Petia virusi nimaga o'xshaydi? Petya virusini yo'q qilish bo'yicha qo'llanma. O'zingizni Petya.A dan qanday himoya qilish kerak

Windows 10

Ransomware virusi epidemiyasi boshlandi. Mutaxassislar zararli dasturning kelib chiqishi va tabiati to'g'risida aniq fikrga ega emaslar. Ularning ta'kidlashicha, bu o'tgan yil boshidan beri ma'lum bo'lgan Petya virusiga o'xshash va aprel oyida allaqachon dekriptor tayyor edi. Biroq, tarqatish uchun yangi modifikatsiya - bu NonPetya, ExPetya, Petya.A deb nomlanadi - "yangi" zaifliklardan foydalanadi. Shu jumladan, may oyida WannaCry kompyuterlarni buzgan.

Yangi "Petya" kompyuterga kiradi, fayllarni shifrlaydi, qo'shni mashinalarga o'tishga harakat qiladi va keyin tizimni qayta yoqadi. Yuklash vaqtida u tasdiqlash dasturini simulyatsiya qiladi qattiq disk, so'ngra kartalarni ochib beradi: fayllar shifrlangan, to'lov kerak. Ular 300 dollar so'rashadi, lekin ular Bitcoins-da bo'lishi kerak. Bitcoin barcha operatsiyalarni va balansni ko'rishga imkon berganligi sababli, hamyon manzilini bilgan holda, to'lovning dastlabki kunida to'lov dasturi taxminan 10 ming dollar olganligini bilib oldik.

Ritomware Bitcoin hamyoni haqida ma'lumot (nashr paytida)

Kecha ko'plab rus idoralarida odatiy rasm

Petya qanday yuqadi

Ikki xil bosqich bor: tarmoqqa kirish va u orqali tarqalish.

Petya tashkilot tarmog'idagi kompyuterga o'tirishi uchun uni shunchaki yuboradi elektron pochta... Bu shunday bo'ladi. Xodim ofis hujjati bilan xat oladi. Qachon so'zni ochish (yoki Excel yoki paketdagi boshqa dastur) foydalanuvchini hujjat uchun ko'rsatgich mavjudligini ogohlantiradi tashqi fayl... Agar ushbu ogohlantirishga e'tibor berilmasa, virus o'zi yuklab olinadi va ishga tushiriladi. Va agar MS Office kompyuterda uzoq vaqt davomida yangilanmagan bo'lsa, unda ogohlantirish ham ko'rinmaydi.

Shundan so'ng, "Petit" ning ikkinchi hayoti boshlanadi. Fayllarni shifrlash va qattiq diskning yuklash maydonini yozishdan so'ng, u o'sha tarmoqdagi boshqa kompyuterlarga o'tishga harakat qiladi. Buning uchun uning ikkita usuli bor. Birinchisi, SMBv1 tarmoq xizmatidagi zaiflik. U "Tarmoqli mahalla" uchun javobgardir, ammo ushbu 1-sonli versiya anchadan beri amalda ishlatilmayapti. Biroq, u zamonaviyda ham sukut bo'yicha yoqilgan windows versiyalari... Ushbu zaiflik mart oyida ommaviylashdi, qachonki kod ishlatilsa, NSA ma'lumotlari orasida bo'lgan va u may oyida minglab kompyuterlarni yuqtirgan WannaCry virusi tomonidan ishlatilgan. Ushbu epidemiyadan so'ng, faqat dangasa yoki eng jasur odam Windows yamoqlarini o'rnatmadi.

Ammo ikkinchi yo'l ham bor. "Petya", agar administrator huquqiga ega foydalanuvchi tomonidan ishga tushirilsa, hamma haqida ma'lumot oladi hisob-kitoblar kompyuterda, shu jumladan ushbu tashkilotda ishlatiladigan domen - tarmoq. Ushbu ma'lumot bilan qurollangan virus tarmoqdagi boshqa kompyuterlarga kirish huquqini qo'lga kiritishi va ularni yuqtirishi mumkin.

Agar yuqtirgan bo'lsangiz, nima qilish kerak

Birinchidan, hech qanday holatda Bitcoin hamyoniga pul o'tkazmang. Hoster allaqachon bloklangan pochta qutisi, virus ko'rsatmasiga binoan, jabrlanuvchi to'lovni tasdiqlovchi hujjatni yuborishi kerak. Hatto zararli dastur mualliflari so'zlarini bajarib, qulfni ochish uchun kalitlarni chiqarish uchun pul olsalar ham, endi buni bajara olmaydilar.

Ikkinchidan, ushbu kompyuterdagi ma'lumotlarni parolini hal qila olmasligingiz mumkin. Axborot xavfsizligi bo'yicha mutaxassislar sizga qattiq diskni darhol formatlashni va zaxira nusxalaridan fayllarni tiklashni boshlashni maslahat berishadi.

Agar siz hali yuqtirmagan bo'lsangiz, nima qilish kerak

Katalogda yarating C: \\ Windows nomli fayl mukammal (kengaytma yo'q, ammo ism ham mos bo'lganligi haqida ma'lumot mavjud abdullaeva) va fayl xususiyatlarida "Faqat o'qish" katagiga belgi qo'ying. Virus ushbu fayl mavjudligini tekshiradi va agar ko'rsa, kompyuter allaqachon "ishlayapti" deb o'ylaydi.

Ma'lumotlarning zaxira nusxasini tashqi muhitga muntazam ravishda joylashtiring. Bu oddiy bo'lishi mumkin tashqi disk (lekin doimiy ravishda ulanishi shart emas) yoki nusxa ko'chirish fayllariga to'g'ridan-to'g'ri kirish huquqini bermaydigan tarmoq xizmati yoki bulut - yana qaytish imkoniyati bilan oldingi versiyalar fayllar.

