ეს თავდასხმა შემაშფოთებელია, რადგან ეს ორი ძირითადი ransomware შეტევა ორ თვეში, რაც გავლენას ახდენს კომპანიების მთელ მსოფლიოში. შეიძლება გახსოვდეთ, რომ მაისში, ჯანდაცვის ეროვნულმა სამსახურმა, ბრიტანეთში, ინფიცირებული ვირუსის სახელით დაინფიცირდა. ეს პროგრამა დაზარალდა NHS და მრავალი სხვა ორგანიზაციის მთელს მსოფლიოში. WannaCry პირველად გამოვლინდა საჯარო როდესაც გაჟონა დოკუმენტები დაკავშირებული NHS გათავისუფლდა მიერ ჰაკერების ცნობილია როგორც Shadow Brokers აპრილში.
WannaCry- ის პროგრამული უზრუნველყოფა, რომელსაც ასევე უწოდებენ WannaCrypt- ს, დაზარალდა 230 000-ზე მეტი კომპიუტერი, რომლებიც მსოფლიოს 150-ზე მეტ ქვეყანაში მდებარეობდა. გარდა ამისა, თავს დაესხნენ NHS, Telefonica, ესპანეთის სატელეფონო კომპანია და სახელმწიფო რკინიგზები გერმანიაში.
მსგავსი WannaCry, "Petya" სწრაფად ვრცელდება მთელი ქსელები, რომლებიც იყენებენ Microsoft Windows. კითხვა ის არის, რა არის ეს? ჩვენ ასევე გვინდა ვიცოდეთ, რატომ ხდება და როგორ შეიძლება შეწყდეს.
რა არის ransomware?
პირველი, რაც უნდა გესმოდეს, არის ransomware განმარტება. ძირითადად, ransomware არის ნებისმიერი ტიპის malware, რომელიც მუშაობს დაბლოკოს თქვენი ხელმისაწვდომობის კომპიუტერი ან მონაცემები. მაშინ, როდესაც თქვენ ცდილობთ წვდომას რომ კომპიუტერი ან მონაცემები მასზე, ვერ მიიღებთ მას, სანამ არ გადაიხდით გამოსასყიდს. Pretty nasty და downright ნიშნავს!
როგორ მუშაობს ransomware?
ასევე მნიშვნელოვანია იმის გაგება, თუ როგორ მუშაობს ransomware. როდესაც კომპიუტერი ინფიცირებულია ransomware, იგი დაშიფრულია. ეს იმას ნიშნავს, რომ თქვენს კომპიუტერში არსებული დოკუმენტები დაიბლოკება და გამოსასყიდის გადახდის გარეშე ვერ გახსნით. შემდგომი გაართულებს რამ, გამოსასყიდი უნდა გადახდილი Bitcoin, არ ნაღდი, ამისთვის ციფრული გასაღები, რომ თქვენ შეგიძლიათ გამოიყენოთ ზარალი ფაილი. თუ არ გაქვთ სარეზერვო თქვენი ფაილი, თქვენ გაქვთ ორი არჩევანი: შეგიძლიათ გადაიხადოთ გამოსასყიდი, რომელიც, როგორც წესი, რამდენიმე ასეული დოლარი რამდენიმე ათასი დოლარი, ან დაკარგვის დაშვება ყველა თქვენი ფაილი.
როგორ მუშაობს "პეტამია"?
"Petya" ransomware მუშაობს როგორც ყველაზე ransomware. იგი იღებს კომპიუტერს და შემდეგ ითხოვს $ 300 in Bitcoin. ეს არის მავნე პროგრამა, რომელიც სწრაფად ვრცელდება ქსელში ან ორგანიზაციაში ერთხელ, როდესაც ერთი კომპიუტერი ინფიცირებულია. ეს პროგრამული უზრუნველყოფა იყენებს EternalBlue მოწყვლადობას, რომელიც Microsoft Windows- ის ნაწილია. მიუხედავად იმისა, რომ Microsoft უკვე გაათავისუფლეს patch for დაუცველობის, ყველას არ დაამონტაჟა იგი. Ransomware ასევე პოტენციურად ვრცელდება მეშვეობით Windows ადმინისტრაციული ინსტრუმენტები, რომელიც ხელმისაწვდომი, თუ არ არსებობს პაროლი კომპიუტერი. თუ მავნე ვერ მიიღებს ერთგვარად, ის ავტომატურად ცდილობს კიდევ ერთს, რაც ამ ორგანიზაციებს შორის ასე სწრაფად გავრცელდა.
