Сегодня 18 ноября 2017
18+
Теги → шифровальщик
Быстрый переход

Россия остаётся одной из основных мишеней программ-шифровальщиков

«Лаборатория Касперского» проанализировала активность программ-шифровальщиков в третьем квартале текущего года: интенсивность атак таких зловредов в июле–сентябре стабильно росла.

В прошлом квартале эксперты выделили пять новых семейств шифровальщиков. Такие программы, попав на компьютер жертвы, кодируют файлы распространённых форматов, после чего требуют выкуп за восстановление доступа к информации. Обычно злоумышленники вымогают деньги в криптовалютах.

Как сообщается, июль оказался месяцем с наименьшей активностью шифровальщиков, сентябрь — с наибольшей. Хотя количество атак росло на протяжении квартала, оно осталось ниже показателей мая и июня, когда прогремели две массовые эпидемии вымогателей (WannaCry и ExPetr).

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, третий квартал 2017

Количество уникальных пользователей, атакованных троянами-шифровальщиками, третий квартал 2017

Россия остаётся одной из основных мишеней программ-шифровальщиков. Причём если во втором квартале наша страна находилась на десятой позиции рейтинга наиболее атакуемых стран, то в третьей четверти нынешнего года она поднялась на шестую строку.

В прошлом квартале наибольшее распространение получили шифровальщики семейства WannaCry (16,78 %). Эксперты полагают, что такая картина будет наблюдаться ещё некоторое время: зловред распространяется бесконтрольно, а в мире остаётся огромное число компьютеров с незакрытой уязвимостью, которую он эксплуатирует.

На второе место вышел Crypton (14,41 %) — этот шифровальщик появился ещё прошлой весной, с тех пор он много раз видоизменялся и был замечен под множеством названий: CryptON, JuicyLemon, PizzaCrypts, Nemesis, x3m, Cry9, Cry128, Cry36. Замыкает первую тройку шифровальщик Purgen (6,90 %). 

Киберкампания Bad Rabbit: оценка возможности дешифровки и восстановления файлов

«Лаборатория Касперского» обнародовала довольно детальный анализ вредоносной программы Bad Rabbit, которая атаковала компьютеры компаний, организаций и рядовых пользователей на этой неделе.

По данным «Лаборатории Касперского», Bad Rabbit относится к ранее неизвестному семейству программ-вымогателей. Зловред распространятся с помощью атаки типа drive-by: жертва посещает легитимный веб-сайт, а на её компьютер из инфраструктуры организатора атаки загружается дроппер. Преступники не использовали эксплойты, поэтому для заражения пользователь должен был вручную запустить файл, замаскированный под установщик Adobe Flash.

Вымогатель шифрует файлы и накопитель поражённого компьютера. Для файлов используются алгоритмы AES-128-CBC и RSA-2048; разделы диска шифруются драйвером DiskCryptor с использованием AES в режиме XTS.

Алгоритмы работы Bad Rabbit предполагают, что организаторы атаки могут декодировать зашифрованные файлы. Увы, расшифровать данные без содействия злоумышленников невозможно: симметричные ключи безопасно генерируются на стороне зловреда, что на практике исключает возможность их подбора.

Но шансы вернуть файлы, не платя выкуп, всё же есть. «Данные, зашифрованные Bad Rabbit, могут быть восстановлены. Исследователи "Лаборатории Касперского" обнаружили, что Bad Rabbit не удаляет теневые копии после шифрования файлов. Это означает, что жертва зловреда может восстановить оригинальные версии файлов в том случае, если теневые копии были созданы до заражения, а шифровальщик по какой-то причине не выполнил полное шифрование диска. Для восстановления данных понадобятся стандартные механизмы Windows или сторонние утилиты», — приводит Агентство городских новостей «Москва» заявления специалистов «Лаборатории Касперского».

Сейчас эксперты подробно анализируют шифровальщик, чтобы найти возможные недостатки в его криптографических алгоритмах. 

Атака вымогателя BadRabbit: подробности и способ защиты

В минувший вторник, 24 октября, в России была зафиксирована масштабная атака шифровальщика BadRabbit, от которого пострадали средства массовой информации (СМИ), различные компании и рядовые пользователи. После предварительного анализа зловреда специалисты по вопросам информационной безопасности поделились первыми выводами.

Как ранее сообщала «Лаборатория Касперского», атака направлена прежде всего на корпоративные сети. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу составляет около $280, или примерно 16 тыс. рублей.

