Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Pētnieki ziņo par jaunu šifrējošo izspiedējvīrusu Satana

Pētnieki ziņo par jaunu šifrējošo izspiedējvīrusu Satana

Šogad ziņas par izspiedējvīrusiem nāk kā no karalauka: pētnieki gandrīz katru dienu atrod jaunas izspiedējprogrammas un atmasko jaunas viltības, ar kuru palīdzību vīrusu rakstītāji cenšas pēc iespējas ātrāk tikt pie naudas. Bet līdzko eksperti gūst panākumus cīņā ar līdzšinējo ļaunprogrammatūru, ļaundari tūliņ izgudro jaunus izspiešanas paņēmienus.

 

 

Nesen ir parādījies kārtējais viltīgais izspiedējs ar draudīgu nosaukumu Satana. Šis izspiedējs dara uzreiz divus darbus: šifrē datus upura datorā un pārveido pamatpalaišanas ierakstu (Master Boot Record, MBR), tādējādi liedzot upurim piekļūt datora operētājsistēmai.

Mēs nesen jau rakstījām par Trojas zirgu, kurš arī pārveido MBR — tas ir bēdīgi slavenais Petya. Satana uzvedība ir līdzīga, jo tas tāpat kā Petya ievieto savu kodu MBR palaišanas ieraksta vietā. Bet ir arī atšķirība: ja Petya šifrē galveno failu tabulu (Master File Table, MFT), tad Satana šifrē oriģinālo MBR saturu. Turklāt diska datnes Petya nešifrē pats, bet atstāj citas ļaunprogrammatūras, sava „drauga” Mischa ziņā; Satana gan tiek galā ar abiem darbiem.

MBR jeb pamatpalaišanas ieraksts ir cietā diska daļa, kurā glabājas informācija par to, kāda failu sistēma izmantota katrā no diska sadaļām un no kuras sadaļas datoram jāielādē operētājsistēma. Bet ja MBR ir bojāts, tad dators nezina, kurā diska sadaļā atrodas operētājsistēma. Tāpēc operētājsistēma netiek palaista. Tieši to šajā gadījumā izmanto ļaundari: šifrējošā izspiedējprogramma Satana modificē MBR un ievieto tur savu paziņojumu, bet oriģinālo MBR saturu šifrē un noglabā.

 

Šifrējošā izspiedējvīrusa Satana paziņojums.

Šifrējošā izspiedējvīrusa Satana paziņojums.

Lai saņemtu šifra atslēgu un tiktu pie savas Windows operētājsistēmas, upurim jāšķiras no 0,5 bitmonētām (aptuveni 295 EUR). Ja upuris samaksās izpirkuma maksu, kibernoziedznieks sola „atlaist brīvībā” MBR, atšifrēt pamatpalaišanas ierakstu un atlikt to atpakaļ vecajā vietā.

Savukārt upura datorā Satana fona režīmā skenē visus lokālos un tīkla diskus, meklēdams datnes ar paplašinājumiem .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm, bet pēc tam tās šifrē, pievienojot e-pasta adresi un trīs secīgas rakstzīmes _ datnes nosaukuma sākumā (piemēram, nosaukums test.jpg pārvēršas par Sarah_G@ausi.com___test.jpg).

Upurim jāraksta uz šo e-pasta adresi, lai saņemtu izpirkuma maksāšanas instrukciju, bet pēc samaksāšanas viņam atsūtīs šifra atslēgu. Pagaidām pētniekiem ir zināmas sešas e-pasta adreses, kuras izmanto ļaundari.

Patiesībā pusi Satana nodarījuma lietotājs var pārvarēt pats un, ja viņam ir vajadzīgās zināšanas, var atgūt piekļuvi sistēmai. Blogā The Windows Club ir detalizēta pamācība, kā „salabot” MBR, izmantojot Windows OS restaurēšanas funkciju. Bet tā noderēs tikai pieredzējušiem lietotājiem, kuri prot izmantot Windows komandrindu un lietot utilītprogrammu bootrec.exe, kamēr parastam lietotājam tas var būt pārāk sarežģīts uzdevums. Bet ja jūs arī tiksiet klāt pie Windows, tad ziniet, ka līdzeklis pret Satana otro funkciju, datņu šifrēšanu, vēl nav atrasts.

Pagaidām Satana vēl nav paguvis plaši izplatīties, turklāt pētnieki norāda, ka šīs ļaunprogrammatūras kodā ir kļūdas. Taču iespējams, ka drīz trūkumi tiks novērsti, un jaunais „kaitēklis” kļūs ļoti bīstams. Kaspersky risinājumi identificē jauno izspiedējprogrammu kā Trojan-Ransom.Win32.Satan.

 

AntiVirus.LV iesaka:

  1. Parūpējieties par regulāru Jūsu vērtīgo failu (dokumentu, fotogrāfiju u.c.) rezerves kopiju izveidi. Tas palīdzēs ne tikai jebkura šifrējošā izspiedējvīrusa incidenta gadījumā, bet arī cita veida avārijas situācijās.
  2. Parūpējieties par savlaicīgu programmatūras atjaunināšanu, jo daudzos gadījumos datoru inficēšana ar šifrējošajiem izspiedējvīrusiem un citu ļaunprogrammatūru notiek, izmantojot ievainojamības programmatūrā. Tur kur tas ir iespējams, iestatiet automātisku programmatūras atjaunināšanos, ja vien tas nav pretrunā ar kādiem Jūsu apsvērumiem.
  3. Lietojiet drošu aizsardzību! AntiVirus.LV iesaka Kaspersky produktus, kas neskaitāmos testos un praksē ir pierādījuši sevi kā visefektīvākie aizsardzībā pret visu veidu ļaunprogrammatūru. Turklāt tajos ir ietvertas tehnoloģijas, kas jau ir parādījušas sevi kā nepārvarama barjera pat visjaunākajiem šifrējošajiem izspiedējvīrusiem, kas šifrē datus no Windows vides, piemēram, Locky u.c. Šīs tehnoloģijas ir ietvertas drošības risinājumu ražotāja Kaspersky Lab mājas un biznesa produktos Windows platformai. Tos Jūs varat pilnfunkcionāli izmēģināt 30 dienas bez maksas, saņemot arī bezmaksas vietējo tehnisko atbalstu, vai iegādāties uzreiz, izmantojot šī brīža akcijas.

Lasiet arī: Īpaša aizsardzība pret šifrējošo ļaunprogrammatūru

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

  1. Kam pis MBR? MBRu var ierakstīt pa jaunu tik ilgā laikā cik ielādējas LiveCD/USB un palaižas BootIce.
    Dati ir jātur NASā kam ir snapshoti un sambas musorņiks, darbstacijām ir jābūt noklonētām.
    Man kautkā šķiet ka visi tie cryptovīrusu upuri ir to pelnijuši. Nezkapēc manis instalētajiem Windowsiem tie vīrusi tā nelīp?
    Nu ja cilvēks uztic savu kompi kaukādam pajolēnam, vai pats izliekas par kompistu, tad viņš ir pelnijis škirties no saviem sūda failiem.

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

71 + = 77

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu