Zakhist vid petya.
topshirish
Golovna
[2017 yil 28 iyunda yangilangan] Petya va Mishko eng yaxshi do'stlar. Bir vaqtning o'zida yoqimsiz hidni to'xtating.
Shunday qilib, siz kichik bolalar uchun ertak emas, balki Kasperskiy laboratoriyasi blogini o'qiyapsiz.
Shuning uchun, "Petya" va "Misha" juftlik uchun ishlaydigan va bitta o'rnatish paketida etkazib beriladigan troyan-zdirniklardir. Agar siz bizning blogimizni muntazam o'qib chiqsangiz va dunyoda sodir bo'layotgan kiberxavfsizlikni kuzatib borsangiz, "Peta" haqida allaqachon bilasiz. Bu bahorda biz ikkita xabarni nashr qildik - birida biz shifrlovchi nima ekanligini va u qanday ishlashini tushuntirdik, ikkinchisida esa laqabli Twitter akkaunti menejeri tomonidan yaratilgan shifrlovchi haqida gapirdik.
Leostone "Petya" tomonidan erishilgan fayllarni shifrlash imkonini beradi. Yangi vikup qanday ishlaydi: Petya
Bu mijozning kirishini saqlab qoladi kompyuteringizga Operatsion tizimni yangilash uchun to'lovni to'laganidan keyin ular kirish kalitini kiritmagani uchun hech narsa sodir bo'lmadi. Bir qator Yevropa banklarini o‘z faoliyatini sekinlashtirishga majbur qilgan hujum Ukraina bilan mojaro natijasida hukumat xizmatlariga ham ta’sir qildi.
Ushbu mintaqa direktori Vikonovichning veb-saytida bir qator muammolar mavjud.
"Baxtsiz dasturiy ta'minot" atamasi troyanlar, josuslik dasturlari, reklama dasturlari, zararli dasturlar va viruslarni o'z ichiga olgan barcha turdagi zararli dasturlarni tavsiflash uchun ishlatiladi.
Eng obro'siz xavfsizlik dasturi qo'shimcha to'kilishlar uchun huquqiy dasturlarda amalga oshiriladi.
Kiber jinoyatchilar ularni tezda tarqata olmasligi uchun dasturlaringizni yangilang.- Yomon dasturlarni yuqtirish bilan bog'liq odatiy muammolaringiz borligini tekshiring
- Siz ochmoqchi bo'lganlardan farqli veb-saytlarga yo'naltirildingizmi?
- Bachu, mening kompyuterim zararlangan.
- Endi nima qilishim kerak?
- Brauzeringiz o'chirilgan va javob berishni to'xtatganmi?
- Supermundane drenaj oynalari nima?
Ish stolida siz tanimagan yangi piktogrammalarni topdingizmi?
Kompyuteringizni xavfsiz rejimda qayta ishga tushiring.
Internet aloqangizni o'chiring.
Avvalgidek, qoldiq muammo yo'q, lekin siz mashinangizning infektsiyasini bartaraf etish uchun qo'shimcha choralar ko'rishingiz kerak. Bilaylik, bu Petya. Petya - bu diskdagi fayllarning bosh jadvalini shifrlaydigan dastur. Petya kabi bo'lmang! https://t.co/hks24hClKo Uning shaxsiy yozuvlari uchun "Petya" administrator huquqlariga muhtoj. Agar foydalanuvchi masofadan boshqarish tugmachasini bosib o'z troyanini ko'rmasa, "Petya" kuchsiz bo'ladi.
Shubhasiz, troyanlarning yaratuvchilari nazorat qilinmagan va ular spilnikning "Petya" - "Misha" ni tan olishgan.
Shaxsiy kompyuteringizni qanday o'g'irlash mumkin? Bundan tashqari, ishonchsizlik elektron pochta xabarlarini yuborish va kiritish orqali ham kengaytiriladi. Yangilangan antivirus ma'lumotlar bazasi.
Z yangi baza"Misha" faqat qo'shiq fayllarini shifrlashini tushunaman.
Boshqa tomondan, "Petya" administrator huquqlarini talab qiladi, ammo "Misha" o'qi yo'q.
Nopok o'g'il bolalar bu juftlik bir-birini to'ldiradigan ajoyib sherik bo'lishiga ishonishdi.
"Misha" an'anaviy troyan zdirnikiga ko'proq o'xshaydi. U jabrlanuvchining kompyuteridagi ma'lumotlarni shifrlash uchun AES standartidan foydalanadi. Bleeping Computer blogi xabar berishicha, troyan shifrlangan fayl nomiga to‘rtta belgidan iborat kengaytma qo‘shadi.
Shunday qilib, masalan, "test.txt" fayli "test.txt.7GP3" ga aylanadi.
Qisqa xabarlardan ehtiyot bo'ling. Xabar ishonchli jo'natuvchilar tomonidan rad etilganligini va qisqarishini unutmang. Aytmoqchimizki, Petya va Mishko hazil, chunki ular darhol paketdagi qurilmani yuqtirishadi. Siz bizning blogimizni tez-tez kuzatib borganingiz uchun va kiberxavfsizlik bo'yicha so'nggi yangiliklardan xabardor bo'lganingiz uchun siz Petyani allaqachon bilasiz. Petro nafaqat shifrlangan fayllarni, balki uni ham ko'rdi
qattiq disk
asosiy fayllar jadvalini shifrlash.