ამდენად, "პეტია" კუბის უსაფრთხოების ექსპერტების აზრით, WannaCry- ს უფრო ადვილად ვრცელდება.
არსებობს რაიმე გზა დაიცვას საკუთარი თავი "პეტია?"
თქვენ ალბათ გაინტერესებთ ამ ეტაპზე, თუ არსებობს რაიმე გზა დაიცვას საკუთარი თავი "Petya". ყველაზე მნიშვნელოვანი ანტივირუსული კომპანიები განაცხადეს, რომ მათ განახლებული პროგრამული უზრუნველყოფა, რათა დაეხმაროს არა მარტო აღმოაჩინოს, არამედ დაიცვას წინააღმდეგ "Petya" malware ინფექცია. მაგალითად, Symantec პროგრამული უზრუნველყოფის დაცვა "Petya", და Kaspersky აქვს განახლებული ყველა მისი პროგრამული უზრუნველყოფა, რათა დაეხმაროს მომხმარებელს დაიცვას საკუთარი თავი მავნე. ზემოთ თავზე, თქვენ შეგიძლიათ დაიცვას საკუთარი თავი შენახვა Windows განახლება. თუ არაფერს არ აკეთებთ, მინიმუმ დააყენეთ კრიტიკული პატჩი, რომელიც მარტში გამოვიდა Windows, რომელიც იცავს ამ EternalBlue მოწყვლადობის წინააღმდეგ. ეს აჩერებს ერთ-ერთ ძირითად გზას, რომ გახდეს ინფიცირებული და ის ასევე იცავს მომავალ თავდასხმებს.
კიდევ ერთი ხაზი თავდაცვის "Petya" malware ეპიდემიის ასევე ხელმისაწვდომია, და ეს მხოლოდ ახლახანს აღმოაჩინეს. Malware ამოწმებს C: \ drive for წაკითხული მხოლოდ ფაილი მოუწოდა perfc.dat. თუ მავნე აღმოაჩენს ამ ფაილის, იგი არ აწარმოებს დაშიფვრის. თუმცა, მაშინაც კი, თუ თქვენ გაქვთ ეს ფაილი, ეს არ რეალურად თავიდან ასაცილებლად malware ინფექცია. ის მაინც გავრცელდება მალტის სხვა კომპიუტერებთან ქსელში, მაშინაც კი, თუ მომხმარებელი არ შეუმჩნევია მათი კომპიუტერში.
რატომ არის ეს ბოროტება სახელწოდებით "პეტია?"
შესაძლოა, გაგიკვირდეთ, რატომ არის "მალტის" სახელი. "სინამდვილეში, ეს არ არის ტექნიკურად სახელწოდებით" პეტია ". ნაცვლად ამისა, როგორც ჩანს, ბევრ კოდს იზიარებს ძველ ransomware, რომელსაც ეწოდება" პეტია ". თავდაპირველი ეპიდემიის შემდეგ, თუმცა უსაფრთხოების ექსპერტმა აღნიშნა, რომ ეს ორი გამოსასყიდი არ იყო ისეთივე მსგავსი, როგორიც იყო პირველი აზრი. ასე რომ, Kaspersky Lab- ის მკვლევარებმა დაიწყეს მავნე, როგორც "NotPetya" (ეს ორიგინალი!), ასევე სხვა სახელები, მათ შორის "Petna" და "Pneytna". ამასთან ერთად, სხვა მკვლევარებმა სხვა სახელი მოიხსენიეს, სახელწოდებით "Goldeneye" რუმინეთიდან Bitdefender- ი დაიწყო. თუმცა, "პეტია" უკვე მოხდა.
სად დაიწყო "პეტია"?