Antivirus dasturlari deyarli har bir foydalanuvchining kompyuterida o'rnatiladi, lekin ba'zida troyan yoki virus eng ko'p chetlab o'tadigan paydo bo'ladi yaxshiroq himoya va qurilmangizga yuqtirish, yoki undan ham yomoni, ma'lumotlaringizni shifrlash. Bu safar bunday virus Petya troyan shifrlash vositasi yoki uni Petya deb ham atashgan. Ushbu tahdidning tarqalish darajasi juda ta'sirli: u bir necha kun ichida Rossiya, Ukraina, Isroil, Avstraliya, AQSh, nafaqat Evropaning barcha yirik davlatlariga "tashrif buyurishga" muvaffaq bo'ldi. Bu asosan korporativ foydalanuvchilarga (aeroportlar, elektr stantsiyalari, turizm) zarba berdi, ammo oddiy odamlar ham bundan aziyat chekishdi. O'zining ko'lami va ta'sir qilish usullari jihatidan u yaqinda shov-shuvli voqealarga juda o'xshash.

Yangi Petya ransomware troyaniga tushib qolmaslik uchun siz shubhasiz kompyuteringizni himoya qilishingiz kerak. Ushbu maqolada sizga ushbu Petya virusi nima ekanligini, u qanday tarqalishini va o'zingizni ushbu tahdiddan qanday himoya qilishni aytib beraman. Bundan tashqari, biz troyan dasturini olib tashlash va ma'lumotlarni parolini hal qilish masalalariga to'xtalamiz.

Petya virusi nima?

Birinchidan, biz Petya nima ekanligini tushunishimiz kerak. Petya virusi zararli dasturiy ta'minot bo'lib, u to'lov dasturiga o'xshash troyan (ransomware). Ushbu viruslar shifrlangan ma'lumotlar uchun to'lovni olish uchun yuqtirilgan qurilmalar egalarini shantaj qilish uchun mo'ljallangan. Wanna Cry-dan farqli o'laroq, Petya alohida fayllarni shifrlash bilan ovora emas - deyarli butun qattiq diskingizni darhol olib qo'yadi.

Yangi virusning to'g'ri nomi Petya.A. Bundan tashqari, Kasperskiy uni NotPetya / ExPetr deb ataydi.

Petya virusining tavsifi

Kompyuteringizga ishlagandan so'ng windows tizimlari.Petya deyarli bir zumda shifrlaydi MFT (Asosiy fayl jadvali). Ushbu jadval nima uchun javobgardir?

Tasavvur qiling, sizning qattiq diskingiz butun koinotdagi eng katta kutubxona. Unda milliardlab kitoblar mavjud. Xo'sh, kerakli kitobni qanday topish mumkin? Faqat kutubxona katalogidan foydalanish. Petya buzadigan ushbu katalog. Shunday qilib, shaxsiy kompyuteringizda biron bir "fayl" topish imkoniyatini yo'qotasiz. Aniqroq qilib aytganda, Petyaning "ishi" dan so'ng, sizning kompyuteringizning qattiq diskida bo'rondan keyin kutubxonaga o'xshaydi, hamma joyda kitob parchalari uchib yuribdi.

Shunday qilib, men maqolaning boshida aytib o'tgan Wanna Cry-dan farqli o'laroq, Petya.A shifrlamaydi alohida fayllar, bunga ta'sirchan vaqt sarflash - shunchaki ularni topish uchun sizdan har qanday imkoniyatni olib qo'yadi.

Barcha manipulyatsiyalaridan so'ng, u foydalanuvchilardan to'lovni talab qiladi - 300 dollar, uni bitcoin hisobiga o'tkazish kerak.

Piter virusini kim yaratgan?

Virusni yaratishda Petya Windows operatsion tizimida "EternalBlue" deb nomlangan ekspluatatsiya ("teshik") dan foydalangan. Microsoft bir necha oy oldin ushbu teshikni "yopadigan" yamoq chiqardi, ammo hamma ham litsenziyadan foydalanmaydi windows nusxasi va barcha tizim yangilanishlarini o'rnatadi, to'g'rimi?)

"Petit" yaratuvchisi korporativ va xususiy foydalanuvchilarning beparvoligidan oqilona foydalanib, unga pul ishlashga muvaffaq bo'ldi. Uning shaxsi hali noma'lum (va ma'lum bo'lishi ehtimoldan yiroq emas)

Petya virusi qanday tarqaladi?

Petya virusi ko'pincha qo'shimchalar niqobi ostida tarqaladi elektron pochta xabarlari va pirat virusli dastur bilan arxivlarda. Qo'shimchada mutlaqo har qanday fayl, shu jumladan fotosurat yoki mp3 bo'lishi mumkin (bu birinchi qarashda shunday ko'rinadi). Faylni ishga tushirgandan so'ng, kompyuteringiz qayta ishga tushiriladi va virus disk tekshirilishini simulyatsiya qiladi cHKDSK xatolariva hozirda kompyuteringizning yuklash yozuvini (MBR) o'zgartiradi. Shundan so'ng, kompyuteringiz ekranida qizil bosh suyagini ko'rasiz. Istalgan tugmachani bosish orqali siz matnga kirishingiz mumkin, unda siz fayllaringizni parolini ochish uchun to'lovni talab qilasiz va kerakli summani bitcoin hamyoniga o'tkazasiz.

O'zingizni Petya virusidan qanday himoya qilishingiz mumkin?

