Virușii sunt o parte integrantă a ecosistemului sistemului de operare. În cele mai multe cazuri, vorbim despre Windows și Android, iar dacă ești cu adevărat ghinionist, despre OS X și Linux. Mai mult decât atât, dacă anterior virușii în masă aveau ca scop doar furtul datelor personale și, în cele mai multe cazuri, pur și simplu să distrugă fișierele, acum criptatorii „stăpânesc pe loc”.

Și acest lucru nu este surprinzător - puterea de calcul atât a computerelor, cât și a smartphone-urilor a crescut ca o avalanșă, ceea ce înseamnă că hardware-ul pentru astfel de „farse” devine din ce în ce mai puternic.

Cu ceva timp în urmă, experții au descoperit virusul Petya. G DATA SecurityLabs a descoperit că virusul necesită acces administrativ la sistem și nu criptează fișierele, ci doar blochează accesul la acestea. Astăzi, remediile de la Petya (Win32.Trojan-Ransom.Petya.A‘) există deja. Virusul în sine modifică înregistrarea de pornire de pe unitatea de sistem și provoacă blocarea computerului, afișând un mesaj despre coruperea datelor de pe disc. De fapt, aceasta este doar criptare.

Dezvoltatorii de programe malware au cerut plata pentru restabilirea accesului.

Cu toate acestea, astăzi, pe lângă virusul Petya, a apărut unul și mai sofisticat - Misha. Nu are nevoie de drepturi administrative și criptează datele precum ransomware clasic, creând fișiere YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT pe disc sau folder cu date criptate. Acestea conțin instrucțiuni despre cum să obțineți cheia, care costă aproximativ 875 USD.

Este important de reținut că infecția are loc prin e-mail, care primește un fișier exe cu viruși, mascandu-se ca un document pdf. Și aici rămâne de reamintit din nou - verificați cu atenție scrisorile cu fișiere atașate și încercați, de asemenea, să nu descărcați documente de pe Internet, deoarece acum un virus sau o macrocomandă rău intenționată poate fi încorporat într-un fișier document sau o pagină web.

De asemenea, observăm că până acum nu există utilități pentru a descifra „lucrarea” virusului Misha.

La începutul lunii mai, aproximativ 230.000 de computere din peste 150 de țări au fost infectate cu un virus ransomware. Înainte ca victimele să aibă timp să elimine consecințele acestui atac, a urmat unul nou, numit Petya. Cele mai mari companii ucrainene și ruse, precum și instituțiile guvernamentale, au avut de suferit din cauza asta.

Poliția cibernetică a Ucrainei a stabilit că atacul virusului a început prin mecanismul de actualizare a software-ului de contabilitate M.E.Doc, care este folosit pentru întocmirea și trimiterea rapoartelor fiscale. Astfel, a devenit cunoscut faptul că rețelele Bashneft, Rosneft, Zaporozhyeoblenergo, Dneproenergo și sistemul de energie electrică a Niprului nu au scăpat de infecție. În Ucraina, virusul a pătruns în calculatoarele guvernamentale, computerele de la metroul Kiev, operatorii de telecomunicații și chiar centrala nucleară de la Cernobîl. În Rusia, Mondelez International, Mars și Nivea au fost afectate.

Virusul Petya exploatează vulnerabilitatea EternalBlue din sistemul de operare Windows. Experții Symantec și F-Secure spun că, deși Petya criptează date precum WannaCry, este totuși oarecum diferită de alte tipuri de viruși de criptare. „Virusul Petya este un nou tip de extorcare cu intenție rău intenționată: nu doar criptează fișierele de pe disc, ci blochează întregul disc, făcându-l practic inutilizabil”, explică F-Secure. „În mod specific, criptează tabelul de fișiere master MFT.”

Cum se întâmplă acest lucru și poate fi prevenit acest proces?

Virusul "Petya" - cum funcționează?

Virusul Petya este cunoscut și sub alte nume: Petya.A, PetrWrap, NotPetya, ExPetr. Odată ce intră în computer, descarcă ransomware de pe Internet și încearcă să atace o parte a hard disk-ului cu datele necesare pentru a porni computerul. Dacă reușește, sistemul emite un ecran albastru al morții („ecranul albastru al morții”). După repornire, apare un mesaj despre verificarea hard disk-ului care vă cere să nu opriți alimentarea. Astfel, virusul de criptare se preface a fi un program de scanare a discurilor de sistem, criptând în același timp fișiere cu anumite extensii. La sfârșitul procesului, apare un mesaj care indică faptul că computerul este blocat și informații despre cum să obțineți o cheie digitală pentru a decripta datele. Virusul Petya cere o răscumpărare, de obicei în Bitcoin. Dacă victima nu are o copie de rezervă a fișierelor sale, se confruntă cu alegerea de a plăti 300 de dolari sau de a pierde toate informațiile. Potrivit unor analiști, virusul se preface doar drept ransomware, în timp ce adevăratul său scop este să provoace daune masive.