"Petya" va "Misha" omonatchining "rezyume" dan nomzodlar ro'yxatini taqdim etadigan qo'shimcha fishing elektron pochtalari yordamida qurbonlarning kompyuterlariga qaratilgan.
Misol uchun, troyan PDFBewerbungsmappe.exe deb nomlangan faylda paydo bo'ladi (nemis tiliga uni "PDF ish dasturi" deb tarjima qilish mumkin).
Fayl nomida nemis tilidan foydalanish va zararli dastur qanday kengayib borayotgani zararli moddalar nemis kompaniyalari va korporatsiyalaridan foydalanayotganidan dalolat beradi.
- Yakshcho Petya hali ham keladi
- Petya uchun bitta narsa bor, aks holda uning ko'tarilishi hisob-kitob sohasida katta mahorat talab qiladi. Petya yoki Mixail yoki boshqa qurbonlar qurboni bo'lmaslik uchun sizga erta kelishingizni tavsiya qilamiz. Hech kimga ishonmang va bundan buyon ehtiyot bo'ling.
yaxshi qaror xavfsizlik va xavfsizlik uchun. Antivirus Misha, Petya, shuningdek, Troyan-Rensomni aniqlaydi va saqlaydi.
Qo'riqchi unga rioya qilishga majbur emas.
Hech kim bir soat kutishni xohlamaydi, buklanish xavfsizligidan uzoqlashishga harakat qiladi.
Shu maqsadda biz bepul taklif qilamiz oblikovy rekord"Mening kompyuterim", men sizning xavfsizligingiz haqida aytib beraman, bu erda siz Internetga kirishni rad qilishingiz mumkin.
Mahsulotni faollashtirish, uni yangilash va barcha funksiyalarga kirish uchun internet aloqasi talab qilinadi. Mahsulot faqat yakuniy, rasmiy ravishda chiqarilgan operatsion tizimlarni qo'llab-quvvatlaydi. Jabrlanuvchi ajralmas juftlikdan qasos olish uchun .exe faylini ochishga harakat qilgandan so'ng, ekranda mijozlarning bulutli yozuvlarini kuzatish xizmati uchun oyna paydo bo'ladi va mijoz ushbu dasturdan imtiyozlar bilan foydalanishni xohlashini so'raydi. admin strator.
Agar siz kompyuterni tanlamasangiz, siz allaqachon dasturlashtirilgansiz: agar u "shunday" deb aytsa, "Petya" qattiq diskingizni yoki "ni" ni oladi va fayllaringiz "Misha" tomonidan qabul qilinadi. Hozirgi vaqtda antivirus bu fayllarni aniqlaydigan oddiy vositadan ko'ra ko'proq chegirma kodi
Varto degani, yomon shamolni yaratuvchilarning rus yerlaridan kelib chiqishi dargumon: biz troyanlarning ruscha nomlarini olishlarini xohlasak, asl nusxada "Misha" Misha emas, balki Misha deb ataladi.
O'rtadagi "c" harfi shifrlash vositasi mualliflari rus nomlarini transliteratsiya qilish qoidalarini yaxshi bilishmaydi.
Fikr qoldiring Izoh qoldiring Qaror qabul qilish ham mumkin mushuksiz qo'llab-quvvatlash 
barcha koristuvachlar uchun.
Sizning elektron pochta manzilingiz nashr etilmaydi.
Hurmat: ushbu tizim orqali Internetda joylashtirilgan har qanday matn uning sayti yoki muallifining fikrlarini aks ettirishi shart emas.
Ushbu tizimda chop etilgan sharhlar butunlay vikorist bo'lgan o'quvchilarga tegishli.
Ushbu sayt ma'muriyati endi haqoratli, tuhmat qiluvchi, ayblovchi, istiqbolli yoki uchinchi shaxslar uchun zararli deb hisoblangan matnlarga sharhlarni o'chirish huquqini o'zida saqlab qoladi.
Afsuski, "Misha" qurbonlariga yordam beradigan vositani hali hech kim ko'rmagan. Bu Petya tomonidan to'plangan fayllarni yangilashning bir usuli, buning uchun sizga zaxira shaxsiy kompyuter va kompyuterga kirish kerak. Shunday qilib, "Petya", "Misha" yoki biron bir yangi "Vasya" qurboni bo'lmaslik uchun oldinga qadam tashlashingizni tavsiya qilamiz:
1. Katta raqamga ega eksa ro'yxati Muallifi to'g'ri identifikatsiya qilinmagan holda tizimga kiritilgan reklama matnlari ham o'chirib qo'yilishi mumkin., Barchamiz bilamizki, elektr ulanishlari bilan bog'liq muammolar bizning elektron jihozlarimizga ta'sir qilishi mumkin.
2. Agar biror voqea sodir bo'lsa, bu muammoni jiddiy qabul qilganimizga ishonch hosil qiling. To'g'ri, biz oddiy chiziqli filtrdan foydalanish g'oyasiga keldik.