  • Eng muhim va asosiy narsa - operatsion tizimingiz uchun yangilanishlarni o'rnatishni qoidaga aylantiring! Bu nihoyatda muhim. Buni hozir qiling, kechiktirmang.
  • Xatlarga biriktirilgan barcha qo'shimchalarga, hatto siz tanigan kishilardan kelgan maktublarga ham alohida e'tibor bering. Epidemiya paytida ma'lumotlarni uzatishning muqobil manbalaridan foydalanish yaxshiroqdir.
  • OS sozlamalarida "Fayl kengaytmalarini ko'rsatish" parametrini faollashtiring - shunda siz har doim haqiqiy fayl kengaytmasini ko'rishingiz mumkin.
  • Windows sozlamalarida "Foydalanuvchi hisobini boshqarish" -ni yoqing.
  • Infektsiyani oldini olish uchun ulardan birini o'rnatishingiz kerak. OS uchun yangilanishni o'rnatishni boshlang, keyin antivirusni o'rnating va siz allaqachon oldingisiga qaraganda ancha xavfsizroq bo'lasiz.
  • "Zaxira nusxalarini" yaratganingizga ishonch hosil qiling - barcha muhim ma'lumotlarni saqlang tashqi qattiq disk yoki bulut. Keyinchalik, agar Petya virusi sizning kompyuteringizga kirib, barcha ma'lumotlarni shifrlasa, siz qattiq diskni formatlashingiz va OSni qayta o'rnatishingiz juda oson bo'ladi.
  • Har doim antivirus ma'lumotlar bazalarining yangilanganligini tekshiring. Hammasi yaxshi antiviruslar Tahdidlarni kuzatib boring va ularga o'z vaqtida javoban tahdid imzolarini yangilang.
  • O'rnatish bepul yordam dasturi Kasperskiy Anti-Ransomware dasturi. Bu sizni shifrlash viruslaridan himoya qiladi. Ushbu dasturni o'rnatish sizni antivirusni o'rnatish ehtiyojidan xalos qilmaydi.

Petya virusini qanday olib tashlash mumkin?

Petya.A virusini qattiq diskdan qanday olib tashlash mumkin? Bu juda qiziq savol. Haqiqat shundaki, agar virus allaqachon sizning ma'lumotlaringizni to'sib qo'ygan bo'lsa, unda aslida yo'q qiladigan narsa bo'lmaydi. Agar siz to'lov dasturini to'lashni rejalashtirmasangiz (buni qilmasligingiz kerak bo'lsa) va kelajakda diskdagi ma'lumotlarni qayta tiklashga urinmasangiz, diskni formatlashingiz va OSni qayta o'rnatishingiz kerak. Shundan so'ng, virusning izi bo'lmaydi.

Agar sizning diskingizda virusli fayl mavjudligiga shubha qilsangiz, disklaringizni ulardan biri bilan skanerlang yoki Kasperskiy antivirusini o'rnating va tizimni to'liq skanerlang. Ishlab chiquvchi uning imzosi bazasida ushbu virus haqida ma'lumot allaqachon mavjudligiga ishontirdi.

Dekoder Petya.A

Petya.A ma'lumotlaringizni juda kuchli algoritm bilan shifrlaydi. Hozirda qulflangan ma'lumotlarning parolini echish uchun echim yo'q. Bundan tashqari, siz uyda ma'lumotlarga kirishga urinmasligingiz kerak.

Shubhasiz, biz hammamiz mo''jizaviy shifrlovchi Petya.A-ni olishni orzu qilar edik, ammo shunchaki bunday echim yo'q. Virus bir necha oy oldin dunyoga zarba berdi, ammo shifrlangan ma'lumotlarning parolini ochadigan davo topilmadi.

Shuning uchun, agar siz hali Petya virusining qurboniga aylanmagan bo'lsangiz, maqolaning boshida bergan maslahatimni tinglang. Agar siz shunga qaramay ma'lumotlaringizni boshqarish huquqini yo'qotgan bo'lsangiz, unda sizda bir necha usullar mavjud.

  • Pul to'lang. Buni qilish mantiqsiz!Mutaxassislar allaqachon virusni yaratuvchisi shifrlash usulini hisobga olgan holda ma'lumotlarni qayta tiklamasligini va qayta tiklay olmasligini aniqladilar.
  • Qattiq diskni qurilmangizdan chiqarib oling, ehtiyotkorlik bilan idishga soling va dekoder paydo bo'lishini kuting. Aytgancha, Kasperskiy laboratoriyasi bu yo'nalishda doimiy ish olib boradi. No Ransom veb-saytida mavjud bo'lgan dekoderlar mavjud.
  • Diskni formatlash va operatsion tizimni o'rnatish. Minus - barcha ma'lumotlar yo'qoladi.

Rossiyada Petya.A virusi

Ushbu maqola yozilayotganda Rossiya va Ukrainada 80 dan ortiq kompaniyalar, shu jumladan Bashneft va Rosneft kabi yirik kompaniyalar hujumga uchragan va yuqtirilgan. Bunday yirik kompaniyalar infratuzilmasining yuqishi Petya.A virusining jiddiyligini ko'rsatadi. Ransomware troyan dasturi butun Rossiya bo'ylab tarqalishda davom etishiga shubha yo'q, shuning uchun siz ma'lumotlaringiz xavfsizligi to'g'risida g'amxo'rlik qilishingiz va maqolada keltirilgan tavsiyalarga amal qilishingiz kerak.

Petya.A va Android, iOS, Mac, Linux

Ko'pgina foydalanuvchilar xavotirda - «Petya virusi ularning qurilmalariga yuqishi mumkin android va iOS. Men ularni tinchlantirishga shoshilaman - yo'q, mumkin emas. U faqat Windows foydalanuvchilari uchun mo'ljallangan. Xuddi shu narsa Linux va Mac muxlislariga tegishli - siz yaxshi uxlashingiz mumkin, sizga hech narsa tahdid solmaydi.

Xulosa

Shunday qilib, bugun biz yangi Petya.A virusini batafsil muhokama qildik. Biz ushbu troyan nima ekanligini va u qanday ishlashini tushunib etdik, o'zimizni yuqtirishdan qanday himoya qilish va virusni olib tashlashni va Petya dekryptorini qaerdan olish kerakligini bilib oldik. Umid qilamanki ushbu maqola va mening maslahatlarim siz uchun foydali bo'ldi.

