การป้องกันขนาดเล็ก สิ่งที่ทราบเกี่ยวกับการแพร่ระบาดของไวรัส Petya และวิธีที่จะไม่สูญเสียไฟล์ทั้งหมดของคุณ
เมื่อวันที่ 27 มิถุนายน 2017 โลกต้องเผชิญกับการแพร่ระบาดของแรนซัมแวร์ครั้งใหม่ ซึ่งสาเหตุมาจากเวอร์ชันใหม่ของตัวเข้ารหัส Petya ซึ่งผู้เชี่ยวชาญรู้จักมาตั้งแต่ปี 2016 ผู้ดำเนินการมัลแวร์ได้นำเทคนิคหลายอย่างจากนักพัฒนาซอฟต์แวร์ที่น่าตื่นเต้นมาใช้อย่างชัดเจนและจัดการเพื่อกระตุ้นให้เกิดความตื่นตระหนกรอบใหม่
ในเอกสารนี้ เราพยายามรวบรวมข้อมูลที่ทราบในปัจจุบันทั้งหมดเกี่ยวกับแคมเปญที่เป็นอันตรายนี้
คุณสมบัติของ Petya
ตามที่กล่าวไว้ข้างต้น Petya ransomware เปิดตัวในเดือนมีนาคม 2559 อย่างไรก็ตาม เวอร์ชันที่โลกเผชิญเมื่อวันที่ 27 มิถุนายน 2017 นั้นแตกต่างไปจาก “Petit” นั้นอย่างมาก
เพชรย่า รุ่น 2016
ดังที่คุณเห็นในภาพประกอบด้านบน ในบรรดาประเทศที่ได้รับผลกระทบ เมื่อวานยูเครนมีอัตรากำไรขั้นต้นที่กว้างนำอยู่
ย้อนกลับไปเมื่อวันที่ 27 มิถุนายน 2017 ตำรวจไซเบอร์ยูเครน รายงานแล้วตามข้อมูลเบื้องต้น แรนซัมแวร์แพร่กระจายไปทั่วยูเครนอย่างรวดเร็ว “ขอบคุณ” สำหรับซอฟต์แวร์ของบริษัท M.E.Doc สมมติฐานที่คล้ายกันนี้จัดทำโดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล รวมถึงผู้เชี่ยวชาญจาก Cisco Talos และ Microsoft
ดังนั้น ตำรวจไซเบอร์จึงรายงานว่าการอัปเดตล่าสุดซึ่งเผยแพร่เมื่อวันที่ 22 มิถุนายนจากเซิร์ฟเวอร์ของบริษัท (upd.me-doc.com.ua) ติดมัลแวร์เรียกค่าไถ่ Petya
ผู้เชี่ยวชาญของ Microsoft ในทางกลับกันเขียนว่าเมื่อวันที่ 27 มิถุนายนพวกเขาสังเกตเห็นว่ากระบวนการอัปเดต M.E.Doc (EzVit.exe) เริ่มดำเนินการคำสั่งที่เป็นอันตรายซึ่งนำไปสู่การติดตั้ง Petya (ดูภาพประกอบด้านล่าง)
ในเวลาเดียวกัน มีข้อความปรากฏบนเว็บไซต์ทางการของ M.E.Doc โดยระบุว่า “มีการโจมตีของไวรัสบนเซิร์ฟเวอร์” ซึ่งในไม่ช้าก็หายไปและขณะนี้ใช้งานได้เฉพาะในแคชของ Google เท่านั้น
นอกจากนี้ Microsoft ยังกล่าวอีกว่าพวกเขามีหลักฐานว่า "การติดไวรัสที่ใช้งานอยู่บางส่วน" ของ Petya เริ่มต้นจากกระบวนการอัปเดต MEDoc ที่ถูกต้องตามกฎหมาย
เมื่อวันที่ 27 มิถุนายน ประเทศต่างๆ ในยุโรปถูกโจมตีโดยไวรัสแรนซัมแวร์ที่รู้จักกันในชื่อที่ไม่เป็นอันตราย Petya (ในแหล่งต่างๆ คุณสามารถค้นหาชื่อ Petya.A, NotPetya และ GoldenEye ได้) Ransomware เรียกร้องค่าไถ่เป็น Bitcoins เทียบเท่ากับ 300 ดอลลาร์ บริษัทขนาดใหญ่ในยูเครนและรัสเซียหลายสิบแห่งติดเชื้อ และการแพร่กระจายของไวรัสยังถูกบันทึกในสเปน ฝรั่งเศส และเดนมาร์ก
ใครโดน?