გაინტერესებთ, სად "პეტია" დაიწყო? როგორც ჩანს, დაიწყო პროგრამული უზრუნველყოფის განახლების მექანიზმი, რომელიც აშენდა გარკვეულ საბუღალტრო პროგრამაში. ეს კომპანიები უკრაინულ მთავრობასთან მუშაობდნენ და მთავრობის მიერ ამ კონკრეტული პროგრამის გამოყენებას მოითხოვდნენ. ამიტომაც ამდენივე უკრაინას ამ კომპანიების გავლენა მოახდინა. ორგანიზაციები მოიცავს ბანკებს, მთავრობას, კიევის მეტროს სისტემას, ძირითადი კიევის აეროპორტს და სახელმწიფო ძალაუფლებას.
სისტემა, რომელიც მონიტორინგს უწევს რადიაციის დონეს ჩერნობილის დროს, ასევე დაზარალდა ransomware და საბოლოოდ წაიყვანეს ოფლაინში. ეს იძულებულმა თანამშრომლებმა გამოიყენეს ხელსაწყო ხელსაწყოების გამოყენება გამონაკლის ზონაში გამოსხივების შესაფასებლად. ზემოთაღნიშნულ შემთხვევაში, იყო მეორე ტალღა მავნე ინფექციების, რომლებიც შეიცავდა კამპანიას, რომელშიც შედიოდა ელ-ფოსტა, რომელიც ივსებოდა malware.
რამდენად შორს არის "პეტია" ინფექცია გავრცელდა?
"პეტია" ransomware ფართოდ გავრცელდა და ხელი შეუშალა კომპანიების საქმიანობას როგორც აშშ-ში, ასევე ევროპაში. მაგალითად, WPP, აშშ-ში სარეკლამო ფირმა, სენ-გობეინი, საფრანგეთში სამშენებლო მასალების კომპანია და როსნეფტი და ევრაზი, რუსეთში ნავთობისა და ფოლადის ფირმებიც დაზარალდნენ. Pittsburgh კომპანია, Heritage Valley Health Systems, ასევე მოხვდა "Petya" malware. ეს კომპანია უშვებს საავადმყოფოებსა და საავადმყოფოებს პიტსბურგის მთელ ტერიტორიაზე.
თუმცა, განსხვავებით WannaCry, "Petya" malware ცდილობს გავრცელება სწრაფად მეშვეობით ქსელების მას ხელმისაწვდომს, მაგრამ ეს არ ცდილობენ გავრცელება თავად გარეთ ქსელის. ეს ფაქტი მარტო შეიძლება, ფაქტობრივად დაეხმარა ამ მავნე ზემოქმედების პოტენციურ მსხვერპლთ, რადგან იგი შეზღუდული იყო მისი გავრცელება. ასე რომ, როგორც ჩანს, შემცირდება რამდენი ახალი ინფექციების ჩანს.
რა არის მოტივაცია კიბერკრიმინალებისთვის, რომლებიც გაგზავნიან "პეტამს?"
როდესაც "პეტია" თავდაპირველად აღმოაჩინეს, როგორც ჩანს, მავნეების დაწყებამ უბრალოდ კიბერ-დანაშაულის მცდელობა გამოიყენა გაჟონა გაჟღენთილი ინტერნეტ კიბერ იარაღის გამოყენებით. თუმცა, როდესაც უსაფრთხოების პროფესიონალები უფრო მჭიდროდ უყურებდნენ "პეტას" მავნე მოვლენას, ამბობენ, რომ გარკვეული მექანიზმები, როგორიცაა გადახდის გადახდა, საკმაოდ კეთილშობილურია, ამიტომ მათ არ სჯერა სერიოზული კიბერკრიმინალები უკან.
პირველი, გამოსასყიდი, რომ მოდის "Petya" malware მოიცავს ზუსტად იგივე გადახდის მისამართი ყველა malware მსხვერპლი. ეს არის უცნაური, რადგან დადებითია შექმნას საბაჟო მისამართი თითოეული მათი მსხვერპლი. მეორე, პროგრამა ითხოვს დაზარალებულებს პირდაპირ დაუკავშირდეს თავდამსხმელებმა კონკრეტული ელექტრონული ფოსტის საშუალებით, რაც დაუყოვნებლივ შეჩერდა, როდესაც აღმოჩნდა, რომ ელექტრონული ფოსტის მისამართი გამოყენებული იყო "პეტია" მსხვერპლთათვის. ეს იმას ნიშნავს, რომ იმ შემთხვევაშიც კი, თუ ადამიანი გადაიხდის $ 300 გამოსასვლელს, მათ არ შეუძლიათ დაუკავშირდნენ თავდამსხმელებს და უფრო მეტიც, ისინი ვერ შედიან დეშიფრების გასაღები კომპიუტერის ან მისი ფაილების განბლოკვაში.
