Вирусы Petya и Misha угрожают пользовательским данным. Новый вирус-шифровальщик Petya назван в честь президента Украины – эксперт Теневые копии томов

Правообладатель иллюстрации PA Image caption По мнению экспертов, бороться с новым вымогателем сложнее, чем с WannaCry

Программа-вымогатель 27 июня заблокировала компьютеры и зашифровала файлы в десятках компаний по всему миру.

Сообщается, что больше всех пострадали украинские компании - вирус заразил компьютеры крупных компаний, госструктур и объектов инфраструктуры.

За расшифровку файлов вирус требует от жертв 300 долларов в биткойнах.

Русская служба Би-би-си отвечает на главные вопросы о новой угрозе.

Кто пострадал?

Распространение вируса началось с Украины. Пострадали аэропорт "Борисполь", некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. Отключились компьютеры и в правительстве Украины.

Вслед за этим наступила очередь компаний в России: "Роснефть", "Башнефть", Mondelеz International, Mars, Nivea и другие также стали жертвами вируса.

Как работает вирус?

Эксперты пока не пришли к единому мнению относительно происхождения нового вируса. Компании Group-IB и Positive Technologies видят в нем разновидность вируса Petya 2016 года.

"Это вымогательское программное обеспечение использует как хакерские методы и утилиты, так и стандартные утилиты системного администрирования, - комментирует руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. - Все это гарантирует высокую скорость распространения внутри сети и массовость эпидемии в целом (при заражении хотя бы одного персонального компьютера). Результатом является полная неработоспособность компьютера и шифрование данных".

В румынской компании Bitdefender видят больше общего с вирусом GoldenEye, в котором Petya объединяется с еще одним вредоносом под названием Misha. Преимущество последнего - для шифрования файлов он не требует у будущей жертвы права администратора, а добывает их самостоятельно.

Брайан Кэмбелл из Fujitsu и ряд других экспертов полагают, что новый вирус использует украденную у Агентства национальной безопасности США, модифицированную программу EternalBlue.

После публикации этой программы хакерами The Shadow Brokers в апреле 2017 года весь мир облетел созданный на ее основе вирус-вымогатель WannaCry.

Используя уязвимости Windows, эта программа позволяет вирусу распространяться на компьютеры по всей корпоративной сети. Оригинальный же Petya рассылался по электронной почте под видом резюме и мог заражать только тот компьютер, где это резюме открывали.

В "Лаборатории Касперского" заявили "Интерфаксу", что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения.

"Программные продукты "Лаборатории Касперского" детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.", - отметил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

В общем, если и называть новый вирус русским именем, нужно иметь в виду, что внешне он больше похож на чудовище Франкенштейна, поскольку собран из нескольких вредоносных программ. Доподлинно известно, что вирус появился на свет 18 июня 2017 года.

Круче чем WannaCry?

WannaCry понадобилось всего несколько суток в мае 2017 года, чтобы достичь статуса самой массовой кибератаки подобного рода в истории. Обгонит ли новый вирус-вымогатель своего недавнего предшественника?

За неполные сутки злоумышленники получили от своих жертв 2,1 биткойна - порядка 5 тыс. долларов. WannaCry за тот же срок собрал 7 биткойнов.

При этом, по мнению Эльмара Набигаева из Positive Technologies, бороться с новым вымогателем сложнее.

"Помимо эксплойта [уязвимости в Windows] эта угроза распростряется также с помощью учетных записей операционных систем, украденных с помощью специальных хакерских утилит", - отметил эксперт.

Как бороться с вирусом?

В качестве профилактики эксперты советуют вовремя устанавливать обновления для операционных систем и проверять файлы, полученные по электронной почте.

Продвинутым администраторам советуют временно отключить протокол передачи данных в сети Server Message Block (SMB).

Если же компьютеры оказались заражены - ни в коем случае не платить злоумышленникам. Нет никакой гарантии, что, получив оплату, они расшифруют файлы, а не станут требовать больше.

Остается только ждать программу-дешифровщик: в случае с WannaCry на ее создание у специалиста французской компании Quarkslab Адриена Гинье ушла неделя.

Первая программа-вымогатель AIDS (PC Cyborg) была написана биологом Джозефом Поппом в 1989 году. Она скрывала каталоги и шифровала файлы, требуя выплатить 189 долларов за " продление лицензии " на счет в Панаме. Свое детище Попп распространял с помощью дискет по обычной почте, совершив в общей сложности около 20 тыс яч отправлений . Попп был задержан при попытке обналичить чек, но избежал суда - в 1991 году его признали невменяемым.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком . Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. - В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

• Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
• Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe.
• Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
• Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
• После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
• Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
• Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
• Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Вирусы являются неотъемлемой частью экосистемы операционных систем. В большинстве случаев речь идёт о Windows и Android, а если уж совсем не повезло - об OS X и Linux. Причём если раньше массовые вирусы нацеливались разве что на похищение личных данных, а в большинстве случаев просто на порчу файлов, то сейчас «правят бал» шифровальщики.

