فيروس الفدية الجديد بيتيا. تم تسمية فيروس تشفير Petya الجديد على اسم رئيس أوكرانيا - الخبير. كيف تعمل بيتيا؟

في بداية شهر مايو، أصيب حوالي 230 ألف جهاز كمبيوتر في أكثر من 150 دولة بفيروس طلب الفدية. وقبل أن يتاح للضحايا الوقت الكافي للتخلص من عواقب هذا الهجوم، تبع ذلك هجوم جديد يسمى بيتيا. وعانت منه أكبر الشركات الأوكرانية والروسية وكذلك المؤسسات الحكومية.

وأثبتت الشرطة الإلكترونية في أوكرانيا أن هجوم الفيروس بدأ من خلال آلية تحديث برنامج المحاسبة M.E.Doc، والذي يستخدم لإعداد وإرسال التقارير الضريبية. وهكذا، أصبح من المعروف أن شبكات باشنفت، وروسنفت، وزابوروجيوبلينيرجو، ودنيبروينيرجو، ونظام الطاقة الكهربائية دنيبر لم تفلت من العدوى. وفي أوكرانيا، اخترق الفيروس أجهزة الكمبيوتر الحكومية، وأجهزة الكمبيوتر الشخصية في مترو كييف، ومشغلي الاتصالات، وحتى محطة تشيرنوبيل للطاقة النووية. وفي روسيا، تأثرت شركات موندليز إنترناشيونال ومارس ونيفيا.

يستغل فيروس Petya ثغرة EternalBlue الموجودة في نظام التشغيل Windows. ويقول خبراء Symantec وF-Secure إنه على الرغم من أن Petya يقوم بتشفير البيانات مثل WannaCry، إلا أنه لا يزال مختلفًا بعض الشيء عن الأنواع الأخرى من فيروسات التشفير. "يعد فيروس Petya نوعًا جديدًا من الابتزاز ذي نوايا خبيثة: فهو لا يقوم بتشفير الملفات الموجودة على القرص فحسب، بل يقفل القرص بأكمله، مما يجعله غير قابل للاستخدام عمليًا"، يوضح F-Secure. "على وجه التحديد، يقوم بتشفير جدول الملفات الرئيسية MFT."

كيف يحدث هذا وهل يمكن منع هذه العملية؟

فيروس "بيتيا" - كيف يعمل؟

يُعرف فيروس Petya أيضًا بأسماء أخرى: Petya.A، وPetrWrap، وNotPetya، وExPetr. بمجرد وصوله إلى جهاز الكمبيوتر، يقوم بتنزيل برنامج الفدية من الإنترنت ويحاول إصابة البعض منه قرص صلببالبيانات اللازمة لتشغيل الكمبيوتر. إذا نجح، يصدر النظام شاشة الموت الزرقاء (" شاشة زرقاءمن الموت"). بعد إعادة التشغيل، تظهر رسالة حول فحص القرص الصلب تطلب منك عدم إيقاف تشغيل الطاقة. وهكذا، الفدية يتظاهر بأنه برنامج النظاملفحص القرص، وتشفير الملفات بامتدادات معينة في هذا الوقت. وفي نهاية العملية تظهر رسالة تشير إلى أن الكمبيوتر محظور ومعلومات حول كيفية الحصول على مفتاح رقمي لفك تشفير البيانات. يتطلب فيروس Petya فدية، عادةً ما تكون بعملة البيتكوين. إذا لم يكن لدى الضحية نسخة احتياطية من ملفاته، فإنه يواجه خيار دفع 300 دولار أو فقدان جميع المعلومات. ووفقا لبعض المحللين، فإن الفيروس يتنكر فقط كبرنامج فدية، في حين أن هدفه الحقيقي هو التسبب في أضرار جسيمة.

كيف تتخلص من بيتيا؟

اكتشف الخبراء أن فيروس Petya يبحث عن ملف محلي، وإذا كان هذا الملف موجودًا بالفعل على القرص، فإنه يخرج من عملية التشفير. وهذا يعني أنه يمكن للمستخدمين حماية أجهزة الكمبيوتر الخاصة بهم من برامج الفدية عن طريق إنشاء هذا الملف وتعيينه للقراءة فقط.

