Bir necha oy oldin biz va boshqa IT xavfsizligi mutaxassislari yangi zararli dasturni topdik - Petya (Win32.Trojan-Ransom.Petya.A). Klassik ma'noda, bu shifrlovchi emas edi; virus shunchaki ma'lum turdagi fayllarga kirishni to'sib qo'ydi va to'lov talab qildi. Virus qattiq diskdagi yuklash yozuvini o'zgartirdi, kompyuterni majburan qayta ishga tushirdi va "ma'lumotlar shifrlangan - shifrni ochish uchun pulingizni behuda sarflang" degan xabarni ko'rsatdi. Umuman olganda, viruslarni shifrlashning standart sxemasi, bundan mustasno, fayllar aslida shifrlanmagan. Eng mashhur antiviruslar Win32.Trojan-Ransom.Petya.A ni paydo bo'lganidan bir necha hafta o'tgach aniqlash va o'chirishni boshladi. Bundan tashqari, qo'lda olib tashlash bo'yicha ko'rsatmalar paydo bo'ldi. Nega biz Petya klassik to'lov dasturi emas deb o'ylaymiz? Ushbu virus Master Boot Record-ga o'zgartirishlar kiritadi va OTni yuklanishiga to'sqinlik qiladi, shuningdek, Asosiy fayl jadvalini shifrlaydi. U fayllarni o'zi shifrlamaydi.

Biroq, bir necha hafta oldin yanada murakkab virus paydo bo'ldi Mischa, aftidan, xuddi shu scammers tomonidan yozilgan. Ushbu virus fayllarni shifrlaydi va shifrni hal qilish uchun 500 - 875 dollar to'lashni talab qiladi (turli versiyalarda 1,5 - 1,8 bitkoinlar). “Shifrni yechish” va uning uchun toʻlov boʻyicha koʻrsatmalar YOUR_FILES_ARE_ENCRYPTED.HTML va YOUR_FILES_ARE_ENCRYPTED.TXT fayllarida saqlanadi.

Mischa virusi – YOUR_FILES_ARE_ENCRYPTED.HTML fayli tarkibi

Endi, aslida, xakerlar foydalanuvchilarning kompyuterlarini ikkita zararli dastur bilan yuqtirishadi: Petya va Mischa. Birinchisiga tizimda administrator huquqlari kerak. Ya'ni, agar foydalanuvchi Petyaga administrator huquqlarini berishdan bosh tortsa yoki ushbu zararli dasturni qo'lda o'chirib tashlasa, Mischa aralashadi. Ushbu virus administrator huquqlarini talab qilmaydi, bu klassik shifrlovchi va aslida kuchli AES algoritmidan foydalangan holda va Master Boot Record va jabrlanuvchining qattiq diskidagi fayllar jadvaliga hech qanday o'zgartirish kiritmasdan fayllarni shifrlaydi.

Mischa zararli dasturi nafaqat standart fayl turlarini (videolar, rasmlar, taqdimotlar, hujjatlar), balki .exe fayllarni ham shifrlaydi. Virus faqat \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow va \Chrome kataloglariga ta'sir qilmaydi.

INFEKTSION, birinchi navbatda, elektron pochta orqali sodir bo'ladi, bu erda biriktirilgan fayl - virus o'rnatuvchisi bilan xat olinadi. U Soliq xizmatidan, buxgalteringizdan kelgan xat ostida, biriktirilgan kvitansiyalar va xaridlar uchun kvitansiyalar va boshqalar sifatida shifrlanishi mumkin. Bunday harflardagi fayl kengaytmalariga e'tibor bering - agar u bajariladigan fayl (.exe) bo'lsa, unda katta ehtimollik bilan Petya\Mischa virusi bo'lgan konteyner bo'lishi mumkin. Va agar zararli dastur o'zgartirilgan bo'lsa, antivirusingiz javob bermasligi mumkin.

Yangilanish 30/06/2017: 27-iyun, Petya virusining o'zgartirilgan versiyasi (Petya.A) Ukrainadagi foydalanuvchilarga ommaviy hujum uyushtirildi. Ushbu hujumning ta'siri juda katta bo'lib, iqtisodiy zarar hali hisoblab chiqilmagan. Bir kunda o‘nlab banklar, savdo tarmoqlari, davlat idoralari va turli mulkchilik shaklidagi korxonalar ishi falaj bo‘ldi. Virus asosan ushbu dasturiy ta'minotning so'nggi avtomatik yangilanishi bilan Ukrainaning MeDoc buxgalteriya hisoboti tizimidagi zaiflik orqali tarqaldi. Bundan tashqari, virus Rossiya, Ispaniya, Buyuk Britaniya, Frantsiya va Litva kabi mamlakatlarga ta'sir ko'rsatdi.

