Похожий на Petya, друг Misha: что известно о новом вирусе-вымогателе
Сообщается, что больше всех пострадали украинские компании — вирус заразил компьютеры крупных компаний, госструктур и объектов инфраструктуры.
За расшифровку файлов вирус требует от жертв 300 долларов в биткойнах.
Русская служба Би-би-си отвечает на главные вопросы о новой угрозе.
Кто пострадал?
Распространение вируса началось с Украины. Пострадали аэропорт "Борисполь", некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. Отключились компьютеры и в правительстве Украины.
Вслед за этим наступила очередь компаний в России: "Роснефть", "Башнефть", Mondelеz International, Mars, Nivea и другие также стали жертвами вируса.
Жертвы в других странах — британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие.
Как работает вирус?
Эксперты пока не пришли к единому мнению относительно происхождения нового вируса. Компании Group-IB и Positive Technologies видят в нем разновидность вируса Petya 2016 года.
"Это вымогательское программное обеспечение использует как хакерские методы и утилиты, так и стандартные утилиты системного администрирования, — комментирует руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. — Все это гарантирует высокую скорость распространения внутри сети и массовость эпидемии в целом (при заражении хотя бы одного персонального компьютера). Результатом является полная неработоспособность компьютера и шифрование данных".
В румынской компании Bitdefender видят больше общего с вирусом GoldenEye, в котором Petya объединяется с еще одним вредоносом под названием Misha. Преимущество последнего — для шифрования файлов он не требует у будущей жертвы права администратора, а добывает их самостоятельно.
Брайан Кэмбелл из Fujitsu и ряд других экспертов полагают, что новый вирус использует украденную у Агентства национальной безопасности США, модифицированную программу EternalBlue.
После публикации этой программы хакерами The Shadow Brokers в апреле 2017 года весь мир облетел созданный на ее основе вирус-вымогатель WannaCry.
Используя уязвимости Windows, эта программа позволяет вирусу распространяться на компьютеры по всей корпоративной сети. Оригинальный же Petya рассылался по электронной почте под видом резюме и мог заражать только тот компьютер, где это резюме открывали.
Microsoft опубликовала заплатку против EternalBlue еще в марте 2017 года, однако не все воспользовались ей даже после эпидемии WannaCry.
В "Лаборатории Касперского" заявили "Интерфаксу", что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения.
"Программные продукты "Лаборатории Касперского" детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.", — отметил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
В общем, если и называть новый вирус русским именем, нужно иметь в виду, что внешне он больше похож на чудовище Франкенштейна, поскольку собран из нескольких вредоносных программ. Доподлинно известно, что вирус появился на свет 18 июня 2017 года.
Круче чем WannaCry?
WannaCry понадобилось всего несколько суток в мае 2017 года, чтобы достичь статуса самой массовой кибератаки подобного рода в истории. Обгонит ли новый вирус-вымогатель своего недавнего предшественника?
За неполные сутки злоумышленники получили от своих жертв 2,1 биткойна — порядка 5 тыс. долларов. WannaCry за тот же срок собрал 7 биткойнов.
При этом, по мнению Эльмара Набигаева из Positive Technologies, бороться с новым вымогателем сложнее.
"Помимо эксплойта [уязвимости в Windows] эта угроза распростряется также с помощью учетных записей операционных систем, украденных с помощью специальных хакерских утилит", — отметил эксперт.
Как бороться с вирусом?
В качестве профилактики эксперты советуют вовремя устанавливать обновления для операционных систем и проверять файлы, полученные по электронной почте.
Продвинутым администраторам советуют временно отключить протокол передачи данных в сети Server Message Block (SMB).
Если же компьютеры оказались заражены — ни в коем случае не платить злоумышленникам. Нет никакой гарантии, что, получив оплату, они расшифруют файлы, а не станут требовать больше.
Остается только ждать программу-дешифровщик: в случае с WannaCry на ее создание у специалиста французской компании Quarkslab Адриена Гинье ушла неделя.