O'zingizni Petya A virusidan "Misha" dan qanday himoya qilish kerak: "Petya" ning eng yaxshi do'sti va yana bir kuchli troyan

Golovna / Zaxist

Guruh-IB 28.06.2017 17:18

2648

27-iyun kuni Ukraina, Rossiya va dunyoning boshqa ko‘plab mamlakatlarida Petya shifrlash shkafining yangi modifikatsiyasi yordamida keng ko‘lamli kiberhujum qayd etildi.

Ayg'oqchi kompaniyalarning elektron pochta manzillariga yuborilgan qo'shimcha fishing elektron pochta xabarlari uchun virus tarqalishi nazorat qilinadi.

Zararli qo'shimchani ochgandan so'ng, maqsadli kompyuter fayllarni shifrlash orqali infektsiyalanadi. Har qanday biriktirma – .doc, .docx, .xls, .xlsx, .rtf va boshqa formatdagi fayllar Microsoft Office

buzilgan tarkibni o'z ichiga olishi mumkin.

Petya virusi bilan biriktirmani ochganingizda, CVE-2017-0199 tarqalishiga zaif bo'lgan yomon dasturiy ta'minotni o'rnatishingiz mumkin bo'ladi.

Virus infektsiyadan keyin 30-40 kun davomida tekshiradi (kengayish uchun), keyin Petya mahalliy fayllarni shifrlaydi.

Shifrni hal qilish uchun shifrlovchilar Internetda bitkoinlarda 300 dollar to'laydilar.
Qurbonlar
Dastlabki ikki yil ichida energetika, telekommunikatsiya va moliyaviy kompaniyalar hujumga uchradi - natijada butun dunyo bo'ylab 100 dan ortiq kompaniyalar zararlangan:
- Rossiyada: Rosneft, Bashneft, Home Credit Bank, Evraz va boshqalar;

- Ukrainada: "Zaporijjyaoblenergo", "Dniproenergo", "Dnepr elektr energetika tizimi", Mondelez International, Oschadbank, Mars, "Nova Poshta", Nivea, TESA, Kiev metrosi, Ukraina tuman kompyuterlari, Auchan do'konlari, Ukraina va operatorlar ( "Kyivstar", LifeCell, "Ukrtelecom", Privatbank, "Borispil" aeroporti va boshqalar;

- dunyoda: Amerika biofarmatsevtika giganti Merck, Maersk, Hindiston, Avstraliya, Estoniya va boshqalar kompaniyalari.
Zakhist uchun nima topish kerak?
1. Windows chora-tadbirlarida mimikatz va imtiyozlarni oshirish usullaridan qanday qochish kerakligini bilib oling.
2. KB2871997 yamog'ini o'rnating.
3. Ro‘yxatga olish kitobi kaliti: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential 0 ga o‘rnatiladi.
4. Barcha ish stantsiyalari va serverlardagi mahalliy ma'murlarning parollari boshqacha yoki yo'qligini tekshiring.
5. Domenlardagi imtiyozli foydalanuvchilarning (tizim ma'murlari) barcha parollarini xavfsiz o'zgartiring.
6. CVE-2017-0199 va EternalBlue (MS17-010) uchun yamoqlarni qo'llang.
9. Barcha muhim tizimlarning muntazam zaxira nusxasini amalga oshiring.
Ideal holda, noto'g'ri variantni tanlang - qorong'ular uchun zaxira.
10. “Nol ishonch” siyosatini qabul qiling va hamkasblaringiz xavfsizligini ta’minlashni boshlang.
11. SMBv1 ni chetida o'chiring.
12. Microsoft texnik xavfsizlik bildirishnomalarini oldindan to'lash.

1. Siz yovuzlarga homiylik qilasiz. 2. To'lovni to'laganlarning ma'lumotlari yangilangani haqida hech qanday dalil yo'q. Ko'pgina Internet havaskorlari, agar ular shubhali saytlarga kirmasalar va noma'lum xabarlarga ergashmasalar, virusni "ushlash" imkoniyati yo'qligiga ishonishadi.

"Afsuski, unday emas", - deydi DriverPack kompaniyasi (bu platformada drayverlar bilan ishlashni avtomatlashtiradi)

Microsoft Windows .- Taxminan. tahr.)."Yangi avlod viruslari butunlay boshqacha - ular mustaqil ravishda faollashadi, g'alaba qozonadi va protokollardan birida tarqaladi." Ular va Petya bilan. Symantec (antivirus dasturlarini ishlab chiquvchi Amerika kompaniyasi – Tahr.) maʼlumotlariga koʻra, Petya 2016-yildan boshlangan. Va faolroq bo'lishdan, bu muhimroqdir.).

