Платить запрошенный новым вирусом-вымогателем выкуп не имеет смысла, считают эксперты
Анализ, проведенный экспертами «Лаборатории Касперского», показал, что у жертв компьютерного вируса-шифровальщика Petya (он же NotPetya, он же ExPetr) изначально не было шансов вернуть свои файлы. Об этом говорится в посте, размещенном в блоге на сайте антивирусной компании.
Во вторник, 27 июня, началась эпидемия, вызванная очередным вирусом-шифровальщиком, которая, по мнению экспертов, «обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry».
«Существовали предположения о том, что это все тот же WannaCry (это не он), а также о том, что это какая-то вариация шифровальщика Petya (Petya.A, или Petya.D, или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr», — напоминают в «Лаборатории Касперского».
«Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт Eternal Blue, который был использован для распространения WannaCry», — указывают эксперты.
Они дают ряд советов корпоративным клиентам и пользователям домашних компьютеров (их угроза касается в меньшей степени, хотя защититься также не помешает, подчеркивают разработчики антивирусов), но при этом предупреждают, что если компьютер уже заражен данным шифровальщиком и файлы заблокированы, платить выкуп не имеет смысла.
«Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов», — объясняют в «Лаборатории Касперского».
Более того, у жертв вируса, как показал анализ компании, изначально не было шансов вернуть свои файлы, говорится в обновленной вечером в среду версии поста.
Исследователи поясняют, что проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
«Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае ExPetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов», — рассуждают эксперты.
«Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные», — заключают в «Лаборатории Касперского».
Анализ, проведенный экспертами «Лаборатории Касперского», показал, что у жертв компьютерного вируса-шифровальщика Petya (он же NotPetya, он же ExPetr) изначально не было шансов вернуть свои файлы. Об этом говорится в посте, размещенном в блоге на сайте антивирусной компании.
Во вторник, 27 июня, началась эпидемия, вызванная очередным вирусом-шифровальщиком, которая, по мнению экспертов, «обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry».
«Существовали предположения о том, что это все тот же WannaCry (это не он), а также о том, что это какая-то вариация шифровальщика Petya (Petya.A, или Petya.D, или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr», — напоминают в «Лаборатории Касперского».
«Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт Eternal Blue, который был использован для распространения WannaCry», — указывают эксперты.
Они дают ряд советов корпоративным клиентам и пользователям домашних компьютеров (их угроза касается в меньшей степени, хотя защититься также не помешает, подчеркивают разработчики антивирусов), но при этом предупреждают, что если компьютер уже заражен данным шифровальщиком и файлы заблокированы, платить выкуп не имеет смысла.
«Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов», — объясняют в «Лаборатории Касперского».
Более того, у жертв вируса, как показал анализ компании, изначально не было шансов вернуть свои файлы, говорится в обновленной вечером в среду версии поста.
Исследователи поясняют, что проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
«Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае ExPetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов», — рассуждают эксперты.
«Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные», — заключают в «Лаборатории Касперского».
Оффлайн
- Регистрация
- 01.07.17
- Сообщения
- 173
- Реакции
- 7
- Репутация
- 37
Однако все равно платить будут
Но активность упадет в разы
Оффлайн
bobikakyl
Заблокирован
- Регистрация
- 30.06.17
- Сообщения
- 51
- Реакции
- 2
- Репутация
- -5
не имеет, никто вам данные обратно уже не вернет
Оффлайн
- Регистрация
- 18.07.17
- Сообщения
- 107
- Реакции
- 5
- Репутация
- 3
задолбали эти вирусы, вечно все нужные файлы поедят
Хех, было ваше стало наше. Аккуратнее нужно быть вот и все.
- Регистрация
- 27.07.17
- Сообщения
- 50
- Реакции
- 2
- Репутация
- 7
Передам друзьям, чтобы если вдруг что то не платили, так как адреса заблоикрованы и все это безполезно. Спасибо ТС)
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.