የ Bad Rabbit ቫይረስ ምንድን ነው እና ኮምፒተርዎን እንዴት እንደሚከላከሉ መጥፎ ጥንቸል፡ ሌላ ራንሰምዌር ቫይረስ

ባድ Rabbit በመባል የሚታወቀው ራንሰምዌር በዩክሬን፣ ቱርክ እና ጀርመን ውስጥ በአስር ሺዎች የሚቆጠሩ ኮምፒውተሮችን አጥቅቷል። ግን አብዛኛዎቹ ጥቃቶች በሩሲያ ላይ ነበሩ. ይህ ምን አይነት ቫይረስ ነው እና ኮምፒተርዎን እንዴት እንደሚከላከሉ, በእኛ ክፍል "ጥያቄ እና መልስ" ውስጥ እንነግራለን.

በሩሲያ ውስጥ ከመጥፎ ጥንቸል የተሠቃየው ማን ነው?

የ Bad Rabbit ቤዛ ዌር በጥቅምት 24 መሰራጨት ጀመረ። በድርጊቱ ሰለባ ከሆኑት መካከል ኢንተርፋክስ የዜና ወኪል እና Fontanka.ru ህትመት ይገኙበታል.

የኪየቭ ሜትሮ እና የኦዴሳ አውሮፕላን ማረፊያም በጠላፊዎች ድርጊት ተሠቃይቷል። ከ 20 ኛዎቹ የበርካታ የሩሲያ ባንኮችን ስርዓት ለመጥለፍ የተደረገ ሙከራ ከታወቀ በኋላ።

በኤክፔትር ቫይረስ ጥቃት ወቅት ከታዩት ዘዴዎች ጋር ተመሳሳይነት ያለው ዘዴ ጥቅም ላይ ስለሚውል በሁሉም ምልክቶች ይህ በድርጅታዊ አውታረ መረቦች ላይ ያነጣጠረ ጥቃት ነው ።

አዲሱ ቫይረስ ለሁሉም ሰው ፍላጎት አለው፡ የ0.05 ቢትኮይን ቤዛ። ከሮቤል አንፃር ይህ ወደ 16 ሺህ ሮቤል ነው. በተመሳሳይ ጊዜ, ይህንን መስፈርት የማሟላት ጊዜ ውስን መሆኑን ያሳውቃል. ስለ ሁሉም ነገር ሁሉም ነገር ከ 40 ሰአታት በላይ ትንሽ ተሰጥቷል. በተጨማሪም የቤዛ ክፍያው ይጨምራል።

ይህ ቫይረስ ምንድን ነው እና እንዴት ነው የሚሰራው?

ከስርጭቱ በስተጀርባ ያለው ማን እንደሆነ አስቀድመው አውቀዋል?

ከዚህ ጥቃት ጀርባ ማን እንዳለ ለማወቅ አልተቻለም። ምርመራው ፕሮግራመሮችን ወደ ጎራ ስም ብቻ መርቷቸዋል.

የጸረ-ቫይረስ ኩባንያዎች ስፔሻሊስቶች የአዲሱ ቫይረስ ከፔትያ ቫይረስ ጋር ተመሳሳይነት እንዳላቸው ያስተውላሉ።

ነገር ግን በዚህ አመት ከነበሩት ቀደምት ቫይረሶች በተለየ መልኩ በዚህ ጊዜ ጠላፊዎች በ 1tv.ru መሰረት ቀለል ያለ መንገድ ለመውሰድ ወሰኑ.

“በግልፅ ወንጀለኞቹ ከእነዚህ ሁለት ጥቃቶች በኋላ በአብዛኛዎቹ ኩባንያዎች ውስጥ ኮምፒውተሮቻቸውን እንደሚያዘምኑ ጠብቀው ነበር እናም መጀመሪያ ላይ በአንፃራዊነት በፀጥታ ተጠቃሚዎችን ለመበከል ፍትሃዊ ያልሆነ መሳሪያ - ማህበራዊ ምህንድስና ለመሞከር ወሰኑ” ብለዋል ። የቫይረስ ምርምር ክፍል በ Kaspersky Lab.Vyacheslav Zakorzhevsky.

ኮምፒተርዎን ከቫይረስ እንዴት እንደሚከላከሉ?

ስርዓትዎን ምትኬ ማስቀመጥዎን ያረጋግጡ። ለመከላከያ Kaspersky, ESET, Dr.Web ወይም ሌሎች ታዋቂ የአናሎጎችን የሚጠቀሙ ከሆነ የውሂብ ጎታዎችን በፍጥነት ማዘመን አለብዎት. እንዲሁም ለ Kaspersky "የአክቲቲቲቲቲንግ ክትትል" (System Watcher) ማንቃት እና በዝማኔ 16295 ፊርማዎችን ለ ESET መተግበር እንዳለቦት TalkDevice አስታውቋል።

የጸረ-ቫይረስ ፕሮግራሞች ከሌሉዎት የ C: \ Windows \ infpub.dat እና C: \ Windows \ cscc.dat ፋይሎችን አፈፃፀም ያግዱ። ይህ የሚደረገው በቡድን ፖሊሲ አርታዒ ወይም በAppLocker ለዊንዶውስ ፕሮግራም ነው።

አገልግሎቱን ያሰናክሉ - የዊንዶውስ አስተዳደር መሣሪያ (WMI)። በቀኝ ቁልፍ በኩል የአገልግሎቱን ባህሪያት ያስገቡ እና በ "ጅምር አይነት" ውስጥ "የተሰናከለ" ሁነታን ይምረጡ.

በዓመት ውስጥ ሦስተኛው ከባድ የሳይበር ጥቃት። በዚህ ጊዜ ቫይረስ በአዲስ ስም መጥፎ ጥንቸል እና የድሮ ልምዶች - የውሂብ ምስጠራ እና ለመክፈት ገንዘብ ማባከን። እና በተጎዳው አካባቢ አሁንም ሩሲያ, ዩክሬን እና አንዳንድ ሌሎች የሲአይኤስ አገሮች አሉ.

ባድ ጥንቸል በተለመደው እቅድ መሰረት ይሰራል፡ ከተያያዘ ቫይረስ ወይም አገናኝ ጋር የማስገር ኢሜይል ይልካል። በተለይም አጥቂዎች እንደ ማይክሮሶፍት ቴክኒካል ድጋፍ አድርገው በፍጥነት የተያያዘ ፋይል እንዲከፍቱ ወይም አገናኙን እንዲከተሉ ሊጠይቁ ይችላሉ። ሌላ የማከፋፈያ መንገድ አለ - የውሸት አዶቤ ፍላሽ ማጫወቻ ማሻሻያ መስኮት። በሁለቱም ሁኔታዎች ባድ ጥንቸል የሚሰራው ስሜት ቀስቃሽ በሆነው መንገድ ነው ብዙም ሳይቆይ የተጎጂውን መረጃ በማመስጠር 0.05 ቢትኮይን ቤዛ ይጠይቃል ይህም በኦክቶበር 25, 2017 በዋጋ 280 ዶላር ይሆናል። የአዲሱ ወረርሽኝ ሰለባዎች ኢንተርፋክስ፣ የፎንታንካ የሴንት ፒተርስበርግ እትም ፣ የኪየቭ ሜትሮ ፣ የኦዴሳ አየር ማረፊያ እና የዩክሬን የባህል ሚኒስቴር ናቸው። አዲሱ ቫይረስ ብዙ የታወቁ የሩሲያ ባንኮችን ለማጥቃት እንደሞከረ የሚያሳይ ማስረጃ አለ, ነገር ግን ይህ ሀሳብ አልተሳካም. ባለሙያዎች ባድ ጥንቸል በዚህ አመት ከተመዘገቡት ቀደምት ዋና ዋና ጥቃቶች ጋር ያገናኙታል። ለዚህ ማረጋገጫው ተመሳሳይ የምስጠራ ሶፍትዌር Diskcoder.D ነው, እና ይሄ ተመሳሳይ የፔትያ ኢንክሪፕተር ነው, በትንሹ የተሻሻለ.

እራስዎን ከመጥፎ ጥንቸል እንዴት እንደሚከላከሉ?

ኤክስፐርቶች የዊንዶው ኮምፒውተሮች ባለቤቶች "infpub.dat" ፋይል እንዲፈጥሩ እና በ "C" ድራይቭ ላይ በዊንዶውስ አቃፊ ውስጥ እንዲያስቀምጡ ይመክራሉ. በውጤቱም, መንገዱ ይህንን መምሰል አለበት: C: \ windows \ infpub.dat. ይህ በመደበኛ ማስታወሻ ደብተር በመጠቀም ሊከናወን ይችላል ፣ ግን ከአስተዳዳሪ መብቶች ጋር። ይህንን ለማድረግ ወደ ማስታወሻ ደብተር ፕሮግራም የሚወስደውን አገናኝ እናገኛለን, ቀኝ-ጠቅ ያድርጉ እና "እንደ አስተዳዳሪ አሂድ" ን ይምረጡ.

ከዚያ ይህንን ፋይል ወደ C: \ windows \ አድራሻ ፣ ማለትም ፣ በ C ድራይቭ ላይ ባለው የዊንዶውስ አቃፊ ውስጥ ማስቀመጥ ያስፈልግዎታል ። የፋይል ስም፡ infpub.dat፣ በ"dat" የፋይል ቅጥያ ነው። መደበኛውን የማስታወሻ ደብተር ቅጥያ "txt" በ "dat" መተካትዎን አይርሱ. ፋይሉን ካስቀመጡ በኋላ የዊንዶውስ አቃፊን ይክፈቱ, የተፈጠረውን infpub.dat ፋይል ይፈልጉ, በእሱ ላይ በቀኝ ጠቅ ያድርጉ እና "Properties" የሚለውን ይምረጡ, ከታች ደግሞ "አንብብ ብቻ" የሚለውን ምልክት ማድረግ ያስፈልግዎታል. ስለዚህም ባድ ጥንቸል ቫይረስ ቢያዝም ዳታህን ማመስጠር አይችልም።

የመከላከያ እርምጃዎች

የተወሰኑ ህጎችን በመከተል እራስዎን ከማንኛውም ቫይረስ መከላከል እንደሚችሉ አይርሱ። ትንሽ ይመስላል፣ ነገር ግን ፊደሎችን በጭራሽ አይክፈቱ፣ እና እንዲያውም የበለጠ አባሪዎችዎ፣ አድራሻው ለእርስዎ አጠራጣሪ መስሎ ከታየ። የማስገር ኢሜይሎች፣ ማለትም፣ እንደ ሌሎች አገልግሎቶች ማስመሰል፣ በጣም የተለመዱ የኢንፌክሽን ዘዴዎች ናቸው። ምን እንደሚከፍቱ ይጠንቀቁ. የተያያዘው ፋይል በደብዳቤው ውስጥ "Important document.docx______.exe" ከተባለ፣ በእርግጠኝነት ይህንን ፋይል መክፈት የለብዎትም። በተጨማሪም, አስፈላጊ የሆኑ ፋይሎችን የመጠባበቂያ ቅጂዎች ሊኖሩዎት ይገባል. ለምሳሌ፣ ፎቶዎች ወይም የስራ ሰነዶች ያሉት የቤተሰብ ማህደር በውጫዊ አንፃፊ ወይም የደመና ማከማቻ ላይ ሊባዛ ይችላል። ፈቃድ ያለው የዊንዶውስ እትም መጠቀም እና ዝመናዎችን በመደበኛነት መጫን ምን ያህል አስፈላጊ እንደሆነ አይርሱ። የደህንነት መጠገኛዎች በማይክሮሶፍት በመደበኛነት ይለቀቃሉ እና እነሱን የሚጭኑት እንደዚህ ባሉ ቫይረሶች ላይ ችግር የለባቸውም።

በዚህ አመት በጥቅምት ወር መጨረሻ የኮርፖሬት እና የቤት ተጠቃሚዎችን ኮምፒተሮች በንቃት የሚያጠቃ አዲስ ቫይረስ ታይቷል ። አዲሱ ቫይረስ ራንሰምዌር ሲሆን ባድ ጥንቸል ይባላል ይህም ማለት መጥፎ ጥንቸል ማለት ነው። በዚህ ቫይረስ እርዳታ የበርካታ የሩስያ የመገናኛ ብዙሃን ድረ-ገጾች ጥቃት ደርሶባቸዋል. በኋላ ላይ ቫይረሱ በዩክሬን ኢንተርፕራይዞች የመረጃ መረቦች ውስጥም ተገኝቷል. የምድር ውስጥ ባቡር፣ የተለያዩ ሚኒስቴሮች፣ አለም አቀፍ አውሮፕላን ማረፊያዎች እና የመሳሰሉት የመረጃ መረቦች ላይ ጥቃት ደርሶባቸዋል። ከጥቂት ጊዜ በኋላ በጀርመን እና በቱርክ ተመሳሳይ የቫይረስ ጥቃት ታይቷል, ምንም እንኳን እንቅስቃሴው ከዩክሬን እና ሩሲያ በጣም ያነሰ ቢሆንም.

ተንኮል አዘል ቫይረስ ወደ ኮምፒውተር ከገባ በኋላ ፋይሎቹን የሚያመሰጥርበት ልዩ ተሰኪ ነው። አንዴ መረጃው ከተመሰጠረ በኋላ አጥቂዎች ውሂባቸውን መፍታት ከተጠቃሚዎች ሽልማት ለማግኘት ይሞክራሉ።

የቫይረሱ ስርጭት

የ ESET የጸረ-ቫይረስ ሶፍትዌር ልማት ላብራቶሪ ባለሙያዎች የቫይረስ ስርጭት መንገዱን ስልተ ቀመር በመመርመር በቅርቡ እንደ ፔትያ ቫይረስ የተዛመተ የተሻሻለ ቫይረስ ነው ወደሚል ድምዳሜ ደርሰዋል።

የESET የላብራቶሪ ባለሙያዎች ተንኮል-አዘል ፕለጊኖች የተከፋፈሉት ከ1dnscontrol.com ምንጭ እና ከአይፒ አድራሻ IP5.61.37.209 እንደሆነ አስሉ። በተጨማሪም ደህንነቱ-check.host፣ webcheck01.net፣securityinbox.email፣ webdefense1.net፣security-dns1.net፣ firewebmail.com ጨምሮ በርካታ ተጨማሪ ግብዓቶች ከዚህ ጎራ እና አይፒ ጋር ተያይዘዋል።

ስፔሻሊስቶች የእነዚህ ጣቢያዎች ባለቤቶች ብዙ የተለያዩ ሀብቶችን መመዝገባቸውን መርምረዋል, ለምሳሌ, በአይፈለጌ መልእክት መልእክቶች እርዳታ, የውሸት መድሃኒቶችን ለመሸጥ ይሞክራሉ. የ ESET ስፔሻሊስቶች ዋናው የሳይበር ጥቃት የተፈፀመው አይፈለጌ መልዕክት እና ማስገርን በመጠቀም በእነዚህ ሃብቶች እገዛ መሆኑን አያካትቱም።

የ Bad Rabbit ቫይረስ እንዴት ይያዛል?

የኮምፒውተር ፎረንሲክስ ላብራቶሪ ስፔሻሊስቶች ቫይረሱ በተጠቃሚዎች ኮምፒውተሮች ላይ እንዴት እንደገባ መርምረዋል። በአብዛኛዎቹ አጋጣሚዎች የ Bad Rabbit ransomware ቫይረስ ለ አዶቤ ፍላሽ ማሻሻያ ሆኖ ይሰራጫል። ማለትም ቫይረሱ ምንም አይነት የስርዓተ ክወና ድክመቶችን አልተጠቀመም, ነገር ግን በተጠቃሚዎች እራሳቸው ተጭነዋል, ይህን ሳያውቁ, አዶቤ ፍላሽ ፕለጊን እያዘመኑ እንደሆነ በማሰብ መጫኑን አጽድቀዋል. አንድ ቫይረስ በአካባቢያዊ አውታረመረብ ውስጥ ሲገባ ሎጎችን እና የይለፍ ቃሎችን ከማስታወሻ ውስጥ ይሰርቅ እና ወደ ሌሎች የኮምፒተር ስርዓቶች በራሱ ይሰራጫል።

ሰርጎ ገቦች እንዴት ገንዘብ እንደሚዘርፉ

የራንሰምዌር ቫይረስ በኮምፒዩተር ላይ ከተጫነ በኋላ የተከማቸውን መረጃ ኢንክሪፕት ያደርጋል። በመቀጠል ተጠቃሚዎች ውሂባቸውን ለማግኘት በተጠቀሰው የጨለማ ድረ-ገጽ ላይ ክፍያ መፈጸም እንዳለባቸው የሚያመለክት መልእክት ይደርሳቸዋል። ይህንን ለማድረግ በመጀመሪያ ልዩ የቶር ማሰሻን መጫን ያስፈልግዎታል. ኮምፒዩተሩ እንደሚከፈት እውነታ, አጥቂዎቹ በ 0.05 ቢትኮይን መጠን ይከፍላሉ. ዛሬ፣ ለ1 ቢትኮይን በ5600 ዶላር፣ ይህ ኮምፒውተር ለመክፈት በግምት 280 ዶላር ነው። ክፍያ ለመፈጸም ተጠቃሚው ከ 48 ሰአታት ጋር እኩል የሆነ ጊዜ ይሰጠዋል. ከዚህ ጊዜ በኋላ, የሚፈለገው መጠን ወደ አጥቂው ኤሌክትሮኒክ መለያ ካልተላለፈ, መጠኑ ይጨምራል.

እራስዎን ከቫይረሱ እንዴት እንደሚከላከሉ

1. ራስዎን ከ Bad Rabbit ቫይረስ ለመከላከል፣ ከላይ የተጠቀሱትን ጎራዎች ከመረጃ አካባቢ መድረስን ማገድ አለብዎት።
2. ለቤት ተጠቃሚዎች, የአሁኑን የዊንዶውስ ስሪት እና እንዲሁም የጸረ-ቫይረስ ፕሮግራምን ማዘመን አለብዎት. በዚህ አጋጣሚ ተንኮል አዘል ፋይሉ እንደ ራንሰምዌር ቫይረስ ይገኝበታል ይህም በኮምፒዩተር ላይ የመጫን እድልን ያስወግዳል።
3. አብሮ የተሰራውን የዊንዶውስ ኦፐሬቲንግ ሲስተም ጸረ-ቫይረስ የሚጠቀሙ ተጠቃሚዎች ከእነዚህ ራንሰምዌር አስቀድሞ ጥበቃ አላቸው። በ Windows Defender Antivirus መተግበሪያ ውስጥ ተተግብሯል.
4. ከ Kaspersky Lab የጸረ-ቫይረስ ፕሮግራም አዘጋጆች ሁሉም ተጠቃሚዎች ውሂባቸውን በየጊዜው እንዲደግፉ ይመክራሉ። በተጨማሪም ባለሙያዎች የ c: \ windows \ infpub.dat, c: \ WINDOWS \ cscc.dat ፋይሎችን አፈፃፀም ማገድ እና ከተቻለ የ WMI አገልግሎትን ማሰናከል ይመክራሉ.

ማጠቃለያ

እያንዳንዱ የኮምፒዩተር ተጠቃሚዎች በኔትወርኩ ላይ ሲሰሩ የሳይበር ደህንነት መጀመሪያ መምጣት እንዳለበት ማስታወስ አለባቸው። ስለዚህ ሁል ጊዜ የተረጋገጡ የመረጃ ሀብቶችን አጠቃቀም መከታተል እና ኢሜል እና ማህበራዊ አውታረ መረቦችን በጥንቃቄ መጠቀም አለብዎት። ብዙውን ጊዜ የተለያዩ ቫይረሶች ስርጭት የሚከናወነው በእነዚህ ሀብቶች አማካኝነት ነው። በመረጃ አካባቢ ውስጥ የአንደኛ ደረጃ የስነምግባር ደንቦች በቫይረስ ጥቃት ወቅት የሚነሱትን ችግሮች ያስወግዳል.

ትላንት, ኦክቶበር 24, 2017, ዋና ዋና የሩሲያ ሚዲያዎች, እንዲሁም በርካታ የዩክሬን የመንግስት ኤጀንሲዎች, ያልታወቁ ሰርጎ ገቦች. ኢንተርፋክስ፣ ፎንታንቃ እና ቢያንስ አንድ ሌላ ስማቸው ያልተገለፀ የኦንላይን እትም ከተጎጂዎቹ መካከል ይገኙበታል። የመገናኛ ብዙሃንን ተከትሎ ችግሮቹ በኦዴሳ ዓለም አቀፍ አውሮፕላን ማረፊያ, በኪየቭ ሜትሮ እና በዩክሬን የመሠረተ ልማት ሚኒስቴር ሪፖርት ተደርገዋል. የቡድን-IB ተንታኞች እንደሚሉት፣ ወንጀለኞቹ የባንክ መሰረተ ልማቶችን ለማጥቃትም ሞክረዋል፣ ነገር ግን እነዚህ ሙከራዎች አልተሳኩም። የESET ስፔሻሊስቶች በበኩላቸው ጥቃቱ ከቡልጋሪያ፣ ቱርክ እና ጃፓን የመጡ ተጠቃሚዎችን እንደነካ ይናገራሉ።

እንደ ተለወጠው፣ በኩባንያዎች እና በመንግስት ኤጀንሲዎች ሥራ ላይ መስተጓጎል የተፈጠረው በግዙፍ የዲዶኤስ ጥቃቶች ሳይሆን፣ በ Bad Rabbit ስም በሚሄድ ራንሰምዌር (አንዳንድ ባለሙያዎች ባድራቢትን ያለ ቦታ መፃፍ ይመርጣሉ)።

ትላንትና ስለ ማልዌር እና አሰራሩ ብዙም የሚታወቅ ነገር አልነበረም፡ ራንሰምዌር 0.05 ቢትኮይን ቤዛ እንደሚጠይቅ ተነግሯል፡ የቡድን-IB ባለሙያዎች ጥቃቱ ለብዙ ቀናት እየተዘጋጀ መሆኑን ተናግረዋል። ስለዚህ፣ በአጥቂዎቹ ቦታ ላይ ሁለት የጄኤስ ስክሪፕቶች ተገኝተዋል፣ እና ከአገልጋዩ ባለው መረጃ በመመዘን ከመካከላቸው አንዱ በጥቅምት 19 ቀን 2017 ተዘምኗል።

አሁን፣ ጥቃቱ ከተጀመረ አንድ ቀን እንኳን ያልሞላው ቢሆንም፣ በዓለም ላይ ካሉት ግንባር ቀደም የመረጃ ደህንነት ኩባንያዎች ባለሙያዎች ማለት ይቻላል ቤዛ ዌርን ተንትነዋል። ስለዚህ፣ Bad Rabbit ምንድን ነው፣ እና እንደ WannaCry ወይም NotPetya ያለ አዲስ “የራንሰምዌር ወረርሽኝ” መጠበቅ አለብን?

በፍላሽ ላይ የውሸት ዝማኔዎች ከሆኑ Bad Rabbit እንዴት ዋና ዋና ሚዲያዎችን ማደናቀፍ ቻለ? አጭጮርዲንግ ቶ ESET , ኤምሲሶፍትእና Fox IT, ከበሽታው በኋላ ማልዌር የይለፍ ቃሎችን ከኤልኤስኤስኤስ ለማውጣት የ Mimikatz አገልግሎትን ተጠቅሟል, እንዲሁም በጣም የተለመዱ የመግቢያ እና የይለፍ ቃሎች ዝርዝር ነበረው. ተንኮል አዘል ዌር ይህንን ሁሉ በSMB እና WebDAV በኩል ወደሌሎች አገልጋዮች እና የስርጭት ጣቢያዎች ለማሰራጨት ተጠቅሞ የተበከለው መሳሪያ በተመሳሳይ አውታረመረብ ላይ ይገኛሉ። በተመሳሳይ ጊዜ, ከላይ ከተዘረዘሩት ኩባንያዎች የተውጣጡ ባለሙያዎች እና የሲስኮ ታሎስ ሰራተኞች በዚህ ጉዳይ ላይ በ SMB ውስጥ ክፍተቶችን ከሚጠቀሙ ልዩ አገልግሎቶች የተሰረቀ መሳሪያ እንደሌለ ያምናሉ. ይህን ልዩ ብዝበዛ በመጠቀም WannaCry እና NotPetya ቫይረሶች መሰራጨታቸውን ላስታውስህ።

ሆኖም ባለሙያዎች አሁንም በ Bad Rabbit እና Petya (NotPetya) መካከል አንዳንድ ተመሳሳይነቶችን ማግኘት ችለዋል። ስለዚህ ራንሰምዌር የክፍት ምንጭ ዲስክ ክሪፕተርን በመጠቀም የተጠቃሚ ፋይሎችን ኢንክሪፕት ማድረግ ብቻ ሳይሆን MBR (Master Boot Record)ን ያስተካክላል፣ ከዚያ በኋላ ኮምፒውተሩን እንደገና ያስነሳው እና የቤዛ መልእክት በስክሪኑ ላይ ያሳያል።

ምንም እንኳን የአጥቂው የፍላጎት መልእክት ከNotPetya ኦፕሬተሮች ጋር ተመሳሳይ ቢሆንም ፣ ባለሙያዎች በ Bad Rabbit እና NotPetya መካከል ባለው ግንኙነት ላይ ትንሽ ይለያያሉ። ስለዚህም የኢንቴዘር ተንታኞች የማልዌር ምንጭ ኮድ እንደሆነ ያሰሉ።

በ Kaspersky Lab መሠረት የሦስተኛው የራንሰምዌር ቫይረሶች አስተላላፊ ሊሆን ይችላል። የመጀመሪያዎቹ ሁለቱ ስሜት ቀስቃሽ WannaCry እና ፔትያ (በተባለው ኖትፔትያ) ናቸው። የሳይበር ደህንነት ባለሙያዎች ስለ አዲስ የአውታረ መረብ ማልዌር መከሰት እና እንዴት ከኃይለኛ ጥቃቱ መከላከል እንደሚቻል MIR 24ን አነጋግረዋል።

የባድ ጥንቸል ጥቃት ሰለባዎች አብዛኛዎቹ በሩሲያ ውስጥ ናቸው። በ Kaspersky Lab የፀረ-ቫይረስ ምርምር ክፍል ኃላፊ እንዳሉት በዩክሬን ፣ በቱርክ እና በጀርመን ግዛት ውስጥ በጣም ጥቂት ናቸው ። Vyacheslav Zakorzhevsky. ምናልባት፣ ተጠቃሚዎች የሩስያ የኢንተርኔት ሃብቶችን በንቃት የሚከታተሉባቸው አገሮች ሁለተኛው በጣም ንቁ ሆነው ተገኝተዋል።