ยูเครน
ยูเครนเป็นหนึ่งในประเทศแรกๆ ที่ถูกโจมตี ตามการประมาณการเบื้องต้น บริษัทและหน่วยงานภาครัฐประมาณ 80 แห่งถูกโจมตี:
ในปัจจุบัน ไวรัสไม่เพียงแต่เข้ารหัสไฟล์แต่ละไฟล์เท่านั้น แต่ยังทำให้ผู้ใช้เข้าถึงฮาร์ดไดรฟ์ไปโดยสิ้นเชิงอีกด้วย แรนซัมแวร์ยังใช้ลายเซ็นอิเล็กทรอนิกส์ของ Microsoft ปลอม ซึ่งแสดงให้ผู้ใช้เห็นว่าโปรแกรมนี้ได้รับการพัฒนาโดยผู้เขียนที่เชื่อถือได้ และรับประกันความปลอดภัย หลังจากติดไวรัสในคอมพิวเตอร์ ไวรัสจะแก้ไขรหัสพิเศษที่จำเป็นในการโหลดระบบปฏิบัติการ เป็นผลให้เมื่อคอมพิวเตอร์เริ่มทำงาน ไม่ใช่ระบบปฏิบัติการที่ถูกโหลด แต่เป็นโค้ดที่เป็นอันตราย
จะป้องกันตัวเองอย่างไร?
- ปิดพอร์ต TCP 1024–1035, 135 และ 445
- อัพเดตฐานข้อมูลของผลิตภัณฑ์แอนตี้ไวรัสของคุณ
- เนื่องจาก Petya มีการเผยแพร่โดยใช้ฟิชชิ่ง อย่าเปิดอีเมลจากแหล่งที่ไม่รู้จัก (หากรู้จักผู้ส่ง ให้ตรวจสอบว่าอีเมลนั้นปลอดภัยหรือไม่) โปรดเอาใจใส่ข้อความจากโซเชียลเน็ตเวิร์กจากเพื่อนของคุณ เนื่องจากบัญชีของพวกเขาอาจถูกแฮ็ก
- ไวรัส กำลังมองหาไฟล์ C:\Windows\perfcและหากไม่พบก็จะสร้างและเริ่มการติดเชื้อ หากมีไฟล์ดังกล่าวในคอมพิวเตอร์อยู่แล้ว ไวรัสจะหยุดทำงานโดยไม่มีการติดไวรัส คุณต้องสร้างไฟล์ว่างที่มีชื่อเดียวกัน มาดูกระบวนการนี้กันดีกว่า
ทรัพยากร BleepingComputer แบ่งปันวิธีการป้องกัน เพื่อความสะดวก พวกเขาได้เตรียมสคริปต์ที่จะทำงานทั้งหมดให้กับคุณ และด้านล่างนี้คือคำแนะนำโดยละเอียดในกรณีที่คุณต้องการทำทุกอย่างด้วยตัวเอง
คำแนะนำในการป้องกัน Petya
ในการตั้งค่าตัวเลือกโฟลเดอร์ ให้ปิดใช้งานตัวเลือกซ่อนส่วนขยายสำหรับประเภทไฟล์ที่รู้จัก สิ่งนี้จะสร้างไฟล์ที่ไม่มีนามสกุล
ไปที่โฟลเดอร์ ซี:\Windowsและค้นหาไฟล์ แผ่นจดบันทึก.exe:
สร้างสำเนาของไฟล์นี้ (ระบบจะขอการยืนยัน):
เปลี่ยนชื่อสำเนาผลลัพธ์ของไฟล์เป็น เพอร์เฟค:
ระบบจะเตือนคุณว่าไฟล์อาจไม่สามารถเข้าถึงได้:
ข้อมูลที่ผู้ใช้ควรรู้เกี่ยวกับไวรัส Petya
นี่คือไวรัสชนิดใด?
