Այս հարձակումը մտահոգիչ է, քանի որ այն երկրորդ խոշորագույն ransomware հարձակումն է երկու ամսվա ընթացքում, ինչը ազդել է ամբողջ աշխարհում: Հիշում եք, որ մայիսին, Միացյալ Թագավորությունում, Ազգային առողջապահական ծառայությունը, NHS, վարակվել է WannaCry- ի անվանմամբ չարամիտ միջոցներով: Այս ծրագիրը ազդել NHS- ի եւ բազմաթիվ այլ կազմակերպությունների վրա: WannaCry- ը առաջին անգամ հայտնվեց հանրության համար, երբ NHS- ի հետ կապված բաց թողնված փաստաթղթերը առցանց են հրապարակվել ապրիլին Shadow Brokers- ի կողմից հայտնի հաքերների կողմից:
The WannaCry- ի ծրագիրը, որը նաեւ կոչվում էր WannaCrypt, ազդել է 230,000 համակարգիչների գերազանցման վրա, որոնք գտնվում էին աշխարհի ավելի քան 150 երկրներում: Բացի NHS- ից, Իսպանիայի հեռախոսային ընկերությունը, Գերմանիան եւ Պետական երկաթուղին նույնպես հարձակման են ենթարկվել:
WannaCry- ի նման, «Petya» արագորեն տարածվում է Microsoft Windows- ի օգտագործման բոլոր ցանցերում: Հարցը, սակայն, այն է, ինչ է դա: Մենք նաեւ ուզում ենք իմանալ, թե ինչու է դա տեղի ունենում եւ ինչպես կարելի է դա դադարեցնել:
Ինչ է Ransomware?
Առաջին բանը, որ դուք պետք է հասկանաք, փրկարարների սահմանումը է: Հիմնականում, ransomware- ը ցանկացած տեսակի չարամիտ ծրագիր է, որը աշխատում է ձեր համակարգչից կամ տվյալների մուտքից արգելափակելու համար: Այնուհետեւ, երբ փորձում եք մուտք գործել այդ համակարգիչը կամ այն տվյալները, դուք չեք կարող հասնել դրան, եթե չվճարեք փրկագին: Pretty խառնաշփոթ, եւ անկեղծ ասած.
Ինչպես է աշխատում Ransomware- ը
Կարեւոր է նաեւ հասկանալ, թե ինչպես է փրկագինը աշխատում: Երբ համակարգիչը վարակված է ransomware- ով, այն դառնում է կոդավորված: Սա նշանակում է, որ ձեր համակարգչի վրա փաստաթղթերը կողպված են, եւ դուք չեք կարող բացել առանց վճարելու փրկագին: Բանավորությունը բարդացնելու համար փրկանքը պետք է վճարվի ոչ թե կանխիկ, այլ Bitcoin- ի համար, թվային բանալին, որը կարող եք օգտագործել ֆայլերը բացելու համար: Եթե դուք չունեք ձեր ֆայլերի կրկնօրինակ, դուք ունեք երկու ընտրություն. Դուք կարող եք վճարել փրկագին, որը սովորաբար մի քանի հարյուր դոլար է մի քանի հազար դոլարով, կամ դուք կորցնում եք ձեր բոլոր ֆայլերը:
Ինչպես է աշխատում «Պետրիան» աշխատավարձը
«Փեթյա» ransomware- ը աշխատում է շատ ransomware- ի նման: Այն տեւում է համակարգիչ, իսկ հետո պահանջում է $ 300 Bitcoin- ում: Սա վնասակար ծրագրակազմ է, որը արագորեն տարածվում է ցանցի կամ կազմակերպության միջոցով, երբ մեկ համակարգիչը վարակվում է: Այս ծրագրաշարը օգտագործում է EternalBlue խոցելիությունը, որը հանդիսանում է Microsoft Windows- ի մաս: Թեեւ Microsoft- ն այժմ թողարկվել է խոցելիության համար, ոչ բոլորն են տեղադրել այն: Փրկարարը նաեւ հնարավոր է տարածվում Windows- ի վարչական գործիքների միջոցով, որը հասանելի է, եթե համակարգչում չկա գաղտնաբառ: Եթե չարամիտները մի կերպ չեն կարողանում ստանալ, ապա այն ավտոմատ կերպով փորձում է մյուսին, որն այդքան արագ տարածվեց այդ կազմակերպությունների շրջանում:
