Petya virus สร้างไฟล์อะไร รัสเซีย ยูเครน และประเทศอื่นๆ ในยุโรปถูกโจมตีโดยไวรัสเรียกค่าไถ่ Petya: ภาพรวมของสถานการณ์และวิธีการป้องกัน การป้องกันและสถานที่ที่คุณอาจติดเชื้อได้

ผู้ที่ชื่นชอบอินเทอร์เน็ตหลายคนยังคงเชื่ออย่างไร้เดียงสาว่าหากคุณไม่ไปที่เพจที่น่าสงสัยและไม่ติดตามลิงก์ที่ไม่คุ้นเคยจะไม่มีโอกาส "จับ" ไวรัสได้ “น่าเสียดาย ที่ไม่เป็นเช่นนั้น” DriverPack กล่าว (จัดการกับระบบอัตโนมัติในการทำงานกับไดรเวอร์บนแพลตฟอร์ม Microsoft Windows - เอ็ด)- “ไวรัสรุ่นใหม่ทำหน้าที่แตกต่างไปจากเดิมอย่างสิ้นเชิง - พวกมันเปิดใช้งานตัวเองโดยการใช้ประโยชน์จากช่องโหว่ในหนึ่งในโปรโตคอล” ในหมู่พวกเขาคือ Petya ตามไซแมนเทค (บริษัทอเมริกันกำลังพัฒนาซอฟต์แวร์ป้องกันไวรัส - เอ็ด), Petya มีมาตั้งแต่ปี 2559 แต่ตอนนี้เขาเพิ่งเริ่มเคลื่อนไหวเท่านั้น จริงอยู่มันอาจจะไม่ใช่ Petya เสียทีเดียว Kaspersky Lab เรียก Trojan ExPetr และอ้างว่ามันคล้ายกับ “Petya” รุ่นก่อนหน้าแต่เพียงเล็กน้อยเท่านั้น และที่ซิสโก้ (บริษัทอเมริกันที่เชี่ยวชาญด้านเทคโนโลยีชั้นสูง รวมถึงความปลอดภัยทางไซเบอร์ - เอ็ด)ไวรัสแรนซั่มแวร์ตัวใหม่มีชื่อว่า Nyetya

2 ทำไมมันถึงเป็นอันตราย?

อะไรก็ตามที่คุณเรียกว่า “เพชร” ปัญหาก็ยังคงอยู่ “การแพร่กระจายของไวรัสเกิดขึ้นผ่านการส่งจดหมายฟิชชิ่งไปยังที่อยู่อีเมล” Group-IB เตือน ( บริษัทรัสเซียที่เชี่ยวชาญด้านการต่อสู้กับอาชญากรรมทางไซเบอร์ - ประมาณ. เอ็ด- - หลังจากเปิดไฟล์แนบที่เป็นอันตราย คอมพิวเตอร์เป้าหมายจะติดไวรัสและไฟล์จะถูกเข้ารหัส ไฟล์แนบใดๆ - .doc, .docx, .xls, .xlsx, .rtf และไฟล์อื่นๆ ในรูปแบบ Microsoft Office อาจมีเนื้อหาที่เป็นอันตราย" Cisco เสริมว่าไวรัสเข้ารหัสมาสเตอร์บูตเรคคอร์ดของคอมพิวเตอร์ (ใครๆ ก็บอกว่า "เนื้อหา" ของฮาร์ดไดรฟ์)

หากเรากำลังพูดถึงเครือข่ายองค์กร หากต้องการแพร่ระบาดทั่วทั้งเครือข่าย คุณจำเป็นต้องมีคอมพิวเตอร์ที่ "ติดไวรัส" เพียงเครื่องเดียว “หลังจากเปิดตัวไฟล์ที่เป็นอันตราย งานจะถูกสร้างขึ้นเพื่อรีสตาร์ทคอมพิวเตอร์โดยล่าช้าไป 1-2 ชั่วโมง ซึ่งในระหว่างนี้คุณจะมีเวลาในการกู้คืนการทำงานของระบบปฏิบัติการ” Positive Technologies ดูเหมือนจะให้ความหวัง (บริษัทรัสเซียที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ - Ed. note.- - อย่างไรก็ตาม ไฟล์จะไม่ถูกถอดรหัส การกู้คืนเนื้อหาหลังจากเสร็จสิ้นต้องอาศัยความรู้เกี่ยวกับไพรเวทคีย์ ดังนั้นหากไม่ทราบคีย์ ข้อมูลก็ไม่สามารถกู้คืนได้”

อนิจจาผู้เชี่ยวชาญยังพบว่าชุดเครื่องมือช่วยให้ Petya ยังคงทำงานได้แม้ในโครงสร้างพื้นฐานที่คำนึงถึงบทเรียนของ WannaCry และติดตั้งการอัปเดตความปลอดภัยที่เหมาะสม ซึ่งเป็นเหตุผลว่าทำไมโปรแกรมเข้ารหัสจึงมีประสิทธิภาพมาก

3 จะทำให้ Petya ล้มเหลวได้อย่างไร?

