Mbrojtje e vogël. Çfarë dihet për epideminë e virusit Petya dhe si të mos humbni të gjithë skedarët tuaj
Më 27 qershor 2017, bota u përball me një epidemi të re ransomware, shkaku i së cilës ishte një version i ri i enkriptuesit Petya, i njohur për ekspertët që nga viti 2016. Operatorët e malware adoptuan qartë disa teknika nga zhvilluesit e atij sensacional dhe arritën të provokojnë një raund të ri paniku.
Në këtë material, ne u përpoqëm të mbledhim të gjitha informacionet e njohura aktualisht rreth kësaj fushate keqdashëse.
Karakteristikat e Petya
Siç u përmend më lart, ransomware Petya u lëshua përsëri në Mars 2016. Megjithatë, versioni me të cilin u përball bota më 27 qershor 2017 është shumë i ndryshëm nga ai “Petit”.
Modeli Petya 2016
Siç mund ta shihni në ilustrimet e mësipërme, midis vendeve të prekura, Ukraina ishte në krye me një diferencë të madhe vetëm dje.
Kthehu në 27 qershor 2017, policia kibernetike e Ukrainës raportuar, që sipas të dhënave paraprake, ransomware u përhap kaq shpejt në të gjithë Ukrainën “falë” softuerit të kompanisë M.E.Doc. Supozime të ngjashme u bënë nga specialistë të sigurisë së informacionit, duke përfshirë ekspertë nga Cisco Talos dhe Microsoft.
Kështu, policia kibernetike raportoi se përditësimi i fundit, i shpërndarë më 22 qershor nga serverët e kompanisë (upd.me-doc.com.ua), ishte i infektuar me ransomware Petya.
Specialistët e Microsoft, nga ana tjetër, shkruajnë se më 27 qershor vunë re se procesi i përditësimit të M.E.Doc (EzVit.exe) filloi të ekzekutonte komanda me qëllim të keq që çuan në instalimin e Petya (shih ilustrimin më poshtë).
Në të njëjtën kohë, një mesazh u shfaq në faqen zyrtare të M.E.Doc duke thënë se "një sulm virusi po kryhet në serverë", i cili shpejt u zhduk dhe tani është i disponueshëm vetëm në cache të Google.
Gjithashtu, Microsoft thotë se ka prova se "disa infeksione aktive" të Petya fillimisht filluan nga procesi legjitim i përditësimit MEDoc.
Më 27 qershor, vendet evropiane u goditën nga një sulm nga një virus ransomware i njohur me emrin e padëmshëm Petya (në burime të ndryshme mund të gjeni edhe emrat Petya.A, NotPetya dhe GoldenEye). ransomware kërkon një shpërblim në bitcoin ekuivalent me 300 dollarë. Dhjetra kompani të mëdha ukrainase dhe ruse janë të infektuara dhe përhapja e virusit është regjistruar edhe në Spanjë, Francë dhe Danimarkë.
Kush u godit?
Ukrainë
Ukraina ishte një nga vendet e para që u sulmua. Sipas vlerësimeve paraprake, rreth 80 kompani dhe agjenci qeveritare u sulmuan:
Sot, virusi jo vetëm që kodon skedarët individualë, por heq plotësisht aksesin e përdoruesit në hard disk. ransomware përdor gjithashtu një nënshkrim elektronik të rremë të Microsoft, i cili u tregon përdoruesve se programi është zhvilluar nga një autor i besuar dhe garanton sigurinë. Pas infektimit të një kompjuteri, virusi modifikon kodin special të nevojshëm për të ngarkuar sistemin operativ. Si rezultat, kur kompjuteri fillon, nuk është sistemi operativ që ngarkohet, por kodi me qëllim të keq.
Si të mbroheni?
- Mbyllni portat TCP 1024–1035, 135 dhe 445.
- Përditësoni bazat e të dhënave të produkteve tuaja antivirus.
