logo_geo
რა არის გამომძალველი ვირუსი Petya და როგორ დავიცვათ მისგან კომპიუტერები?
- +

5 ივლისი. 2017. 01:57



27 ივნისს ინტერნეტში გავრცელდა ე.წ. გამომძალველი ვირუსი, რომელიც კომპიუტერში მოხვედრის შემდეგ მონაცემებს შიფრავს და მომხმარებელს კომპიუტერზე წვდომის სანაცვლოდ 300 დოლარის გადარიცხვას სთხოვს. ვირუსი უკრაინიდან გავრცელდა და შემდეგ 64 ქვეყნის კომპიუტერები დააზიანა, მათ შორის საქართველოშიც. ახალი ვირუსი ჰგავს პროგრამა Petya-ს, რომელიც ერთი წლის წინ გაჩნდა და იმავე მოწყვლად ადგილებს იყენებს, რასაც ვირუსი WannaCry, რომელმაც 2017 წლის მაისში ათასობით კომპიუტერი დააზიანა. 

 

რა არის ვირუსის ნამდვილი სახელი?


კონკრეტული სახელწოდება ახალ ვირუსს არ აქვს. მედია და კომპანიები, რომლებიც საინფორმაციო უსაფრთხოების საკითხებზე მუშაობენ, მას Petya-ს უწოდებენ, იმ გამომძალველი ვირუსის სახელს, რომელიც ერთი წლის გაჩნდა. ახალი ვირუსი მართლაც ჰგავს Petya-ს, თუმცა სპეციალისტები ამბობენ, რომ მისგან განსხვავებით, ის არამხოლოდ ბლოკავს, არამედ შიფრავს კიდეც დისკის მონაცემებს, ასევე ლოკალურ ქსელში გავრცელების დამატებითი მექანიზმები გააჩნია.


როგორ აზიანებს ახალი ვირუსი კომპიუტერებს?


ვირუსი, Windows-ის ოპერატიული სისტემის მქონე კომპიუტერში მოხვედრისთანავე, ინტერნეტიდან ტვირთავს დეკოდერს და ცდილობს მყარი დისკის იმ ნაწილის დაიზანებას, სადაც კომპიუტერის გადატვირთვისთვის აუცილებელი მონაცემებია შენახული. ამ ნაწილს Master boot record (MBR) ეწოდება. თუკი ვირუსი მიზანს მიაღწევს, ეკრანი ლურჯდება და გადატვირთვის შემდეგ Windows-ის ნაცვლად ჩნდება სტანდარტული გზავნილი თხოვნით - შეამოწმოთ მყარი დისკი და არ გამორთოთ კომპიუტერი.  


სინამდვილეში, ვირუსი გატყუებთ. ის ინიღბება, როგორც დისკის ტესტირების სისტემური პროგრამა და პარალელურად შიფრავს ფაილებს, მაგალითად მონაცემთა ბაზას და საქმისწარმოებისთვის აუცილებელ სხვა ფაილებს. როდესაც ინფორმაციის გაშიფვრის პროცესი სრულდება, მომხმარებელი ხედავს გზავნილს, რომ ის გამომძალველი პროგრამის მსხვერპლი გახდა. მონაცემთა კოდზე წვდომის მისაღებად, მან ბოროტმოქმედებს ბიტკოინებით 300 დოლარი უნდა გადაუხადოს.  


გარდა ამისა, კომპიუტერში მოხვედრის შემდეგ, ვირუსი ლოკალური ქსელის სხვა ადგილების დაზიანებასაც ცდილობს.

 

რა დააზიანა ვირუსმა დღემდე?


ვირუსის გავრცელება 2017 წლის 27 ივლისს, უკრაინიდან დაიწყო. მან დააზიანა უკრაინის მთავრობის, რკინიგზის, კიევის მეტროპოლიტენის, რამდენიმე ბანკის, მობილური კომპანიების, მედიასაშუალებების რედაქციები, ასევე ჩერნობილის ატომურ-ენერგეტიკული სადგურის კომპიუტერული ქსელი. კიევმა კიბერშეტევაში რუსეთი დაადანაშაულა.


თავად რუსეთში ვირუსმა დააზიანა მსხვილი კომპანიები, მათ შორის, "როსნეფტი", ბანკები და სხვა დაწესებულებები.


ამის შემდეგ, ვირუსმა ევროპულ ორგანიზაციებს შეუტია, მათ შორის, დიდი ბრიტანეთის სარეკლამო კომუნიკაციების ჰოლდინგს WPP Group-ს, დანიაში - ლოგისტიკურ კომპანია Maersk-ს; ასევე ინდოეთში ჯავახარლალ ნერუს სახელობის უმსხვილეს პორტს. არსებული მონაცემებით, 28 ივნისის საღამოსთვის, 64 ქვეყნის 12,5 ათასი კომპიუტერი დავირუსდა.


საქართველოში ვირუსი 27 ივნისს გავრცელდა. და მისი პირველი სამიზნე ფოთის პორტში მომუშავე ერთ-ერთი უცხოური კომპანია გახდა. ვირუსმა Petya-მ პრობლემები შეუქმნა საქართველოს პარლამენტის IT სისტემასაც. ვირუსის გამო დაიბლოკა პარლამენტარების სამსახურებრივი ელექტრონული ფოსტის მისამართები.


როგორ ვრცელდება ვირუსი?


27 ივნისს გაჩნდა მოსაზრება რომ ვირუსს Petya/exPetr-ს პროგრამა M.E.Doc-ის განახლებული ვერსია მოიცავდა. ამ პროგრამას უკრაინაში ბუღალტერიის წარმოებისთვის იყენებენ.


სპეციალისტების თქმით, ტრანსნაციონალური ეკონომიკის პირობებში ვირუსი იოლად, რამდენიმე წუთში გავრცელდა ერთი ოფისიდან მეორეში... თუმცა ექსპერტები არ აზუსტებენ, როგორ მოხვდა ის იმ კომპანიების კომპიუტერებში, რომლებიც M.E.Doc-ს არ იყენებენ.   


სავარაუდოდ, ის ან Windows-ის მოწყვლადობის ხარჯზე გავრცელდა, როგორც ეს WannaCry-ის შემთხვევაში მოხდა, ან Windows-ში ჩატვირთული, თუნდაც ლეგიტიმური "უტილიტების" PSexec და WMIC-ის საშუალებით, რომლებსაც ნორმალურ პირობებში კომპიუტერული ინფრასტრუქტურის ადმინისტრირებისთვის იყენებენ. სპეციალისტების თქმით, Petya/exPetr-ის შემთხვევაში, სოციალური ინჟინერიის გამოყენებაზე ლაპარაკი არ არის: ვირუსის გავრცელებისთვის ელექტრონული ფოსტა და "ფიშინგური" ბმულები არ გამოუყენებიათ.

 

როგორ დავიცვათ თავი ვირუსისგან?


პირველ რიგში, საჭიროა Windows-ის განახლება. თუკი თქვენ ძველი ოპერაციული სისტემა გაქვთ, პროგრამა თქვენით განაახლეთ. ეს დაგიცავთ იმისგან, რომ ვირუსი სისტემის მოწყვლადი ადგილების გზით არ გავრცელდება. თუკი თქვენ ანტივირუსული პროგრამული უზრუნველყოფა გაქვთ, განაახლეთ "სიგნატურები". სპეციალისტების რჩევაა ასევე, ჩამოტვირთოთ უფასო "ხელსაწყო" (უტილიტი) გამომძალველი ვირუსების აღმოსაჩენად.


სპეციალისტების რეკომენდაციაა ასევე, რომ დაბლოკოთ ზოგიერთი ვებგვერდი, და ასეთ შემთხვევაში, ვირუსი ვერ შეძლებს კოდის გამშიფრავის ჩამოტვირთვას. დავირუსებისგან თავდაცვის კიდევ ერთი საშუალებაა, შექმნა შთაბეჭდილება, თითქოს კომპიუტერი უკვე დავირუსებულია. ამისათვის საჭიროა ჩვეულებრივი Notepad-ი, სპეციალისტები ამ ხერხს "წნევის ნივრით მკურნალობას" უწოდებენ.


თავის დაზღვევის მიზნით, შექმენით მონაცემთა ბაზის ასლი (Backup copy) და არცერთ შემთხვევაში არ გადაურიცხოთ ფული გამომძალველს - ეს, ხშირ შემთხვევაში, მაინც უშედეგოა, რადგან ელფოსტა დაბლოკილია და ე.წ. შიფრის გასაღებს (რითაც კომპიუტერზე წვდომა აღგიდგებათ) მაინც ვერ მიიღებთ.


 

წყარო : wyaro
big_banner
არქივი