ورغم أن هذا المخطط الماكر يمنع عملية الابتزاز من البدء، إلا أن هذه الطريقة يمكن اعتبارها أشبه بـ”التطعيم بالكمبيوتر”. وبالتالي، سيتعين على المستخدم إنشاء الملف بنفسه. يمكنك القيام بذلك على النحو التالي:

• تحتاج أولاً إلى فهم امتداد الملف. في نافذة خيارات المجلد، تأكد من عدم تحديد خانة الاختيار إخفاء الملحقات لأنواع الملفات المعروفة.
• افتح المجلد C:\Windows، ثم قم بالتمرير لأسفل حتى ترى برنامج notepad.exe.
• انقر بزر الماوس الأيسر على notepad.exe، ثم اضغط على Ctrl + C للنسخ، ثم Ctrl + V للصق الملف. سوف تتلقى طلبًا يطلب الإذن لنسخ الملف.
• انقر فوق الزر "متابعة" وسيتم إنشاء الملف كمفكرة - Copy.exe. انقر بزر الماوس الأيسر على هذا الملف واضغط F2، ثم امسح اسم الملف Copy.exe وأدخل perfc.
• بعد تغيير اسم الملف إلى perfc، اضغط على Enter. تأكيد إعادة التسمية.
• الآن بعد أن تم إنشاء ملف perfc، نحتاج إلى جعله للقراءة فقط. للقيام بذلك، انقر بزر الماوس الأيمن على الملف وحدد "خصائص".
• سيتم فتح قائمة الخصائص لهذا الملف. في الأسفل سترى "للقراءة فقط". تفقد الصندوق.
• الآن انقر فوق الزر "تطبيق" ثم الزر "موافق".

يقترح بعض خبراء الأمان إنشاء ملفات C:\Windows\perfc.dat وC:\Windows\perfc.dll بالإضافة إلى ملف C:\windows\perfc لتوفير حماية أكثر شمولاً ضد فيروس Petya. يمكنك تكرار الخطوات المذكورة أعلاه لهذه الملفات.

تهانينا، جهاز الكمبيوتر الخاص بك محمي من NotPetya/Petya!

يقدم خبراء شركة Symantec بعض النصائح لمستخدمي أجهزة الكمبيوتر لمنعهم من القيام بأشياء قد تؤدي إلى قفل الملفات أو خسارة الأموال.

1. لا تدفع المال للمجرمين.حتى إذا قمت بتحويل الأموال إلى برنامج الفدية، فليس هناك ما يضمن أنك ستتمكن من استعادة الوصول إلى ملفاتك. وفي حالة NotPetya / Petya، فهذا لا معنى له في الأساس، لأن هدف برنامج الفدية هو تدمير البيانات، وليس الحصول على المال.
2. تأكد من إنشاء بانتظام النسخ الاحتياطيةبيانات.في هذه الحالة، حتى لو أصبح جهاز الكمبيوتر الخاص بك هدفًا لهجوم فيروس الفدية، فستتمكن من استعادة أي ملفات محذوفة.
3. لا تفتح رسائل البريد الإلكتروني من عناوين مشكوك فيها.سيحاول المهاجمون خداعك أثناء التثبيت البرمجيات الخبيثةأو محاولة الحصول على بيانات مهمة للهجمات. تأكد من إبلاغ متخصصي تكنولوجيا المعلومات إذا تلقيت أنت أو موظفوك رسائل بريد إلكتروني أو روابط مشبوهة.
4. استخدم موثوقًا برمجة. يلعب تحديث برامج مكافحة الفيروسات في الوقت المناسب دورًا مهمًا في حماية أجهزة الكمبيوتر من الإصابة. وبطبيعة الحال، تحتاج إلى استخدام المنتجات من الشركات ذات السمعة الطيبة في هذا المجال.
5. استخدم آليات لفحص الرسائل غير المرغوب فيها وحظرها.يجب فحص رسائل البريد الإلكتروني الواردة بحثًا عن التهديدات. من المهم حظر أي نوع من الرسائل التي تحتوي على روابط أو كلمات رئيسية تصيدية نموذجية في نصوصها.
6. تأكد من أن كافة البرامج محدثة.يعد العلاج المنتظم لنقاط الضعف في البرامج ضروريًا لمنع الإصابة بالعدوى.

هل نتوقع هجمات جديدة؟

ظهر فيروس بيتيا لأول مرة في مارس 2016، ولاحظ المتخصصون الأمنيون سلوكه على الفور. أصاب فيروس بيتيا الجديد أجهزة الكمبيوتر في أوكرانيا وروسيا في نهاية يونيو 2017. ولكن من غير المرجح أن تكون هذه هي النهاية. وقال ستانيسلاف كوزنتسوف، نائب رئيس مجلس إدارة بنك سبيربنك، إن هجمات القراصنة باستخدام فيروسات الفدية المشابهة لـ Petya وWannaCry ستتكرر. وفي مقابلة مع تاس، حذر من أن مثل هذه الهجمات ستحدث بالتأكيد، ولكن من الصعب التنبؤ مسبقًا بالشكل والشكل الذي قد تظهر به.