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีดังกล่าว คุณต้องอัปเดตซอฟต์แวร์ที่คุณใช้เป็นเวอร์ชันล่าสุดก่อน โดยเฉพาะอย่างยิ่งให้ติดตั้งการอัปเดต MS Windows ล่าสุดทั้งหมด “สมัครรับการแจ้งเตือนทางเทคนิคด้านความปลอดภัยของ Microsoft” Group-IB ยังแนะนำอีกด้วย นี่เป็นการรับประกันว่าเมื่อ Microsoft วิเคราะห์วิธีการต่อต้านภัยคุกคามนี้ บริษัทจะติดตั้งการอัปเดตที่เหมาะสม อย่างไรก็ตาม แผนก Microsoft ของรัสเซียได้รายงานไปแล้วว่าซอฟต์แวร์ป้องกันไวรัสตรวจพบไวรัส ransomware นี้และป้องกันได้

ยิ่งไปกว่านั้น DriverPack ยังตั้งข้อสังเกตอีกว่าผลที่ตามมาจากการโจมตีนั้นร้ายแรงมากจน “Microsoft ก้าวไปอย่างที่ไม่เคยมีมาก่อน โดยปล่อยการอัปเดตแม้แต่สำหรับ Windows XP ซึ่งถูกยกเลิกไปแล้ว ซึ่งหมายความว่าคอมพิวเตอร์ทุกเครื่องที่มีโปรโตคอล SMB แบบเปิดมีความเสี่ยงที่จะถูกโจมตี (โปรโตคอลเครือข่ายที่ปรากฏในปี 1983 - เอ็ด)และไม่มีการอัพเดตล่าสุด" “ผู้ใช้บางคนทำให้คอมพิวเตอร์ของตนไม่ได้รับการอัพเดตเป็นเวลาหลายปี” Vyacheslav Zakorzhevsky หัวหน้าแผนกวิจัยการป้องกันไวรัสที่ Kaspersky Lab ยักไหล่ อย่างไรก็ตาม หากคุณทำการอัปเดต Cisco แนะนำว่าคุณควรสร้างข้อกำหนดพื้นฐานในการสำรองข้อมูลสำคัญไว้ในกลยุทธ์การรักษาความปลอดภัยควบคู่ไปกับกระบวนการนี้

เพื่อการปกป้องเพิ่มเติมจาก Petya นักพัฒนาแนะนำให้สร้างไฟล์ล่อบนคอมพิวเตอร์ของคุณ โดยเฉพาะอย่างยิ่งในขณะที่เขาเขียนบน Twitter เพื่อป้องกันตัวเองจากไวรัสคุณต้องสร้างไฟล์ชื่อ perfc และวางไว้ในโฟลเดอร์ Windows บนไดรฟ์ C เมื่อเจาะเข้าไปในคอมพิวเตอร์ไวรัสจะตรวจสอบระบบเพื่อหาการติดไวรัสและเช่นนั้น ไฟล์เลียนแบบมัน คุณสามารถสร้างไฟล์ใน Notepad คุณจะต้องลบนามสกุล .txt ออกจากชื่อเอกสาร

4 ถ้าเพชรยามา

ก่อนอื่นผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศไม่แนะนำให้จ่ายเงินให้กับแรนซัมแวร์หากไวรัสบล็อกคอมพิวเตอร์ของคุณ และนี่ไม่ได้อธิบายด้วยเหตุผลด้านเทคโนโลยีขั้นสูง “ที่อยู่อีเมลของผู้ฝ่าฝืนถูกบล็อกแล้ว และแม้ว่าจะมีการจ่ายค่าไถ่แล้วก็ตาม ก็อาจจะไม่ได้รับกุญแจในการถอดรหัสไฟล์” Positive Technologies กล่าว และโดยทั่วไป Kaspersky Lab ตั้งข้อสังเกตว่า หากคุณให้เงินกับฟิชเชอร์ ไวรัสก็จะยิ่งทวีคูณเท่านั้น “เพื่อป้องกันการแพร่กระจายของแรนซัมแวร์บนเครือข่าย ขอแนะนำให้ปิดคอมพิวเตอร์เครื่องอื่นที่ไม่ติดไวรัส ยกเลิกการเชื่อมต่อโหนดที่ติดไวรัสจากเครือข่าย และถ่ายภาพระบบที่ถูกบุกรุก” Positive Technologies ให้คำแนะนำเฉพาะเจาะจง

ยิ่งไปกว่านั้น หากข้อมูลในคอมพิวเตอร์ถูกเข้ารหัสไว้แล้ว ก็ไม่ควรกระตุกจะดีกว่า “หากเป็นไปได้ที่จะถอดรหัสและกู้คืนไฟล์อย่างน้อยบางส่วน การดำเนินการเพิ่มเติมอาจรบกวนการถอดรหัสในอนาคตเท่านั้น” Vyacheslav Zakorzhevsky จาก Kaspersky Lab กล่าว “หากนักวิจัยพบวิธีถอดรหัสไฟล์ ข้อมูลที่ล็อคไว้ก็สามารถกู้คืนได้ในอนาคต” Positive Technologies มั่นใจ Mr. Zakorzhevsky แนะนำให้ลองกู้คืนสำเนาสำรอง ถ้ามี

5 มี "สิงห์" กี่คนในโลกนี้?