- Meqenëse Petya shpërndahet duke përdorur phishing, mos hapni email nga burime të panjohura (nëse dërguesi është i njohur, kontrolloni nëse emaili është i sigurt), jini të vëmendshëm ndaj mesazheve nga rrjetet sociale nga miqtë tuaj, pasi llogaritë e tyre mund të hakohen.
- Virus duke kërkuar dosje C:\Windows\perfc, dhe nëse nuk e gjen, krijon dhe fillon një infeksion. Nëse një skedar i tillë ekziston tashmë në kompjuter, atëherë virusi përfundon punën pa infeksion. Ju duhet të krijoni një skedar bosh me të njëjtin emër. Le të hedhim një vështrim më të afërt në këtë proces.
Burimi BleepingComputer ndau metodën e mbrojtjes. Për lehtësi, ata kanë përgatitur një skenar që do të bëjë të gjithë punën për ju, dhe më poshtë janë udhëzimet e detajuara në rast se dëshironi të bëni gjithçka vetë.
Udhëzime për mbrojtjen kundër Petya
Në cilësimet e opsioneve të dosjeve, çaktivizoni opsionin Fshih shtesat për llojet e skedarëve të njohur. Kjo do të krijojë një skedar pa një shtesë.
Shkoni te dosja C:\Windows dhe gjeni skedarin notepad.exe:
Krijo një kopje të këtij skedari (sistemi do të kërkojë konfirmim):
Riemërtoni kopjen që rezulton e skedarit në perfc:
Sistemi do t'ju paralajmërojë se skedari mund të jetë i paarritshëm:
Informacion që çdo përdorues duhet të dijë për virusin Petya.
Çfarë lloj virusi është ky?
- Të martën, më 27 qershor 2017, një virus i quajtur Petya u shfaq në internet. Rosneft dhe Home Credit Bank u sulmuan. Pasi të ekzekutohet, ky kërcënim mbishkruan Master Boot Record (MBR) me Ransom:DOS/Petya.A dhe kodon sektorët e disqeve të sistemit. Kjo ndodh një nga një si kjo: Detyron kompjuterin të rindizet dhe shfaq një mesazh të rremë të sistemit që shënon një gabim të supozuar në disk dhe tregon një kontroll të rremë të integritetit: Më pas, do të merrni mesazhin e mëposhtëm që përmban udhëzime për blerjen e një çelësi për të zhbllokuar sistemi.
- Virusi kodon skedarët në të gjitha disqet, përveç dosjes Windows në diskun C: zgjerimi i mëposhtëm i skedarëve të koduar:
- Pak kohë më parë pati një sulm nga virusi WannaCry, i cili në shumë mënyra është i ngjashëm me virusin Petya për të cilin po flasim në këtë artikull. Epo, për fillestarët, ngjashmëria midis tyre është se ato janë kripto viruse, këto janë viruse që kodojnë skedarët e përdoruesit, duke kërkuar një shpërblim për deshifrimin. Sipas Kaspersky Lab, ky nuk është i njëjti virus si Petya më parë, por emri i tij është ExPetr, domethënë, ky virus është shumë i modifikuar, le të themi se ishte atje më parë. Mund të mësoni më shumë në faqen e internetit, megjithëse siç thonë ata, disa rreshta kodi janë të ngjashëm.
Mbrojtja dhe ku mund të infektoheni?
