Новый вирус-шифровальщик Petya продолжает грязное дело своего предшественника WannaCry и массово заражает компьютеры пользователей.
Днем 27 июня "Петя" атаковал около 80 организаций в Украине и в России. Позднее сообщения о хакерских атаках поступили из Европы и Индии. По предварительным данным, аналогичным вирусом-вымогателем были заражены компьютерные сети в Нидерландах, Франции и Испании.
Создатель использованного для мощной кибератаки вируса Petya решил помочь со взломом своего изобретения
На следующий день после начала масштабной атаки вируса-шифровальщика Petya впервые за полгода дал о себе знать его создатель. Разработчик вредоносного ПО, называющий себя Янусом, появился в Twitter с предположением, что его изобретение удастся взломать. Ранее среди экспертов распространилось предположение, что под охватившую планету вирусную атаку могло быть замаскировано тестирование кибероружия или попытка вывести из строя инфраструктуру конкретного государства.По данным The Daily Beast, ранним утром в среду, когда глобальная атака Petya уже была приостановлена, разработчик вируса написал в Twitter: "Мы вернулись и рассматриваем NotPetya. Возможно, его удастся взломать нашим личным ключом?" Издание отмечает, что продавать вирус другим хакерам его разработчик начал в марте 2016 года. С декабря он не подавал о себе никаких вестей.По данным эксперта по безопасности, известной под псевдонимом Hasherezade, Янус - единственный обладатель исходного кода Petya, отмечается в статье. "Исходник так никуда и не просочился. Его могли продать, но я так не считаю", - считает собеседница издания, статью которого перевела InoPressa.По мнению автора статьи, запись Януса в Twitter косвенно доказывает его непричастность к произошедшей 27 июня атаке. Ранее эксперты высказали предположение, что под кибератаку с использованием Petya на самом деле могло быть замаскировано тестирование кибероружия спецслужбами какой-либо страны.Также предполагалось, что за действиями распространителей вируса могла скрываться попытка вывести из строя критическую инфраструктуру Украины, которая в наибольшей степени пострадала от вирусной атаки. Этого мнения придерживается основатель провайдера кибербезопасности Comae Technologies Маттье Суше. "Это кто-то, кто хочет отключить Украину и создать видимость того, что поработал вирус-вымогатель. Мотив политический - так же, как в декабре с электросетью ", - уверен эксперт.Ранее стало известно, что на Украине, которая первой пострадала от распространения вредоносной программы, вирус Petya изначально распространялся через программу M.E. Doc, которая пришла на замену российского софта для бухгалтерии "1С", после того как президент Петр Порошенко ввел санкции против российских IT-компаний.Программа M.E. Doc была установлена в сотнях государственных учреждений и коммерческих организаций на Украине, и именно поэтому, по мнению экспертов, кибератака имела такой масштабный характер. В результате заражения шифровальщиком на Украине из строя вышли компьютерные сети аэропортов, железнодорожных вокзалов, банков, операторов сотовой связи, энергетических компаний, АЭС и госучреждений.Кроме того, главный эксперт ООН по киберпреступности Нил Уолш предполагал, что главным мотивом распространителей вируса были не деньги. Специалист не исключил, что вирусная атака могла быть организована на уровне государства.При этом вирус, использовавшийся в ходе атаки, был основан на Petya, но сильно модифицирован. В "Лаборатории Касперского" новую версию шифровальщика назвали NotPetya.Также эксперты компании выяснили, что жертвы вируса не смогут вернуть доступ к зашифрованным данным на своем компьютере даже после выплаты выкупа вымогателям. Платить злоумышленникам бессмысленно, поскольку у них все равно нет возможности расшифровать данные.
Как работает страшный вирус Petya
Вирус-вымогатель, который блокирует доступ к данным и требует 300 долларов в биткоинах за разблокировку, известен в различных модификациях еще с 2016 года.
Вредоносная программа распространяется через спам-письмо. В частности, первые версии Petya маскировались под резюме. Когда пользователь открывал зараженное письмо, на экране появлялась Windows-программа, требовавшая прав администратора.
Если невнимательный пользователь соглашался предоставить программе соответствующие права, то вирус переписывал загрузочную область жесткого диска и показывал "синий экран смерти", предлагающий в срочном порядке перезагрузить компьютер.
Как отмечают эксперты Malwarebytes Labs, на этом этапе жесткий диск еще не зашифрован и данные можно спасти, выключив компьютер и подключив жесткий диск к другому компьютеру, чтобы скопировать информацию без потери.
После перезагрузки Petya автоматически запускает программу, маскирующуюся под утилиту CHKDSK, которая, впрочем, не проверяет жесткий диск на предмет ошибок, а шифрует его.
После шифрования компьютер показывает черный экран с сообщением о том, что пользователь стал жертвой вируса-вымогателя Petya. Хакеры требуют 300 долларов в биткоинах за восстановление доступа к данным.
Как бороться с вирусом Petya
В случае подозрения на заражение специалисты советуют не перезагружать компьютер (вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере). Нужно загрузить «патч» с сайта Microsоft (программу, которая «латает» код: устраняет уязвимости, которые позволяли вирусу вносить изменения в работу программы) и сделать резервные копии важных данных.
В "Лаборатории Касперского" выяснили, что выплата выкупа создателям вируса ExPetr не поможет вернуть зашифрованные данные
Выплата требуемого выкупа создателям вируса-шифровальщика ExPetr не поможет пострадавшим от его атаки пользователям вернуть свои файлы. К такому выводу пришла компания "Лаборатория Касперского".
Как отмечается в сообщении компании, исследователи проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после шифрования файлов на зараженном компьютере у создателей вируса уже нет возможности расшифровать данные.
"Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае ExPetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные", - говорится в сообщении компании.
В связи с этим обстоятельством эксперты "Лаборатории Касперского" предупредили о бессмысленности выплаты выкупа хакерам, поскольку это не поможет пользователям вернуть свои файлы.
Вирусом Petya.A уже заражены тысячи компьютеров
В Украине была поражена правительственная сеть, в России - компании "Роснефть", Mars, Nivea и другие. В Кремле заявили, что их вирус не затронул. Между тем Киев возложил ответственность за атаку на российские спецслужбы, назвав происходящее элементом гибридной войны.
По данным Group-IB, вирус Petya.A блокирует компьютеры и не дает запустить операционную систему. За возобновление работы и расшифровку файлов он требует выкуп в размере 300 долларов в биткоинах. Масштабная атака на нефтяные, телекоммуникационные и финансовые компании в России и в Украине была зафиксирована в районе 14:00 по Москве, передает ТАСС.
По данным "Лаборатории Касперского", шифровальщик использует поддельную электронную подпись Microsoft. Технология электронной подписи кода используется для того, чтобы показать пользователям, что программа разработана доверенным автором и гарантирует, что не нанесет вреда. В "Лаборатории Касперского" полагают, что вирус был создан 18 июня 2017 года.
Для прекращения распространения вируса в Group-IB рекомендуют немедленно закрыть TCP-порты 1024-1035, 135 и 445.
Вирус Petya захватывает мир
Эксперты уже сообщили, что новый вирус-вымогатель Petya распространился за пределы СНГ и поразил компьютерные сети по всему миру.
"Вирус Petya с контактным адресом Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. распространяется во всем мире, огромное количество стран затронуто", - написал на своей странице в Twitter руководитель международной исследовательской команды "Лаборатории Касперского" Костин Райю.
Он уточнил, что Petya использует поддельную цифровую подпись компании Microsoft. По данным Райю, хакеры-вымогатели уже получили по меньшей мере семь платежей в качестве выкупа за возвращение доступа к компьютерам, атакованным вирусом.
Журналисты агентства Reuters сообщают, что хакерская атака распространилась и на страны Европы. Вирус-вымогатель проник, в частности, в компьютерные сети Великобритании и Норвегии. Кроме того, следы Petya были обнаружены и в Индии.
По информации BNS, вирус добрался и до Литвы. "Мы получили несколько сообщений и проводим их расследования", - заявил официальный представитель Службы регулирования связи Ритис Райнис, отказавшись при этом назвать предприятия, которые могли пострадать от вируса.
Об атаках на свои системы сообщила британская рекламная фирма WPP. Голландская транспортная компания APM также заявила, что ее компьютеры заражены вирусом-вымогателем. При этом снимок экрана зараженного компьютера напоминает следы атаки, которая началась в Украине.
Сильно пострадала и Украина
В Украине среди прочих атаке подверглись банки "Ощадбанк", "Пивденный", ОТП, "Приватбанк"; аэропорт Борисполь, "Укрпочта", Киевский метрополитен, "Новая почта", "Укрэнерго", "Киевэнерго", сеть заправок ТНК, канал ATR, "Киевводоканал", официальный сайт правительства, ГП "Антонов", ГП "Документ", сообщает "112.Украина".
Национальный банк Украины (НБУ) уже предупредил банки и других участников финансового сектора о внешней хакерской атаке неизвестным вирусом. В НБУ также отметили, что в связи с кибератаками в финансовом секторе Украины были усилены меры безопасности и противодействия хакерским атакам, сообщается в пресс-релизе регулятора.
В "Укртелекоме" заявили, что компания продолжает предоставлять услуги доступа в интернет и телефонии, а компьютерные системы, сопровождающие колл-центр и центры обслуживания абонентов, не работают.
В аэропорту Борисполь, в свою очередь, предупредили, что "в связи с внештатной ситуацией возможны задержки рейсов". В настоящее время на официальном сайте аэропорта пассажирам недоступно онлайн-расписание рейсов.
В Киевском метрополитене заявили, что в результате атаки была заблокирована функция оплаты банковскими карточками. "Бесконтактные карты метро работают в обычном режиме", - отметили в столичной подземке.
В "Укрэнерго" сообщили, что в компании уже проводят расследование по факту кибератаки.
