Disa muaj më parë, ne dhe specialistë të tjerë të Sigurisë së IT zbuluam një malware të ri - Petya (Win32.Trojan-Ransom.Petya.A). Në kuptimin klasik, ai nuk ishte një kodues që virusi thjesht e bllokoi hyrjen; lloje të caktuara dosjet dhe kërkuan shpërblim. Virusi modifikoi rekordin e nisjes në hard disk, rindizte me forcë kompjuterin dhe tregoi një mesazh se "të dhënat janë të koduara - harxhoni paratë tuaja për deshifrim". Në përgjithësi, skema standarde e viruseve të enkriptimit, përveç që skedarët NUK ishin të koduar në të vërtetë. Antivirusët më të njohur filluan të identifikojnë dhe heqin Win32.Trojan-Ransom.Petya.A disa javë pas shfaqjes së tij. Përveç kësaj, u shfaqën udhëzime për heqjen manuale. Pse mendojmë se Petya nuk është një ransomware klasik? Ky virus bën ndryshime në Master Boot Record dhe parandalon ngarkimin e sistemit operativ, si dhe enkripton tabelën e skedarit kryesor. Ai nuk i kodon vetë skedarët.

Megjithatë, një virus më i sofistikuar u shfaq disa javë më parë Mischa, me sa duket e shkruar nga të njëjtët mashtrues. Ky virus ENCRYPTS skedarë dhe kërkon që ju të paguani $500 - $875 për deshifrimin (në versione të ndryshme 1,5 – 1,8 bitcoin). Udhëzimet për "deshifrimin" dhe pagesën për të ruhen në skedarët YOUR_FILES_ARE_ENCRYPTED.HTML dhe YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – përmbajtja e skedarit YOUR_FILES_ARE_ENCRYPTED.HTML

Tani, në fakt, hakerët infektojnë kompjuterët e përdoruesve me dy malware: Petya dhe Mischa. I pari ka nevojë për të drejtat e administratorit në sistem. Kjo do të thotë, nëse një përdorues refuzon t'i japë Petya të drejtat e administratorit ose fshin manualisht këtë malware, Mischa përfshihet. Ky virus nuk kërkon të drejta administratori, ai është një kriptor klasik dhe me të vërtetë kodon skedarët në mënyrë të sigurt Algoritmi AES dhe pa bërë asnjë ndryshim në Master Boot Record dhe tabelën e skedarëve në hard diskun e viktimës.

Malware Mischa kodon jo vetëm llojet standarde të skedarëve (video, fotografi, prezantime, dokumente), por edhe skedarë .exe. Virusi nuk prek vetëm drejtoritë \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\opera,\ Internet Explorer, \Temp, \Local, \LocalLow dhe \Chrome.

Infeksioni ndodh kryesisht përmes postës elektronike, ku një letër merret me një skedar të bashkangjitur - instaluesi i virusit. Mund të kodohet me një letër nga Shërbimi Tatimor, nga llogaritari juaj, si fatura dhe fatura blerjesh të bashkangjitura, etj. Kushtojini vëmendje shtesave të skedarëve në shkronja të tilla - nëse është një skedar i ekzekutueshëm (.exe), atëherë me një probabilitet të lartë mund të jetë një enë me virusin Petya\Mischa. Dhe nëse modifikimi i malware është i fundit, antivirusi juaj mund të mos përgjigjet.

Përditësimi 30.06.2017: 27 qershor, një version i modifikuar i virusit Petya (Petya.A) sulmuan masivisht përdoruesit në Ukrainë. Efekti i këtij sulmi ishte i madh dhe dëmi ekonomik ende nuk është llogaritur. Në një ditë u paralizua puna e dhjetëra bankave, zinxhirëve të shitjes me pakicë, agjencive qeveritare dhe ndërmarrjeve të formave të ndryshme të pronësisë. Virusi u përhap kryesisht përmes një cenueshmërie në sistemin e shpërndarjes së Ukrainës pasqyrat financiare MeDoc me përditësimin më të fundit automatik të këtij softueri. Përveç kësaj, virusi ka prekur vende si Rusia, Spanja, Britania e Madhe, Franca dhe Lituania.

