Википедия вирус petya – Petya (malware) — Wikipedia

alexxlab
alexxlab
28.09.2020

Содержание

Как работает вирус Petya (Петя) и как от него защититься — СКБ Контур

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель —  нанесение массового ущерба. 

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe. 
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК». 

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.  

  1. Не платите деньги злоумышленникам. 
    Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы. 
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Узнать больше

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться. 

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.   

kontur.ru

Как победить вирус Petya / Positive Technologies corporate blog / Habr

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.


Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

На данный момент число транзакций увеличилось до 45.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей.

(adsbygoogle = window.adsbygoogle || []).push({}); Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:


Срабатывание правил IDS/IPS:
Сигнатуры:

habr.com

Petya — Вікіпедія

Petya — сімейство шкідливих програм, що вражає комп’ютери під управлінням сімейства ОС Microsoft Windows. Перші представники були виявлені в 2016 році та були звичайними зразками здирницьких вірусів[3][4]. 27 червня 2017 року сталась масштабна атака останнім представником сімейства, який запозичив деякі модулі з попердніх зразків, але можливо був створений іншими розробниками та вже був вірусом-винищувачем даних, замаскованим під програму-вимагач[5].

Програма шифрує файли на жорсткому диску комп’ютера-жертви, а також перезаписує і шифрує головний завантажувальний запис (MBR) — дані, необхідні для завантаження операційної системи[6]. В результаті всі файли, що зберігаються на комп’ютері, стають недоступними. Потім програма вимагає грошовий викуп у біткоїнах за розшифровку і відновлення доступу до файлів. При цьому перша версія вірусу шифрувала не самі файли, а MFT-таблицю — базу даних з інформацією про файли, що зберігаються на диску.

На думку Адміністрації Президента США Дональда Трампа атака із використанням вірусу NotPetya в червні 2017 року стала найбільшою хакерською атакою в історії. У спільній заяві країни альянсу Five Eyes поклали відповідальність за дану атаку на російську владу[7][8][9][10][1]. Відповідальність за атаку покладають на Росію також уряди Данії та України[11][12].

Petya[ред. | ред. код]

Вперше вірус Petya був виявлений в березні 2016 року. Компанія Check Point тоді зазначила, що, хоча йому вдалося заразити менше комп’ютерів, ніж іншим програмам-здирникам початку 2016 року, таким як CryptoWall, поведінка нового вірусу помітно відрізняється, завдяки чому він негайно був відзначений, як наступний крок в еволюції програм-вимагачів»[13]. За відновлення доступу до файлів програма вимагала від користувача 0,9 біткоїнів, що, за станом на березень 2016 року, становило близько 380 доларів США[14].

Petya/Mischa[ред. | ред. код]

Інший різновид програми виявили в травні 2016 року. Вона містила додаткове корисне навантаження: якщо вірусу не вдавалося отримати права адміністратора для перезапису MBR і подальшого шифрування MFT, він встановлював на заражений комп’ютер іншу шкідливу програму — Mischa. Mischa шифрував файли користувача безпосередньо (така операція зазвичай не вимагає прав адміністратора), а потім вимагав викуп у розмірі 1,93 біткоїни, що на той момент було еквівалентно 875 доларів США[15][16].

NotPetya[ред. | ред. код]

На думку частини аналітиків, називати нову загрозу «Petya», строго кажучи, невірно. Шкідливе ПЗ дійсно володіє значною кількістю коду з більш старої області, призначеної для вимагання, яка ідентифікується антивірусними системами як Petya. Проте вже через кілька годин після початку епідемії деякі дослідники інформаційної безпеки помітили, що ця схожість досить поверхова[17]. Дослідники з Лабораторії Касперського відмовилися називати шкідливу програму «Petya» — замість цього вони використовують терміни New Petya, NotPetya, ExPetr. Поширюються й інші варіанти цієї назви — Petna, Pneytna та інші. Крім того, інші дослідники, які самостійно виявили шкідливе ПО, визначили його зовсім іншими назвами: наприклад, румунська компанія Bitdefender назвала його Goldeneye. З іншого боку, американська компанія Symantec вважає нову загрозу різновидом вірусу Petya, не привласнюючи їй якоїсь іншої назви.

