vestihitech Читайте нас в Telegram

Страшный компьютерный вирус оказался еще страшнее - что не так с новым трояном-вымогателем, почему его называли Petya и каким образом он так быстро заразил целые сети солидных компаний? Об этом прямо сейчас в программе Вести.net.


Эпидемическая вспышка заражений вирусом-вымогателем Petya оказалась ударом гораздо более серьезным, чем предполагалось ранее. Велика вероятность того, что работоспособность пораженных систем восстановить не удастся. Ни уплатив выкуп, ни дождавшись решения от специалистов. 

Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского»:

"Троянец он шифрует файлы, если у него достаточно прав, он может зашифровать главную загрузочную область диска. И при детальном анализе оказалось, что расшифровать главную загрузочную область диска нельзя. Потому что просто нет такого функционала. Неизвестен ключ, которым можно расшифровать. Почему это было сделано достоверно не известно.
Это может быть как простая ошибка потому что очень спешили по какой-то причине провести атаку и не протестировали, либо возможно это был второй вариант – отвлекающий маневр, всем показать что это шифровальщик, второй WannaCry, что б все ломали голову над расшифровкой, платить/не платить. А истинная цель была. Возможно из многих жертв только одна какая-то организация была целевой. Все остальные были для отвода глаз.  

 

Да и сам вирус Petya оказался не Petya. И не модификацией наделавшего много шума месяц назад зловреда WannaCry, как предположили по началу. Как выяснилось после детального изучения кода вредоносной программы, под известный специалистам троян Petya, новый вирус только маскировался, поэтому его назвали ExPetya. А со знаменитым уже WannaCry его роднит использование уязвимости из украденного и рассекреченного арсенала АНБ.

Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского»:

"ExPetya использует EternalBlue. Чуть модифицировав. Но и еще одну уязвимость из того же набора, опубликованного The Shadow Brokers. То есть они использовали не только тоже, что и WannaCry, но и довели до ума вторую уязвимость, чего мы не видели ни у одного шифровальщика.

Мы видим, что использовался ряд продвинутых техник для написания, в том числе злоумышленники смогли модифицировать Eternalromance, EternalBlue, добавить ряд инструментов для краж логина-пароля и удаленного запуска по корпоративной сети. Это явно не школьники, не студенты. Это должны быть профессиональные программисты, которые знают что делают. И скорее это был не один человек, а несколько, каждый со своей специализацией." 


Так же как и Eternal, ExPetya тоже доставил больше всего проблем большим компаниям. Месяц назад только в России жертвами шифровальщика-вымогателя стали, к примеру, системы правоохранительных органов, а также оператора Мегафон. В этот раз схожими были и масштабы заражения и статус пострадавших: Роснефть и Башнефть в России, на Украине - местные энергосети, аэпропорт Борисполь, почта, сеть кабинета министров. потом досталось и Европе. 

А вот способ распространения вируса оказался иным. Например, злоумышленникам удалось заразить украинскую программу для бухгалтерского учета M.E.Doc. То есть корпоративные сети всех, кто установил официальное обновление M.E.Doc оказались немедленно заражены и заблокированы.
  
Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского»:

"Дело в том, что данный троянец обладает способностью распространяться по корпоративной сети, ну и по домашней, не используя уязвимостей. Поясню: достаточно одного уязвимого компьютера в сети. Если шифровальщик туда попадает, он может укрась логин с паролем и распространиться дальше по сети без уязвимостей. То есть если большой парк машин объединен в одну сеть и хотя бы один компьютер без защиты и обновления, то это откроет путь троянцу. Это его отличие от WannaCry, который использовал только одну уязвимость EternalBlue.

ExPetya (кстати Petya это не намек на российское происхождение, а отсылка к названию военного спутника из Бондианы) уже вторая масштабная атака с использованием киберарсенала АНБ. Это значит, что эти инструменты, нацеленные на старые версии Виндовс, не устарели, как утверждали многие. То есть Windows 7, Vista и ХР – по прежнему вполне актуальны для многих корпораций, и те их по какой-то причине, даже не обновляют.