Այսպիսով, «Petya» - ը շատ ավելի հեշտ է տարածում, քան WannaCry, ըստ կիբեր անվտանգության մասնագետների:
Արդյոք «Փեթայի» միջոցով ձեզ պաշտպանելու որեւէ ձեւ կա:
Դուք, ամենայն հավանականությամբ, զարմանում եք այս պահին, եթե կա «Պետրայի» պաշտպանելու որեւէ ձեւ: Ամենատարածված հակավիրուսային ընկերությունները պնդում են, որ նրանք թարմացրել են իրենց ծրագրային ապահովումը, օգնելու ոչ միայն հայտնաբերել, այլեւ պաշտպանել «Petya» չարամիտ վարակի դեմ: Օրինակ, Symantec ծրագրային ապահովումը առաջարկում է պաշտպանություն "Petya" - ից, եւ Kaspersky թարմացրել է իր բոլոր ծրագրաշարը, օգնել հաճախորդներին պաշտպանել իրենց չարամիտ ծրագրից: Այս գլխում դուք կարող եք պաշտպանել ձեր Windows- ի պահվածքը: Եթե դուք ոչինչ չեք անում, առնվազն տեղադրեք այն մարտահրավերները, որոնք Windows- ում թողարկված են մարտին, որը պաշտպանում է այս EternalBlue խոցելիության դեմ: Սա դադարեցնում է վարակվածության հիմնական ուղիներից մեկը, եւ այն նաեւ պաշտպանում է ապագա հարձակումներից:
«Պիտայի» չարամիտների դեմ պայքարի մեկ այլ գիծ էլ առկա է, եւ այն միայն վերջերս հայտնաբերվել է: Չարամիտ ծրագիրը ստուգում է C: \ drive- ը, որը պարունակում է միայն կարդալու ֆայլ `perfc.dat անունով: Եթե չարամիտները գտնում են այս ֆայլը, այն չի գործում կոդավորումը: Այնուամենայնիվ, նույնիսկ եթե դուք ունեք այս ֆայլը, դա իրականում չի կանխում չարամիտ վարակը: Այն կարող է տարածել չարամիտ այլ համակարգչին ցանցում, նույնիսկ եթե օգտագործողը չի նկատում այն համակարգչում:
Ինչու է այս չարամիտը կոչվում «Պետրիա»:
Կարող եք նաեւ հետաքրքրվել, թե ինչու է այս չարամիտը կոչվում «Պետրիա»: Իրականում, դա տեխնիկապես չի կոչվում «Պետրիա»: Փոխարենը, կարծես թե կիսում է բազմաթիվ կոդ, որը «Petya» կոչվող հին կտորներից է: սակայն նախնական բռնկումներից հետո, անվտանգության մասնագետները նշեցին, որ այս երկու փոխադրամիջոցները ոչ թե նույնն էին, որքան առաջինը: Այսպիսով, «Կասպերսկու լաբորատորիա» -ի հետազոտողները սկսեցին անդրադառնալ «Նո Պետյա» -ի (այսինքն, բնօրինակը), ինչպես նաեւ «Petna» - ի եւ «Pneytna» - ի այլ անվանումների վրա: Բացի այդ, մյուս հետազոտողները ծրագրում էին այլ անուններ, ներառյալ «Goldeneye», Բիթդֆենդերը, Ռումինիան, սկսեց զանգահարել: Այնուամենայնիվ, «Պետրիան» արդեն խփվել էր:
Որտեղ էր «Պետրիան» սկսվել
