Néhány hónappal ezelőtt más IT-biztonsági szakemberekkel együtt egy új rosszindulatú programot fedeztünk fel - Petya (Win32.Trojan-Ransom.Petya.A). A klasszikus értelemben nem titkosító volt, a vírus egyszerűen blokkolta a hozzáférést bizonyos fajták aktákat és váltságdíjat követelt. A vírus módosította a merevlemezen lévő rendszerindítási rekordot, erőszakkal újraindította a számítógépet, és üzenetet mutatott, hogy „az adatok titkosítva vannak – pazarolja a pénzét a visszafejtésre”. Általában a szabványos titkosítási séma a vírusok, kivéve, hogy a fájlok valójában NEM voltak titkosítva. A legnépszerűbb vírusirtó néhány héttel a megjelenése után elkezdte azonosítani és eltávolítani a Win32.Trojan-Ransom.Petya.A fájlt. Ezenkívül megjelentek a kézi eltávolításra vonatkozó utasítások. Miért gondoljuk, hogy a Petya nem egy klasszikus ransomware? Ez a vírus módosítja a Master Boot Record-ot, és megakadályozza az operációs rendszer betöltését, valamint titkosítja a Master File Table-t is. Magukat a fájlokat nem titkosítja.

Néhány héttel ezelőtt azonban megjelent egy kifinomultabb vírus Mischa, nyilván ugyanazok a csalók írták. Ez a vírus TITKOSÍTOJA a fájlokat, és 500-875 dollárt kell fizetnie a visszafejtésért különböző verziók 1,5-1,8 bitcoin). A „visszafejtésre” és a fizetésre vonatkozó utasításokat a YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájl tartalmazza.

Mischa vírus – a YOUR_FILES_ARE_ENCRYPTED.HTML fájl tartalma

Valójában a hackerek két rosszindulatú programmal fertőzik meg a felhasználók számítógépét: a Petya és a Mischa. Az elsőhöz rendszergazdai jogokra van szükség a rendszeren. Vagyis ha egy felhasználó megtagadja Petya adminisztrátori jogokat, vagy manuálisan törli ezt a kártevőt, Mischa belekeveredik. Ez a vírus nem igényel rendszergazdai jogokat, egy klasszikus titkosító, és valóban biztonságosan titkosítja a fájlokat AES algoritmusés anélkül, hogy bármit is módosítana a Master Boot Record-on és az áldozat merevlemezén lévő fájltáblázaton.

A Mischa kártevő nem csak a szabványos fájltípusokat (videókat, képeket, prezentációkat, dokumentumokat), hanem az .exe fájlokat is titkosítja. A vírus nem csak a \Windows, \$Recycle.Bin, \Microsoft, \ könyvtárakat érinti Mozilla Firefox,\Opera,\ internet böngésző, \Temp, \Local, \LocalLow és \Chrome.

A fertőzés elsősorban e-mailen keresztül történik, ahol egy levél érkezik egy csatolt fájllal – a vírustelepítővel. Titkosítható az Adószolgálattól, a könyvelőjétől származó levél alá, csatolt bizonylatként, vásárlási bizonylatként stb. Ügyeljen az ilyen betűk fájlkiterjesztésére - ha ez egy futtatható fájl (.exe), akkor nagy valószínűséggel a Petya\Mischa vírus tárolója lehet. És ha a rosszindulatú program módosítása nemrég történt, előfordulhat, hogy a víruskereső nem reagál.

Frissítés 2017.06.30.: Június 27., a Petya vírus módosított változata (Petya.A) tömegesen támadták meg a felhasználókat Ukrajnában. A támadás hatása óriási volt, és a gazdasági károkat még nem számolták ki. Egy nap alatt több tucat bank, kiskereskedelmi lánc, állami szerv és különféle tulajdoni formát képviselő vállalkozás munkája bénult meg. A vírus elsősorban az ukrán kézbesítési rendszer sérülékenységén keresztül terjedt pénzügyi kimutatások A MeDoc szoftver legújabb automatikus frissítésével. Emellett a vírus olyan országokat is érintett, mint Oroszország, Spanyolország, Nagy-Britannia, Franciaország és Litvánia.

Távolítsa el a Petya és Mischa vírust egy automatikus tisztítóval

Kizárólagosan hatékony módszeráltalában rosszindulatú programokkal és különösen zsarolóprogramokkal dolgozik. A bevált védőkomplex alkalmazása garantálja az esetleges víruskomponensek alapos kimutatását, azok teljes eltávolítása egy kattintással. Felhívjuk figyelmét, hogy két különböző folyamatról beszélünk: a fertőzés eltávolításáról és a fájlok visszaállításáról a számítógépen. A fenyegetést azonban mindenképpen meg kell szüntetni, hiszen vannak információk más bevezetéséről számítógépes trójaiak az ő segítségével.

1. . A szoftver elindítása után kattintson a gombra Indítsa el a Computer Scan(Indítsa el a szkennelést).
2. A telepített szoftver jelentést ad a vizsgálat során észlelt fenyegetésekről. Az összes észlelt fenyegetés eltávolításához válassza a lehetőséget Fenyegetések javítása(A fenyegetések kiküszöbölése). A szóban forgó rosszindulatú program teljesen eltávolításra kerül.

A titkosított fájlokhoz való hozzáférés visszaállítása

Mint már említettük, a Mischa ransomware egy erős titkosítási algoritmus segítségével zárolja a fájlokat, így a titkosított adatokat nem lehet visszaállítani egy varázspálca segítségével – hallatlan váltságdíj kifizetése nélkül (néha eléri az 1000 dollárt is). De néhány módszer valóban életmentő lehet, amely segít a fontos adatok helyreállításában. Az alábbiakban megismerkedhet velük.

Program automatikus helyreállítás fájlok (dekódoló)

Egy nagyon szokatlan körülmény ismert. Ez a fertőzés törli az eredeti fájlokat titkosítatlan formában. A zsarolási célú titkosítási eljárás tehát ezek másolatait célozza meg. Ez lehetőséget ad az ilyenekre szoftver hogyan lehet visszaállítani a törölt objektumokat, még akkor is, ha az eltávolításuk megbízhatósága garantált. Erősen ajánlott a fájl-helyreállítási eljárást igénybe venni, annak hatékonysága nem kétséges.

Kötetek árnyékmásolatai

A megközelítés a Windows eljáráson alapul Tartalékmásolat fájlokat, ami minden helyreállítási ponton megismétlődik. Fontos működési állapot ez a módszer: A „Rendszer-visszaállítás” funkciót a fertőzés előtt aktiválni kell. A visszaállítási pont után végrehajtott módosítások azonban nem jelennek meg a fájl visszaállított verziójában.

biztonsági mentés

Ez a legjobb az összes nem váltságdíjas módszer közül. Ha az adatok külső szerverre történő biztonsági mentésének eljárását alkalmazták a számítógépét ért zsarolóvírus-támadás előtt, a titkosított fájlok visszaállításához egyszerűen be kell lépnie a megfelelő felületre, válassza a szükséges fájlokatés indítsa el az adat-helyreállítási mechanizmust a biztonsági másolatból. A művelet végrehajtása előtt meg kell győződnie arról, hogy a zsarolóprogramot teljesen eltávolította.

Ellenőrizze a Petya és Mischa ransomware maradék összetevőinek esetleges jelenlétét

A kézi tisztítás azt kockáztatja, hogy hiányoznak a zsarolóprogramok egyes darabjai, amelyek rejtett tárgyként elkerülhetik az eltávolítást operációs rendszer vagy nyilvántartási elemeket. Az egyes rosszindulatú elemek részleges megtartásának kockázatának kiküszöbölése érdekében ellenőrizze számítógépét egy megbízható, rosszindulatú szoftverekre specializálódott biztonsági szoftvercsomag segítségével.

A vírusok az operációs rendszer ökoszisztémájának szerves részét képezik. A legtöbb esetben Windowsról és Androidról beszélünk, ha pedig igazán pechünk van, akkor OS X-ről és Linuxról. Sőt, ha korábban a tömeges vírusok csak személyes adatok ellopására, és a legtöbb esetben egyszerűen fájlok megrongálására irányultak, ma már a titkosítók „uralják a takarást”.

És ez nem meglepő - mind a PC-k, mind az okostelefonok számítási teljesítménye lavinaszerűen nőtt, ami azt jelenti, hogy az ilyen „csínyek” hardvere egyre erősebb.

Néhány évvel ezelőtt a szakértők felfedezték a Petya vírust. A G DATA SecurityLabs megállapította, hogy a vírus adminisztrátori hozzáférést igényel a rendszerhez, és nem titkosítja a fájlokat, csak blokkolja a hozzáférést. Ma már léteznek Petya (Win32.Trojan-Ransom.Petya.A‘) gyógymódok. A vírus maga módosítja a rendszerindító rekordot a rendszermeghajtón, és a számítógép összeomlását okozza, és egy üzenetet jelenít meg a lemezen lévő adatsérülésről. Valójában ez csak titkosítás.

A rosszindulatú programok fejlesztői fizetést követeltek a hozzáférés visszaállításáért.

Ma azonban a Petya vírus mellett megjelent egy még kifinomultabb is - Misha. Nem igényel rendszergazdai jogokat, és titkosítja az adatokat, mint a klasszikus Ransomware, YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájlokat hozva létre a lemezen vagy mappában titkosított adatokkal. Utasításokat tartalmaznak a kulcs beszerzésére vonatkozóan, amely körülbelül 875 dollárba kerül.

Fontos megjegyezni, hogy a fertőzés e-mailen keresztül történik, amely vírusokat tartalmazó exe fájlt kap, pdf dokumentumnak álcázva. És itt még mindig emlékeztetni kell - gondosan ellenőrizze a csatolt fájlokkal ellátott leveleket, és próbálja meg ne töltse le a dokumentumokat az internetről, mivel most egy vírus vagy rosszindulatú makró beágyazható egy doc fájlba vagy weboldalba.

Azt is megjegyezzük, hogy egyelőre nincsenek olyan segédprogramok, amelyek megfejtették a Misha vírus „művét”.

A vírusok az operációs rendszer ökoszisztémájának szerves részét képezik. A legtöbb esetben Windowsról és Androidról beszélünk, ha pedig igazán pechünk van, akkor OS X-ről és Linuxról. Sőt, ha korábban a tömeges vírusok csak személyes adatok ellopására, és a legtöbb esetben egyszerűen fájlok megrongálására irányultak, ma már a titkosítók „uralják a takarást”.

És ez nem meglepő - mind a PC-k, mind az okostelefonok számítási teljesítménye lavinaszerűen nőtt, ami azt jelenti, hogy az ilyen „csínyek” hardvere egyre erősebb.

Néhány évvel ezelőtt a szakértők felfedezték a Petya vírust. A G DATA SecurityLabs megállapította, hogy a vírus adminisztrátori hozzáférést igényel a rendszerhez, és nem titkosítja a fájlokat, csak blokkolja a hozzáférést. Ma már léteznek Petya (Win32.Trojan-Ransom.Petya.A‘) gyógymódok. A vírus maga módosítja a rendszerindító rekordot a rendszermeghajtón, és a számítógép összeomlását okozza, és egy üzenetet jelenít meg a lemezen lévő adatsérülésről. Valójában ez csak titkosítás.

A rosszindulatú programok fejlesztői fizetést követeltek a hozzáférés visszaállításáért.

Ma azonban a Petya vírus mellett megjelent egy még kifinomultabb is - Misha. Nem igényel rendszergazdai jogokat, és titkosítja az adatokat, mint a klasszikus Ransomware, YOUR_FILES_ARE_ENCRYPTED.HTML és YOUR_FILES_ARE_ENCRYPTED.TXT fájlokat hozva létre a lemezen vagy mappában titkosított adatokkal. Utasításokat tartalmaznak a kulcs beszerzésére vonatkozóan, amely körülbelül 875 dollárba kerül.

Fontos megjegyezni, hogy a fertőzés e-mailen keresztül történik, amely vírusokat tartalmazó exe fájlt kap, pdf dokumentumnak álcázva. És itt még mindig emlékeztetni kell - gondosan ellenőrizze a csatolt fájlokkal ellátott leveleket, és próbálja meg ne töltse le a dokumentumokat az internetről, mivel most egy vírus vagy rosszindulatú makró beágyazható egy doc fájlba vagy weboldalba.

