IT 
28.06.2017

Petya дошел до Австралии: в России нашли вакцину от неизлечимого вируса

Новый «кибершантажист» шагает по планете: от Чернобыльской АЭС до портового терминала в Италии, но только не в Америку

На этот раз вирус неизлечим: если он зашифровал данные на компьютере и показал на экране требование о выкупе в $300, то с данными можно распрощаться навсегда. Как отмечают специалисты, компьютерный вымогатель был создан и внедрен в сети еще год назад. Между тем в предыдущем вирусе такого типа, WannaCry, который поразил сотни тысяч компьютеров на планете, присутствовал вредоносный код, разработанный американскими спецслужбами. Возможно, есть он и в Petya.

....  Эксперты вирусной лаборатории ESET составили рейтинг стран, которые сильнее всего поразил Petya. Его возглавила Украина, Россия оказалась на 14-м месте
Фото: «БИЗНЕС Online»

ВИРУС РАСПРОСТРАНИЛСЯ ПО ПЛАНЕТЕ

Меньше чем за сутки шифровальщик-вымогатель Petya поразил компьютерные сети компаний и госучреждений более чем в 80 компаниях России и Украины. Вирус требует перевести $300 в биткоинах на счет злоумышленников, однако на поверку почтовый адрес, на который нужно отправить письмо с подтверждением перевода, оказался заблокирован. Так что отправка денег вымогателем — пустая затея.

Первыми были атакованы украинские пользователи. Эпидемия оказалась самой масштабной за всю историю страны — сначала вирус поразил сети крупнейших энергокомпаний, затем распространился на компьютеры кабинета министров, банков, сотовых операторов, СМИ и даже систему мониторинга радиационного фона на Чернобыльской АЭС, которой пришлось перейти на ручное управление.

Затем Petya перекинулся на Россию. Одними из первых организаций, которые были им поражены, оказались крупнейший российский нефтедобытчик «Роснефть» и его «дочка» «Башнефть». Среди пострадавших — металлургический холдинг Evraz, компания Mondelez, которая выпускает шоколадки Alpen Gold и Milka, производитель кормов для животных Royal Canin и банк «Хоум Кредит». Банк России предположил, что объектом атаки стали и другие российские банки.

Чжэн Вэньбинь Вредоносное ПО начало распространяться и в Китае, но масштабных сбоев в Поднебесной пока не было, отметил Чжэн Вэньбинь из компании Qihoo 360 Technology

Затем Petya продолжил свое победное шествие по миру. Им оказались заражены компьютеры в странах ЕС от Великобритании до Испании, впоследствии вирус добрался до США. Утром 28 июня пришли сообщения о том, что Petya остановил работу одного из трех контейнерных терминалов порта имени Джавахарлала Неру в Мумбаи, и о взломе сайта австралийской компании Cadbury. Вредоносное ПО начало распространяться и в Китае, но масштабных сбоев в Поднебесной пока не было, отметил Чжэн Вэньбинь, главный специалист по защите информации компании Qihoo 360 Technology.

... Вирус требует перевести $300 в биткоинах на счет злоумышленников, однако почтовый адрес оказался заблокирован. Так что отправка денег вымогателям — пустая затея
Фото: «БИЗНЕС Online»

КОМПЬЮТЕРНЫЕ КРИМИНАЛИСТЫ НАШЛИ ПРОТИВОЯДИЕ

Специалисты по компьютерной безопасности компании Group-IB отметили, что создатели Petya использовали стойкий алгоритм шифрования и нет возможности создать инструмент его расшифровки. Таким образом, не получив от злоумышленников ключа, данные на зашифрованном компьютере восстановить невозможно.

По словам президента ГК InfoWatch Натальи Касперской, что сам вирус-шифровальщик появился более года назад. Он распространяется в основном через фишинговые сообщения. Касперская заметила, что первый вариант вируса Petya требовал права администратора. «Если права администратора не давались, он был бессилен, поэтому объединился с некоторым другим вымогателем-вирусом, Misha, который имел права администратора. Это была улучшенная версия, резервный шифровальщик», — рассказала президент ГК InfoWatch.

Сергей Никитин, заместитель руководителя лаборатории по компьютерной криминалистике Group-IB, подтвердил: «Сам вирус Petya не новый, новым является механизм его распространения. Скорее всего, вирус распространяется методом социальной инженерии — сотрудники компаний открывали вредоносные вложения в письмах, полученных по электронной почте. После заражения Petya распространяется в локальной сети так же, как известный вирус WannaCry, атаковавший в мае этого года 300 тысяч компьютеров в 150 странах мира». Жертвами WannaCry, в частности, стали сети автогиганта Renault во Франции, железнодорожного оператора Deutsche Bahn, Национальной службы здравоохранения Великобритании и ряда госучреждений в России.

Наталья Касперская По словам президента ГК InfoWatch Натальи Касперской, вирус-шифровальщик появился более года назад. Он распространяется в основном через фишинговые сообщения Фото: prav.tatarstan.ru

Компания Positive Technologies, которая специализируется на разработке ПО в сфере информационной безопасности, считает, что новый вирус хотя и схож по своим «повадкам» с вымогателем WannaCry, но работает несколько иначе. Использованный в нем набор инструментария «позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен».