Դուք հետաքրքրվում եք, թե որտեղ է սկսվել «Պետրիան»: Թվում է, թե սկսվել է որոշակի հաշվապահական ծրագրում տեղադրվող ծրագրային ապահովման թարմացման մեխանիզմ: Այդ ընկերությունները աշխատում էին Ուկրաինայի կառավարության հետ եւ պահանջում էին կառավարությունը, օգտագործելու այս հատուկ ծրագիրը: Սա է պատճառը, որ Ուկրաինայում այդքան շատ ընկերություններ են տուժել: Կազմակերպությունները ներառում են բանկեր, կառավարություն, Կիեւի մետրոյի համակարգ, խոշոր Կիեւի օդանավակայան եւ պետական էլեկտրական կոմունալ ծառայություններ:
Չեռնոբիլի ճառագայթման մակարդակի մոնիտորինգ իրականացնող համակարգը նույնպես ազդել է փրկագնի վրա եւ վերջապես վերացվել է անցանց: Այս հարկադիր աշխատողներն օգտագործում են ձեռնարկի ձեռքի սարքավորումները `արտանետման գոտում ճառագայթումը չափելու համար: Ընդհակառակը, տեղի ունեցավ չարամիտ վարակների երկրորդ ալիքը, որը քարոզարշավ էր, որը ցույց տվեց էլեկտրոնային փոստի հավելվածները, որոնք լցված էին չարամիտ ծրագրերով:
Որքանով է տարածվում «Պետրիան» վարակի տարածումը
«Petya» փրկարար ծրագիրը լայն տարածում է գտել եւ խախտել է ընկերությունների բիզնեսը թե ԱՄՆ-ում, թե Եվրոպայում: Օրինակ, WPP, ԱՄՆ-ում գովազդային ընկերություն, Սուրբ Գոբեյն, Ֆրանսիայում շինարարական նյութերի արտադրության ձեռնարկություն, ինչպես նաեւ Ռոսնեֆտ եւ Եվրազ, ռուսական նավթային եւ պողպատե ընկերություններ: Պիտսբուրգյան ընկերությունը, Heritage Valley Health Systems- ն, նույնպես հարվածել է «Petya» չարամիտ ծրագիրը: Այս ընկերությունը Փիթսբուրգի շրջանում աշխատում է հիվանդանոցներ եւ խնամքի ծառայություններ:
Սակայն, ի տարբերություն WannaCry- ի, «Petya» չարամիտ ծրագիրը փորձում է արագ տարածել այն ցանցերի միջոցով, սակայն այն չի փորձում տարածել ցանցից դուրս: Այս փաստը կարող էր իրականում օգնել այս չարամիտ հնարավոր տուժածներին, քանի որ այն սահմանափակել է դրա տարածումը: Այսպիսով, կարծես թե նվազում է, թե քանի նոր տեսակներ են հայտնաբերվել:
Ինչ է նշանակում Cybercriminals- ով, ովքեր ուղարկում են «Պետրիա»:
Երբ «Petya» - ը հայտնաբերվել է, թվում է, որ չարամիտների հայտնաբերումը պարզապես կիբերհանցագործի կողմից փորձ է արվել օգտվել ինտերնետից հայտնված կիբեռային զենքից: Այնուամենայնիվ, երբ անվտանգության աշխատակիցները մի փոքր ավելի նեղ էին նայում «Պետրայի» վնասակար ծրագրերում, ասում են, որ որոշ մեխանիզմներ, ինչպիսիք են վճարման եղանակը, բավականին սիրողականիստ է, ուստի չեն հավատում, որ լուրջ կիբերհանցագործները հետեւում են:
