Сюжеты

Вирус-вымогатель Petya атаковал десятки компаний России и Украины

Что мы знаем на данный момент

Фото: ТАСС

 

Во вторник компьютеры десятков крупных компаний и госструктур подверглись атаке вируса-вымогателя Petya.A. Вирус шифрует информацию на жестком диске компьютера, после чего на экране появляется требование перевести 300 долларов в биткоинах в качестве выкупа за возобновление работы.

Что случилось

Сильнее всего от вируса пострадала Украина: помимо коммерческих структур, зараженными оказались компьютерные сети Укрпочты, Киевского метрополитена, аэропорта «Борисполь», Укрэнерго, нескольких банков и даже правительства Украины.

Советник министра внутренних дел Украины Антон Геращенко поспешил заявить, что под видом вируса-вымогателя была замаскирована кибератака, которую «организовали российские спецслужбы».

«Письмо, содержащее вирус, приходило в большинстве случаев по почте <…> Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали не опытные пользователи», — заявил он.

От вируса пострадали не только на Украине: вскоре об атаке с вымоганием денег заявило российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka), металлургическая компания Evraz, одним из бенефициаров которой является Роман Абрамович, российские отделение фирмы Royal Canin (производит форма для животных). Среди жертв кибератаки также оказались сети российских «Башнефти» и «Роснефти», при этом последней пришлось перейти на резервную систему управления производственными процессами. О нескольких случаях заражения IT-систем банков сообщили и в Цетробанке, однако они, по данным ЦБ, не нарушили работу кредитных организаций.

Что это за вирус-вымогатель

По предварительным данным, вирус Petya.A. распространяется только на компьютеры, на которых установлена операционная система Windows, а заражение, по одной из версий, происходит через фишинговые письма, которые отправляют злоумышленники.

По словам руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Костина Райю, вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность.

Вирус Petya появился не сегодня, а его предыдущие версии уже были известны специалистам по кибербезопасности. Аналитики компании Eset отмечают, что более старые варианты Petya вызывали «синий экран смерти», что заставляло жертву перезапустить компьютер, а после перезагрузки система начинала требовать выкуп.

Комментарии

Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал «Новой газете», что в компании сейчас изучают сценарии заражения и схему работы вредоносного кода.

«По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО», — отметил Закоржевский.

Чтобы избежать заражения, «Лаборатория Касперского» советует пользователям  запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals (который предлагает технические средства для управления, диагностики, устранения неполадок и мониторинга всей среды Microsoft Windows).

Как рассказал «Новой газете» заместитель руководителя лаборатории криминалистики Group-IB Сергей Никитин,  в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний в России и на Украине.

«Нужно понимать, что вирус, который шифрует информацию, и то, с помощью чего он распространяется, — две разные вещи. Сам вирус Petya около полугода уже существует. Видимо, кто-то из отечественных специалистов его первым описал, поэтому у него такое название. Сейчас поступают противоречивые данные по поводу его распространения. Есть данные, что он внутри сети умеет сам себя распространять, хотя изначально он распространялся через почтовое вложение», - рассказал он.

По словам Никитина, прошлые версии Petya шифровали специальный файл, который описывает другие файлы, это значит, что какие-то данные можно было извлечь.

«Сейчас мы работаем над анализом новой версии. Можно сразу отметить, что у вируса Petya есть много отличий от WannaCry», — добавил эксперт.

WannaCry. Как это было в мае

Месяц назад по всему миру прошла волна заражений вирусом-шифровальщиком WannaCry. Вирус так же зашифровывал все файлы на компьютере и требовал выкуп в 300 долларов. Первой от вируса пострадала Испания: там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, банки и энергетические компании. В общей сложности, от вируса пострадали около 200 тысяч компьютеров в более чем 100 странах мира, а ущерб от действий хакеров оценили в 1 млрд долларов. В России оказались заражены компьютеры Министерства внутренних дел и компании «Мегафон».

WannaCry  удалось остановить специалисту по безопасности, который ведет блог MalwareTechBlog. Он обратил внимание, что WCry по неясной причине обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и попробовал зарегистрировать домен с таким именем. После этого  к нему пришли десятки тысяч запросов, а распространение вируса прекратилось. 

Друзья!

Если вы тоже считаете, что журналистика должна быть независимой, честной и смелой, станьте соучастником «Новой газеты».

«Новая газета» — одно из немногих СМИ России, которое не боится публиковать расследования о коррупции чиновников и силовиков, репортажи из горячих точек и другие важные и, порой, опасные тексты. Четыре журналиста «Новой газеты» были убиты за свою профессиональную деятельность.

Мы хотим, чтобы нашу судьбу решали только вы, читатели «Новой газеты». Мы хотим работать только на вас и зависеть только от вас.
Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
Стать соучастником
Рейтинг@Mail.ru

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google ChromeFirefoxOpera