[ 123 ] – Šifrētājs-izspiedējvīruss Petya – vai visi Windows atjauninājumi ir uzstādīti? (Papildināts)

2017. gada 27. jūnijā plašu datoru inficēšanās epidēmiju bija izraisījis šifrētājs – datu iznīcinātājs izspiedējvīruss Petya.A – mūsu biroja datorspeciālisti aicina parūpēties, lai Jūsu datoram būtu visi nepieciešamie drošības atjauninājumi!

No Ukrainas bija sācis izplatīties un 2017. gada 27. jūnijā plašu datoru inficēšanās epidēmiju bija izraisījis naudas izspiedējs – datu iznīcinātājs Petya.A , kas izmanto gandrīz tās pašas Windows ievainojamības, ko WannaCry.
It īpaši – EternalBlue.
Papildus tai naudas izspiedējs – datu iznīcinātājs Petya.A vēl izmanto arī EternalRomance Windows ievainojamību.

Par Wannacry izplatību mēs rakstījām pirms kāda laika: https://advokati-juristi.temida.lv/uzmanibu-izplatas-wannacry

Tā ir jau 2. naudas izspiedēja Trojas zirga Petjas epidēmija. Jau citas ļaundaru komandas nedarbs.
Bet pirmās versijas naudas izspiedēja Trojas zirga Petjas epidēmija bija 2016. gada aprīļa pirmajā pusē.
Jā – arī ļaunatūras programmu kods melnajā tirgū ir prece.

Atšķirībā no WannaCry, kas šifrē atsevišķus failus, naudas izspiedējs Trojas zirgs Petja sabojā un tad šifrē datoram pieslēgto datu nesēju (“disku”) NTFS failu sistēmu MFT sadaļas, kurās glabājās kritiski svarīga informācija gan par tajā esošajiem failiem, gan arī par to, kuros datu nesēja sektoros fiziski ir ierakstīti failos esošie dati. Nekur nesaglabājot šifrētos datus. Tāpat naudas izspiedējs Trojas zirgs Petya.A šifrē arī datoram pieslēgto datu nesēju galvenos ielādes ierakstus (MBR) tādā veidā padarot nepieejamu uz šiem datu nesējiem esošo informāciju.

Der arī atzīmēt, ka Vācijā esošais Posteo elektroniskā pasta serviss, saziņā ar Vācijas Valsts Informācijas Tehnoloģiju Drošības biroju ap 2017. gada 27. jūnija pusdienlaiku slēdza ļaundaru izmantoto elektroniskā pasta kastīti wowsmith123456@posteo.net , padarot neiespējamu saziņu ar šiem ļaundariem.
Šī saziņa bija nepieciešama, lai informētu ļaundarus par 300 ASV dolāru ekvivalenta ieskaitīšanu viņu Bitcoin naudas kontā, kas pēc ļaundaru noteikumiem bija nepieciešams, lai saņemtu no viņiem datu atšifrēšanai nepieciešamo paroli.

(2016. gada nogalē un 2017. gada sākumā “izprkuma maksājums kā servisa veids” kļuva par nozīmīgu kriminālā biznesa veidu. Pat ar kvalitatīvu “klientu” (upuru) apkalpošanu. Tā tas ir kļuvis apmēram 80% gadījumu, kad par šifrēto datu atgūšanu ir jāmaksā izpirkuma maksa. Bet ne vienmēr.
Trojas zirgs naudas izspiedējs – datu iznīcinātājs Petya.A ir spilgts piemērs, ka tas tā var arī nebūt.)

Protams – veidu kā atšifrēt naudas izspiedēja Trojas zirga Petjas (viņš ir arī NotPetya / SortaPetya / Petna) meklēja arī antivirusu laboratoriju speciālisti. Izanalizējot šī Trojas zirga atšifrēto programmas kodu gan “Kasperska laboratorijas” speciālisti, gan arī Comae Technologies pētnieks Metjū Sjūišs (Matt Suiche) nonāca pie secinājuma, ka Trojas zirgu Petya.A ir nekorekti nosaukt par šifrētāju, jo tā uzdevums ir ar iepriekšēju nolūku iznīcināt datus.

Tajā pat laikā datoru drošības pētnieks Amits Serpers (Amit Serper) piedāvāja veidu, kā nezaudēt uz datora esošos datus, ja tomēr ir notikusies datora inficēšanās ar naudas izspiedēju Trojas zirgu Petya.A.
Tā balstās uz failu vārdu aizņemšanu C:\Windows mapītē (tā ir cieti noteikta šī naudas izspiedēja Trojas zirga kodā), kuri ir nepieciešami, lai naudas izspiedējs Trojas zirgs Petja varētu sabojāt un šifrēt datora cietā diska (disku) NTFS failu sistēmu MFT sadaļas un tā (to) galveno ielādes ierakstu (MBR).
.bat failu, kas ģenerē tikai nolasāmus failus ar teksta saturu, kuri aizņem tos failu vārdus, kas ir nepieciešami, lai naudas izspiedējs Trojas zirgs Petya.A varētu šifrēt datus, ir iespējams lejupielādēt šeit .
Šo .bat failu ir jāpalaiž ar administratora tiesībām, pretējā gadījumā tas nedarbosies un ziņos par kļūdu.

Ir jāatzīst, ka tā ir īslaicīga pagaidu aizsardzība pret Petjas saimes šifrētājiem – naudas izspiedējiem Trojas zirgiem, arī tiem kas iznīcina datus – līdz to nākošā versija savam melnajam darbam izmantos citus failu vārdus.
Tomēr pamata aizsardzību datoram un datortīklam nodrošina savlaicīgi atjaunota antivīrusa datorprogramma, kurai ir laba reputācija, kā arī savlaicīga operētājsistēmas atjaunošana.

Kas attiecās uz Windows operētājsistēmām, daudzos gadījumos tās ir konfigurētas, lai šī atjaunošanās notiktu automātiski.
Bet tomēr var gadīties situācijas, kad tas nav tik vienkārši.
Sākot no situācijas, kad katru reizi ir jāpārliecinās, kā īpaši pasūtīta lietojumprogramma vai programmas “sadzīvo” ar Windows atjauninājumiem.
Kad uz datora esošā Windows operēfājsistēma ir izstrādāta sen laikus atpakaļ un vairs netiek atbalstīta.
Vai arī tā ir atnākusi pa ne tiem labākajiem ceļiem.

Šajā sakarā mūsu biroja datorspeciālisti ir sagatavojuši rekomendējamo atjauninājumu sarakstu.

Zemāk atrodās saites uz nepieciešamajiem atjauninājumiem, ja datora Windows operētājsistēmai nekāda atjaunināšanās nav bijusi.

Vai arī tā nav bijusi sen, kā Windows XP gadījumā.