WTF

Как вирус (Not)Petya распространяется по миру и что с ним делать

Николай Овчинников

Во вторник вирус Petya/PetWrap/NotPetya атаковал учреждения и фирмы в России, Украине, Европе и США — всего около двух тысяч жертв. Вредоносная программа шифровала данные на компьютерах и просила выкуп в биткоинах. Рассказываем, что это за вирус, кто от него пострадал и кто его создал.

Что это за вирус?

Вредоносная программа, которая маскируется под вложения в электронной почте. Если пользователь скачивал его и запускал от имени администратора, то программа перезагружает компьютер и запускает якобы функцию проверки диска, а на самом деле шифрует сперва загрузочный сектор, а потом и остальные файлы. После этого пользователь видит сообщение с требованием оплатить сумму в биткоинах эквивалентную $300 взамен на код расшифровки данных.

Так работает вирус

Так работал вирус Petya. Его первую версию нашли ещё весной 2016 года. В «Лаборатории Касперского» заявляли, что данные на зашифрованном диске можно восстановить. Рецепт дешифровки тогда публиковал редактор Geektimes Максим Агаджанов. Есть и другие версии дешифровальщиков. Насколько они эффективны и подходят ли к новым версиям вируса, мы подтвердить не можем. Специалист по информационной безопасности Никита Кныш пишет на GitHub, что не подходят. Средства борьбы с вирусом после заражения на данный момент нет.

С какой версией вируса мы имеем дело сейчас, неизвестно. Более того, ряд экспертов считает, что мы имеем дело не с Petya. Служба безопасности Украины (СБУ) заявила, что госучреждения и фирмы страны атаковал вирус Petya.A и восстановить зашифрованные данные невозможно. В «Лаборатории Касперского» вечером во вторник сообщили, что «это не Petya», а некий новый вид вируса, названный экспертами NotPetya. Так же считают в компании «Доктор Веб». Yahoo News со ссылкой на неназванных экспертов пишет, что речь идёт о модификации Petya под названием PetrWrap. В компании Symantec заявили, что речь всё-таки идёт о Petya.

Глава международной исследовательской команды «Лаборатории Касперского» Костин Райю пишет, что вирус распространяется через письма с адреса [email protected] Также он сообщил, что Petya/PetWrap/NotPetya скомпилировали 18 июня.

Один из вариантов страницы с требованием выкупа (фото: Avast Blog)

В «Лаборатории Касперского» также считают, что новый вирус использовал ту же уязвимость в Windows, что и WannaCry. Эта вредоносная программа поразила компьютеры по всему миру 12 мая. Она также шифровала данные на компьютере и требовала выкупа. Среди пострадавших были МВД России и мобильный оператор «Мегафон». Microsoft ликвидировал уязвимость ещё в марте: от WannaCry и Petya/PetrWrap/NotPetya пострадали те, кто не обновил систему.

Кто от него пострадал?

Украина

Фото из харьковского супермаркета РОСТ, компьютеры которого тоже поразил вирус

Банки: «Ощадбанк», «Укргазбанк», «Пивденный», «ОТР», «ТАСКомбанк», «Кредобанк», «Сбербанк». У части банков не работают банкоматы, но функционирует мобильный сервис. Атаки избежал второй крупнейший банк страны «Приватбанк».

Транспорт: «Укрзализныця», киевский метрополитен. Перестал работать сайт и онлайн-табло киевского аэропорта «Борисполь».

Мобильные операторы: Lifecell, Киевстар, Vodafone Украина

Энергетические предприятия: ДТЭК, «Киевэнерго», «Укрэнерго». На некоторых технику выключили превентивно. Около 17:30 по местному времени из-за хакерской атаки отключили компьютеры на Чернобыльской АЭС. Начальник смены ЧАЭС Владимир Ильчук заявил, что «по сооружениям ухудшения радиационной обстановки не произошло». Как пишет «Медуза», мониторинг радиации сотрудники станции стали проводить в ручном режиме.

Официальный твиттер Украины пытается приободрить граждан при помощи мема «This is fine»

Крупные компании «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Артериум», «Фармак», клиника «Борис», больница Феофания, «Укртелеком», «Укрпочта», украинский филиал сети супермаркетов «Ашан», автозаправки Shell, WOG, Klo и ТНК.

