В мае 2017 года вымогатель WannaCry поразил сотни тысяч компьютеров по всему миру. От атак вымогателя пострадали не только простые пользователи, но и многочисленные компании и организации. Угроза распространялась при помощи эксплоитов ETERNALBLUE и DOUBLEPULSAR, по сути, эксплуатируя уязвимость в протоколе SMB и используя для этого инструменты АНБ, опубликованные в открытом доступе хакерской группой The Shadow Brokers.

Опасность WannaCry удалось нивелировать благодаря усилиям всего одного независимого ИБ-специалиста. Известный под псевдонимом MalwareTech эксперт, обнаружил в коде малвари своеобразный аварийный рубильник: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.

Похоже, с шифровальщиком Petya ожидать такой же удачи не приходится. Напомню, что Petya — не новая угроза, он был обнаружен специалистами еще в начале 2016 года. Но сегодня, 27 июня 2017 года, из разных стран стали поступать сообщения о массовых заражениях Petya. Об атаках сообщают организации и пользователи разных стран, включая Украину, Великобританию, Индию, Голландию, Испанию, Данию и так далее.

Операторы малвари шифруют файлы жертв и требуют, чтобы те написали письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции об оплате выкупа в размере $300 в биткоин эквиваленте.

Исследователи сообщают, что новая версия Petya, известная как Petya.A, шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.

По данным сразу нескольких источников, авторы Petya определенно вдохновились успехами WannaCry, так как шифровальщик теперь распространяется посредством SMB и эксплоита, очень похожего на ETERNALBLUE. Эту информацию подтверждают специалисты  Payload SecurityAviraEmsisoftBitdefenderSymantec и другие.

Кроме того, вымогатель также распространяется и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199 в Office RTF. В отличие от WannaCry, Petya не имеет встроенного «рубильника», поэтому быстро остановить эпидемию вряд ли удастся.

Информация о новых заражениях появляется буквально каждые пять минут, но, судя по всему, хуже всего от атак Petya пострадали Россия и Украина. СМИ сообщают, что шифровальщик атаковал компьютерные системы кабинета министров и сайта правительства Украины, сотовых операторов «Киевстар», Vodafone и lifecell, аэропорт Борисполь, метрополитен в Киеве, МВД Украины, целый ряд банков и даже компьютеры Чернобыльской атомной электростанции. Согласно данным Государственного агентства по управлению зоной отчуждения, радиационный мониторинг в итоге перевели в ручной режим. Также известно о заражениях компьютеров «Роснефти», «Башнефти», «Татнефти» и Магнитогорского металлургического комбината.

Хотя ранее шифрование Petya уже взламывали эксперты, нет подтверждений того, что новая версия так же уязвима, и файлы можно восстановить, не выплачивая выкуп злоумышленникам. Хуже того, по последним данным, немецкий почтовый провайдер Posteo сообщил о ликвидации аккаунта злоумышленников  (wowsmith123456@posteo.net). Теперь жертвы в принципе не имеют возможности связаться с вымогателями.

Исследователи уже следят за одним из биткоин-кошельков злоумышленников. Сообщается, что в настоящее время они сумели «заработать» около 7000 долларов.

Всем, кто по какой-то причине еще не установил обновление MS17-010, закрывающее уязвимости, которые эксплуатирует шифровальщик, настоятельно рекомендуется сделать это немедленно. Также компания Microsoft еще в мае 2017 года представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003, поэтому пользователям этих систем так же следует озаботиться обновлением.

7 комментариев

  1. AgentJordan

    28.06.2017 at 03:34

  2. linuxmaster

    28.06.2017 at 06:12

    Надо было ставить Linux! (на самом деле нет)

  3. trashographer

    28.06.2017 at 08:31

    Есть же инфа по выключателю в файловой системе.

Оставить мнение