- เมื่อวันอังคารที่ 27 มิถุนายน 2560 ไวรัสชื่อ Petya ปรากฏบนอินเทอร์เน็ต Rosneft และ Home Credit Bank ถูกโจมตี เมื่อดำเนินการแล้ว ภัยคุกคามนี้จะเขียนทับ Master Boot Record (MBR) ด้วย Ransom:DOS/Petya.A และเข้ารหัสเซกเตอร์ไดรฟ์ของระบบ สิ่งนี้เกิดขึ้นทีละรายการดังนี้: บังคับให้พีซีรีบูตและแสดงข้อความระบบปลอมที่บันทึกข้อผิดพลาดที่ควรจะเป็นบนดิสก์และแสดงการตรวจสอบความสมบูรณ์ปลอม: ถัดไป คุณจะได้รับข้อความต่อไปนี้ซึ่งมีคำแนะนำในการซื้อคีย์เพื่อปลดล็อค ระบบ.
- ไวรัสเข้ารหัสไฟล์บนไดรฟ์ทั้งหมดยกเว้นโฟลเดอร์ Windows บนไดรฟ์ C: นามสกุลของไฟล์ที่เข้ารหัสต่อไปนี้:
- ไม่นานมานี้มีการโจมตีโดยไวรัส WannaCry ซึ่งคล้ายกับไวรัส Petya ในหลาย ๆ ด้านที่เรากำลังพูดถึงในบทความนี้ สำหรับผู้เริ่มต้น ความคล้ายคลึงกันระหว่างพวกมันคือพวกมันเป็นไวรัสเข้ารหัส เหล่านี้เป็นไวรัสที่เข้ารหัสไฟล์ของผู้ใช้และเรียกร้องค่าไถ่สำหรับการถอดรหัส จากข้อมูลของ Kaspersky Lab นี่ไม่ใช่ไวรัสตัวเดียวกับ Petya เมื่อก่อน แต่ชื่อของมันคือ ExPetr นั่นคือไวรัสนี้ได้รับการแก้ไขไปมาก สมมติว่ามันเคยมีมาก่อน คุณสามารถหาข้อมูลเพิ่มเติมได้จากเว็บไซต์ แม้ว่าพวกเขาจะบอกว่าโค้ดบางบรรทัดจะคล้ายกันก็ตาม
การป้องกันและติดเชื้อได้ที่ไหน?
- คุณสามารถตรวจจับมัลแวร์ดังกล่าวได้โดยการส่งอีเมลไฟล์ Petya.apx หรือโดยการติดตั้งอัพเดตโปรแกรมบัญชี M.E.doc ด้านล่างนี้คือคำอธิบายจากบล็อกของ Microsoft เกี่ยวกับโปรแกรมภาษี M.E.doc นี้ หากเครื่องที่ติดไวรัสปรากฏบนเครือข่ายของคุณที่บ้านหรือที่ทำงาน มัลแวร์จะแพร่กระจายโดยใช้ช่องโหว่เดียวกันกับไวรัส WannaCry ผ่านทางโปรโตคอล Smb ช่องโหว่ที่ใช้ประโยชน์จากช่องโหว่ในการใช้งาน Windows ของโปรโตคอล SMB ตามที่เขียนไว้ในบทความ Microsoft ขอแนะนำอย่างยิ่งให้ติดตั้งการอัปเดตสำหรับระบบ Windows ทั้งหมดเพื่อป้องกัน WannaCry และได้เปิดตัวการอัปเดตสำหรับผลิตภัณฑ์ที่ไม่รองรับมายาวนาน เช่น Windows Xp ปรากฎว่าการป้องกันของคุณควรเหมือนกันสำหรับทั้งไวรัส WannaCry และไวรัส Petya อ่านเพิ่มเติมเกี่ยวกับการป้องกันและการติดตั้งการอัปเดตในบทความ Kaspersky สามารถติดตั้งการป้องกันตัวเข้ารหัสได้ฟรี นอกเหนือจากโปรแกรมป้องกันไวรัสและสปายแวร์ นอกจากนี้ หากคุณใช้แอนตี้สปายแวร์ มันก็มีการป้องกันในตัวไม่เพียงแต่จาก PUP เท่านั้น แต่ยังรวมถึงแรนซัมแวร์ด้วย เว็บไซต์กล่าวถึงแรนซัมแวร์: ป้องกันไม่ให้ผู้โจมตีเข้ารหัสไฟล์ของคุณเพื่อเรียกค่าไถ่ ฉันคิดว่านี่เป็นวิธีที่ดีที่สุดในการติดตั้ง MBAM ให้กับโปรแกรมป้องกันไวรัสของคุณ ตัวเลือกจาก Microsoft ที่มีอยู่ในระบบแล้ว, Windows Defender 8.1 และ Windows 10, Microsoft Security Essentials สำหรับ Windows 7 และ Windows Vista คุณยังสามารถดาวน์โหลดเพื่อทำการสแกนแบบครั้งเดียวเพื่อตรวจสอบว่าคอมพิวเตอร์ของคุณติดภัยคุกคามทุกประเภทหรือไม่ บนเว็บไซต์ Microsoft มีคำอธิบายโดยละเอียดเกี่ยวกับที่มาของไวรัสและเข้าสู่ระบบได้อย่างไร คำอธิบายที่ถูกต้องยิ่งขึ้นเป็นภาษาอังกฤษ บล็อกระบุว่าการติดเชื้อครั้งแรกหรือกระบวนการขู่กรรโชกเริ่มต้นจากบริษัท M.E.Doc ของยูเครน ซึ่งพัฒนาซอฟต์แวร์บัญชีภาษี MEDoc
- การแปลที่แน่นอนโดยใช้ Google แปลภาษา: แม้ว่าเวกเตอร์นี้จะได้รับการกล่าวถึงในรายละเอียดโดยนักวิจัยข่าวและความปลอดภัย รวมถึงตำรวจไซเบอร์ของยูเครนเอง แต่ก็มีหลักฐานตามสถานการณ์ของเวกเตอร์นี้เท่านั้น ขณะนี้ Microsoft มีหลักฐานว่าการติดแรนซัมแวร์ที่ใช้งานอยู่หลายรายการเริ่มต้นจากกระบวนการอัพเดต Medoc ที่ถูกต้องตามกฎหมาย
ถอดรหัสไฟล์?
- ผู้ใช้จะถูกขอให้เขียนหลักฐานการโอนเงินไปยังกล่องจดหมายที่ระบุเพื่อรับคีย์ถอดรหัส หากคุณกำลังจะโอนเงินเพื่อถอดรหัสไฟล์ คุณจะไม่สามารถเขียนอีเมลที่เป็นอันตรายที่คุณส่งค่าไถ่ได้ ที่อยู่อีเมลที่เหยื่อควรรายงานเมื่อโอนเงินถูกบล็อกโดยผู้ให้บริการชาวเยอรมัน มีกล่องจดหมายบนเซิร์ฟเวอร์ของพวกเขา ดังนั้นคุณจึงสามารถแปลได้ แต่พวกเขาจะไม่สามารถส่งกุญแจให้คุณได้ สมมติว่าเป็นไปไม่ได้อย่างเป็นทางการที่จะรับรหัสจากแรนซัมแวร์ ปัจจุบันกระเป๋าเงินแรนซัมแวร์เป็นที่รู้จักในวันที่ 1 กรกฎาคม 2017 ข้อมูลใบเสร็จรับเงินจะได้รับการอัปเดตภายใน 15 วินาที หากต้องการหยุดไวรัสบนคอมพิวเตอร์ของเหยื่อ คุณต้องสร้างไฟล์ว่างบนไดรฟ์ C:\Windows\perfc และตั้งค่าคุณสมบัติเป็นแบบอ่านอย่างเดียว ยังไม่มีตัวถอดรหัส ยกเว้นไวรัสเวอร์ชันเก่าบน GitHub
ไวรัส Petya เป็นไวรัสที่เติบโตอย่างรวดเร็วซึ่งส่งผลกระทบต่อองค์กรขนาดใหญ่เกือบทั้งหมดในยูเครนเมื่อวันที่ 27 มิถุนายน 2017 ไวรัส Petya เข้ารหัสไฟล์ของคุณแล้วเสนอค่าไถ่สำหรับพวกมัน
ไวรัสตัวใหม่แพร่ระบาดในฮาร์ดไดรฟ์ของคอมพิวเตอร์และทำงานเป็นไวรัสตัวเข้ารหัสไฟล์ หลังจากช่วงระยะเวลาหนึ่ง ไวรัส Petya จะ "กิน" ไฟล์ในคอมพิวเตอร์ของคุณ และไฟล์เหล่านั้นจะถูกเข้ารหัส (ราวกับว่าไฟล์ถูกเก็บถาวรและมีการตั้งรหัสผ่านจำนวนมาก)