Azt is megjegyezzük, hogy egyelőre nincsenek olyan segédprogramok, amelyek megfejtették a Misha vírus „művét”.

Illusztráció szerzői jog PA Képaláírás A szakértők szerint az új ransomware elleni küzdelem nehezebb, mint a WannaCry

Június 27-én a zsarolóprogramok világszerte több tucat vállalatnál zárolták a számítógépeket és titkosítottak fájlokat.

A hírek szerint az ukrán cégek szenvedtek a legtöbbet – a vírus nagyvállalatok, kormányzati szervek és infrastrukturális létesítmények számítógépeit fertőzte meg.

A vírus 300 dollár Bitcoint követel az áldozatoktól a fájlok visszafejtésére.

A BBC orosz szolgálata válaszol az új fenyegetéssel kapcsolatos fő kérdésekre.

Ki sérült meg?

A vírus terjedése Ukrajnában kezdődött. A boriszpili repülőteret, az Ukrenergo egyes regionális részlegeit, üzletláncokat, bankokat, médiát és távközlési cégeket érintett. Az ukrán kormány számítógépei is leálltak.

Ezt követően az oroszországi cégeken volt a sor: a Rosneft, a Bashneft, a Mondelez International, a Mars, a Nivea és mások is a vírus áldozatai lettek.

Hogyan működik a vírus?

A szakértők még nem jutottak konszenzusra az új vírus eredetét illetően. A Group-IB és a Positive Technologies a 2016-os Petya vírus egy változatának tekintik.

"Ez a zsarolóprogram hackelési technikákat és segédprogramokat egyaránt használ, és szabványos közművek rendszeradminisztráció – kommentálja a veszélyelhárítási osztály vezetője információ biztonság Pozitív technológiák Elmar Nabigaev. - Mindez garantálja Magassebesség hálózaton belüli elterjedése és a járvány egészének tömegessége (ha legalább egy személyi számítógép). Az eredmény a számítógép teljes működésképtelensége és az adatok titkosítása."

A román Bitdefender cég több közös vonást lát a GoldenEye vírussal, amelyben Petya egy másik, Misha nevű kártevővel kombinálódik. Utóbbi előnye, hogy nem igényel rendszergazdai jogokat a leendő áldozattól a fájlok titkosításához, hanem önállóan kicsomagolja azokat.

Brian Cambell A Fujitsu és számos más szakértő úgy véli, hogy az új vírus egy módosított EternalBlue programot használ, amelyet az Egyesült Államok Nemzetbiztonsági Ügynökségétől loptak el.

A program hackerek általi közzététele után Az árnyék A brókerek 2017 áprilisában az ennek alapján létrehozott WannaCry ransomware vírus az egész világon elterjedt.

A Windows biztonsági réseit felhasználva ez a program lehetővé teszi a vírus átterjedését a vállalati hálózat számítógépeire. Az eredeti Petyát keresztül küldték emailönéletrajz leple alatt, és csak azt a számítógépet tudta megfertőzni, ahol az önéletrajzot megnyitották.

A Kaspersky Lab elmondta az Interfaxnak, hogy a ransomware vírus nem tartozik a korábban ismert rosszindulatú programok családjába szoftver.

„A Kaspersky Lab szoftvertermékei ezt a kártevőt UDS:DangeroundObject.Multi.Generic néven észlelik” – jegyezte meg Vjacseszlav Zakorževszkij, a Kaspersky Lab víruskereső kutatási részlegének vezetője.

Általánosságban elmondható, hogy ha az új vírust az orosz nevén nevezi, akkor szem előtt kell tartania, hogy külsőre inkább Frankenstein szörnyetegére hasonlít, mivel több elemből áll össze. rosszindulatú. Az biztos, hogy a vírus 2017. június 18-án született.

Képaláírás A vírus 300 dollárt követel a fájlok visszafejtéséhez és a számítógép zárolásának feloldásához.

Menőbb, mint a WannaCry?

