Die Ukrainer werden von einem gefährlichen Computervirus angegriffen: Microsoft sagte, wie man sich schützt

Die Liste der Prestige -Software -Opfer fällt mit anderen Serien von Cyberangriffen zusammen, die mit russischen Hackern verbunden sind. Unternehmen in der Ukraine und Polen haben das Prestige Warrior -Programm angegriffen, das Experten mit Russland in Verbindung bringen. Microsoft untersuchte die Vorfälle und präsentierte ihre Schlussfolgerungen auf der offiziellen Website. Die Hacker verstärkten das Computervirus am 11.

Oktober nächsten Tages nach dem massiven Beschuss der Ukraine durch russische Truppen. Die Opfer haben eine Stunde lang schädliche Software gestoßen, und ihre Liste fällt mit Foxblade (auch bekannt als Hermeticwiper) und anderen Russland -Angriffen zusammen. Das Programm erhält Zugriff auf Benutzerkonten, verschlüsselt dann Dateien, fügt eine "ENC" -Einweiterung hinzu und erfordert eine Erlösung im Austausch für ein Entschlüsselungstool.

Für Versuche, eines von ihnen zu öffnen, öffnet ein "Notizblock" -Dokument mit einem Hinweis von Übeltätern: "Versuchen Sie nicht, Ihre Dateien mit Software von Drittanbietern zu entschlüsseln-kann zu einem irreversiblen Informationsverlust führen. Versuchen Sie nicht, verschlüsselt zu ändern oder umzubenennen, um zu ändern oder umzubenennen. Dateien. Sie werden sie verlieren ".

Microsoft identifizierte mehrere Merkmale des Prestige -Virus, was Cybersicherheitsexperten zuvor nicht aufgetreten ist. Sie glauben, dass die Verteilung der Krieger auf ein Unternehmen kein häufiges Ereignis in der Ukraine ist und der Angriff nicht mit einer der 94 aktiven Gruppen zusammenhängt, die Microsoft verfolgen.

Trotz ähnlicher Bereitstellungsmethoden unterscheidet sich die Prestige -Kampagne von den jüngsten verheerenden Angriffen mit Aprilaxe (ArguePatch)/Caddywiper oder Foxblade (Hermeticwiper), die in den letzten zwei Wochen mehrere kritische Infrastruktur der Ukraine berührt haben. Das Virus verwendet die Cryptopp C ++ -Bibliothek, um AES jede entsprechende Datei zu verschlüsseln.

Im Verschlüsselungsprozess verwendet eine Version des Gehäuses die folgenden RSA X509, die streng programmiert ist (jede Version von Prestige kann einen eindeutigen offenen Schlüssel haben). Die Software löscht auch die Sicherungen der Dateien, so dass sie mithilfe der Systemwiederherstellungsfunktion nicht gestoppt werden können. Laut Microsoft beginnen die Angreifer das Virus nach vorläufigen Hacking und Zugriff auf die Anmeldeinformationen.