Вирус ExPetr, а не шифровальщик Petya.A

Вирус ExPetr, а не шифровальщик Petya.A

"Лаборатория Касперского" сообщила о двух тысячах жертв нового вируса-шифровальщика. Вирус, который изначально приняли за шифровальщика Petya.A, в компании назвали ExPetr.

Больше всего атак «Лаборатория Касперского» зафиксировала в России и на Украине. Также наблюдались случаи заражения компьютеров в Польше, Италии, Великобритании, Германии, Франции, США и других странах.

По словам компании, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью.

Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

По данным компании Group-IB, которая специализируется на информационной безопасности, вирусом были заражены компьютерные сети более 100 компаний по всему миру. Компания зафиксировала атаки на компании России, Украины, США, Индии, Австралии, Эстонии и других стран.

По словам специалистов Group-IB, злоумышленники распространяют вирус с помощью фишинговой рассылки на электронную почту сотрудников компаний. Для заражения всей корпоративной сети достаточно инфицировать один компьютер с учётной записью администратора, предупредили в Group-IB.

Масштабная кибератака произошла 27 июня. В России от вируса-вымогателя пострадали «Роснефть», структуры «Башнефти», несколько банков, включая «Хоум кредит», металлургическая компания Evraz, на Украине — органы власти, киевский метрополитен, телеком-операторы, логистические организации «Укрпошта» и «Нова пошта», завод «Антонов», Чернобыльская АЭС.

Вирус блокировал компьютеры, шифруя данные, и требовал перевести $300 на указанный биткоин-кошелёк в обмен на расшифровку. По состоянию на 13:00 по московскому времени жертвы атаки перевели на счёт злоумышленников более $9 тысяч. При этом почтовый адрес, который использовали вымогатели, был заблокирован.

Изначально в Group-IB предположили, что в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года. Однако в «Лаборатории Касперского» заметили, что новый вирус не похож на Petya.A и другие существующие вымогальщики. В компании посоветовали активировать мониторинг системы и заблокировать файлы, под которые маскируется вирус.

Специалисты Symantec выяснили, что в момент атаки вирус ищет файл C:\Windows\perfc, и если такой файл на компьютере уже есть, вирус заканчивает работу без заражения.

Создать файл можно с помощью стандартного приложения «Блокнот», прописав расширение .dll. Специалисты также рекомендуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

В Microsoft заявили, что антивирусные программы компании способны обнаружить вирус и защитить от него компьютер пользователя.


Позже стало ясно, что  вирус оказался более разрушительным, чем предполагалось ранее. Он не просто блокирует данные ради выкупа, а уничтожает их.

Об этом сообщают антивирусные компании.

Эксперты утверждают, что текущая версия зловреда — модифицированный вариант Petya, код которого настроен на уничтожение, а не блокировку данных. В Comae уверены, что маскировка под вымогатель была сделана осознанно — чтобы привлечь интерес медиа.

Также об этом говорит то, что электронный адрес, указанный в сообщении, был удален сразу после начала распространения вируса, а с начала распространения глобальной эпидемии создатели заработали всего около 13 тысяч долларов (4 биткойна). Т.е. речь точно не идет о вымогательстве.

Разрушительную силу ExPetr подтверждают и в «Лаборатории Касперского»:


«Как правило, мы не рекомендуем платить выкуп, но допускаем, что бывают ситуации, когда у вас просто нет другого выхода. Но не сейчас. В случае, если ваши данные уже пострадали от ExPetr, платить не надо ни при каких условиях.
Наши аналитики установили, что злоумышленники в принципе не предусмотрели сохранение идентификатора заражения, без которого невозможно получить ключ для расшифровки данных. Короче говоря, киберпреступники не имеют возможности расшифровать вашу информацию — заплатите вы им или нет".


А тем временем, несмотря на появившиеся способы предупреждения заражения, эпидемия распространяется дальше. В частности, говорится о проникновении вируса на ряд американских предприятий, в том числе Merck, Nabisco и Oreo, ряд госпиталей и главный порт Лос-Анджелеса.


Украинские спецслужбы остановили второй этап кибератаки Petya.

Об этом сообщил министр внутренних дел Украины Арсен Аваков в своем Facebook-аккаунте.

Вторая волна распространения вируса началась 4 июля в 13.40, пик планировался на 16.00. До 15.00 киберполиция заблокировала рассылку с серверов информационной системы М.Е.Doc и приостановила активацию вируса.

«Атака была остановлена. Изъяты сервера со следами воздействия киберпреступников с явными источниками в Российской Федерации», — написал министр.

Источником эпидемии шифратора стало скомпрометированное обновление украинской бухгалтерской программы M.E.Doc. Именно поэтому большая часть атак пришлась на эту страну. В Беларуси в милицию обратились представители некоторых крупных компаний.





вирус
Читать полностью:  https://42.tut.by/549346



 08.07.2017
 (48 просмотров)