Шифровальщик Petya атаковал компьютеры во всём мире

Шифровальщик Petya атаковал компьютеры во всём мире

petna-ransomware-outbreak-blog-RU

Спустя всего месяц с момента глобальной атаки Wannacry, привлекшей внимание всех мировых СМИ, по Европе и другим континентам начала стремительно распространяться очередная масштабная кибератака. За этой кибератакой стоит новая версия вируса из семейства программ-вымогателей Petya (также известного в кругах специалистов по ИТ-безопасности как Petna).

Первые сообщения об атаке появились утром 27 июня. Масштабнее всего вирус-вымогатель развернулся на территории Украины, в результате чего пострадали государственные и коммерческие предприятия, в числе которых: киевский аэропорт Борисполь, Киевский метрополитен, национальная энергетическая компания «Укрэнерго», Центробанк Украины и даже остановленная Чернобыльская атомная электростанция.

Затем сообщения, подтверждающие заражение вирусом-шифровальщиком, стали поступать от предприятий из других уголков Европы. Среди пострадавших: британское рекламное агентство WPP, французский строительный концерн Saint-Gobain, российская нефтяная компания «Роснефть», датский судоходный и транспортный гигант AP Moller-Maersk и другие компании. На данный момент, заражение вирусом-вымогателем подтверждено в более чем 14 странах мира, в том числе в США, Мексике, Иране, Бразилии и др. Однако мы ожидаем, что список пострадавших стран будет ещё больше.

Возможно, самым интересным в нынешней истории остаётся тот факт, что новая версия программы-вымогателя Petya использует всё ту же уязвимость в Windows, которая была первоначально обнаружена Агентством национальной безопасности США и которая позволила программе-вымогателю Wannacry заразить более 200 тысяч компьютеров по всему миру в мае этого года. Несмотря на доступные для скачивания и установки патчи безопасности и множественные советы от экспертов в области безопасности, оказалось, что многие компании просто проигнорировали все советы и не устранили уязвимость.

Будут ли последствия нынешней глобальной атаки ещё более серьёзными, чем в случае с Wannacry? И что можно предпринять прямо сейчас для защиты Вашего компьютера и сети?

Знакомство с шифровальщиком-вымогателем Petya

В некотором смысле, последняя версия Petya тесно связана с существующим семейством программ-вымогателей Petya. Первое распространение Petya было зафиксировано в конце марта 2016 года. Отличительной особенностью Petya стало внедрение своей собственной «операционной системы», которая устанавливалась и загружалась вместо Windows, что позволяло Petya зашифровать важные структуры файловой системы на диске во время следующей перезагрузки. Этот метод также используется и в новой версии Petya, более того, даже код операционной системы Petya почти полностью скопирован. Однако новая версия использует свои собственные способы распространения, шифрования файлов и заражения системы.

После того, как система поражена шифровальщиком Petya, на экране появляется текст на английском языке, в котором говорится, что для разблокировки системы и расшифровки всех важных файлов пользователю необходимо перевести 300 долларов в биткоиновом эквиваленте на определённый кошелёк, привязанный к адресу posteo.net:

Записка Petya о выкупе

Записка о выкупе появляется на экране после завершения заражение Petya.

На момент написания этой публикации во вторник было совершено 28 транзакций и заплачено 3,1 биткоина, что принесло авторам программы-вымогателя примерно 7300 долларов. На следующий день общая сумма составила уже более 9000 долларов. Несмотря на то, что общая сумма выплаченного выкупа сравнительно мала, ещё очень рано говорить об окончательных результатах, особенно учитывая стремительную скорость распространения. Поэтому позднее мы сможем увидеть, что количество жертв, решивших заплатить выкуп для высвобождения своих файлов, будет больше.

Как идёт заражение вирусом-вымогателем Petya?

Как выяснили эксперты, первая волна заражения Petya началась после взлома украинского разработчика электронного документооборота M.E.Doc. Неизвестные хакеры получили доступ к серверам обновления программного обеспечения, в результате чего шифровальщик Petya начал распространяться среди клиентов компании под видом обновления ПО. Ранее аналогичные методы для создания первой волны атаки использовались такими семействами программ-шифровальщиков как, например, XData.

После заражения ряда систем Petya уже мог мгновенно распространяться, используя уязвимость, аналогичную той, что была использована WannaCry. Сама уязвимость была первоначально обнаружена Агентством национальной безопасности США, однако хранилась некоторое время в секрете. Обнародовать эту информацию удалось лишь в марте 2017 года после серии утечек в результате действий группы хакеров The Shadow Brokers. Эксплойт, известный как EternalBlue, использует уязвимость в протоколе SMBv1, позволяющую хакеру получить контроль над системами:

  • в которых включён протокол SMBv1,
  • которые имеют выход в Интернет и
  • на которых до сих пор не установлен патч Microsoft MS17-010 от марта 2017 года.