27 червня 2017 року почалося масове поширення нової модифікації програми. На цей раз вірус використовує ті ж вразливості системи, що і WannaCry (наприклад, експлойт EternalBlue і бекдор DoublePulsar), а за відновлення доступу до даних вимагає відправити 300 доларів в біткоїнах. При цьому фахівці не рекомендують користувачам йти на поводу у вимагачів, оскільки це все одно не допоможе їм відновити доступ до даних; електронна адреса, на яку зловмисники просять відправити дані після здійснення платежу, вже заблокована провайдером[18]. На думку головного інженера компанії McAfee Крістіана Біка, ця версія була розроблена так, щоб максимально швидко поширюватися[19]. Вірус отримував пароль адміна завдяки утиліті Mimikatz.[20] У компанії ESET заявили, що поширення шкідливої програми почалося в Україні[21].

Атака була в основному спрямована проти України, на яку припало 75 % всіх постраждалих від атаки комп’ютерів.[22][23]Атаці піддалися енергетичні компанії[24], українські банки[25], Аеропорт Харкова[26], Чорнобильська АЕС[27], урядові сайти, київський метрополітен[28]. Національний банк України опублікував на своєму сайті офіційну заяву про хакерську атаку на банки країни і боротьби з нею[29]. Пізніше стали з’являтися повідомлення про хакерську атаку на російські банки, компанії Хоум Кредит, Роснафта і Башнафта[30]. Також повідомлення про зараження стали надходити з Італії, Ізраїлю, Сербії, Угорщини, Румунії, Польщі, Аргентини, Чехії, Німеччини, Великої Британії, США, Данії, Нідерландів, Іспанії, Індії, Франції та Естонії[31][32][33].

Розповсюдження[ред. | ред. код]

Попри зовнішню схожість новий вірус має істотні відмінності від вже відомого Petya й тому отримав нові назви від різних дослідників (NotPetya, Eternal Petya, Petna, тощо). У цілому він має добре написаний код, який використовує для свого поширення низку шляхів:[34]

Таким чином, заражений цим хробаком комп’ютер здатен, за певних умов, вражати інші комп’ютери в мережі, навіть ті, які отримали останні оновлення операційної системи.

Аби не бути виявленим антивірусними програмами, бінарні коди вірусу застосовують[34]:

Проте, попри досить високий рівень реалізації самого вірусу, його розробники скористались вкрай вразливим та ненадійним способом спілкування з жертвами, що створює враження, що здирництво не було основним мотивом:[34][36]

Поштова служба, де була зареєстрована скринька зловмисників, заблокувала її вже через кілька годин після початку атаки і, таким чином, унеможливила спілкування між жертвами та зловмисниками[34]. Тобто, сплата викупу не має сенсу, оскільки гарантовано не дасть бажаного результату[37]. В оприлюдненій заяві компанія-провайдер поштової скриньки повідомила, що не лише заблокувала скриню, а й активно працює з німецькою федеральною службою інформаційної безпеки в розслідуванні цієї події[38].

Шкідлива дія[ред. | ред. код]
Шифрування файлів

Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії[35].

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп’ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску[35]. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників[39]. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма[40].

Слід також зазначити, що у функції шифрування файлів зловмисник припустився помилки, яка може істотно ускладнити (якщо не унеможливити) їхнє відновлення: вірус шифрує лише перший мегабайт даних у файлах більшого розміру, але не скидає стан алгоритму шифрування при переході до наступного файлу. Таким чином, для відновлення файлів слід виконувати в ідентичному порядку.

Знищення файлової системи

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

При завантаженні комп’ютера завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код віруса, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диску Chkdsk[35]. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов’язаний з тим ключем[41].

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye)[41].

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення[39].

Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади[37].

Більшість великих антивірусних компаній заявляють, що їхнє програмне забезпечення оновлено, щоб активно виявляти і захищати від проникнення вірусу: наприклад, продукти компанії Symantec використовують сигнатури оновленої версії 20170627.009. Лабораторія Касперського також заявляє, що її програмне забезпечення готове до виявлення і захист від шкідливого ПЗ[2]. Крім того, актуальні оновлення Windows виправляють вразливість EternalBlue, що дозволяє зупинити один з основних способів зараження, а також захистити користувачів від майбутніх атак з різного роду корисними навантаженнями[42].

Згодом на сайті хабр були повідомлення від сисадмінів українських компаній, що постраждали із повідомленнями про те, що у них в компанії вже були встановлені всі останні оновлення, встановлений файєрвол, обмежені права користувачів, антифішинг фільтр для поштовиків і все одно ПК компанії були зашифровані.[20][43]

Для цієї шкідливої атаки був виявлений ще один вектор захисту. Petya перевіряє наявність файлу perfc.dat, що перебуває в системній папці тільки для читання. Якщо він виявить цей файл, то не буде запускати шифрування програмного забезпечення та інформації. Однак така «вакцина» насправді не запобігає зараженню: шкідливе ПО, як і раніше буде використовувати «точку опори» на зараженому ПК, з метою поширитися на інші комп’ютерні системи через локальну мережу.