แคสเปอร์สกี้ แลป ประมาณการว่าจำนวนการโจมตีของมัลแวร์บนอุปกรณ์ IoT เพียงอย่างเดียวมีมากกว่าเจ็ดพันครั้ง โดยมากกว่าครึ่งหนึ่งปรากฏขึ้นในช่วงหกเดือนแรกของปี 2560 โดยรวมแล้วมีอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 6 พันล้านเครื่องในโลก จากข้อมูลของ Zakorzhevsky ความรุนแรงของภัยคุกคามทางไซเบอร์ในโลกเปลี่ยนแปลงทุกวัน แต่ก็ยังไม่มากนัก แต่ภูมิศาสตร์ของการโจมตีกำลังเปลี่ยนแปลงไป และเวลาของวันและวันหยุดราชการก็ส่งผลต่อ “สถิติไซเบอร์” เช่นกัน

ผู้เล่นในตลาดหลักที่ดำเนินงานในตลาดความปลอดภัยของข้อมูล มีแผนที่ออนไลน์ที่แสดงจำนวนการโจมตีแบบเรียลไทม์ทั่วโลก ข้อมูลนี้อิงตามข้อมูลจากผู้ใช้ที่ได้ติดตั้งโปรแกรมป้องกันไวรัสอย่างใดอย่างหนึ่ง Vyacheslav Zakorzhevsky หัวหน้าแผนกวิจัยแอนติไวรัสที่ Kaspersky Lab เล่าให้ฟังว่าผู้เชี่ยวชาญอ่านแผนที่ดังกล่าวได้อย่างไร และไซต์โฮสต์ส่วนใหญ่ตั้งอยู่ที่ไหน ซึ่งเป็น "แหล่งเพาะพันธุ์" สำหรับฟิชชิ่งและ "มัลแวร์" อื่นๆ

ตามการประมาณการของ DriverPack ผู้ใช้มากกว่า 35% ในรัสเซียไม่สามารถป้องกันไวรัสคอมพิวเตอร์ได้อย่างสมบูรณ์ “ผู้ใช้ระบบปฏิบัติการที่อายุน้อยกว่า Windows 10 ที่ไม่ได้ติดตั้งการอัปเดตล่าสุดจาก Microsoft และเปิดพอร์ต SMB ทิ้งไว้นั้นมีความเสี่ยงมากที่สุด” ผู้เชี่ยวชาญกล่าว ตามข้อมูลการวิเคราะห์ของบริษัท ผู้ใช้มากกว่า 18% ทำงานบนระบบปฏิบัติการ Windows ที่ไม่มีลิขสิทธิ์ ซึ่งทำให้พวกเขาตกอยู่ในความเสี่ยงโดยอัตโนมัติ 23% ปิดบริการ Windows Update และอีก 6% ของคอมพิวเตอร์มีระบบปฏิบัติการที่ล้าสมัยติดตั้ง ซึ่ง โดยหลักการแล้วไม่มีการเผยแพร่การอัปเดต

Nikolay Nelyubin โดยเฉพาะสำหรับ Fontanka.ru

กรุ๊ป-IB 28/06/2017 17:18

5318

เมื่อวันที่ 27 มิถุนายน การโจมตีทางไซเบอร์ขนาดใหญ่โดยใช้การดัดแปลงใหม่ของล็อคเกอร์เข้ารหัส Petya ได้รับการบันทึกในยูเครน รัสเซีย และประเทศอื่นๆ อีกหลายประเทศทั่วโลก

ไวรัสแพร่กระจายโดยใช้การส่งจดหมายฟิชชิ่งไปยังที่อยู่อีเมลของพนักงานบริษัท หลังจากเปิดไฟล์แนบที่เป็นอันตราย คอมพิวเตอร์เป้าหมายจะติดไวรัสและไฟล์ต่างๆ จะถูกเข้ารหัส

สิ่งที่แนบมาใด ๆ – .doc, .docx, .xls, .xlsx, .rtf และไฟล์อื่น ๆ ในรูปแบบ Microsoft Office อาจมีเนื้อหาที่เป็นอันตราย เมื่อคุณเปิดไฟล์แนบที่มีไวรัส Petya ซอฟต์แวร์ที่เป็นอันตรายจะถูกติดตั้งโดยใช้ประโยชน์จากช่องโหว่ที่รู้จัก CVE-2017-0199

ไวรัสจะรอประมาณ 30-40 นาทีหลังการติดเชื้อ (เพื่อแพร่กระจาย) และหลังจากนั้น Petya จะเข้ารหัสไฟล์ในเครื่อง

สำหรับการถอดรหัส นักกรรโชกทรัพย์เรียกร้องค่าไถ่ 300 ดอลลาร์เป็น bitcoin ไปยังกระเป๋าเงินออนไลน์

เหยื่อ

ในช่วง 2 ชั่วโมงแรก บริษัทพลังงาน โทรคมนาคม และการเงินถูกโจมตี ส่งผลให้มีบริษัทมากกว่า 100 แห่งทั่วโลกติดเชื้อ:
- ในรัสเซีย: Rosneft, Bashneft, Home Credit Bank, Evraz และอื่น ๆ
- ในยูเครน: “Zaporozheoblenergo”, “Dneproenergo”, “Dneprovskaya Electric Power System”, Mondelez International, Oschadbank, Mars, “Novaya Poshta”, Nivea, TESA, Kyiv Metro, คอมพิวเตอร์ของรัฐบาลของยูเครน, ร้านค้า Auchan, ผู้ประกอบการชาวยูเครน (“ Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, สนามบิน Boryspil และอื่น ๆ ;
- ในโลก: บริษัทชีวเภสัชภัณฑ์ยักษ์ใหญ่ของอเมริกาอย่าง Merck, Maersk, บริษัทจากอินเดีย, ออสเตรเลีย, เอสโตเนีย และอื่นๆ

จะต้องทำอะไรเพื่อป้องกันตัวเอง?