ไฟล์ที่ได้รับผลกระทบจากไวรัส Petya ransomware ไม่สามารถกู้คืนได้ในภายหลัง (มีเปอร์เซ็นต์ที่คุณสามารถกู้คืนได้ แต่มีขนาดเล็กมาก)
ไม่มีอัลกอริธึมที่จะกู้คืนไฟล์ที่ได้รับผลกระทบจากไวรัส Petya
ด้วยความช่วยเหลือของบทความสั้น ๆ ที่มีประโยชน์สูงสุดนี้ คุณสามารถป้องกันตัวเองจาก #virusPetyaวิธีระบุไวรัส Petya หรือ WannaCry และไม่ติดไวรัส
เมื่อดาวน์โหลดไฟล์ผ่านอินเทอร์เน็ต ให้ตรวจสอบด้วยโปรแกรมป้องกันไวรัสออนไลน์ โปรแกรมป้องกันไวรัสออนไลน์สามารถตรวจจับไวรัสในไฟล์ล่วงหน้าและป้องกันการติดไวรัส Petya สิ่งที่คุณต้องทำคือตรวจสอบไฟล์ที่ดาวน์โหลดโดยใช้ VirusTotal จากนั้นจึงเรียกใช้งาน แม้ว่าคุณจะดาวน์โหลด PETYA VIRUS แล้ว แต่ไม่ได้เรียกใช้ไฟล์ไวรัส ไวรัสจะไม่ทำงานและไม่ก่อให้เกิดอันตราย หลังจากเรียกใช้ไฟล์ที่เป็นอันตรายแล้ว คุณจะปล่อยไวรัส โปรดจำสิ่งนี้ไว้
การใช้วิธีนี้จะทำให้คุณมีโอกาสไม่ติดเชื้อจากไวรัส PETYA เท่านั้น
ไวรัส Petya มีลักษณะดังนี้:วิธีป้องกันตัวเองจากไวรัส Petya
บริษัท ไซแมนเทคเสนอวิธีแก้ปัญหาที่ช่วยให้คุณป้องกันตัวเองจากไวรัส Petya โดยทำเป็นว่าคุณติดตั้งมันไว้แล้ว
ไวรัส Petya เมื่อมันเข้าสู่คอมพิวเตอร์ จะสร้างในโฟลเดอร์ C:\Windows\perfcไฟล์ เพอร์เฟคหรือ perfc.dll
หากต้องการให้ไวรัสคิดว่าได้รับการติดตั้งแล้วและไม่ดำเนินการต่อ ให้สร้างในโฟลเดอร์ C:\Windows\perfcไฟล์ที่มีเนื้อหาว่างและบันทึกโดยตั้งค่าโหมดแก้ไขเป็น "อ่านอย่างเดียว"
หรือดาวน์โหลด virus-petya-perfc.zip แล้วแตกไฟล์ออกจากโฟลเดอร์ เพอร์เฟคไปยังโฟลเดอร์ ค:\วินโดวส์\และตั้งค่าโหมดการเปลี่ยนแปลงเป็น “อ่านอย่างเดียว”
ดาวน์โหลด virus-petya-perfc.zip
อัปเดตเมื่อ 29/06/2017
ฉันขอแนะนำให้ดาวน์โหลดทั้งสองไฟล์ไปยังโฟลเดอร์ Windows ด้วย หลายแหล่งเขียนว่าไฟล์ เพอร์เฟคหรือ perfc.dllต้องอยู่ในโฟลเดอร์ ค:\วินโดวส์\จะทำอย่างไรถ้าคอมพิวเตอร์ของคุณติดไวรัส Petya อยู่แล้ว
อย่าเปิดคอมพิวเตอร์ที่ติดไวรัส Petya ให้คุณแล้ว ไวรัส Petya ทำงานในลักษณะที่ในขณะที่คอมพิวเตอร์ที่ติดไวรัสเปิดอยู่ มันจะเข้ารหัสไฟล์ นั่นคือตราบใดที่คุณเปิดคอมพิวเตอร์ของคุณติดไวรัส Petya ไฟล์ต่างๆ ก็สามารถติดไวรัสและเข้ารหัสได้เพิ่มมากขึ้นเรื่อยๆ
ฮาร์ดไดรฟ์ของคอมพิวเตอร์เครื่องนี้คุ้มค่าที่จะตรวจสอบ คุณสามารถตรวจสอบได้โดยใช้ LIVECD หรือ LIVEUSB พร้อมโปรแกรมป้องกันไวรัส
แฟลชไดรฟ์ USB ที่สามารถบู๊ตได้พร้อม Kaspersky Rescue Disk 10
แฟลชไดรฟ์ที่สามารถบูตได้ Dr.Web LiveDiskที่แพร่กระจายไวรัส Petya ไปทั่วยูเครน