  • Axborot xavfsizligi

    • Joriy yilning may oyida qayd etilgan WannaCry to'lov dasturining virusli shov-shuvli kampaniyasidan so'ng, 27 iyun kuni Rossiya va Ukrainadagi 80 dan ortiq kompaniyalar Petya to'lov dasturidan foydalangan holda yangi hujum qurboniga aylanishdi. Va bu kampaniya WannaCry bilan umuman bog'liq emas bo'lib chiqdi. Positive Technologies mutaxassislari yangi zararli dasturlarning batafsil tahlilini taqdim etishdi va unga qarshi kurashish bo'yicha tavsiyalar berishdi.

    Tovlamachilik qurbonlari allaqachon Ukraina, Rossiya va xalqaro kompaniyalar, xususan, "Novaya pochta", "Zaporojyeoblenergo", "Dneproenergo", "Oschadbank", TRK Lux, Mondelēz International, TESA, Nivea, Mars, LifeCell operatorlari, UkrTeleKom, Kyivstar va boshqa ko'plab tashkilotlarga aylangan. Kiyevda do'konlardagi ba'zi bankomatlar va POS-terminallar ham yuqtirildi. Aynan Ukrainada birinchi hujumlar qayd etilgan.

    Bizning mutaxassislarimiz tomonidan amalga oshirilgan to'lov dasturini tahlil qilish shuni ko'rsatdiki, Petyaning ishlash printsipi asosiy kodni shifrlashga asoslangan yuklash yozuvi (MBR) diskning yuklash sektori va uni o'zingiznikiga almashtiring. Ushbu kirish birinchi sektor qattiq disk, unda bo'lim jadvali va tizimning qattiq diskning qaysi qismidan yuklanishi haqida ushbu jadvaldan ma'lumotlarni o'qiydigan yuklovchi dastur mavjud. Asl MBR diskning 0x22-qismida saqlanadi va 0x07 bilan baytli XOR operatsiyasi yordamida shifrlanadi.

    Zararli faylni ishga tushirgandan so'ng, kompyuterni qayta ishga tushirish uchun 1-2 soatga kechiktirilgan vazifa yaratiladi, shu vaqtda siz boshlash uchun vaqt topishingiz mumkin buyruq bootrec / fixMbr MBR-ni qayta tiklash va operatsion tizimni tiklash. Shunday qilib, tizim buzilganidan keyin ham uni ishga tushirish mumkin, ammo fayllarni parolini ochib bo'lmaydi. Har bir disk uchun alohida AES tugmasi hosil bo'ladi, u shifrlash tugamaguncha xotirada mavjud. U shifrlangan ochiq kalit RSA va o'chirildi. Tugatgandan so'ng tarkibni tiklash uchun maxsus kalitni bilish kerak, shuning uchun kalitni bilmasdan ma'lumotlarni qayta tiklash mumkin emas. Ehtimol, zararli dastur fayllarni maksimal 15 ta katalogga qadar shifrlaydi. Ya'ni, chuqur joylashtirilgan fayllar xavfsizdir (hech bo'lmaganda to'lov dasturining ushbu modifikatsiyasi uchun).

    Agar disklar qayta ishga tushirilgandan so'ng muvaffaqiyatli shifrlangan bo'lsa, ekranda faylni ochish tugmachasini olish uchun 300 dollar (2017 yil 27-iyundan boshlab - taxminan 0,123 bitkoin) miqdorida to'lovni to'lashingizni so'ragan xabar paydo bo'ladi. Bitcoin hamyoni 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX pul o'tkazish uchun ko'rsatilgan. Hujum boshlanganidan bir necha soat o'tgach, hamyon talab qilingan miqdordan ko'p bo'lgan operatsiyalarni qabul qilmoqda - ba'zi qurbonlar tadqiqotchilar zararli dasturni o'rganishini kutib o'tirmasdan to'lovni to'lashni tanladilar va faylni tiklash vositasini topishga harakat qilishdi.

    Ayni paytda bitimlar soni 45 taga ko'paygan.

    Petya tarqatish uchun TCP 135, 139, 445 portlaridan foydalanadi (SMB va WMI xizmatlaridan foydalangan holda). Tarmoq ichida boshqa tugunlarga tarqatish bir necha usulda sodir bo'ladi: bilan windows-dan foydalanish Boshqaruv asboblari (WMI) va PsExec, shuningdek MS17-010 (EternalBlue) zaifligidan foydalanadigan ekspluatatsiya. WMI - Windows platformasida ishlaydigan kompyuter infratuzilmasining turli qismlarini markazlashgan boshqarish va monitoring qilish texnologiyasi. PsExec Windows ma'muriyati uchun keng qo'llaniladi va masofaviy tizimlarda jarayonlarni bajarishga imkon beradi. Ammo, ushbu yordam dasturlaridan foydalanish uchun siz jabrlanuvchining kompyuterida mahalliy ma'mur imtiyozlariga ega bo'lishingiz kerak, ya'ni to'lov dasturini tarqatish faqat foydalanuvchisi maksimal OS imtiyozlariga ega bo'lgan qurilmalarda davom etishi mumkin. EternalBlue ekspluatatsiyasi zaif tizimda maksimal imtiyozlarga ega bo'lishga imkon beradi. Ridomware shuningdek Mimikatz kommunal xizmatidan foydalanish uchun foydalanadi ochiq shakl Windows-ning barcha foydalanuvchilari, shu jumladan mahalliy ma'murlar va domen foydalanuvchilari... Ushbu vositalar to'plami Petyaga WannaCry darsi hisobga olingan va tegishli xavfsizlik yangilanishlari o'rnatilgan infratuzilmalarda ham ishlashga imkon beradi, shuning uchun to'lov dasturi juda samarali.