1. ใช้มาตรการตอบโต้การเลียนแบบและเทคนิคการยกระดับสิทธิ์บนเครือข่าย Windows
2. ติดตั้งแพตช์ KB2871997
3. คีย์รีจิสทรี: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential ตั้งค่าเป็น 0
4. ตรวจสอบให้แน่ใจว่ารหัสผ่านผู้ดูแลระบบท้องถิ่นบนเวิร์กสเตชันและเซิร์ฟเวอร์ทั้งหมดแตกต่างกัน
5. เปลี่ยนรหัสผ่านทั้งหมดของผู้ใช้สิทธิพิเศษ (ผู้ดูแลระบบ) ในโดเมนอย่างเร่งด่วน
6. ติดตั้งแพตช์สำหรับ CVE-2017-0199 และ EternalBlue (MS17-010)
7. ถอนสิทธิ์การบริหารจากทุกคนที่ไม่ต้องการโดยด่วน
8. ไม่อนุญาตให้ผู้ใช้เชื่อมต่อแล็ปท็อปกับ LAN จนกว่าจะมีการติดตั้งแพตช์บนคอมพิวเตอร์ทุกเครื่องบนเครือข่าย
9. ทำการสำรองข้อมูลระบบที่สำคัญทั้งหมดเป็นประจำ ตามหลักการแล้ว ให้ใช้ทั้งสองตัวเลือก - สำรองข้อมูลในระบบคลาวด์และบนสื่อแบบถอดได้
10. ปรับใช้นโยบาย Zero Trust และจัดการฝึกอบรมด้านความปลอดภัยให้กับพนักงานของคุณ
11. ปิดการใช้งาน SMBv1 บนเครือข่าย
12. สมัครรับการแจ้งเตือนทางเทคนิคด้านความปลอดภัยของ Microsoft
1. คุณสนับสนุนอาชญากร

2. เราไม่มีหลักฐานว่าข้อมูลของผู้ที่จ่ายค่าไถ่ได้รับการกู้คืนแล้ว

การแพร่ระบาดของไวรัส ransomware ได้เริ่มขึ้นแล้ว ผู้เชี่ยวชาญไม่มีความคิดเห็นที่ชัดเจนเกี่ยวกับที่มาและลักษณะของมัลแวร์ พวกเขาสังเกตว่ามันคล้ายกับไวรัส Petya ซึ่งเป็นที่รู้จักมาตั้งแต่ต้นปีที่แล้ว และตัวถอดรหัสก็พร้อมแล้วในเดือนเมษายนนั้น อย่างไรก็ตาม เพื่อการแพร่กระจาย การปรับเปลี่ยนใหม่ - เรียกว่า NonPetya, ExPetya, Petya.A - ใช้ช่องโหว่ "ใหม่" รวมถึงช่องทางที่ WannaCry เจาะเข้าสู่คอมพิวเตอร์ในเดือนพฤษภาคมด้วย

“Petya” ตัวใหม่เข้าสู่คอมพิวเตอร์ เข้ารหัสไฟล์ พยายามเจาะเข้าไปในเครื่องข้างเคียง จากนั้นรีบูทระบบ ในระหว่างการโหลด มันจะเลียนแบบการทำงานของยูทิลิตี้การตรวจสอบฮาร์ดไดรฟ์ จากนั้นจึงเปิดเผยการ์ด: ไฟล์ถูกเข้ารหัส และจำเป็นต้องมีการเรียกค่าไถ่ พวกเขาขอเงิน 300 ดอลลาร์ แต่ต้องเป็น Bitcoins เนื่องจาก Bitcoin ช่วยให้คุณสามารถดูธุรกรรมและยอดคงเหลือทั้งหมด โดยรู้เพียงที่อยู่กระเป๋าเงิน เราจึงพบว่าในวันแรกของการโจมตี ransomware ได้รับเงินประมาณ 10,000 ดอลลาร์

ข้อมูลเกี่ยวกับกระเป๋าเงิน Bitcoin ของ ransomware (ณ เวลาที่เผยแพร่)

ภาพทั่วไปในสำนักงานหลายแห่งในรัสเซียเมื่อวานนี้

Petya ติดเชื้ออย่างไร

เพื่อให้ "Petya" เข้าถึงคอมพิวเตอร์บางเครื่องในเครือข่ายขององค์กรได้ก็เพียงแค่ส่งทางอีเมล มันเกิดขึ้นเช่นนี้ พนักงานได้รับจดหมายพร้อมเอกสารสำนักงาน เมื่อเปิด Word (หรือ Excel หรือแอปพลิเคชันอื่นจากแพ็คเกจ) ระบบจะเตือนผู้ใช้ว่าเอกสารมีตัวชี้ไปยังไฟล์ภายนอก หากไม่สนใจคำเตือนนี้ ตัวไวรัสจะถูกดาวน์โหลดและเปิดใช้งาน และหากไม่ได้รับการอัพเดต MS Office บนคอมพิวเตอร์ของคุณเป็นเวลานาน คำเตือนจะไม่ปรากฏขึ้นด้วยซ้ำ