Avtomatik tozalash vositasi yordamida Petya va Mischa virusini olib tashlang

Umuman zararli dasturlar va xususan, to'lov dasturlari bilan ishlashning juda samarali usuli. Tasdiqlangan himoya kompleksidan foydalanish har qanday virusli komponentlarni to'liq aniqlashni va ularni bir marta bosish bilan to'liq olib tashlashni kafolatlaydi. E'tibor bering, biz ikki xil jarayon haqida gapiramiz: infektsiyani o'chirish va shaxsiy kompyuteringizdagi fayllarni tiklash. Biroq, tahdidni albatta yo'q qilish kerak, chunki undan foydalanadigan boshqa kompyuter troyanlarining kiritilishi haqida ma'lumotlar mavjud.

1. . Dasturiy ta'minotni ishga tushirgandan so'ng tugmani bosing Kompyuterni skanerlashni boshlang(Skanerlashni boshlang).
2. O'rnatilgan dasturiy ta'minot skanerlash paytida aniqlangan tahdidlar haqida hisobot beradi. Barcha aniqlangan tahdidlarni olib tashlash uchun variantni tanlang Tahdidlarni tuzatish(Tahdidlarni yo'q qilish). Ko'rib chiqilayotgan zararli dastur butunlay o'chiriladi.

Shifrlangan fayllarga kirishni tiklang

Ta'kidlanganidek, Mischa ransomware kuchli shifrlash algoritmi yordamida fayllarni qulflaydi, shunda shifrlangan ma'lumotlarni sehrli tayoqcha to'lqini bilan qayta tiklab bo'lmaydi - eshitilmagan to'lov miqdorini (ba'zan 1000 dollargacha) to'lash kifoya. Ammo ba'zi usullar haqiqatan ham muhim ma'lumotlarni qayta tiklashga yordam beradigan qutqaruvchi bo'lishi mumkin. Quyida ular bilan tanishishingiz mumkin.

Fayllarni avtomatik tiklash dasturi (deshifrlash)

Juda g'ayrioddiy holat ma'lum. Ushbu infektsiya asl fayllarni shifrlanmagan shaklda o'chirib tashlaydi. Shunday qilib, tovlamachilik maqsadida shifrlash jarayoni ularning nusxalarini nishonga oladi. Bu o'chirilgan ob'ektlarni tiklash kabi dasturiy ta'minotni, hatto ularni olib tashlashning ishonchliligi kafolatlangan bo'lsa ham, imkon beradi. Faylni tiklash jarayoniga murojaat qilish tavsiya etiladi, uning samaradorligi shubhasizdir.

Jildlarning soyali nusxalari

Yondashuv har bir tiklash nuqtasida takrorlanadigan Windows fayllarini zaxiralash jarayoniga asoslangan. Ushbu usulning ishlashi uchun muhim shart: "Tizimni tiklash" funktsiyasi infektsiyadan oldin faollashtirilgan bo'lishi kerak. Biroq, tiklash nuqtasidan keyin faylga kiritilgan har qanday o'zgarishlar faylning tiklangan versiyasida ko'rinmaydi.

Zaxira

Bu barcha to'lovsiz usullar orasida eng yaxshisidir. Agar ma'lumotlarni tashqi serverga zaxiralash tartibi kompyuteringizda to'lov dasturi hujumidan oldin qo'llanilgan bo'lsa, shifrlangan fayllarni tiklash uchun siz shunchaki tegishli interfeysga kirishingiz, kerakli fayllarni tanlashingiz va zaxiradan ma'lumotlarni tiklash mexanizmini ishga tushirishingiz kerak. Operatsiyani amalga oshirishdan oldin, to'lov dasturi to'liq o'chirilganligiga ishonch hosil qilishingiz kerak.

Petya va Mischa ransomware-ning qoldiq komponentlari mavjudligini tekshiring

Qo'lda tozalash maxfiy operatsion tizim ob'ektlari yoki ro'yxatga olish kitobi elementlari sifatida olib tashlanishi mumkin bo'lgan to'lov dasturining alohida qismlarini yo'qotish xavfini tug'diradi. Alohida zararli elementlarning qisman saqlanish xavfini bartaraf qilish uchun kompyuteringizni zararli dasturlarga ixtisoslashgan ishonchli xavfsizlik dasturlari paketi yordamida skanerlang.