Підготовка атаки[ред. | ред. код]

Згідно з повідомленнями кіберполіції України, атака, ймовірно, була «засіяна» механізмом оновлення програмного забезпечення, вбудованим в бугалтерську програму M.E.Doc, яку використовують компанії, які працюють з документами українського уряду[44]. Це може пояснити, чому постраждала величезна кількість українських організацій, в тому числі уряд, банки, державні енергетичні компанії, київський аеропорт і метро. Так, наприклад, система радіаційного моніторингу Чорнобильської АЕС була відключена від мережі, змушуючи працівників перейти на ручні лічильники і ручне управління в цілому. Друга хвиля епідемії була відтворена фішинговою компанією зі шкідливими вкладеннями. Сама компанія M.E.Doc спростовує, що поширення вірусу може бути пов’язано з її файлами оновлення[45]. Однак фахівці Microsoft підтверджують, що деякі випадки зараження почалися саме з установки оновлення M.E.Doc[46].

Організатори[ред. | ред. код]

На думку деяких аналітиків, вірус лише маскується під здирника, у той час як його справжня мета — заподіяння шкоди, зокрема — українському уряду. Дослідник кібербезпеки Ніколас Вівер висунув таку гіпотезу: Petya був «навмисною, зловмисною, руйнівною атакою або, можливо, випробуванням, замаскованим під вимагання»[47]. Фахівець під псевдонімом Grugq зазначив, що перша версія вірусу була «злочинним підприємством з метою вимагання грошей», але нова версія явно призначена не для цього. Також він сказав:

Ліві лапки Найімовірніше, цей хробак призначений для швидкого поширення і нанесення максимального збитку за допомогою правдоподібного, на перший погляд, вимагання. Праві лапки

На користь цієї версії говорить і те, що 28 червня — День Конституції в Україні[48][49].

До того ж, було виявлено, що серед інших повідомлень, механізм вимагання шкідливого ПО сконструйований невміло і був зовсім марним: єдина адреса погано зашифрована, тобто рух грошей можна відстежити. Ще однією недоробкою можна зазначити вимогу відправити 60-значний персональний ідентифікаційний ключ зараженої машини з комп’ютера, на якому неможливо копіювати і вставляти текст з екрану.

За офіційно не підтвердженими даними, іще в листопаді 2017 року ЦРУ дійшло остаточного висновку, що за атаками із використанням NotPetya стоять відповідні підрозділи під управлінням ГРУ ГШ РФ. За даними Washington Post, яка оприлюднила цю інформацію, цей підрозділ має назву рос. Главный центр специальных технологий[50].

Відповідальність за атаку на Росію поклали всі п’ять країн-членів союзу FVEY: Австралія[7], Велика Британія[8], Канада[9], Нова Зеландія[10], Сполучені Штати[1], а також уряди Данії[11] та України[12]. Зокрема:

Bad Rabbit[ред. | ред. код]

В жовтні 2017 року сталась чергова епідемія ураження інформаційних систем вірусом-хробаком для здирництва через шифрування файлів Bad Rabbit (Win32/Diskcoder.D, Ransom.BadRabbit). Спочатку зловмисники отримали несанкційований доступ до низки веб-сайтів, де вставили власні сценарії JavaScript у сторінки. Ці сценарії звертались на сервер управління зловмисників, звідки отримували основну частину подальшого сценарію. Отриманий сценарій JavaScript попереджав користувача про необхідність оновити встановлений модуль Flash Player, але замість завантаження оновлення користувач завантажував програму-інсталятор вірусу з іменем файлу install_flash_player.exe[52][53].

На відміну від NotPetya, в цій версії були виправлені помилки шифрування. Тут вже використана утиліта з відкритими кодами DiskCryptor. Ключі шифрування генеруються CryptGenRandom, для алгоритму AES-128-CBC а потім захищаються відкритим ключем RSA-2048[52][53].

Окрім завантаження через уражені веб-сайти, даний вірус має властивості мережевого хробака, оскільки здатен поширювати себе через спільні теки SMB (Server Message Block) та використовує уразливість EternalRomance. Для отримання прав адміністратора вірус використовує програму mimikatz[52][53].

