Во вторник компьютеры десятков крупных компаний и госструктур подверглись атаке вируса-вымогателя Petya.A. Вирус шифрует информацию на жестком диске компьютера, после чего на экране появляется требование перевести 300 долларов в биткоинах в качестве выкупа за возобновление работы.

Что случилось

Сильнее всего от вируса пострадала Украина: помимо коммерческих структур, зараженными оказались компьютерные сети Укрпочты, Киевского метрополитена, аэропорта «Борисполь», Укрэнерго, нескольких банков и даже правительства Украины.

Советник министра внутренних дел Украины Антон Геращенко поспешил заявить, что под видом вируса-вымогателя была замаскирована кибератака, которую «организовали российские спецслужбы».

«Письмо, содержащее вирус, приходило в большинстве случаев по почте <…> Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали не опытные пользователи», — заявил депутат.

От вируса пострадали не только на Украине: вскоре об атаке с вымоганием денег заявило российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka), металлургическая компания Evraz, одним из бенефициаров которой является Роман Абрамович, российские отделение фирмы Royal Canin (производит форма для животных). Среди жертв кибератаки также оказались сети российских «Башнефти» и «Роснефти», при этом последней пришлось перейти на резервную систему управления производственными процессами. О нескольких случаях заражения IT-систем банков сообщили и в Цетробанке, однако они, по данным ЦБ, не нарушили работу кредитных организаций.

Что это за вирус-вымогатель

По предварительным данным, вирус Petya.A. распространяется только на компьютеры, на которых установлена операционная система Windows, а заражение, по одной из версий, происходит через фишинговые письма, которые отправляют злоумышленники.

По словам руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Костина Райю, вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность.

Вирус Petya появился не сегодня, а его предыдущие версии уже были известны специалистам по кибербезопасности. Аналитики компании Eset отмечают, что более старые варианты Petya вызывали «синий экран смерти», что заставляло жертву перезапустить компьютер, а после перезагрузки система начинала требовать выкуп.

Комментарии

Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал «Новой газете»чтов компании сейчас изучают сценарии заражения и схему работы вредоносного кода.

«По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО», — отметил Закоржевский.

Чтобы избежать заражения, «Лаборатория Касперского» советует пользователям  запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals (который предлагает технические средства для управления, диагностики, устранения неполадок и мониторинга всей среды Microsoft Windows).

Как рассказал «Новой газете» заместитель руководителя лаборатории криминалистики Group-IB Сергей Никитин,  в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний в России и на Украине.

«Нужно понимать, что вирус, который шифрует информацию, и то, с помощью чего он распространяется, — две разные вещи. Сам вирус Petya около полугода уже существует. Видимо, кто-то из отечественных специалистов его первым описал, поэтому у него такое название. Сейчас поступают противоречивые данные по поводу его распространения. Есть данные, что он внутри сети умеет сам себя распространять, хотя изначально он распространялся через почтовое вложение», — рассказал он.

По словам Никитина, прошлые версии Petya шифровали специальный файл, который описывает другие файлы, это значит, что какие-то данные можно было извлечь.

«Сейчас мы работаем над анализом новой версии. Можно сразу отметить, что у вируса Petya есть много отличий от WannaCry», — добавил эксперт.

WannaCry. Как это было в мае

Месяц назад по всему миру прошла волна заражений вирусом-шифровальщиком WannaCry. Вирус так же зашифровывал все файлы на компьютере и требовал выкуп в 300 долларов. Первой от вируса пострадала Испания: там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, банки и энергетические компании. В общей сложности, от вируса пострадали около 500 тысяч компьютеров в более чем 100 странах мира, а ущерб от действий хакеров оценили в 1 млрд долларов.


Источник: Вирус-вымогатель Petya атаковал десятки компаний России и Украины. Что мы знаем на данный момент


Поддержать проект
t_logoПодписывайтесь на наш канал в Telegram! Вам немедленно будут приходить все опубликованные материалы сайта.Найдите в контактах  @freewebjournal  и добавьте его себе в контакты или просто перейдите, предварительно зарегистрировавшись, на страницу канала.