г. Минск, ул. Толстого 8

По вопросам
поступления:

Учебный отдел:    +375 (29) 364 66 74    student@itstep.by

По вопросам оплаты:    +375 (29) 609 64 93      oplata@itstep.by

Вирус Petya: новая интернет-эпидемия

Новый страшный интернет-вирус Petya блокирует компьютеры многих важнейших объектов современной инфраструктуры, вплоть до Чернобыльской АЭС. По вине вируса в последние дни была остановлена работа многих крупных предприятий, пострадали сотни компаний в Украине и в России. Кроме того, были атакованы компании других государств – Испании и Литвы, Нидерландов и Португалии, США и Дании, Великобритании и Франции.

Отметим, что недавно весь мир пережил атаку другого крупного интернет-вируса – WannaCry. Этот вирус отличался тем, что использовал программный эксплойт EternalBlue, очень сложный – как предполагается, разработанный в АНБ США.

Вирус Petya также задействует данный эксплойт, но сейчас он уже не является столь же эффективным оружием для быстрого распространения, потому что большинство компаний уже обновили свои ОС и закрыли места, уязвимые для EternalBlue.

Отличие Petya в том, что использует и другие важные уязвимости в работе компьютерных сетей, благодаря чему способен атаковать целые организации. Причем вирус распространяется неимоверно быстро – по словам очевидцев, сети с тысячами компьютеров заражаются менее чем за 10 минут. И основная цель Petya – именно крупные корпоративные сети (опять же, в отличие от WannaCry, который был опасен только необновленным системам с плохой защитой). В этом главная опасность Petya – если заражается один компьютер сети, то далее вирус использует сетевые инструменты Windows для заражения всех компьютеров в данной сети. Обычно используются инструменты управления Windows (WMI) и PsExec, которые нужны для удаленного доступа администраторов и очень эффективны для распространения вирусов.

 

Откуда взялся Petya?

Достоверно это не известно, но исследование Talos Intelligence предполагает, что распространяться вирус мог начать через фальшивое обновление для украинского бухгалтерского приложения M.E.Doc. При этом создатели программы опровергают данные подозрения – по их словам, последнее обновление к данному приложению рассылалось еще 22 июня, то есть за пять дней до атаки вируса Petya. Другие же исследователи поддерживают мнение Talos Intelligence, утверждая, что создатели вируса смогли подделать цифровую подпись в данном апдейте, что позволило им проникнуть в сети компаний. Еще одно косвенное указание на это – свыше 60% заражений вирусом пришлись на Украину, где заражено много больших предприятий, в том числе крупный аэропорт и центральный банк. Сейчас вирус уже распространяется по США, в том числе проник на многие важные американские предприятия, в компьютеры ряда американских больниц и в ПК главного порта Лос-Анджелеса.

 

Можно ли избежать заражения вирусом Petya?

Можно, если следовать советам «Лаборатории Касперского». Она рекомендует вручную обновить антивирусные базы и активировать все уровни защиты от вирусов. Кроме того, следует установить все обновления безопасности Windows, они доступны на сайте Microsoft. Важная дополнительная мера предосторожности – при помощи AppLocker нужно запретить выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.

Symantec и Positive Technologies полагают, что можно локально остановить вирус, если создать пустой файл без расширения и с названием perfc в каталоге С:\Windows. При атаке именно этот файл ищет вирус, и если он уже имеется на компьютере, тогда вирус сам заканчивает работу на ПК без его заражения. Для создания файла можно использовать обычный «Блокнот». Некоторые источники рекомендуют создать файл perfc.dll. Также рекомендуется создавать файл, доступный только для чтения, чтобы вирус не смог изменить его. Прекратить распространение Petya можно, закрыв TCP-порты 1024−1035, 135 и 445 – это рекомендует Валерий Баулин, глава криминалистической лаборатории Group-IB.

Кроме того, стандартный совет от специалистов по безопасности – сделать резервные копии всех важных файлов на случай возможности заражения в будущем.

 

Если ПК уже заражен

Если ваш компьютер поражен и требует перезагрузки – нельзя давать ему совершить ее, нужно использовать это время, чтобы сохранить самые ценные сведения. Если ваши файлы уже заблокированы, «Лаборатория Касперского» не рекомендует платить выкуп – заблокированные файлы вы вернуть не сможете, потому что e-mail-служба, которую использовали создатели вируса, уже заблокировала почтовые адреса, на которые должны приходить данные о выплате выкупа. И если даже вы переведете деньги, вам все равно не удастся связаться со злоумышленниками, подтвердить перевод и получить ключ, который нужен для восстановления файлов.

Другая, еще более серьезная причина не платить выкуп – ключ вы все равно бы не получили, потому что вирус Petya не блокирует информацию, а полностью уничтожает ее.

Как поведал глава компании Comae, которая занимается кибербезопасностью, нынешняя версия вируса – это уже модифицированная версия, настроенная на уничтожение информации. А маскировка под вирус-вымогатель осознанно была сделана для того, чтобы привлечь интерес СМИ. С начала распространения эпидемии создатели Petya смогли заработать всего около $13 тысяч, то есть речь только лишь о вымогательстве не идет. Также установлено, что в вирусе Petya в принципе не предусмотрено возможности вернуть пользователям доступ к файлам.