Počítačový vírus myši. Podobne ako Petya, priateľ Misha: čo vieme o novom víruse. Ako funguje vírus

Vírusy sú neviditeľnou súčasťou ekosystému operačného systému. Väčšinu času hovoríme o Windows a Android, a čo nie je vôbec nešťastné, je OS X a Linux. Navyše, keďže skoršie masové vírusy boli zamerané na kradnutie špeciálnych údajov a ešte jednoduchšie na kradnutie súborov, potom šifrovače teraz „vládnu šou“.

A nie je to prekvapujúce - náklady na počítače aj smartfóny rástli ako lavína, čo znamená, že hardvér pre takéto „pustiny“ je čoraz ťažší.

Práve teraz Fahivtsi odhalili vírus Petya. G DATA SecurityLabs vysvetlil, že vírus vyžaduje administratívny prístup k systému a nešifruje súbory, ale blokuje prístup k nim. Od dnešného dňa je mačka od Peťa (Win32.Trojan-Ransom.Petya.A') už nažive. Samotný vírus je upravený úžasný príspevok Systémové úložisko vás upozorní na núdzové vypnutie počítača a upozorní vás, že dáta na disku sú poškodené. Je to vlastne šifrovanie.

Distribútori škodlivého softvéru požadovali platbu za obnovený prístup.

Dnes, ešte pred vírusom Petya, sa však objavilo ešte viac jemností - Misha. Nevyžaduje administrátorské práva a šifruje dáta ako klasický Ransomware, pričom na disku alebo v priečinku so zašifrovanými dátami vytvára súbory YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT. Existuje návod na odstránenie kľúčov, ktorých cena je približne 875 dolárov.

Je dôležité poznamenať, že infekcia sa vyskytuje prostredníctvom email, keď dostanete exe súbor s vírusmi, maskuje sa ako PDF dokument. A tu nie je potrebné znova hádať - starostlivo skontrolujte stránky s pripojenými súbormi a tiež dávajte pozor, aby ste nestiahli dokumenty z internetu, pretože vírus alebo zlé makro možno stiahnuť zo súboru doc alebo webovej stránky.

Je tiež dôležité, že vírus Misha zatiaľ nemá nástroj na dešifrovanie „diela“.

A nie je to prekvapujúce - náklady na počítače aj smartfóny rástli ako lavína, čo znamená, že hardvér pre takéto „pustiny“ je čoraz ťažší.

Práve teraz Fahivtsi odhalili vírus Petya. G DATA SecurityLabs vysvetlil, že vírus vyžaduje administratívny prístup k systému a nešifruje súbory, ale blokuje prístup k nim. Od dnešného dňa je mačka od Peťa (Win32.Trojan-Ransom.Petya.A') už nažive. Vírus sám upraví poškodený záznam na systémovom úložisku a spôsobí zlyhanie počítača, pričom vás zrejme upozorní, že dáta na disku sú poškodené. Je to vlastne šifrovanie.

Distribútori škodlivého softvéru požadovali platbu za obnovený prístup.

Je dôležité poznamenať, že infekcia sa prenáša elektronickou poštou, pretože dostanete exe súbor s vírusmi, ktoré sa maskujú ako dokument PDF. A tu nie je potrebné znova hádať - starostlivo skontrolujte stránky s pripojenými súbormi a tiež dávajte pozor, aby ste nestiahli dokumenty z internetu, pretože vírus alebo zlé makro možno stiahnuť zo súboru doc alebo webovej stránky.

Je tiež dôležité, že vírus Misha zatiaľ nemá nástroj na dešifrovanie „diela“.

Najprv bolo šifrovacím vírusom infikovaných takmer 230 000 počítačov vo viac ako 150 krajinách. Obete nezachytili dedičstvo tohto útoku, keďže sa objavil nový – pod menom Peťa. V dôsledku toho najviac utrpeli najväčšie ukrajinské a ruské spoločnosti, ako aj národné inštitúcie.

