Petya пошёл в атаку на сети

Не успел весь мир восстановиться после атаки Wanna Cry, как 27 июня на сети набросился новый вымогатель Petya.

Как и его предшественник Wanna Cry, Petya шифрует данные и требует выкуп в биткоинах. Сумма выкупа эквивалентна 300 долларам США. Уже установлено, что первыми атаке подверглись банки Украины.

В США расследованием ситуации с очередной кибератакой занимаются ФБР, АНБ и другие специальные организации, пишет RNS. По данным Reuters, о начале расследования сказано было в заявлении представителя Белого дома.

Как сообщается в заявлении, Совет национальной безопасности не увидел в активности вируса угрозы для общественной безопасности. Вместе с тем, власти США расследуют ситуацию и полны решимости привлечь виновных в кибератаке к ответственности, подчеркивается в заявлении.

Называемый в разных источниках по-разному вирус-вымогатель Petya.A или Petya.С поразил IT-системы множества разных по масштабу компаний на Украине и в России днём 27 июня.

Специалисты американской компании по производству программного обеспечения Symantec заявили, что в новой глобальной кибератаке использовался тот же инструмент разведслужб США под названием Eternal Blue, который был задействован в майской атаке с вирусом WannaCry, пишет New York Times.

Основным каналом распространения стали локальные сети. При атаке вирус шифрует файлы или даже вообще весь жёсткий диск компьютера при помощи 128-битного AES-шифрования с открытым ключом, что серьезно затрудняет возвращение данных без удовлетворения запросов вымогателей. По состоянию на конец дня хакеры заработали порядка 2,4 биткоина, или $ 6000. Честно сказать, не бешеные деньги, учитывая размах атаки.

Нападению подверглись несколько российских банков. Но по информации Банка России, в результате атак нарушений работы систем банков и нарушений предоставления сервисов клиентам не зафиксировано", – сообщает ТАСС.

По данным антивирусной компании ESET, в первую десятку пострадавших от вируса стран вошли Украина, Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в списке занимает лишь 14-е место.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) ЦБ РФ совместно с банками работает над устранением последствий выявленных атак. IT-системы Сбербанка и Альфа-банка работают в штатном режиме, рассказали ранее ТАСС в пресс-службах кредитных организаций.

Вчера с 16:45 мск не работал сайт банка "Хоум кредит" в связи с проведением превентивных мер из-за массовых кибератак. Офисы кредитной организации работают в консультационном режиме, при этом на банкоматах можно совершать любые операции.

Компания Group-IB сообщила об атаке вируса-вымогателя на "Роснефть", "Башнефть", Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Вирус Petya блокирует компьютеры и требует выкуп в размере $300 в биткоинах. Специалисты Group-IB также установили, что недавно этот вирус использовала группа Cobalt с целью скрыть следы целевой атаки на финансовые учреждения.

От вируса пострадали украинские предприятия. Национальный банк Украины (НБУ) сообщил, что банки и предприятия коммерческого и государственного секторов страны подверглись "внешней хакерской атаке" неизвестным вирусом. В частности, были атакованы правительственные компьютеры, украинские операторы ("Киевстар", LifeCell, "Укртелеком") и Приватбанк.

Напомним, предыдущая крупная атака на компьютерные системы российских компаний и госучреждений была зафиксирована 12 мая. Хакеры при помощи вируса WannaCry "напали" на компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число попыток заражений было зафиксировано в России. Преступники прибегли к шпионскому программному обеспечению, которое использовало Агентство национальной безопасности США.

Исследователи в компании по компьютерной безопасности Symantec заявили, что в новой атаке использовался тот же хакерский инструмент, созданный Агентством национальной безопасности, который был применён в атаках WannaCry. Под названием Eternal Blue, он был среди десятков инструментов, просочившихся в сеть в прошлом апреле (при помощи действий) группы, известной под названием Shadow Brokers". Тем не менее, АНБ не признала использования своих инструментов в случае с вирусом WannaCry или других атаках.

Нынешний инцидент — "улучшенная и более губительная версия WannaCry", заявил "Нью-Йорк Таймс" исследователь Матьё Суиш, который весной помог сдержать распространение эпидемии WannaCry.

К утру 28 июня эксперты разработчика программного обеспечения в сфере информационной безопасности Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя, сообщает ТАСС. В ходе исследования образца вируса Petya, атаковавшего компьютеры 27 июня, специалисты обнаружили особенность, которая позволяет выключить вирус.

По данным Positive Technologies, вирус Petya воздействует на главную загрузочную запись (MBR - код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет её собственными данными. После попадания в систему вирус даёт компьютеру команду перезагрузиться через 1-2 часа, а после перезагрузки вместо операционной системы запускается вредоносный код. Однако если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.

Локально отключить шифровальщик можно, создав файл "C:\Windows\perfc", отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится. "Таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование", - отмечают эксперты Positive Technologies.

В том случае, если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке "C:\Windows\". Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.