Новости Software

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.

Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

 thenextweb.com

thenextweb.com

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

 Leon Compton / Twitter

Leon Compton / Twitter

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30. «Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.

Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Обновлено в 14:44. Корпорация Microsoft заявила информационному агентству RNS, что её антивирус способен защитить пользователей от вредоносного ПО Petya. По данным софтверного гиганта, шифровальщик использует несколько методов распространения, включая тот, который блокируется ранее выпущенным обновлением MS17-010.

Установить данный апдейт, если это ещё не было сделано, рекомендует и «Лаборатория Касперского». Также она советует запретить исполнение файла perfc.dat и запуск утилиты PSExec. В российской антивирусной компании утверждают, что уже работают над дешифратором, который не только сможет вернуть доступ к закодированным файлам, но и будет распознавать будущие модификации вируса.

Тем временем Petya продолжает распространяться по миру и теперь «направляется» в Азию. Как сообщает Bloomberg, из-за атаки уже наблюдались перебои в работе терминала компании A.P. Moller-Maersk в Джавахарлал Неру — крупнейшем контейнерном порту Индии. Из-за вируса управление грузопотоком пришлось перевести в ручной режим, так как автоматизированная система оказалась выведена из строя. Признаки активности вируса замечены и в Китае, но пока крупных сбоев там не обнаружено, сообщили в Qihoo 360 Technology Co.

Обновлено в 16:05. По высказанному ещё вчера мнению украинской киберполиции, распространение вируса Petya началось именно в этой стране через программу документооборота M.E.Doc после того, как та завершила автоматическое обновление. И хотя разработчики приложения первоначально отрицали такую возможность, Microsoft, проанализировавшая ситуацию, утверждает, что имеет веские доказательства проведения некоторых атак с использованием канала доставки апдейтов M.E.Doc.

Аналогичной точки зрения придерживаются и специалисты из ESET, установившие, что источником эпидемии Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометированное обновление программы M.E.Doc, широко распространённой в украинских компаниях. Последнее обстоятельство послужило ключевой причиной быстрого распространения вируса по организациям страны.

Для защиты от Petya компания ESET рекомендует использовать комплексное антивирусное ПО, обновлённое до последней версии и с актуальными вирусными базами, установить все патчи для Windows и проверить систему на защищённость от эксплойта EternalBlue. Если же заражение уже произошло, то первым делом необходимо отключить инфицированные рабочие станции от корпоративной сети. При этом платить злоумышленникам не следует, тем более, что, как мы писали ранее, адрес электронной почты, с которого хакеры якобы должны прислать ключ для дешифрования файлов, заблокирован.

Обновлено в 20:26. Пока в России и Украине — странах, первыми принявших на себя удар вируса Petya, — устраняют последствия его активности, эксперты из Check Point говорят о трендах, которые демонстрирует атака данного зловреда. По словам главы представительства компании в России и СНГ Василия Дягилева, появление Petya показало, насколько быстро могут создаваться и распространяться на глобальном уровне новые версии вредоносного ПО. При этом многие организации сейчас не готовы к превентивной защите для предотвращения подобных угроз. Простое их обнаружение, работавшее раньше, теперь не помогает — блокировать подозрительный контент и трафик нужно ещё до его попадания в сеть.

Тем временем, как и после атаки WannaCry, специалисты в области компьютерной безопасности предупреждают, что подобные вирусы будут встречаться всё чаще. «Больше не стоит вопрос, станет ли та или иная организация жертвой вымогательского ПО. Вопрос в том, как скоро это произойдёт», — заявил гендиректор компании Druva Джасприт Сингх (Jaspreet Singh).

К слову, на данный момент ущерб от Petya ещё не подсчитан. Однако, как написала в своём твиттере компания «Роснефть», в числе первых подвергшаяся атаке 27 июня, её производственные процессы нарушены не были. «Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно», — говорится в сообщении, опубликованном днём в среду, 28 июня.

Обновлено в 22:16. Из различных уголков планеты продолжают поступать новости о «достижениях» вируса-вымогателя Petya. На этот раз сообщается о проблемах у TNT Express — одной из крупнейших международных компаний экспресс-доставки, расположенной в Нидерландах. Сервис продолжает функционировать, но в его работе наблюдаются задержки. «В настоящее время мы не можем оценить финансовые последствия данного сбоя, но они могут быть существенными», — прокомментировали ситуацию в корпорации FedEx, владеющей TNT Express.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
И ты, Брут: браузер Chrome начал призывать пользователей Windows 7 и 8.1 обновить ОС 8 мин.
Apple расширила ценовой диапазон в App Store — теперь приложение может стоить от $0,29 до $10 000 3 ч.
Microsoft обязалась 10 лет выпускать Call of Duty на консолях Nintendo и «в любой день» готова подписать соглашение с Sony 4 ч.
Создатели Dead Island 2 показали геймплей за зомби и функцию голосового управления 5 ч.
THQ Nordic подтвердила дату выхода экшен-платформера SpongeBob SquarePants: The Cosmic Shake — предзаказ доступен и в российском Steam 5 ч.
Microsoft рассматривает создание «суперприложения» для смартфонов, вдохновившись WeChat и «Яндекс.Go» 5 ч.
Adobe приступила к сокращению сотрудников вслед за другими IT-гигантами 6 ч.
Мобильная The Witcher: Monster Slayer в духе Pokemon GO закроется, не прожив и двух лет — разработчиков ждут увольнения 15 ч.
Токены и смарт-карты JaCarta совместимы с инфраструктурой виртуальных рабочих мест «Базис.WorkPlace» 15 ч.
Легендарный симулятор колонии дварфов Dwarf Fortress добрался до Steam — в том числе российского 16 ч.
ViewSonic представила портативный 15,6-дюймовый монитор ColorPro VP16-OLED для профессионалов 16 мин.
Поставки iPhone снизятся ещё сильнее, считает один из крупных поставщиков Apple 25 мин.
Colorful подтвердила, что GeForce RTX 4070 Ti — это переименованная GeForce RTX 4080 12GB 35 мин.
Старт продаж видеокарт Radeon RX 7900-й серии пройдёт с осложнениями — ожидаются дефицит и перенос выпуска некоторых моделей 57 мин.
Blue Origin поборется со SpaceX за контракт NASA на ещё один лунный посадочный модуль 2 ч.
Intel подтвердила подготовку чипов Sapphire Rapids для рабочих станций — по слухам, у них будет до 56 ядер 2 ч.
Через два года у Apple, AMD и NVIDIA появятся чипы «Made in USA»: их будет выпускать TSMC на новых заводах в Аризоне 4 ч.
TSMC уже работает над освоением 1-нм техпроцесса, заявил министр экономики Тайваня 6 ч.
Электромобиль Apple выйдет позже, чем ожидалось, откажется от полного автопилота, но будет дешевле $100 000 7 ч.
Новая статья: Обзор смартфона Xiaomi 12T Pro: прямо как раньше 14 ч.