Cum să scapi de Petya?

Experții au descoperit că virusul Petya caută un fișier local și, dacă acest fișier există deja pe disc, iese din procesul de criptare. Aceasta înseamnă că utilizatorii își pot proteja computerul de ransomware creând acest fișier și setându-l ca doar pentru citire.

Deși această schemă vicleană împiedică începerea procesului de extorcare, această metodă poate fi considerată mai mult ca „vaccinarea computerizată”. Astfel, utilizatorul va trebui să creeze el însuși fișierul. Puteți face acest lucru după cum urmează:

• Mai întâi trebuie să înțelegeți extensia fișierului. În fereastra Opțiuni folder, asigurați-vă că caseta de selectare Ascundere extensii pentru tipurile de fișiere cunoscute este debifată.
• Deschideți folderul C:\Windows, derulați în jos până când vedeți programul notepad.exe.
• Faceți clic stânga pe notepad.exe, apoi apăsați Ctrl + C pentru a copia și apoi Ctrl + V pentru a lipi fișierul. Veți primi o solicitare prin care vă cere permisiunea de a copia fișierul.
• Faceți clic pe butonul Continuare și fișierul va fi creat ca notepad - Copy.exe. Faceți clic stânga pe acest fișier și apăsați F2, apoi ștergeți numele fișierului Copy.exe și introduceți perfc.
• După ce ați schimbat numele fișierului în perfc, apăsați Enter. Confirmați redenumirea.
• Acum că fișierul perfc a fost creat, trebuie să îl facem doar pentru citire. Pentru a face acest lucru, faceți clic dreapta pe fișier și selectați „Proprietăți”.
• Se va deschide meniul de proprietăți pentru acest fișier. În partea de jos veți vedea „Numai citire”. Bifeaza casuta.
• Acum faceți clic pe butonul Aplicați și apoi pe butonul OK.

Unii experți în securitate sugerează crearea fișierelor C:\Windows\perfc.dat și C:\Windows\perfc.dll în plus față de fișierul C:\windows\perfc, pentru a proteja mai bine împotriva virusului Petya. Puteți repeta pașii de mai sus pentru aceste fișiere.

Felicitări, computerul dumneavoastră este protejat de NotPetya/Petya!

Experții Symantec oferă câteva sfaturi utilizatorilor de PC-uri pentru a-i împiedica să facă lucruri care ar putea duce la fișiere blocate sau pierderi de bani.

1. Nu plăti bani criminalilor. Chiar dacă transferați bani către ransomware, nu există nicio garanție că veți putea recâștiga accesul la fișierele dvs. Și în cazul NotPetya / Petya, acest lucru este practic lipsit de sens, deoarece scopul ransomware-ului este distrugerea datelor și nu obținerea de bani.
2. Asigurați-vă că faceți copii de siguranță ale datelor în mod regulat.În acest caz, chiar dacă computerul dvs. devine ținta unui atac de virus ransomware, veți putea recupera orice fișiere șterse.
3. Nu deschide e-mailuri de la adrese discutabile. Atacatorii vor încerca să vă păcălească pentru a instala programe malware sau vor încerca să obțină date importante pentru atacuri. Asigurați-vă că informați specialiștii IT dacă dvs. sau angajații dvs. primiți e-mailuri sau link-uri suspecte.
4. Utilizați software de încredere. Actualizarea în timp util a programelor antivirus joacă un rol important în protejarea computerelor împotriva infecțiilor. Și, desigur, trebuie să utilizați produse de la companii de renume în acest domeniu.
5. Utilizați mecanisme pentru a scana și bloca mesajele spam. E-mailurile primite ar trebui scanate pentru amenințări. Este important să blocați orice tip de mesaje care conțin linkuri sau cuvinte cheie tipice de phishing în textul lor.
6. Asigurați-vă că toate programele sunt actualizate. Remedierea regulată a vulnerabilităților software este necesară pentru a preveni infecțiile.

Ar trebui să ne așteptăm la noi atacuri?

Virusul Petya a apărut pentru prima dată în martie 2016, iar specialiștii în securitate i-au observat imediat comportamentul. Noul virus Petya a infectat computerele din Ucraina și Rusia la sfârșitul lunii iunie 2017. Dar este puțin probabil ca acesta să fie sfârșitul. Atacurile hackerilor care folosesc viruși ransomware similari Petya și WannaCry vor fi repetate, a declarat Stanislav Kuznetsov, vicepreședintele consiliului de administrație al Sberbank. Într-un interviu acordat TASS, el a avertizat că astfel de atacuri se vor întâmpla cu siguranță, dar este greu de prezis din timp în ce formă și format pot apărea.

Dacă, după toate atacurile cibernetice care s-au petrecut, nu ați luat încă măcar pașii minimi pentru a vă proteja computerul de un virus ransomware, atunci este timpul să luați în serios acest lucru.

Marți, 27 iunie, companiile ucrainene și ruse au raportat un atac masiv de viruși: computerele întreprinderilor au afișat un mesaj de răscumpărare. Mi-am dat seama cine a suferit încă o dată din cauza hackerilor și cum să te protejezi de furtul de date importante.

Petya, e suficient

Sectorul energetic a fost primul atacat: companiile ucrainene Ukrenergo și Kyivenergo s-au plâns de virus. Atacatorii și-au paralizat sistemele informatice, dar acest lucru nu a afectat stabilitatea centralelor electrice.

Ucrainenii au început să publice consecințele infecției online: judecând după numeroase imagini, computerele au fost atacate de un virus ransomware. Pe ecranul dispozitivelor afectate a apărut un mesaj care afirmă că toate datele au fost criptate și că proprietarii de dispozitive trebuiau să plătească o răscumpărare de 300 USD în Bitcoin. Totuși, hackerii nu au spus ce s-ar întâmpla cu informațiile în caz de inacțiune și nici măcar nu au setat un cronometru până când datele au fost distruse, așa cum a fost cazul atacului virusului WannaCry.

Banca Națională a Ucrainei (BNU) a raportat că activitatea mai multor bănci a fost parțial paralizată din cauza virusului. Potrivit presei ucrainene, atacul a afectat birourile Oschadbank, Ukrsotsbank, Ukrgasbank și PrivatBank.

Au fost infectate rețelele de calculatoare ale Ukrtelecom, Aeroportul Boryspil, Ukrposhta, Nova Poshta, Kievvodokanal și Metrou din Kiev. În plus, virusul a lovit operatorii de telefonie mobilă ucraineană - Kyivstar, Vodafone și Lifecell.

Ulterior, presa ucraineană a clarificat că vorbim despre malware Petya.A. Este distribuit conform schemei obișnuite pentru hackeri: victimelor li se trimit e-mailuri de phishing de la nenorociri care le cer să deschidă un link atașat. După aceasta, virusul pătrunde în computer, criptează fișierele și solicită o răscumpărare pentru decriptarea acestora.

Hackerii au indicat numărul portofelului lor Bitcoin în care ar trebui să fie transferați banii. Judecând după informațiile despre tranzacție, victimele au transferat deja 1,2 bitcoini (mai mult de 168 de mii de ruble).

Potrivit specialiștilor în securitatea informațiilor de la Group-IB, peste 80 de companii au fost afectate de atac. Șeful laboratorului lor criminalistic a remarcat că virusul nu are legătură cu WannaCry. Pentru a remedia problema, el a sfătuit să închideți porturile TCP 1024–1035, 135 și 445.

Cine este vinovat

Ea s-a grăbit să presupună că atacul a fost organizat de pe teritoriul Rusiei sau Donbass, dar nu a oferit nicio dovadă. Ministrul Infrastructurii al Ucrainei a văzut indiciu în cuvântul „virus” și a scris pe Facebook că „nu este o coincidență că se termină în RUS”, adăugând o emoticon care face cu ochiul la presupunerea sa.

Între timp, el susține că atacul nu are nicio legătură cu „malware” existent, cunoscut sub numele de Petya și Mischa. Experții în securitate susțin că noul val a afectat nu numai companiile ucrainene și rusești, ci și întreprinderile din alte țări.

Cu toate acestea, interfața actualului „malware” seamănă cu binecunoscutul virus Petya, care a fost distribuit prin legături de phishing cu câțiva ani în urmă. La sfârșitul lunii decembrie, un hacker necunoscut responsabil pentru crearea ransomware-ului Petya și Mischa a început să trimită e-mailuri infectate cu un virus atașat numit GoldenEye, care era identic cu versiunile anterioare ale ransomware-ului.

Atașamentul la scrisoarea obișnuită, pe care angajații departamentului de resurse umane o primeau adesea, conținea informații despre candidatul fals. Într-unul dintre fișiere se putea găsi de fapt un CV, iar în următorul - instalatorul de viruși. Atunci principalele ținte ale atacatorului au fost companiile din Germania. Pe parcursul a 24 de ore, peste 160 de angajați ai companiei germane au căzut în capcană.