ต่อจากนี้ชีวิตที่สองของ “เพชรยา” ก็เริ่มต้นขึ้น ด้วยการเข้ารหัสไฟล์และเขียนทับพื้นที่บูตของฮาร์ดไดรฟ์ จะพยายามเข้าไปในคอมพิวเตอร์เครื่องอื่นในเครือข่ายเดียวกัน เขามีสองวิธีในเรื่องนี้ ประการแรกคือช่องโหว่ในบริการเครือข่าย SMBv1 มีหน้าที่รับผิดชอบ "Network Neighborhood" แต่เวอร์ชันเดียวกันหมายเลข 1 นี้ไม่ได้ถูกนำมาใช้ในทางปฏิบัติมาเป็นเวลานาน อย่างไรก็ตาม ระบบจะเปิดใช้งานตามค่าเริ่มต้นแม้ใน Windows เวอร์ชันใหม่ ช่องโหว่นี้เผยแพร่สู่สาธารณะในเดือนมีนาคม เมื่อรหัสที่ใช้ช่องโหว่รั่วไหลจาก NSA และยังถูกไวรัส WannaCry โจมตีคอมพิวเตอร์หลายพันเครื่องในเดือนพฤษภาคมด้วย หลังจากการแพร่ระบาดครั้งนั้น มีเพียงผู้ที่เกียจคร้านหรือกล้าหาญที่สุดเท่านั้นที่ไม่ได้ติดตั้งแพตช์สำหรับ Windows

แต่มีวิธีที่สอง "Petya" หากเปิดใช้งานโดยผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบ จะได้รับข้อมูลเกี่ยวกับบัญชีทั้งหมดบนคอมพิวเตอร์ รวมถึงโดเมน - บัญชีเครือข่ายที่ใช้ในองค์กรนี้ ด้วยข้อมูลนี้ ไวรัสสามารถเข้าถึงคอมพิวเตอร์เครื่องอื่นบนเครือข่ายและแพร่ระบาดได้

จะทำอย่างไรถ้าคุณติดเชื้อ

ขั้นแรก อย่าโอนเงินไปยังกระเป๋าเงิน Bitcoin ผู้โฮสต์ได้บล็อกกล่องจดหมายไว้แล้ว ซึ่งตามคำแนะนำของไวรัส เหยื่อจะต้องส่งหลักฐานการชำระเงิน แม้ว่าผู้เขียนมัลแวร์จะรักษาคำพูดของตน และเมื่อได้รับเงินแล้วจึงแจกกุญแจปลดล็อค พวกเขาก็จะไม่สามารถทำเช่นนี้ได้อีกต่อไป

ประการที่สอง ยอมรับว่าคุณน่าจะไม่สามารถถอดรหัสข้อมูลในคอมพิวเตอร์เครื่องนี้ได้ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลแนะนำให้ฟอร์แมตฮาร์ดไดรฟ์ทันทีและเริ่มกู้คืนไฟล์จากข้อมูลสำรอง

จะทำอย่างไรถ้าคุณยังไม่ติดเชื้อ

สร้างในไดเร็กทอรี ซี:\Windowsชื่อไฟล์ เพอร์เฟค(ไม่มีนามสกุล แต่มีข้อมูลว่าชื่อก็เหมาะสมเช่นกัน perfc.dat) และในคุณสมบัติไฟล์ ให้เลือกช่องทำเครื่องหมาย "อ่านอย่างเดียว" ไวรัสจะตรวจสอบการมีอยู่ของไฟล์นี้ และหากพบเห็น จะถือว่าคอมพิวเตอร์ "กำลังทำงาน" อยู่แล้ว

สำรองข้อมูลของคุณไปยังที่จัดเก็บข้อมูลภายนอกเป็นประจำ นี่อาจเป็นเพียงไดรฟ์ภายนอก (แต่ไม่จำเป็นต้องเชื่อมต่ออย่างถาวร) หรือบริการเครือข่ายที่ไม่ให้การเข้าถึงโดยตรงไปยังไฟล์ที่คัดลอกหรือระบบคลาวด์ - อีกครั้งพร้อมความสามารถในการกลับไปยังไฟล์เวอร์ชันก่อนหน้า


เมื่อเร็วๆ นี้ ทรัพยากรอินเทอร์เน็ตและคอมพิวเตอร์ของผู้ใช้จำนวนมากถูกโจมตี และอยู่เบื้องหลัง ไวรัสเรียกค่าไถ่ Petya- เว็บไซต์ของสถาบันรัฐบาลที่ใหญ่ที่สุดถูกบล็อก ตั้งแต่ Oschadbank และเว็บไซต์ของรัฐบาลไปจนถึง Nova Poshta เป็นต้น ล่าสุด Petya/NoPetya เป็นไวรัสที่ใหญ่ที่สุดที่ติดคอมพิวเตอร์หลายเครื่อง โชคดีเช่นเดียวกับไวรัสอื่นๆ คุณสามารถป้องกันตัวเองจากมันและกำจัดมันได้ แต่คุณไม่จำเป็นต้องทำอะไรด้วยตัวเอง

ไวรัส Petya: มันทำงานอย่างไร?

