В мае 2017 года вымогатель WannaCry поразил сотни тысяч компьютеров по всему миру. От атак вымогателя пострадали не только простые пользователи, но и многочисленные компании и организации. Угроза распространялась при помощи эксплоитов ETERNALBLUE и DOUBLEPULSAR, по сути, эксплуатируя уязвимость в протоколе SMB и используя для этого инструменты АНБ, опубликованные в открытом доступе хакерской группой The Shadow Brokers.
Опасность WannaCry удалось нивелировать благодаря усилиям всего одного независимого ИБ-специалиста. Известный под псевдонимом MalwareTech эксперт, обнаружил в коде малвари своеобразный аварийный рубильник: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.
Похоже, с шифровальщиком Petya ожидать такой же удачи не приходится. Напомню, что Petya — не новая угроза, он был обнаружен специалистами еще в начале 2016 года. Но сегодня, 27 июня 2017 года, из разных стран стали поступать сообщения о массовых заражениях Petya. Об атаках сообщают организации и пользователи разных стран, включая Украину, Великобританию, Индию, Голландию, Испанию, Данию и так далее.
Операторы малвари шифруют файлы жертв и требуют, чтобы те написали письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции об оплате выкупа в размере $300 в биткоин эквиваленте.
Исследователи сообщают, что новая версия Petya, известная как Petya.A, шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.
По данным сразу нескольких источников, авторы Petya определенно вдохновились успехами WannaCry, так как шифровальщик теперь распространяется посредством SMB и эксплоита, очень похожего на ETERNALBLUE. Эту информацию подтверждают специалисты Payload Security, Avira, Emsisoft, Bitdefender, Symantec и другие.
Кроме того, вымогатель также распространяется и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199 в Office RTF. В отличие от WannaCry, Petya не имеет встроенного «рубильника», поэтому быстро остановить эпидемию вряд ли удастся.
Информация о новых заражениях появляется буквально каждые пять минут, но, судя по всему, хуже всего от атак Petya пострадали Россия и Украина. СМИ сообщают, что шифровальщик атаковал компьютерные системы кабинета министров и сайта правительства Украины, сотовых операторов «Киевстар», Vodafone и lifecell, аэропорт Борисполь, метрополитен в Киеве, МВД Украины, целый ряд банков и даже компьютеры Чернобыльской атомной электростанции. Согласно данным Государственного агентства по управлению зоной отчуждения, радиационный мониторинг в итоге перевели в ручной режим. Также известно о заражениях компьютеров «Роснефти», «Башнефти», «Татнефти» и Магнитогорского металлургического комбината.
Current situation of Petrwrap/wowsmith123456 ransomware - percentage of infections by country. pic.twitter.com/Q42WPlBlja
— Costin Raiu (@craiu) June 27, 2017
Хотя ранее шифрование Petya уже взламывали эксперты, нет подтверждений того, что новая версия так же уязвима, и файлы можно восстановить, не выплачивая выкуп злоумышленникам. Хуже того, по последним данным, немецкий почтовый провайдер Posteo сообщил о ликвидации аккаунта злоумышленников (wowsmith123456@posteo.net). Теперь жертвы в принципе не имеют возможности связаться с вымогателями.
Исследователи уже следят за одним из биткоин-кошельков злоумышленников. Сообщается, что в настоящее время они сумели «заработать» около 7000 долларов.
Супермаркет в Харькове pic.twitter.com/H80FFbzSOj
— Mikhail Golub (@golub) June 27, 2017
Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo
— Mikko Hypponen (@mikko) June 27, 2017
#Nieuws: Rotterdamse containerterminal ligt plat door hack. O.a. 's werelds grootste rederij Maersk Line getroffen door grote cyberaanval. pic.twitter.com/liW1Tumrju
— Paul Henriquez (@OpiniePaultje) June 27, 2017
Всем, кто по какой-то причине еще не установил обновление MS17-010, закрывающее уязвимости, которые эксплуатирует шифровальщик, настоятельно рекомендуется сделать это немедленно. Также компания Microsoft еще в мае 2017 года представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003, поэтому пользователям этих систем так же следует озаботиться обновлением.