Пік заражень вірусом припав на 24 жовтня 2017 року. Найбільше ним було уражено комп’ютерів в Росії 65-86 %, та Україні 1-12,2 %. Проте, попри порівняно невелику кількість заражень, відомо про тимчасове виведення з ладу інформаційних систем Київського метрополітену та Одеський аеропорт[52][53].

Голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства 1С. Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. А атака хробаком була лише яскравим прикриттям. І попри більше поширення хробака в Росії друга частина атаки служить доказом того, що основною мішенню були підприємства в Україні. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки[54].

За даними британського Національного центру комп’ютерної безпеки (NCSC) відповідальність за цю атаку можна з високою впевненістю слід покласти на російських військових хакерів (ГУ ГШ ЗС РФ) з угрупування Fancy Bear. Серед постраждалих підприємств є Київський метрополітен, Міжнародний аеропорт «Одеса», Центральний банк РФ, два російських ЗМІ[55].

  1. а б в г Statement from the Press Secretary. The White House. 2018-02-15. 
  2. а б в г д Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Процитовано 2017-06-28. 
  3. ↑ Petya ransomware eats your hard drives. Kaspersky Lab. 2016-03-30. Процитовано 2017-06-27. 
  4. ↑ Ransom.Petya. Symantec | United States. 2016-03-29. Процитовано 2017-06-27. 
  5. ↑ УНІАН: События недели: версия читателей УНИАН — на Украине испытали кибероружие. 30.06.2017
  6. ↑ Petya ransomware outbreak: Here’s what you need to know. Symantec Security Response. Процитовано 2017-06-27. 
  7. а б в Australian Government attribution of the ‘NotPetya’ cyber incident to Russia. The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 2018-02-16. Архів оригіналу за 2018-02-16. Процитовано 2018-02-16. 
  8. а б в Russian military ‘almost certainly’ responsible for destructive 2017 cyber attack. National Cyber Security Centre. 2018-02-15. 
  9. а б Greta Bossenmaier (2018-02-15). CSE Statement on the NotPetya Malware. Communications Security Establishment. 
  10. а б New Zealand joins international condemnation of NotPetya cyber-attack. Government Communications Security Bureau. 2018-02-16. 
  11. а б Claus Hjort: Rusland stod bag cyberangreb mod Mærsk. Berlingske Business. 2018-02-15. 
  12. а б СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 01-07-2017. 
  13. ↑ Decrypting the Petya Ransomware. Check Point Blog. 2016-04-11. Процитовано 2017-06-28. 
  14. ↑ Вымогатель Petya шифрует жесткие диски. blog.kaspersky.ru. Процитовано 2017-06-28. 
  15. ↑ Constantin, Lucian. Petya ransomware is now double the trouble. Network World (en). Процитовано 2017-06-28. 
  16. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa. blog.kaspersky.ru. Процитовано 2017-06-28. 
  17. ↑ the grugq (2017-06-27). Pnyetya: Yet Another Ransomware Outbreak. the grugq. Процитовано 2017-06-28. 
  18. ↑ Hacker Behind Massive Ransomware Outbreak Can’t Get Emails from Victims Who Paid. Motherboard. Процитовано 2017-06-28. 
  19. ↑ Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains. WIRED UK (en-GB). Процитовано 2017-06-28. 
  20. а б в Украина подверглась самой крупной в истории кибератаке вирусом Petya, habrahabr.ru, 27 червня 2017
  21. ↑ Лаборатория ESET назвала Украину источником заражения вирусом Petya. Interfax.ru (ru-RU). 2017-06-28. Процитовано 2017-06-28. 
  22. ↑ Опубліковано карту поширення вірусу Petya.A: Україна зазнала наймасштабнішої атаки
  23. ↑ ESET: Главной жертвой вируса-шифровальщика Petya.A стала Украина, где зарегистрировано более 75 % всех случаев заражения, itc.ua
  24. ↑ «Киевэнерго» подверглось хакерской атаке, проблемы ощутило и «Укрэнерго». Интерфакс-Украина. Процитовано 2017-06-28. 
  25. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины. strana.ua. Процитовано 2017-06-28. 
  26. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме. Interfax.ru (ru-RU). 2017-06-28. Процитовано 2017-06-28. 
  27. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим. Новости Mail.Ru. Архів оригіналу за 2017-08-01. Процитовано 2017-06-28. 
  28. ↑ 24tv.ua. Метро Киева также страдает из-за вируса Petya A — Телеканал новостей 24. Телеканал новостей 24. Процитовано 2017-06-28. 
  29. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку. bank.gov.ua. Архів оригіналу за 2017-06-29. Процитовано 2017-06-28. 
  30. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний. Пятый канал (ru). Процитовано 2017-06-28. 
  31. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки. RUS Delfi. 1498635301. Процитовано 2017-06-28. 
  32. ↑ Solon, Olivia (2017-06-27). What is the Petya ransomware attack, and how can it be stopped?. The Guardian (en-GB). 0261-3077. Процитовано 2017-06-28. 
  33. ↑ Huge cyber attack spreading across the world. The Independent (en-GB). 2017-06-27. Процитовано 2017-06-28. 
  34. а б в г Помилка цитування: Неправильний виклик <ref>: для виносок grugq.59afd1ee89d4 не вказаний текст
  35. а б в г д е Помилка цитування: Неправильний виклик <ref>: для виносок mmpc-27 не вказаний текст
  36. ↑ Hern, Alex (2017-06-28). Ransomware attack ‘not designed to make money’, researchers claim. The Guardian (en-GB). ISSN 0261-3077. Процитовано 2017-06-28. 
  37. а б CERT-EU-SA2017-014: Petya-Like Malware Campaign. CERT-EU. 27 червня 2017. 
  38. ↑ Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt. Posteo. 27.Juni 2017. 
  39. а б Andy Patel (2017-06-29). Petya: “I Want To Believe”. F-Secure. 
  40. ↑ How EternalPetya Encrypts Files In User Mode. F-Secure. 2017-07-04. 
  41. а б EternalPetya and the lost Salsa20 key. Malwarebytes Labs. June 29, 2017. 
  42. ↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 — MSPoweruser. MSPoweruser (en-US). 2017-05-13. Процитовано 2017-06-28. 
  43. ↑ Украина подверглась самой крупной в истории кибератаки вирусом Petya, protectmaster.org
  44. ↑ Cyberpolice Ukraine (2017-06-27). Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua за допомогою User Agent «medoc1001189». @CyberpoliceUA. Процитовано 2017-06-28. 
  45. ↑ M.E.Doc. www.facebook.com. Процитовано 2017-06-28. 
  46. ↑ New ransomware, old techniques: Petya adds worm capabilities. Windows Security (en-US). Процитовано 2017-06-28. 
  47. ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security. krebsonsecurity.com. Процитовано 2017-06-28. 
  48. ↑ Lee, David (28 June 2017). ‘Vaccine’ created for huge cyber-attack. BBC News (en-GB).