ไวรัสคอมพิวเตอร์ Petya เป็นของกลุ่มตัวเข้ารหัสโดยเจาะระบบและกระตุ้นให้ระบบรีสตาร์ทและในระหว่างการบูตระบบปฏิบัติการจะเข้ารหัสไฟล์รวมถึงรีจิสทรี ในตอนท้ายของกระบวนการ ข้อความจะปรากฏขึ้นโดยต้องเรียกค่าไถ่ $300-400 ไปยังบัญชี Bitcoin จากนั้นรหัสผ่านจะถูกส่งไปเพื่อถอดรหัสย้อนกลับไฟล์


ลักษณะเฉพาะของไวรัสคือมันส่งผลกระทบต่อระบบอย่างถาวรและไม่มีการเข้าถึงฟังก์ชั่นของมันเลย แพร่หลายที่สุดในยูเครนและรัสเซีย ผู้เชี่ยวชาญยังคงพิจารณาว่าไวรัสแพร่กระจายได้อย่างไร แต่วันนี้เชื่อกันว่าไวรัสเข้ามาจากการอัพเดตปลอมของโปรแกรม M.E.Doc ที่มีชื่อเสียง กลไกการออกฤทธิ์ของไวรัสนั้นขึ้นอยู่กับการใช้ช่องโหว่ ETERNALBLUE ที่เป็นที่รู้จักอยู่แล้ว ซึ่งใช้ใน Wanna Cry ที่โด่งดัง เช่นเดียวกับช่องโหว่ ETERNALROMANCE การใช้การเดารหัสผ่านและช่องโหว่ที่ระบุในการป้องกัน Windows ไวรัสแพร่กระจายและส่งผลกระทบต่อคอมพิวเตอร์ทุกเครื่องภายในเครือข่ายท้องถิ่นเดียวกัน

ไวรัสยังไม่แพร่หลายเท่ากับ Wanna Cry เนื่องจากไม่แพร่กระจายผ่านเครือข่าย แต่การใช้ช่องโหว่ทั้งสองช่วยในการแพร่เชื้อคอมพิวเตอร์ทุกเครื่องในระบบท้องถิ่น

ไวรัส Petya: วิธีการลบ?

การป้องกันไวรัสของ Petya ไม่ได้ช่วยเสมอไป โดยเฉพาะอย่างยิ่งเนื่องจากในขั้นตอนการเผยแพร่โปรแกรมป้องกันไวรัสจำนวนมากไม่รู้จักไฟล์ว่าเป็นไวรัส ความพ่ายแพ้ครั้งใหญ่ของพีซีดังกล่าวไม่ได้ถูกละเลยโดยผู้พัฒนาลายเซ็นต่อต้านไวรัสและความเสี่ยงในการเผชิญกับไวรัสในอนาคตก็ต่ำ แต่ก็เป็นไปได้ที่จะพบกับการแก้ไขอื่น ๆ

ทันทีหลังจากเจาะพีซี ไวรัสจะรีสตาร์ท และขั้นตอนจะดำเนินการโดยใช้กำลัง ในระหว่างกระบวนการบู๊ต หน้าต่างจะปรากฏขึ้นเพื่อขอให้คุณดำเนินการตามขั้นตอนการกู้คืนระบบ ผู้ใช้ที่ไม่สงสัยกด Enter และกระบวนการเข้ารหัสจะเริ่มต้นขึ้น ในความเป็นจริง หน้าต่างที่ปลอมแปลงเป็นระบบ CHKDSK นั้นไม่ใช่หน้าต่างดั้งเดิม ดังนั้นผู้ใช้จึงยืนยันการกระทำของไวรัส


อย่าหลงกล เพียงรีสตาร์ทพีซีของคุณอีกครั้ง ใช้ F9 เพื่อเลือกไดรฟ์และสลับไปยังไดรฟ์อื่น หากมี ถัดไปคุณต้องสแกนระบบเพื่อหาไวรัสจากเดสก์ท็อป Windows วันนี้โปรแกรมป้องกันไวรัสขั้นสูงเกือบทั้งหมดจะจดจำแรนซัมแวร์ได้อย่างถูกต้องและอนุญาตให้คุณลบออกได้

มิฉะนั้น เพียงบูตโดยใช้ดิสก์กู้คืน (ดิสก์การติดตั้งหรือแฟลชไดรฟ์)

ไวรัส Petya: จะป้องกันตัวเองได้อย่างไร?