- Ju mund të kapni një malware të tillë duke dërguar me email skedarin Petya.apx ose duke instaluar një përditësim në programin e kontabilitetit M.E.doc. Më poshtë është një përshkrim nga blogu i Microsoft në lidhje me këtë program tatimor M.E.doc. Nëse një makinë e infektuar shfaqet në rrjetin tuaj në shtëpi ose në punë, malware do të përhapet duke përdorur të njëjtën dobësi si virusi WannaCry nëpërmjet protokollit Smb. Një shfrytëzim që shfrytëzon një dobësi në zbatimin e Windows të protokollit SMB. Microsoft, siç shkruhet në artikull, rekomandon fuqimisht instalimin e përditësimeve për të gjitha sistemet e Windows për t'u mbrojtur nga WannaCry dhe madje ka lëshuar përditësime për produkte të pambështetura prej kohësh si Windows Xp. Rezulton se mbrojtja juaj duhet të jetë e njëjtë si për virusin WannaCry ashtu edhe për virusin Petya. Lexoni më shumë rreth mbrojtjes dhe instalimit të përditësimeve në artikull. Mbrojtja falas kundër enkriptuesve, përveç antiviruseve dhe antispyware, mund të instalohet nga Kaspersky. Gjithashtu, nëse përdorni anti-spyware, ai tashmë ka mbrojtje të integruar jo vetëm nga PUP-të, por edhe nga ransomware. Unë mendoj se kjo është mënyra më e mirë për të instaluar MBAM në antivirusin tuaj. Një opsion nga Microsoft që është tashmë i integruar në sistem, Windows Defender 8.1 dhe Windows 10, Microsoft Security Essentials për Windows 7 dhe Windows Vista. Ju gjithashtu mund të shkarkoni për një skanim një herë për të kontrolluar nëse kompjuteri juaj është i infektuar me të gjitha llojet e kërcënimeve. Në faqen e Microsoft-it ka një përshkrim të plotë të virusit nga erdhi dhe si futet në sistem, një përshkrim më i saktë është në anglisht. Blogu thotë se infeksioni i parë, ose më saktë procesi i zhvatjes, filloi me kompaninë ukrainase M.E.Doc, e cila zhvillon softuerin e kontabilitetit tatimor, MEDoc.
- Përkthimi i saktë duke përdorur Google Translate: Megjithëse ky vektor është mbuluar në detaje nga studiues të lajmeve dhe sigurisë, duke përfshirë vetë policinë kibernetike të Ukrainës, ka pasur vetëm prova rrethanore të këtij vektori. Microsoft tani ka prova se disa infeksione aktive ransomware fillimisht filluan nga një proces i ligjshëm i përditësimit të Medoc.
Deshifrimi i skedarit?
- Përdoruesve u kërkohet të shkruajnë dëshminë e transferimit të fondeve në kutinë postare të specifikuar për të marrë çelësin e deshifrimit. Nëse do të transferoni fonde për të deshifruar skedarët, atëherë nuk do të jeni në gjendje të shkruani një email për të dëmtuar që keni dërguar një shpërblim. Adresa e emailit në të cilën viktimat duhej të raportonin kur transferonin fondet ishte bllokuar nga ofruesi gjerman, kishte një kuti postare në serverin e tyre. Kështu që ju mund të përktheni, por ata nuk do të jenë në gjendje t'ju dërgojnë çelësin. Pra, le të themi se nuk është zyrtarisht e mundur të merret një çelës nga ransomware. Portofoli i ransomware aktualisht njihet më 1 korrik 2017, të dhënat mbi faturat përditësohen brenda 15 sekondave. Për të ndaluar virusin në kompjuterin e viktimës, duhet të krijoni një skedar bosh në diskun C:\Windows\perfc dhe të vendosni vetitë në vetëm për lexim. Nuk ka ende deshifrues, përveç versioneve më të vjetra të virusit në GitHub.
Virusi Petya është një virus me rritje të shpejtë që preku pothuajse të gjitha ndërmarrjet e mëdha në Ukrainë më 27 qershor 2017. Virusi Petya kodon skedarët tuaj dhe më pas ofron një shpërblim për ta.
