Основанная на вирусе Petya новая программа-вымогатель получила широкое распространение по всему миру. Россия и Украина в числе наиболее пострадавших стран.
Миллионы компьютеров по всему миру подверглись масштабной кибератаке, нанесшей удар по многим компаниям России и Украины, включая банки, сетевые магазины, транспортные корпорации, а также государственные учреждения. Речь идет о новой модификации программы-вымогателя, основанного на вирусе семейства Petya, который был впервые идентифицирован в 2016 году. Несколько месяцев назад, подобный вирус-шифровальщик был усовершенствован и объединен в новое вредоносное ПО под названием PetrWrap. Случаи заражения были выявлены в России, Индии, Франции, Испании, а также Нидерландах.
Вирус шифрует все файлы на компьютере, требуя выкуп в размере 300$ в криптовалюте Bitcoin за ключ расшифровки и возвращение доступа к файлам.
Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерского софта M.E.Doc. Проникнув в сеть, модификация вируса Petya продолжает заражение двумя методами: с помощью похищения учетных данных жертв (используя утилиты типа Mimikatz, которая позволяет извлекать пароли пользователей в открытом виде); или же при помощи эксплойтов EternalBlue (который — как и WannaCry — использует уязвимость в службе SMB операционной системы Windows) и EternalRomance.
Microsoft выпустила обновления безопасности, устраняющие данные уязвимости в марте. EternalBlue был разработан Агентством национальной безопасности США и несколькими неделями ранее опубликован в открытом доступе группировкой ShadowBrokers, которая украла его у хакеров из Equation Group, подозревающихся в связях с АНБ.
Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновленим украинского бухгалтерского софта MEDoc.
За первый день мы столкнулись с 12 000 попыток вредоносного ПО использовать EternalBlue, все из них нами были идентифицированы и заблокированы. Данные, полученные нами от пользователей функции Проверки Wi-Fi Avast (которая сканирует беспроводные сети на наличие проблем и определяет, подвержено ли уязвимости EternalBlue устройство с установленным на нем Avast или любой другой компьютер, подключенный к той же сети) указывают на то, что на 38 миллионах компьютерах, которые были просканированы на прошлой неделе, не были установлены обновления безопасности Windows, а следовательно, находятся под угрозой. Реальное количество уязвимых устройств, вероятно, намного больше.
По нашим данным, под наибольшим ударом оказались пользователи Windows 7 (78%), а также устаревшей Windows XP (14%). Далее следуют системы Windows 10 (6%) и Windows 8.1 (2%).
Данный образец вируса блокирует файлы с помощью алгоритма шифрования AES-128 (CBC mode). Ключ шифрования генерируется случайным образом.
Полученный AES-ключ дополнительно шифруется с помощью открытого ключа RSA-2048, который хранится в образце программы. Он сохраняется в файле README.txt вместе с сообщением о требовании выкупа. После заражения, программа-вымогатель изменяет главную загрузочную запись (master boot record, MBR) диска, что не дает корректно загрузиться системе после перезапуска. Пользователь зараженного устройства видит только сообщение о выкупе, подобное изображению выше.
Хотя пока неизвестно, кто стоит за данной кибератакой, следует отметить, что одной из главных характеристик вируса-вымогателя Petya является то, что создатели продвигают его на просторах даркнета при помощи распространителей, которые зарабатывают на заражении устройств, забирая себе до 85% уплаченного выкупа. Они обеспечивают всю инфраструктуру, C&C серверы и пути перевода денег. Такая модель называется RaaS (англ. ransomware as a service — вымогатель как услуга) и позволяет разработчикам вредоносного ПО уговаривать предприимчивых пользователей заниматься его распространением.
Антивирус Avast защищает от вируса-вымогателя Petya и ему подобных
Пользователи последних версий (в том числе бесплатной) антивируса Avast защищены от атак программ-шифровальщиков семейства Petya. Наши программные продукты блокируют данные типы вредоносного ПО. Мы осуществляем регулярные обновления баз вирусных определений, защищая от новых появляющихся вирусов. Наши технологии позволяют определять и блокировать даже новые, еще неизвестные вредоносные элементы. Также мы настоятельно рекомендуем пользователям домашних и корпоративных версий Windows установить новейшие доступные обновления ОС и программного обеспечения. Убедитесь также, что ваш антивирус также обновлен до последней версии.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.