uk.wikipedia.org

Petya — Википедия

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[8]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017

27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5]. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который злоумышленники просят отправить данные после осуществления платежа, уже заблокирован провайдером[2][12]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы распространяться максимально быстро[13]. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc[14]. Атаке подверглись энергетические компании[15], украинские банки[16], аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[14][22][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчетности[25]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[23]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

Цели атаки

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять[23]. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[30][31].

Защита

Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[23].

Название

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya. Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

См. также

Примечания

  1. ↑ ExPetr интересуется серьезным бизнесом (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr (неопр.). Kaspersky Lab. Дата обращения 28 июня 2017.
  3. 1 2 Petya ransomware eats your hard drives (неопр.). Kaspersky Lab (30 марта 2016). Дата обращения 27 июня 2017.
  4. ↑ Ransom.Petya (неопр.). Symantec | United States (29 марта 2016). Дата обращения 27 июня 2017.
  5. 1 2 3 4 Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Дата обращения 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя (неопр.). Газета.Ру (29 июня 2017). Дата обращения 29 июня 2017.
  7. ↑ Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20 (рус.). Дата обращения 7 июля 2017.
  8. ↑ Decrypting the Petya Ransomware (неопр.). Check Point Blog (11 апреля 2016). Дата обращения 28 июня 2017.
  9. ↑ Вымогатель Petya шифрует жесткие диски (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  10. Constantin, Lucian. Petya ransomware is now double the trouble (англ.), Network World. Дата обращения 28 июня 2017.
  11. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  12. ↑ Hacker Behind Massive Ransomware Outbreak Can’t Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения 28 июня 2017.
  13. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains (англ.), WIRED UK. Дата обращения 28 июня 2017.
  14. 1 2 Лаборатория ESET назвала Украину источником заражения вирусом Petya (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  15. ↑ «Киевэнерго» подверглось хакерской атаке, проблемы ощутило и «Укрэнерго», Интерфакс-Украина. Дата обращения 28 июня 2017.
  16. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины (рус.). strana.ua. Дата обращения 28 июня 2017.
  17. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  18. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим (рус.) (недоступная ссылка). Новости Mail.Ru. Дата обращения 28 июня 2017. Архивировано 1 августа 2017 года.
  19. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку (неопр.). bank.gov.ua. Дата обращения 28 июня 2017.
  20. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний, Пятый канал. Дата обращения 28 июня 2017.
  21. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Дата обращения 17 июля 2017.
  22. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки, RUS Delfi (1498635301). Дата обращения 28 июня 2017.
  23. 1 2 3 4 5 Solon, Olivia. What is the Petya ransomware attack, and how can it be stopped? (англ.), The Guardian (27 июня 2017). Дата обращения 28 июня 2017.
  24. ↑ Huge cyber attack spreading across the world (англ.), The Independent (27 июня 2017). Дата обращения 28 июня 2017.
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent «medoc1001189». (неопр.). @CyberpoliceUA (27 июня 2017). Дата обращения 28 июня 2017.
  26. ↑ M.E.Doc (рус.). www.facebook.com. Дата обращения 28 июня 2017.
  27. ↑ New ransomware, old techniques: Petya adds worm capabilities (англ.), Windows Security. Дата обращения 28 июня 2017.
  28. ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Дата обращения 28 июня 2017.
  29. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak (неопр.). the grugq (27 июня 2017). Дата обращения 28 июня 2017.
  30. Lee, David. ‘Vaccine’ created for huge cyber-attack (англ.), BBC News (28 June 2017).
  31. ↑ Cyberattack Hits Ukraine Then Spreads Internationally (неопр.). The New York Times (June 27, 2017). Дата обращения 28 июня 2017.
  32. ↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 — MSPoweruser (англ.), MSPoweruser (13 мая 2017). Дата обращения 28 июня 2017.
  33. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file «C:\Windows\perfc»pic.twitter.com/zlwB8Zimhv (неопр.). @PTsecurity_UK (27 июня 2017). Дата обращения 7 июля 2017.