И это неудивительно - вычислительные мощности как ПК, так и смартфонов выросли лавинообразно, а значит аппаратные средства для подобных «шалостей» становятся всё мощнее.

Некоторое время назад специалистами был обнаружен вирус Petya. В G DATA SecurityLabs выяснили, что вирусу нужен административный доступ в систему, при этом он не шифрует файлы, а лишь блокирует доступ к ним. На сегодняшний день средства от Petya (Win32.Trojan-Ransom.Petya.A‘) уже существуют. Сам же вирус модифицирует загрузочную запись на системном накопителе и вызывает аварийное завершение работы компьютера, выдавая сообщение о повреждении данных на диске. На деле же это как раз шифрование.

За восстановление доступа разработчики зловреда требовали оплату.

Однако на сегодняшний день вдобавок к вирусу Petya появился ещё более изощрённый - Misha. Ему не нужны административные права, и он шифрует данные как классический Ransomware, создавая на диске или в папке с зашифрованными данными файлы YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT. В них содержится инструкция по получению ключе, цена которого составляет примерно 875 долларов.

Важно отметить, что заражение происходит через электронную почту, на которую приходит exe-файл с вирусами, маскирующийся под pdf-документ. И здесь остаётся снова напомнить - внимательно проверяйте письма с прикреплёнными файлами, а также старайтесь не скачивать документы из Интернета, поскольку сейчас вирус или вредоносный макрос можно встроить в doc-файл или веб-страницу.

Также отметим, что пока утилит для расшифровки «работы» вируса Misha не существует.

Во вторник, 27 июня, украинские и российские компании сообщили о массовой вирусной атаке: компьютеры на предприятиях отображали сообщение с требованием о выкупе. разобралась, кто в очередной раз пострадал из-за хакеров и как уберечься от кражи важных данных.

Петя, хватит

Первым атаке подвергся энергетический сектор: на вирус пожаловались украинские компании «Укрэнерго» и «Киевэнерго». Злоумышленники парализовали их компьютерные системы, но на стабильности работы электростанций это не отразилось.

Украинцы начали публиковать последствия заражения в сети: судя по многочисленным снимкам, компьютеры атаковал вирус-вымогатель. На экране пораженных устройств выскакивало сообщение о том, что все данные зашифрованы, и владельцам устройств нужно заплатить 300 долларов выкупа в биткоинах. При этом хакеры не сообщили, что произойдет с информацией в случае бездействия, и даже не установили таймер обратного отсчета до уничтожения данных, как это было с атакой вируса WannaCry.

Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, и ПриватБанка.

Заражению подверглись компьютерные сети «Укртелекома», аэропорта «Борисполь», «Укрпочты», «Новой почты», «Киевводоканала» и Киевского метрополитена. Кроме того, вирус ударил по украинским мобильным операторам - «Киевстару», Vodafone и Lifecell.

Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.

Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).

По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории отметил , что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.

Кто виноват

Поспешила предположить, что атака организована с территории России или Донбасса, но никаких доказательств не предоставила. Министр инфраструктуры Украины увидел подсказку в слове «вирус» и написал в своем Facebook, что «не случайно оно заканчивается на RUS», снабдив свое предположение подмигивающим смайликом.

Между тем утверждает, что атака никак не связана с существующими «зловредами», известными под названием Petya и Mischa. Безопасники утверждают, что новая волна поразила не только украинские и российские компании, но и предприятия в других странах.

Тем не менее нынешний «зловред» по интерфейсу напоминает известный вирус Petya, который еще несколько лет назад распространялся посредством фишинговых ссылок. В конце декабря неизвестный хакер, ответственный за создание вымогателей Petya и Mischa, начал рассылать зараженные письма с вложенным вирусом под названием GoldenEye, который был идентичен предыдущим версиям шифровальщиков.

Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем - установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.

Вычислить хакера не удалось, но очевидно, что он является поклонником бондианы. Программы Petya и Mischa - названия российских спутников «Петя» и «Миша» из фильма «Золотой глаз» (Golden Eye), по сюжету представлявших собой электромагнитное оружие.

Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.

Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.

Не в первый раз

В середине мая компьютеры по всему миру атаковал похожий вирус-вымогатель WannaCrypt0r 2.0, также известный как WannaCry. Всего за несколько часов он парализовал работу сотен тысяч работавших на Windows устройств в более чем 70 странах. В числе пострадавших оказались и российские силовые структуры, банки и мобильные операторы. Попав на компьютер жертвы, вирус шифровал жесткий диск и требовал отправить злоумышленникам 300 долларов в биткоинах. На размышление отводилось три дня, после чего сумма увеличивалась вдвое, а через неделю файлы зашифровывались навсегда.

Однако жертвы не торопились перечислять выкуп, и создатели «вредоноса»