Програма-вимагач 27 червня заблокувала комп’ютери і зашифрувала файли в десятках компаній по всьому світу.
Повідомляється, що найбільше постраждали українські компанії – вірус заразив комп’ютери великих компаній, державних структур та об’єктів інфраструктури.
За розшифровку файлів вірус вимагає від жертв 300 доларів в біткоїнів.
Хто постраждав?
Поширення вірусу почалося з України. Постраждали аеропорт “Бориспіль”, деякі регіональні підрозділи “Укренерго”, мережі магазинів, банки, ЗМІ та телекомунікаційні компанії. Відключилися комп’ютери і в уряді України.
Слідом за цим настала черга компаній в Росії: “Роснефть”, “Башнефть”, Mondelеz International, Mars, Nivea і інші також стали жертвами вірусу.
Жертви в інших країнах – британська рекламна компанія WPP, американська фармацевтична компанія Merck & Co, великий датський грузоперевозчик Maersk і інші.
Як працює вірус?
Експерти поки не прийшли до єдиної думки щодо походження нового вірусу. Компанії Group-IB і Positive Technologies бачать в ньому різновид вірусу Petya 2016 року.
“Це здирницьке програмне забезпечення використовує як хакерські методи і утиліти, так і стандартні утиліти системного адміністрування, – коментує керівник відділу реагування на загрози інформаційної безпеки Positive Technologies Ельмар Набігаев. – Все це гарантує високу швидкість поширення всередині мережі та масовість епідемії в цілому (при зараженні хоча б одного персонального комп’ютера). Результатом є повна непрацездатність комп’ютера і шифрування даних“.
У румунській компанії Bitdefender бачать більше спільного з вірусом GoldenEye, в якому Petya об’єднується з ще одним шкідливий під назвою Misha. Перевага останнього – для шифрування файлів він не вимагає у майбутньої жертви права адміністратора, а видобуває їх самостійно.
Брайан Кембелл з Fujitsu і ряд інших експертів вважають, що новий вірус використовує вкрадену у Агентства національної безпеки США, модифіковану програму EternalBlue.
Після публікації цієї програми хакерами The Shadow Brokers в квітні 2017 року весь світ облетів створений на її основі вірус-вимагач WannaCry.
Використовуючи уразливості Windows, ця програма дозволяє вірусу поширюватися на комп’ютери по всій корпоративної мережі. Оригінальний же Petya розсилався по електронній пошті під виглядом резюме і міг заражати тільки той комп’ютер, де це резюме відкривали.
Microsoft опублікувала обновлення проти EternalBlue ще в березні 2017 року, проте не всі скористалися нею навіть після епідемії WannaCry.
У “Лабораторії Касперського” заявили “Інтерфаксу”, що вірус-вимагач не належить до раніше відомих родин шкідливого програмного забезпечення.
“Програмні продукти” Лабораторії Касперського “детектируют дане шкідливе ПО як UDS: DangeroundObject.Multi.Generic.”, – зазначив керівник відділу антивірусних досліджень “Лабораторії Касперського” В’ячеслав Закоржевскій.
Загалом, якщо і називати новий вірус ім’ям, потрібно мати на увазі, що зовні він більше схожий на чудовисько Франкенштейна, оскільки зібраний з декількох шкідливих програм. Достеменно відомо, що вірус з’явився на світ 18 червня 2017 року.
Крутіше ніж WannaCry?
WannaCry знадобилося всього кілька діб в травні 2017 року, щоб досягти статусу наймасовішої кібератаки подібного роду в історії. Чи обжене новий вірус-вимагач свого недавнього попередника?
За неповну добу зловмисники отримали від своїх жертв 2,1 біткойнов – близько 5 тис. Доларів. WannaCry за той же термін зібрав 7 біткойнов.
При цьому, на думку Ельмара Набігаева з Positive Technologies, боротися з новим здирником складніше.
“Крім експлойта [уразливості в Windows] ця загроза росповсюджується також за допомогою облікових записів операційних систем, вкрадених за допомогою спеціальних утиліт хакерів“, – зазначив експерт.
Як боротися з вірусом ?
В якості профілактики експерти радять вчасно встановлювати оновлення для операційних систем і перевіряти файли, отримані по електронній пошті.
Просунутим адміністраторам радять тимчасово відключити протокол передачі даних в мережі Server Message Block (SMB).
Якщо ж комп’ютери виявилися заражені – ні в якому разі не платити зловмисникам. Немає ніякої гарантії, що, отримавши оплату, вони розшифрують файли, а не стануть вимагати більше.
Залишається тільки чекати програму-дешифровщик: у випадку з WannaCry на її створення у фахівця французької компанії Quarkslab Адріена Гіньє пішов тиждень.
***
- Перша програма-вимагач AIDS (PC Cyborg) була написана біологом Джозефом Поппом в 1989 році. Вона приховувала каталоги і шифрувати файли, вимагаючи виплатити близько 189 доларів за “продовження ліцензії” на рахунок в Панамі. Своє дітище Попп поширював за допомогою дискет звичайною поштою, зробивши в цілому близько 20 тисяч відправлень. Попп був затриманий при спробі перевести в готівку чек, але уникнув суду – в 1991 році його визнали неосудним.