wikipedia.bio

Petya — Википедия

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[8]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017

27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5]. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который злоумышленники просят отправить данные после осуществления платежа, уже заблокирован провайдером[2][12]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы распространяться максимально быстро[13]. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc[14]. Атаке подверглись энергетические компании[15], украинские банки[16], аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[14][22][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчетности[25]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[23]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

Цели атаки

Кто стоит за началом эпидемии вируса Petya, пока непонятно, но, по мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять[23]. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[30][31].

Защита

Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[23].

Название

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya. Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

См. также

Примечания

  1. ↑ ExPetr интересуется серьезным бизнесом. blog.kaspersky.ru. Проверено 28 июня 2017.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Проверено 28 июня 2017.
  3. 1 2 Petya ransomware eats your hard drives. Kaspersky Lab (30 марта 2016). Проверено 27 июня 2017.
  4. ↑ Ransom.Petya. Symantec | United States (29 марта 2016). Проверено 27 июня 2017.
  5. 1 2 3 4 Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Проверено 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя. Газета.Ру (29 июня 2017). Проверено 29 июня 2017.
  7. ↑ Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20 (рус.). Проверено 7 июля 2017.
  8. ↑ Decrypting the Petya Ransomware. Check Point Blog (11 апреля 2016). Проверено 28 июня 2017.
  9. ↑ Вымогатель Petya шифрует жесткие диски. blog.kaspersky.ru. Проверено 28 июня 2017.
  10. Constantin, Lucian. Petya ransomware is now double the trouble (англ.), Network World. Проверено 28 июня 2017.
  11. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa. blog.kaspersky.ru. Проверено 28 июня 2017.
  12. ↑ Hacker Behind Massive Ransomware Outbreak Can’t Get Emails from Victims Who Paid (en-us). Motherboard. Проверено 28 июня 2017.
  13. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains (англ.), WIRED UK. Проверено 28 июня 2017.
  14. 1 2 Лаборатория ESET назвала Украину источником заражения вирусом Petya (рус.), Interfax.ru (28 июня 2017). Проверено 28 июня 2017.
  15. ↑ «Киевэнерго» подверглось хакерской атаке, проблемы ощутило и «Укрэнерго», Интерфакс-Украина. Проверено 28 июня 2017.
  16. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины (рус.). strana.ua. Проверено 28 июня 2017.
  17. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме (рус.), Interfax.ru (28 июня 2017). Проверено 28 июня 2017.
  18. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим (рус.). Новости Mail.Ru. Проверено 28 июня 2017.
  19. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку. bank.gov.ua. Проверено 28 июня 2017.
  20. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний, Пятый канал. Проверено 28 июня 2017.
  21. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Проверено 17 июля 2017.
  22. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки, RUS Delfi (1498635301). Проверено 28 июня 2017.
  23. 1 2 3 4 5 Solon, Olivia. What is the Petya ransomware attack, and how can it be stopped? (англ.), The Guardian (27 июня 2017). Проверено 28 июня 2017.
  24. ↑ Huge cyber attack spreading across the world (англ.), The Independent (27 июня 2017). Проверено 28 июня 2017.
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent «medoc1001189».. @CyberpoliceUA (27 июня 2017). Проверено 28 июня 2017.
  26. ↑ M.E.Doc (рус.). www.facebook.com. Проверено 28 июня 2017.
  27. ↑ New ransomware, old techniques: Petya adds worm capabilities (англ.), Windows Security. Проверено 28 июня 2017.
  28. ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Проверено 28 июня 2017.
  29. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak. the grugq (27 июня 2017). Проверено 28 июня 2017.
  30. Lee, David. ‘Vaccine’ created for huge cyber-attack (англ.), BBC News (28 June 2017).
  31. ↑ Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times (June 27, 2017). Проверено 28 июня 2017.
  32. ↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 — MSPoweruser (англ.), MSPoweruser (13 мая 2017). Проверено 28 июня 2017.
  33. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file «C:\Windows\perfc»pic.twitter.com/zlwB8Zimhv. @PTsecurity_UK (27 июня 2017). Проверено 7 июля 2017.