Kybernetická polícia Ukrajiny zistila, že vírusový útok sa začal prostredníctvom mechanizmu aktualizácie účtovného systému. softvérová bezpečnosť M.E.Doc, ktorý slúži na prípravu a posilnenie podávania informácií. Ukázalo sa teda, že siete Bashnaft, Rosnefť, Zaporizhzhyaoblenergo, Dneproenergo a Dnipro Electric Power System neboli jedinečné z hľadiska kontaminácie. Na Ukrajine vírus prenikol do bežných počítačov, PC kyjevského metra, komunikačných operátorov a jadrovej elektrárne v Černobyle. V Rusku trpeli Mondelez International, Mars a Nivea.

Vírus Petya využíva únik EternalBlue na operačnej sále systém Windows. Predstavitelia Symantecu a F-Secure potvrdzujú, že hoci Petya šifruje dáta, podobne ako WannaCry, je stále menej náchylný na iné typy šifrovacích vírusov. "Vírus Petya - tse." nový vzhľad Je to zlý nápad: nešifruje len súbory na disku, ale blokuje celý disk, takže je prakticky nemožné ho odhaliť, vysvetľuje F-Secure. "Zokrema Win šifruje tabuľku súborov hlavy MFT."

Ako sa to deje a ako sa dá tomuto procesu vyhnúť?

Vírus „Petya“ – ako to funguje?

Vírus Petya je známy aj pod inými názvami: Petya.A, PetrWrap, NotPetya, ExPetr. Vstupom do počítača pristupuje k šifrovaciemu nástroju z internetu a má v úmysle niektoré infikovať pevný disk s údajmi potrebnými na údržbu vášho počítača. Ako viete, systém zobrazuje modrú obrazovku smrti („ modrá obrazovka smrť“). Po opätovnom zapojení zanechajte správu o zákruty horkej disk s prohannyam nie viknuti zhizvlennya. Týmto spôsobom sa šifrovací vírus považuje za systémový program Od kontroly disku, šifrovania súborov so špeciálnymi príponami kedykoľvek. Na konci procesu budete upozornení na zablokovanie počítača a informácie o tom, ako získať digitálny kľúč na dešifrovanie údajov. Vírus Petya zvyčajne napáda bitcoiny. Ak obeť nemá záložnú kópiu svojich súborov, stojí pred voľbou zaplatiť sumu 300 USD alebo stratiť všetky informácie. Podľa niektorých analytikov sa vírus už netvári ako feťák, keďže jeho hlavnou úlohou je dodávať masové množstvá.

Ako sa zbaviť Petya?

Fahivtsi odhalil, že vírus Petya pátra lokálny súbor A ak je súbor už na disku, ukončite proces šifrovania. To znamená, že používatelia počítačov môžu chrániť svoj počítač pred škodlivým vírusom vytvorením súboru a jeho nainštalovaním na čítanie.

Bez ohľadu na to, že táto prefíkaná schéma bráni naštartovaniu procesu hojenia, možno túto metódu považovať za „počítačovú vakcináciu“. Týmto spôsobom bude musieť koristuvachev vytvoriť súbor sám. Môžete to urobiť nasledujúcim spôsobom:

Okamžite budete musieť začať s príponami súborov. Prejdite do okna „Možnosti priečinka“ a políčko „Získať rozšírenia na registráciu typov súborov“ nie je začiarknuté.
Otvorte priečinok C:\Windows, posúvajte sa nadol, kým neotvoríte program notepad.exe.
Kliknite ľavým tlačidlom myši na notepad.exe, potom stlačte Ctrl + C na kopírovanie a potom Ctrl + V na prilepenie súboru. Z posledného kroku odstránite požiadavku a udelíte povolenie na kopírovanie súboru.
Kliknite na tlačidlo "Pokračovať" a súbor sa vytvorí ako poznámkový blok - Copy.exe. Kliknite ľavým tlačidlom myši na tento súbor a stlačte kláves F2 a potom sa pozrite na názov súboru Copy.exe a zadajte perfc.
Po zmene názvu súboru na perfc stlačte kláves Enter. Potvrďte premenovanie.
Teraz, keď bol súbor perfc vytvorený, musíte ho sprístupniť mimo čítania. Ak to chcete urobiť, kliknite pravým tlačidlom myši na súbor a vyberte „Napájanie“.
Otvorí sa ponuka oprávnení na súbory. Nižšie si prečítate „Tilki na čítanie“. Začiarknite políčko.
Teraz stlačte tlačidlo „Zmraziť“ a potom tlačidlo „OK“.