Nu s-a putut identifica hackerul, dar este evident că este fan Bond. Programele Petya și Mischa sunt numele sateliților ruși „Petya” și „Misha” din filmul „Golden Eye”, care în complot erau arme electromagnetice.

Versiunea originală a lui Petya a început să fie distribuită activ în aprilie 2016. S-a camuflat cu pricepere pe computere și s-a prezentat drept programe legitime, solicitând drepturi de administrator extinse. După activare, programul s-a comportat extrem de agresiv: a stabilit un termen strict pentru plata răscumpărării, cerând 1,3 bitcoini, iar după termen, a dublat compensația bănească.

Cu toate acestea, atunci unul dintre utilizatorii Twitter a găsit rapid punctele slabe ale ransomware-ului și a creat un program simplu care, în șapte secunde, a generat o cheie care vă permite să deblocați computerul și să decriptați toate datele fără nicio consecință.

Nu pentru prima dată

La mijlocul lunii mai, computerele din întreaga lume au fost atacate de un virus ransomware similar, WannaCrypt0r 2.0, cunoscut și sub numele de WannaCry. În doar câteva ore, a paralizat sute de mii de dispozitive Windows în peste 70 de țări. Printre victime s-au numărat forțele de securitate ruse, bănci și operatorii de telefonie mobilă. Odată ajuns pe computerul victimei, virusul a criptat hard disk-ul și a cerut atacatorilor să trimită 300 de dolari în bitcoin. Trei zile au fost alocate pentru reflecție, după care suma a fost dublată, iar după o săptămână fișierele au fost criptate pentru totdeauna.

Cu toate acestea, victimele nu s-au grăbit să plătească răscumpărarea și creatorii malware-ului

Acum câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu era un criptator, virusul a blocat pur și simplu accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virusul a modificat înregistrarea de pornire de pe hard disk, a repornit forțat computerul și a afișat un mesaj că „datele sunt criptate - irosește-ți banii pentru decriptare”. În general, schema standard a virușilor de criptare, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A la câteva săptămâni după apariția sa. În plus, au apărut instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică încărcarea sistemului de operare și, de asemenea, criptează tabelul de fișiere master. Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni Mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă cere să plătiți 500 - 875 $ pentru decriptare (în diferite versiuni 1.5 - 1.8 bitcoins). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa – conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator pe sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau șterge manual acest malware, Mischa se implică. Acest virus nu necesită drepturi de administrator, este un criptator clasic și de fapt criptează fișierele folosind algoritmul AES puternic și fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Malware-ul Mischa criptează nu numai tipurile de fișiere standard (videoclipuri, imagini, prezentări, documente), ci și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde se primește o scrisoare cu un fișier atașat – programul de instalare a virusului. Acesta poate fi criptat sub o scrisoare de la Serviciul Fiscal, de la contabilul dumneavoastră, ca chitanțe atașate și chitanțe pentru cumpărături etc. Acordați atenție extensiilor de fișiere din astfel de litere - dacă este un fișier executabil (.exe), atunci cu o mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este recentă, este posibil ca antivirusul dvs. să nu răspundă.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm și prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, agenții guvernamentale și întreprinderi cu diferite forme de proprietate a fost paralizată. Virusul s-a răspândit în principal printr-o vulnerabilitate din sistemul ucrainean de raportare contabilă MeDoc cu cea mai recentă actualizare automată a acestui software. În plus, virusul a afectat țări precum Rusia, Spania, Marea Britanie, Franța și Lituania.

Eliminați virusul Petya și Mischa folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea completă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea unei infecții și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începeți scanarea).
2. Software-ul instalat va furniza un raport privind amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută (uneori ajungând până la 1.000 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor eficiența acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procesul de copiere a fișierelor Windows, care se repetă la fiecare punct de restaurare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale ransomware-ului Petya și Mischa

Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.

Drepturi de autor pentru ilustrație PA Legendă imagine Potrivit experților, lupta cu noul ransomware este mai dificilă decât WannaCry

Pe 27 iunie, ransomware-ul a blocat computere și fișiere criptate la zeci de companii din întreaga lume.

Se raportează că companiile ucrainene au suferit cel mai mult - virusul a infectat computerele marilor companii, agențiile guvernamentale și infrastructura.

Virusul cere 300 USD în Bitcoin de la victime pentru a decripta fișierele.

Serviciul rusesc BBC răspunde la principalele întrebări despre noua amenințare.

