Новая модификация вируса-вымогателя, который блокирует доступ к данным и требует деньги за разблокировку, во вторник атаковала десятки компаний и организаций в России и на Украине, а затем распространилась по всему миру.
Как сообщили в «Лаборатории Касперского», данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. «Больше всего инцидентов было зафиксировано в России и на Украине, однако имеется информация о заражениях в других странах», — сообщает компания.
Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые организации на Украине и в России стал вирус-шифровальщик Petya. Он блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В Group-IB также установили, что недавно этот вирус использовала группа Cobalt, чтобы скрыть следы целевой атаки на финансовые учреждения.
По предварительным оценкам, атакованы около 80 компаний, причем большая часть из них — украинские: заражены компьютерные системы Ощадбанка, Укргазбанка, банка «Пивденный», банка «ОТР», ТАСКомбанка. Атаке подверглись также основные украинские сотовые операторы — «Киевстар», Vodafone и lifecell, «Укртелеком», «Укрзализныця» (Украинские железные дороги), госпредприятие «Антонов», «Укрпочта» и «Киевводоканал», аэропорт «Борисполь», киевский метрополитен, компьютерные системы кабинета министров и сайта правительства Украины.
В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). В настоящее время не работают сайты «Татнефти» и Магнитогорского металлургического комбината. Банк России также сообщил о кибератаках на российские кредитные организации, которые, однако, не привели к нарушениям в работе банков.
Как рассказал ТАСС руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский, новое семейство шифровальщиков содержит некоторые признаки, которые присутствуют в вирусе Petya, но более детальный анализ показывает, что это новая модификация трояна.
Вирус-вымогатель Petya в различных модификациях известен с прошлого года. Тогда о нем сообщала и «Лаборатория Касперского» в своем блоге. Компания отмечала, что вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. В отличие от традиционных троянов, Petya модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.
Гендиректор ГК InfoWatch (специализируется на кибербезопасности) Наталья Касперская рассказала ТАСС, что первый вариант вируса Petya требовал права администратора, без которых он был бессилен. По этой причине Petya объединился с другим вирусом, Misha, который имел права администратора. Получилась улучшенная версия шифровальщика, отметила Касперская.
Новая версия Petya, как сообщил в своем Twitter руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю, была обнаружена 18 июня этого года. В отличие от предыдущей, эта модификация имеет поддельную цифровую подпись Microsoft.
По данным Group-IB, Petya распространяется в локальной сети таким же способом, как и аналогичный WannaCry. В Microsoft сообщили, что знают о ситуации и проводят расследование.
Предыдущая крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая. Атака проводилась в рамках масштабной операции неизвестных хакеров, которые при помощи вируса WannaCry «напали» на компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.
К счастью, WannaCry содержал ошибку в алгоритме своего распространения, говорит Касперская. «Довольно быстро эту ошибку вскрыли, и через эту уязвимость в вирусе стало возможным его удаление и лечение», — сказала, уточнив, что при отсутствии такой ошибки победить вирус очень сложно.
По информации представителя «Лаборатории Касперского», хакеры, которые стоят за Petya, уже получили в свой кошелек платежи от девяти пользователей. Однако, заявила Касперская, выкуп не гарантирует восстановления поврежденных файлов. «К сожалению, на практике, даже если платить вымогателям, они не часто открывают файлы. Гарантии здесь нет, и трудно дать рекомендацию пострадавшим», — добавила она.
Закоржевский из «Лаборатории Касперского» отмечает, что существуют альтернативные средства по восстановлению файлов: «Такие, как Shadow Copy, если оно активировано, это средство Windows. Мы пока не можем подтвердить, что однозначно это поможет, но в случае с последним шифровальщиком WannaCry из-за ряда недоработок была возможность восстановить некоторые файлы».
Закоржевский также посоветовал пользователям не предпринимать ничего, кроме установки защитного ПО, чтобы не потерять файлы, которые еще можно восстановить.