylların şifrəsini açmaq üçün qurbanlardan 300 dollar Bitcoin tələb edir.

BBC Rus xidməti yeni təhlükə ilə bağlı əsas suallara cavab verir.

Kim incidi?

Virusun yayılması Ukraynada başlayıb. Boryspol hava limanı, Ukrenerqonun bəzi regional bölmələri, mağazalar şəbəkəsi, banklar, media və telekommunikasiya şirkətləri zərər çəkib. Ukrayna hökumətindəki kompüterlər də sıradan çıxıb.

Bundan sonra növbə Rusiyadakı şirkətlərə çatdı: Rosneft, Bashneft, Mondelеz International, Mars, Nivea və başqaları da virusun qurbanı oldular.

Virus necə işləyir?

Mütəxəssislər yeni virusun mənşəyi ilə bağlı hələlik konsensusa gələ bilməyiblər. Group-IB və Positive Technologies bunu 2016-cı ildə Petya virusunun bir variantı kimi görür.

“Bu ransomware həm hakerlik üsullarından, həm də kommunal proqramlardan istifadə edir və standart kommunal xidmətlər sistem administrasiyası, - təhdidlərə cavab departamentinin rəhbəri şərh edir informasiya təhlükəsizliyi Pozitiv Texnologiyalar Elmar Nəbiqayev. - Bütün bunlar zəmanət verir yüksək sürətşəbəkə daxilində yayılması və bütövlükdə epidemiyanın kütləviliyi (ən azı bir fərdi kompüter yoluxmuşdursa). Nəticə kompüterin tam işləməməsi və məlumatların şifrələnməsidir”.

Rumıniyanın Bitdefender şirkəti Petyanın Misha adlı başqa bir zərərli proqramla birləşdirildiyi GoldenEye virusu ilə daha çox ortaq cəhət görür. Sonuncunun üstünlüyü ondan ibarətdir ki, o, gələcək qurbandan faylları şifrələmək üçün administrator hüquqlarını tələb etmir, lakin onları müstəqil şəkildə çıxarır.

Brian Cambell Fujitsu və bir sıra digər ekspertlər hesab edirlər ki, yeni virus ABŞ Milli Təhlükəsizlik Agentliyindən oğurlanmış dəyişdirilmiş EternalBlue proqramından istifadə edir.

2017-ci ilin aprelində The Shadow Brokers hakerləri tərəfindən bu proqramı dərc etdikdən sonra onun əsasında yaradılmış WannaCry ransomware virusu bütün dünyaya yayıldı.

Windows boşluqlarından istifadə edərək, bu proqram virusun bütün korporativ şəbəkədəki kompüterlərə yayılmasına imkan verir. Orijinal Petya vasitəsilə göndərildi e-poçt CV kimi maskalanmış və yalnız CV-nin açıldığı kompüterə yoluxa bilər.

Kaspersky Lab-dan İnterfax-a bildiriblər ki, ransomware virusu əvvəllər məlum olan zərərli proqram ailələrinə aid deyil proqram təminatı.

“Kaspersky Lab proqram məhsulları bu zərərli proqramı UDS:DangeroundObject.Multi.Generic kimi aşkar edir”, Kaspersky Laboratoriyasının antivirus tədqiqat şöbəsinin rəhbəri Vyaçeslav Zakorzhevski qeyd edib.

Ümumiyyətlə, yeni virusu rusca adı ilə çağırırsınızsa, nəzərə almaq lazımdır ki, o, bir neçə növdən yığıldığı üçün zahirən daha çox Frankenşteyn canavarına bənzəyir. zərərli proqram. Virusun 18 iyun 2017-ci ildə doğulduğu dəqiq məlumdur.

Şəkil başlığı Virus faylların şifrəsini açmaq və kompüterinizin kilidini açmaq üçün 300 dollar tələb edir.

WannaCry-dən daha sərin?

WannaCry-nin 2017-ci ilin may ayında tarixdə ən böyük kiberhücum olmasına cəmi bir neçə gün lazım oldu. Yeni ransomware virusu son sələfini ötəcəkmi?

Təcavüzkarlar bir gündən az müddətdə qurbanlarından 2,1 bitkoin alıblar - təxminən 5 min dollar. WannaCry eyni müddət ərzində 7 bitkoin toplayıb.

Eyni zamanda, Positive Technologies-dən Elmar Nəbiqayevin sözlərinə görə, yeni ransomware ilə mübarizə aparmaq daha çətindir.

“[Windows zəifliyindən] istifadə etməklə yanaşı, bu təhlükə xüsusi haker alətləri vasitəsilə oğurlanmış əməliyyat sistemi hesabları vasitəsilə də yayılır”, - ekspert qeyd edib.