По данным вирусной лаборатории ESET, атакам BadRabbit (Diskcoder.D) подверглись СМИ, транспортные компании и государственные учреждения. «Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны», — говорится в сообщении.

«Лаборатория Касперского» уже высказывала предположения, что атака BadRabbit может быть связана с киберкампанией ExPetr (она же Petya или NotPetya). Теперь эту информацию подтверждают специалисты Group-IB. В частности, установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya.

Экспертами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика со взломанных интернет-ресурсов. На таких сайтах в HTML-код был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление плеера Adobe Flash. В случае согласия происходила загрузка и запуск вредоносного файла.

BadRabbit имеет модуль распространения с использованием протокола SMB. Установлено также, что в атаке используется программа Mimikatz, которая перехватывает на заражённой машине логины и пароли.

Для защиты от BadRabbit эксперты рекомендуют создать файл C:\windows\infpub.dat и задать для него атрибут «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы. Разумеется, нельзя пренебрегаться антивирусными средствами и обновлением операционной системы, а также инструментов безопасности.

Некоторые дополнительные подробности о киберкампании BadRabbit можно найти здесь

Bad Rabbit: в России грядёт эпидемия нового шифровальщика

«Лаборатория Касперского» предупреждает о том, что в России наблюдаются атаки опасной вредоносной программы — шифровальщика Bad Rabbit. Эти нападения могут вылиться в очередную масштабную эпидемию.

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

В нынешнем году российские пользователи уже попадали под удар двух нашумевших шифровальщиков. Речь идёт о зловредах WannaCry и ExPetr (он же Petya). «Лаборатория Касперского» отмечает, что организаторы атаки Bad Rabbit используются методы, похожие на те, что наблюдались в ходе киберкампании ExPetr. Однако связь между двумя этими атаками пока не подтверждена.

По имеющимся данным, из-за атаки Bad Rabbit пострадали российское информационное агентство «Интерфакс» и онлайн-издание «Фонтанка». На момент написания заметки корреспондентам 3DNews не удалось открыть эти ресурсы.

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — пишет в Twitter «Интерфакс».

Очевидно, что атака Bad Rabbit тщательно готовилась. Эксперты по вопросам информационной безопасности занимаются изучением проблемы и поиском методов расшифровки файлов. Мы будем следить за развитием событий. 

Пользователям Android угрожает опасный шифратор с функцией блокировки устройства

Компания ESET предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств под управлением операционной системы Android.

Обнаруженный зловред получил имя DoubleLocker: это шифровальщик, вымогающий деньги у пользователей смартфонов и планшетов. В основу программы положен один из мобильных банковских троянов, но функции сбора персональных данных жертв не предусмотрены.

Вместо кражи банковской информации DoubleLocker пытается вынудить владельцев Android-устройств заплатить деньги за восстановление доступа к гаджету и данным. Дело в том, что после проникновения на смартфон или планшет зловред изменяет PIN-код на произвольный, а также шифрует найденные файлы. Такое сочетание функций в экосистеме Android, как отмечает ESET, наблюдается впервые.

Вымогатель распространяется преимущественно под видом Adobe Flash Player через скомпрометированные сайты. После запуска зловред предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора.

ESET

ESET

Путём изменения PIN-кода зловред препятствует использованию устройства. В качестве нового PIN задаётся случайное значение, причём код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить. Зато после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать гаджет.

DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм AES. При этом закодированные файлы получают расширение .cryeye. Сумма выкупа составляет 0,013 биткоина (около 4000 рублей), в сообщении подчёркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не перечислить, данные останутся зашифрованными, но удалены не будут. 

Новый зловред имитирует работу шифровальщика

Компания ESET предупреждает о росте активности новой вредоносной программы, которая «притворяется» зловредом с функциями вымогателя.

Программа носит имя MSIL/Hoax.Fake.Filecoder. Проникнув на компьютер жертвы, она отображает окно с требованием выкупа за восстановление доступа к якобы закодированным файлам. На деле же функции шифрования зловред не поддерживает.

Любопытно, что выводимое сообщение закрывает рабочий стол, блокируя доступ пользователя к файлам, папкам и приложениям. В этом уведомлении говорится, что все важные документы, фотографии и видеоматериалы, базы данных и другие ценные файлы заблокированы. Пользователю предлагается внести выкуп в размере 0,5 биткоина в течение трёх дней. Через три дня сумма выкупа удваивается, через семь — расшифровать файлы будет невозможно.