Bezpečnostní experti by mali vytvoriť súbory C:\Windows\perfc.dat a C:\Windows\perfc.dll, aby sa lepšie chránili pred vírusom Petya. Nastavenia môžete zopakovať pre ďalšie súbory.

Zabraňujeme odcudzeniu vášho počítača NotPetya / Petya!

Odborníci spoločnosti Symantec radia používateľom počítačov, aby sa chránili pred akciami, ktoré by mohli viesť k zablokovaniu súborov alebo plytvaniu peniazmi.

Neplaťte centy zločincom. Ak však prevediete svoje peniaze vlastníkom, nie je zaručené, že budete môcť obnoviť prístup k svojim súborom. A s NotPetya/Petya je to v podstate jedno, pretože cieľom šifrovača je zbierať dáta a nie kradnúť peniaze.
Zmeňte to, čo pravidelne robíte záložné kópie pocty V tomto prípade, ak sa váš počítač stane cieľom vírusového útoku, môžete obnoviť všetky odstránené súbory.
Neotvárajte to elektronické listy Z pochybných adries. Podvodníci sa vás snažia oklamať v hodine inštalácie Zľavové programy Alebo budete musieť kvôli útokom odstrániť dôležité údaje. Nezabudnite informovať svojich IT pracovníkov o akýchkoľvek problémoch, ktoré sa môžu vyskytnúť, ak vy alebo vaši zamestnanci obsahujú podozrivé listy alebo správy.
Vikorist najspoľahlivejší bezpečnostný softvér. Aktualizácia antivírusového softvéru zohráva dôležitú úlohu pri ochrane počítačov pred infekciou. A samozrejme je potrebné vikorizovať produkty renomovaných firiem v tejto krajine.
Pozrite si mechanizmy skenovania a blokovania upozornení na spam. Vstupné e-maily musia byť kontrolované na hrozby. Je dôležité, aby boli zablokované všetky typy upozornení, ako sú textové správy alebo typy upozornení. Kľúčové slová phishing.
Skontrolujte, či boli aktualizované všetky programy. Pravidelné čistenie rozliateho softvéru je nevyhnutné na elimináciu infekcií.

Prečo musíte sledovať nové útoky?

Vírus Petya sa prvýkrát ohlásil na jar 2016 a jeho správanie okamžite zaznamenali bezpečnostní agenti. Nový vírus Peťa koncom roka 2017 zaútočil na počítače na Ukrajine a v Rusku. Je nepravdepodobné, že sa všetko skončí. Hackerské útoky proti vírusovým vírusom podobným ako Petya a WannaCry, opakuje sa, povedal príhovor šéfa Oschadbank Stanislav Kuznecov. V rozhovore TARS, keď sme sa vopred dozvedeli, že k podobným útokom určite dôjde, je ťažké vopred povedať, v akom formáte môžu zlyhať.

Pretože po všetkých kybernetických útokoch, ktoré sa udiali, ste stále neurobili minimálne množstvo práce na ochranu vášho počítača pred šifrovacím vírusom, nastal čas, aby sme sa zamestnali.

Pred niekoľkými mesiacmi iní účtovníci IT bezpečnosti objavili novú cenu - Petya (Win32.Trojan-Ransom.Petya.A). V klasickom nečestnom víruse to nebol šifrovač, vírus jednoducho zablokoval prístup k určitým typom súborov a vykúpil ich. Vírus upravil záložný záznam na pevnom disku, automaticky znova zabezpečil počítač a zobrazil upozornenie, že „údaje sú zašifrované – zbytočne míňate peniaze na dešifrovanie“. Toto je štandardná schéma na šifrovanie vírusov, s výnimkou, že súbory v skutočnosti neboli zašifrované. Najpopulárnejšie antivírusy začali identifikovať a odstraňovať Win32.Trojan-Ransom.Petya.A niekoľko rokov po tom, čo sa objavil. Okrem toho sa objavili pokyny z manuálneho číselníka. Prečo nás zaujíma, že Peťa nie je klasickým šifrovacím nástrojom? Tento vírus robí zmeny v hlavnom zavádzacom zázname a mení údaje operačného systému a tiež šifruje hlavnú tabuľku súborov. Zašifruje samotné súbory.

