Первые сообщения о хакерских атаках вируса шифровальщика поступили в понедельник 27 июня. Наиболее масштабно вирус затронул Россию и Украину, затем следуют Польша, Италия, Германия и Белоруссия. Вирус блокирует компьютеры и запрашивает в биткоинах выкуп эквивалентный сумме в 300 долларов (примерно 0,26 биткоина).
В России вирус зашифровал файлы таких компаний, как «Роснефть», «Башнефть», Mars, Nivea и Mondelez International.
Как обезопасить себя от атаки
«Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445», – сообщили представители компании Group-IB, специализирующейся на информационной безопасности, агентству RNS.Эксперты из Positive Technologies провели анализ образца вируса-вымогателя и определили, что его действия основаны на шифровании главной загрузочной записи (MBR) и загрузочного сектора диска с заменой его на свой собственный. Эта запись является первым сектором на жестком диске, в котором расположена таблица разделов и программа-загрузчик, считывающая из таблицы информацию о том, из какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.
«После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся», – сообщается на сайте Positive Technologies.
Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, без которого данные восстановить невозможно.
«Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика)», – также добавили эксперты из Positive Technologies.
Если компьютер все же оказался заблокирован шифровальщиком, то отправлять вымогателям выкуп уже поздно. Почтовый сервис Posteo заблокировал единственный электронный ящик создателей вируса Petya.A, использовавшийся для подтверждения перевода выкупа, сообщает издание The Verge.
Авторы зловреда использовали для перевода выкупа единственный почтовый адрес wowsmith123456@posteo.net. После блокировки мошенники не могут идентифицировать конкретное устройство и платеж, а также выслать инструкции по разблокировке. Издание просит не платить выкуп, поскольку теперь это бесполезно.
Напомним, что в мае этого года другой вирус-шифровальщик атаковал пользователей более 150 стран аналогичным образом.