Подписаться Вход Регистрация
STOP-NEWS.COM - Новости со всего мира | Новости за 24 часа
суббота, 16 декабря 23:24

Вымогатель Petya

Petya - вирус-вымогатель. От него пострадали компании и учреждения во всем мире, но больше других - в России и Украине. Он блокировал работу компьютеров (PC) нефтяных, энергетических, телекоммуникационных и финансовых компаний, а также государственных органов этих стран, и требовал за разблокировку сумму в биткоинах, эквивалентную $300.

Petya – не новичок. Впервые он был обнаружен в марте 2016 года израильской компанией Check Point. И хотя тогда ему удалось заразить меньше компьютеров, чем другим программам-вымогателям, поведение нового вируса заметно отличалось, и израильские эксперты назвали его «следующим шагом в эволюции программ-вымогателей».

Одни утверждают, что он не принадлежит к ранее известным семействам вредоносного программного обеспечения, другие – он использует те же самые слабые места, что и вирус-вымогатель WannaCry в мае 2017 года.

В России серии хакерских атак подверглись серверы и файлы таких гигантов как Газпром, Лукойл, Сбербанк и Роснефть, которая вынуждена была перейти на резервную систему управления производственными процессами. В Украине пострадал УкрТелеком - крупнейший оператор телефонной связи.

Хакеры атаковали серверы представительств международных компаний в Испании, Германии и других странах Европы. Яростной назвали эксперты атаку мировых логистических компаний и морских грузоперевозчиков.

Американская компания по производству программного обеспечения Symantec заявила - в кибер-атаке использовался инструмент разведслужб США под названием Eternal Blue («неисчерпаемая синева»), который был задействован и в майской атаке с вирусом WannaCry.

По данным авторитетной Лаборатории Касперского, масштабная кибер-атака WannaCry по всему миру 12 мая затронула более 200 тысяч пользователей в 150 странах. Наибольшее число попыток заражений наблюдалось в России.

...Атака началась в 11 утра 27 июня, а на 18 часов того же дня биткоин-кошелек Petya содержал... 9 переводов, то есть - $2.7 тысячи.

А вот последствия атаки гораздо более серьезные - массовые хакерские атаки на сервера нефтяных и транспортных компаний вызвали опасения у инвесторов и привели к росту мировых цен на нефть на 2%.

Что же представляет собой вымогатель Petya?

Это эксплойт (exploit - эксплуатировать) - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении. Применяется часто для проведения атаки на вычислительную систему и даже сеть.

Эксплойт Eternal Blue позволил вирусу распространяться из-за уязвимости в сетевом протоколе Windows, который входит в состав операционных систем наших PC. Но хакеры дописали коды – и новый вирус пользуется другими путями.

Вымогатель вытаскивает пароли из памяти или файла нашего PC и с их помощью перемещается в другие системы. Распространяется через программы удаленного управления PsExec. Это означает - если администратор зараженного PC имеет доступ к сети, заразиться может каждый ее компьютер. Эта опасная комбинация объясняет - почему вирус распространился так быстро и повсеместно: чтобы получить доступ к сети, вирусу нужен лишь один уязвимый PC.

Следует отметить – подобного рода вымогателей много, но программным разнообразием они не отличаются, и действуют по одному и тому же алгоритму. Единственным реальным, эффективным и относительно недорогим способом противостояния подобного рода вирусам является крипто-защита как служебных, так и пользовательских файлов. В этом случае украсть пароль или зашифровать пользовательский файл не удастся.

В отличие от WannaCry, который внедрялся в старые версии Windows, Petya обучен проникать в самую последнюю версию - Windows 10.

Израильский специалист по вопросам безопасности американской компании Cybereason заявил – для препятствования распространению нового компьютерного вируса необходимо «заставить его думать, что он уже есть на компьютере».

И объяснил - когда вредоносная программа начинает работу, то сначала проверяет - шифровала ли она в прошлом файлы, чтобы не зашифровать их еще раз. Она ищет запускающий ее файл без окончания в архиве Windows (C:/Windows/perfc). И если находит, то не начинает атаку, полагая, что PC уже заражен.

Microsoft, понимая, что это его недоработка, немедленно сообщил - Windows 10 будет противостоять вирусам с помощью искусственного интеллекта.

Обратите внимание на заявление Лаборатории Касперского - жертвы вируса Petya не смогут восстановить файлы - после того как диск зашифрован, у самих создателей вируса уже нет возможности его дешифровать. Так что $300 откупных файлы не вернут.

Кто стоит за проведением атаки? Вы, наверное, будете удивлены, но Petya, который требует деньги, на вымогателя не очень похож - механизм вымогательства сконструирован неумело, единственный адрес столь плохо зашифрован, что несложно отследить движение денег.

Еще одна странность - требование отправить 60-значный персональный идентификационный ключ зараженной машины с компьютера, который невозможно копировать и вставлять. Реальные вымогатели так не поступают, и, судя по всему, Petya лишь маскируется под вымогателя, в то время как его истинная цель — нанесение ущерба. Но зачем?

...29 июня Petya добрался до Израиля – было атаковано израильское отделение датской компании морских перевозок Maersk – его европейские отделения подверглись атаке одними из первых.

Вирус «стучался» также в базы данных израильского отделения американского фармацевтического гиганта Mark, нескольких юридических фирм, в PC частных предприятий и 8 больниц в разных концах страны. Но дверь ему не открыли.

Сказался высокий технологический уровень Израиля - специалисты Управления национальной кибер-безопасности обеспечили защиту. Были атакованы 50 больничных компьютеров, на которых не была обновлена операционная система Windows. Их своевременно отключили от интернета, предотвратив тем самым распространение вируса. Ущерба причинено не было.

Специалисты по кибер-безопасности совершенствуют свои методы защиты. Но и вымогатели не дремлют, и не всегда можно предсказать – насколько «умным» будет их следующий вирус с экзотическим именем Li Zheng, Donald или Izhak.