Virusla necə mübarizə aparmalı?

Mütəxəssislər qabaqlayıcı tədbir olaraq əməliyyat sistemləri üçün yeniləmələri vaxtında quraşdırmağı və elektron poçtla alınan faylları yoxlamağı məsləhət görürlər.

Qabaqcıl idarəçilərə Server Mesaj Bloku (SMB) şəbəkə ötürmə protokolunu müvəqqəti olaraq söndürmək tövsiyə olunur.

Kompüterləriniz yoluxmuşdursa, heç bir halda təcavüzkarlara pul ödəməməlisiniz. Ödəniş aldıqdan sonra daha çox tələb etmək əvəzinə faylların şifrəsini açacaqlarına zəmanət yoxdur.

Yalnız şifrənin açılması proqramını gözləmək qalır: WannaCry-də onu yaratmaq üçün Fransanın Quarkslab şirkətinin mütəxəssisi Adrien Guinierə bir həftə vaxt lazım idi.

İlk QİÇS ransomware proqramı (PC Cyborg) 1989-cu ildə bioloq Cozef Popp tərəfindən yazılmışdır. O, qovluqları və şifrələnmiş faylları gizlədib, bunun üçün 189 dollar ödəməyi tələb edib" lisenziyanın yenilənməsi" Panamadakı hesaba. Popp öz beynini disketlərdən istifadə edərək adi poçt vasitəsilə yayaraq cəmi 20 minə yaxın pul qazandırdı.yachdaşımalar. Popp çeki nağdlaşdırmaq istəyərkən saxlanıldı, lakin məhkəmədən yayındı - 1991-ci ildə o, dəli elan edildi.

Bir sıra Rusiya və Ukrayna şirkətləri Petya ransomware virusunun hücumuna məruz qalıb. Onlayn nəşr saytı Kaspersky Laboratoriyası və AGIMA interaktiv agentliyinin mütəxəssisləri ilə danışdı və korporativ kompüterləri viruslardan necə qorumağı və Petyanın eyni dərəcədə tanınmış kompüterlərə necə bənzədiyini öyrəndi. WannaCry ransomware virusu.

Virus "Petya"

Rusiyada Rosneft, Bashneft, Mars, Nivea və Alpen Gold şokolad istehsalçısı Mondelez International var. Çernobıl Atom Elektrik Stansiyasının radiasiya monitorinqi sisteminin ransomware virusu. Bundan əlavə, hücum Ukrayna hökumətinin, Privatbankın və telekommunikasiya operatorlarının kompüterlərinə də təsir edib. Virus kompüterləri kilidləyir və bitkoinlərlə 300 dollar fidyə tələb edir.

“Rosneft”in mətbuat xidməti “Twitter” mikrobloqunda şirkətin serverlərinə haker hücumundan danışıb. "Şirkətin serverlərinə güclü haker hücumu həyata keçirilib. Ümid edirik ki, bunun hazırkı məhkəmə prosesləri ilə heç bir əlaqəsi yoxdur. Şirkət kiberhücumla bağlı hüquq-mühafizə orqanları ilə əlaqə saxlayıb", - mesajda deyilir.

Şirkətin mətbuat katibi Mixail Leontyevin sözlərinə görə, Rosneft və onun törəmə şirkətləri normal rejimdə işləyirlər. Hücumdan sonra şirkət neft hasilatı və emalı dayandırılmaması üçün ehtiyat prosesə nəzarət sisteminə keçib. Home Credit bank sisteminə də hücum edilib.

"Petya" "Misha" olmadan yoluxmaz

görə AGİMA-nın icraçı direktoru Yevgeni Lobanov, əslində hücum iki şifrələmə virusu tərəfindən həyata keçirilib: Petya və Misha.

"Onlar birlikdə işləyirlər. "Petya" "Mişa"sız yoluxmaz. O, yoluxdura bilər, amma dünənki hücum iki virus oldu: əvvəlcə Petya, sonra Mişa. "Petya" yükləmə qurğusunu (kompüterin yükləndiyi yer) və Mişa yenidən yazır. – “müəyyən bir alqoritmdən istifadə edərək faylları şifrələyir” deyə mütəxəssis izah etdi, “Petya diskin yükləmə sektorunu (MBR) şifrələyir və onu özününkü ilə əvəz edir, Mişa artıq diskdəki bütün faylları şifrələyir (həmişə deyil).

O qeyd edib ki, bu ilin may ayında böyük qlobal şirkətlərə hücum edən WannaCry şifrələmə virusu Petyaya bənzəmir, bu, yeni versiyadır.