Microsoft ได้แสดงมุมมองเกี่ยวกับการติดไวรัสเครือข่ายทั่วโลกในบริษัทขนาดใหญ่ในยูเครน เหตุผลก็คือมีการปรับปรุงโปรแกรม M.E.Doc M.E.Doc เป็นโปรแกรมการบัญชียอดนิยม ซึ่งเป็นสาเหตุที่บริษัททำผิดพลาดครั้งใหญ่เมื่อมีไวรัสเข้าสู่การอัพเดตและติดตั้งไวรัส Petya บนพีซีหลายพันเครื่องที่ติดตั้งโปรแกรม M.E.Doc และเนื่องจากไวรัสส่งผลกระทบต่อคอมพิวเตอร์ในเครือข่ายเดียวกัน มันจึงแพร่กระจายอย่างรวดเร็ว
คุณยังสามารถอ่านบทความอื่น ๆ ในหัวข้อ "Windows 8.1, 7, XP"
#: ไวรัส Petya ส่งผลกระทบต่อ Android, ไวรัส Petya, วิธีตรวจจับและลบไวรัส Petya, วิธีการรักษาไวรัส Petya, M.E.Doc, Microsoft, สร้างโฟลเดอร์ Petya virus
เมื่อเร็วๆ นี้ ทรัพยากรอินเทอร์เน็ตและคอมพิวเตอร์ของผู้ใช้จำนวนมากถูกโจมตี และอยู่เบื้องหลัง ไวรัสเรียกค่าไถ่ Petya- เว็บไซต์ของสถาบันรัฐบาลที่ใหญ่ที่สุดถูกบล็อก ตั้งแต่ Oschadbank และเว็บไซต์ของรัฐบาลไปจนถึง Nova Poshta เป็นต้น ล่าสุด Petya/NoPetya เป็นไวรัสที่ใหญ่ที่สุดที่ติดคอมพิวเตอร์หลายเครื่อง โชคดีเช่นเดียวกับไวรัสอื่นๆ คุณสามารถป้องกันตัวเองจากมันและกำจัดมันได้ แต่คุณไม่จำเป็นต้องทำอะไรด้วยตัวเอง
ไวรัส Petya: มันทำงานอย่างไร?
ไวรัสคอมพิวเตอร์ Petya เป็นของกลุ่มแรนซัมแวร์ โดยมันจะแทรกซึมเข้าไปในระบบและกระตุ้นให้ระบบรีสตาร์ท และในระหว่างการบูตระบบปฏิบัติการ มันจะเข้ารหัสไฟล์รวมถึงรีจิสทรี ในตอนท้ายของกระบวนการ ข้อความจะปรากฏขึ้นเพื่อเรียกค่าไถ่ $300-400 ไปยังบัญชี Bitcoin จากนั้นรหัสผ่านจะถูกส่งไปเพื่อถอดรหัสย้อนกลับไฟล์
ลักษณะเฉพาะของไวรัสคือมันส่งผลกระทบต่อระบบอย่างถาวรและไม่มีการเข้าถึงฟังก์ชั่นของมันเลย แพร่หลายที่สุดในยูเครนและรัสเซีย ผู้เชี่ยวชาญยังคงพิจารณาว่าไวรัสแพร่กระจายได้อย่างไร แต่วันนี้เชื่อกันว่าไวรัสเข้ามาจากการอัพเดตปลอมของโปรแกรม M.E.Doc ที่มีชื่อเสียง กลไกการออกฤทธิ์ของไวรัสนั้นขึ้นอยู่กับการใช้ช่องโหว่ ETERNALBLUE ที่เป็นที่รู้จักอยู่แล้ว ซึ่งใช้ใน Wanna Cry ที่โด่งดัง เช่นเดียวกับช่องโหว่ ETERNALROMANCE การใช้การเดารหัสผ่านและช่องโหว่ที่ระบุในการป้องกัน Windows ไวรัสแพร่กระจายและส่งผลกระทบต่อคอมพิวเตอร์ทุกเครื่องภายในเครือข่ายท้องถิ่นเดียวกัน
ไวรัสยังไม่แพร่หลายเท่ากับ Wanna Cry เนื่องจากไม่แพร่กระจายผ่านเครือข่าย แต่การใช้ช่องโหว่ทั้งสองช่วยในการแพร่เชื้อคอมพิวเตอร์ทุกเครื่องในระบบท้องถิ่น
ไวรัส Petya: วิธีการลบ?