Virusi i ri infekton hard diskun e kompjuterit dhe funksionon si një virus enkriptues skedarësh. Pas një kohe të caktuar, virusi Petya "ha" skedarët në kompjuterin tuaj dhe ato bëhen të koduara (sikur skedarët të ishin arkivuar dhe të ishte vendosur një fjalëkalim i rëndë)
Skedarët që janë prekur nga virusi i ransomware Petya nuk mund të restaurohen më vonë (ka një përqindje që mund t'i rivendosni, por është shumë e vogël)
Nuk ka asnjë algoritëm që rikthen skedarët e prekur nga virusi Petya
Me ndihmën e këtij artikulli të shkurtër dhe MAKSIMUM të dobishëm mund të mbroheni nga #virusPetyaSi të identifikoni virusin Petya ose WannaCry dhe të MOS infektoheni me virusin
Kur shkarkoni një skedar përmes Internetit, kontrolloni atë me një antivirus në internet. Antiviruset në internet mund të zbulojnë paraprakisht një virus në një skedar dhe të parandalojnë infektimin nga virusi Petya. Gjithçka që duhet të bëni është të kontrolloni skedarin e shkarkuar duke përdorur VirusTotal dhe më pas ta ekzekutoni. Edhe nëse keni SHKARKUAR VIRUSIN PETYA, por NUK keni ekzekutuar skedarin e virusit, virusi NUK është aktiv dhe nuk shkakton dëm. Vetëm pas ekzekutimit të një skedari të dëmshëm lëshoni një virus, mbani mend këtë
PËRDORIMI VETËM KËTË METODË JU JEP TË CDO SHANSI TË MOS INFEKONI NGA VIRUSI PETYA
Virusi Petya duket si ky:Si të mbroni veten nga virusi Petya
Kompania Symantec propozoi një zgjidhje që ju lejon të mbroni veten nga virusi Petya duke pretenduar se e keni të instaluar tashmë.
Virusi Petya, kur hyn në një kompjuter, krijohet në dosje C:\Windows\perfc dosje perfc ose perfc.dll
Për ta bërë virusin të mendojë se është instaluar tashmë dhe të mos vazhdojë aktivitetin e tij, krijoni në dosje C:\Windows\perfc skedar me përmbajtje boshe dhe ruajeni duke vendosur modalitetin e redaktimit në "Vetëm lexim"
Ose shkarkoni virus-petya-perfc.zip dhe hapni dosjen perfc në një dosje C:\Windows\ dhe vendosni modalitetin e ndryshimit në "Vetëm për lexim"
Shkarko virus-petya-perfc.zip
PËRDITËSUAR 29.06.2017
Unë gjithashtu rekomandoj shkarkimin e të dy skedarëve thjesht në dosjen e Windows. Shumë burime shkruajnë se dosja perfc ose perfc.dll duhet të jetë në dosje C:\Windows\Çfarë duhet të bëni nëse kompjuteri juaj tashmë është i infektuar me virusin Petya
Mos ndizni një kompjuter që ju ka infektuar tashmë me virusin Petya. Virusi Petya funksionon në atë mënyrë që ndërsa kompjuteri i infektuar është i ndezur, ai kodon skedarët. Kjo do të thotë, për sa kohë që e mbani kompjuterin tuaj të infektuar me virusin Petya të ndezur, gjithnjë e më shumë skedarë mund të infektohen dhe kodohen.
Hard disku i këtij kompjuteri ia vlen të kontrollohet. Mund ta kontrolloni duke përdorur LIVECD ose LIVEUSB me antivirus
USB flash drive i nisshëm me Kaspersky Rescue Disk 10
Dr.Web LiveDisk flash drive bootableKush e përhapi virusin Petya në të gjithë Ukrainën
Microsoft ka shprehur këndvështrimin e tij në lidhje me infektimin e rrjetit global në kompanitë e mëdha ukrainase. Arsyeja ishte një përditësim i programit M.E.Doc. M.E.Doc është një program i njohur i kontabilitetit, prandaj kompania bëri një gabim kaq të madh kur një virus hyri në përditësimin dhe instaloi virusin Petya në mijëra PC në të cilët ishte instaluar programi M.E.Doc. Dhe duke qenë se virusi prek kompjuterët në të njëjtin rrjet, ai u përhap me shpejtësi rrufeje.
Ju gjithashtu mund të lexoni artikuj të tjerë me temën "Windows 8.1, 7, XP"
#: Virusi Petya prek android, virusi Petya, si të zbuloni dhe hiqni virusin Petya, si të trajtoni virusin petya, M.E.Doc, Microsoft, krijoni një dosje Petya virus
Kohët e fundit, shumë burime të internetit dhe kompjuterë të përdoruesve u sulmuan, dhe pas saj ishte Virusi ransomware Petya. U bllokuan faqet e institucioneve më të mëdha qeveritare, nga Oschadbank dhe faqja e qeverisë e deri te Nova Poshta, etj. Kohët e fundit, Petya/NoPetya është virusi më i madh që ka infektuar shumë kompjuterë. Për fat të mirë, si çdo virus, ju mund të mbroheni nga ai dhe ta hiqni atë, por nuk keni pse të bëni asgjë vetë.