В целом, MSIL/Hoax.Fake.Filecoder весьма убедительно копирует поведение «классических» шифраторов. Это может ввести жертву в заблуждение.

ESET отмечает, что вредоносная программа распространяется по стандартной для большинства шифраторов схеме — в электронной почте с вредоносным вложением или ссылкой. В качестве документа-приманки, запускающего загрузку вредоносной программы, выступают «исковые заявления», «кредитные договоры», «неоплаченные счета» и пр.

Анализ показывает, что осуществлять шифрование файлов программа не способна в принципе — в её коде попросту отсутствуют соответствующие алгоритмы. Операторы лжешифратора рассчитывают исключительно на методы социальной инженерии, а также общественный резонанс от недавних атак шифраторов. 

Киберпреступная схема «вымогатель как услуга» набирает популярность

Исследование, проведённое компанией Positive Technologies, показало, что во втором квартале текущего года продолжили набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия стали наиболее частыми жертвами атак, хотя больше четверти (28 %) киберкампаний были масштабными и затронули одновременно десятки стран.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение с требованием выкупа за восстановление доступа к данным. Обычно жертве предлагается заплатить некую сумму в криптовалюте.

По статистике Positive Technologies, 67 % атак шифровальщиков во втором квартале текущего года были совершены с целью получения прямой финансовой выгоды. Так, нашумевшая эпидемия вируса-вымогателя WannaCry принесла злоумышленникам около $130 тыс., а ущерб компаний составил более миллиарда долларов.

Киберпреступники всё чаще сдают вредоносное ПО с функциями шифрования в аренду. Так, дистрибьютор Petya или Mischa получает от 25 % до 85 % от суммы платежей жертв, а троян-шифровальщик Karmen продаётся на чёрном рынке за $175.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв. 

Компания Maersk потеряла $300 млн из-за ExPetr

В конце июня текущего года датская компания A.P. Moller-Maersk, занимающаяся судоходным и логистическим бизнесом, стала жертвой компьютерного вируса-вымогателя ExPetr. Согласно прогнозу, опубликованному в отчёте за второй квартал, это обойдётся ей в $200–300 млн упущенной выгоды. Уточнённую сумму убытков конгломерат, скорее всего, сообщит уже в итогах третьей четверти, ведь негативные последствия кибератаки он продолжал испытывать на себе на протяжении первых двух недель июля.

Наибольшие масштабы заражения шифровальщиком ExPetr наблюдались в подразделениях Maersk Line (морские грузоперевозки), APM Terminals (контейнерные терминалы) и Damco (логистика). Работа нескольких портов была парализована в течение нескольких дней, что для компании такого уровня не могло не обойтись сотнями миллионов долларов ущерба. Отметим, что представительства Maersk находятся более чем в 135 странах мира, а общее число их сотрудников достигает 90 000 человек. Кроме того, Maersk считается крупнейшим в мире оператором морских контейнерных перевозок.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что ExPetr начал свое распространение 27 июня 2017 года с Украины через скомпрометированное обновление программы документооборота M.E.Doc, а затем проник в Россию и другие страны. Как и его предшественник WannaCry, зловред требовал выкуп в размере $300 в Bitcoin-эквиваленте за якобы расшифровку файлов. Однако, как позже выяснили эксперты «Лаборатории Касперского», на самом деле такая функция в него заложена не была. Кроме того, email-адрес, посредством которого жертвы должны были связываться с хакерами для разблокировки своих компьютеров, был закрыт сервис-провайдером Posteo.

Проект No More Ransom сэкономил жертвам вымогателей миллионы евро

Год назад Европол, полиция Нидерландов, «Лаборатория Касперского» и Intel Security запустили проект No More Ransom для борьбы с программами-шифровальщиками и вымогателями. Теперь участники инициативы отрапортовали о результатах работы этого ресурса.

В рамках проекта был запущен специальный веб-сайт, на котором пользователи могут найти информацию о шифровальщиках и исходящих от них угрозах, а также получить бесплатные инструменты для восстановления своих данных.

Сообщается, что за прошедший год инициативу поддержали более ста партнёров, среди которых как частные компании, так и правоохранительные органы разных стран. Это, в частности, банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE).

Сейчас на сайте No More Ransom можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год ресурс посетили 1,3 миллиона уникальных пользователей.