Yillar davomida biz kompyuterlarimizni liniyaning haddan tashqari kuchlanishidan himoya qilish qanchalik muhimligini juda tejamkor tarzda bilib oldik.
Shuni esda tutingki, to'lovni to'lash ma'lumotlaringizning qaytarilishini kafolatlamaydi, shuningdek, moliyaviy resurslarni o'g'irlashi mumkin bo'lgan, boshqa yovuz harakatlarni moliyalashtirishga yo'naltirilgan, kiber so'roq bilan bog'liq bo'lmagan jinoyatchilarni rag'batlantiradi.
Insonning manfaati foyda keltirmaydigan dasturlar tomonidan yuqtirishning asosiy sabablaridan biridir.
Sotib olish to'sig'i, birinchi navbatda, sizning kompaniyangiz uchun juda muhim.
2648
Bu shuni anglatadiki, boyitish agentining terminal nuqtalariga yaqinlashishi asosan kiritilgan.
Yomon yigitlar Petya Mischa #ransomware kod buzuvchisi uchun sherik yaratdilar
Guruh-IB 28.06.2017 17:18 27-iyun kuni Ukraina, Rossiya va dunyoning boshqa ko‘plab mamlakatlarida Petya shifrlash shkafining yangi modifikatsiyasi yordamida keng ko‘lamli kiberhujum qayd etildi. Obro'ni tahlil qilish; Yomon xatti-harakatlarni blokirovka qilish; Bosqinchilarni qatl etish;
Terminal nuqtalarini skanerlash.
Imzolarga asoslangan an'anaviy aniqlashdan tashqari, mashinani o'rganishga asoslangan evristik imzolar qo'shimcha ravishda xavfsizlik provayderini toping. Yomon xatti-harakatlarni blokirovka qilish va mashinani o'rganish kabi texnologiyalar oxirgi nuqtalarning xavfsizligini ta'minlash uchun yechimingizning bir qismidir. Bunday vositalar imzolarga asoslanganligi uchun aybdor emas
Chegirma dasturlari . Birinchi navbatda qaror elektron pochta serverida qabul qilinishini ta'minlash kerak, chunki ko'pchilik xabarlar orqali yuboriladi
Ba'zi hikoyalar dramatikdir.
Ko'pchilik ko'rganidek, muammo haqiqatdir.
Biz faqat qurbon bo'lganimizda tortishish kuchidan xabardormiz.
Afsuski, madaniy va moliyaviy qadriyatlarga ega bo'lgan ko'plab kompaniyalar tegishli qoidalar bilan himoyalanmagan.
Ale, siz bilganingizdek, profilaktik tashriflardan olingan harakatlar qimmatga tushmaydi.Virus infektsiyadan keyin 30-40 kun davomida tekshiradi (kengayish uchun), keyin Petya mahalliy fayllarni shifrlaydi.
Shifrni hal qilish uchun shifrlovchilar Internetda bitkoinlarda 300 dollar to'lov undiradilar. Qurbonlar Dastlabki ikki yil ichida energetika, telekommunikatsiya va moliyaviy kompaniyalar hujumga uchradi - natijada butun dunyo bo'ylab 100 dan ortiq kompaniyalar zararlangan:
- Rossiyada: Rosneft, Bashneft, Home Credit Bank, Evraz va boshqalar;
- Ukrainada: "Zaporijjyaoblenergo", "Dniproenergo", "Dnepr elektr energetika tizimi", Mondelez International, Oschadbank, Mars, "
Yangi pochta", Nivea, TESA, Kiev metrosi, Ukrainaning mintaqaviy kompyuterlari, Auchan do'konlari, Ukraina operatorlari (Kyivstar, LifeCell, Ukrtelecom), Privatbank, Boryspil aeroporti va boshqalar;
- dunyoda: Amerika biofarmatsevtika giganti Merck, Maersk, Hindiston, Avstraliya, Estoniya va boshqalar kompaniyalari.
Zakhist uchun nima topish kerak?
1. Windows chora-tadbirlarida mimikatz va imtiyozlarni oshirish usullaridan qanday qochish kerakligini bilib oling.
2. KB2871997 yamog'ini o'rnating.
3. Ro‘yxatga olish kitobi kaliti: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential 0 ga o‘rnatiladi.
4. Barcha ish stantsiyalari va serverlardagi mahalliy ma'murlarning parollari boshqacha yoki yo'qligini tekshiring.
5. Domenlardagi imtiyozli foydalanuvchilarning (tizim ma'murlari) barcha parollarini xavfsiz o'zgartiring.
6. CVE-2017-0199 va EternalBlue (MS17-010) uchun yamoqlarni qo'llang.
7. Ma'muriy huquqlarni ularga muhtoj bo'lmagan har bir kishidan tortib olish xavfsizdir.
8. Hududdagi barcha kompyuterlarga yamoqlarni o‘rnatmaguncha, xakerlarga noutbuklarni ulashiga ruxsat bermang.
9. Barcha muhim tizimlarning muntazam zaxira nusxasini amalga oshiring.