To'g'ri, bu butunlay Petya bo'lmasligi mumkin. Kasperskiy laboratoriyasi troyan ExPetr nomini oldi va avvalgi "Petya" shunga o'xshashligini tasdiqlaydi, ammo unchalik katta emas. Positive Technologies (kiberxavfsizlikka ixtisoslashgan rus kompaniyasi. - Ed.) - 1-2 yilga kechiktirilgan kompyuterni qayta ishga tushirish vazifasi bor, bu vaqtda siz OS funksionalligini tiklashingiz mumkin.

– Biroq, fayllarning shifrini ochish mumkin bo'lmaydi.

Tugatish o'rniga yangilash shaxsiy kalitni bilishni talab qiladi, shuning uchun kalitni bilmasdan yangilash mumkin emas.

Afsuski, mutaxassislar, shuningdek, asboblar to'plami Petyaga WannaCry darsi o'rnatilgan va ilg'or xavfsizlik yangilanishlari o'rnatilgan ushbu infratuzilmalarda samaradorlikni tejash imkonini beradi va shifrlovchining o'zi Insoles samarali ekanligini tushuntirdi. Petya muvaffaqiyatsiz bo'lmasligi uchun buni qanday qilish kerak? Bunday hujum qurboni bo'lmaslik uchun avval g'alaba qozonadigan PZni yangilash kerak. joriy versiyalar, zocrema, hamma narsani o'rnating

joriy yangilanishlar MS Windows."Microsoft Texnik xavfsizlik bildirishnomalariga obuna bo'ling", deydi Group-IB. Biroq, Microsoft ushbu tahdidni aniqlash usullarini tahlil qilar ekan, kompaniya eng so'nggi yangilanishlarni o'rnatadi. Nutqdan oldin Microsoft kompaniyasining Rossiyadagi filiali allaqachon antivirus dasturi ushbu virusni aniqlab, uni undan himoya qilishini ma'lum qilgan. Bundan tashqari, DriverPack hujumning oqibatlari shunchalik jiddiy bo'lganini ko'rsatadi Microsoft kompaniyasi misli ko'rilmagan uzunlikka bordi - aktrisa uchun yangilangan axborot byulleteni chiqardi Windows qo'llab-quvvatlash

XP. Bu xavfsiz SMB protokoliga ega barcha kompyuterlar hujum tahdidi ostida ekanligini anglatadi ( hembark protokoli

, 1983 yilda paydo bo'lgan.

Birinchi navbatda, tajriba axborot texnologiyalari Firibgarlarga tiyin to'lash tavsiya etilmaydi, chunki virus hali ham kompyuterni bloklab qo'ygan.

Bundan tashqari, bu yuqori texnologiyali sabablar bilan izohlanmaydi. "Porushniklarning pochta manzillari allaqachon bloklangan va fayllar shifrini ochish kaliti to'lov vaqtidan boshlab tiklanmaydi", - dedi Positive Technologies. Shu bois Kasperskiy laboratoriyasi fisherlarga tiyin berib, viruslar endi ko‘paymasligini aytadi.

"Merezha-da shifrlovchining tarqalishini oldini olish uchun infektsiyalanmagan boshqa kompyuterlarni o'chirish, Merezha-dan zararlangan tugunlarni o'chirish va buzilgan tizimlarni suratga olish tavsiya etiladi", - Positive Technologies aniq tavsiyalar beradi.

Bundan tashqari, agar kompyuterdagi ma'lumotlar allaqachon shifrlangan bo'lsa, u buzilmaydi.

"Agar fayllarning bir qismini shifrlash va qayta tiklash imkoni bo'lsa, qo'shimcha harakatlar kelajakda shifrni ochishning oldini olishi mumkin", deydi Kasperskiy laboratoriyasidan Vyacheslav Zakorjevskiy. "Tergovchilar fayllar shifrini ochish yo'lini topgach, bloklangan ma'lumotlar kelajakda yangilanishi mumkin", dedi Positive Technologies. Pan Zakorzhevskiy kim uchun yangilanishga harakat qiladi

zaxira nusxalari , bunaqa. Dunyoda "Sing" uchun qancha vaqt ketadi? Kasperskiy laboratoriyasi internet qurilmalarida mingdan ortiq bepul hujum dasturlari mavjudligi bilan maqtandi va ularning yarmidan ko'pi 2017 yilning birinchi olti oyida paydo bo'lgan. Umuman olganda, dunyoda qurilmalar Internetiga 6 milliard ulanish mavjud. tanqid qilinmagan portlar SMB”, - deydi ekspertlar. Kompaniyaning tahliliy ma'lumotlariga ko'ra, mijozlarning 18% dan ortig'i litsenziyasiz Windows operatsion tizimida ishlaydi, bu ularni avtomatik ravishda tahdidga duchor qiladi, 23% xizmat o'chirib qo'yilgan. Windows yangilash

