• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Офтоп
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. «Заходишь в город, а там стоит плач и кругом сотни гробов». История 95-летнего ветерана ВОВ
  2. «Всех разобрали, а я стою. Ну, думаю, теперь точно расстреляют». История остарбайтера Анны, которая потеряла в войну всех
  3. «Мама горевала, что не дождалась Ивана». Спустя 80 лет семья узнала о судьбе брата, пропавшего в 1941-м
  4. «Общество заточено на «откаты». Откровенный разговор с архитектором о строительстве частных домов
  5. Пяць палацаў, якія можна купіць у Беларусі (ёсць і за нуль рублёў)
  6. В Индии люди, переболевшие COVID-19, начали заражаться редким «черным грибком»
  7. Эндокринолог — о том, почему сахарным диабетом болеет все больше людей
  8. Год назад стартовала, возможно, главная избирательная кампания независимой Беларуси. Как это было
  9. Что происходило в Минске в День Победы: Лукашенко с сыновьями, очередь за кашей и досмотры
  10. Лукашенко подписал декрет о переходе власти в случае его гибели
  11. «Шахтер» обыграл БАТЭ благодаря шикарному голу Дарбо. Чемпионская интрига убита?
  12. Лаевский: Максиму Знаку предъявили окончательное обвинение. Его дело скоро передадут в суд
  13. В Минске все-таки запустили в небо тысячи красных и зеленых шариков, против которых подписывали петицию
  14. Лукашенко: «Давайте прекратим это не нужное никому противостояние»
  15. «Пленные взбунтовались — врача похоронили с оркестром». История и артефакты из лагеря в Масюковщине
  16. В Лиде заметили странную очередь, в которой раздавали деньги. В исполкоме говорят о возможной провокации
  17. Освободилась белорусская «рекордсменка» по «суткам» за протесты. Она отбыла в изоляторе 105 суток
  18. Колючая проволока и бронетранспортер. Каким получился «Забег отважных» в парке Победы
  19. Сколько стоит новый кроссовер в Беларуси и у ближайших соседей. Сравнили цены — и вот результат
  20. Декрет «о коллективном президенте». Объясняем, о чем он — коротко
  21. Бабарико, Тихановская и Цепкало о том, как для них началась избирательная кампания в прошлом году
  22. 76 лет назад закончилась Великая Отечественная война. В Беларуси празднуют День Победы
  23. «Баявая сяброўка». Як украінка набыла танк, вызваляла на ім Беларусь ад фашыстаў і помсціла за мужа
  24. День Победы в Минске завершили концертом и фейерверком. Посмотрели, как это было
  25. Автозадачка на выходные. Загадка про легендарный автомобиль эпохи 70-х
  26. Какую из вакцин от ковида, которыми прививают в Беларуси, одобрил ВОЗ? Главное о здоровье за неделю
  27. Арина Соболенко поднялась на рекордное четвертое место в рейтинге WTA
  28. «Хочу проехать по тем местам». Актер Алексей Кравченко — об «Иди и смотри» и съемках в Беларуси
  29. «Ці баяўся? Канешне, баяўся». Дзесяць цытат Васіля Быкава пра Вялікую Айчынную вайну
  30. «Поняли, у собаки непростая судьба». Минчане искали брошенному псу дом и узнали, что он знаменит


/

Вчерашние новости из Украины, России и даже Беларуси напоминали сюжет голливудского фильма про хакеров — вирус заблокировал компьютеры жизненно важных объектов, в том числе Чернобыльской АЭС, остановил работу крупных предприятий.

Изображение: twitter.com
Изображение: twitter.com

По данным криминалистической лаборатории Group-IB, от вируса Petya (по последним данным, ExPetr) пострадали более 80 компаний в России и Украине. Украинское издание AIN.UA оценило количество организаций-жертв в несколько сотен.

Также появились сообщения об атаках в других странах: в Литве, Испании, Португалии, Франции, Великобритании, Нидерландах, Дании и США.

Использует методы WannaCry

Совсем недавно мир пережил крупную атаку вируса-вымогателя WannaCry, использовавшего сложный программный эксплойт EternalBlue, разработанный, как предполагается АНБ США, пишет The Verge.

Сообщается, что вирус Petya также использует этот эксплойт, однако сейчас он перестал быть таким эффективным оружием для быстрого распространения — большинство компаний обновило операционные системы, закрыв уязвимые для EternalBlue места.

Изображение: Сайберсекьюрити и Ко / Telegram
Изображение: Сайберсекьюрити и Ко / Telegram

Мгновенно распространяется по Сети

Вместо этого Petya использует более фундаментальные уязвимости в работе компьютерных сетей. В этом плане новый вирус более продвинутый и может оставлять целые организации в гораздо более трудном положении.

«Распространяется ОЧЕНЬ быстро. Видел сети с 5 тысячами компьютеров, заразившиеся менее чем за 10 минут». Дэвид Кеннеди, глава компании TrustedSec, занимающейся информационной безопасностью.

Если WannaCry распространялся благодаря плохо защищенным, необновленным системам, то Petya «сосредоточился» на крупных корпоративных сетях. Как только заражался один из компьютеров в сети, вирус, скорее всего, использовал сетевые инструменты Windows, такие как инструментарий управления Windows (WMI) и PsExec, для заражения других компьютеров, пишет The Verge.

Оба инструмента обычно используются для удаленного доступа администраторов, но эксперт по сетевой безопасности Лесли Кархарт говорит, что они же часто являются способом распространения вредоносного ПО в уязвимой сети. «WMI — это суперэффективный метод для хакеров. Он встроен в системы и редко регистрируется или блокируется средствами безопасности», — говорит Кархарт. «Psexec меньше используется и больше контролируется, но все еще очень эффективен».

Подозревается украинская программа

Согласно исследованию Talos Intelligence, вирус мог начать распространение через фальсифицированное обновление в украинской бухгалтерской программе M.E.Doc.

Создатели программы утверждают, что это не так, поскольку последнее обновление было разослано еще 22 июня — за пять дней до атаки. Однако ряд других исследовательских групп соглашаются с Talos, считая, что хакеры подделали цифровую подпись в апдейте и таким образом проникли в сети компаний. На это же косвенно указывает то, что 60% заражений вирусом пришлось на Украину — там заражены многие крупные предприятия, включая центральный банк и крупнейший аэропорт.

Как избежать заражения

В «Лаборатории Касперского» рекомендуют включить все уровни антивирусной защиты и вручную обновить антивирусные базы. Также следует установить все обновления безопасности Windows (они доступны на официальном сайте Microsoft).

«В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc. dat и запуск утилиты PSExec из Sysinternals Suite», — отмечают специалисты.

Эксперты компании Positive Technologies и Symantec считают, что локально остановить шифровальщика можно, создав пустой файл без расширения с названием perfc в каталоге С:\Windows.

Дело в том, что в момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения (это можно сделать в свойствах файла).

Для прекращения распространения вируса следует закрыть TCP-порты 1024−1035, 135 и 445, советует руководитель криминалистической лаборатории Group-IB Валерий Баулин.

Также специалисты советуют сделать резервные копии важных файлов на случай возможного заражения в дальнейшем. Кроме того, если компьютер заражен и требует перезагрузиться, нельзя давать ему это делать. Как минимум, у вас будет время сохранить всю ценную информацию.

Важно

Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, платить выкуп не рекомендуется, пишет «Лаборатория Касперского». Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Читайте также:

Глобальная эпидемия вируса: аналог WannaCry добрался до Беларуси

-20%
-50%
-20%
-30%
-10%
-10%
-50%
-10%
-20%
-5%
0073023