СМИ: «Корреспондент.нет», «КП в Украине» «Обозреватель», «24 Канал», СТБ, «Интер», «Новый канал», ATR, радио «Люкс», «Максимум» и «Эра-FM».

Компьютер в кабинете министров Украины (фото: Павел Розенко)

Органы власти: Кабинет министров Украины, министерство инфраструктуры, мэрия Одессы, Львовский городской совет, Нацбанк, Киберполиция, национальная полиция, министерства культуры, финансов и энергетики. Глава кабмина Владимир Гройсман сказал, что важные системы не пострадали из-за кибератаки. В МВД Украины превентивно выключили технику.

AIN.UA сообщает о случаях заражения домашних компьютеров.

Россия

Крупнейшая жертва кибератаки в России — «Роснефть». Официальный твиттер нефтяной компании сообщил о «мощной атаке» на сервера, перестал работать сайт «Роснефти». По данным «Ведомостей», вирус поразил компьютеры в НПЗ «Башнефти», «Башнефть-добыче» и управлении «Башнефти». Все они принадлежат «Роснефти». Представители компании предостерегли тех, кто будет распространять «лживые слухи».

RNS пишет, что атаке подверглись компания Mondelez, производящая шоколад Alpen Gold и Milka, и фирма Mars: у неё «затруднения с работой IT-системы сегмента [корма для животных] Royal Canin»

О хакерской атаке сообщили в офисе металлургической компании Evraz и банка «Хоум кредит». В Центробанке РФ заявили, что от хакеров пострадали ещё несколько кредитно-финансовых организаций: каких — не сообщается.

Евросоюз

Вечером во вторник появились сообщения об атаках на европейские и американские компании. Среди них — британская рекламная фирма WPP, голландские транспортная компания APM и служба доставки TNT, французский производитель стройматериалов «Сен-Гобен», международный оператор морских перевозок Moller-Maersk, американская фармацевтическая Merck и юридическая фирма DLA Piper. Т

The Independent пишет, что вирус заразил компьютеры компаний в и Индии. Bleepingcomputer сообщает о пострадавших датских компаниях. От атаки пострадал испанский офис компании Mondelez. Костин Райю пишет об атаках на компьютеры в Польше, Италии, Германии и Беларуси.

Как от него защититься?

Установите патч с официального сайта Microsoft, а потом — ещё один.

Обновите Windows, если это возможно. Обновите антивирус, если у вас это не происходит автоматически.

Не открывайте файлы в письмах, которые вам покажутся подозрительными. Если вам пришло письмо от друга с вложением, уточните у него, отправлял ли он вам что-то.

Если компьютер внезапно захотел перезагрузиться, выключите его и не включайте. Если есть возможность, подключите жёсткий диск к другому устройству. Не используйте как загрузочный. Проверьте его антивирусом.

Не подключайте к компьютеру что попало. Отключите автозапуск для внешних устройств. Petya пока распространяется по электронной почте, но лишняя перестраховка не помешает.

Кто его распространяет?

Неизвестно. Вымогатели к вечеру собрали на своём биткоин-кошельке $8050, следить за поступлениями можно в твиттер-аккаунте petya_payments. Шон Салливан из финской F-Security заявил, что судя по характеру атаки, за ней стоят «профессиональные преступники» с деньгами и мотивацией.

Технология, использованная при атаке WannaCry, была разработана американским Агентством национальной безопасности. Основная версия той атаки — за ней стоят власти КНДР.

Глава департамента информационной безопасности администрации президента Украины Дмитрий Шимкив пишет в своём фейсбуке, что ранее в ведомстве уже фиксировали подобную атаку.

Советник главы МВД Украины Антон Геращенко заявил, что за вирусом стоит Россия. Так же считают в СБУ: пресс-секретарь ведомства Елена Гитлянская заявила, что атаку могли запустить из России или с территорий на востоке Украины, которые контролируют пророссийские сепаратисты.

Пресс-секретарь «Роснефти» Михаил Леонтьев заявил, что целью кибератаки могло быть повреждение компьютеров «Башнефти», где есть «большое количество информации» о ее деятельности при «предыдущих собственниках». Речь об АФК «Система»: она владела «Башнефтью» до 2014 года и сейчас судится с «Роснефтью».

Фото на обложке: Avast Blog

Подпишись на Аппарат
Facebook
Вконтакте
E-mail дайджест
Популярное за неделю