Во вторник компьютеры десятков крупных компаний и госструктур подверглись атаке вируса-вымогателя Petya.A. Вирус шифрует информацию на жестком диске компьютера, после чего на экране появляется требование перевести 300 долларов в биткоинах в качестве выкупа за возобновление работы.
Что случилось
Сильнее всего от вируса пострадала Украина: помимо коммерческих структур, зараженными оказались компьютерные сети Укрпочты, Киевского метрополитена, аэропорта «Борисполь», Укрэнерго, нескольких банков и даже правительства Украины.
Советник министра внутренних дел Украины Антон Геращенко поспешил заявить, что под видом вируса-вымогателя была замаскирована кибератака, которую «организовали российские спецслужбы».
«Письмо, содержащее вирус, приходило в большинстве случаев по почте <…> Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали не опытные пользователи», — заявил он.
От вируса пострадали не только на Украине: вскоре об атаке с вымоганием денег заявило российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka), металлургическая компания Evraz, одним из бенефициаров которой является Роман Абрамович, российские отделение фирмы Royal Canin (производит форма для животных). Среди жертв кибератаки также оказались сети российских «Башнефти» и «Роснефти», при этом последней пришлось перейти на резервную систему управления производственными процессами. О нескольких случаях заражения IT-систем банковсообщили и в Цетробанке, однако они, по данным ЦБ, не нарушили работу кредитных организаций.
Что это за вирус-вымогатель
По предварительным данным, вирус Petya.A. распространяется только на компьютеры, на которых установлена операционная система Windows, а заражение, по одной из версий, происходит через фишинговые письма, которые отправляют злоумышленники.
По словам руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Костина Райю, вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность.
Вирус Petya появился не сегодня, а его предыдущие версии уже были известны специалистам по кибербезопасности. Аналитики компании Eset отмечают, что более старые варианты Petya вызывали «синий экран смерти», что заставляло жертву перезапустить компьютер, а после перезагрузки система начинала требовать выкуп.
Комментарии
Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевскийрассказал «Новой газете»,чтов компании сейчас изучают сценарии заражения и схему работы вредоносного кода.
«По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО», — отметил Закоржевский.
Чтобы избежать заражения, «Лаборатория Касперского» советует пользователям запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals (который предлагает технические средства для управления, диагностики, устранения неполадок и мониторинга всей среды Microsoft Windows).
Как рассказал «Новой газете» заместитель руководителя лаборатории криминалистики Group-IB Сергей Никитин, в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний в России и на Украине.
«Нужно понимать, что вирус, который шифрует информацию, и то, с помощью чего он распространяется, — две разные вещи. Сам вирус Petya около полугода уже существует. Видимо, кто-то из отечественных специалистов его первым описал, поэтому у него такое название. Сейчас поступают противоречивые данные по поводу его распространения. Есть данные, что он внутри сети умеет сам себя распространять, хотя изначально он распространялся через почтовое вложение», - рассказал он.
По словам Никитина, прошлые версии Petya шифровали специальный файл, который описывает другие файлы, это значит, что какие-то данные можно было извлечь.
«Сейчас мы работаем над анализом новой версии. Можно сразу отметить, что у вируса Petya есть много отличий от WannaCry», — добавил эксперт.
WannaCry. Как это было в мае
Месяц назад по всему миру прошла волна заражений вирусом-шифровальщиком WannaCry. Вирус так же зашифровывал все файлы на компьютере и требовал выкуп в 300 долларов. Первой от вируса пострадала Испания: там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, банки и энергетические компании. В общей сложности, от вируса пострадали около 200 тысяч компьютеров в более чем 100 странах мира, а ущерб от действий хакеров оценили в 1 млрд долларов. В России оказались заражены компьютеры Министерства внутренних дел и компании «Мегафон».
WannaCry удалось остановить специалисту по безопасности, который ведет блог MalwareTechBlog. Он обратил внимание, что WCry по неясной причине обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и попробовал зарегистрировать домен с таким именем. После этого к нему пришли десятки тысяч запросов, а распространение вируса прекратилось.
Спасибо, теперь на почту вам будут приходить письма лично от редакторов «Новой»