Hiqni virusin Petya dhe Mischa duke përdorur një pastrues automatik

Ekskluzivisht metodë efektive duke punuar me malware në përgjithësi dhe ransomware në veçanti. Përdorimi i një kompleksi mbrojtës të provuar garanton zbulimin e plotë të çdo komponenti viral, të tyre heqje e plotë me një klikim. Ju lutemi vini re se ne po flasim për dy procese të ndryshme: çinstalimin e infeksionit dhe rivendosjen e skedarëve në kompjuterin tuaj. Megjithatë, kërcënimi me siguri duhet të hiqet, pasi ka informacione për futjen e të tjerëve Trojans kompjuterik me ndihmën e saj.

1. . Pas nisjes së softuerit, klikoni butonin Filloni skanimin e kompjuterit(Filloni skanimin).
2. Softueri i instaluar do të sigurojë një raport mbi kërcënimet e zbuluara gjatë skanimit. Për të hequr të gjitha kërcënimet e zbuluara, zgjidhni opsionin Rregulloni Kërcënimet(Eliminoni kërcënimet). Malware në fjalë do të hiqet plotësisht.

Rikthe aksesin te skedarët e koduar

Siç u përmend, ransomware Mischa bllokon skedarët duke përdorur një algoritëm të fortë enkriptimi në mënyrë që të dhënat e koduara të mos mund të restaurohen me një valë të një shkopi magjik - pa paguar një shumë të padëgjuar shpërblimi (nganjëherë arrin deri në 1000 dollarë). Por disa metoda mund të jenë vërtet shpëtimtare që do t'ju ndihmojnë të rikuperoni të dhëna të rëndësishme. Më poshtë mund të njiheni me to.

Programi rikuperim automatik skedarë (dekriptues)

Dihet një rrethanë shumë e pazakontë. Ky infeksion fshin skedarët origjinalë në formë të pakriptuar. Procesi i enkriptimit për qëllime zhvatjeje synon kështu kopjet e tyre. Kjo ofron një mundësi për të tillë software si të rivendosni objektet e fshira, edhe nëse besueshmëria e heqjes së tyre është e garantuar. Rekomandohet shumë t'i drejtoheni procedurës së rikuperimit të skedarëve, efektiviteti i tij është pa dyshim.

Kopje në hije të vëllimeve

Qasja bazohet në procedurën e Windows Rezervoni kopjen skedarë, i cili përsëritet në çdo pikë rikuperimi. Gjendje e rëndësishme pune këtë metodë: Funksioni "Rivendosja e Sistemit" duhet të aktivizohet përpara infektimit. Megjithatë, çdo ndryshim në skedar i bërë pas pikës së rivendosjes nuk do të shfaqet në versionin e rivendosur të skedarit.

Rezervimi

Kjo është më e mira nga të gjitha metodat jo-shpërblerëse. Nëse procedura për rezervimin e të dhënave në një server të jashtëm është përdorur përpara sulmit të ransomware në kompjuterin tuaj, për të rivendosur skedarët e koduar thjesht duhet të futni ndërfaqen e duhur, zgjidhni dosjet e nevojshme dhe filloni mekanizmin e rikuperimit të të dhënave nga rezervimi. Përpara se të kryeni operacionin, duhet të siguroheni që ransomware është hequr plotësisht.

Kontrolloni për praninë e mundshme të përbërësve të mbetur të ransomware Petya dhe Mischa

Pastrimi manual rrezikon të mungojë pjesë individuale të ransomware që mund t'i shpëtojnë heqjes si objekte të fshehura sistemi operativ ose artikujt e regjistrit. Për të eliminuar rrezikun e mbajtjes së pjesshme të elementeve të dëmshme individuale, skanoni kompjuterin tuaj duke përdorur një paketë të besueshme softuerësh sigurie që specializohen në softuer me qëllim të keq.

Viruset janë një pjesë integrale e ekosistemit të sistemit operativ. Në shumicën e rasteve, ne po flasim për Windows dhe Android, dhe nëse jeni vërtet të pafat, për OS X dhe Linux. Për më tepër, nëse më parë viruset masive synonin vetëm vjedhjen e të dhënave personale dhe në shumicën e rasteve thjesht dëmtimin e skedarëve, tani enkriptuesit "sundojnë vendin".

Dhe kjo nuk është për t'u habitur - fuqia llogaritëse e kompjuterëve dhe telefonave inteligjentë është rritur si një ortek, që do të thotë se pajisja për "shaka" të tilla po bëhet gjithnjë e më e fuqishme.