“Petya.A WannaCry (daha doğrusu WannaCrypt) ailəsindəndir, lakin onun eyni virus olmamasının əsas fərqi onun öz yükləmə sektoru ilə MBR ilə əvəzlənməsidir – bu Ransomware üçün yeni məhsuldur. Petya virusu uzun müddət əvvəl, GitHab-da (İT layihələri və birgə proqramlaşdırma üçün onlayn xidmət - veb sayt) https://github.com/leo-stone/hack-petya" target="_blank">deşifrə var idi. bu şifrələyici üçün, lakin heç bir deşifrəçi yeni modifikasiya üçün uyğun deyil.

Yevgeni Lobanov vurğulayıb ki, hücum Rusiyadan daha çox Ukraynaya dəyib.

"Biz digər Qərb ölkələrinə nisbətən hücumlara daha çox həssasıq. Biz virusun bu versiyasından qorunacağıq, lakin onun modifikasiyalarından yox. İnternetimiz təhlükəlidir, Ukraynada isə daha az təhlükəlidir. Əsasən, nəqliyyat şirkətləri, banklar, mobil operatorlar(Vodafone, Kyivstar) və tibb şirkətləri, eyni Pharmamag, Shell yanacaqdoldurma məntəqələri - hamısı çox böyük transkontinental şirkətlər”, - o, sayta müsahibəsində bildirib.

AGİMA-nın icraçı direktoru qeyd edib ki, hələlik virusun yayılmasının coğrafi mövqeyini göstərən faktlar yoxdur. Onun fikrincə, virus guya Rusiyada yaranıb. Təəssüf ki, bunun birbaşa sübutu yoxdur.

"Bir ehtimal var ki, bunlar bizim hakerlərdir, çünki ilk modifikasiya Rusiyada yaranıb və heç kimə sirr olmayan virusun özü də Petro Poroşenkonun adını daşıyır. Bu, rus hakerlərinin inkişafı idi, lakin bunu demək çətindir. Bunu daha da kim dəyişib.Aydındır ki, siz Rusiyada olsanız belə, məsələn, ABŞ-da geolokasiyaya malik kompüterə sahib olmaq asandır”, - ekspert izah edib.

"Kompüteriniz birdən-birə "yoluxmuşsa", siz kompüterinizi söndürməməlisiniz. Yenidən başlasanız, bir daha daxil olmayacaqsınız."

"Kompüteriniz birdən-birə "yoluxmuş"sa, siz kompüteri söndürə bilməzsiniz, çünki Petya virusu əməliyyat sisteminin yükləndiyi ilk yükləmə sektoru olan MBR-ni əvəz edir. Yenidən başlasanız, bir daha sistemə daxil olmayacaqsınız. Bu, qaçış yollarını kəsəcək, hətta "planşet" kimi görünsə belə, məlumatları geri qaytarmaq mümkün olmayacaq. Bundan sonra, kompüterin onlayn işləməməsi üçün dərhal İnternetdən ayrılmalısınız. Microsoft-dan rəsmi yamaq. Artıq buraxılıb, 98 faiz təhlükəsizlik zəmanəti verir. Təəssüf ki, hələ 100 faiz deyil. O, virusun müəyyən modifikasiyasından (onların üçü) hələlik yan keçir”, – Lobanov tövsiyə edib. – Bununla belə, əgər siz yenidən başlasanız və “diski yoxlamaq” prosesinin başladığını görsəniz, bu zaman dərhal kompüteri söndürməlisiniz və fayllar şifrələnməmiş qalacaq.

Bundan əlavə, ekspert niyə MacOSX (Apple əməliyyat sistemi - vebsayt) və Unix sistemlərinə deyil, Microsoft istifadəçilərinə daha çox hücum edildiyini də izah edib.

"Burada təkcə MacOSX haqqında deyil, həm də bütün Unix sistemləri haqqında danışmaq daha düzgündür (prinsip eynidir). Virus yalnız kompüterlərə yayılır. mobil cihazlar. Əməliyyat otağı hücuma məruz qalır Windows sistemi və yalnız funksiyanı söndürən istifadəçiləri təhdid edir avtomatik yeniləmə sistemləri. Yeniləmələr hətta köhnə sahibləri üçün də istisna olaraq mövcuddur Windows versiyaları daha yenilənməyənlər: XP, Windows 8 və Windows Server 2003”, - ekspert bildirib.

