Вирус-шифровальщик Petya поразил десятки компаний в России и Украине

Сегодня днем троянец под кодовым именем Petya ("Петя") атаковал компании и учреждения по всему миру. Как сообщил в Twitter глава международной исследовательской команды "Лаборатории Касперского" Костин Райю, троянец "Petya с контактным адресом wowsmith123456@posteo.net" был создан 18 июня, а сейчас поражает нефтяные, телекоммуникационные и финансовые компании России и Украины.

Сегодня днем троянец под кодовым именем Petya ("Петя") атаковал компании и учреждения по всему миру. Как сообщил в Twitter глава международной исследовательской команды "Лаборатории Касперского" Костин Райю, троянец "Petya с контактным адресом wowsmith123456@posteo.net" был создан 18 июня, а сейчас поражает нефтяные, телекоммуникационные и финансовые компании России и Украины.

Попав в систему, Petya блокирует доступ к файлам и требует $300 в биткоинах за их разблокировку. Как сообщает Reuters, троянец уже затронул "Роснефть" — крупнейшую в России нефтегазовую компанию, грузоперевозочную фирму Møller-Mærsk Gruppen, а также международный аэропорт на Украине. Более того, об атаках сообщила ЕВРАЗ — крупная металлургическая и горнодобывающая компания с активами в России, на Украине и США, а также крупнейшая британская рекламная компания WPP.

"IT системы нескольких компаний группы WPP стали, предположительно, целью кибератаки. Мы принимаем необходимые меры", — сообщили в компании. Тем не менее, достоверно неизвестно, связана ли эта атака с вирусом Petya. По данным Group-IB, жертвами кибератаки также оказались сети "Башнефти", Mars, Nivea, правительственные компьютеры Украины, магазины "Ашан" и украинские операторы, включая "Киевстар" и LifeCel.

Новая версия вируса содержит поддельную цифровую подпись Microsoft. Как сообщил руководитель исследований "Лаборатории Касперского" Костин Райю, именно она позволяет злоумышленникам проникнуть в систему.

Схему распространения Petya связывают с WanaCrypt0r 2.0 (WCry) — вирусом, поразившим сотни тысяч компьютеров по всему миру в мае. Троянец блокировал доступ к файлам до тех пор, пока жертва не заплатит выкуп. По оценкам экспертов, вирус поразил свыше 300 тысяч Windows-компьютеров через "дыру" в сервере SMB. Менее чем за 72 часа от него пострадали системы в 150 странах.

В России WCry парализовал серверы МВД, Следственного комитета и "МегаФона", а Австралии — заблокировал работу десятков скоростных камер и светофоров, в Европе — одну из крупнейших телекоммуникационных компаний Telefonica. Аналогично Petya, WCry требовал $300 за возврат доступа к файлам.

Несмотря на это, еще 23 июня эксперты предупреждали о преемнике WCry. Как сообщал IT-директор компании IDT Голан Бен-Они, спустя примерно две недели после атаки WCry компьютеры его фирмы поразил еще один троянец, который также требовал выкуп за возврат доступа к данным.

Однако требование денег оказалось прикрытием. По словам Бен-Они, вирус не просто блокировал доступ к файлам, но и передавал злоумышленникам учетные данные сотрудников, которые могут быть использованы для последующих атак. Ситуацию усугублял тот факт, что родственную WCry версию на тот момент не идентифицировала ни одна крупная антивирусная компания.

Источники: Reuters, ТАСС, BFM