Pred pár rokmi sa však objavil rafinovanejší vírus Mišo, Súdiac podľa týchto spisov podľa týchto šahrajov samotných. Tento vírus šifruje súbory a vyžaduje, aby ste za dešifrovanie zaplatili 500 - 875 $ (v rôznych verziách 1,5 - 1,8 bitcoinov). Pokyny na dešifrovanie a platbu zaň sú uložené v súboroch YOUR_FILES_ARE_ENCRYPTED.HTML a YOUR_FILES_ARE_ENCRYPTED.TXT.

Mischa virus – namiesto súboru YOUR_FILES_ARE_ENCRYPTED.HTML

Teraz v skutočnosti hackeri infikujú počítače majiteľov domov dvoma malvérmi: Petya a Mischa. Najprv potrebujete administrátorské práva pre systém. Potom, ak je pravdepodobné, že používateľ uvidí práva správcu Petya, alebo ak tento podvod videl manuálne, Mischa je zahrnutá v práve. Tento vírus nevyžaduje administrátorské práva, používa klasický šifrovací nástroj a efektívne šifruje súbory pomocou silného algoritmu AES a nevykonáva žiadne potrebné zmeny v hlavnom zavádzacom zázname a tabuľke súborov na pevnom disku obete.

Mischa nešifruje len štandardné typy súborov (videá, obrázky, prezentácie, dokumenty), ale aj súbory .exe. Vírus neuloží adresár \Windows, \$Recycle.Bin, \Microsoft, \ Mozilla Firefox,\Opera,\ internet Explorer, \Temp, \Local, \LocalLow a \Chrome.

Infekcia sa najskôr zistí prostredníctvom e-mailu, kde nájdete list s priloženým súborom - inštalátor vírusu. Môže byť zašifrovaný pod hárkom od spoločnosti Submittal, od vášho účtovníka, ako sú uložené potvrdenky a šeky za nákupy atď. Dávajte pozor na prípony súborov takýchto listov - ak je toto konečný súbor (.exe), potom s veľkou istotou môže ísť o kontajner obsahujúci vírus Petya\Mischa. A ak je modifikácia škodlivého softvéru nová, váš antivírus nemusí reagovať.

Aktualizované 30.06.2017: 27 modifikácií červa vírusu Petya (Petya.A) masívne útočia na prokorupcionistov na Ukrajine Efekt tohto útoku bude kolosálny a ekonomický, kým nedôjde k oživeniu. Za jeden deň bola paralyzovaná práca desiatok bánk, obchodná marža, vládne nariadenia a podniky rôznych foriem moci. Vírus sa výrazne rozšíril prostredníctvom úniku v ukrajinskom účtovnom systéme MeDoc so zvyškom automatické aktualizácie tohto PZ. Okrem toho vírus zasiahol krajiny ako Rusko, Španielsko, Veľká Británia, Francúzsko, Litva.

Zistite vírus Petya a Mischa pomocou automatického čističa

Vinyatkovo efektívna metóda Roboty s lacným softvérom boli odpálené softvérom založeným na softvéri. Použitie chemického komplexu, ktorý sa osvedčil a zaručuje spoľahlivosť detekcie akýchkoľvek vírusových zložiek, vrátane vonkajší pohľad Stačí kliknúť na Misha. Pamätajte, že existujú dva rôzne procesy: odinštalovanie infekcie a aktualizácia súborov v počítači. Táto hrozba je neuveriteľne viditeľná, pretože existujú správy o zavedení ďalších počítačových trójskych koní na ich pomoc.

. Po spustení softvéru stlačte tlačidlo Spustite kontrolu počítača(Začnite skenovať).
Nainštalovaný bezpečnostný program vás upozorní, keď sa zistí hrozba. Ak chcete zobraziť všetky známe hrozby, vyberte túto možnosť Opravte hrozby(Usunuti pohroziť). Pozrite sa na zlý bezpečnostný program a uvidíte ho naplno.

