Новый вирус-шифровальщик атаковал крупные компании по всему миру

Возврат к списку

28.06.2017     
Вирус, получивший название Petya.A, схожий с известным вымогателем WannaCry, атаковал ряд крупных компаний в России.

Первые сообщения о хакерских атаках вируса шифровальщика поступили в понедельник 27 июня. Наиболее масштабно вирус затронул Россию и Украину, затем следуют Польша, Италия, Германия и Белоруссия. Вирус блокирует компьютеры и запрашивает в биткоинах выкуп эквивалентный сумме в 300 долларов (примерно 0,26 биткоина). 

В России вирус зашифровал файлы таких компаний, как «Роснефть», «Башнефть», Mars, Nivea и Mondelez International.

Как обезопасить себя от атаки

«Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445», – сообщили представители компании Group-IB, специализирующейся на информационной безопасности, агентству RNS.

Эксперты из Positive Technologies провели анализ образца вируса-вымогателя и определили, что его действия основаны на шифровании главной загрузочной записи (MBR) и загрузочного сектора диска с заменой его на свой собственный. Эта запись является первым сектором на жестком диске, в котором расположена таблица разделов и программа-загрузчик, считывающая из таблицы информацию о том, из какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

«После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся», – сообщается на сайте Positive Technologies.

Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, без которого данные восстановить невозможно. 

«Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика)», – также добавили эксперты из Positive Technologies. 

Если компьютер все же оказался заблокирован шифровальщиком, то отправлять вымогателям выкуп уже поздно. Почтовый сервис Posteo заблокировал единственный электронный ящик создателей вируса Petya.A, использовавшийся для подтверждения перевода выкупа, сообщает издание The Verge. 

Авторы зловреда использовали для перевода выкупа единственный почтовый адрес wowsmith123456@posteo.net. После блокировки мошенники не могут идентифицировать конкретное устройство и платеж, а также выслать инструкции по разблокировке. Издание просит не платить выкуп, поскольку теперь это бесполезно. 

Напомним, что в мае этого года другой вирус-шифровальщик атаковал пользователей более 150 стран аналогичным образом. 


Комментарии
1. PerlAmutor IC (PerlAmutor) 7 28.06.17 20:04 Сейчас в теме
До заражения создаете в папке C:\Windows пустой файл с именем "perfc" и ставите ему атрибут "Только чтение". Если вирус и попадет в систему, то он подумает, что она уже им заражена и не будет ничего делать. Во всяком случае, пока новую версию не выпустят.
AlenaR; Поручик; корум; kare; smartem; d.zhukov; +6 Ответить
6. Роберт В е р т и н с к и й (v3rter) 29.06.17 09:48 Сейчас в теме
8. PerlAmutor IC (PerlAmutor) 7 29.06.17 10:41 Сейчас в теме
(6) т.к. в разных источниках говорят по разному, то я бы создал 3 файла: perfc, perfc.dat и perfc.dll
корум; +1 Ответить
2. Виталий Петров (vipetrov2) 29.06.17 04:03 Сейчас в теме
Забавно, что вирус Петя вымогатель сначала появился на Украине)
9. Сергей Ожерельев (Поручик) 3659 29.06.17 13:04 Сейчас в теме
(2) 28 июня день конституции в Укро.. на украине. Всё это наводит на определённые мысли - украина, крым, донбасс, вирус.

Это жжжж неспроста. (с)
10. Роман Ложкин (webester) 24 30.06.17 03:36 Сейчас в теме
(9)
украина, крым, донбасс, вирус

Ну и? Развивайте мысль.
13. Сергей Ожерельев (Поручик) 3659 30.06.17 15:26 Сейчас в теме
(10) Чего развивать? И так понятно, что здесь пахнет духом народа из страны, в которой больше часовых поясов, чем у любой другой в мире.
14. Игорь Полосков (ipoloskov) 62 30.06.17 15:30 Сейчас в теме
(13) Британская Империя штоле?
15. Роман Ложкин (webester) 24 30.06.17 16:26 Сейчас в теме
(13)А может тот кто дал название хотел, что бы так пахло? Есть какой то источник запаха, кроме собственных размышлений?
3. Денис Жуков (d.zhukov) 54 29.06.17 04:18 Сейчас в теме
Интересно почему только сейчас заговорили об этом. Ведь раньше тоже были подобные вымогатели
4. PerlAmutor IC (PerlAmutor) 7 29.06.17 08:40 Сейчас в теме
(3) Это в свете военных конфликтов на планете и ухудшения отношений между странами. Т.к. эти вирусы используют уязвимость из утечки от АНБ. То это хороший повод в очередной раз обвинить какую-нибудь страну. Все пытаются обвинить друг друга в чем-то.
7. Денис Жуков (d.zhukov) 54 29.06.17 10:03 Сейчас в теме
(4) Ничего подобного. были раньше и атаки на корпорации, и вымогатели были не хуже тех, что сейчас активно обсуждаются по тв. Ведь эти все разговоры для создания почвы к дальнейшей изоляции от неконтроллируемых сми (ютуб и т.д.), как и телеграмм со своим шифрованием. Лично мое мнение
silberRus; Ann.prog1C; pavlov_dv; +3 Ответить
5. Игорь Полосков (ipoloskov) 62 29.06.17 08:52 Сейчас в теме
Теперь надо ждать вируса Саша и Вова
11. stepashka (stepashka) 30.06.17 05:41 Сейчас в теме
Рекомендации по предотвращению заражения
1) Проверить журналы систем на наличие маркеров компрометации
2) На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP
3) Если заражение произошло ни в коем случае не допускать перезагрузки системы (cmd /k shutdown -a)
4) Системы, которые зашифрованы, не форматировать сразу, а снять образ диска (может потом появится какой-то ключ к расшифровке)
5) Блокировать запуск .exe в %AppData% та %Temp%
12. Роберт В е р т и н с к и й (v3rter) 30.06.17 09:13 Сейчас в теме
Оставьте свое сообщение