Yana 6% kompyuterlarda esa eskirgan operatsion tizimlar oʻrnatilgan, ular uchun yangilanishlar umuman mavjud emas.

[2017 yil 28 iyunda yangilangan]

Petya va Mishko eng yaxshi do'stlar. Bir vaqtning o'zida yoqimsiz hidni to'xtating. Shunday qilib, siz kichik bolalar uchun ertak emas, balki Kasperskiy laboratoriyasi blogini o'qiyapsiz.

Shuning uchun, "Petya" va "Misha" juftlik uchun ishlaydigan va bitta o'rnatish paketida etkazib beriladigan troyan-zdirniklardir. Agar siz bizning blogimizni muntazam o'qib chiqsangiz va dunyoda sodir bo'layotgan kiberxavfsizlikni kuzatib borsangiz, "Peta" haqida allaqachon bilasiz. Bu bahorda biz ikkita xabarni nashr qildik - birida biz shifrlovchi nima ekanligini va u qanday ishlashini tushuntirdik, ikkinchisida esa laqabli Twitter akkaunti menejeri tomonidan yaratilgan shifrlovchi haqida gapirdik. Leostone

"Petya" tomonidan erishilgan fayllarni shifrlash imkonini beradi.

"Petya" o'zining misli ko'rilmagan ijodining boshidanoq: boshqa troyanlardan tashqari, ular ma'lum kengaytmali fayllarni emas, balki fayllarning bosh jadvalini shifrlashdi va shu bilan o'zlarini talon-taroj qilishdi.

hammasi

qattiq disk

vikoristan uchun mutlaqo noo'rin.

Shuningdek, "Petya" qurbonlariga to'lovni to'lash uchun boshqa kompyuter kerak bo'ladi. turli fayllar, zokrema i.exe. Shunday qilib, yangi troyan xakerlarga o'z kompyuterida biron bir dasturni ishga tushirishga ruxsat bermaydi. Faqat bitta ogohlantirish bor: Misha shifrlash jarayoniga e'tibor bermaydi

Windows papkasi

brauzer fayllarini o'chirishingiz mumkin bo'lgan papkalar.

Burilishlarni tugatgandan so'ng, "Misha" xaridorga to'lash bo'yicha ko'rsatmalarni bajarish uchun ikkita fayl yaratadi.

Ular shunday nomlanadi: YOUR_FILES_ARE_ENCRYPTED.HTML va YOUR_FILES_ARE_ENCRYPTED.TXT. "Petya" va "Misha" omonatchining "rezyume" dan nomzodlar ro'yxatini taqdim etadigan qo'shimcha fishing elektron pochtalari yordamida qurbonlarning kompyuterlariga qaratilgan. Misol uchun, troyan PDFBewerbungsmappe.exe deb nomlangan faylda paydo bo'ladi (nemis tiliga uni "PDF ish dasturi" deb tarjima qilish mumkin).

Fayl nomida nemis tilidan foydalanish va zararli dastur qanday kengayib borayotgani zararli moddalar nemis kompaniyalari va korporatsiyalaridan foydalanayotganidan dalolat beradi.

Jabrlanuvchi ajralmas juftlikdan qasos olish uchun .exe faylini ochishga harakat qilgandan so'ng, ekranda mijozlarning bulutli yozuvlarini kuzatish xizmati uchun oyna paydo bo'ladi va mijoz ushbu dasturdan imtiyozlar bilan foydalanishni xohlashini so'raydi. admin strator.

Agar siz kompyuterni tanlamasangiz, siz allaqachon dasturlashtirilgansiz: agar u "shunday" deb aytsa, "Petya" qattiq diskingizni yoki "ni" ni oladi va fayllaringiz "Misha" tomonidan qabul qilinadi.