Cine a fost rănit?

Răspândirea virusului a început în Ucraina. Au fost afectate aeroportul Boryspil, unele divizii regionale ale Ukrenergo, lanțuri de magazine, bănci, mass-media și companii de telecomunicații. Calculatoarele din guvernul ucrainean au scăzut și ele.

În continuare, a venit rândul companiilor din Rusia: Rosneft, Bashneft, Mondelez International, Mars, Nivea și altele au devenit și ele victime ale virusului.

Cum funcționează virusul?

Experții nu au ajuns încă la un consens cu privire la originea noului virus. Group-IB și Positive Technologies îl văd ca pe o variantă a virusului Petya din 2016.

„Acest ransomware folosește atât metode și utilități de hacker, cât și utilități standard de administrare a sistemului”, comentează Elmar Nabigaev, șeful departamentului de răspuns la amenințările de securitate a informațiilor la Positive Technologies. „Toate acestea garantează o viteză mare de răspândire în rețea și masivitatea a epidemiei în ansamblu (dacă este infectat cel puțin un computer personal, rezultatul este inoperabilitatea completă a computerului și criptarea datelor).

Compania românească Bitdefender vede mai multe în comun cu virusul GoldenEye, în care Petya este combinat cu un alt malware numit Misha. Avantajul celui din urmă este că nu necesită drepturi de administrator de la viitoarea victimă pentru a cripta fișierele, ci le extrage independent.

Brian Cambell de la Fujitsu și o serie de alți experți consideră că noul virus folosește un program modificat EternalBlue, furat de la Agenția de Securitate Națională a SUA.

După publicarea acestui program de către hackerii The Shadow Brokers în aprilie 2017, virusul ransomware WannaCry creat pe baza sa s-a răspândit în întreaga lume.

Folosind vulnerabilitățile Windows, acest program permite virusului să se răspândească pe computere din întreaga rețea corporativă. Petya originală a fost trimisă prin e-mail sub pretextul unui CV și a putut infecta doar computerul pe care a fost deschis CV-ul.

Kaspersky Lab a declarat pentru Interfax că virusul ransomware nu aparține unor familii cunoscute anterior de software rău intenționat.

„Produsele software Kaspersky Lab detectează acest malware ca UDS:DangeroundObject.Multi.Generic”, a menționat Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus la Kaspersky Lab.

În general, dacă numiți noul virus prin numele său rusesc, trebuie să aveți în vedere că în aparență seamănă mai mult cu monstrul lui Frankenstein, deoarece este asamblat din mai multe programe rău intenționate. Se știe cu siguranță că virusul s-a născut pe 18 iunie 2017.

Mai cool decât WannaCry?

WannaCry a avut nevoie de doar câteva zile în mai 2017 pentru a deveni cel mai mare atac cibernetic de acest gen din istorie. Va depăși noul virus ransomware recentul său predecesor?

În mai puțin de o zi, atacatorii au primit de la victimele lor 2,1 bitcoini - aproximativ 5 mii de dolari. WannaCry a colectat 7 bitcoini în aceeași perioadă.

În același timp, potrivit lui Elmar Nabigaev de la Positive Technologies, este mai dificil să lupți cu noul ransomware.

„Pe lângă exploatarea [vulnerabilitatea Windows], această amenințare este răspândită și prin conturile de sistem de operare furate folosind instrumente speciale de hacking”, a menționat expertul.

Cum să lupți cu virusul?

Ca măsură preventivă, experții recomandă instalarea la timp a actualizărilor pentru sistemele de operare și verificarea fișierelor primite prin e-mail.

Administratorii avansați sunt sfătuiți să dezactiveze temporar protocolul de transfer al rețelei Server Message Block (SMB).

Dacă computerele dumneavoastră sunt infectate, în niciun caz nu trebuie să plătiți atacatorii. Nu există nicio garanție că, odată ce primesc plata, vor decripta fișierele în loc să solicite mai mult.

Rămâne doar să așteptăm programul de decriptare: în cazul WannaCry, Adrien Guinier, specialist de la compania franceză Quarkslab, a avut nevoie de o săptămână pentru a-l crea.

Primul ransomware SIDA (PC Cyborg) a fost scris de biologul Joseph Popp în 1989. Ea a ascuns directoare și fișiere criptate, cerând plata de 189 USD pentru" Reînnoirea licenței" la un cont în Panama. Popp și-a distribuit creația folosind dischete prin poștă obișnuită, făcând un total de aproximativ 20 de mii.yachexpedierile. Popp a fost reținut în timp ce încerca să încaseze un cec, dar a evitat procesul - în 1991 a fost declarat nebun.