Эксперты компании «разобрали» вирус и нашли возможность локально отключить шифровальщик в случае, если он еще не «убил» компьютер. Если вирус смог наделить себя административными правами в Windows, то он проверяет наличие пустого файла с именем perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\. Поскольку вирус срабатывает через несколько часов после заражения, любой пользователь может создать подобный файл, например, с помощью программы «Блокнот». Также специалисты Positive Technologies рекомендуют запустить команду bootrec /fixMbr для восстановления работоспособности Windows. Позже аналогичные методы лечения опубликовала и Symantec.

... Теоретически агентство АНБ само могло создать вирус для того, чтобы оценить устойчивость компьютерных сетей России к подобного рода программам
Фото: ©Владимир Астапкович, РИА «Новости»

АМЕРКАНСКАЯ «ЦИФРОВАЯ БОМБА» НЕ СРАБОТАЛА?

Как отмечает Group-IB, с технической̆ точки зрения WannaCry — достаточно примитивная вредоносная программа. «Причина столь масштабного заражения была в том, что злоумышленники использовали шифровальщик в связке с кибероружием EternalBlue агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers, — считают они. — Инцидент с WannaCry — это не первый случай, когда утечкой утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, — злоумышленникам удалось взять под контроль более 47 тысяч компьютеров OC Windows в США, Великобритании и на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак, шпионажа и т. д.».

Разработчики Petya также могли использовать одну из «кибербомб» производства АНБ. Теоретически агентство само могло создать этот вирус для того, чтобы оценить устойчивость компьютерных сетей России к подобного рода программам. Напомним, 23 июня газета The Washington Post (WP) опубликовала расследование «Тайная борьба Обамы с целью наказать Путина за предвыборную атаку», посвященное разработке американскими спецслужбами «цифровой бомбы» для внедрения в российскую компьютерную инфраструктуру. Предполагается, что ее можно будет дистанционно активировать в случае обострения отношений США с Россией. Таким образом, администрация Барака Обамы уже на окончании срока его президентства начала создавать цифровое оружие возмездия, считая, что российские хакеры ведут кибератаки на США.

Как пишет WP, ФБР обнаружило попытки проникнуть в электронную избирательную систему в 21 штате, а американские спецслужбы рассматривали ответные действия в виде кибератаки на отдельные отрасли российской экономики или полного отключения российских компьютерных сетей. «Нашей первоочередной задачей было помешать им сделать максимум, на который они (российские хакеры прим. ред.) могли быть способны, — сказал высокопоставленный чиновник предыдущей администрации Белого дома. — Мы решили, что после выборов у нас будет достаточно времени для наказания». Все исходили из того, что президентом станет Хиллари Клинтон и демократы останутся у власти на третий срок, пишет WP. Победа Дональда Трампа стала для них шоком.

Президент РФ Владимир Путин еще до выхода расследования WP не исключил, что за попытками оказать влияние на выборы президента США в 2016 году могли стоять американские хакеры. Об этом он сказал в интервью американскому каналу NBC. «Хакеры могут быть где угодно. Они могут в России быть, в Азии, в Америке, Латинской Америке. Это могут быть хакеры, кстати сказать, в Соединенных Штатах, которые очень ловко и профессионально перевели, как у нас говорят, стрелку на Россию», — сказал он.

Возможно, Трамп подхватил выпавшее из рук Обамы знамя борца с «российскими кибертеррористами». На днях он обвинил своего предшественника в бездействии. «Если администрации Обамы задолго до выборов (президента прим. ред.) в 2016 году доложили, что Россия пытается вмешаться (в американские выборы — прим. ред.), почему не было никаких действий? Сконцентрируйтесь на них, а не на Т (Трампе — прим. ред.)», — написал он, как водится, в своем «Твиттере».

Если это так и вирус был создан именно для данных целей, то атака не удалась. Зато американцы получили информацию, какие страны оказались наиболее уязвимыми перед вирусом. В их число попали и союзники США. Эксперты вирусной лаборатории ESET составили рейтинг стран, которые сильнее всего поразил Petya. Его возглавила Украина, в десятку также вошли Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия оказалась на 14-м месте.

Печать
Нашли ошибку в тексте?
Выделите ее и нажмите Ctrl + Enter
Комментарии (3) Обновить комментарииОбновить комментарии
  • Анонимно
    28.06.2017 14:55

    Копировать надо данные в "зеркале" или хотя бы с интервалом и бэкап системы делать вовремя. Тогда будет вам счастье.

    • Анонимно
      28.06.2017 18:19

      это не обязательно поможет. некоторые версии шифровальщиков отключают сервисы бэкапа и уничтожают копии.
      так же надо учитывать, что время восстановления - это время простоя.
      но резервное копирование всё же надо делать)

  • Анонимно
    28.06.2017 21:58

    Слушайте , я не думаю, что мелкософт не оставил отдельную дверь для себя в своей операционке :)
    И в любое время можно подключиться к фактически любому компьютеру в сети интернет :D просто должен быть ключ....

Оставить комментарий
Анонимно
Все комментарии публикуются только после модерации с задержкой 2-10 минут. Редакция оставляет за собой право отказать в публикации вашего комментария. Правила модерирования
[ x ]

Зарегистрируйтесь на сайте БИЗНЕС Online!

Это даст возможность:

Регистрация

Помогите мне вспомнить пароль