A WannaCry mindössze néhány napba telt 2017 májusában, hogy a történelem legnagyobb ilyen jellegű kibertámadásává váljon. Az új ransomware vírus felülmúlja közelmúltbeli elődjét?

Kevesebb, mint egy nap alatt a támadók 2,1 bitcoint kaptak áldozataiktól - körülbelül 5 ezer dollárt. A WannaCry 7 bitcoint gyűjtött be ugyanebben az időszakban.

Ugyanakkor Elmar Nabigaev, a Positive Technologies munkatársa szerint nehezebb felvenni a harcot az új ransomware ellen.

„Ez a fenyegetés a [Windows sebezhetőségének] kihasználása mellett speciális hackereszközökkel ellopott operációs rendszer fiókokon keresztül is terjed” – jegyezte meg a szakértő.

Hogyan harcoljunk a vírus ellen?

Megelőző intézkedésként a szakértők azt tanácsolják, hogy időben telepítse az operációs rendszerek frissítéseit, és ellenőrizze az e-mailben kapott fájlokat.

A haladó rendszergazdáknak azt tanácsoljuk, hogy ideiglenesen tiltsák le a Server Message Block (SMB) hálózati átviteli protokollt.

Ha számítógépe fertőzött, semmilyen körülmények között ne fizessen a támadóknak. Nincs garancia arra, hogy miután megkapják a fizetést, visszafejtik a fájlokat, ahelyett, hogy többet követelnének.

Már csak várni kell a visszafejtő programra: a WannaCry esetében Adrien Guinier-nek, a francia Quarkslab cég szakemberének egy hétbe telt elkészíteni.

Az első AIDS ransomware-t (PC Cyborg) Joseph Popp biológus írta 1989-ben. Könyvtárakat és titkosított fájlokat rejtett el, és 189 dollár megfizetését követelte" engedély megújítása" egy panamai számlára. Popp floppy lemezekkel terjesztette ötletét hagyományos levélben, így összesen mintegy 20 ezerjachszállítmányok. Poppot őrizetbe vették, miközben megpróbált beváltani egy csekket, de elkerülte a tárgyalást – 1991-ben őrültnek nyilvánították.

Számos orosz és ukrán céget támadott meg a Petya ransomware vírus. Az online publikációs oldal a Kaspersky Lab és az AGIMA interaktív ügynökség szakértőivel beszélgetett, és kiderítette, hogyan lehet megvédeni a vállalati számítógépeket a vírusoktól, és miben hasonlít a Petya a szintén jól ismert WannaCry ransomware vírus.

"Petya" vírus

Oroszországban van a Rosneft, a Bashneft, a Mars, a Nivea és az Alpen Gold csokoládégyártó Mondelez International. A csernobili atomerőmű sugárzásfigyelő rendszerének Ransomware vírusa. Emellett a támadás az ukrán kormány, a Privatbank és a távközlési szolgáltatók számítógépeit is érintette. A vírus zárolja a számítógépeket, és 300 dolláros váltságdíjat követel Bitcoinban.

A Twitteren található mikroblogban a Rosneft sajtószolgálata a cég szervereit ért hackertámadásról beszélt. „Erőteljes hackertámadást hajtottak végre a cég szerverein. Reméljük, hogy ennek semmi köze a jelenlegi jogi eljáráshoz. A cég felvette a kapcsolatot a rendvédelmi szervekkel a kibertámadással kapcsolatban.

Mihail Leontyev cég sajtótitkára szerint a Rosznyefty és leányvállalatai a megszokott módon működnek. A támadás után a cég áttért egy tartalék folyamatirányító rendszerre, így az olajtermelés és -kezelés nem állt le. A Home Credit bankrendszert is megtámadták.

"Petya" nem fertőz "Misha" nélkül

Alapján Jevgenyij Lobanov, az AGIMA ügyvezető igazgatója, valójában a támadást két titkosító vírus hajtotta végre: Petya és Misha.

„Tandemben dolgoznak a „Petya” nem fertőz „Misha” nélkül, de a tegnapi támadás két vírus volt: először Petya, majd Misha átírja a rendszerindító eszközt (ahonnan a számítógép elindul). Misha – „meghatározott algoritmussal titkosítja a fájlokat”, magyarázta a szakember, „Petya titkosítja a lemez indító szektorát (MBR), és lecseréli a sajátjára, a Misha már titkosítja a lemezen lévő összes fájlt (nem mindig).