คุณจะหลีกเลี่ยงการติดไวรัส Petya บนคอมพิวเตอร์ของคุณและปกป้องข้อมูลของคุณได้อย่างไร? ทันทีหลังจากที่ไวรัสปรากฏขึ้น ผู้ดูแลระบบขั้นสูงจำนวนมากได้เข้าถึงกลุ่มตัวอย่างที่พยายามค้นหาวิธีการต่อสู้กับ Petya ตัวไวรัสเองใช้ช่องโหว่ของระบบเพื่อเจาะและเอาชนะมัน และโปรแกรมเมอร์ก็พบช่องโหว่ในรหัสของศัตรูพืช

ผู้ใช้จำเป็นต้องมีการดำเนินการขั้นต่ำ คุณต้องสร้างไฟล์ perfc ซึ่งควรอยู่ในไดเร็กทอรี C:\Windows และมีการตั้งค่า "อ่านอย่างเดียว" วิธีการนี้ไม่สามารถเรียกว่ายาครอบจักรวาลได้เนื่องจากการดัดแปลงไวรัสเพิ่มเติมจะข้ามข้อ จำกัด เหล่านี้และปัญหาจะปรากฏขึ้นอีกครั้ง แต่จนกว่าจะถึงตอนนั้นการป้องกันเต็มรูปแบบจากโปรแกรมป้องกันไวรัสจะปรากฏขึ้น

กระบวนการสร้างไฟล์:

  1. ในตอนแรก ควรทำให้นามสกุลไฟล์พร้อมสำหรับการแก้ไข คุณต้องเปิดโฟลเดอร์ใด ๆ และคลิกที่ "จัดเรียง" และเลือก "โฟลเดอร์และตัวเลือกการค้นหา" หากคุณมีหลายสิบรายการนั้นสามารถพบได้ในส่วน "ไฟล์"
  2. ไปที่แท็บ "มุมมอง" และเลื่อนไปที่ท้ายรายการ ยกเลิกการเลือกส่วน "ซ่อนนามสกุลสำหรับประเภทไฟล์ที่ลงทะเบียน"

  1. ตอนนี้สร้างหรือคัดลอกไฟล์ใด ๆ บนดิสก์


  1. RMB และ "เปลี่ยนชื่อ" อย่าเปลี่ยนไฟล์ที่มีอยู่มิฉะนั้นอาจเกิดข้อผิดพลาดได้
  2. ป้อนชื่อ perfc ไม่ควรมีส่วนขยายและยืนยันหน้าต่างคำเตือน
  3. RMB บนไฟล์ป้องกันที่สร้างขึ้น และทำเครื่องหมายที่ช่องถัดจาก “อ่านอย่างเดียว”

ไวรัสมุ่งเป้าไปที่เครือข่ายองค์กร ดังนั้นบริษัทจึงสูญเสียเงินจำนวนมหาศาลเนื่องจากการหยุดทำงาน และอาจกระตุ้นให้พวกเขาจ่ายค่าไถ่แรนซัมแวร์ มีวิธีทั่วไปในการป้องกันไวรัสทุกประเภท

ไวรัส Petya ransomware - วิธีการป้องกัน

ทีมงานจาก Kaspersky Lab พบว่าหลายบริษัทได้รับไวรัสบนคอมพิวเตอร์ผ่านลิงก์ซ้ำๆ ไปยังระบบคลาวด์ ซึ่งโดยปกติแล้วไฟล์ต่างๆ เช่น ประวัติการทำงานจะถูกส่งไป


เมื่อ Petya Virus โจมตี มันก็สายเกินไปแล้วที่จะดำเนินการป้องกันตัวเอง เว้นแต่คุณจะต้องปิดการใช้งานเครือข่ายท้องถิ่นทันที ดังนั้นคุณต้องป้องกันตัวเองก่อน:

  1. การสำรองข้อมูลเป็นพื้นฐานของธุรกิจ หากไม่มีการสำรองข้อมูล ก็มีความเสี่ยงสูงที่จะสูญเสียข้อมูลสำคัญ สิ่งสำคัญคือต้องทำสำเนา 2 ชุด: ชุดแรกจะถูกเก็บไว้ในคลาวด์ ชุดที่สองในไดรฟ์แบบถอดได้ทั่วไป และบล็อกการเข้าถึงการแก้ไขและการเปลี่ยนแปลงไฟล์ในไดรฟ์
  2. ฟิชชิ่ง – เว็บไซต์ปลอม อีเมล ฯลฯ จากองค์กรอื่นๆ เช่น ธนาคาร ร้านค้า แหล่งข้อมูลทางอินเตอร์เน็ต นอกจากข้อความปลอมแปลงแล้ว ข้อความยังมีลิงก์ไปยังหน้าที่จะดาวน์โหลดไฟล์ สคริปต์ และระบบจะติดไวรัสเสมอ
  3. การแฮ็ก - เพื่อนและคนรู้จักสามารถแฮ็กได้บน Skype, VK, Gmail, Facebook และอื่น ๆ คุณไม่ควรเชื่อใจใครเลย ไม่เช่นนั้นคุณอาจติดไวรัส Petya ได้
  4. เมื่อดาวน์โหลดไฟล์จากเครือข่ายให้ใส่ใจกับส่วนขยายที่อันตรายที่สุดคือ exe, vbs และ scr
  5. อัปเดตโปรแกรมป้องกันไวรัสและระบบปฏิบัติการของคุณ