Obnovte prístup k šifrovaným súborom

Ako už bolo uvedené, program Mischa uzamkne súbory pomocou silného šifrovacieho algoritmu, takže zašifrované dáta nie je možné mávnutím čarovného prútika obnoviť – pretože nemusíte zaplatiť neočakávanú sumu ako výkupné (niekedy až 1000 $). A tieto metódy môžu byť skutočne čarovným prútikom, ktorý vám pomôže obnoviť dôležité údaje. Nižšie sa s nimi môžete zoznámiť.

Program automatická aktualizácia súbory (decryptor)

Vyzerá to na veľmi nezvyčajné prostredie. Táto infekcia vymaže výstupné súbory v nezašifrovanej forme. Proces šifrovania pomocou metódy vymazania cieľov na ich kópiách. To dáva príležitosť takýmto programovo Ako obnoviť vymazané predmety zaistite ich spoľahlivosť. Dôrazne sa odporúča prejsť procesom aktualizácie súboru skôr, ako bude jeho účinnosť pochybná.

Tmavé kópie zväzkov

Základ prístupu bol prenesený do procedúry Windows zálohovanie súbory, ktoré sa opakujú v mieste obnovy pokožky. Myseľ je dôležitá roboti túto metódu: Funkcia aktualizácie systému musí byť aktivovaná až do okamihu infekcie. Ak sa po bode aktualizácie vykonajú nejaké zmeny v súbore, aktualizovaná verzia súboru sa nezobrazí.

Záložná kópia

S najväčšou pravdepodobnosťou to nesúvisí so žiadnou kombináciou metód. Keďže postup zálohovania údajov na externý server bol zmrazený až do útoku na váš počítač, na aktualizáciu šifrovaných súborov stačí prejsť na externé rozhranie, vyberte potrebné súbory Potom spustite mechanizmus aktualizácie údajov z rezervy. Pred dokončením operácie je potrebné prekonfigurovať tak, aby sa PZ úplne odstránil.

Overte si možnú prítomnosť nadbytočných zložiek mliečneho výrobku Petya a Mischa

Prečistenie v manuálny mód je plná vynechania niekoľkých fragmentov Zdirnitského PZ, ktoré môžu stratiť zo zreteľa skryté predmety operačný systém alebo prvky registra. Aby ste sa vyhli riziku častého ukladania množstva nehospodárnych položiek, skenujte svoj počítač pomocou spoľahlivého a spoľahlivého softvérového balíka, ktorý sa špecializuje na škodlivý softvér.

V utorok 27. júna ukrajinské a ruské spoločnosti ohlásili masívny vírusový útok: počítače v podnikoch zobrazovali oznámenia o výkupnom. Dozvedel som sa, kto bude trpieť hackermi a ako sa chrániť pred krádežou dôležitých dát.

Petya, prosím

Prvý útok rozpoznal energetický sektor: na vírus zareagovali ukrajinské spoločnosti Ukrenergo a Kievenergo. Darebáci ich paralyzovali počítačové systémy Stabilitu prevádzky elektrárne to však neovplyvnilo.

Ukrajinci začali zverejňovať výsledky infekcie v pohraničí: súdiac podľa počtu údajov, počítače boli napadnuté vírusom. Na obrazovke zariadenia vyskočila správa, že všetky dáta boli zašifrované a majitelia zariadení museli zaplatiť 300 dolárov na výkupné v bitcoinoch. V tomto prípade hackeri nevedeli, čo sa stane s informáciami, ak budú neaktívni, a nastavili časovač tak, aby nevypršal, kým bude málo dát, ako to bolo v prípade útoku na vírus WannaCry.

Národná banka Ukrajiny (NBÚ) informovala, že vírus čiastočne ochromil prácu niekoľkých bánk. Podľa ukrajinských médií útok zasiahol kancelárie Oschadbank, Ukrsotsbank, Ukrgasbank a PrivatBank.

Infekcia bola objavená počítačové merania"Ukrtelecom", letisko "Borispil", "Ukrposhti", " Nový príspevok“, „Kievvodokanal“ a kyjevské metro. Okrem toho vírus zasiahol ukrajinských mobilných operátorov – Kyivstar, Vodafone a Lifecell.