إذا، بعد كل الهجمات السيبرانية التي حدثت، لم تتخذ بعد على الأقل الحد الأدنى من الخطوات لحماية جهاز الكمبيوتر الخاص بك من فيروس برامج الفدية، فقد حان الوقت للتعامل بجدية بشأن هذا الأمر.

فيروس "بيتيا":كيف لا يتم الإمساك به، وكيفية فك تشفيره من أين أتى - آخر الأخبار عن فيروس Petya Ransomware، الذي أصاب حوالي 300 ألف جهاز كمبيوتر في اليوم الثالث من "نشاطه" دول مختلفةالعالم، وحتى الآن لم يوقفه أحد.

فيروس بيتيا - كيفية فك التشفير وآخر الأخبار.بعد الهجوم على جهاز كمبيوتر، يطلب مبتكرو برنامج الفدية Petya فدية قدرها 300 دولار (بالبيتكوين)، ولكن لا توجد طريقة لفك تشفير فيروس Petya، حتى لو دفع المستخدم المال. يزعم المتخصصون في Kaspersky Lab، الذين رأوا اختلافات في الفيروس الجديد من Petit وأطلقوا عليه اسم ExPetr، أن فك التشفير يتطلب معرفًا فريدًا لتثبيت حصان طروادة معين.

في الإصدارات المعروفة مسبقًا من برامج التشفير المماثلة Petya/Mischa/GoldenEye، يحتوي معرف التثبيت على المعلومات اللازمة لذلك. في حالة ExPetr، هذا المعرف غير موجود، حسبما كتبت وكالة RIA Novosti.

فيروس "بيتيا" – من أين أتى، آخر الأخبار.طرح خبراء الأمن الألمان الإصدار الأول من مصدر برنامج الفدية هذا. في رأيهم، بدأ فيروس بيتيا في الانتشار عبر أجهزة الكمبيوتر عندما تم فتح ملفات M.E.Doc. هذا برنامج محاسبة يستخدم في أوكرانيا بعد الحظر المفروض على 1C.

وفي الوقت نفسه، تقول كاسبرسكي لاب إنه من السابق لأوانه استخلاص استنتاجات حول أصل ومصدر انتشار فيروس ExPetr. ومن الممكن أن يكون لدى المهاجمين بيانات واسعة النطاق. على سبيل المثال، عناوين البريد الإلكتروني من النشرة الإخبارية السابقة أو غيرها طرق فعالةاختراق أجهزة الكمبيوتر.

وبمساعدتهم، ضرب فيروس "بيتيا" أوكرانيا وروسيا، بالإضافة إلى دول أخرى، بكامل قوته. ولكن الحجم الحقيقي لهذا هجوم القراصنةسوف يكون واضحا في غضون أيام قليلة - التقارير.

فيروس "بيتيا": كيف لا نصاب به، وكيف نفك شفرته، ومن أين أتى - آخر الأخبارحول فيروس Petya Ransomware، الذي حصل بالفعل على اسم جديد من Kaspersky Lab - ExPetr.

منذ بضعة أشهر، اكتشفنا نحن ومتخصصون آخرون في مجال أمن تكنولوجيا المعلومات برنامجًا ضارًا جديدًا - بيتيا (Win32.Trojan-Ransom.Petya.A). بالمعنى الكلاسيكي، لم يكن برنامج تشفير، بل قام الفيروس ببساطة بمنع الوصول إلى أنواع معينة من الملفات وطالب بفدية. قام الفيروس بتعديل سجل التمهيد على القرص الصلب، وأعاد تشغيل جهاز الكمبيوتر بالقوة وأظهر رسالة مفادها أن "البيانات مشفرة - أهدر أموالك لفك التشفير". بشكل عام، يعتبر المخطط القياسي لفيروسات التشفير، باستثناء أن الملفات لم تكن مشفرة فعليًا. بدأت معظم برامج مكافحة الفيروسات الشائعة في تحديد وإزالة Win32.Trojan-Ransom.Petya.A بعد أسابيع قليلة من ظهوره. بالإضافة إلى ذلك، ظهرت تعليمات الإزالة اليدوية. لماذا نعتقد أن Petya ليس برنامج فدية كلاسيكيًا؟ يُجري هذا الفيروس تغييرات على سجل التمهيد الرئيسي ويمنع تحميل نظام التشغيل، كما يقوم أيضًا بتشفير جدول الملفات الرئيسية. ولا يقوم بتشفير الملفات نفسها.