wikipedia.green

Petya, NotPetya или Petna? Все, что нужно знать о новой эпидемии — «Хакер»

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего WannaCry и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya

Как уже было сказано выше, шифровальщик Petya был обнаружен еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».

Petya образца 2016 года

Специалисты компаний  Payload Security, Avira, Emsisoft, Bitdefender, Symantec и так далее подтвердили, что для распространения шифровальщик использует уязвимости протокола SMB и эксплоит, похожий на инструмент ETERNALBLUE, похищенный у АНБ и обнародованный в открытом доступе хакерской группой The Shadow Brokers. Аналитики «Лаборатории Касперского» также отмечают, что авторы вредоноса взяли на вооружение еще один инструмент, украденный у спецслужб, эксплоит ETERNALROMANCE.

Также сообщается, что вымогатель распространяется и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199.

Новая версия Petya шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.

Эксперты Positive Technologies, которые тоже представили анализ шифровальщика, пишут, что после запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа (по данным специалистов Group-IB, время «ожидания» составляет 30-40 минут). За это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и работоспособности ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы при этом не удастся.

Petya генерирует для каждого диска свой ключ AES-128, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA-2048 и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, то есть без знания ключа данные восстановить невозможно.

Исследователи Positive Technologies сообщают, что вымогатель, предположительно, шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности.

Также специалисты предупреждают, что шифровальщик использует переработанный опенсорсный инструмент Minikatz для извлечения учетных данных. С их помощью малварь распространяется внутри сетей посредством SMB, WMI и PSEXEC, то есть даже одной скомпрометированной машины во всей сети будет достаточно для дальнейшего распространения угрозы. Однако для использования данных инструментов вредоносу необходимо обладать привилегиями администратора на компьютере жертвы.

#NonPetya #malware shares code with #mimikatz to extract credentials. @IntezerLabs | @malwrhunterteam @JAMESWT_MHT pic.twitter.com/nlkHbSTPmb

— Omri Ben Bassat (@omri9741) June 27, 2017

Операторы малвари требуют от своих жертв выкуп в размере 300 долларов в биткоин эквиваленте. После оплаты нужно отправить письмо на адрес [email protected], чтобы получить инструкции по расшифровке данных.

В настоящее время платить выкуп попросту бесполезно, так как адрес [email protected], по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.

Do not pay the #Petya ransom. You will not get your files back. The email address used is blocked! @SwiftOnSecurity @thegrugq pic.twitter.com/NOzxLz0vul

— haveibeencompromised (@HIBC2017) June 27, 2017

Petya или NotPetya?

Все чаще можно видеть, что ИБ-специалисты и СМИ называют шифровальщика не Petya, а NotPetya, SortaPetya, Petna, Nyetya, ExPetr. Дело в том, что изучив угрозу более детально, специалисты пришли к выводу, что в новом шифровальщике осталось не так уж много от оригинального Petya.

Новый вредонос определенно был построен на основе исходных кодов того самого «Пети», однако новая версия малвари настолько отличается от оригинала, что многие сочли логичным присвоить ей новое название.

