Что такое вирус «Петя» в Европе? Специалисты объясняют. Часть 1

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(1 голос, в среднем: 5 из 5)

Вирус Петя был замечен преимущественно в Украине, но сотрудники безопасности также заметили его и в других европейских странах

В мае, вирус Ransomware WannaCry быстро распространился по всему миру, с помощью зараженных файлов, заражая сотни тысяч компьютеров и блокируя их. Теперь еще один вредоносный код заражает множество компьютеров.

Новый штамп вредоносного кода, получившего название «Петя» (часто называемый «Petrwrap» и «Notpetya»), был впервые обнаружен в Великобритании, он был зашифрованными. Далее с помощью сообщений, он заразил системы в Испании, Германии, Израиле, Великобритании, Нидерландах и США.

Он затронул множество отраслей: правительство, судоходные компании, нефтяные гиганты и даже ядерный реактор на Чернобыльской АЭС. «Это очень масштабно», - сказал Кристиан Бик, ведущий ученый и главный инженер McAfee. Специалисты говорят о ситуации в Украине. «Этот вирус коснулся энергетических компаний, энергосистем, автовокзалов, АЗС, аэропорт и банков».

Сотрудник безопасности говорит, что, по его мнению, «Петя» был разработан таким образом, чтобы распространяться как сумасшедший. Директор «Лаборатории Касперского» Костин Раю написал в твиттере, что большинство заражений, наблюдаемых его фирмой, обнаружены в Украине, Российской Федерации и Польше.

Между тем, другие эксперты подтвердили, что вирус был обнаружен в нескольких местах и (например, WannaCry), когда компьютер заблокирован, для дешифрования заблокированных систем необходимо заплатить гонорар в размере 300 долларов. На Биткойн-кошелек, указанный в требованиях, пришло множество платежей, но на момент написания статьи, всего была собрана относительно небольшая сумма в размере 5800 фунтов стерлингов. Однако почтовый клиент Posteo, на котором размещается учетная запись, на которую отправляются платежи по биткойну, закрыл адрес, указанный в примечании выкупа. Поэтому даже те, которые согласны заплатить выкуп, просто не могут этого сделать. В своем заявлении, немецкая фирма говорит, что «не допустит никакого злоупотребления их платформой».

Что такое вирус «Петя»?

Вредоносный вирус, под названием «Петя» существует с 2016 года, а Symantec заявляет, что версия, используемая в этой кибератаке, была изменена и может распространяться в виде червя.

Исследователи заявили, что, хотя часть кода использовалась и в предыдущих версиях «Пети», сейчас она немного отличается.

В результате он также получил название NotPetya. Касперский говорит, что вредоносное ПО отличается от предыдущего «Пети», оно было изменено для текущей атаки. Исследователи из фирмы добавляют, что вирус был спроектирован так, чтобы иметь «правдоподобно неприемлемую систему опалаты».

В частности, Petya / NotPetya был сильно изменен, чтобы он не был похож на предыдущую версию в 2016 году. Российская охранная компания говорит, что «Петя» является «сложной» кибератакой и утверждает, что EternalBlue был изменен именно тем, кто ее создал.

Вирус Петька

До сих пор, отчеты по поводу откупа все еще обновляются, и полная картина пока неизвестна. Это увеличивает вероятность ошибочного раннего подсчета, и более полная информация будет лишь тогда, когда смогут достать более подробные сведения о происходящем. В результате, специалисты будут обновлять эту историю, поскольку постоянно поступает новая информация.

Несмотря на многие неясности в отношении оплаты, запросы продолжают распространяться. Британская маркетинговая фирма WPP заявила, что она была поражена «подозреваемой кибератакой». Национальное агентство по борьбе с преступностью Великобритании заявило, что оно контролирует ситуацию и работает с другими компаниями по всему миру. Национальный центр кибербезопасности аналогичным образом говорит, что он «внимательно следит за ситуацией», в то время NHS сильно пострадала от WannaCry.

Какие компании пострадали от «Пети»?

Один из самых громких случаев поражения «Петей» - вице-премьер-министр Украины Розенко Павло, он написал в твиттере и прикрепил изображение компьютера, который был заражен, также она заявил, что легла «целая сеть». Затем пресс-агентство AFP сообщило, что после того, как была атакована, система автоматического контроля Чернобыля, все было переведено в ручной режим.
Судоходная фирма Maersk заявила, что она пережила кибератаку и что ее ИТ-системы находятся в автономном режиме «по нескольким сайтам и отдельным бизнес-единицам». Российская нефтяная компания «Роснефть» также заявляет, что ее коснулась кибератака и они уже обратились в правоохранительные органы.

По прошествии дня вредоносная программа распространилась и в США. Фармацевтическая компания Merck заявила, что она попала под глобальную кибератаку.

Как распространяется «Петя»?

Считается, что вирус, как и большинство вирусов вредоносной программы, блокирует компьютеры, которые заражены и шифрует файлы на них. «Если вы видите этот текст, ваши файлы больше не доступны, потому что они были зашифрованы», - написано на скриншотах после поражения. Они также требуют, чтобы оплатили сумму на биткойн, после чего все расшифруется.

Компании по безопасности уверены, что вирус «Петя» использует то же программное обеспечение, как и Microsoft, которое WannaCry ранее использовала. Symantec заявляет, что смогла подтвердить, что вирусная система использует уязвимость EternalBlue, которая, как полагают, была разработана NSA. Помимо этого, вирус «Петя» использует EternalRomance и смог добраться к украинскому программному обеспечению MeDoc.

Как Symantec, так и F-Secure говорят, что, хотя «Петя» так же шифрует системы, он немного отличается от других видов атак. «Петя - это новый вид вымогательства: вместо шифрования файлов на диске он блокирует весь диск, делая его практически бесполезным», - объясняет F-Secure. «В частности, он будет шифровать таблицу основных файлов файловой системы (MFT), что означает, что операционная система не сможет найти файлы».

Бик добавляет, что «Петя» не слишком изысканно замаскирован. «Он использует поддельный сертификат, полученный от инструментов Sysinternal от Microsoft», - говорит он. «Он не сильно запутанный, как мне кажется, поэтому можно легко просчитать его функциональность».

Как избежать вируса «Пети»?

Рекомендации по защите от «Пети» относятся ко многим видам вредоносных программ - убедитесь, что система и приложения обновлены. Инструменты EternalBlue используют недостатки устаревшего программного обеспечения, поэтому поддержание ваших систем будет ограничивать эти атаки.

Также стоит запустить, по крайней мере, две антивирусные программы - одну бесплатную и одну платную. Это необязательно, но это предоставит вам дополнительную защиту. Установите эти программы для регулярного сканирования вашей системы и электронной почты.

Не открывайте электронные письма или вложения без подтверждения того, что они безопасны, и того, что вы знаете отправителя. Это должно быть обычной практикой.

В следующих статьях будет детальная информация, как избавиться от Пети. Что бы не пропустить. подписывайтесь на наш блог.

Возможно вас заинтересует

Оставить комментарий

Да! Вы решили оставить комментарий. Это здорово! Рекомендуется ознакомиться с правилами блога. Ведите содержательную беседу.