บทสรุป

ไวรัส Petya ตัวใหม่ใช้ช่องโหว่ที่ทราบอยู่แล้วเพื่อให้ได้สิทธิ์ของผู้ดูแลระบบ จากนั้นทำให้ผู้ใช้เข้าใจผิดด้วยหน้าต่างการกู้คืนปลอม ดังนั้นเมื่อคุณรู้อัลกอริธึม Petya/NoPetya แล้ว คุณสามารถหลีกเลี่ยงการตกหลุมพรางของผู้โจมตีได้

หากคุณยังคงมีคำถามในหัวข้อ “จะลบหรือป้องกันตัวเองจากไวรัส Petya ransomware ได้อย่างไร?” คุณสามารถถามพวกเขาได้ในความคิดเห็น


if(function_exists("the_ratings")) ( the_ratings(); ) ?>

เมื่อวันที่ 27 มิถุนายน ประเทศต่างๆ ในยุโรปถูกโจมตีโดยไวรัสแรนซัมแวร์ที่รู้จักกันในชื่อที่ไม่เป็นอันตราย Petya (ในแหล่งต่างๆ คุณสามารถค้นหาชื่อ Petya.A, NotPetya และ GoldenEye ได้) Ransomware เรียกร้องค่าไถ่เป็น Bitcoins เทียบเท่ากับ 300 ดอลลาร์ บริษัทขนาดใหญ่ในยูเครนและรัสเซียหลายสิบแห่งติดเชื้อ และการแพร่กระจายของไวรัสยังถูกบันทึกในสเปน ฝรั่งเศส และเดนมาร์ก

ใครโดน?

ยูเครน

ยูเครนเป็นหนึ่งในประเทศแรกๆ ที่ถูกโจมตี ตามการประมาณการเบื้องต้น บริษัทและหน่วยงานภาครัฐประมาณ 80 แห่งถูกโจมตี:

ในปัจจุบัน ไวรัสไม่เพียงแต่เข้ารหัสไฟล์แต่ละไฟล์เท่านั้น แต่ยังทำให้ผู้ใช้เข้าถึงฮาร์ดไดรฟ์ไปโดยสิ้นเชิงอีกด้วย แรนซัมแวร์ยังใช้ลายเซ็นอิเล็กทรอนิกส์ของ Microsoft ปลอม ซึ่งแสดงให้ผู้ใช้เห็นว่าโปรแกรมนี้ได้รับการพัฒนาโดยผู้เขียนที่เชื่อถือได้ และรับประกันความปลอดภัย หลังจากติดไวรัสในคอมพิวเตอร์ ไวรัสจะแก้ไขรหัสพิเศษที่จำเป็นในการโหลดระบบปฏิบัติการ เป็นผลให้เมื่อคอมพิวเตอร์เริ่มทำงาน ไม่ใช่ระบบปฏิบัติการที่ถูกโหลด แต่เป็นโค้ดที่เป็นอันตราย

จะป้องกันตัวเองอย่างไร?

  1. ปิดพอร์ต TCP 1024–1035, 135 และ 445
  2. อัพเดตฐานข้อมูลของผลิตภัณฑ์แอนตี้ไวรัสของคุณ
  3. เนื่องจาก Petya มีการเผยแพร่โดยใช้ฟิชชิ่ง อย่าเปิดอีเมลจากแหล่งที่ไม่รู้จัก (หากรู้จักผู้ส่ง ให้ตรวจสอบว่าอีเมลนั้นปลอดภัยหรือไม่) โปรดเอาใจใส่ข้อความจากโซเชียลเน็ตเวิร์กจากเพื่อนของคุณ เนื่องจากบัญชีของพวกเขาอาจถูกแฮ็ก
  4. ไวรัส กำลังมองหาไฟล์ C:\Windows\perfcและหากไม่พบก็จะสร้างและเริ่มการติดเชื้อ หากมีไฟล์ดังกล่าวในคอมพิวเตอร์อยู่แล้ว ไวรัสจะหยุดทำงานโดยไม่มีการติดไวรัส คุณต้องสร้างไฟล์ว่างที่มีชื่อเดียวกัน มาดูกระบวนการนี้กันดีกว่า

ทรัพยากร BleepingComputer แบ่งปันวิธีการป้องกัน เพื่อความสะดวก พวกเขาได้เตรียมสคริปต์ที่จะทำงานทั้งหมดให้กับคุณ และด้านล่างนี้คือคำแนะนำโดยละเอียดในกรณีที่คุณต้องการทำทุกอย่างด้วยตัวเอง

คำแนะนำในการป้องกัน Petya

ในการตั้งค่าตัวเลือกโฟลเดอร์ ให้ปิดใช้งานตัวเลือกซ่อนส่วนขยายสำหรับประเภทไฟล์ที่รู้จัก สิ่งนี้จะสร้างไฟล์ที่ไม่มีนามสกุล

ไปที่โฟลเดอร์ ซี:\Windowsและค้นหาไฟล์ แผ่นจดบันทึก.exe:

สร้างสำเนาของไฟล์นี้ (ระบบจะขอการยืนยัน):

เปลี่ยนชื่อสำเนาผลลัพธ์ของไฟล์เป็น เพอร์เฟค:

ระบบจะเตือนคุณว่าไฟล์อาจไม่สามารถเข้าถึงได้:

บทความที่เกี่ยวข้อง