Новый вирус Petya атаковал весь мир
Эксперты разработчика программного обеспечения в сфере информационной безопасности Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя. Как рассказали ТАСС в компании, в ходе исследования образца вируса Petya, атаковавшего компьютеры 27 июня, специалисты обнаружили особенность, которая позволяет выключить вирус.
По данным Positive Technologies, вирус Petya воздействует на главную загрузочную запись (MBR — код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через 1-2 часа, а после перезагрузки вместо операционной системы запускается вредоносный код. Однако, если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.
Локально отключить шифровальщик можно, создав файл «C:\Windows\perfc», отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится. «Таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование», — отмечают эксперты Positive Technologies.
В том случае, если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке «C:\Windows\». Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Превентивные меры
Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях.
Новая модификация вируса-вымогателя, который блокирует доступ к данным и требует деньги за разблокировку, во вторник атаковала десятки компаний и организаций в России и на Украине, а затем распространилась по всему миру.
Как сообщили в «Лаборатории Касперского», данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. «Больше всего инцидентов было зафиксировано в России и на Украине, однако имеется информация о заражениях в других странах», — сообщает компания.
Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые организации на Украине и в России стал вирус-шифровальщик Petya. Он блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В Group-IB также установили, что недавно этот вирус использовала группа Cobalt, чтобы скрыть следы целевой атаки на финансовые учреждения.
По предварительным оценкам, атакованы около 80 компаний, причем большая часть из них — украинские: заражены компьютерные системы Ощадбанка, Укргазбанка, банка «Пивденный», банка «ОТР», ТАСКомбанка. Атаке подверглись также основные украинские сотовые операторы — «Киевстар», Vodafone и lifecell, «Укртелеком», «Укрзализныця» (Украинские железные дороги), госпредприятие «Антонов», «Укрпочта» и «Киевводоканал», аэропорт «Борисполь», киевский метрополитен, компьютерные системы кабинета министров и сайта правительства Украины.
В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). В настоящее время не работают сайты «Татнефти» и Магнитогорского металлургического комбината. Банк России также сообщил о кибератаках на российские кредитные организации, которые, однако, не привели к нарушениям в работе банков.
Как рассказал ТАСС руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский, новое семейство шифровальщиков содержит некоторые признаки, которые присутствуют в вирусе Petya, но более детальный анализ показывает, что это новая модификация трояна.
Откуда он пришел
Вирус-вымогатель Petya в различных модификациях известен с прошлого года. Тогда о нем сообщала и «Лаборатория Касперского» в своем блоге. Компания отмечала, что вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. В отличие от традиционных троянов, Petya модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.
Гендиректор ГК InfoWatch (специализируется на кибербезопасности) Наталья Касперская рассказала ТАСС, что первый вариант вируса Petya требовал права администратора, без которых он был бессилен. По этой причине Petya объединился с другим вирусом, Misha, который имел права администратора. Получилась улучшенная версия шифровальщика, отметила Касперская.
Новая версия Petya, как сообщил в своем Twitter руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю, была обнаружена 18 июня этого года. В отличие от предыдущей, эта модификация имеет поддельную цифровую подпись Microsoft.
По данным Group-IB, Petya распространяется в локальной сети таким же способом, как и аналогичный WannaCry. В Microsoft сообщили, что знают о ситуации и проводят расследование.
Что делать пострадавшим
В последний раз крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая. Атака проводилась в рамках масштабной операции неизвестных хакеров, которые при помощи вируса WannaCry «напали» на компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.
Если заражение уже произошло, платить злоумышленникам не стоит. «Почтовый адрес нарушителей был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен», — отметили в Positive Technologies.
Для предотвращения распространения шифровальщика в сети эксперты рекомендуют выключить другие компьютеры, которые не были заражены и отключить от сети зараженные узлы. Также следует сохранить образы скомпрометированных систем, и если исследователи найдут способ расшифрования файлов, то заблокированные данные можно будет восстановить в будущем.
Новый Petya атаковал весь мир
27 июня вирус-вымогатель, блокирующий доступ к данным и требующий деньги за разблокировку, атаковал десятки компаний и организаций в России и на Украине, а затем распространился по всему миру. Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В то же время в Лаборатории Касперского отмечали, что новое семейство шифровальщиков содержит некоторые признаки вируса Petya, но более детальный анализ показывает, что это новая модификация трояна.
По предварительным оценкам Group-IB, вирус атаковал около 80 компаний, большинство из которых — украинские. В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Банк России также сообщил о кибератаках на российские кредитные организации, которые не привели к нарушениям в работе банков.
В последний раз крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая, когда вирус WannaCry атаковал компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.
Источник: ТАСС