    Zamonaviy korporativ infratuzilmalarning penetratsion sinovlari doirasida Positive Technologies mutaxassislari doimiy ravishda EternalBlue ekspluatatsiyasidan foydalanish imkoniyatini namoyish etadilar (2017 yildagi ishlarning 44 foizida), shuningdek Mimikatz yordam dasturidan domen ustidan to'liq nazorat olinmaguncha hujum vektorini ishlab chiqish uchun muvaffaqiyatli foydalanish (har bir loyihada).

    Shunday qilib, Petya boshqa kompyuterlarga tarqalishiga imkon beradigan funksionallikka ega va bu jarayon ko'chkiga o'xshaydi. Bu to'lov dasturiga domen tekshirgichini buzishga va barcha domen tugunlari ustidan nazoratni qo'lga kiritguncha hujumni rivojlantirishga imkon beradi, bu esa infratuzilmaning to'liq kelishuviga tengdir.

    Biz bir oydan ko'proq vaqt oldin mavjud bo'lgan murosaga kelish xavfi haqida WannaCry hujumi to'g'risida ogohlantirishlarda xabar bergan edik va zaif tizimlarni aniqlash, ularni qanday himoya qilish va agar hujum allaqachon sodir bo'lgan bo'lsa, nima qilish kerakligi haqida tavsiyalar berdik. Ushbu maqolada qo'shimcha tavsiyalar beramiz. Bundan tashqari, bizning kompaniyamiz bepul yordam dasturini ishlab chiqdi WannaCry_Petya_FastDetect infratuzilmaning zaif tomonlarini avtomatlashtirilgan tarzda aniqlash uchun. MaxPatrol tizimi ushbu zaiflikni Audit va Pentest rejimlarida aniqlaydi. batafsil ko'rsatmalar bizning tavsiyalarimizda ko'rsatilgan. Bundan tashqari, MaxPatrol SIEM Petya hujumlarini aniqlash uchun tegishli korrelyatsiya qoidalariga ega.

    Ijobiy texnologiyalar mutaxassislari aniqladilar "Kill-switch" - to'lov dasturini mahalliy ravishda o'chirib qo'yish qobiliyati. Agar jarayon OS-da ma'muriy imtiyozlarga ega bo'lsa, unda MBR-ni almashtirishdan oldin, ransomware faylni tekshiradi mukammal (yoki boshqasi) bo'sh fayl boshqa nom bilan) kengaytirmasdan katalogda C: \\ Windows\\ (katalog kodlangan). Ushbu fayl xuddi shu nomga ega dll kutubxonasi ushbu to'lov dasturi (lekin kengaytmasi yo'q).

    Belgilangan katalogda bunday faylning mavjudligi murosaga erishish ko'rsatkichlaridan biri bo'lishi mumkin. Agar fayl ushbu katalogda mavjud bo'lsa, u holda zararli dasturni bajarish jarayoni tugaydi va shu bilan fayl yaratiladi to'g'ri ism MBR-ning soxtalashtirilishi va keyingi shifrlashning oldini olishi mumkin.

    Agar skanerlash paytida ransomware bunday faylni topmasa, u holda fayl yaratiladi va zararli dasturni bajarish jarayoni boshlanadi. Ehtimol, bu MBRni almashtirish jarayoni qayta boshlamasligi uchun sodir bo'lmoqda.

    Boshqa tomondan, agar jarayon dastlab ma'muriy imtiyozlarga ega bo'lmasa, unda ransomware C: \\ Windows \\ katalogidagi bo'sh faylni tekshira olmaydi va fayllarni shifrlash jarayoni hali ham boshlanadi, ammo MBR-ni o'zgartirmasdan va kompyuterni qayta yoqmasdan.
    Bunday hujum qurboniga aylanmaslik uchun, avvalo, eng so'nggi versiyalarga mo'ljallangan dasturiy ta'minotni yangilashingiz, xususan, MS Windows-ning barcha so'nggi yangilanishlarini o'rnatishingiz kerak. Bundan tashqari, ish stantsiyalarida foydalanuvchi imtiyozlarini minimallashtirish kerak.

    Agar infektsiya allaqachon sodir bo'lgan bo'lsa, biz tavsiya qilmang tajovuzkorlarga pul to'lash. Pochta manzili buzuvchilar [elektron pochta bilan himoyalangan] bloklandi va hatto to'lov to'langan taqdirda ham, fayllarning parolini ochish kaliti olinmasligi mumkin. Tarmoqdagi to'lov dasturining tarqalishini oldini olish uchun virus yuqmagan boshqa kompyuterlarni o'chirib qo'yish, virusli xostlarni tarmoqdan ajratish va buzilgan tizimlarning rasmlarini olish tavsiya etiladi. Agar tadqiqotchilar fayllarni parolini ochish usulini topsalar, blokirovka qilingan ma'lumotlarni kelajakda tiklash mumkin. Bundan tashqari, bu rasm tadqiqotchilarga o'z ishlarida yordam berish uchun to'lov dasturini tahlil qilish uchun ishlatilishi mumkin.

    Uzoq muddatli istiqbolda ijtimoiy muhandislik usullaridan foydalangan holda kompaniya infratuzilmasiga mumkin bo'lgan hujumlarning amaliy misollarini namoyish etish asosida xodimlarning axborot xavfsizligi masalalari to'g'risida xabardorligini oshirish maqsadida ularni muntazam o'qitish tizimini ishlab chiqish tavsiya etiladi. Bunday treninglarning samaradorligini muntazam tekshirib turish kerak. Shuningdek, barcha kompyuterlarda o'zini o'zi himoya qilish funktsiyasiga ega antivirus dasturini o'rnatish kerak, buning uchun sozlamalarni o'chirish yoki o'zgartirish uchun maxsus parolni kiritish kerak. Bundan tashqari, dasturiy ta'minot va operatsion tizimlarning korporativ infratuzilmaning barcha tugunlarida muntazam ravishda yangilab turilishini ta'minlash, shuningdek zaifliklar va yangilanishlarni boshqarish uchun samarali jarayonni ta'minlash kerak. ISning doimiy tekshiruvlari va penetratsion sinovlari mavjud xavfsizlik nuqsonlari va tizimning zaif tomonlarini o'z vaqtida aniqlashga imkon beradi. Korporativ tarmoq perimetrini muntazam ravishda kuzatib borish sizga Internet tarmog'ida mavjud bo'lgan tarmoq xizmatlari interfeyslarini boshqarish va o'z vaqtida konfiguratsiyaga o'zgartirishlar kiritish imkoniyatini beradi. xavfsizlik devorlari... Hujumni o'z vaqtida aniqlash va to'xtatish uchun ichki tarmoq infratuzilmasini kuzatib borish kerak, buning uchun SIEM sinf tizimidan foydalanish tavsiya etiladi.

    Petya infratuzilmasiga hujumni aniqlash uchun quyidagi ko'rsatkichlardan foydalanish mumkin:

    • C: \\ Windows \\ perfs
    • Windows Scheduler-dagi bo'sh ism va amal bilan vazifa (qayta yuklash)
    • "% WINDIR% \\ system32 \\ shutdown.exe / r / f"
    IDS / IPS qoidalarini o'qqa tutish:
    • msg: "Amalga oshirilmagan Trans2 pastki buyruq kodi. Mumkin bo'lgan ETERNALBLUE (WannaCry, Petya) vositasi"; sid: 10001254; rev: 2;
    • msg: "ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
    • msg: "Trans2 Sub-Command 0x0E. Ehtimol ETERNALBLUE (WannaCry, Petya) vositasi"; sid: 10001256; rev: 2;
    • msg: "Petya ransomware perfc.dat komponentasi"; sid: 10001443; rev: 1
    • msg: "SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev: 1
    Imzolar:

    Petya virusi - 2017 yil 27-iyun kuni Ukrainadagi deyarli barcha yirik korxonalarni tashkil etgan tez sur'atlar bilan o'sib borayotgan virus. Petya virusi sizning fayllaringizni shifrlaydi va keyin ular uchun to'lovni taqdim etadi.

    Yangi virus kompyuterning qattiq diskiga zarar etkazadi va fayllarni shifrlash virusi sifatida ishlaydi. Ma'lum vaqtdan so'ng Petya virusi kompyuteringizdagi fayllarni "yeydi" va ular shifrlanib qoladi (xuddi fayllar arxivlangan va og'ir parol o'rnatgan kabi)
    Petya ransomware virusidan aziyat chekkan fayllarni keyinroq tiklab bo'lmaydi (ularni qayta tiklaydigan foizlar bor, lekin bu juda kichik)
    Petya virusidan zarar ko'rgan fayllarni qayta tiklaydigan algoritm yo'q
    Ushbu qisqa va ENG foydali maqola bilan siz o'zingizni #Petya virusidan himoya qilishingiz mumkin

    Petya yoki WannaCry virusini qanday aniqlash va yuqtirmaslik

    Internet orqali faylni yuklab olayotganda, uni onlayn antivirus bilan tekshiring. Onlayn antivirus fayldagi virusni oldindan aniqlashi va Petya yuqishini oldini olishi mumkin. Siz qilishingiz kerak bo'lgan narsa - yuklab olingan faylni VirusTotal yordamida tekshirib, keyin ishga tushirish. Agar siz PETYA VIRUSINI O'RNATGAN bo'lsangiz ham, virusli faylni ishga tushirmagan bo'lsangiz ham, virus faol emas va zarari yo'q. Faqat zararli faylni ishga tushirgandan so'ng siz virusni ishga tushirasiz, buni eslang

    Hatto ushbu usuldan foydalanish sizga PETYA VIRUSI bilan bog'liq bo'lmaslik uchun barcha imkoniyatlarni beradi.
    Petya virusi quyidagicha ko'rinadi:

    O'zingizni Petya virusidan qanday himoya qilish kerak

    Kompaniya Symanteco'zingizni Petya virusidan himoya qilishingiz mumkin bo'lgan echimni taklif qildim, u allaqachon o'rnatilgandek.
    Petya virusi kompyuterga kirganda papkada yaratadi C: \\ Windows \\ perfc fayl mukammal yoki muborak.dll
    Virus allaqachon o'rnatilgan deb o'ylashi va o'z faoliyatini davom ettirmasligi uchun papkada yarating C: \\ Windows \\ perfc bo'sh tarkibli faylni saqlang va o'zgartirish rejimini "Faqat o'qish uchun" o'rnatib saqlang
    Yoki virus-petya-perfc.zip-ni yuklab oling va papkani oching mukammaljildga C: \\ Windows \\ va o'zgartirish rejimini "Faqat o'qish" ga o'rnating
    Virus-petya-perfc.zip-ni yuklab oling



    YANGILANGAN 06/29/2017
    Ikkala faylni ham yuklashni tavsiya qilaman windows jildi... Ko'pgina manbalar bu faylni yozadi mukammal yoki muborak.dllpapkada bo'lishi kerak C: \\ Windows \\

    Agar kompyuteringizda allaqachon Petya virusi yuqsa nima qilish kerak

    Sizga allaqachon Petya virusini yuqtirgan kompyuterni yoqmang. Petya virusi shunday ishlaydi, virus yuqtirgan kompyuter yoqilganda, u fayllarni shifrlaydi. Ya'ni, Petya virusidan zarar ko'rgan kompyuterni yoqib tursangiz, yangi va yangi fayllar yuqishi va shifrlanishi mumkin.
    Vinchester ushbu kompyuter tekshirishga arziydi. Siz antivirus bilan LIVECD yoki LIVEUSB yordamida tekshirishingiz mumkin
    Kasperskiy Rescue Disk 10 bilan yuklanadigan USB flesh haydovchi
    Dr.Web LiveDisk bootable USB flesh haydovchi