"MacOSX və Unix qlobal miqyasda belə viruslara həssas deyil, çünki bir çox iri korporasiyalar Microsoft infrastrukturundan istifadə edirlər. MacOSX həssas deyil, çünki dövlət qurumlarında o qədər də geniş yayılmır. Bunun üçün daha az virus var, onları hazırlamaq sərfəli deyil, çünki hücum seqmenti Microsoft hücumundan daha kiçik olacaq”, - deyə mütəxəssis yekunlaşdırıb.

“Hücuma məruz qalan istifadəçilərin sayı iki minə çatıb”

Kaspersky Lab-ın mətbuat xidmətində Mütəxəssisləri yoluxmaların son dalğasını araşdırmağa davam edən , "bu fidyə proqramı, bir neçə ümumi kod xəttinə malik olsa da, artıq məlum olan Petya fidyə proqramı ailəsinə aid deyil" dedi.

Laboratoriya əmindir ki, bu halda söhbət Petyadan xeyli fərqli funksionallığı olan yeni zərərli proqramlar ailəsindən gedir. “Kaspersky Lab” şirkəti yeni ransomware proqramını “ExPetr” adlandırıb.

"Kaspersky Laboratoriyasının məlumatına görə, hücuma məruz qalan istifadəçilərin sayı iki minə çatıb. Ən çox insident Rusiya və Ukraynada qeydə alınıb; yoluxma halları Polşa, İtaliya, Böyük Britaniya, Almaniya, Fransa, ABŞ və bir sıra digər ölkələrdə də müşahidə olunub. Hazırda ekspertlərimiz təklif edirlər ki, "bu zərərli proqram bir neçə hücum vektorundan istifadə edib. Müəyyən edilib ki, korporativ şəbəkələrdə yayılması üçün dəyişdirilmiş EternalBlue istismarı və EternalRomance istismarından istifadə edilib".

Mütəxəssislər həmçinin məlumatların şifrəsini açmaq üçün istifadə oluna biləcək deşifrə alətinin yaradılması imkanlarını araşdırırlar. Laboratoriya həmçinin gələcəkdə virus hücumundan qaçmaq üçün bütün təşkilatlara tövsiyələr verib.

"Biz təşkilatlara Windows yeniləmələrini quraşdırmağı tövsiyə edirik. Windows XP və Windows 7 üçün onlar MS17-010 təhlükəsizlik yeniləməsini quraşdırmalı və effektiv məlumat ehtiyat sisteminə malik olmasını təmin etməlidirlər. Məlumatların vaxtında və təhlükəsiz şəkildə ehtiyat nüsxəsinin çıxarılması bərpa etməyə imkan verir. orijinal fayllar, hətta onlar zərərli proqramla şifrələnmiş olsalar belə”, – Kaspersky Laboratoriyası mütəxəssisləri məsləhət gördülər.

onun üçün korporativ müştərilərə Laboratoriya həmçinin bütün qorunma mexanizmlərinin işə salınmasını, xüsusən də Kaspersky Security Network bulud infrastrukturuna qoşulmasını təmin etməyi tövsiyə edir; əlavə tədbir olaraq, bütün proqram qruplarını qadağan etmək üçün Tətbiq İmtiyazına Nəzarət komponentindən istifadə etmək tövsiyə olunur. "perfc.dat" adlı fayla daxil olmaq (və müvafiq olaraq icra etmək) və s.

“Əgər siz Kaspersky Lab məhsullarından istifadə etmirsinizsə, sizə perfc.dat adlı faylın icrasını söndürməyi, həmçinin Windows ƏS-ə (əməliyyat sistemi) daxil olan AppLocker funksiyasından istifadə edərək Sysinternals paketindən PSExec yardım proqramının işə salınmasını blok etməyi tövsiyə edirik. – vebsayt),” laboratoriyada tövsiyə olunur.

12 may 2017-ci il çoxları – məlumat şifrələyicisi aktivdir sabit disklər kompüterlər. O, cihazı bloklayır və fidyə ödəməyi tələb edir.
Virus dünyanın onlarla ölkəsində, o cümlədən Rusiyada Səhiyyə Nazirliyi, Fövqəladə Hallar, Daxili İşlər Nazirliyi və serverlərə hücum edilən təşkilat və idarələrə təsir edib. mobil operatorlar və bir neçə böyük bank.

Virusun yayılması təsadüfən və müvəqqəti olaraq dayandırıldı: əgər hakerlər sadəcə bir neçə sətir kodu dəyişsəydilər, zərərli proqram yenidən işləməyə başlayacaqdı. Proqramdan dəyən ziyan bir milyard dollar qiymətləndirilir. Məhkəmə-linqvistik analizdən sonra ekspertlər müəyyən ediblər ki, WannaCry Çin və ya Sinqapurdan olan insanlar tərəfindən yaradılıb.