Disa kohë më parë, ekspertët zbuluan virusin Petya. G DATA SecurityLabs zbuloi se virusi kërkon qasje administrative në sistem dhe nuk i kodon skedarët, por vetëm bllokon qasjen në to. Sot, mjetet juridike nga Petya (Win32.Trojan-Ransom.Petya.A') ekzistojnë tashmë. Vetë virusi modifikon rekordin e nisjes në diskun e sistemit dhe bën që kompjuteri të rrëzohet, duke shfaqur një mesazh në lidhje me prishjen e të dhënave në disk. Në fakt, ky është vetëm kriptim.

Zhvilluesit e malware kërkuan pagesë për të rivendosur aksesin.

Sidoqoftë, sot, përveç virusit Petya, është shfaqur një edhe më i sofistikuar - Misha. Nuk ka nevojë për të drejta administrative dhe kodon të dhëna si Ransomware klasik, duke krijuar skedarë YOUR_FILES_ARE_ENCRYPTED.HTML dhe YOUR_FILES_ARE_ENCRYPTED.TXT në disk ose dosje me të dhëna të enkriptuara. Ato përmbajnë udhëzime se si të merrni çelësin, i cili kushton afërsisht 875 dollarë.

Është e rëndësishme të theksohet se infeksioni ndodh përmes emailit, i cili merr një skedar exe me viruse, i maskuar si një dokument pdf. Dhe këtu mbetet për t'u kujtuar përsëri - kontrolloni me kujdes letrat me skedarët e bashkangjitur, dhe gjithashtu përpiquni të mos shkarkoni dokumente nga Interneti, pasi tani një virus ose makro me qëllim të keq mund të futet në një skedar doc ose faqe në internet.

Vëmë re gjithashtu se deri më tani nuk ka asnjë shërbim për të deshifruar "punën" e virusit Misha.

Viruset janë një pjesë integrale e ekosistemit të sistemit operativ. Në shumicën e rasteve, ne po flasim për Windows dhe Android, dhe nëse jeni vërtet të pafat, për OS X dhe Linux. Për më tepër, nëse më parë viruset masive synonin vetëm vjedhjen e të dhënave personale dhe në shumicën e rasteve thjesht dëmtimin e skedarëve, tani enkriptuesit "sundojnë vendin".

Dhe kjo nuk është për t'u habitur - fuqia llogaritëse e kompjuterëve dhe telefonave inteligjentë është rritur si një ortek, që do të thotë se pajisja për "shaka" të tilla po bëhet gjithnjë e më e fuqishme.

Disa kohë më parë, ekspertët zbuluan virusin Petya. G DATA SecurityLabs zbuloi se virusi kërkon qasje administrative në sistem dhe nuk i kodon skedarët, por vetëm bllokon qasjen në to. Sot, mjetet juridike nga Petya (Win32.Trojan-Ransom.Petya.A') ekzistojnë tashmë. Vetë virusi modifikon rekordin e nisjes në diskun e sistemit dhe bën që kompjuteri të rrëzohet, duke shfaqur një mesazh në lidhje me prishjen e të dhënave në disk. Në fakt, ky është vetëm kriptim.

Zhvilluesit e malware kërkuan pagesë për të rivendosur aksesin.

Sidoqoftë, sot, përveç virusit Petya, është shfaqur një edhe më i sofistikuar - Misha. Nuk ka nevojë për të drejta administrative dhe kodon të dhëna si Ransomware klasik, duke krijuar skedarë YOUR_FILES_ARE_ENCRYPTED.HTML dhe YOUR_FILES_ARE_ENCRYPTED.TXT në disk ose dosje me të dhëna të enkriptuara. Ato përmbajnë udhëzime se si të merrni çelësin, i cili kushton afërsisht 875 dollarë.

Është e rëndësishme të theksohet se infeksioni ndodh përmes emailit, i cili merr një skedar exe me viruse, i maskuar si një dokument pdf. Dhe këtu mbetet për t'u kujtuar përsëri - kontrolloni me kujdes letrat me skedarët e bashkangjitur, dhe gjithashtu përpiquni të mos shkarkoni dokumente nga Interneti, pasi tani një virus ose makro me qëllim të keq mund të futet në një skedar doc ose faqe në internet.