Նախ, «Petya» չարամիտ ծրագրի հետ կատարված փրկագինը, ներառում է ճշգրիտ նույն վճարային հասցեն ցանկացած չարամիտ զոհի համար: Սա տարօրինակ է, քանի որ կողմերը իրենց զոհերից յուրաքանչյուրի համար ստեղծում են մաքսային հասցե: Երկրորդ, ծրագիրն իր զոհերին խնդրում է ուղղակիորեն շփվել հարձակվողների հետ `հատուկ էլփոստի հասցեով, որը անմիջապես կասեցվել է, երբ հայտնաբերվել է, որ էլեկտրոնային փոստի հասցեն օգտագործվել է« Petya »- ի զոհերի համար: Սա նշանակում է, որ նույնիսկ եթե մարդը վճարում է $ 300 փրկանք, նրանք չեն կարողանում շփվել հարձակվողների հետ, եւ ավելին, նրանք չեն կարող մուտք գործել համակարգչից կամ դրա ֆայլերից բացելու ապակոդավորման բանալին:
Ովքեր են հարձակվողները, հետո
Կիբեր անվտանգության մասնագետները չեն հավատում, որ պրոֆեսիոնալ կիբերհանցագործը «Petya» չարամիտների ետեւում է, ուստի, ով է: Ոչ ոք չգիտի այս պահին, բայց հավանական է, որ այն մարդը կամ անձինք, ովքեր ազատ արձակեցին, ցանկացան վնասակար ծրագրերը նմանվել պարզ դավադրության, բայց փոխարենը դա շատ ավելի ապակառուցողական է, քան սովորական փրկագինը: Անվտանգության հարցերով հետազոտող Նիկոլաս Ուիվերը կարծում է, որ «Պետրիան» վնասակար, ապակառուցողական եւ կանխամտածված հարձակում է: Գրիգգը մեկ այլ հետազոտող կարծում է, որ բնօրինակը «Պետրիան» քրեական կազմակերպության մասն էր, գումար վաստակելու համար, բայց «Պետրիան» նույնն է անում: Նրանք երկուսն էլ համաձայն են, որ չարամիտը նախատեսված է արագ տարածման եւ մեծ վնաս պատճառելու համար:
Ինչպես նշեցինք, Ուկրաինան «Petya- ի» կողմից բավականին ծանր էր եւ երկիրը մատնեց մատները Ռուսաստանում: Սա զարմանալի չէ, քանի որ Ուկրաինան մեղադրում է Ռուսաստանին մի շարք նախորդ կիբերհարձակման համար: Այդ կիբերհարձակումներից մեկը եղել է 2015 թվականին, եւ այն ուղղված էր Ուկրաինայի էլեկտրական ցանցին: Այն, ի վերջո, ժամանակավորապես դադարեցրեց արեւմտյան Ուկրաինայի մասերը առանց որեւէ իշխանության: Ռուսաստանը, սակայն, հերքել է Ուկրաինայի կիբերհարձակման մեջ ներգրավվածությունը:
Ինչ պետք է անեք, եթե դուք հավատում եք, որ դուք տուժողի զավակ եք:
Կարծում եք, կարող եք լինել փրկագնի հարձակման զոհ: Այս հատուկ հարձակումն առաջացնում է համակարգիչ եւ մոտավորապես մեկ ժամ սպասում է, որ համակարգիչը սկսի ինքնաբերաբար վերսկսել: Եթե դա տեղի ունենա, անմիջապես փորձեք համակարգիչը անջատել: Սա կարող է կանխել համակարգչում գտնվող ֆայլերը կոդավորված լինելու մասին: Այդ պահին կարող եք փորձել մեքենայի ֆայլերը վերցնել:
Եթե համակարգիչը ավարտում է վերաբեռնումը եւ չի տրվում փրկագին, չի վճարում: Հիշեք, զոհերի մասին տեղեկություններ հավաքելու եւ ստեղն ուղարկելու համար օգտագործվող էլփոստի հասցեն փակված է: Այսպիսով, փոխարենը, անջատեք համակարգիչը ինտերնետից եւ ցանցից, կրկնօրինակեք կոշտ սկավառակը, ապա օգտագործեք կրկնօրինակում `ֆայլերը վերականգնելու համար: Համոզվեք, որ միշտ ձեր ֆայլերը պարբերաբար պահպանում եք եւ միշտ էլ պահեք ձեր հակավիրուսային ծրագրերը: