Бұл шабуыл екі айдың ішінде екінші ірі төлем бағдарламасының шабуылы болып табылады, ол бүкіл әлемдегі компанияларға әсер етті. Сіз мамыр айында Ұлттық денсаулық сақтау ұйымы, Ұлыбританиядағы NHS, WannaCry деп аталатын зиянды бағдарлама арқылы жұқтырғанын есте сақтаған жөн. Бұл бағдарлама NHS және бүкіл әлем бойынша көптеген басқа ұйымдарды қозғады. WannaCry алғаш рет қоғамға жарияланды, егер NHS-мен байланысты құжаттар ашық болғанда сәуір айында Shadow Brokers деп аталатын хакерлердің онлайн режимінде жарияланды.
WannaCry бағдарламалық жасақтамасы, WannaCrypt деп аталатын, әлемнің 150-ден астам елінде орналасқан 230 000-нан астам компьютерге әсер етті. Сонымен қатар NHS, Telefonica, испандық телефон компаниясы және Германиядағы мемлекеттік теміржолдар да шабуылға ұшырады.
WannaCry сияқты, «Petya» Microsoft Windows-ты қолданатын желілерге тез тарайды. Алайда мәселе - бұл не? Біз сондай-ақ, не болып жатқанын және оны қалай тоқтатуға болатынын білгіміз келеді.
Қандай бағдарлама дегеніміз не?
Біріншіден, сізге түсіну керек - төлем құралын анықтау. Негізінен, төлем бағдарламасы - компьютерге немесе деректерге кіруге тыйым салу үшін қолданылатын кез келген зиянды бағдарлама. Содан кейін, сол компьютерге немесе оған қатысты деректерге қол жеткізуге тырысқанда, төлем жасамайынша оған жете алмайсыз. Өте нашар және дұрыс айтасыз!
Қандай бағдарлама жұмыс істейді?
Сонымен қатар, төлем құралы қалай жұмыс істейтінін түсіну маңызды. Компьютер зардап шегетін бағдарламамен зарарланған кезде ол шифрланады. Яғни, сіздің компьютеріңіздегі құжаттар кейіннен құлыпталып, төлем жасамай, оларды ашуға болмайды. Неғұрлым қиындықтарды азайту үшін төлемдерді файлдарды бұғаттан босату үшін қолдануға болатын сандық кілт үшін ақшамен емес, Bitcoin-те төлеуге болады. Егер сізде файлдарыңыздың сақтық көшірмесі болмаса, сізде екі таңдау бар: сіз бірнеше мың долларға әдетте екі жүз доллардан тұратын төлемді төлей аласыз немесе барлық файлдарға қол жеткізе алмайсыз.
«Петря» касса жұмыс істейді?
«Петя» төлем бағдарламасы көптеген төлем құралы сияқты жұмыс істейді. Ол компьютерді алады, содан кейін Bitcoin-те $ 300 сұрайды. Бұл жекелеген компьютер жұқтырғаннан кейін желі немесе ұйым арқылы тез таралатын зиянды бағдарлама. Бұл бағдарламалық жасақтама Microsoft Windows жүйесінің бөлігі болып табылатын EternalBlue осалдығын пайдаланады. Майкрософт осалдық үшін патчты шығарып тастаса да, оны әркім орнатқан емес. Сондай-ақ, төлем бағдарламасы компьютерде пароль болмаса, қол жетімді болатын Windows басқару құралдары арқылы таратылады. Егер зиянды бағдарлама бір жолмен жүре алмаса, ол автоматты түрде осы ұйымдардың арасында жылдам таралған тағы бір әрекетті жасайды.
Осылайша, киберқауіпсіздік сарапшыларының пікірінше, «Петя» WannaCry-ге қарағанда әлдеқайда оңайырақ.
Өзіңізді «Петядан» қорғаудың кез келген жолы бар ма?
Егер сізде «Петриядан» қорғанудың кез-келген жолы бар болса, сізді қызықтырған шығар. Көптеген ірі антивирустық компаниялар «Petya» зиянкесінің инфекциясын анықтауға көмектесу үшін ғана емес, сонымен қатар бағдарламалық қамтамасыз етуді жаңартқандарын мәлімдеді. Мысалы, Symantec бағдарламалық жасақтамасы «Петядан» қорғауды ұсынады және Kaspersky компаниясы клиенттердің зиянды бағдарламадан қорғауын қамтамасыз ету үшін барлық бағдарламалық жасақтамаларын жаңартты. Сонымен қатар, Windows жүйесін жаңартып, өзіңізді қорғауға болады. Егер сіз ештеңе істемесеңіз, кем дегенде Windows-тің осы EternalBlue осалдыққа қарсы қорғайтын наурыз айында шыққан маңызды патчын орнатыңыз. Бұл инфекцияның негізгі жолдарының бірін тоқтатады және болашақ шабуылдардан қорғайды.
Сондай-ақ, «Петя» зиянды бағдарламасының өршуі үшін басқа қорғаныс желісі де бар және ол жақында ғана ашылды. Зиянды бағдарлама c: \ дискісін тек perfc.dat деп аталатын тек оқу үшін тексереді. Егер зиянды бағдарлама бұл файлды тапса, ол шифрлауды іске асырмайды. Дегенмен, тіпті егер сізде бұл файл бар болса, ол шынымен зиянды бағдарлама инфекциясын болдырмайды. Ол зиянды бағдарламаны компьютердегі басқа компьютерлерге де тарата алады, тіпті егер пайдаланушы оны компьютерде байқамайды.
Неге бұл зиянды бағдарлама «Петя» деп аталады?
Бұл зиянды бағдарламаның неге «Петя» деп аталатынын білгіңіз келуі мүмкін. Шындығында, ол «Петя» деп техникалық түрде емес. Оның орнына, «Петя» деп аталатын ескі парақшамен көп кодты бөлісетін сияқты. Алғашқы аурудан кейін қауіпсіздік сарапшылары бұл екі төлем құралы бірінші кезекте ойлағандай емес екенін атап өтті. Сонымен, «Касперский Зертханасының» зерттеушілері зиянды бағдарламаны «NotPetya» (түпнұсқа!), Сондай-ақ «Petna» және «Pneytna» сияқты басқа да атауларға сілтеме жасай бастады. Сонымен қатар, басқа зерттеушілер бағдарламаны «Goldeneye», Румыниядан келген Bitdefender, оны шақыра бастады. Дегенмен, «Петя» қазірдің өзінде қалады.
«Петя» қай жерде болды?
«Петя» қайдан басталды деп ойлайсыз ба? Кейбір бухгалтерлік бағдарламаға енгізілген бағдарламалық жасақтамадан жаңарту механизмі арқылы басталған сияқты. Бұл компаниялар украиналық үкіметпен жұмыс істеді және үкімет осы нақты бағдарламаны пайдалануды талап етті. Сондықтан Украинадағы осындай көптеген компаниялар зардап шекті. Ұйымдарға банктер, үкіметтер, Киевтің метро жүйесі, ірі Киев әуежайы және мемлекеттік энергетикалық қызметтер кіреді.
Чернобыльдағы радиация деңгейін қадағалайтын жүйе төлем құралына да әсерін тигізді және ақырында дербес түрде қабылданды. Бұл мәжбүрлеп жұмыс істейтін қызметкерлер шығарылу аймағында сәулеленуді өлшеу үшін қолмен жұмыс істейтін құралдарды қолданады. Бұған қоса, зиянды бағдарламалармен толтырылған электрондық пошта қосымшаларын ұсынатын науқанмен зиянды бағдарлама инфекцияларының екінші толқыны болды.
«Петя» инфекциясы қаншалықты кең етек алды?
«Петя» төлем бағдарламасы кеңінен таралған және АҚШ пен Еуропада компаниялардың бизнесіне кедергі келтірді. Мысалы, АҚШ-та жарнамалық фирма WPP, Франциядағы құрылыс материалдары фирмасы Saint-Gobain, сондай-ақ Ресейдегі «Роснефть» және «Evraz» мұнай-металлургиялық фирмалары да зардап шекті. Питсбург компаниясы, Heritage Valley Health Systems, сондай-ақ «Petya» зиянды бағдарламасына шабуыл жасады. Бұл компания Питсбург аймағында ауруханалар мен күту залдарын басқарады.
Алайда, WannaCry-ге қарағанда, «Petya» зиянды бағдарлама желілер арқылы жылдам таралуына тырысады, бірақ ол желіден тыс таралуына тырыспайды. Бұл факт, шын мәнінде, бұл зиянды бағдарламаның әлеуетті құрбандарына көмектесті, себебі ол оны таратуды шектеді. Осылайша, жаңа инфекциялар қанша рет байқалғаны азайған сияқты.
«Петрияны» жіберетін киберқылмыскерлерге не себеп болды?
«Петя» бастапқыда анықталған кезде, зиянды бағдарламаның пайда болуы киберқылмыскердің киберқылмыспен қаруланған интернет-киберқылмыстың артықшылығын пайдалануы ғана. Дегенмен, қауіпсіздік қызметкерлері «Петя» зиянды бағдарламасының өршіп кетуіне біршама қараған кезде, төлемдерді төлеу сияқты кейбір механизмдер өте әуесқой болып табылады, сондықтан олар киберқылмыскерлердің артында тұрғанына сенбейді.
Біріншіден, «Петя» зиянкес бағдарламасымен бірге жеткізілген төлем құжаты кез келген зиянды бағдарлама құрбанына арналған бірдей төлем мекенжайын қамтиды. Бұл таңқаларлық жағдай, себебі прокат өзінің құрбандарының әрқайсысы үшін арнайы мекен-жай жасайды. Екіншіден, бағдарлама зардап шегушілерден «Петя» құрбандарына электрондық поштаның мекен-жайы анықталған кезде дереу тоқтатылған арнайы электрондық пошта мекенжайы арқылы шабуылдаушылармен байланыс орнатуды сұрайды. Бұл дегеніміз, егер адам 300 доллар төлеген болса да, олар шабуылдаушылармен байланыса алмайды және одан басқа, компьютерді немесе оның файлдарын құлыптау үшін шифрлау кілтіне қол жеткізе алмайды.
Сонда шабуылшы кім?
Киберқауіпсіздік сарапшылары кәсіпқой киберқылмыскердің «Петя» зиянды бағдарламасының артында екеніне сенбейді, сондықтан кім? Бұл жерде ешкім білмейді, бірақ оны шығарып жіберген адам немесе адамдар зиянды бағдарламаны қарапайым төлем құралы ретінде көргісі келеді, ал орнына бұл әдеттегі төлем құралдарына қарағанда әлдеқайда дискрективалық. Қауіпсіздік жөніндегі зерттеуші Николас Уивер «Петя» зиянды, жойғыш және қасақана шабуыл деп есептейді. Гругқа бара жатқан тағы бір зерттеуші, «Петя» түпнұсқасы «ақша» жасайтын қылмыстық ұйымның құрамына кіреді деп есептейді, бірақ бұл «Петя» солай істемейді. Олар екеуі де зиянды бағдарлама жылдам таралу және көп зақым келтіруі үшін жасалған деп келіседі.
Жоғарыда айтылғандай, Украина «Петря» тарапынан өте қатты соққыға жықты және ел саусақтарын Ресейде көрсетті. Бұл Украина үшін бұрынғы бірнеше кибершабуылдарға қатысты Ресейді айыптаған кезде таңқаларлық емес. Мұндай кибершабустардың бірі 2015 жылы орын алды және Украинаның энергетикалық торына бағытталды. Ақыр соңында, батыс Украинаның бөліктерін уақытша ешқандай биліксіз қалдырды. Алайда, Ресей Украинадағы кибершабуылдарға қатысудан бас тартты.
Сіз Тұмарлық құрбаны болғаныңызға сенсеңіз не істеу керек?
Сіз төлем құралы шабуылының құрбаны бола аласыз ба? Бұл нақты шабуыл компьютерге зиян тигізеді және компьютер дереу қайта жүктеле бастағанға дейін шамамен бір сағат күтеді. Егер бұл орын алса, дереу компьютерді өшіріп көріңіз. Бұл компьютердегі файлдардың шифрлануына жол бермеуі мүмкін. Сол кезде сіз машинаның файлдарын өшіруге тырысуға болады.
Егер компьютер қайта жүктемесін аяқтаса және төлем пайда болмаса, оны төлемеңіз. Есіңізде болсын, жәбірленушілерден ақпаратты жинау және кілт жіберу үшін пайдаланылатын электрондық пошта мекенжайы өшірілген. Сонымен, компьютерді Интернеттен және желіден ажыратыңыз, қатты дискіні қайта пішімдеңіз, содан кейін файлдарды қайта орнату үшін сақтық көшірмені пайдаланыңыз. Әрдайым файлдарыңыздың сақтық көшірмесін тұрақты түрде жүргізіп, әрдайым вирусқа қарсы бағдарламалық жасақтаманы жаңартып отырыңыз.