Vëmë re gjithashtu se deri më tani nuk ka asnjë shërbim për të deshifruar "punën" e virusit Misha.

E drejta e autorit për ilustrim PA Titulli i imazhit Sipas ekspertëve, luftimi i ransomware-it të ri është më i vështirë se WannaCry

Më 27 qershor, ransomware bllokoi kompjuterët dhe kodoi skedarët në dhjetëra kompani në mbarë botën.

Raportohet se kompanitë ukrainase kanë pësuar më shumë - virusi infektoi kompjuterët e kompanive të mëdha, agjencitë qeveritare dhe objektet e infrastrukturës.

Virusi kërkon 300 dollarë në Bitcoin nga viktimat për të deshifruar skedarët.

Shërbimi rus i BBC-së u përgjigjet pyetjeve kryesore në lidhje me kërcënimin e ri.

Kush u lëndua?

Përhapja e virusit filloi në Ukrainë. Aeroporti Boryspil, disa divizione rajonale të Ukrenergo, dyqane zinxhirësh, banka, media dhe kompani të telekomunikacionit u prekën. Kompjuterët në qeverinë ukrainase gjithashtu u shkatërruan.

Pas kësaj, radha u takuan kompanive në Rusi: Rosneft, Bashneft, Mondelеz International, Mars, Nivea dhe të tjera gjithashtu u bënë viktima të virusit.

Si funksionon virusi?

Ekspertët nuk kanë arritur ende një konsensus për origjinën e virusit të ri. Group-IB dhe Positive Technologies e shohin atë si një variant të virusit Petya 2016.

"Ky ransomware përdor teknika hakerimi dhe shërbime, dhe shërbimet standarde administrimi i sistemit, - komenton shefi i departamentit të reagimit ndaj kërcënimeve siguria e informacionit Teknologjitë pozitive Elmar Nabigaev. - E gjithë kjo garanton shpejtësi e lartë përhapur brenda rrjetit dhe masivitetin e epidemisë në tërësi (nëse të paktën një Kompjuter personal). Rezultati është mosfunksionimi i plotë i kompjuterit dhe kriptimi i të dhënave."

Kompania rumune Bitdefender sheh më shumë të përbashkëta me virusin GoldenEye, në të cilin Petya kombinohet me një tjetër malware të quajtur Misha. Avantazhi i kësaj të fundit është se nuk kërkon të drejta administratori nga viktima e ardhshme për të kriptuar skedarët, por i nxjerr ato në mënyrë të pavarur.

Brian Cambell nga Fujitsu dhe një numër ekspertësh të tjerë besojnë se virusi i ri përdor një program të modifikuar EternalBlue të vjedhur nga Agjencia e Sigurisë Kombëtare e SHBA.

Pas publikimit të këtij programi nga hakerat Hija Brokerët në prill 2017, virusi ransomware WannaCry i krijuar në bazë të tij u përhap në të gjithë botën.

Duke përdorur dobësitë e Windows, ky program lejon që virusi të përhapet në kompjuterë në të gjithë rrjetin e korporatës. Petya origjinale u dërgua nëpërmjet e-mail nën maskën e një CV dhe mund të infektonte vetëm kompjuterin ku ishte hapur rezymeja.

Kaspersky Lab i tha Interfax se virusi ransomware nuk i përket familjeve të njohura më parë të malware software.

"Produktet e softuerit të Kaspersky Lab e zbulojnë këtë malware si UDS:DangeroundObject.Multi.Generic," vuri në dukje Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit antivirus në Kaspersky Lab.

Në përgjithësi, nëse e quani virusin e ri me emrin e tij rus, duhet të keni parasysh se në pamje duket më shumë si përbindëshi i Frankensteinit, pasi është mbledhur nga disa malware. Dihet me siguri se virusi ka lindur më 18 qershor 2017.

Titulli i imazhit Virusi kërkon 300 dollarë për të deshifruar skedarët dhe për të zhbllokuar kompjuterin tuaj.

Më cool se WannaCry?

WannaCry-t iu deshën vetëm disa ditë në maj 2017 për t'u bërë sulmi kibernetik më i madh i këtij lloji në histori. A do ta kalojë virusi i ri ransomware paraardhësin e tij të fundit?

Në më pak se një ditë, sulmuesit morën 2.1 bitcoin nga viktimat e tyre - rreth 5 mijë dollarë. WannaCry mblodhi 7 bitcoin gjatë së njëjtës periudhë.

Në të njëjtën kohë, sipas Elmar Nabigaev nga Positive Technologies, është më e vështirë të luftosh ransomware-in e ri.

“Përveç shfrytëzimit të [vulnerabilitetit të Windows], ky kërcënim përhapet edhe përmes llogarive të sistemit operativ të vjedhura duke përdorur mjete të posaçme hakerimi,” vuri në dukje eksperti.

Si të luftoni virusin?

Si masë parandaluese, ekspertët këshillojnë instalimin e përditësimeve për sistemet operative në kohë dhe kontrollimin e skedarëve të marrë me email.

Administratorët e avancuar këshillohen që të çaktivizojnë përkohësisht protokollin e transferimit të rrjetit të Bllokut të Mesazheve të Serverit (SMB).

Nëse kompjuterët tuaj janë të infektuar, në asnjë rrethanë nuk duhet t'i paguani sulmuesit. Nuk ka asnjë garanci që pasi të marrin pagesën, ata do të deshifrojnë skedarët në vend që të kërkojnë më shumë.

Mbetet vetëm të presim për programin e deshifrimit: në rastin e WannaCry, Adrien Guinier, një specialist nga kompania franceze Quarkslab, iu desh një javë për ta krijuar atë.

ransomware i parë për AIDS (PC Cyborg) u shkrua nga biologu Joseph Popp në 1989. Ajo fshehu drejtoritë dhe skedarët e koduar, duke kërkuar pagesën prej 189 dollarësh" Rinovimi i licencës" në një llogari në Panama. Popp shpërndau idenë e tij duke përdorur disqe me postë të rregullt, duke bërë një total prej rreth 20 mijëjahdërgesat. Popp u arrestua ndërsa përpiqej të arkëtonte një çek, por shmangu gjyqin - në 1991 ai u shpall i çmendur.

Një numër kompanish ruse dhe ukrainase u sulmuan nga virusi ransomware Petya. Faqja e publikimit në internet bisedoi me ekspertë nga Kaspersky Lab dhe agjencia interaktive AGIMA dhe zbuloi se si të mbrohen kompjuterët e korporatave nga viruset dhe se si Petya është e ngjashme me atë po aq të njohur. Virusi ransomware WannaCry.

Virusi "Petya"

Në Rusi ka Rosneft, Bashneft, Mars, Nivea dhe Alpen Gold prodhues të çokollatës Mondelez International. Ransomware virus i sistemit të monitorimit të rrezatimit të termocentralit bërthamor të Çernobilit. Përveç kësaj, sulmi preku kompjuterët e qeverisë ukrainase, Privatbank dhe operatorët e telekomit. Virusi bllokon kompjuterët dhe kërkon një shpërblim prej 300 dollarësh në Bitcoin.

Në mikroblogun në Twitter, shërbimi i shtypit Rosneft foli për një sulm hakeri në serverët e kompanisë. “Një sulm i fuqishëm hakeri u krye në serverët e kompanisë, ne shpresojmë që kjo të mos ketë të bëjë me procedurat aktuale ligjore.

Sipas sekretarit të shtypit të kompanisë Mikhail Leontyev, Rosneft dhe filialet e tij po funksionojnë normalisht. Pas sulmit, kompania kaloi në një sistem kontrolli rezervë të procesit në mënyrë që prodhimi dhe trajtimi i naftës të mos ndaleshin. U sulmua edhe sistemi i bankës Home Credit.

"Petya" nuk infekton pa "Misha"

Sipas Drejtori Ekzekutiv i AGIMA Evgeniy Lobanov, në fakt, sulmi u krye nga dy viruse të enkriptimit: Petya dhe Misha.

"Ata punojnë së bashku "Petya" nuk infekton pa "Misha", por sulmi i djeshëm ishte dy viruse: së pari "Petya" rishkruan pajisjen e nisjes (nga ku fillon kompjuteri). Misha - "kripton skedarët duke përdorur një algoritëm specifik," shpjegoi specialisti "Petya kodon sektorin e nisjes së diskut (MBR) dhe e zëvendëson atë me të tijin, Misha tashmë kodon të gjithë skedarët në disk (jo gjithmonë).

Ai vuri në dukje se virusi i enkriptimit WannaCry, i cili sulmoi kompanitë e mëdha globale në maj të këtij viti, nuk është i ngjashëm me Petya, është një version i ri.

"Petya.A është nga familja WannaCry (ose më mirë WannaCrypt), por ndryshimi kryesor, pse nuk është i njëjti virus, është se është zëvendësuar nga MBR me sektorin e vet të nisjes - ky është një produkt i ri për Ransomware. Virusi Petya u shfaq shumë kohë më parë, në GitHab (një shërbim në internet për projekte IT dhe programe të përbashkëta - faqe interneti) https://github.com/leo-stone/hack-petya" target="_blank">kishte një dekriptues për këtë enkriptor, por asnjë dekriptor nuk është i përshtatshëm për modifikimin e ri.

Yevgeny Lobanov theksoi se sulmi goditi Ukrainën më shumë se Rusinë.

"Ne jemi më të ndjeshëm ndaj sulmeve se vendet e tjera perëndimore. Do të mbrohemi nga ky version i virusit, por jo nga modifikimet e tij. Interneti ynë është i pasigurt, në Ukrainë edhe më pak. Kryesisht, kompanitë e transportit, bankat, operatorët celularë(Vodafone, Kyivstar) dhe kompani mjekësore, të njëjtat stacione karburanti Pharmamag, Shell - të gjitha kompani shumë të mëdha transkontinentale, "tha ai në një intervistë për faqen.

Drejtori ekzekutiv i AGIMA vuri në dukje se ende nuk ka fakte që do të tregonin vendndodhjen gjeografike të përhapësit të virusit. Sipas mendimit të tij, virusi supozohet se u shfaq në Rusi. Fatkeqësisht, nuk ka prova të drejtpërdrejta për këtë.

“Ekziston një supozim se këta janë hakerat tanë, pasi modifikimi i parë u shfaq në Rusi, dhe vetë virusi, i cili nuk është sekret për askënd, u emërua pas Petro Poroshenko-s, por është e vështirë të thuhet kush e ndryshoi më tej Është e qartë se edhe nëse je në Rusi, është e lehtë të kesh një kompjuter me gjeolokacion, për shembull, "shpjegoi eksperti.

"Nëse kompjuteri juaj "infektohet" papritmas, nuk duhet ta fikni kompjuterin tuaj nëse rindizni, nuk do të identifikoheni më.

"Nëse kompjuteri juaj "infektohet" papritmas, nuk mund ta fikni kompjuterin, sepse virusi Petya zëvendëson MBR - sektori i parë i nisjes nga i cili ngarkohet sistemi operativ Nëse rindizni, nuk do të hyni më në sistem. Kjo do të ndërpresë rrugët e arratisjes, edhe nëse shfaqet "tableti", nuk do të jetë më e mundur të ktheheni të dhënat është lëshuar tashmë, ai ofron një garanci 98 për qind, për fat të keq, një modifikim të caktuar të virusit (tre pjesët e tyre) tani për tani”, rekomandoi Lobanov. – Megjithatë, nëse rindizni dhe shihni fillimin e procesit të “kontrollit të diskut”, në këtë pikë duhet të fikni menjëherë kompjuterin dhe skedarët do të mbeten të pakriptuar.

Përveç kësaj, eksperti shpjegoi edhe pse përdoruesit e Microsoft sulmohen më shpesh, dhe jo MacOSX (sistemi operativ Apple - faqe interneti) dhe sistemet Unix.

"Këtu është më e saktë të flasim jo vetëm për MacOSX, por edhe për të gjitha sistemet Unix (parimi është i njëjtë). Virusi përhapet vetëm në kompjuterë, pa pajisje celulare. Salla e operacionit është nën sulm Sistemi Windows dhe kërcënon vetëm ata përdorues që e kanë çaktivizuar funksionin përditësim automatik sistemeve. Përditësimet janë të disponueshme si përjashtim edhe për pronarët e vjetër versionet e Windows, të cilat nuk përditësohen më: XP, Windows 8 dhe Windows Server 2003”, tha eksperti.