Кроме того, хакерская атака привела к отключению компьютерной системы мониторинга радиационного фона на Чернобыльской АЭС. Компьютеры под управлением Windows пришлось временно отключить, радиационный мониторинг промышленной площадки был переведен в ручной режим.
Как сообщили в Государственном агентстве по управлению зоной отчуждения, также не работает и официальный сайт Чернобыльской АЭС. "Все технологические системы станции работают в обычном режиме", - заверили в ведомстве.
Вирус Petya частично заблокировал работу Одесского городского совета. Ряд рабочих компьютеров, подключенных к локальной сети под управлением операционной системы Microsoft, не работает. Также определенные проблемы испытывают сотрудники ПАО "Одессагаз" и ПАО "Одессаоблэнерго".
Российская "Роснефть" была атакована вредоносным вирусом.
Компьютерные серверы "Роснефти" подверглись мощной хакерской атаке, сообщил официальный Twitter компании. Немногим позже начали поступать сообщения о заражении вирусом других компаний.
В связи с кибератакой "Роснефть" уже обратилась в правоохранительные органы. В компании надеются, что произошедшее никак не связано с текущими судебными процедурами.
"Ведомости" со ссылкой на два источника, близких к "Башнефти", пишут, что вирусом-вымогателем заражены все компьютеры "Башнефти". Вирус предупредил пользователей, что все их файлы заражены, а попытки самостоятельного восстановления бесполезны.
Центробанк РФ сообщил о выявлении случаев заражения компьютерных систем отечественных банков в результате хакерской атаки.
"Банк России сообщает о выявлении компьютерных атак, направленных на российские кредитные организации. По информации Банка России, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и нарушений предоставления сервисов клиентам не зафиксировано", - сообщили в пресс-службе регулятора (цитата по RNS).
В настоящее время Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России совместно с кредитными организациями работает над устранением последствий выявленных компьютерных атак, подчеркнули в Центробанке.
Хакерской атаке, предположительно, подверглись и все компьютеры корпоративного сервера московских ресторанов сети "Тануки - Ерш", передает ТАСС.
Пресс-служба Росэнергоатома сообщила, что все АЭС России работают в штатном режиме. Отсутствие следов хакерских атак подтвердили также в "Интер РАО", "Энел Россия", "Россетях" и "Системном операторе ЕЭС". В "Россетях" добавили, что для предотвращения возможных хакерских атак уже были приняты соответствующие меры.
До Petya был WannaCry
Предыдущая масштабная атака на организации по всему миру, орудием которой стал вирус WannaCry, произошла 12 мая. Вирус-шифровальщик массово выводил из строя компьютеры и требовал выкуп за дешифровку файлов пользователей. Сообщалось, что Россия больше других стран пострадала от WannaCry. Кибератака, в частности, затронула компанию "МегаФон", МВД, "Сбербанк", Минздрав. О попытке заражения сообщали в РЖД и Центробанке, где подчеркнули, что атака была безуспешной.
Эксперты американской компании Flashpoint пришли к выводу, что создателями вируса-вымогателя WannaСry могут быть выходцы из Южного Китая, Гонконга, Тайваня или Сингапура. В Group-IB подозревают хакеров из КНДР, которые к тому же пытались выдать себя за российских.
Как произошло заражение первых компьютеров
Специалисты компании Microsoft подтвердили вину софта "М.Е.Док" в хакерской атаке, которая вывела из строя компьютеры украинских служб и предприятий.
Согласно данным компании, в Украине были инфицированы 12,5 тысяч компьютеров. По словам специалистов Microsoft, хакерская атака была осуществлена при помощи вируса-вымогателя.
Отметим, что изначально такие данные в компании считали исключительно косвенными, но более детальное исследование подтвердило ранее поданное заявление украинской киберполиции - виноват M.E.Doc.
Весь процесс был запущен в 10.30 27 июня и до обеда угроза распространилась на компании по всей Украине, а произошло все после легального обновления программы для документооборота.
Также специалисты Microsoft отметили, что их бесплатный антивирус Windows Defender сумел распознать угрозу. Поэтому главный совет компании - всегда вовремя обновляйте операционную систему, ведь новые версии содержат в себе защиту от всех современных угроз.
В свою очередь, разработчик программного обеспечения M.E.Doc отрицает свою причастность к распространению вируса.
"Разработчик M.E.Doc как ответственный поставщик программного продукта следит за безопасностью и чистотой собственного кода. Для этого были заключены договора с крупными антивирусными компаниям. Также перед выпуском каждого обновления M.E.Doc передает в антивирусные компании свои файлы для анализа", - сказано в сообщении.
Актуальная версия пакета обновления была выпущена 22 июня, все файлы были проверены на наличие каких-либо вирусов, утверждают в M.E.Doc.
© md-eksperiment.org
Ключевые слова: Вирус Petya, вирус петя, новый вирус, WannaCry, заражение от вируса, как работает вирус петя, Защита от вируса, как защититься, атака вируса, Petya.A, вредоносная программа, вымогатель, спам-письмо, что делать, Как бороться, что делать, компьютер заражён, хакерская атака