Neskôr ukrajinský ZMI objasnil, čo sa deje o ziskovosti Petya.A. Rozširuje sa v rámci schémy, ktorá je jedinečná pre hackerov: obete sú vyzývané, aby dostávali zoznamy phishingu pomocou falošných osobností na otvorenie e-mailového účtu. Potom vírus prenikne do počítača, zašifruje súbory a vytiahne výkupné na dešifrovanie.

Hackeri zadali číslo ich bitcoinového účtu, aby mohli previesť peniaze. Súdiac podľa informácií o transakciách, obete už previedli 1,2 bitcoinov (viac ako 168 tisíc rubľov).

Podľa agentov informačnej bezpečnosti spoločnosti Group-IB bolo v dôsledku útoku zasiahnutých viac ako 80 spoločností. Kerivnik z ich kriminálneho laboratória zistil, že vírus nesúvisí s WannaCry. Ak chcete problém vyriešiť, zatvorte porty TCP 1024-1035, 135 a 445.

Kto za to môže

Ponáhľala sa predpokladať, že útok bol organizovaný z územia Ruska a Donbasu, no ďalšie dôkazy neposkytla. Minister infraštruktúry Ukrajiny trochu sa zabaviť vodítko v slove „vírus“ a písanie na svojom Facebooku, že „pravdepodobne to neskončí v RUS“, za ktorým nasleduje blikajúci emotikon.

Tim často potvrdzuje, že útok v žiadnom prípade nesúvisí s existujúcim „malvérom“ známym pod menom Petya a Mischa. Dá sa s istotou povedať, že nová kríza zasiahla nielen ukrajinské a ruské spoločnosti, ale aj podniky v iných krajinách.

Za odhadmi rozhrania chráňte žiadny „malvér“. vidomy vírus Peťo, koľko osudových vecí sa stalo, sa neustále spolieha na pomoc phishingových správ. Napríklad neznámy hacker, o ktorom sa predpokladá, že vytvoril Petyu a Mischu, začal uvoľňovať infikované stránky so zabudovaným vírusom s názvom GoldenEye, ktorý je identický. predchádzajúce verziešifrovačov.

Súčasťou nominačného hárku, ktorý často vyberalo vojenské personálne oddelenie, boli informácie o figuríne kandidáta. V jednom zo súborov môžete nájsť životopis a v ďalšom inštalátor vírusu. Takže hlavným cieľom zločinca bola spoločnosť Nimechchina. Pre korisť bolo zabitých viac ako 160 pracovníkov nemeckej spoločnosti.

Nepodarilo sa identifikovať hackera, ale je zrejmé, že ide o Bond tuláka. Programy Petya a Mischa - mená ruských spoločníkov „Petya“ a „Misha“ z filmu „Golden Eye“, ktorých zápletkou bol elektromagnetický štít.

Pôvodná verzia Petya sa začala aktívne vydávať na jar 2016. Majstrovsky sa maskovala na počítačoch a videla sa s legálnymi programami, nelegálne rozširujúcimi administrátorské práva. Po aktivácii bol program vedený mimoriadne agresívne: stanovil prísny termín na zaplatenie kupónu, výhru 1,3 bitcoinov, a po skončení obdobia získal centovú kompenzáciu.

Je pravda, že jeden z koristuvachov na Twitteri pravdepodobne poznal slabiny bojovníka a vytvoril len program, ktorý len za tieto sekundy vygeneroval kľúč, ktorý vám umožní odomknúť počítač a dešifrovať všetky dáta bez akýchkoľvek ďalších krokov.

Nie dopredu

V polovici boli počítače na celom svete napadnuté podobným vírusom WannaCrypt0r 2.0, tiež známym ako WannaCry. Už mnoho rokov paralyzujeme prácu státisícov ľudí, ktorí na nej pracujú Zariadenia so systémom Windows vo viac ako 70 krajinách. Medzi obeťami sú ruské bezpečnostné zložky, banky a mobilných operátorov. Po napadnutí počítača obete sa vírus zašifroval pevný disk A podvodníkom môžete poslať 300 dolárov z bitcoínov. Na prerokovanie boli povolené tri dni, po ktorých sa suma zdvojnásobila a po týždni boli súbory opäť zašifrované.

Obete sa neponáhľali s nadmerným poistením vykúpenia a tvorcovia „diskrétnosti“