การป้องกันไวรัสของ Petya ไม่ได้ช่วยเสมอไป โดยเฉพาะอย่างยิ่งเนื่องจากในขั้นตอนการเผยแพร่โปรแกรมป้องกันไวรัสจำนวนมากไม่รู้จักไฟล์ว่าเป็นไวรัส ความพ่ายแพ้ครั้งใหญ่ของพีซีดังกล่าวไม่ได้ถูกละเลยโดยผู้พัฒนาลายเซ็นต่อต้านไวรัสและความเสี่ยงในการเผชิญกับไวรัสในอนาคตก็ต่ำ แต่ก็เป็นไปได้ที่จะพบกับการแก้ไขอื่น ๆ
ทันทีหลังจากเข้าสู่พีซี ไวรัสจะรีสตาร์ท และขั้นตอนจะดำเนินการโดยใช้กำลัง ในระหว่างกระบวนการบู๊ต หน้าต่างจะปรากฏขึ้นเพื่อขอให้คุณดำเนินการตามขั้นตอนการกู้คืนระบบ ผู้ใช้ที่ไม่สงสัยกด Enter และกระบวนการเข้ารหัสจะเริ่มต้นขึ้น ในความเป็นจริง หน้าต่างที่ปลอมแปลงเป็นระบบ CHKDSK ไม่ใช่หน้าต่างดั้งเดิม ดังนั้นผู้ใช้จึงยืนยันการกระทำของไวรัส
อย่าหลงกล เพียงรีสตาร์ทพีซีของคุณอีกครั้ง ใช้ F9 เพื่อเลือกไดรฟ์และสลับไปยังไดรฟ์อื่น หากมี ถัดไปคุณต้องสแกนระบบจากเดสก์ท็อป Windows เพื่อหาไวรัส วันนี้โปรแกรมป้องกันไวรัสขั้นสูงเกือบทั้งหมดจะจดจำ ransomware ได้อย่างถูกต้องและอนุญาตให้คุณลบออกได้
มิฉะนั้น เพียงบูตโดยใช้ดิสก์กู้คืน (ดิสก์การติดตั้งหรือแฟลชไดรฟ์)
ไวรัส Petya: จะป้องกันตัวเองได้อย่างไร?
คุณจะหลีกเลี่ยงการติดไวรัส Petya บนคอมพิวเตอร์ของคุณและปกป้องข้อมูลของคุณได้อย่างไร? ทันทีหลังจากที่ไวรัสปรากฏขึ้น ผู้ดูแลระบบขั้นสูงจำนวนมากได้เข้าถึงกลุ่มตัวอย่างที่พยายามค้นหาวิธีการต่อสู้กับ Petya ตัวไวรัสเองใช้ช่องโหว่ของระบบเพื่อเจาะและเอาชนะมัน และโปรแกรมเมอร์ก็พบช่องโหว่ในรหัสของศัตรูพืช
ผู้ใช้จำเป็นต้องมีการดำเนินการขั้นต่ำ คุณต้องสร้างไฟล์ perfc ซึ่งควรอยู่ในไดเร็กทอรี C:\Windows และมีการตั้งค่า "อ่านอย่างเดียว" วิธีการนี้ไม่สามารถเรียกว่ายาครอบจักรวาลได้เนื่องจากการดัดแปลงไวรัสเพิ่มเติมจะข้ามข้อ จำกัด เหล่านี้และปัญหาจะปรากฏขึ้นอีกครั้ง แต่จนกว่าจะถึงตอนนั้นการป้องกันเต็มรูปแบบจากโปรแกรมป้องกันไวรัสจะปรากฏขึ้น
กระบวนการสร้างไฟล์:
- ในตอนแรก ควรทำให้นามสกุลไฟล์พร้อมสำหรับการแก้ไข คุณต้องเปิดโฟลเดอร์ใด ๆ และคลิกที่ "จัดเรียง" และเลือก "โฟลเดอร์และตัวเลือกการค้นหา" หากคุณมีหลายสิบรายการนั้นสามารถพบได้ในส่วน "ไฟล์"
- ไปที่แท็บ "มุมมอง" และเลื่อนไปที่ท้ายรายการ ยกเลิกการเลือกส่วน "ซ่อนนามสกุลสำหรับประเภทไฟล์ที่ลงทะเบียน"