ተንኮል አዘል ዌር ኮምፒውተርን ሲበክል ፋይሎችን ኢንክሪፕት ያደርጋል። ከተጠለፉ የኢንተርኔት ግብአቶች በድር ትራፊክ ይሰራጫል ከነዚህም መካከል በዋናነት የፌደራል ሩሲያ ሚዲያ ድረ-ገጾች፣ እንዲሁም የኪየቭ ሜትሮ ኮምፒተሮች እና አገልጋዮች፣ የዩክሬን የመሠረተ ልማት ሚኒስቴር እና የኦዴሳ ዓለም አቀፍ አውሮፕላን ማረፊያ ይገኙበታል። ከ 20 ቱ ውስጥ የሩሲያ ባንኮችን ለማጥቃት ያልተሳካ ሙከራም ተመዝግቧል.

ፎንታንካ፣ ኢንተርፋክስ እና ሌሎች በርካታ ህትመቶች በBad Rabbit ጥቃት መፈጸሙን በትላንትናው እለት ግሩፕ-IB በመረጃ ደህንነት ላይ የተካነ ኩባንያ ዘግቧል። የቫይረስ ኮድ ትንተና እንደሚያሳየው መጥፎ ጥንቸል በሰኔ ወር ከሚገኘው ከ Not Petya ransomware ጋር የተቆራኘ ነው።በዚህ ዓመት በዩክሬን ውስጥ የኃይል ፣ የቴሌኮሙኒኬሽን እና የፋይናንስ ኩባንያዎችን አጠቁ ።

ጥቃቱ ለብዙ ቀናት ተዘጋጅቷል እና ምንም እንኳን የኢንፌክሽኑ መጠን ቢኖርም ፣ ራንሰምዌር በጥቃቱ ሰለባዎች በአንጻራዊ ሁኔታ አነስተኛ መጠን ጠየቀ - 0.05 bitcoins (283 ዶላር ወይም 15,700 ሩብልስ)። ለመውሰድ 48 ሰዓታት አለዎት። ይህ ጊዜ ካለፈ በኋላ መጠኑ ይጨምራል.

የቡድን-IB ስፔሻሊስቶች ምናልባት ጠላፊዎቹ ገንዘብ የማግኘት አላማ እንደሌላቸው ያምናሉ። ምናልባትም ግባቸው የኢንተርፕራይዞችን፣ የመንግስት መምሪያዎችን እና የግል ኩባንያዎችን ወሳኝ የመሠረተ ልማት አውታሮችን የመከላከል ደረጃን መሞከር ነው።

ማጥቃት ቀላል ነው።

አንድ ተጠቃሚ የተበከለውን ጣቢያ ሲጎበኝ ተንኮል አዘል ኮድ ስለተጠቃሚው መረጃ ወደ የርቀት አገልጋይ ይልካል። በመቀጠል ለፍላሽ ማጫወቻ ማሻሻያ እንዲያወርዱ የሚጠይቅ ብቅ ባይ መስኮት ይታያል ይህም የውሸት ነው። ተጠቃሚው የ "ጫን" ክዋኔውን ካጸደቀው, አንድ ፋይል ወደ ኮምፒዩተሩ ይወርዳል, ይህም በተራው ደግሞ በስርዓቱ ውስጥ የ Win32 / Filecoder.D ኢንኮደር ይጀምራል. በተጨማሪም የሰነዶች መዳረሻ ይታገዳል, ቤዛ መልእክት በስክሪኑ ላይ ይታያል.

የባድ ጥንቸል ቫይረስ ኔትወርኩን ክፍት የኔትወርክ ሀብቶችን ለማግኘት ይቃኛል, ከዚያ በኋላ በተበከለው ማሽን ላይ የምስክርነት መሰብሰቢያ መሳሪያ ይጀምራል, እና ይህ "ባህሪ" ከቀዳሚዎቹ ይለያል.

