Petya дійшов до Австралії: в Росії знайшли вакцину від невиліковного вірусу

28.06.2017

Новий «кібершантажіст» крокує по планеті: від Чорнобильської АЕС до портового терміналу в Італії, але тільки не в Америку

На цей раз вірус невиліковний: якщо він зашифрував дані на комп'ютері та показав на екрані вимогу про викуп в $ 300, то з даними можна розпрощатися назавжди. Як відзначають фахівці, комп'ютерний вимагач був створений і впроваджений в мережі ще рік тому. Тим часом в попередньому вірус такого типу, WannaCry, який вразив сотні тисяч комп'ютерів на планеті, був присутній шкідливий код, розроблений американськими спецслужбами. Можливо, є він і в Petya.

Експерти вірусної лабораторії ESET склали рейтинг країн, які найсильніше вразив Petya. Його очолила Україна, Росія опинилася на 14-му місці
Фото: «БІЗНЕС Online»

Вірус поширився ПЛАНЕТОЮ

Менше ніж за добу шифрувальник-вимагач Petya вразив комп'ютерні мережі компаній і держустанов більш ніж в 80 компаніях Росії та України. Вірус вимагає перевести $ 300 в біткоіни на рахунок зловмисників, проте на перевірку поштову адресу, на яку буде відправлено лист з підтвердженням переказу, виявився заблокований. Так що відправка грошей здирником - марна справа.

Першими були атаковані українські користувачі . Епідемія виявилася наймасштабнішою за всю історію країни - спочатку вірус вразив мережі найбільших енергокомпаній, потім поширився на комп'ютери кабінету міністрів, банків, стільникових операторів, ЗМІ та навіть систему моніторингу радіаційного фону на Чорнобильській АЕС, якій довелося перейти на ручне управління.

Потім Petya перекинувся на Росію. Одними з перших організацій, які були їм вражені, виявилися найбільший російський нафтовидобувач «Роснефть» і його «дочка» «Башнефть». Серед постраждалих - металургійний холдинг Evraz, компанія Mondelez, яка випускає шоколадки Alpen Gold і Milka, виробник кормів для тварин Royal Canin і банк «Хоум Кредит». Банк Росії припустив, що об'єктом атаки стали і інші російські банки.

Потім Petya продовжив свою переможну ходу по світу. Їм виявилися заражені комп'ютери в країнах ЄС від Великобританії до Іспанії, згодом вірус дістався до США. Вранці 28 червня прийшли повідомлення про те, що Petya зупинив роботу одного з трьох контейнерних терміналів порту імені Джавахарлала Неру в Мумбаї, і про злом сайту австралійської компанії Cadbury. Шкідливе ПО почало поширюватися і в Китаї, але масштабних збоїв в Піднебесній поки не було, зазначив Чжен Веньбінь, головний фахівець із захисту інформації компанії Qihoo 360 Technology.

КОМП'ЮТЕРНІ криміналістів ЗНАЙШЛИ ПРОТИОТРУТА

Фахівці з комп'ютерної безпеки компанії Group-IB відзначили, що творці Petya використовували стійкий алгоритм шифрування і немає можливості створити інструмент його розшифровки. Таким чином, не отримавши від зловмисників ключа, дані на зашифрованому комп'ютері відновити неможливо.

За словами президента ГК InfoWatch Наталії Касперський, що сам вірус-шифрувальник з'явився більше року тому. Він поширюється в основному через фішингові повідомлення. Касперська помітила, що перший варіант вірусу Petya вимагав права адміністратора. «Якщо права адміністратора не давалося, він був безсилий, тому об'єднався з деяким іншим здирником-вірусом, Misha, який мав права адміністратора. Це була поліпшена версія, резервний шифрувальник », - розповіла президент ГК InfoWatch.

Сергій Нікітін, заступник керівника лабораторії з комп'ютерної криміналістиці Group-IB, підтвердив: «Сам вірус Petya не нова, новим є механізм його поширення. Швидше за все, вірус поширюється методом соціальної інженерії - співробітники компаній відкривали шкідливі вкладення в листах, отриманих по електронній пошті. Після зараження Petya поширюється в локальній мережі так само, як відомий вірус WannaCry, який атакував в травні цього року 300 тисяч комп'ютерів в 150 країнах світу ». Жертвами WannaCry, зокрема, стали мережі автогіганта Renault у Франції, залізничного оператора Deutsche Bahn, Національної служби охорони здоров'я Великобританії і ряду держустанов в Росії.

За словами президента ГК InfoWatch Наталії Касперський, вірус-шифрувальник з'явився більше року тому. Він поширюється в основному через фішингові повідомлення Фото: tatarstan.ru

Компанія Positive Technologies, яка спеціалізується на розробці ПЗ в сфері інформаційної безпеки, вважає, що новий вірус хоча і схожий за своїми «звичкам» з здирником WannaCry, але працює трохи інакше. Використаний в ньому набір інструментарію «дозволяє Petya зберігати працездатність навіть в тих інфраструктурах, де було враховано урок WannaCry і встановлені відповідні оновлення безпеки, саме тому шифрувальник настільки ефективний».

