Информационная безопасность

Вирус-вымогатель семейства Petya распространяется по всему миру

Jakub Křoustek, 27 июня 2017

Основанная на вирусе Petya новая программа-вымогатель получила широкое распространение по всему миру. Россия и Украина в числе наиболее пострадавших стран.

Миллионы компьютеров по всему миру подверглись масштабной кибератаке, нанесшей удар по многим компаниям России и Украины, включая банки, сетевые магазины, транспортные корпорации, а также государственные учреждения. Речь идет о новой модификации программы-вымогателя, основанного на вирусе семейства Petya, который был впервые идентифицирован в 2016 году. Несколько месяцев назад, подобный вирус-шифровальщик был усовершенствован и объединен в новое вредоносное ПО под названием PetrWrap. Случаи заражения были выявлены в России, Индии, Франции, Испании, а также Нидерландах.

Вирус шифрует все файлы на компьютере, требуя выкуп в размере 300$ в криптовалюте Bitcoin за ключ расшифровки и возвращение доступа к файлам. 

Вирус-вымогатель семейства Petya

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновлением украинского бухгалтерского софта M.E.Doc. Проникнув в сеть, модификация вируса Petya продолжает заражение двумя методами: с помощью похищения учетных данных жертв (используя утилиты типа Mimikatz, которая позволяет извлекать пароли пользователей в открытом виде); или же при помощи эксплойтов EternalBlue (который — как и WannaCry — использует уязвимость в службе SMB операционной системы Windows) и EternalRomance.

Microsoft выпустила обновления безопасности, устраняющие данные уязвимости в марте. EternalBlue был разработан Агентством национальной безопасности США и несколькими неделями ранее опубликован в открытом доступе группировкой ShadowBrokers, которая украла его у хакеров из Equation Group, подозревающихся в связях с АНБ.

Проанализировав пути развития киберэпидемии, мы обнаружили первичный вектор заражения, который связан с обновленим украинского бухгалтерского софта MEDoc.

За первый день мы столкнулись с 12 000 попыток вредоносного ПО использовать EternalBlue, все из них нами были идентифицированы и заблокированы. Данные, полученные нами от пользователей функции Проверки Wi-Fi Avast (которая сканирует беспроводные сети на наличие проблем и определяет, подвержено ли уязвимости EternalBlue устройство с установленным на нем Avast или любой другой компьютер, подключенный к той же сети) указывают на то, что на 38 миллионах компьютерах, которые были просканированы на прошлой неделе, не были установлены обновления безопасности Windows, а следовательно, находятся под угрозой. Реальное количество уязвимых устройств, вероятно, намного больше.

По нашим данным, под наибольшим ударом оказались пользователи Windows 7 (78%), а также устаревшей Windows XP (14%). Далее следуют системы Windows 10 (6%) и Windows 8.1 (2%).

Операционные системы, которые оказались под ударом вируса-вымогателя Petya

Данный образец вируса блокирует файлы с помощью алгоритма шифрования AES-128 (CBC mode). Ключ шифрования генерируется случайным образом.

Полученный AES-ключ дополнительно шифруется с помощью открытого ключа RSA-2048, который хранится в образце программы. Он сохраняется в файле README.txt вместе с сообщением о требовании выкупа. После заражения, программа-вымогатель изменяет главную загрузочную запись (master boot record, MBR) диска, что не дает корректно загрузиться системе после перезапуска. Пользователь зараженного устройства видит только сообщение о выкупе, подобное изображению выше. 

Хотя пока неизвестно, кто стоит за данной кибератакой, следует отметить, что одной из главных характеристик вируса-вымогателя Petya является то, что создатели продвигают его на просторах даркнета при помощи распространителей, которые зарабатывают на заражении устройств, забирая себе до 85% уплаченного выкупа. Они обеспечивают всю инфраструктуру, C&C серверы и пути перевода денег. Такая модель называется RaaS (англ. ransomware as a service — вымогатель как услуга) и позволяет разработчикам вредоносного ПО уговаривать предприимчивых пользователей заниматься его распространением.

СКАЧАТЬ БЕСПЛАТНЫЙ АНТИВИРУС

Антивирус Avast защищает от вируса-вымогателя Petya и ему подобных

Пользователи последних версий (в том числе бесплатной) антивируса Avast защищены от атак программ-шифровальщиков семейства Petya. Наши программные продукты блокируют данные типы вредоносного ПО. Мы осуществляем регулярные обновления баз вирусных определений, защищая от новых появляющихся вирусов. Наши технологии позволяют определять и блокировать даже новые, еще неизвестные вредоносные элементы. Также мы настоятельно рекомендуем пользователям домашних и корпоративных версий Windows установить новейшие доступные обновления ОС и программного обеспечения. Убедитесь также, что ваш антивирус также обновлен до последней версии. 

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.

Статьи по теме

Информационная безопасность

Данные 540 млн пользователей обнаружены в открытом доступе

На открытых серверах Amazon обнаружены имена аккаунтов, Facebook ID, комментарии, лайки, прочие реакции, а также данные, которые использовались для анализа лент и взаимодействий с пользователями.

4 апреля 2019 мин на прочтение
Информационная безопасность

Новая волна фишинга против владельцев iPhone и iPad

Жертвами фишинговой атаки становятся владельцы iOS-устройств. Ее особенностью является использование видеосимуляции перехода на сайт.

14 марта 2019 мин на прочтение
Информационная безопасность

Как игры из Google Play могут заразить ваш Android. Показываем на примере реальных приложений

Рассказываем, как игра из Google Play может загрузить вредоносные программы на ваше Android-устройство и как от этого защититься.

2 января 2019 мин на прочтение