ومع ذلك، ظهر فيروس أكثر تطوراً قبل بضعة أسابيع ميشا، على ما يبدو كتبها نفس المحتالين. يقوم هذا الفيروس بتشفير الملفات ويتطلب منك دفع ما بين 500 إلى 875 دولارًا لفك التشفير (في إصدارات مختلفة 1.5 - 1.8 بيتكوين). يتم تخزين تعليمات "فك التشفير" والدفع مقابل ذلك في الملفات YOUR_FILES_ARE_ENCRYPTED.HTML و YOUR_FILES_ARE_ENCRYPTED.TXT.

فيروس ميشا – محتويات ملف YOUR_FILES_ARE_ENCRYPTED.HTML

والآن، في الواقع، يقوم المتسللون بإصابة أجهزة الكمبيوتر الخاصة بالمستخدمين ببرنامجين ضارين: Petya وMischa. الأول يحتاج إلى حقوق المسؤول على النظام. أي أنه إذا رفض المستخدم منح Petya حقوق المسؤول أو قام بحذف هذه البرامج الضارة يدويًا، فإن Mischa يتدخل. لا يتطلب هذا الفيروس حقوق المسؤول، فهو برنامج تشفير كلاسيكي ويقوم بالفعل بتشفير الملفات باستخدام خوارزمية AES القوية ودون إجراء أي تغييرات على سجل التمهيد الرئيسي وجدول الملفات الموجود على القرص الصلب الخاص بالضحية.

لا تقوم البرامج الضارة Mischa بتشفير أنواع الملفات القياسية (مقاطع الفيديو والصور والعروض التقديمية والمستندات) فحسب، بل تقوم أيضًا بتشفير ملفات exe. الفيروس لا يؤثر فقط على الدلائل \Windows، \$Recycle.Bin، \Microsoft، \ موزيلا فايرفوكس،\الأوبرا،\ متصفح الانترنتو \Temp و\Local و\LocalLow و\Chrome.

تحدث العدوى بشكل رئيسي من خلال بريد إلكترونيحيث تصل رسالة تحتوي على ملف مرفق - مثبت فيروسات. ويمكن تشفيرها بموجب خطاب من مصلحة الضرائب، أو من المحاسب الخاص بك، كإيصالات مرفقة وإيصالات المشتريات، وما إلى ذلك. انتبه إلى امتدادات الملفات في مثل هذه الحروف - إذا كان ملفًا قابلاً للتنفيذ (.exe)، فمن المحتمل جدًا أن يكون حاوية تحتوي على فيروس Petya\Mischa. وإذا كان تعديل البرنامج الضار حديثًا، فقد لا يستجيب برنامج مكافحة الفيروسات لديك.

تحديث 30/06/2017: 27 يونيو نسخة معدلة من فيروس بيتيا (بيتيا.أ)هاجمت على نطاق واسع المستخدمين في أوكرانيا. وكان تأثير هذا الهجوم هائلا ولم يتم بعد حساب الأضرار الاقتصادية. وفي يوم واحد، أصيب عمل العشرات من البنوك وسلاسل البيع بالتجزئة والوكالات الحكومية والمؤسسات ذات أشكال الملكية المختلفة بالشلل. انتشر الفيروس بشكل رئيسي من خلال ثغرة أمنية في نظام التقارير المحاسبية الأوكراني MeDoc بأحدث تحديث أوتوماتيكيمن هذا البرنامج. وبالإضافة إلى ذلك، فقد أصاب الفيروس دولًا مثل روسيا وإسبانيا وبريطانيا العظمى وفرنسا وليتوانيا.

قم بإزالة فيروس Petya وMischa باستخدام منظف تلقائي

طريقة فعالة للغاية للتعامل مع البرامج الضارة بشكل عام وبرامج الفدية بشكل خاص. إن استخدام مركب وقائي مثبت يضمن الكشف الدقيق عن أي مكونات فيروسية إزالة كاملةبنقرة واحدة. ملحوظة، نحن نتحدث عنحول عمليتين مختلفتين: إزالة تثبيت العدوى واستعادة الملفات على جهاز الكمبيوتر الخاص بك. ومع ذلك، يجب بالتأكيد إزالة التهديد، نظرًا لوجود معلومات حول إدخال أحصنة طروادة للكمبيوتر الأخرى باستخدامه.