Megjegyezte, hogy a WannaCry titkosítóvírus, amely idén májusban világméretű nagyvállalatokat támadott meg, nem hasonlít a Petyához, ez egy új verzió.

"A Petya.A a WannaCry (vagy inkább WannaCrypt) családból származik, de a fő különbség, hogy miért nem ugyanaz a vírus, az, hogy az MBR váltja fel saját boot szektorral - ez egy új termék a Ransomware számára. A Petya vírus nagyon régen megjelent, a GitHabon (informatikai projektek és közös programozás online szolgáltatása - weboldal) https://github.com/leo-stone/hack-petya" target="_blank">volt egy visszafejtő ehhez a titkosítóhoz, de az új módosításhoz egyetlen dekódoló sem alkalmas.

Jevgenyij Lobanov hangsúlyozta, hogy a támadás erősebben érte Ukrajnát, mint Oroszországot.

"Mi érzékenyebbek vagyunk a támadásokra, mint más nyugati országok. Védve leszünk a vírus ettől a verziójától, de a módosításaitól nem. Internetünk nem biztonságos, Ukrajnában még kevésbé. Leginkább közlekedési cégek, bankok, mobilszolgáltatók(Vodafone, Kyivstar) és orvosi cégek, ugyanaz a Pharmamag, a Shell benzinkutak – mind nagyon nagy transzkontinentális cégek" – mondta az oldalnak adott interjújában.

Az AGIMA ügyvezető igazgatója megjegyezte, egyelőre nincsenek olyan tények, amelyek a vírus terjesztőjének földrajzi elhelyezkedésére utalnának. Véleménye szerint a vírus állítólag Oroszországban jelent meg. Sajnos erre nincs közvetlen bizonyíték.

„Van egy feltételezés, hogy a mi hackereinkről van szó, hiszen az első módosítás Oroszországban jelent meg, és magát a vírust, amely senki előtt nem titok, Petro Porosenko nevéhez fűződik. Ez orosz hackerek fejlesztése volt, de nehéz megmondani aki tovább változtatta, az egyértelmű, hogy például az USA-ban is könnyen lehet egy számítógépet földrajzi helymeghatározással” – magyarázta a szakember.

"Ha a számítógépe hirtelen "fertőzött", nem szabad kikapcsolnia a számítógépet, ha újraindítja, soha többé nem fog bejelentkezni.

„Ha a számítógép hirtelen „fertőzött”, nem kapcsolhatja ki a számítógépet, mert a Petya vírus lecseréli az MBR-t - az első rendszerindítási szektort, amelyből az operációs rendszer betöltődik. Ha újraindul, soha többé nem jelentkezik be. Ez levágja a menekülési útvonalakat, még akkor sem, ha úgy tűnik, hogy "táblagép" többé nem lehet visszaküldeni az adatokat már megjelent, 98 százalékos biztonsági garanciát nyújt sajnos még nem 100 százalékos A vírus bizonyos módosítását (a három darabjukat) egyelőre megkerüli” – ajánlotta Lobanov. – Ha azonban újraindítja a rendszert, és látja a „lemezellenőrzés” folyamat kezdetét, ezen a ponton azonnal ki kell kapcsolnia a számítógépet, és a fájlok titkosítatlanok maradnak.

Emellett a szakember azt is kifejtette, miért a Microsoft-felhasználókat támadják leggyakrabban, és nem a MacOSX-et (Apple operációs rendszer – honlap) és a Unix rendszereket.

"Itt helyesebb nem csak a MacOSX-ről beszélni, hanem az összes Unix rendszerről is (az elv ugyanaz). A vírus csak a számítógépekre terjed, anélkül mobil eszközök. A műtőt támadás érte Windows rendszerés csak azokat a felhasználókat fenyegeti, akik letiltották a funkciót automatikus frissítés rendszerek. A frissítések kivételként még a régi tulajdonosok számára is elérhetők Windows verziók, amelyek már nem frissülnek: XP, Windows 8 és Windows Server 2003” – mondta a szakember.

