Во вторник, 27 июня, в интернете начал распространятся новый вирус-вымогатель — при попадании в компьютер он шифрует данные и требует перевести злоумышленникам 300 долларов в обмен на ключ к шифру. Заражение началось с Украины, в итоге вирусом оказались заражены компьютеры в 64 странах.
Пострадали пассажиры в аэропортах, клиенты банков и рядовые пользовтаели компьютеров. Программа поразила компьютеры крупных промышленных компаний — Maersk, Evraz и, по всей видимости, «Роснефти». Новый вирус похож на вредоносную программу Petya, которая появилась год назад, и использует те же уязвимости, что и вирус WannaCry, поразивший тысячи компьютеров в мае 2017 года. «Медуза» отвечает на ключевые вопросы о работе вируса.
Что делает вирус с компьютером?
Когда вирус попадает в компьютер, на котором установлена операционная система Windows, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска, где хранятся необходимые для загрузки компьютера данные (это часть называется MBR — master boot record, «главная загрузочная запись»). Если получается, система выдает «синий экран смерти», а после перезагрузки вместо запуска Windows появляется стандартное сообщение о проверке жесткого диска с просьбой не отключать питание.
На самом деле, это обман — вирус маскируется под системную программу по проверке диска, а в это время шифрует файлы с определенными расширениями (например, базы данных и другие файлы, необходимые для делопроизводства). Когда шифрование заканчивается, пользователь видит сообщение о том, что он стал жертвой программы-вымогателя (ransomware). Чтобы получить ключ для дешифровки данных, он должен перевести злоумышленникам 300 долларов биткоинами.
Кроме того, после попадания в компьютер вирус стремится заразить другие станции в локальной сети.
Как распространяется вирус?
27 июня появилось предположение, что Petya/exPetr содержалсяв свежем обновлении программы M.E.Doc, широко используемой на Украине для ведения бухгалтерии. Разработчики ПО заявили, что это не так, но и Таратынов из «Информзащиты», и Наместников из «Лаборатории Касперского» утверждают, что заражение началось именно с обновлений M.E.Doc.
«Дальше он распространился очень просто. Вся экономика у нас транснациональная, и поэтому вирус из одних офисов перетек в другие, причем за несколько минут», — объясняет Наместников. Как вирус попал на компьютеры компаний, не работающих с M.E.Doc, эксперты не уточнили.
Как отметили оба специалиста, вирус распространяется либо с помощью уязвимостей в Windows, которые использовал вирус WannaCry(он заражал компьютеры по всему миру в мае), либо через встроенные в Windows (и вполне легитимные) утилиты PSexec и WMIC — в нормальных условиях они используются для администрирования компьютерной инфраструктуры. Специалисты отметили, что речь об использовании социальной инженерии в случае с Petya/exPetr, очевидно, не идет: для распространения вируса не применяют электронную почту или фишинговые ссылки.
Как защититься от вируса?
Прежде всего, надо обновить Windows. Если у вас старая версия операционной системы, установите обновления вручную. Это спасет вас от распространения через уязвимости системы, потому что свежие обновления их починят. Если у вас есть антивирусное ПО, обновите сигнатуры. «Касперский» также советует скачать бесплатную утилиту для обнаружения вирусов-вымогателей.
Чтобы заражение не нарушило ваших планов (в случае, если оно произойдет), сделайте резервную копию данных. И ни в коем случае не отправляйте деньги злоумышленникам — очень часто это не помогает: почтовые ящики мошенников заблокированы, и получить ключ расшифровки вы просто не сможете.
Комментируйте новости на странице DiasporaNews в Facebook | Ставьте LIKE и мы будем сообщать вам о важном и интересном.
ЧИТАЙТЕ ТАКЖЕ:
http://www.diasporanews.com/top7/
