Информационная безопасность

Вирус-вымогатель семейства Petya распространяется по всему миру

Jakub Křoustek, 27 июня 2017

Основанная на вирусе Petya новая программа-вымогатель получила широкое распространение по всему миру. Россия и Украина в числе наиболее пострадавших стран.

Миллионы компьютеров по всему миру подверглись масштабной кибератаке, нанесшей удар по многим компаниям России и Украины, включая банки, сетевые магазины, транспортные корпорации, а также государственные учреждения. Речь идет о новой модификации программы-вымогателя, основанного на вирусе семейства Petya, который был впервые идентифицирован в 2016 году. Несколько месяцев назад, подобный вирус-шифровальщик был усовершенствован и объединен в новое вредоносное ПО под названием PetrWrap. Случаи заражения были выявлены в России, Индии, Франции, Испании, а также Нидерландах.

Вирус шифрует все файлы на компьютере, требуя выкуп в размере 300$ в криптовалюте Bitcoin за ключ расшифровки и возвращение доступа к файлам. 

Вирус-вымогатель семейства Petya

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерского софта M.E.Doc. Проникнув в сеть, модификация вируса Petya продолжает заражение двумя методами: с помощью похищения учетных данных жертв (используя утилиты типа Mimikatz, которая позволяет извлекать пароли пользователей в открытом виде); или же при помощи эксплойтов EternalBlue (который — как и WannaCry — использует уязвимость в службе SMB операционной системы Windows) и EternalRomance.

Microsoft выпустила обновления безопасности, устраняющие данные уязвимости в марте. EternalBlue был разработан Агентством национальной безопасности США и несколькими неделями ранее опубликован в открытом доступе группировкой ShadowBrokers, которая украла его у хакеров из Equation Group, подозревающихся в связях с АНБ.

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновленим украинского бухгалтерского софта MEDoc.

За первый день мы столкнулись с 12 000 попыток вредоносного ПО использовать EternalBlue, все из них нами были идентифицированы и заблокированы. Данные, полученные нами от пользователей функции Проверки Wi-Fi Avast (которая сканирует беспроводные сети на наличие проблем и определяет, подвержено ли уязвимости EternalBlue устройство с установленным на нем Avast или любой другой компьютер, подключенный к той же сети) указывают на то, что на 38 миллионах компьютерах, которые были просканированы на прошлой неделе, не были установлены обновления безопасности Windows, а следовательно, находятся под угрозой. Реальное количество уязвимых устройств, вероятно, намного больше.

По нашим данным, под наибольшим ударом оказались пользователи Windows 7 (78%), а также устаревшей Windows XP (14%). Далее следуют системы Windows 10 (6%) и Windows 8.1 (2%).

Операционные системы, которые оказались под ударом вируса-вымогателя Petya

Данный образец вируса блокирует файлы с помощью алгоритма шифрования AES-128 (CBC mode). Ключ шифрования генерируется случайным образом.

Полученный AES-ключ дополнительно шифруется с помощью открытого ключа RSA-2048, который хранится в образце программы. Он сохраняется в файле README.txt вместе с сообщением о требовании выкупа. После заражения, программа-вымогатель изменяет главную загрузочную запись (master boot record, MBR) диска, что не дает корректно загрузиться системе после перезапуска. Пользователь зараженного устройства видит только сообщение о выкупе, подобное изображению выше. 

Хотя пока неизвестно, кто стоит за данной кибератакой, следует отметить, что одной из главных характеристик вируса-вымогателя Petya является то, что создатели продвигают его на просторах даркнета при помощи распространителей, которые зарабатывают на заражении устройств, забирая себе до 85% уплаченного выкупа. Они обеспечивают всю инфраструктуру, C&C серверы и пути перевода денег. Такая модель называется RaaS (англ. ransomware as a service — вымогатель как услуга) и позволяет разработчикам вредоносного ПО уговаривать предприимчивых пользователей заниматься его распространением.

СКАЧАТЬ БЕСПЛАТНЫЙ АНТИВИРУС

Антивирус Avast защищает от вируса-вымогателя Petya и ему подобных

Пользователи последних версий (в том числе бесплатной) антивируса Avast защищены от атак программ-шифровальщиков семейства Petya. Наши программные продукты блокируют данные типы вредоносного ПО. Мы осуществляем регулярные обновления баз вирусных определений, защищая от новых появляющихся вирусов. Наши технологии позволяют определять и блокировать даже новые, еще неизвестные вредоносные элементы. Также мы настоятельно рекомендуем пользователям домашних и корпоративных версий Windows установить новейшие доступные обновления ОС и программного обеспечения. Убедитесь также, что ваш антивирус также обновлен до последней версии. 

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.

Статьи по теме

Информационная безопасность

«ВКонтакте» добавила возможность сделать профиль более приватным

Можно скрыть информацию профиля от всех пользователей, которые не являются друзьями. А возможность посмотреть список людей, сделавших репост записи, теперь доступна только ее автору.

31 августа 2018 мин на прочтение
Информационная безопасность

В Skype появилось сквозное шифрование чатов и звонков

Что это такое и как активировать end-to-end шифрование в Skype?

21 августа 2018 мин на прочтение
Информационная безопасность

Исследование Avast: российских пользователей не пугают угрозы скрытого майнинга

Почти половина россиян не боится незаконного криптомайнинга, несмотря его на высокую угрозу. Треть из них ошибочно полагает, что они не могут стать жертвами вирусов для добычи криптовалют. Результаты опроса Avast.

31 июля 2018 мин на прочтение