Петя гэтага назву апошняй ва ўсім свеце кібер-атаку, якія дзівяць многія краіны Еўропы, у прыватнасці Украіны і некаторыя часткі Злучаных Штатаў. Гэтая шкоднасная атака калекі многіх кампаній і прывяла іх у тупік на працягу кароткага перыяду часу. Наступ пачалося 27 чэрвеня 2017 года і заражаных кампутараў ва Украіне, перш чым хутка распаўсюджваецца на кампутары ў іншых частках свету. Буйныя кампаніі, якія пацярпелі ўключаны Maersk, DLA Piper, Mondelez і WPP разам з многімі украінскімі ўрадавымі арганізацыямі. Пецька заблакаваныя кампутары пад кіраваннем аперацыйнай сістэмы Windows, і запатрабавалі выкуп у памеры каля $ 300 у якасці аплаты Bitcoin для разблакоўкі іх.
- Частка 1: Што такое вымагальнікаў?
- Частка 2: Як жа Пецька вымагальнікаў працуюць?
- Частка 3: Як гэта можна спыніць?
- Частка 4: Што вы павінны рабіць, калі вы пацярпелі ад вымагальнікаў?
- Частка 5: Вы можаце аднавіць назад файлы?
Частка 1: Што такое вымагальнікаў?
Вымагальнікі з'яўляюцца шкоднаснай праграма, якая прызначана для шыфравання файлаў у кампутарнай сістэме, а затым просіць выплату грошай, як правіла, у выглядзе лічбавых плацяжоў, такія як Bitcoin для расшыфроўкі файлаў. Калі сума выкупу не выплачваецца, усе файлы на кампутары, якія не былі падмацаваныя, будуць страчаныя назаўсёды.
Частка 2: Як жа Пецька вымагальнікаў працуюць?
Пецька вымагальнікі распаўсюджваюцца з дапамогай EternalBlue эксплуатуе, які з'яўляецца уразлівасцю, якая прысутнічае ў аперацыйнай сістэме Windows. Акрамя таго, ён таксама выкарыстоўвае два розных адміністрацыйных інструментаў Windows, а таксама для яго распаўсюду. Петя спрабуе заразіць сістэму, якая выкарыстоўвае ўразлівасць першай, і калі ён трывае няўдачу ў гэтай спробе, то вяртаецца да прылад адміністравання, замест гэтага. Гэты двайны метад распаўсюджвання робіць Пецька больш грознымі вымагальнікамі, чым іншыя вымагальнікі, каб ўсплылі ва ўсім свеце ў апошні час. Пасля таго, як інфікаваны адзін кампутар, шкоднасная праграма спрабуе распаўсюдзіць іх на іншыя кампутары, якія знаходзяцца на адной і той жа сеткі.
Пры заражэнні сістэмы, Пеця адразу перазагружаецца яго і пачынае шыфраваць файлы, якія прысутнічаюць на ім. Калі шкоднасная праграма не будзе спыненая, яна цалкам блакуе сістэму і робіць усё файлы недаступнымі. Пасля таго, як гэты працэс будзе завершаны, на экране карыстальнікаў з просьбай унесці суму ў памеры $ 300 у выглядзе плацяжоў Bitcoin з'яўляецца выкупам запіска. Існуе плацежны адрас Bitcoin прадастаўляецца ахвярам, у якіх яны павінны ўнесці суму выкупу. Адрас электроннай пошты, таксама прадастаўляецца для сувязі з вінаватымі нападу, якое будзе выкарыстоўвацца для дастаўкі лічбавага ключа для разблакоўкі зашыфраваных файлаў на заражанай сістэме пасля таго, як сума выкупу была аплачана.
Частка 3: Як гэта можна спыніць?
Петя можа быць спынены шляхам загрузкі патча выпушчанага Microsoft, які абараняе кампутары ад уразлівасці EternalBlue. Гэты патч аўтаматычна загружаецца і ўсталёўваецца на кампутары, якія выкарыстоўваюць зарэгістраваную версію Windows, і маюць магчымасць аўтаматычнага абнаўлення ўключана на іх. Для кампутараў з дапамогай незарэгістраванай версіі, аднак, усталяванне гэтага патча патрабуе загрузкі з вэб-сайта Microsoft, а затым ўсталяваць яго ўручную. Акрамя таго, антывірусныя праграмы, такія як Symantec і Kaspersky былі абноўленыя, каб вызначыць гэта шкоднаснае ПА і нават абараніць файлы ад атрымання зашыфравана ёю. Такім чынам, ўстаноўка абноўленай версіі гэтых антывірусных праграм таксама можа дапамагчы вам спыніць Пеця ад заражэння кампутарнай сістэмы.
