Американський розробник антивірусного програмного забезпечення Symantec опублікував рекомендації, як уникнути зараження вірусом-вимагачем Petya, який минулого вівторка атакував спочатку російські та українські компанії і держустанови, а потім поширився і в інших країнах. Шкідлива програма працює за принципом гучного шифрувальника WannaCry, масштабна епідемія якого сталася в травні, і також вимагає викуп у розмірі $300 в біткойновому еквіваленті. Правда, поки немає достовірної інформації про те, чи використовує вона експлойт, патч проти якого вже був випущений Microsoft, або ж мова йде про якусь нову вразливість з розсекреченого хакерами арсеналу АНБ.
Проте, як виявилося, вірус можна знешкодити ще до того, як він зашифрує файли на комп'ютері. Для цього в каталозі Windows на системному диску необхідно створити порожній файл з назвою perfc без розширення. Як стверджують в Symantec, потрапивши в систему, Petya шукає саме цей файл і, знайшовши його, вважає цей комп'ютер вже зараженим, припиняючи роботу.
Якщо ж вірус все-таки заражає комп'ютер, то він перезаписує головний завантажувальний запис (MBR), не даючи Windows завантажуватися. Однак, як відзначають в компанії Positive Technologies, що спеціалізується на питаннях інформаційної безпеки, це відбувається не відразу, а через 1-2 години після зараження, коли шкідлива програма перезавантажує комп'ютер. Тобто якщо користувач протягом зазначеного часу встигне запустити команду bootrec/fixmbr, то збереже працездатність операційної системи. Щоправда, для розшифрування файлів, якщо їх резервні копії відсутні, все одно потрібен ключ.
Як повідомляють ЗМІ, навіть заплативши хакерам викуп, отримати дешифратор неможливо. Справа в тому, що після переказу $300 на вказаний біткойн-гаманець «жертва» повинна направити дані платежу і згенерований вірусом персональний інсталяційний код на певну адресу електронної пошти. Але ця адреса зараз заблокована німецьким серсіс-провайдером Posteo, на якому розташовувався «ящик». Таким чином, навіть ті, хто вже відправив гроші зловмисникам (станом на вечір 27 червня загальна сума переказів склала близько $5600, до полудня 28 червня вона досягла $9130), навряд чи зможуть повернути доступ до своєї інформації. Втім, цього ніхто не гарантував би і в тому випадку, якби пошта була робочою.
Нагадаємо, що перші повідомлення про атаку вірусу-шифрувальника Petya почали надходити вдень 27 червня. Як передає «Коммерсантъ» з посиланням на Group-IB, серед жертв шкідливої програми опинилися російські компанії «Башнефть» і «Роснефть», українські «Запоріжжяобленерго» і «Дніпроенерго». Крім того, від дій вірусу постраждали корпорації Mars і Nivea, Київський метрополітен, магазини «Ашан», оператори «Київстар», LifeCell і «Укртелеком». Деякі банки, прагнучи уникнути серйозних ускладнень, пішли на превентивні заходи і провели перевірку безпеки своїх систем. З цієї причини, наприклад, деякий час не здійснювалися клієнтські операції у відділеннях «Банку Хоум Кредит», хоча банкомати і колл-центр продовжували справно працювати.
Наслідки атаки Petya відзначалися не тільки на території Росії, України та Європи, а й навіть на інших континентах. В австралійському місті Хобарте, наприклад, через вірус було зупинено виробництво на кондитерській фабриці Cadbury's. Примітно, що травнева епідемія WannaCry Австралію, на відміну від багатьох інших країн, практично не торкнулася.
Оновлено о 12:30.
«Лабораторія Касперського» в рамках розслідування останньої хвилі заражень програмою-шифрувальником встановила існування нового сімейства шкідливого ПЗ, яке має лише кілька спільних з вимагачем Petya рядків коду і істотно відрізняється від нього функціональністю.
Новий вірус, який атакував вже близько 2000 комп'ютерів, отримав назву ExPetr. Рекордсменами за кількістю заражень знову є Росія і Україна, також інциденти зафіксовані в Польщі, Італії, Великобританії, Німеччині, Франції, США та деяких інших країнах.
Передбачається, що для свого поширення ExPetr використовує кілька векторів атаки і заснований на модифікованому експлойті EternalBlue, а також уразливості EternalRomance.