Virusi Petya: si funksionon?
Virusi kompjuterik Petya i përket kamares së ransomware-it, ai depërton në sistem dhe provokon një rifillim të sistemit, dhe gjatë nisjes së OS ai kodon skedarët, si dhe regjistrin. Në fund të procesit, shfaqet një mesazh që kërkon një shpërblim prej 300-400 dollarë në llogarinë Bitcoin, më pas do të dërgohet një fjalëkalim për të deshifruar skedarët.
E veçanta e virusit është se ai prek sistemin në mënyrë të pakthyeshme dhe nuk ka fare akses në funksionet e tij. Është më i përhapur në Ukrainë dhe Rusi. Ekspertët janë ende duke përcaktuar se si është transmetuar virusi, por sot besohet se ai ka hyrë përmes një përditësimi të rremë të programit të famshëm M.E.Doc. Mekanizmi i veprimit të virusit bazohet në përdorimin e cenueshmërisë tashmë të njohur ETERNALBLUE, e cila u përdor në famëkeqin Wanna Cry, si dhe në shfrytëzimin ETERNALROMANCE. Duke përdorur gjetjen e fjalëkalimeve dhe vrimat e specifikuara në mbrojtjen e Windows, virusi u përhap dhe preku të gjithë kompjuterët brenda të njëjtit rrjet lokal.
Virusi nuk është bërë aq i përhapur sa Wanna Cry, pasi nuk përhapet përmes rrjetit, por përdorimi i të dy shfrytëzimeve ndihmon për të infektuar të gjithë kompjuterët në sistemin lokal.
Virusi Petya: si të hiqni?
Mbrojtja nga virusi Petya nuk ndihmon gjithmonë, veçanërisht pasi në fazën e shpërndarjes shumë antivirusë nuk e njohën skedarin si virus. Një humbje e tillë në shkallë të gjerë e PC nuk u injorua nga zhvilluesit e nënshkrimeve anti-virus dhe rreziku për t'u përballur me një virus në të ardhmen është i ulët, por është e mundur të hasni modifikime të tjera.
Menjëherë pasi hyn në PC, virusi e rinis atë dhe procedura kryhet me forcë. Gjatë procesit të nisjes, shfaqet një dritare që ju kërkon të kryeni një procedurë të rikuperimit të sistemit. Përdoruesi që nuk dyshon shtyp Enter dhe fillon procesi i enkriptimit. Në fakt, dritarja e falsifikuar si sistem CHKDSK nuk është origjinale, kështu që përdoruesi konfirmon veprimet e virusit.
Mos u mashtroni, thjesht rinisni kompjuterin tuaj përsëri. Duke përdorur F9, shkoni te zgjidhni diskun dhe kaloni në një disk tjetër, nëse ka një të tillë. Tjetra, duhet të skanoni sistemin nga desktopi i Windows për viruse sot, pothuajse të gjithë antiviruset e avancuar do të njohin saktë ransomware dhe do t'ju lejojnë ta hiqni atë.
Përndryshe, thjesht nisni duke përdorur një disk rikuperimi (disk instalimi ose flash drive).
Virusi Petya: si të mbroheni?
Si mund të shmangni kapjen e virusit Petya në kompjuterin tuaj dhe të mbroni të dhënat tuaja në përputhje me rrethanat? Menjëherë pas shfaqjes së virusit, një mostër e tij arriti shumë administratorë të avancuar që u përpoqën të gjenin metoda për të luftuar Petya. Vetë virusi përdor dobësitë e sistemit për të depërtuar dhe mposhtur atë, dhe programuesit kanë gjetur dobësi në kodin e dëmtuesve.
