Главная > В мире / Железо > Вирус-вымогатель ExPetr атакует компьютеры всего мира

Вирус-вымогатель ExPetr атакует компьютеры всего мира


29-06-2017, 00:33. Разместил: FIELD LINE
Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.

Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30. «Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.
Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Обновлено в 14:44. Корпорация Microsoft заявила информационному агентству RNS, что её антивирус способен защитить пользователей от вредоносного ПО Petya. По данным софтверного гиганта, шифровальщик использует несколько методов распространения, включая тот, который блокируется ранее выпущенным обновлением MS17-010.

Установить данный апдейт, если это ещё не было сделано, рекомендует и «Лаборатория Касперского». Также она советует запретить исполнение файла perfc.dat и запуск утилиты PSExec. В российской антивирусной компании утверждают, что уже работают над дешифратором, который не только сможет вернуть доступ к закодированным файлам, но и будет распознавать будущие модификации вируса.

Тем временем Petya продолжает распространяться по миру и теперь «направляется» в Азию. Как сообщает Bloomberg, из-за атаки уже наблюдались перебои в работе терминала компании A.P. Moller-Maersk в Джавахарлал Неру — крупнейшем контейнерном порту Индии. Из-за вируса управление грузопотоком пришлось перевести в ручной режим, так как автоматизированная система оказалась выведена из строя. Признаки активности вируса замечены и в Китае, но пока крупных сбоев там не обнаружено, сообщили в Qihoo 360 Technology Co.

Обновлено в 16:05. По высказанному ещё вчера мнению украинской киберполиции, распространение вируса Petya началось именно в этой стране через программу документооборота M.E.Doc после того, как та завершила автоматическое обновление. И хотя разработчики приложения первоначально отрицали такую возможность, Microsoft, проанализировавшая ситуацию, утверждает, что имеет веские доказательства проведения некоторых атак с использованием канала доставки апдейтов M.E.Doc.

Аналогичной точки зрения придерживаются и специалисты из ESET, установившие, что источником эпидемии Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометированное обновление программы M.E.Doc, широко распространённой в украинских компаниях. Последнее обстоятельство послужило ключевой причиной быстрого распространения вируса по организациям страны.

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Для защиты от Petya компания ESET рекомендует использовать комплексное антивирусное ПО, обновлённое до последней версии и с актуальными вирусными базами, установить все патчи для Windows и проверить систему на защищённость от эксплойта EternalBlue. Если же заражение уже произошло, то первым делом необходимо отключить инфицированные рабочие станции от корпоративной сети. При этом платить злоумышленникам не следует, тем более, что, как мы писали ранее, адрес электронной почты, с которого хакеры якобы должны прислать ключ для дешифрования файлов, заблокирован.

Обновлено в 20:26. Пока в России и Украине — странах, первыми принявших на себя удар вируса Petya, — устраняют последствия его активности, эксперты из Check Point говорят о трендах, которые демонстрирует атака данного зловреда. По словам главы представительства компании в России и СНГ Василия Дягилева, появление Petya показало, насколько быстро могут создаваться и распространяться на глобальном уровне новые версии вредоносного ПО. При этом многие организации сейчас не готовы к превентивной защите для предотвращения подобных угроз. Простое их обнаружение, работавшее раньше, теперь не помогает — блокировать подозрительный контент и трафик нужно ещё до его попадания в сеть.

Тем временем, как и после атаки WannaCry, специалисты в области компьютерной безопасности предупреждают, что подобные вирусы будут встречаться всё чаще. «Больше не стоит вопрос, станет ли та или иная организация жертвой вымогательского ПО. Вопрос в том, как скоро это произойдёт», — заявил гендиректор компании Druva Джасприт Сингх (Jaspreet Singh).

К слову, на данный момент ущерб от Petya ещё не подсчитан. Однако, как написала в своём твиттере компания «Роснефть», в числе первых подвергшаяся атаке 27 июня, её производственные процессы нарушены не были. «Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно», — говорится в сообщении, опубликованном днём в среду, 28 июня.

Обновлено в 22:16. Из различных уголков планеты продолжают поступать новости о «достижениях» вируса-вымогателя Petya. На этот раз сообщается о проблемах у TNT Express — одной из крупнейших международных компаний экспресс-доставки, расположенной в Нидерландах. Сервис продолжает функционировать, но в его работе наблюдаются задержки. «В настоящее время мы не можем оценить финансовые последствия данного сбоя, но они могут быть существенными», — прокомментировали ситуацию в корпорации FedEx, владеющей TNT Express.
Вернуться назад