ვინ არიან თავდამსხმელები, მაშინ?
კიბერ უსაფრთხოების ექსპერტები არ სჯერათ პროფესიული კიბერკრიმინალური უკან "პეტია" მავნე, ვინ არის? ამ ეტაპზე არავინ იცის, მაგრამ სავარაუდოა, რომ ადამიანს ან ადამიანებს, რომლებმაც გაათავისუფლეს, სურდათ მალმები, გამოიყურებოდეს მარტივი ransomware, მაგრამ ამის ნაცვლად, ეს ბევრად უფრო დესტრუქციულია, ვიდრე ტიპიური ransomware. უსაფრთხოების მკვლევარი, ნიკოლას უივერი მიიჩნევს, რომ "პეტია" არის მუქარის, დესტრუქციული და განზრახ თავდასხმა. კიდევ ერთი მკვლევარი, რომელიც მიდის გრგუგის მიერ, მიიჩნევს, რომ ორიგინალური "პეტია" კრიმინალური ორგანიზაციის ნაწილია, რომ ფული გამოყოს, მაგრამ ეს "პეტია" არ აკეთებს ამას. ისინი ორივე თანხმდებიან, რომ მავნე იყო შემუშავებული სწრაფად გავრცელდა და გამოიწვიოს ბევრი ზიანი.
როგორც ზემოთ აღვნიშნეთ, უკრაინამ "პეტამ" საკმაოდ მძიმე დარტყმა მიაყენა და ქვეყანა თითქოს რუსეთზე თითების თითებს მიუთითებს. ეს გასაკვირი არ არის, რადგან უკრაინამ უკვე დაადანაშაულა რუსეთი წინა კიბერშეტევისთვისაც. ერთი ასეთი კიბერშეტარები მოხდა 2015 წელს და ეს იყო უკრაინის ელექტროგადამცემი ქსელი. ის საბოლოოდ დასავლეთიდან დასავლეთის ნაწილებს დროებით დატოვებდა. თუმცა, რუსეთი უარყოფს კიბერშეტევებში უკრაინაში ჩართვას.
რა უნდა გააკეთო, თუ გჯერათ, რომ თქვენ ხართ ransomware?
როგორ ფიქრობთ, შეიძლება ransomware თავდასხმის მსხვერპლი? ეს კონკრეტული თავდასხმა ხსნის კომპიუტერს და ელოდება დაახლოებით ერთი საათით ადრე კომპიუტერი იწყებს სპონტანურად გადატვირთვას. თუ ეს მოხდება, დაუყოვნებლივ ცდილობენ კომპიუტერის გამორთვა. ეს შეიძლება თავიდან აიცილოს კომპიუტერის ფაილი დაშიფრულია. ამ ეტაპზე, შეგიძლიათ ცდილობენ მიიღონ ფაილი off of მანქანა.
თუ კომპიუტერის გადატვირთვისას გადატვირთვა და გამოსასყიდი არ ჩანს, არ გადაიხდი. გახსოვდეთ, ელექტრონული ფოსტის მისამართი დაზარალებულთაგან ინფორმაციის შეგროვებასა და გასაღების გასაუქმებლად. ასე რომ, ნაცვლად, კომპიუტერიდან ინტერნეტიდან და ქსელიდან გათიშვა, ხელახლა შეცვალეთ დისკი და შემდეგ გამოიყენოთ სარეზერვო ფაილები. დარწმუნდით, რომ ყოველთვის თქვენს კომპიუტერში რეგულარულად ხორციელებთ და ყოველთვის განაახლეთ თქვენი ანტივირუსული პროგრამული უზრუნველყოფა.