У дадатак да накладнымі і антывірусных абнаўленняў для Windows, іншая ахоўная мера, якая была вызначана для гэтай канкрэтнай версіі Пеці з'яўляецца наяўнасць файла толькі для чытання па імі C: \ Windows \ perfc.dat на кампутарную сістэму. Калі гэты файл прысутнічае на вашым кампутары, Пеця не зможа шыфраваць файлы на вашай сістэме. Аднак, майце на ўвазе, што наяўнасць гэтага файла не спыніць распаўсюджванне шкоднасных праграм на іншыя кампутары, якія падзяляюць тую ж сетка ваш кампутар уключаны.
Частка 4: Што вы павінны рабіць, калі вы пацярпелі ад вымагальнікаў?
Калі вам здарыцца быць ахвярай гэтага вымагальнікі, ваша першае дзеянне павінна быць неадкладна адключыць харчаванне кампутара. Пецька пачынае працэс шыфравання пасля перазагрузкі сістэмы пад прыкрыццём працэдуры CHKDSK. Такім чынам, калі вы бачыце, аперацыя CHKDSK працуе на кампутары пасля перазагрузкі, неадкладна выключыць харчаванне сервера спыніць шкоднаснага ПА шыфравання файлаў у вашай сістэме.
Калі вымагальнікі адлюстроўваюць выкупных нататка пасля перазагрузкі, вы павінны ні пры якіх абставінах думаць аб аплаце сумы выкупу. Прычына гэтага заключаецца ў тым, што адрас электроннай пошты, які быў прадастаўлены Вам, які павінен адправіць вам лічбавай ключ для разблакоўкі файлаў было прыпынена. Такім чынам, вы не зможаце атрымаць яго для расшыфроўкі файлаў. Адзінае, што засталося для вас зрабіць у такой сітуацыі, каб спыніць распаўсюд вымагальнікаў да іншых кампутараў у сеткі. Вы можаце зрабіць гэта шляхам адключэння кампутара ад Інтэрнэту і пераўсталяваць ўсе файлы з рэзервовай копіі пасля перафарматавання жорсткага дыска.
Некаторыя прафілактычныя меры, якія могуць быць прынятыя, каб прадухіліць атакі, як вымагальнік Пеці ўключаюць рэгулярнае рэзервовае капіраванне вашых файлаў, а таксама абнаўленне антывірусных праграм. Акрамя таго, з дапамогай VPN пры падключэнні да грамадскіх Wi-Fi і ўстрымлівацца ад адкрыцця падазроных укладанняў электроннай пошты таксама некаторыя метады, якія могуць забяспечыць абарону ад шкоднасных шкоднасных праграм, як Пецю.
На думку экспертаў у галіне бяспекі, то вымагальнікі Пецька арыентаваны на наступную аперацыйныя сістэмы Microsoft з-за іх, якія маюць ўразлівасць EternalBlue.
- вокны 10
- Windows RT 8.1
- вокны 8,1
- Windows 7
- Windows XP
- Windows Vista
- Windows Server 2016
- Windows Server 2012 і Window Server 2012 R2
- Акно Server 2008 і Windows Server 2008 R2
Частка 5: Вы можаце аднавіць назад файлы?
Пасля нападу Пеці, перазагрузкі машыны можа атрымаць файлы назад. Аднак, гэта не прадвызначаны. Існуе верагоднасць таго, што перазагрузка кампутара не адновяць вашы файлы , і яны стануць шыфруюцца шкоднаснымі праграмамі. Калі вы сутыкнуліся з такой сітуацыяй , то адзіны спосаб для вас , каб аднавіць назад вашыя файлы, каб выкарыстоўваць інструмент для аднаўлення дадзеных. Аднаўлення праграмнага забеспячэння можа сканаваць ваш кампутар для любых аддаленых або зашыфраваных файлаў і можа дапамагчы вам у аднаўленні іх. Аднак, майце на ўвазе , што не ўсе праграмы праграмнае забеспячэнне аднаўлення дадзеных дазваляе аднавіць страчаныя файлы. Вы павінны зрабіць толькі выкарыстанне сапраўднага і аўтэнтычнага інструмента аднаўлення для гэтай мэты , як Wondershare аднаўлення дадзеных .
Пецька кібер-нападу з'яўляецца вымагальнікаў, які заражае кампутарныя сістэмы, якія працуюць пад кіраваннем аперацыйнай сістэмы Windows, з дапамогай уразлівасці EternalBlue. Ён шыфруе файлы, прысутныя на заражаных сістэмах, а затым распаўсюджваецца на іншыя кампутары, якія падзяляюць тую ж сетку. Гэта кібер-атака ўдалася заразіць шматлікія буйныя кампаніі, у такіх краінах, як Украіна, Германія, Расія і ЗША. Загрузка выпраўлення, выпушчаныя Microsoft і з дапамогай абноўленых версій антывірусных праграм, такіх як Касперскі і Symantec. Выключэнне кампутара пры заражэнні можа таксама дапамагчы ў прыпынку ад шкоднаснага шыфравання файлаў у сістэме.