1. Yuqorida aytib o'tganimizdek, kichik ukasi "Petya" ochko'z turi: sharob sotib olish uchun u maksimal 2 bitkoin oladi (1,93), bu Narazi

2. taxminan 875 dollarga teng. Varto degani, yomon shamolni yaratuvchilarning rus yerlaridan kelib chiqishi dargumon: biz troyanlarning ruscha nomlarini olishlarini xohlasak, asl nusxada "Misha" Misha emas, balki Misha deb ataladi.

O'rtadagi "c" harfi shifrlash vositasi mualliflari rus nomlarini transliteratsiya qilish qoidalarini yaxshi bilishmaydi.

27 iyun kuni, Konstitutsiya kuni arafasida butun Ukraina noma'lum xakerlar tomonidan hujumga uchradi. Petya ismli virus hujum qildi korporativ chora-tadbirlar

banklar, uchinchi shaxslar, chakana kompaniyalar, davlat organlari, futbol klublari, uyali aloqa operatorlari.

28 iyun kuni Vazirlar Mahkamasi korporativ tarmoqlar va davlat organlariga keng ko‘lamli xakerlik hujumi to‘xtatilganini ma’lum qildi. Avvalgidek virus-virus haqida ko'p gapirishga hojat yo'q, ammo buning uchun faxivtsi mish-mishlar tarqatdi. haqiqiy yo'llar bilan

Virusga javoban "Kraina" eng samarali uchtasini tanladi.

Bunday holda, soxtalar virusni zararlangan qurilmadan olib tashlashning iloji yo'q deb taxmin qilishadi.

Kompyuter aslida yaroqsiz plastmassa bo'lagiga aylanadi. Bundan tashqari, soxtalar xakerlar bozoriga "vikup" yuborishdan xursand emas, aks holda bu ma'nosiz.

Antivirus IT xakerlarining so'zlariga ko'ra, antiviruslardan foydalanish majburiydir. Bunday holda, Petya virusi Avast tomonidan bloklanadi, Kasperskiy antivirusi esa uni bloklamaydi.

IT xodimlari, iltimos, yuklab olmanglar

uchinchi tomon dasturlari ta fayllar. Shubhali xabarlar, tinchlantiruvchi vositalar yoki ijtimoiy tarmoqlardan tashqariga chiqmang. Hidi, ayniqsa, sizga noma'lum bo'lganlarga o'xshaydi. Kimning barglari virus bilan kasallangan bo'lsa, masalan, maskalanishi mumkin.

fiskal xizmatdan olingan varaq ostida.

Axborot siyosati vaziri o'rinbosari Dmitro Zolotuxin bunday varaqning namunasini e'lon qildi.

Ushbu bildirishnomani qanday ochish kerak - boshlang

Chegirma dasturi

bu sizning kompyuteringizdagi barcha ma'lumotlarni shifrlaydi.

Ijodkorlar

Petya virusiga

Yaqinda WannaCry hujumidan omon qola olmadik, chunki kompyuter tarmoqlaridagi 27 ta qurtlar dunyoda yana paydo bo'ldi, Petya.A deb nomlangan gijjaga o'xshash virus. Virus hujumi haqidagi birinchi ma'lumotlar Ukraina internet-resurslarida paydo bo'ldi, u erda infektsiya haqida xabar berildi kompyuter tizimlari

Ukrainaning turli suveren kompaniyalari.

Virusning ishlash printsipi shunga o'xshash - zararli dastur kompyuterlarni bloklab qo'ydi va ma'lumotlarni shifrlash uchun bitkoinlardan 300 dollar ajratib oldi.

Keyinchalik ma'lum bo'lishicha, shifrlash vositasi Ukraina, Rossiya va butun dunyodagi yuzlab davlat va xususiy kompaniyalarga ta'sir qilgan. Bu qanday hayvon? Aksariyat soxtalar hujumda 2016 yilgi mavsumda aniqlangan Petya.A virusi borligiga ishonishadi. O'simlik infektsiyalariga o'xshash ta'sir sxemasidan qat'i nazar, uning WannaCry bilan aloqasi yo'q. Kasperskiy laboratoriyasining kuzatuv va tahdidlarni tahlil qilish bo'yicha global markazi rahbari Kostin Raiu virusni vikorist ekanligini aniqladi. raqamli imzo Microsoft o'zini mahalliy sifatida yashiradi

Windows dasturi

« . Transfer, nima

Yangi versiya

Petya.A zararli dasturi 18 ta chernya yordamida tuzilgan. Uning fikricha, Kasperskiy laboratoriyasi hujumga Petya.A yoki Petya.C virusi sabab bo‘lganligi shubhali ekanligini aniqlagan. Dasturiy ta'minot mahsulotlari

Kasperskiy laboratoriyasi arzon narxlardagi PZ ni UDS sifatida aniqlaydi: DangeroundObject.Multi.Generic.

