В этой статье описываются текущие события.
Информация может быстро меняться по мере развития событий, а первоначальные новостные сообщения могут быть недостоверными. Последние обновления статьи могут не отражать наиболее актуальную информацию. (27 июня 2017)
Вы просматриваете статью в версии от 5 июля 2017 года 07:42 (UTC) (обновить). Не забудьте добавить сообщение о текущем событии на портал «Текущие события». |
Petya | |
Экран после шифрования (после перезагрузки системы) |
|
Тип | |
---|---|
Год появления |
29 марта 2016 (первая версия); |
Используемое ПО |
уязвимость в SMB ОС Windows, |
Описание Symantec |
|
Описание Securelist |
Petya (также известна как Petya.A, Petya.D[1], Trojan.Ransom.Petya, PetrWrap[1], NotPetya[1], ExPetr, GoldenEye[1]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[2][3].
Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки ОС[4]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[2].
Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен, как следующий шаг в эволюции программ-вымогателей»[5]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткоина (около 380 долларов США по состоянию на март 2016 года)[6]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткоина (на тот момент — 875 долларов США)[7][8].
27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткоинах[4]. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который злоумышленники просят отправить данные после осуществления платежа, уже заблокирован провайдером[9][1]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы распространяться максимально быстро[10]. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине[11]. Атаке подверглись энергетические компании[12], украинские банки[13], аэропорт Харькова[14], Чернобыльская АЭС[15], правительственные сайты, киевский метрополитен[16]. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[17]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия «Хоум Кредит», «Роснефть» и «Башнефть»[18]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[19][11][20][21].
Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[4]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению и защите от вредоносного ПО[1]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[22].
Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации. Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[20].
По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya. Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[23]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[1]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[20]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[4].
Согласно сообщениям киберполиции Украины, атака, вероятно, была «засеяна» механизмом обновления программного обеспечения, встроенным в бухгалтерскую программу M.E.Doc, которую используют компании, работающие с документами украинского правительства[24]. Это может объяснить, почему пострадало огромное количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[20]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[25]. Однако специалисты Microsoft подтверждают, что некоторые случаи заражения начались именно с установки обновления M.E.Doc[26].
На странице обсуждения должны быть подробности.
|
Кто стоит за началом эпидемии вируса Petya, пока непонятно, но, по мнению части аналитиков[каких?], вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение ущерба, в частности — украинскому правительству[источник?]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[27]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[23]. Также он сказал:
Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства. |
В пользу этой версии говорит и то, что 28 июня – День Конституции на Украине[28][29].
К тому же, было выявлено, что среди прочих сообщений, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять[20].
Petya в Викиновостях |
Petya.