В общей сложности за минувший год благодаря проекту No More Ransom было расшифровано более 28 тысяч заражённых вредоносным ПО устройств. Сумма сэкономленных на выкупе денег составила 8 миллионов евро.

Отмечается также, что общее количество пользователей, столкнувшихся с шифровальщиками, растёт: за последний год оно увеличилось на 11 % и превысило уже 2,5 миллиона человек. В такой ситуации развитие проекта No More Ransom помогает эффективнее бороться с кибервымогателями. 

Количество жертв программ-шифровальщиков быстро растёт

«Лаборатория Касперского» подсчитала, что количество пострадавших от программ-вымогателей за год увеличилось практически в два раза.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение о проведённом кодировании, которое сопровождается предложением заплатить выкуп за восстановление доступа к данным. Как правило, злоумышленники требуют вознаграждение в криптовалюте.

Итак, по данным «Лаборатории Касперского»,  количество пострадавших от троянов, шифрующих файлы, выросло практически вдвое — с 718 536 в 2015–2016 годах до 1 152 299 в 2016–2017. При этом число пользователей, ставших жертвами всех программ-вымогателей, за тот же период выросло только на 11,4 %: с 2 315 931 до 2 581 026.

Лаборатория Касперского

Лаборатория Касперского

Эксперты отмечают, что всё чаще шифровальщики нацелены на финансовую и промышленную инфраструктуру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации гораздо более прибыльными, чем массовые атаки на рядовых пользователей. В таком случае целью киберпреступников становятся не только деньги компании, но и ценная информация, которую можно использовать для шантажа или саботажа.

Злоумышленники также активно осваивают новые территории. Например, Россия ранее входила в десятку государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями, но по итогам отчётного периода уступила место таким странам, как Турция, Вьетнам и Япония. 

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. 

ExPetr парализовал работу крупной медицинской компании

Сеть медицинских клиник «Инвитро» приостановила приём биоматериала для анализов в своих офисах на территории России, Белоруссии и Казахстана, о чём известила клиентов через свой сайт. Как сказано в объявлении, скриншот которого приведён ниже, это связано с процессом восстановления инфраструктуры компании после кибератаки.

Воздействию какого вредоносного ПО подверглась «Инвитро», не уточняется, но двумя днями ранее в официальной группе клиники во «ВКонтакте» появилось сообщение о кибератаке, «которой вчера подверглись крупнейшие компании во всем мире». Иными словами, речь идёт о вирусе-вымогателе, который в обиходе называют Petya, а «Лаборатория Касперского» окрестила его ExPetr, подчеркнув, что с оригинальным Petya, обнаруженном ещё в 2016 году, он имеет мало общего.

Последствия эпидемии очередного шифровальщика «Инвитро» ощутила на себе ещё в среду. Тогда сообщалось, что из-за вызванного вирусом сбоя лаборатории испытывают проблемы с доставкой результатов исследований пациентам, но утечка персональных данных допущена не была. Когда клиники сети возобновят нормальную работу, пока не говорится. Надо отметить, что «Инвитро» позиционирует себя как крупнейшую частную медицинскую компанию в России, располагающую 900 офисами, так что перебои в её работе не могли пройти незамеченными.

Согласно статистике «Лаборатории Касперского», наибольшее число заражённых ExPetr компьютеров зафиксировано на территории Украины (60 %), второе место по этому показателю занимает Россия (30 %), в то время как на Польшу приходится 5 % случаев инфицирования. Данные другой антивирусной компании — ESET — подтверждают первенство Украины в степени заражённости компьютеров вирусом, говоря о доле в 75 %, а вот Россию ставят только на седьмую позицию с 0,82 % прецедентов. Среди крупных российских компаний, ставших жертвами ExPetr, оказалась «Роснефть», в Нидерландах пострадала служба экспресс-доставки  TNT Express, а в Индии перебои наблюдались в контейнерном грузовом порту Джавахарлал Неру. Подробнее об эпидемии можно узнать из нашего отдельного материала.

«Лаборатория Касперского»: у жертв ExPetr нет шансов расшифровать файлы

Вирус-шифровальщик, атаковавший 27 июня сначала компьютеры на территории Украины и России, а затем распространившийся в других странах и дошедший даже до не пострадавшей от WannaCry Австралии, изначально причисляли к семейству вымогателей Petya, обнаруженному ещё в 2016 году. Однако позже «Лаборатория Касперского» установила, что вредоносное ПО имеет с уже известными разновидностями лишь несколько общих строк кода, в целом представляя собой новый вирус. Его компания назвала ExPetr, хотя в Интернете он также упоминается как NotPetya.

Фото: Лаборатория Касперского

Фото: Лаборатория Касперского 

Согласно последнему исследованию «Лаборатории Касперского», ExPetr/NotPetya по своей сути не является вымогателем в привычном понимании, так как у пользователей зараженных компьютеров изначально нет шансов вернуть доступ к зашифрованным файлам даже в случае уплаты выкупа в размере $300 в Bitcoin-эквиваленте.

Эксперты обратили внимание на то, что в предыдущих версиях шифровальщиков Petya/Mischa/GoldenEye содержался специальный идентификатор с информацией для дешифрования. Что же касается ExPetr, то показываемый им Installation Key является бессмысленным набором символов, то есть ключ для расшифровки по нему получить нельзя. Напомним также, что email-адрес, на который жертвы должны пересылать сведения о выплате выкупа и другие данные для разблокировки, был закрыт сервис-провайдером Posteo. Таким образом, шансов вернуть свои файлы у пострадавших от активности ExPetr нет, констатировали в «Лаборатории Касперского».

Фото: Group-IB

Фото: Group-IB 

Интенсивность атак вирусов-вымогателей растёт

«Лаборатория Касперского» обнародовала отчёт в сфере кибербезопасности, посвящённый изучению характера угроз вирусов-вымогателей.

Представленные данные охватывают период с апреля 2016 по март 2017 года. Полученные данные сравниваются с результатами за период с апреля 2015 по март 2016 года.

Итак, сообщается, что интенсивность атак вредоносных программ с функциями вымогания денег растёт. Общее количество пользователей, столкнувшихся с вирусами-вымогателями в течение года, увеличилось на 11,4 % — с 2 315 931 до 2 581 026 человек по всему миру.

Количество пользователей, подвергнувшихся атаке шифровальщиков, возросло почти вдвое — от 718 536 в 2015–2016 гг. до 1 152 299 в 2016–2017 гг. При этом, однако, количество пользователей, подвергнувшихся атаке мобильных вирусов-вымогателей, уменьшилось на 4,62 % — со 136 532 в 2015–2016 гг. до 130 232 в 2016–2017 гг.

Эксперты «Лаборатории Касперского» отмечают, что вредоносные атаки становятся всё более нацеленными на финансовую инфраструктуру по всему миру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации потенциально более прибыльными, чем массовые атаки на рядовых пользователей.

Специалисты говорят, что вирусы-вымогатели усложняются и становятся более разнообразными. При помощи растущей и всё более эффективной подпольной экосистемы злоумышленники предлагают свои вредоносные решения «под ключ» тем, у кого недостаточно навыков, ресурсов или времени для создания собственного решения.

В результате развития инфраструктуры для взаимодействия между преступниками, появляются простые узконаправленные утилиты для совершения целевых атак и вымогательства денег, что придаёт атакам более рассредоточенный характер. Данная тенденция уже сформировалась и, скорее всего, будет наблюдаться в будущем. 

Клон шифровальщика WannaCry атакует крупные компании

Вредоносная программа, схожая по функциональности с печально известным вымогателем WannaCry, атакует крупные компании в России. Об этом сообщает газета «Ведомости», ссылаясь на информированные источники.

Напомним, что в первой половине мая пользователи и организации по всему миру пострадали от масштабной атаки зловреда WannaCry. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп за восстановление доступа к данным. WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как теперь сообщается, в Сети зафиксировано распространение нового зловреда, аналогичного по функциональности программе WannaCry. Вирус является модификацией известного шифровальщика Petya.A — он поражает жёсткий диск и распространяется при помощи ссылок в письмах. Отметим, что Petya — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли.

Как сообщают «Ведомости», от новой вредоносной программы пострадали практически все компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-добыча» и управлении «Башнефти»). Шифровальщик требует перевести 300 долларов США в биткоинах за расшифровку информации. Впрочем, «Башнефть» смогла продолжить работу благодаря переходу на резервную систему управления производственными процессами.

Отмечается также, что атакам вымогателя подверглись и другие крупные компании в нашей стране. О том, атакуют ли злоумышленники рядовых пользователей Интернета, ничего не сообщается.