    Petya virusini kim butun Ukrainaga tarqatadi

    Microsoft global tarmoq infektsiyasiga o'z nuqtai nazarini bildirdi yirik kompaniyalar Ukraina. Buning sababi M.E.Doc dasturining yangilanishi edi. M.E.Doc - mashhur buxgalteriya dasturlari, shuning uchun virus yangilanishga kirib, Petya virusini M.E.Doc dasturi o'rnatilgan minglab shaxsiy kompyuterlarga o'rnatganligi sababli kompaniyaning bunday katta punkti. Va virus bir xil tarmoqdagi kompyuterlarni yuqtirganligi sababli, u chaqmoq tezligida tarqaldi.
    #: Petya virusi Android, Petya virusini yuqtiradi, Petya virusini qanday aniqlash va yo'q qilish, Petya virusini qanday davolash kerak, M.E.Doc, Microsoft, Petya virusi papkasini yaratish

    Germaniya Axborot xavfsizligi federal idorasi dunyoning o'nlab davlatlariga zarba bergan keng ko'lamli kiberhujum Ukraina hududidan kelib chiqqan deb hisoblaydi. Vazirlik Ukrainaning buxgalteriya dasturi M.E.Doc orqali Petya virusi tarqalishi to'g'risida ishonchli ma'lumotni ko'rib chiqishini ta'kidladi.

    "Kiberhujumning manbai va asosiy yo'nalishi Ukrainada ko'rinadi, garchi hujum global miqyosga aylangan bo'lsa ham", deyiladi BSI tashkilotning rasmiy saytida joylashtirilgan bayonotida.

    «Ma'lumotlarga ko'ra, zararli dastur Ukrainada keng tarqalgan buxgalteriya hisobi dasturiy ta'minotini yangilash funktsiyasi orqali tarqaldi. Ilgari, BSI ushbu tezisni ishonchli deb hisoblaydi », - deyiladi vazirlik xabarida.

    BSI rahbari Arne Shonbomning aytishicha, hozirgi kiberhujumlar to'lqini biznes va tashkilotlarning raqamli dunyoda qanchalik zaif bo'lishi mumkinligini yana bir bor namoyish etadi.

    «O'tkir inqiroz munosabati bilan biz buni qilishga chaqiramiz axborot xavfsizligi eng ustuvor vazifa », - dedi Shonbom.

    Ukrainada ishlab chiqarilgan buxgalteriya dasturi M.E.Doc Ukrainada Petya virusining tarqalishining asosiy kanaliga aylanganligi to'g'risida ma'lumot ilgari Ukraina Kiber politsiya boshqarmasi matbuot xizmati tomonidan tarqatilgan edi.

    Bunga javoban M.E.Doc ishlab chiqaruvchilari kiberxavfsizlik bo'yicha mutaxassislarning xulosalari noto'g'ri ekanligini ta'kidladilar, chunki joriy versiya Xizmat to'plami 22-iyun kuni chiqarildi va barcha fayllar viruslarga tekshirildi.

    "M.E.Doc ishlab chiqish guruhi rad etadi ushbu ma'lumot va bunday xulosalar shubhasiz xato ekanligini e'lon qiladi, chunki M.E.Doc developer, mas'ul etkazib beruvchi sifatida dasturiy mahsulot, o'z kodini xavfsiz va toza saqlaydi. Buning uchun yirik antivirus kompaniyalari bilan xavfsizligini tahlil qilish va tasdiqlash uchun bajariladigan ikkilik fayllarni taqdim etish bo'yicha shartnomalar tuzildi. Shuningdek, har bir yangilanish chiqarilishidan oldin M.E.Doc o'z fayllarini antivirus kompaniyalariga tahlil qilish uchun yuboradi », - deyiladi kompaniya xabarida.

    28 iyun kuni kechqurun Kiyevda M.E.Doc dasturchilarining kiberhujumlarga bag'ishlangan matbuot anjumani bo'lib o'tadi.

    Shunisi qiziqki, ko'pincha sanktsiyalangan Rossiyaning 1C-ga haqiqiy alternativ deb ataladigan M.E.Doc dasturi birinchi marta o'z foydalanuvchilari uchun muammolarning manbaiga aylanayotgani yo'q. Masalan, shu yilning may oyida M.E.Doc yangilanish tizimi orqali shu kabi ransomware virusi XData tarqatildi. Biroq, ushbu hujumning oqibatlari unchalik og'ir bo'lmagan, deya qayd etadi Taymer.

    Tadqiqotchi Metyu Svish yangi kiberhujumning xususiyatlari haqida gapirib, The New York Times bilan suhbatda yangi hujumni "WannaCry-ning takomillashtirilgan va zararli versiyasi" deb atadi.

    Amerikaning Symantec dasturiy ta'minot kompaniyasining ma'lumotlariga ko'ra, Petya to'lov dasturida WannaCry virusi bilan bir xil EternalBlue vositasi ishlatiladi, uning may oyida uyushtirilgan hujum 150 ta mamlakatda 200 000 dan ortiq kompyuterlarni ishdan chiqardi.

    "Symantec tahlilchilari Petya ransomware virusi, WannaCry singari, tarqalish uchun EternalBlue ekspluatatsiyasidan foydalanayotganini tasdiqladilar", - deyiladi kompaniya xabarida.

    Ekspluatatsiya - bu zaifliklardan foydalanadigan zararli dastur dasturiy ta'minot... EternalBlue-ning rivojlanishi WannaCry-ning zaifligi tufayli tarqalishiga imkon bergan deb ishoniladi tarmoq protokoli NSA tomonidan ilgari surilgan Windows (SMB), ammo agentlik ushbu da'volarni rad etadi.