- ตอนนี้สร้างหรือคัดลอกไฟล์ใด ๆ บนดิสก์
- RMB และ "เปลี่ยนชื่อ" อย่าเปลี่ยนไฟล์ที่มีอยู่มิฉะนั้นอาจเกิดข้อผิดพลาดได้
- ป้อนชื่อ perfc ไม่ควรมีส่วนขยายและยืนยันหน้าต่างคำเตือน
- RMB บนไฟล์ป้องกันที่สร้างขึ้น และทำเครื่องหมายที่ช่องถัดจาก “อ่านอย่างเดียว”
ไวรัสมุ่งเป้าไปที่เครือข่ายองค์กร ดังนั้นบริษัทจึงสูญเสียเงินจำนวนมหาศาลเนื่องจากการหยุดทำงาน และอาจกระตุ้นให้พวกเขาจ่ายค่าไถ่แรนซัมแวร์ มีวิธีทั่วไปในการป้องกันไวรัสทุกประเภท
ไวรัส Petya ransomware - วิธีการป้องกัน
ทีมงานจาก Kaspersky Lab พบว่าหลายบริษัทได้รับไวรัสบนคอมพิวเตอร์ผ่านลิงก์ซ้ำๆ ไปยังระบบคลาวด์ ซึ่งโดยปกติแล้วไฟล์ต่างๆ เช่น ประวัติการทำงานจะถูกส่งไป
เมื่อ Petya Virus โจมตี มันก็สายเกินไปแล้วที่จะดำเนินการป้องกันตัวเอง เว้นแต่คุณจะต้องปิดการใช้งานเครือข่ายท้องถิ่นทันที ดังนั้นคุณต้องป้องกันตัวเองก่อน:
- การสำรองข้อมูลเป็นพื้นฐานของธุรกิจ หากไม่มีการสำรองข้อมูล ก็มีความเสี่ยงสูงที่จะสูญเสียข้อมูลสำคัญ สิ่งสำคัญคือต้องทำสำเนา 2 ชุด: ชุดแรกจะถูกเก็บไว้ในคลาวด์ ชุดที่สองในไดรฟ์แบบถอดได้ทั่วไป และบล็อกการเข้าถึงการแก้ไขและการเปลี่ยนแปลงไฟล์ในไดรฟ์
- ฟิชชิ่ง – เว็บไซต์ปลอม อีเมล ฯลฯ จากองค์กรอื่นๆ เช่น ธนาคาร ร้านค้า แหล่งข้อมูลทางอินเตอร์เน็ต นอกจากข้อความปลอมแปลงแล้ว ข้อความยังมีลิงก์ไปยังหน้าที่จะดาวน์โหลดไฟล์ สคริปต์ และระบบจะติดไวรัสเสมอ
- การแฮ็ก - เพื่อนและคนรู้จักสามารถแฮ็กได้บน Skype, VK, Gmail, Facebook และอื่น ๆ คุณไม่ควรเชื่อใจใครเลย ไม่เช่นนั้นคุณอาจติดไวรัส Petya ได้
- เมื่อดาวน์โหลดไฟล์จากเครือข่ายให้ใส่ใจกับส่วนขยายที่อันตรายที่สุดคือ exe, vbs และ scr
- อัปเดตโปรแกรมป้องกันไวรัสและระบบปฏิบัติการของคุณ
บทสรุป
ไวรัส Petya ตัวใหม่ใช้ช่องโหว่ที่ทราบอยู่แล้วเพื่อให้ได้สิทธิ์ของผู้ดูแลระบบ จากนั้นทำให้ผู้ใช้เข้าใจผิดด้วยหน้าต่างการกู้คืนปลอม ดังนั้นเมื่อคุณรู้อัลกอริธึม Petya/NoPetya แล้ว คุณสามารถหลีกเลี่ยงการตกหลุมพรางของผู้โจมตีได้
หากคุณยังคงมีคำถามในหัวข้อ “จะลบหรือป้องกันตัวเองจากไวรัส Petya ransomware ได้อย่างไร?” คุณสามารถถามพวกเขาได้ในความคิดเห็น
if(function_exists("the_ratings")) ( the_ratings(); ) ?>