"A MacOSX és a Unix globálisan nem fogékony az ilyen vírusokra, mert sok nagyvállalat használja a Microsoft infrastruktúráját. A MacOSX nem fogékony, mert nem annyira elterjedt a kormányzati szerveknél. Kevesebb vírus van rá, nem kifizetődő a gyártás, mert a támadási szegmens kisebb lesz, mint ha a Microsoftot támadná” – összegezte a szakember.

"A megtámadott felhasználók száma elérte a kétezret"

A Kaspersky Lab sajtószolgálatában, amelynek szakértői továbbra is vizsgálják a fertőzések legújabb hullámát, azt mondták, hogy „ez a zsarolóprogram nem tartozik a már ismert Petya zsarolóvírus-családba, bár több sor kód is van vele”.

A Laboratórium biztos abban, hogy ebben az esetben a rosszindulatú szoftverek új családjáról beszélünk, amelyek funkcionalitása jelentősen eltér a Petyától. A Kaspersky Lab ExPetr nevet adta új zsarolóprogramjának.

"A Kaspersky Lab szerint a megtámadott felhasználók száma elérte a kétezret. A legtöbb incidenst Oroszországban és Ukrajnában jegyezték fel, és fertőzéses eseteket is megfigyeltek Lengyelországban, Olaszországban, Nagy-Britanniában, Németországban, Franciaországban, az USA-ban és számos más országban. országok. Ebben a pillanatban Szakértőink szerint ez a rosszindulatú program több támadási vektort használt. Megállapítást nyert, hogy ben terjesztésre vállalati hálózatok egy módosított EternalBlue exploit és egy EternalRomance exploit került felhasználásra” – közölte a sajtószolgálat.

A szakértők egy olyan visszafejtő eszköz létrehozásának lehetőségét is vizsgálják, amellyel az adatok visszafejthetők. A Laboratórium ajánlásokat fogalmazott meg minden szervezet számára a vírustámadások jövőbeni elkerülésére.

"Azt javasoljuk, hogy a szervezetek telepítsenek Windows-frissítéseket. Windows XP és Windows 7 esetén telepítsék az MS17-010 biztonsági frissítést, és gondoskodjanak arról, hogy hatékony adatmentési rendszerrel rendelkezzenek. Az adatok időben történő és biztonságos biztonsági mentése lehetővé teszi a helyreállítást eredeti fájlokat, még ha rosszindulatú programokkal is titkosították őket” – tanácsolták a Kaspersky Lab szakértői.

övéhez vállalati ügyfeleknek A laboratórium azt is javasolja, hogy minden védelmi mechanizmus aktiválva legyen, különös tekintettel arra, hogy a Kaspersky Security Network felhőinfrastruktúrához való csatlakozásnál további intézkedésként ajánlott az Alkalmazásjogosultság-felügyelet komponens használata az összes alkalmazáscsoport letiltásához "perfc.dat" nevű fájl elérése (és ennek megfelelően végrehajtása) stb.

"Ha nem használ Kaspersky Lab termékeket, javasoljuk, hogy tiltsa le a perfc.dat nevű fájl végrehajtását, és blokkolja a PSExec segédprogram elindítását a Sysinternals csomagból a Windows operációs rendszerben (operációs rendszerben) található AppLocker funkció segítségével. – honlap),” ajánlott a laboratóriumban.

2017. május 12. sok – adattitkosító bekapcsolva merevlemezek számítógépek. Letiltja a készüléket, és váltságdíjat követel.
A vírus a világ több tucat országában érintett szervezeteket és részlegeket, köztük Oroszországot, ahol az Egészségügyi Minisztériumot, a Vészhelyzetek Minisztériumát, a Belügyminisztériumot és szervereket támadták meg. mobilszolgáltatókés több nagy bank.

A vírus terjedését véletlenül és átmenetileg sikerült megállítani: ha a hackerek csak néhány sornyi kódot változtatnak, a kártevő újra működésbe lép. A program által okozott kárt egymilliárd dollárra becsülik. Törvényszéki nyelvészeti elemzést követően a szakértők megállapították, hogy a WannaCry-t Kínából vagy Szingapúrból származó emberek hozták létre.