Kërkohet një numër minimal veprimesh nga përdoruesi, ju duhet të krijoni një skedar perfc, i cili duhet të jetë i vendosur në drejtorinë C:\Windows dhe të ketë cilësimin "Vetëm për lexim". Metoda nuk mund të quhet ilaç, pasi modifikimet e mëtejshme të virusit do të anashkalojnë këto kufizime dhe problemi do të shfaqet përsëri, por deri atëherë do të shfaqet një mbrojtje e plotë nga antiviruset.
Procesi i krijimit të skedarit:
- Fillimisht, ia vlen të vihen në dispozicion shtesat e skedarëve për redaktim. Ju duhet të hapni çdo dosje dhe të klikoni në "Rregullimi" dhe zgjidhni "Opsionet e dosjeve dhe kërkimit" nëse keni një duzinë, atëherë artikulli mund të gjendet në seksionin "File";
- Shkoni te skeda "Shiko" dhe lëvizni në fund të listës, zgjidhni seksionin "Fshih shtesat për llojet e skedarëve të regjistruar";
- Tani krijoni ose kopjoni ndonjë skedar në disk;
- RMB në të dhe "Riemërto", mos ndryshoni skedarët ekzistues, përndryshe mund të ndodhë një gabim;
- Futni emrin perfc, nuk duhet të ketë zgjerime dhe konfirmoni dritaren paralajmëruese;
- RMB në skedarin mbrojtës të krijuar dhe kontrolloni kutinë pranë "Vetëm lexo".
Në një masë më të madhe, virusi synon rrjetet e korporatave, kështu që kompania humbet shuma të mëdha parash për shkak të ndërprerjes, dhe kjo mund t'i shtyjë ata të paguajnë ransomware. Ekzistojnë metoda të përgjithshme të mbrojtjes kundër të gjitha llojeve të viruseve.
Virusi ransomware Petya - metodat e mbrojtjes
Një ekip nga Kaspersky Lab ka përcaktuar se shumë kompani kanë marrë një virus në kompjuterin e tyre përmes lidhjeve banale në cloud, zakonisht skedarë si rezyme dërgohen.
Kur virusi Petya është sulmuar, tashmë është tepër vonë për të ndërmarrë veprime për t'u mbrojtur, përveç nëse keni nevojë të çaktivizoni menjëherë rrjetin lokal, kështu që së pari duhet të mbroni veten:
- Rezervimet janë baza e çdo biznesi pa to, ekziston një rrezik i lartë i humbjes së të dhënave kritike. Është e rëndësishme të bëni 2 kopje: e para ruhet në renë kompjuterike, e dyta në një disk të rregullt të lëvizshëm dhe bllokoni hyrjen në redaktimin dhe ndryshimin e skedarëve në disk;
- Phishing – falsifikim i faqeve të internetit, emaileve, etj. nga organizata të tjera, për shembull, banka, dyqane, burime informacioni në internet. Përveç tekstit të falsifikuar, mesazhi përmban gjithmonë një lidhje me një faqe që do të shkarkojë një skedar, një skript dhe sistemi do të infektohet me një virus;
- Hakerimi - miqtë dhe të njohurit mund të hakohen në Skype, VK, Gmail, Facebook, etj. nuk duhet t'i besoni askujt, përndryshe mund të merrni virusin Petya;
- Kur shkarkoni skedarë nga rrjeti, kushtojini vëmendje shtesave më të rrezikshmet janë exe, vbs dhe scr.
- Përditësoni antivirusin dhe sistemin operativ.
konkluzioni
Virusi i ri Petya në thelb përdor dobësi të njohura tashmë për të fituar të drejtat e administratorit, dhe më pas mashtron përdoruesin me një dritare të rreme rikuperimi. Kështu, kur tashmë e njihni algoritmin Petya/NoPetya, mund të shmangni rënien në grackën e sulmuesve.
Nëse keni ende pyetje në temën "Si të hiqni ose të mbroheni nga virusi ransomware Petya?", mund t'i pyesni ato në komente
if(function_exists("the_ratings")) (the_ratings(); ) ?>