Kompyuter tizimlari bilan bog'liq muammolarga birinchi bo'lib poytaxtda ham, mintaqalarda ham Ukraina energetika kompaniyalari duch keldi. Virus bir qancha banklar, jumladan, Oschadbank va PrivatBank kompyuterlarini bloklashni boshladi, shundan so‘ng Ukraina Milliy banki Ukraina operatsiyalarida mumkin bo‘lgan uzilishlar haqida rasmiy ogohlantirish e’lon qildi..

bank tizimi “Kiberhujumlar natijasida banklar mijozlarga xizmat ko‘rsatish va davom etayotgan bank operatsiyalarini to‘xtatmoqda. Bundan tashqari, moliya sohasida xavfsizlik va antidot choralari qo'llanildi

xakerlik hujumlari barcha bozor ishtirokchilari. O‘zmilliybank vaziyatni kuzatib boradi va ishlab chiqarish liniyasi to‘g‘risida bank tizimining kiberxavfsizlik xizmatini xabardor qiladi”, — deyiladi O‘zmilliybank xabarida. Keyinroq virus yuqqani haqida xabar berildi uyali aloqa operatorlari

"Kyivstar", lifecell va "Ukrtelecom", tezkor yetkazib berish xizmati " Yangi pochta", Antonov zavodi, Borispil aeroporti, Ukrzaliznitsa, vazirliklar, telekanallar va butun Kiev metrosi, terminallar yangi mahsulotlar bilan kasallangan. Natijada ko‘plab milliy kompaniya va korxonalarning veb-saytlariga kirish imkoni bo‘lmadi. Hujum Chornobil AESiga ham ta'sir qildi, uning veb-sayti ham o'chirib qo'yilgan.

Katta infektsiyaning sabablaridan biri ukrainalik ekanligi taxmin qilinmoqda xavfsizlik dasturi Moliyaviy ma'lumotlar uchun M.E.Doc, teriga o'rnatilgan

suveren tashkilot . Virus, kengayishi uchun, ma'lumotlar bazasini yangilash paytida hech qachon dasturlar tomonidan yuqmagan.

Nima uchun Ukraina boshqa davlatlar bilan solishtirganda eng ko'p zarar ko'rganini tushuntirib bera olasizmi?

Mutaxassislarning fikricha, virus asosan orqali tarqaladi elektron pochta biz qo'shimchalarni biriktiradigan varaq kabi. Virus aniqlanganda, u tizimga oqishda davom etadi kerakli fayllar

, asosiy zaxira yozuvini o'zgartiradi, OTni qayta rejalashtiradi va qattiq diskdagi ma'lumotlarni shifrlaydi. Keng tarqalgan viruslarning oldini olish uchun siz ko'rsatmalarga muvofiq ish stantsiyalari va serverlarida SMB v1/v2/v3 protokolini yoqishingiz, xavfsizlik devoriga kiruvchi va chiquvchi ulanishlar uchun maxsus qoidalarni qoldirib, 1024–1035, 135 va 445 TCP portlarini yopishingiz kerak. operatsion tizim chi routerlar. Bundan tashqari, qolgan muhim dasturiy ta'minot kompyuterga o'rnatilishi uchun kompyuterni qayta sozlash kerak

Windows yangilash

va Microsoft Office - to'kilmasin haqidagi hisobotlar tez orada e'lon qilinishi va Microsoft operatsion tizimining barcha versiyalari uchun yangi yamoqlar chiqarilishi mutlaqo mumkin.
Allaqachon zararlangan tizimlarda virus quyidagi fayllarni yaratishi mumkin:
C:\Windows\perfc.dat

C:\myguy.xls.hta %APPDATA%\10807.exe Faxivtsi oshkor qildi mutaxassislik . Faylni qanday yaratish kerak perfc (kengaytmasiz) dada o'rnatilgan tizimga ega, shuning uchun virus mahalliy mashinada ishlaganda buzilishi mumkin.

Agar kompyuter hech qanday sababsiz qayta ishga tushirilsa va disk qayta tekshirilayotgan bo'lsa, darhol uni o'chirishingiz va shu vaqt ichida kompyuterni o'chirib qo'yishingiz kerak. Iloji bo'lsa, disk o'rniga nusxasini yarating va yordam uchun egasiga murojaat qilishga harakat qiling. tizim yordamchi dasturlari