"MacOSX dhe Unix nuk janë të ndjeshëm ndaj viruseve të tillë globalisht, sepse shumë korporata të mëdha përdorin infrastrukturën e Microsoft. MacOSX nuk është i ndjeshëm sepse nuk është aq i zakonshëm në agjencitë qeveritare. Ka më pak viruse për të, nuk është fitimprurëse t'i prodhosh ato. sepse segmenti i sulmit do të jetë më i vogël sesa nëse sulmohet Microsoft,” përfundoi specialisti.

"Numri i përdoruesve të sulmuar ka arritur në dy mijë"

Në shërbimin për shtyp të Kaspersky Lab, ekspertët e të cilit vazhdojnë të hetojnë valën e fundit të infeksioneve, thanë se "ky ransomware nuk i përket familjes tashmë të njohur të ransomware Petya, megjithëse ka disa rreshta kodi të përbashkët me të".

Laboratori është i bindur se në këtë rast po flasim për një familje të re softuerësh me qëllim të keq me funksionalitet dukshëm të ndryshëm nga Petya. Kaspersky Lab ka emëruar ransomware-in e saj të ri ExPetr.

"Sipas Kaspersky Lab, numri i përdoruesve të sulmuar arriti në dy mijë. Shumica e incidenteve u regjistruan në Rusi dhe Ukrainë, dhe raste të infeksionit u vërejtën gjithashtu në Poloni, Itali, Britaninë e Madhe, Gjermani, Francë, SHBA dhe një sërë të tjerash. vende. ky moment Ekspertët tanë sugjerojnë që ky malware përdorte vektorë të shumëfishtë sulmesh. Është vërtetuar se për shpërndarje në rrjetet e korporatave u përdorën një shfrytëzim i modifikuar EternalBlue dhe një shfrytëzim EternalRomance, "tha shërbimi i shtypit.

Ekspertët po eksplorojnë gjithashtu mundësinë e krijimit të një mjeti deshifrues që mund të përdoret për të deshifruar të dhënat. Laboratori gjithashtu bëri rekomandime për të gjitha organizatat për të shmangur një sulm virusi në të ardhmen.

"Ne rekomandojmë që organizatat të instalojnë përditësimet e Windows. Për Windows XP dhe Windows 7, ato duhet të instalojnë përditësimin e sigurisë MS17-010 dhe të sigurojnë që të kenë një sistem efektiv të rezervimit të të dhënave. Rezervimi i të dhënave në kohën e duhur dhe të sigurt lejon rikuperimin skedarë origjinalë, edhe nëse ato ishin të koduara me malware,” këshilluan ekspertët e Kaspersky Lab.

tek e tija për klientët korporativë Laboratori rekomandon gjithashtu të siguroheni që të gjithë mekanizmat e mbrojtjes janë aktivizuar, veçanërisht, duke u siguruar që lidhja me infrastrukturën cloud të Rrjetit të Sigurisë Kaspersky, si masë shtesë, rekomandohet përdorimi i komponentit të kontrollit të privilegjimit të aplikacionit për të ndaluar të gjitha grupet e aplikacioneve aksesimi (dhe, në përputhje me rrethanat, ekzekutimi) i një skedari me emrin "perfc.dat" etj.

"Nëse nuk përdorni produktet e Kaspersky Lab, ju rekomandojmë që të çaktivizoni ekzekutimin e skedarit të quajtur perfc.dat dhe gjithashtu të bllokoni nisjen e mjetit PSExec nga paketa Sysinternals duke përdorur funksionin AppLocker të përfshirë në Windows OS (sistemi operativ – website),” rekomandohet në laborator.

12 maj 2017 shumë – enkriptuesi i të dhënave aktivizohet hard disqet kompjuterët. Ai bllokon pajisjen dhe kërkon të paguajë një shpërblim.
Virusi preku organizata dhe departamente në dhjetëra vende anembanë botës, përfshirë Rusinë, ku u sulmuan Ministria e Shëndetësisë, Ministria e Situatave të Emergjencave, Ministria e Punëve të Brendshme dhe serverët. operatorët celularë dhe disa banka të mëdha.

Përhapja e virusit u ndalua aksidentalisht dhe përkohësisht: nëse hakerët do të ndryshonin vetëm disa rreshta kodi, malware do të fillonte të funksiononte përsëri. Dëmi nga programi llogaritet në një miliard dollarë. Pas analizave linguistike mjekoligjore, ekspertët përcaktuan se WannaCry u krijua nga njerëz nga Kina ose Singapori.