Оновлено о 14:44. Корпорація Microsoft заявила інформаційному агентству RNS, що її антивірус здатний захистити користувачів від шкідливого ПЗ Petya. За даними софтверного гіганта, шифрувальник використовує кілька методів поширення, включаючи той, який блокується раніше випущеним оновленням MS17-010.
Встановити цей апдейт, якщо цього ще не було зроблено, рекомендує і «Лабораторія Касперського». Також вона радить заборонити виконання файлу perfc.dat і запуск утиліти PSExec. У російській антивірусній компанії стверджують, що вже працюють над дешифратором, який не тільки зможе повернути доступ до закодованих файлів, а й розпізнаватиме майбутні модифікації вірусу.
Тим часом Petya продовжує поширюватися по світу і тепер «прямує» в Азію. Як повідомляє Bloomberg, через атаку вже спостерігалися перебої в роботі терміналу компанії A.P. Moller-Maersk в Джавахарлал Неру - найбільшому контейнерному порту Індії. Через вірус управління вантажопотоком довелося перевести в ручний режим, оскільки автоматизована система виявилася виведена з ладу. Ознаки активності вірусу помічені і в Китаї, але поки великих збоїв там не виявлено, повідомили в Qihoo 360 Technology Co.
Оновлено о 16:05. За висловленою ще вчора думкою української кіберполіції, поширення вірусу Petya почалося саме в цій країні через програму документообігу M.E.Doc після того, як та завершила автоматичне оновлення. І хоча розробники програми спочатку заперечували таку можливість, Microsoft, яка проаналізувала ситуацію, стверджує, що має вагомі докази проведення деяких атак з використанням каналу доставки апдейтів M.E.Doc.
Аналогічної точки зору дотримуються і фахівці з ESET, які встановили, що джерелом епідемії Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометоване оновлення програми M.E.Doc, широко поширеної в українських компаніях. Остання обставина послужила ключовою причиною швидкого поширення вірусу по організаціях країни.
Для захисту від Petya компанія ESET рекомендує використовувати комплексне антивірусне ПЗ, оновлене до останньої версії і з актуальними вірусними базами, встановити всі патчі для Windows і перевірити систему на захищеність від експлойту EternalBlue. Якщо ж зараження вже відбулося, то насамперед необхідно відключити інфіковані робочі станції від корпоративної мережі. При цьому платити зловмисникам не слід, тим більше, що, як ми писали раніше, адресу електронної пошти, з якої хакери нібито повинні надіслати ключ для дешифрування файлів, заблоковано.
Оновлено о 20:26. Поки в Росії та Україні - країнах, які першими прийняли на себе удар вірусу Petya, - усувають наслідки його активності, експерти з Check Point говорять про тренди, які демонструє атака цього зловреда. За словами голови представництва компанії в Росії і СНД Василя Дягілєва, поява Petya показала, наскільки швидко можуть створюватися і поширюватися на глобальному рівні нові версії шкідливого ПЗ. При цьому багато організацій зараз не готові до превентивного захисту для запобігання подібних загроз. Просте їх виявлення, яке працювало раніше, тепер не допомагає - блокувати підозрілий контент і трафік потрібно ще до його потрапляння в мережу.
Тим часом, як і після атаки WannaCry, фахівці в області комп'ютерної безпеки попереджають, що подібні віруси будуть зустрічатися все частіше. "Більше не стоїть питання, чи стане та чи інша організація жертвою здирницького ПЗ. Питання в тому, як скоро це відбудеться ", - заявив гендиректор компанії Druva Джасприт Сінгх (Jaspreet Singh).
До речі, на даний момент збиток від Petya ще не підраховано. Однак, як написала у своєму твіттері компанія «Роснефть», в числі перших піддалася атаці 27 червня, її виробничі процеси порушені не були. "Існують окремі проблеми, які оперативно вирішуються. Компанія працює в штатному режимі. Ситуація знаходиться під контролем. Оцінювати наслідки кібератаки поки передчасно ", - йдеться в повідомленні, опублікованому вдень у середу, 28 червня.
Оновлено о 22:16. З різних куточків планети продовжують надходити новини про «досягнення» вірусу-здирника Petya. Цього разу повідомляється про проблеми у TNT Express - однієї з найбільших міжнародних компаній експрес-доставки, розташованої в Нідерландах. Сервіс продовжує функціонувати, але в його роботі спостерігаються затримки. «В даний час ми не можемо оцінити фінансові наслідки даного збою, але вони можуть бути істотними», - прокоментували ситуацію в корпорації FedEx, що володіє TNT Express.