Експерти компанії «розібрали» вірус і знайшли можливість локально відключити шифрувальник в разі, якщо він ще не «убив» комп'ютер. Якщо вірус зміг наділити себе адміністративними правами в Windows, то він перевіряє наявність порожнього файлу з ім'ям perfc (або іншого порожнього файлу з іншою назвою) без розширення в директорії C: \ Windows \. Оскільки вірус спрацьовує через кілька годин після зараження, будь-який користувач може створити подібний файл, наприклад, за допомогою програми «Блокнот». Також фахівці Positive Technologies рекомендують запустити команду bootrec / fixMbr для відновлення працездатності Windows. Пізніше аналогічні методи лікування опублікувала і Symantec.

Теоретично агентство АНБ саме могло створити вірус для того, щоб оцінити стійкість комп'ютерних мереж Росії до подібних програм
Фото: © Володимир Астапкович, РІА «Новости»

АМЕРКАНСКАЯ «ЦИФРОВИЙ БОМБА» не спрацювала?

Як зазначає Group-IB, з техніческой̆ точки зору WannaCry - досить примітивна шкідлива програма. «Причина такого масштабного зараження була в тому, що зловмисники використовували шифрувальник в зв'язці з кіберзброя EternalBlue агентства національної безпеки (АНБ) США, який 14 квітня виклали у відкритий доступ хакери з групи Shadow Brokers, - вважають вони. - Інцидент з WannaCry - це не перший випадок, коли витоком утиліт з арсеналу спецслужб активно користуються кіберзлочинці. За допомогою ще одного з засвічених Shadow Brokers інструментів АНБ - бекдора DoublePulsar, призначеного для впровадження і запуску шкідливих програм, - зловмисникам вдалося взяти під контроль понад 47 тисяч комп'ютерів OC Windows в США, Великобританії і на Тайвані. Ці зламані комп'ютери можуть використовуватися для розповсюдження шкідливих програм, розсилки спаму, проведення кібератак, шпигунства і т. Д. ».

Розробники Petya також могли використовувати одну з «кібербомб» виробництва АНБ. Теоретично агентство саме могло створити цей вірус для того, щоб оцінити стійкість комп'ютерних мереж Росії до подібних програм. Нагадаємо, 23 червня газета The Washington Post (WP) опублікувала розслідування «Таємна боротьба Обами з метою покарати Путіна за передвиборну атаку», присвячену розробці американськими спецслужбами «цифровий бомби» для впровадження в російську комп'ютерну інфраструктуру. Передбачається, що її можна буде дистанційно активувати в разі загострення відносин США з Росією. Таким чином, адміністрація Барака Обами вже на закінчення терміну його президентства почала створювати цифрове зброя відплати, вважаючи, що російські хакери ведуть кібератаки на США.

Як пише WP, ФБР виявило спроби проникнути в електронну виборчу систему в 21 штаті, а американські спецслужби розглядали відповідні дії у вигляді кібератаки на окремі галузі російської економіки або повного відключення російських комп'ютерних мереж. «Нашим першочерговим завданням було перешкодити їм зробити максимум, на який вони (російські хакери - прим. Ред.) Могли бути здатні, - сказав високопоставлений чиновник попередньої адміністрації Білого дому. - Ми вирішили, що після виборів у нас буде достатньо часу для покарання ». Всі виходили з того, що президентом стане Хілларі Клінтон і демократи залишаться при владі на третій термін, пише WP. Перемога Дональда Трампа стала для них шоком.

Президент РФ Володимир Путін ще до виходу розслідування WP не виключив, що за спробами вплинути на вибори президента США в 2016 році могли стояти американські хакери. Про це він сказав в інтерв'ю американському каналу NBC. «Хакери можуть бути де завгодно. Вони можуть в Росії бути, в Азії, в Америці, Латинській Америці. Це можуть бути хакери, до речі сказати, в Сполучених Штатах, які дуже вправно і професійно перевели, як у нас кажуть, стрілку на Росію », - сказав він.

Можливо, Трамп підхопив випало з рук Обами прапор борця з «російськими кібертерористами». Днями він звинуватив свого попередника в бездіяльності. «Якщо адміністрації Обами задовго до виборів (президента - прим. Ред.) В 2016 році доповіли, що Росія намагається втрутитися (в американські вибори - прим. Ред.), Чому не було ніяких дій? Сконцентруйтеся на них, а не на Т (Трампа - прим. Ред.) », - написав він, як водиться, в своєму« Твіттері ».

Якщо це так і вірус був створений саме для даних цілей, то атака не вдалася. Зате американці отримали інформацію, які країни виявилися найбільш уразливими перед вірусом. У їх число потрапили і союзники США. Експерти вірусної лабораторії ESET склали рейтинг країн, які найсильніше вразив Petya. Його очолила Україна, в десятку також увійшли Італія, Ізраїль, Сербія, Угорщина, Румунія, Польща, Аргентина, Чехія і Німеччина. Росія опинилася на 14-му місці.