Если эксплуатация EternalBlue успешно выполнена, то в систему ставится бэкдор под кодовым названием DoublePulsar. DoublePulsar используется вредоносной программой для отправки и последующего выполнения себя самой в эксплуатируемой системе.

Кроме того, для распространения в рамках поражённой сети Petya также использует различные административные возможности, интегрированные в Windows. Это означает, что достаточно всего одной непропатченной машины, чтобы заразить всю сеть, даже если на других машинах установлены все обновления безопасности. Чтобы облегчить процесс сквозного распространения шифровальщика по локальной сети, Petya использует инструментарий управления Windows (WMI) и популярный инструмент PsExec в сочетании с административными общими сетевыми ресурсами.

Как Petya зашифровывает файлы пользователей?

Шифровальщик Petya состоит из двух различных модулей. Первый модуль очень похож на классические семейства программ-вымогателей. Он шифрует до 1 МБ каждого из файлов со следующими расширениями:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Для зашифровки файлов Petya использует алгоритм шифрования AES с 128-битным ключом. Этот ключ, в свою очередь, зашифрован с помощью открытого RSA-ключа, встроенного в исполняемый файл программы-вымогателя. Больше информации о том, как авторы программ-вымогателей используют алгоритмы RSA и AES для надёжного шифрования файлов, можно найти в нашей статье о методах шифрования.

Второй модуль был напрямую позаимствован у семейства программ-вымогателей. Он состоит из небольшой собственной операционной системы, которая устанавливается в главную загрузочную запись системы (MBR), при условии, что система может загружаться через MBR, а самому шифровальщику удалось получить необходимые права. Как только вредоносная операционная система загружается, Petya находит и зашифровывает главную файловую таблицу загрузочного диска, используя шифр Salsa20.

Главная файловая таблица – это внутренняя структура файловой системы NTFS Windows, содержащая данные о конкретном расположении каждого файла на диске. Чтобы ни один инструмент восстановления файлов не смог выполнить свою работу, ОС Petya шифрует первые секторы каждого файла. Без главной файловой таблицы Windows не может распознать данные на диске, что, по сути, полностью блокирует возможность её использования пользователем.

Как Вы можете защитить себя от программы-вымогателя Petya?

Наш совет, данный ещё во время глобальной атаки WannaCry, остаётся актуальным и в случае с Petya: прежде всего, убедитесь, что на Ваших компьютерах и серверах Windows установлены все последние обновления безопасности. После предыдущей глобальной атаки корпорация Microsoft предприняла неожиданный шаг и выпустила патчи безопасности даже для своих уже неподдерживаемых операционных систем, в том числе для Windows XP и Windows Server 2003. Поэтому даже эти операционные системы можно пропатчить и устранить уязвимость.

Как мы постоянно объясняем в наших публикациях, лучшей защитой от возможных последствий деятельности программ-вымогателей по-прежнему остаётся надёжная и проверенная стратегия резервного копирования. Это тем более актуально, если учитывать, что Petya использует надёжное шифрование. Поэтому вернуть зашифрованные данные можно лишь двумя способами: или заплатить требуемый выкуп авторам шифровальщика, или восстановить резервные копии Ваших данных. Установка критических обновлений безопасностей Windows также является очень важным шагом в деле защиты Вашей системы, поскольку основным вектором заражения Petya до настоящего времени является уязвимость EternalBlue. Заметим, что патч для устранения этой уязвимости был выпущен ещё несколько месяцев назад.

Помимо регулярного резервного копирования Вы можете положиться на работу нашего «Антишифровальщика». Этот компонент защиты используется в программах Emsisoft Anti-Malware и Emsisoft Internet Security и является частью нашей технологии «Анализ поведения». «Антишифровальщик» является превосходным защитником от программ-вымогателей, поскольку он пресекает любые попытки заразить систему, используя бэкдор DoublePulsar. Таким образом, наши пользователи остаются защищёнными от атак Petya, как, впрочем, и от атак сотен других семейств программ-вымогателей.

Уведомление о защите от шифровальщика-вымогателя Petya

Пользователи Emsisoft Anti-Malware и Emsisoft Internet Security защищены от атак вируса-вымогателя Petya.

Мы считаем программы-вымогатели одной из самых серьёзных угроз прошлого года и планируем делать всё от нас зависящее, чтобы наши пользователи и дальше оставались максимально защищёнными.

EAM-30-дней-бесплатно