የጸረ-ቫይረስ ሶፍትዌር ዓለም አቀፍ ገንቢ Eset NOD 32 ስፔሻሊስቶች መጥፎ ጥንቸል የፔትያ ቫይረስ አዲስ ማሻሻያ መሆኑን አረጋግጠዋል ፣ የዚህ መርህ ተመሳሳይ ነበር - ቫይረሱ ኢንክሪፕት የተደረገ መረጃ እና በ bitcoins ውስጥ ቤዛ ጠየቀ (መጠኑ ከ ጋር ተመጣጣኝ ነበር)። መጥፎ ጥንቸል - $ 300). አዲሱ ማልዌር በፋይል ምስጠራ ውስጥ ያሉ ስህተቶችን ያስተካክላል። በቫይረሱ ​​ውስጥ ጥቅም ላይ የሚውለው ኮድ አመክንዮአዊ አንጻፊዎችን፣ ውጫዊ የዩኤስቢ አንጻፊዎችን እና የሲዲ/ዲቪዲ ምስሎችን እንዲሁም ሊነሳ የሚችል የዲስክ ክፍልፋዮችን ለማመስጠር ነው።

በመጥፎ ጥንቸል ስለተጠቃው ታዳሚዎች ሲናገሩ, የሽያጭ ድጋፍ ኃላፊ ESET ሩሲያ ቪታሊ ዘምስኪበኩባንያው የፀረ-ቫይረስ ምርቶች ካቆሙት ጥቃቶች 65% የሚሆኑት በሩሲያ ላይ እንደሚወድቁ ተናግረዋል ። የቀረው የአዲሱ ቫይረስ ጂኦግራፊ ይህን ይመስላል።

ዩክሬን - 12.2%

ቡልጋሪያ - 10.2%

ቱርክ - 6.4%

ጃፓን - 3.8%

ሌሎች - 2.4%

“ራንሰምዌር የተጎጂዎችን ሾፌሮች ለማመስጠር ዲስክ ክሪፕተር የተባለ የታወቀ የክፍት ምንጭ ሶፍትዌር ይጠቀማል። ተጠቃሚው የሚያየው የመቆለፊያ መልእክት ስክሪን ከፔትያ እና ኖትፔትያ መቆለፊያ ስክሪኖች ጋር ተመሳሳይ ነው። ሆኖም፣ በሁለቱ ማልዌር መካከል እስካሁን ያየነው ተመሳሳይነት ይህ ብቻ ነው። በሌሎች በሁሉም ገፅታዎች፣ BadRabbit ሙሉ ለሙሉ አዲስ እና ልዩ የሆነ የቤዛ ዌር አይነት ነው” ይላል የቼክ ፖይንት ሶፍትዌር ቴክኖሎጂዎች CTO። Nikita Durov.

እራስዎን ከመጥፎ ጥንቸል እንዴት እንደሚከላከሉ?

አዲሱ የራንሰምዌር ቫይረስ ይህ "ዘንግ" ያላቸውን ኮምፒውተሮች ብቻ ተጋላጭ ስለሚያደርግ ከዊንዶውስ ውጪ ያሉ ኦፕሬቲንግ ሲስተሞች ባለቤቶች ትንሽ እፎይታ ሊተነፍሱ ይችላሉ።

ከአውታረ መረብ ማልዌር ለመከላከል ባለሙያዎች የ C: \ windows \ infpub.dat ፋይል በኮምፒተርዎ ላይ እንዲፈጥሩ ይመክራሉ ፣ ተነባቢ-ብቻ መብቶቹን ሲያዘጋጁ - ይህ በአስተዳደር ክፍል ውስጥ ቀላል ነው። በዚህ መንገድ የፋይሉን አፈፃፀም ያግዱታል, እና ሁሉም ከውጭ የሚመጡ ሰነዶች ምንም እንኳን የተበከሉ ቢሆኑም አይመሰጠሩም. በቫይረስ ከተያዙ ጠቃሚ መረጃዎችን ላለማጣት አሁኑኑ ምትኬ (የመጠባበቂያ ቅጂ) ያዘጋጁ። እና በእርግጥ ቤዛ መክፈል ኮምፒተርዎን ለመክፈት ዋስትና የማይሰጥ ወጥመድ መሆኑን ማስታወሱ ጠቃሚ ነው።

በዚህ አመት ግንቦት ወር ላይ ቫይረሱ በአለም ዙሪያ በትንሹ ወደ 150 ሀገራት መስፋፋቱን አስታውስ። መረጃውን በማመስጠር ከ300 እስከ 600 ዶላር ቤዛ እንዲከፍል ጠይቋል። ከ 200,000 በላይ ተጠቃሚዎች ተጎድተዋል. በአንድ ስሪት መሠረት ፈጣሪዎቹ የዩኤስ ኤንኤስኤን ማልዌር ዘላለም ሰማያዊን እንደ መሰረት አድርገው ወሰዱት።

አላ ስሚርኖቫ ከባለሙያዎች ጋር ተነጋገረ