    Shu bilan birga, Forbes sharhlovchisi Tomas Foks-Bryus joriy virusni zararli dasturlarning mutlaqo yangi turi deb hisoblash uchun uni, masalan, NotPetya deb atash to'g'ri bo'lar edi, chunki u allaqachon mutaxassislarga ma'lum bo'lgan Petya virusidan ancha farq qiladi.

    EternalBlue ekspluatatsiyasidan tashqari, yangi virus boshqa tarqalish yo'llaridan ham foydalanishi xabar qilingan. NSA ning sobiq tahlilchisi Devid Kennedining ta'kidlashicha, NotPetya virusli kompyuter xotirasida boshqa tizimlarga o'tish uchun parollarni topadi.

    Virus PsExec jarayonlarini masofadan bajarish vositasi yordamida ham tarqaladi: masalan, agar virus yuqtirgan kompyuter tarmoqqa ma'mur kirish huquqiga ega bo'lsa, ushbu tarmoqdagi har bir kompyuter yuqishi mumkin, dedi xavfsizlik bo'yicha mutaxassis Kevin Bomont.

    «Ushbu xavfli birikma virusning hozirgi avj olishi butun dunyoga tez tarqalishining sababi bo'lishi mumkin, garchi oldingi hujumlardan keyin butun dunyo bo'ylab momaqaldiroqlardan so'ng, zaifliklarning aksariyati bartaraf etilishi kerak edi. Ga kirish uchun sizga faqat bitta himoyasiz kompyuter kerak ichki tarmoq, keyin esa virus administratorning huquqlarini o'z zimmasiga oladi va boshqa kompyuterlarga tarqaladi ”, - dedi ESET antivirus kompaniyasi xodimi Robert Lipovski.

    • Kasperskiy laboratoriyasining xodimi RTga yangi virusning xususiyatlari haqida gapirib berdi

    Yangi virusning yana bir xavfli xususiyati shundaki, u yangilangan kompyuterlarga muvaffaqiyatli hujum qilishi mumkin operatsion tizimlarshu jumladan Windows 10, WannaCry esa faqat eski OS versiyalarini yuqtirgan.

    Kasperskiy laboratoriyasining antivirus tadqiqotlari bo'limi boshlig'i Vyacheslav Zakorjevskiyning RTga aytishicha, kompaniya yangi virusni o'ziga xos xususiyatlari tufayli alohida nom berishga qaror qilgan.

    «Bir yil oldin Petya deb nomlangan to'lov dasturi paydo bo'ldi, u dunyoning bir qator kompaniyalariga ham ta'sir qildi. Kecha yangi to'lov dasturi paydo bo'ldi va biz Petya to'lov dasturiga o'xshashligi sababli uni ExPetr deb nomladik, ammo uning faoliyati tubdan farq qiladi. Bu texnik nuqtai nazardan ancha rivojlangan tahdid, shuning uchun alohida nom berishga loyiqdir », - deya ta'kidladi Zakorjevskiy.

    Uning so'zlariga ko'ra, Kasperskiy laboratoriyasining dastlabki ma'lumotlariga ko'ra, Rossiya va Ukraina kompaniyalariga qarshi hujumlar ExPetr to'lov dasturining bir xil versiyasi tomonidan amalga oshirilgan va hozirgi hujumning haqiqiy ko'lamini, ehtimol, bir necha kun ichida tushunish mumkin. ...

    “Ukrainaga qilingan hujum vektoriga kelsak, aniq xulosalar chiqarishga hali erta. Ehtimol, jinoyatchilar keng ma'lumotlarga ega bo'lganligi sababli, masalan elektron pochta manzillari oldingi hujumdan yoki bir oz ko'proq samarali usullar asosiy kuch Ukraina va Rossiyaga tushdi, ammo buni ko'rish kerak ", - deya ta'kidladi ekspert.

    • Reuters

    Avvalroq AQSh razvedkasining sobiq xodimi Edvard Snouden hozirgi kiberhujum ko'lami uchun AQSh Milliy xavfsizlik agentligini ayblagan edi. Uning so'zlariga ko'ra, Petya to'lov dasturlari virusi EternalBlue ekspluatatsiyasi bilan ishlaydi, bu razvedka xizmatlari Windows zaifligidan foydalangan va besh yil davomida ushbu zaiflikni yo'q qilish uchun hech narsa qilmagan.

    Snouden shuningdek, NSAni javobgarlikka tortishga chaqirdi.

    "NSA raqamli qurollarni ishlab chiqarishi javobgarlikka tortilishidan oldin fuqarolik infratuzilmasiga necha marta zarar etkazishi kerak?" U so'radi.

    "Mana, odamlar kuzatuv to'g'risida kelishmovchiliklarga duch kelishlari mumkin, ammo NSA mudofaa o'rniga jinoyatchilikka e'tibor qaratgani sababli Amerika kasalxonalari yopilganda, harakat qilish vaqti keldi", dedi Snouden.

    27-iyun, seshanba kuni bir qator mamlakatlarning o'nlab xususiy va jamoat tashkilotlari keng ko'lamli kiberhujum qurboniga aylanishdi. Asosiy zarba Ukraina va Rossiyaga tushdi, keyin virus Evropa, Amerika va Osiyoga tarqaldi. Zararli dastur yuqtirilgan kompyuterlarning qattiq diskidagi ma'lumotlarni shifrlaydi va ma'lumotni parolini ochish uchun 300 dollar to'lashni talab qiladi. Dunyo bo'ylab kiberxavfsizlik bo'yicha mutaxassislar va razvedka idoralari, jumladan, Federal qidiruv byurosi va AQSh ichki xavfsizlik vazirligi yangi hujumlarni tekshirmoqda.

    Maqola sizga yoqdimi? Do'stlar bilan bo'lishish uchun:
    Siz ham qiziqishingiz mumkin