1. . بعد بدء تشغيل البرنامج، انقر فوق الزر ابدأ فحص الكمبيوتر(ابدأ المسح).
2. سيقدم البرنامج المثبت تقريرًا عن التهديدات المكتشفة أثناء الفحص. لإزالة كافة التهديدات المكتشفة، حدد الخيار إصلاح التهديدات(القضاء على التهديدات). ستتم إزالة البرامج الضارة المعنية بالكامل.

استعادة الوصول إلى الملفات المشفرة

كما ذكرنا سابقًا، يقوم برنامج الفدية Mischa بقفل الملفات باستخدام خوارزمية تشفير قوية بحيث لا يمكن استعادة البيانات المشفرة بموجة من العصا السحرية - دون دفع مبلغ فدية لم يُسمع به من قبل (يصل أحيانًا إلى 1000 دولار). لكن بعض الطرق يمكن أن تكون منقذة للحياة وتساعدك على استعادة البيانات المهمة. أدناه يمكنك التعرف عليهم.

برنامج الاسترداد التلقائيالملفات (فك التشفير)

هناك ظرف غير عادي معروف. تؤدي هذه العدوى إلى مسح الملفات الأصلية في شكل غير مشفر. وبالتالي فإن عملية التشفير لأغراض الابتزاز تستهدف نسخًا منها. وهذا يوفر فرصة لمثل هذا برمجةكيفية استعادة العناصر المحذوفة، حتى لو كانت موثوقية إزالتها مضمونة. يوصى بشدة باللجوء إلى إجراء استرداد الملفات، ففعاليته لا شك فيها.

نسخ الظل من المجلدات

يعتمد هذا النهج على إجراء Windows نسخة احتياطيةالملفات، والتي تتكرر في كل نقطة استرداد. شروط العمل الهامة هذه الطريقة: يجب تفعيل وظيفة "استعادة النظام" قبل الإصابة. ومع ذلك، فإن أي تغييرات يتم إجراؤها على الملف بعد نقطة الاستعادة لن تظهر في النسخة المستعادة من الملف.

دعم

هذا هو الأفضل بين جميع الأساليب غير الفدية. إذا تم استخدام إجراء النسخ الاحتياطي للبيانات إلى خادم خارجي قبل هجوم برنامج الفدية على جهاز الكمبيوتر الخاص بك، لاستعادة الملفات المشفرة، ما عليك سوى إدخال الواجهة المناسبة، فحدد الملفات الضروريةوبدء آلية استعادة البيانات من النسخة الاحتياطية. قبل إجراء العملية، يجب عليك التأكد من إزالة برنامج الفدية بالكامل.

التحقق من احتمال وجود مكونات متبقية لبرنامجي طلب الفدية Petya وMischa

قد يؤدي التنظيف اليدوي إلى فقدان أجزاء فردية من برامج الفدية التي يمكن أن تفلت من الإزالة ككائنات مخفية نظام التشغيلأو عناصر التسجيل. للتخلص من خطر الاحتفاظ الجزئي بالعناصر الضارة الفردية، قم بفحص جهاز الكمبيوتر الخاص بك باستخدام برنامج أمان موثوق. حزمة البرامج، متخصص في البرامج الضارة.

في 27 يونيو، تعرضت الدول الأوروبية لهجوم من فيروس طلب الفدية المعروف باسم Petya (في مصادر مختلفة، يمكنك أيضًا العثور على أسماء Petya.A، وNotPetya، وGoldenEye). يتطلب برنامج الفدية فدية بعملة البيتكوين تعادل 300 دولار. العشرات من الأوكرانية الكبيرة و الشركات الروسيةكما تم تسجيل انتشار الفيروس في إسبانيا وفرنسا والدنمارك.

من أصيب؟

أوكرانيا

وكانت أوكرانيا من أوائل الدول التي تعرضت للهجوم. وبحسب التقديرات الأولية فقد تعرضت نحو 80 شركة وهيئة حكومية للهجوم:

واليوم، لا يقوم الفيروس بتشفير الملفات الفردية فحسب، بل يمنع المستخدم تمامًا من الوصول إلى القرص الصلب. يستخدم برنامج الفدية أيضًا ملفًا مزيفًا التوقيع الالكتروني Microsoft، والتي توضح للمستخدمين أن البرنامج تم تطويره بواسطة مؤلف موثوق به ويضمن أنه آمن. بعد إصابة جهاز الكمبيوتر، يتغير الفيروس رمز خاص، مطلوب لتشغيل نظام التشغيل. ونتيجة لذلك، عند بدء تشغيل الكمبيوتر، لا يتم تحميل نظام التشغيل، بل التعليمات البرمجية الضارة.

