Ky sulm është shqetësues, sepse është sulmi i dytë i madh i ransomware në dy muaj, i cili ka prekur kompanitë anembanë botës. Ju mund të mbani mend se në maj, Shërbimi Kombëtar i Shëndetit, NHS, në Britani, ishte i infektuar nga malware quajtur WannaCry. Ky program ndikoi në NHS dhe organizata të tjera të ndryshme anembanë globit. WannaCry u zbulua për herë të parë në publik kur dokumentet e rrjedhur në lidhje me NHS u liruan në internet nga hakerët e njohur si Shadow Brokers në prill.
Programi WannaCry, i quajtur edhe WannaCrypt, preku një tejkalim prej 230,000 kompjutera, të cilat ishin vendosur në më shumë se 150 vende anembanë globit. Përveç NHS, Telefonica, një kompani telefonike spanjolle dhe hekurudha shtetërore në Gjermani u sulmuan gjithashtu.
Ngjashëm me WannaCry, "Petya" përhapet me shpejtësi në të gjithë rrjetet që përdorin Microsoft Windows. Pyetja është megjithatë, çfarë është ajo? Ne gjithashtu duam të dimë pse po ndodh dhe si mund të ndalet.
Çfarë është Ransomware?
Gjëja e parë që duhet ta kuptoni është përcaktimi i ransomware . Në thelb, ransomware është çdo lloj malware që punon për të bllokuar qasjen tuaj në një kompjuter ose të dhëna. Pastaj, kur përpiqeni të përdorni atë kompjuter ose të dhënat mbi të, nuk mund të hyni në të nëse nuk paguani një shpërblim. Dashuri e keqe dhe e çiltër!
Si funksionon Ransomware?
Është gjithashtu e rëndësishme të kuptohet se si punon ransomware. Kur një kompjuter infektohet nga ransomware, ajo bëhet e koduar. Kjo do të thotë që dokumentet në kompjuterin tuaj janë mbyllur dhe ju nuk mund t'i hapni ato pa paguar asnjë shpërblim. Për të komplikuar më tej gjërat, shpërblesa duhet të paguhet në Bitcoin, jo në të holla, për një çelës dixhital që mund t'i përdorni për të zhbllokuar dosjet. Nëse nuk keni një kopje rezervë të skedarëve, keni dy zgjedhje: mund të paguani shpërblimin, që zakonisht është disa qindra dollarë në disa mijëra dollarë ose humbni aksesin në të gjitha dosjet tuaja.
Si punon "Petya" Ransomware?
Ransomware "Petya" punon si shumica e ransomware. Ai merr përsipër një kompjuter, dhe më pas kërkon 300 $ në Bitcoin. Ky është një softuer me qëllim të keq që përhapet shpejt nëpër një rrjet ose organizatë një herë një kompjuter të vetëm është i infektuar. Ky program i veçantë përdor dobësinë EternalBlue, e cila është pjesë e Microsoft Windows. Megjithëse Microsoft tani ka lëshuar një patch për dobësinë, jo të gjithë e kanë instaluar atë. Ransomware është gjithashtu potencialisht i përhapur përmes veglave administrative të Windows, e cila është e arritshme nëse nuk ka fjalëkalim në kompjuter. Nëse malware nuk mund të arrihet në një mënyrë, ajo automatikisht përpiqet një tjetër, e cila është se si është përhapur kaq shpejt në mesin e këtyre organizatave.
Kështu, "Petya" përhapet shumë më lehtë se WannaCry, sipas ekspertëve të sigurisë kibernetike.
A ka ndonjë mënyrë për të mbrojtur veten nga "Petya"?
Ju ndoshta po pyesin në këtë pikë nëse ka ndonjë mënyrë për të mbrojtur veten nga "Petya". Shumica e kompanive antivirus kanë pohuar se kanë përditësuar programet e tyre për të ndihmuar jo vetëm për të zbuluar, por për të mbrojtur kundër infeksionit "Petya" malware. Për shembull, programi Symantec ofron mbrojtje nga "Petya" dhe Kaspersky ka përditësuar të gjithë softuerin e tij për të ndihmuar klientët të mbrojnë veten nga malware. Mbi të gjitha, ju mund të mbroni veten duke e mbajtur përditësimin e Windows. Nëse ju nuk bëni asgjë tjetër, të paktën të instaloni patch kritike që Windows lëshuar në mars, i cili mbron nga kjo dobësi EternalBlue. Kjo ndalon një nga mënyrat kryesore për t'u infektuar, dhe gjithashtu mbron nga sulmet e ardhshme.
Një linjë tjetër e mbrojtjes për shpërthimin e malware "Petya" është gjithashtu në dispozicion, dhe është zbuluar vetëm kohët e fundit. Malware kontrollon C: \ drive për një skedar të lexuar vetëm të quajtur perfc.dat. Nëse malware gjen këtë skedar, ai nuk e kryen encryption. Megjithatë, edhe nëse e keni këtë skedar, ai në të vërtetë nuk e parandalon infeksionin me malware. Ajo mund të përhapë ende malware në kompjuterë të tjerë në një rrjet edhe në qoftë se përdoruesi nuk e vërejnë atë në kompjuterin e tyre.
Pse është ky malware quajtur "Petya?"
Ju gjithashtu mund të pyesin pse ky malware quhet "Petya." Në të vërtetë, nuk quhet teknikisht "Petya". Në vend të kësaj, duket se ka shumë kod me një pjesë të vjetër të ransomware që quhej "Petya". Brenda orëve pas shpërthimit fillestar, megjithatë, ekspertët e sigurisë vunë në dukje se këto dy ransomwares nuk ishin aq të ngjashme me atë që mendohej fillimisht. Pra, hulumtuesit në Kaspersky Lab filluan duke iu referuar malware si "NotPetya" (që është origjinale!), Si dhe emra të tjerë duke përfshirë "Petna" dhe "Pneytna". Përveç kësaj, hulumtuesit e tjerë e quajtën programin emra të tjerë duke përfshirë "Goldeneye" Bitdefender, nga Rumania, filloi ta thërrasë atë. Megjithatë, "Petya" kishte mbërthyer tashmë.
Ku filloi "Petya"?
A po pyesin se ku filloi "Petya"? Duket se ka filluar përmes një mekanizmi të përditësimit nga softueri që është ndërtuar në një program të caktuar të kontabilitetit. Këto kompani po punonin me qeverinë e Ukrainës dhe kërkonin nga qeveria të përdorte këtë program të veçantë. Kjo është arsyeja pse shumë kompani në Ukrainë janë prekur nga kjo. Organizatat përfshijnë bankat, qeverinë, sistemin e metrosë të Kievit, aeroportin kryesor të Kievit dhe shërbimet shtetërore të energjisë.
Sistemi që monitoron nivelet e rrezatimit në Çernobil ishte gjithashtu e prekur nga ransomware, dhe përfundimisht u mor në linjë. Kjo i detyron punonjësit të përdorin pajisje manuale të mbajtura me dorë për të matur rrezatimin në zonën e përjashtimit. Në krye të kësaj, ka pasur një valë e dytë e infeksioneve malware që janë pjellë nga një fushatë që paraqiti bashkëngjitjet e-mail, të cilat ishin të mbushura me malware.
Sa larg është përhapja e Infeksionit "Petya"?
Ransomware "Petya" është përhapur shumë larg dhe ka ndërprerë biznesin e kompanive si në SHBA ashtu edhe në Evropë. Për shembull, WPP, një firmë reklamuese në SHBA, Saint-Gobain, një kompani e materialeve të ndërtimit në Francë, dhe të dy firmave Rosneft dhe Evraz, naftë dhe çelik në Rusi, u prekën gjithashtu. Një kompani Pittsburgh, Heritage Valley Health Systems, gjithashtu është goditur nga malware "Petya". Kjo kompani drejton spitale dhe qendra të kujdesit në të gjithë zonën e Pittsburgh-ut.
Megjithatë, ndryshe nga WannaCry, "Petya" malware përpiqet të përhapet shpejt përmes rrjeteve që ka qasje, por nuk përpiqet të përhapet jashtë rrjetit. Vetëm ky fakt mund të ketë ndihmuar viktimat e mundshme të këtij malware, pasi ai e ka kufizuar përhapjen e saj. Pra, duket se ka një rënie në numrin e infeksioneve të reja.
Cila është motivimi për kriminelët kibernetikë që dërgojnë "Petya"?
Kur "Petya" u zbulua fillimisht, duket se shpërthimi i malware ishte thjesht një përpjekje nga një kriminel kibernetik për të përfituar nga armët kibernetike në internet. Sidoqoftë, kur profesionistët e sigurisë dukeshin pak më afër nga shpërthimi i malware "Petya", ata thonë se disa mekanizma, siç është mënyra e pagesës së mbledhjes, janë mjaft amatorë, kështu që ata nuk besojnë se kriminelët seriozë kompjuterik janë prapa tij.
Së pari, shënimi i shpërblimit që vjen me malware "Petya" përfshin të njëjtën adresë të pagesës për çdo viktimë malware. Kjo është e çuditshme sepse pro krijojnë një adresë doganore për secilën nga viktimat e tyre. Së dyti, programi kërkon që viktimat e tij të komunikojnë drejtpërsëdrejti me sulmuesit nëpërmjet një adrese të posaçme elektronike, e cila u pezullua menjëherë kur u zbulua se adresa e postës ishte përdorur për viktimat "Petya". Kjo do të thotë që edhe nëse një person paguan shpërblimin $ 300, ata nuk mund të komunikojnë me sulmuesit, dhe për më tepër, ata nuk mund të përdorin çelësin e decryption për të zhbllokuar kompjuterin ose dosjet e tij.
Kush janë sulmuesit, pastaj?
Ekspertët e sigurisë kibernetike nuk besojnë se një kriminel kibernetik profesional është prapa malware "Petya", kështu që kush është? Askush nuk e di në këtë pikë, por ka të ngjarë që personi ose personat që e kanë lëshuar të kërkojnë që malware të duket si ransomware e thjeshtë, por në vend të kësaj, është shumë më shkatërrues sesa ransomware tipike. Një studiues i sigurisë, Nicolas Weaver, beson se "Petya" është një sulm me qëllim të keq, destruktiv dhe i qëllimshëm. Një studiues tjetër, i cili shkon nga Grugq, beson se origjinali "Petya" ishte pjesë e një organizate kriminale për të fituar para, por kjo "Petya" nuk po bën të njëjtën gjë. Ata të dy janë dakord se malware është projektuar për t'u përhapur shpejt dhe për të shkaktuar shumë dëme.
Siç kemi përmendur, Ukraina u godit rëndë nga "Petya", dhe vendi i ka vënë gishtat e tij në Rusi. Kjo nuk është e habitshme duke marrë parasysh se Ukraina ka fajësuar Rusinë për një numër sulmesh të mëparshme kibernetike. Një nga këto sulme kibernetike ndodhi në vitin 2015 dhe synonte rrjetin e energjisë në Ukrainë. Në fund të fundit, përfunduan përkohësisht duke lënë pjesë të Ukrainës perëndimore pa asnjë pushtet. Rusia, megjithatë, ka mohuar ndonjë përfshirje në sulmet kibernetike në Ukrainë.
Çfarë duhet të bëni nëse besoni ju jeni viktimë e Ransomware?
A mendoni se mund të jeni viktimë e një sulmi ransomware? Ky sulm i veçantë infekton një kompjuter dhe pret rreth një orë përpara se kompjuteri të fillojë të rifillojë spontanisht. Nëse kjo ndodh, menjëherë provoni ta fikni kompjuterin. Kjo mund të parandalojë që skedarët në kompjuter të jenë të koduara. Në atë moment, mund të përpiqeni të hiqni skedarët nga makina.
Nëse kompjuteri përfundon reboot dhe një shpërblim nuk shfaqet, mos e paguani atë. Mos harroni, adresa elektronike e përdorur për të mbledhur informacion nga viktimat dhe për të dërguar çelësin është mbyllur. Pra, në vend të kësaj, shkëputni PC nga interneti dhe rrjeti, reformatoni hard drive, dhe pastaj përdorni një kopje rezervë për të instaluar përsëri skedarët. Sigurohuni që gjithmonë jeni duke mbështetur skedarët tuaj në baza të rregullta dhe gjithmonë mbani përditësimin e softuerit tuaj antivirus.