При этом специалисты расходятся во мнениях относительно предназначения и авторства нового шифровальщика. Так, специалист Malwarebytes пишет, что новый шифровальщик, скорее всего, был создан теми же людьми, которые написали вымогателей Petya, Mischa и GoldenEye. Просто это новая ступень их «эволюции».

ИБ-специалист, известный под псевдонимом The Grugq, напротив полагает, что новая вариация Petya – это не обычный вымогатель, а «детище» правительственных хакеров.

«Несмотря на значительное количество одинакового кода, оригинальный Petya был криминальным предприятием для заработка денег. Эта [новая версия] определенно создана не с целью заработать денег. Она создана, чтобы быстро распространяться и причинять ущерб, и действует под правдоподобным прикрытием, как вымогатель», — пишет The Grugq.

В чем обвиняют компанию M.E.Doc?

Еще вчера, в первый день атак, стало известно, что в первую очередь от Petya пострадали Россия и Украина. Так, шифровальщик заразил компьютерные системы кабинета министров и сайта правительства Украины, сотовых операторов «Киевстар», Vodafone и lifecell, аэропорт Борисполь, метрополитен в Киеве, МВД Украины, целый ряд банков и даже компьютеры Чернобыльской атомной электростанции. Согласно данным Государственного агентства по управлению зоной отчуждения, радиационный мониторинг в итоге перевели в ручной режим. Также известно о заражениях компьютеров «Роснефти», «Башнефти», «Татнефти», Магнитогорского металлургического комбината, Mondelēz International, TESA, Nivea, Mars и так далее.

Current situation of Petrwrap/wowsmith223456 ransomware — percentage of infections by country. pic.twitter.com/Q42WPlBlja

— Costin Raiu (@craiu) June 27, 2017

McAfee’s Petya map shows more infections in USA than in Ukraine. Then again, they have much better visibility there. Via @ChristiaanBeek. pic.twitter.com/heoYU5qHb5

— Mikko Hypponen (@mikko) June 28, 2017

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Еще 27 июня 2017 года украинская киберполиция сообщила, что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft.

Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).

При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google.

Also, Microsoft says they have evidence that «a few active infections» of Petya initially started from the legitimate MEDoc updater process.

— Mikko Hypponen (@mikko) June 28, 2017

Вечером 27 июня представители M.E.Doc опубликовали на своей странице в Facebook официальное сообщение,  в котором опровергают свою причастность к распространению Petya.

«Обсуждение источников возникновения и распространения кибератаки активно проводится пользователями в соцсетях, форумах и других информационных ресурсах, в формулировках которых одной из причин указывается установка обновлений программы M.E.Doc.
Команда разработки M.E.Doc опровергает данную информацию и заявляет, что подобные выводы – однозначно ошибочные, ведь разработчик M.E.Doc, как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого были заключены договора с крупными антивирусными компаниями для предоставления исполняемых бинарных файлов на анализ и подтверждение их безопасности. Также, перед выпуском каждого обновления M.E.Doc передает в антивирусные компании свои файлы для анализа», — пишут разработчики.

Сообщается, что обновление от 22.06.2017 было проверено на наличие каких-либо вирусов, и «ни одного факта обращения пользователей с заражением вирусом его ПК или сервера за это время зафиксировано не было».

У Petya нет «рубильника», но уже найдена «вакцина»

Напомню, что в мае 2017 года распространение WannaCry удалось сдержать благодаря усилиям одного независимого ИБ-специалиста. Тогда британский исследователь MalwareTech обнаружил в коде малвари своеобразный «аварийный рубильник»: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.

К сожалению, подобных особенностей в коде Petya пока обнаружено не было, однако хорошие новости у ИБ-специалистов все же есть. Исследователь Cybereason Амит Серпер (Amit Serper) создал своего рода «вакцину» от Petya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем.

Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT Security, TrustedSec, Emsisoft и других крупных компаний.

98% sure that the name is is perfc.dll Create a file in c:windows called perfc with no extension and #petya #Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9

— Amit Serper (@0xAmit) June 27, 2017

Таким образом, чтобы «вакцинировать» свое устройство от атак данной версии Petya, стоит не только установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика, но и создать в директории C:\Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only). Нужно понимать, что злоумышленники легко могут изменить поведение малвари, после чего файл perfc может более не работать как «прививка» от заражения.
Кроме того, специалисты советуют на всякий случай отключить WMIC и SMBv1.

xakep.ru

petya Википедия

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История[ | ]

Первые версии в 2016[ | ]

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[8]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017[ | ]

Основная статья:

ru-wiki.ru

Разное

Отправить ответ

avatar
  Подписаться  
Уведомление о