كيف تحمي نفسك؟

1. أغلق منافذ TCP 1024-1035 و135 و445.
2. قم بتحديث قواعد بيانات منتجات مكافحة الفيروسات الخاصة بك.
3. نظرًا لأن Petya يتم توزيعه باستخدام التصيد الاحتيالي، فلا تفتح رسائل البريد الإلكتروني من مصادر غير معروفة (إذا كان المرسل معروفًا، فتحقق مما إذا كان البريد الإلكتروني آمنًا)، وكن منتبهًا للرسائل الواردة من الشبكات الاجتماعية من أصدقائك، حيث قد يتم اختراق حساباتهم.
4. فايروس البحث عنملف جيم:\ويندوز\بيرفكوإذا لم يتم العثور عليه، فإنه يخلق ويبدأ العدوى. إذا كان هذا الملف موجودًا بالفعل على الكمبيوتر، فسينتهي الفيروس من العمل دون الإصابة. تحتاج إلى إنشاء ملف فارغ بنفس الاسم. دعونا نلقي نظرة فاحصة على هذه العملية.

- هاكر فانتاستيك (@hackerfantastic)

يمتلك كل مستخدم تقريبًا برامج مكافحة فيروسات على أجهزة الكمبيوتر الخاصة به، ولكن في بعض الأحيان يظهر فيروس طروادة أو فيروس يمكنه تجاوز أفضل حماية وإصابة جهازك، والأسوأ من ذلك، تشفير بياناتك. هذه المرة، أصبح فيروس طروادة المشفر "بيتيا" أو كما يطلق عليه أيضًا "بيتيا" مثل هذا الفيروس. إن معدل انتشار هذا التهديد مثير للإعجاب للغاية: ففي غضون يومين تمكن من "زيارة" روسيا وأوكرانيا وإسرائيل وأستراليا والولايات المتحدة الأمريكية وجميع الدول الأوروبية الكبرى وغيرها. لقد أثر بشكل رئيسي على مستخدمي الشركات (المطارات ومحطات الطاقة وصناعة السياحة)، لكن الأشخاص العاديين تأثروا أيضًا. من حيث الحجم وطرق التأثير، فهو يشبه إلى حد كبير المثير مؤخرًا.

أنت بالتأكيد بحاجة إلى حماية جهاز الكمبيوتر الخاص بك حتى لا تصبح ضحية لبرنامج الفدية الجديد "Petya" من طروادة. سأخبرك في هذا المقال ما هو نوع فيروس "بيتيا" وكيف ينتشر وكيف تحمي نفسك من هذا التهديد. بالإضافة إلى ذلك، سنتطرق إلى مشكلات إزالة طروادة وفك تشفير المعلومات.

ما هو فيروس بيتيا؟

أولا، يجب أن نفهم ما هو بيتيا. فيروس Petya هو برنامج ضار وهو عبارة عن حصان طروادة من نوع برامج الفدية (برامج الفدية). تم تصميم هذه الفيروسات لابتزاز أصحاب الأجهزة المصابة للحصول على فدية منهم مقابل البيانات المشفرة. على عكس Wanna Cry، لا تزعج Petya نفسها بتشفير الملفات الفردية - فهي على الفور تقريبًا "تزيل" كامل الملفات الأقراص الصلبةتماما.

الاسم الصحيح للفيروس الجديد هو Petya.A. بالإضافة إلى ذلك، يطلق عليه Kaspersky اسم NotPetya/ExPetr.

وصف فيروس بيتيا

بعد ضرب جهاز الكمبيوتر الخاص بك قيد التشغيل أنظمة ويندوز، تقوم Petya بالتشفير على الفور تقريبًا MFT(جدول الملفات الرئيسي – الجدول الرئيسي للملفات). ما هو هذا الجدول المسؤول عن؟

تخيل أن القرص الصلب الخاص بك هو أكبر مكتبة في الكون بأكمله. أنه يحتوي على مليارات الكتب. إذًا كيف تجد الكتاب المناسب؟ فقط من خلال فهرس المكتبة. هذا هو الكتالوج الذي يدمره بيتيا. وبالتالي، تفقد أي إمكانية للعثور على أي "ملف" على جهاز الكمبيوتر الخاص بك. ولكي نكون أكثر دقة، بعد "عمل" بيتي، فإن القرص الصلب لجهاز الكمبيوتر الخاص بك سوف يشبه المكتبة بعد الإعصار، حيث تتطاير قصاصات الكتب في كل مكان.

وبالتالي، على عكس Wanna Cry، الذي ذكرته في بداية المقال، فإن Petya.A لا يقوم بتشفير الملفات الفردية، ويقضي قدرًا كبيرًا من الوقت في هذا - فهو ببساطة يحرمك من أي فرصة للعثور عليها.

بعد كل تلاعباته، يطلب فدية من المستخدمين - 300 دولار أمريكي، والتي يجب تحويلها إلى حساب بيتكوين.

من خلق فيروس بيتيا؟

عند إنشاء فيروس Petya، تم استخدام استغلال ("ثقب") في نظام التشغيل Windows يسمى "EternalBlue". أصدرت Microsoft تصحيحًا "يغلق" هذه الثغرة منذ عدة أشهر، ومع ذلك، لا يستخدم الجميع نسخة مرخصة من Windows ويقومون بتثبيت جميع تحديثات النظام، أليس كذلك؟)

تمكن منشئ "Petya" من استغلال إهمال المستخدمين من الشركات والأفراد بحكمة وكسب المال منه. لا تزال هويته مجهولة (ومن غير المرجح أن تكون معروفة)

كيف ينتشر فيروس بيتيا؟

ينتشر فيروس Petya غالبًا تحت ستار المرفقات برسائل البريد الإلكتروني وفي الأرشيفات التي تحتوي على برامج مصابة مقرصنة. يمكن أن يحتوي المرفق على أي ملف على الإطلاق، بما في ذلك صورة أو ملف mp3 (كما يبدو للوهلة الأولى). بعد تشغيل الملف، سيتم إعادة تشغيل جهاز الكمبيوتر الخاص بك وسيقوم الفيروس بمحاكاة فحص القرص بحثًا عن أخطاء CHKDSK، وفي هذه اللحظة سيقوم بتعديل سجل التمهيد لجهاز الكمبيوتر الخاص بك (MBR). بعد ذلك، سترى جمجمة حمراء على شاشة جهاز الكمبيوتر الخاص بك. من خلال النقر على أي زر، يمكنك الوصول إلى النص الذي سيُطلب منك فيه الدفع مقابل فك تشفير ملفاتك ونقل المبلغ المطلوب إلى محفظة البيتكوين.

كيف تحمي نفسك من فيروس بيتيا؟

• الشيء الأكثر أهمية والأساسي هو جعل تثبيت التحديثات لنظام التشغيل الخاص بك قاعدة! هذا مهم بشكل لا يصدق. افعلها الآن، لا تتأخر.
• انتبه جيدًا لجميع المرفقات المرفقة بالرسائل، حتى لو كانت الرسائل من أشخاص تعرفهم. أثناء الوباء، من الأفضل استخدام مصادر بديلة لنقل البيانات.
• قم بتنشيط خيار "إظهار امتدادات الملفات" في إعدادات نظام التشغيل - وبهذه الطريقة يمكنك دائمًا رؤية امتداد الملف الحقيقي.
• تمكين "التحكم في حساب المستخدم" في إعدادات Windows.
• يجب عليك تثبيت واحد منهم لتجنب العدوى. ابدأ بتثبيت تحديث لنظام التشغيل، ثم قم بتثبيت برنامج مكافحة الفيروسات - وستكون أكثر أمانًا من ذي قبل.
• تأكد من عمل "نسخ احتياطية" - احفظ جميع البيانات المهمة عليها الثابت الخارجيالقرص أو إلى السحابة. بعد ذلك، إذا اخترق فيروس Petya جهاز الكمبيوتر الخاص بك وقام بتشفير جميع البيانات، فسيكون من السهل عليك تهيئة محرك الأقراص الثابتة وتثبيت نظام التشغيل مرة أخرى.
• تحقق دائمًا من الملاءمة قواعد بيانات مكافحة الفيروساتبرنامج مكافحة الفيروسات الخاص بك. الجميع مضادات الفيروسات الجيدةمراقبة التهديدات والرد عليها في الوقت المناسب من خلال تحديث توقيعات التهديد.
• قم بتثبيت الأداة المساعدة المجانية Kaspersky Anti-Ransomware. سوف يحميك من تشفير الفيروسات. تثبيت هذا البرنامج لا يعفيك من الحاجة إلى تثبيت برنامج مكافحة الفيروسات.

كيفية إزالة فيروس بيتيا؟

كيفية إزالة فيروس Petya.A من القرص الصلب الخاص بك؟ هذا سؤال مثير للاهتمام للغاية. الحقيقة هي أنه إذا قام الفيروس بحظر بياناتك بالفعل، فلن يكون هناك شيء لحذفه. إذا كنت لا تخطط لدفع برامج الفدية (وهو ما لا ينبغي عليك فعله) ولن تحاول استعادة البيانات الموجودة على القرص في المستقبل، فيمكنك ببساطة تهيئة القرص وإعادة تثبيت نظام التشغيل. وبعد ذلك لن يبقى أي أثر للفيروس.

إذا كنت تشك في وجود ملف مصاب على القرص الخاص بك، فقم بفحص القرص الخاص بك باستخدام أحد هذه الملفات، أو قم بتثبيت برنامج مكافحة الفيروسات Kaspersky وقم بإجراء فحص كامل للنظام. وأكد المطور أن قاعدة بيانات التوقيع الخاصة به تحتوي بالفعل على معلومات حول هذا الفيروس.

Petya.A فك التشفير

يقوم Petya.A بتشفير بياناتك باستخدام خوارزمية قوية جدًا. على هذه اللحظةلا يوجد حل لفك تشفير المعلومات المحظورة. علاوة على ذلك، يجب ألا تحاول الوصول إلى البيانات في المنزل.

مما لا شك فيه أننا جميعًا نحلم بالحصول على برنامج فك التشفير المعجزة Petya.A، ولكن ببساطة لا يوجد مثل هذا الحل. لقد ضرب الفيروس العالم منذ عدة أشهر، ولكن لم يتم العثور على علاج لفك تشفير البيانات التي قام بتشفيرها.

لذلك، إذا لم تصبح بعد ضحية لفيروس بيتيا، فاستمع إلى النصيحة التي قدمتها في بداية المقال. إذا فقدت السيطرة على بياناتك، فلديك عدة خيارات.

• دفع النقود. ليس هناك فائدة من القيام بهذا!وقد اكتشف الخبراء بالفعل أن منشئ الفيروس لا يستعيد البيانات، ولا يمكنه استعادتها، نظرا لتقنية التشفير.
• قم بإزالة القرص الصلب من جهازك، ثم ضعه بعناية في الخزانة واضغط على أداة فك التشفير لتظهر. بالمناسبة، يعمل Kaspersky Lab باستمرار في هذا الاتجاه. تتوفر برامج فك التشفير المتاحة على موقع No Ransom.
• تهيئة القرص وتثبيت نظام التشغيل. ناقص - سيتم فقدان كافة البيانات.

بيتيا.فيروس في روسيا

في روسيا وأوكرانيا، تعرضت أكثر من 80 شركة للهجوم والإصابة حتى وقت كتابة هذا التقرير، بما في ذلك شركات كبيرة مثل Bashneft وRosneft. عدوى البنية التحتية من هذا القبيل الشركات الكبيرةيتحدث عن خطورة فيروس Petya.A. ليس هناك شك في أن طروادة برامج الفدية سوف تستمر في الانتشار في جميع أنحاء روسيا، لذا يجب عليك الاهتمام بأمن بياناتك واتباع النصائح الواردة في المقالة.

Petya.A وAndroid وiOS وMac وLinux

يشعر العديد من المستخدمين بالقلق بشأن ما إذا كان فيروس Petya يمكن أن يصيب أجهزتهم التحكم بالاندرويدو دائرة الرقابة الداخلية. سأسارع إلى طمأنتهم - لا، لا يمكن ذلك. وهو مخصص لمستخدمي نظام التشغيل Windows فقط. الأمر نفسه ينطبق على عشاق Linux و Mac - يمكنك النوم بسلام، لا شيء يهددك.

خاتمة

لذلك ناقشنا اليوم بالتفصيل فيروس جديدبيتيا أ. لقد فهمنا ماهية حصان طروادة هذا وكيف يعمل، وتعلمنا كيفية حماية أنفسنا من العدوى وإزالة الفيروس، ومكان الحصول على برنامج فك تشفير Petya. آمل أن تكون المقالة ونصائحي مفيدة لك.