Петя или не Петя? Что за вирус атаковал компании по всему миру и что делать, если ваш компьютер заражён
Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.
Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги — 300 долларов биткоинами, причём сумма удваивается через какое-то время.
Вирус Petya, обнаруженный в начале 2016 года, распространялся по точно такой же схеме, поэтому многие пользователи решили, что это он и есть. Но специалисты из компаний-разработчиков антивирусного ПО уже заявили, что в произошедшей атаке виноват какой-то другой, совершенно новый вирус, который они ещё будут изучать. Эксперты из «Лаборатории Касперского» уже дали неизвестному вирусу название — NotPetya.
По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.
Компания Dr.Web тоже пишет, что хоть вирус и похож на Petya внешне, на самом деле это вредоносное ПО ещё ни разу специалистам не встречалось и принципиально отличается от Petya, но вот чем именно, ещё предстоит установить.
В настоящее время аналитики исследуют нового троянца, позднее мы сообщим подробности. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.
Dr.Web и «Лаборатория Касперского» также напомнили пользователям о простых правилах, которые помогли бы избежать заражения вирусом многих компьютеров. О них компании-разработчики антивирусного ПО говорили ещё после майских атак вируса WannaCry, но не все люди до сих пор их соблюдают.
Dr.Web призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.
Если же ваш компьютер уже заражён, то решение тоже найдено. На портале Geektimes ещё в апреле была опубликована инструкция, как избавиться от вируса. Первый (сложный) способ — вставить заражённый носитель в другой ПК и «извлечь определенные данные из определенных секторов заражённого жёсткого диска», а затем пропустить «через Base64 декодер и отправить на сайт для обработки».
Но есть и простой: воспользоваться специальным инструментом, созданным пользователем твиттера Fabian Wosar.
Для его работы нужно переставить заражённый диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается заражённый диск, программа начинает второй этап работы.
На втором этапе скачанную информацию нужно будет загрузить на сайт.
Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.
Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.
Жертвы кибератаки
Больше всех от неизвестного вируса пострадали украинские компании. Заражены оказались компьютеры аэропорта «Борисполь», правительства Украины, магазинов, банков, СМИ и телекоммуникационных компаний. После этого вирус добрался и до России. Жертвами атаки стали «Роснефть», «Башнефть», Mondelеz International, Mars, Nivea.
О проблемах с IT-системами из-за вируса заявили даже некоторые зарубежные организации: британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие. Об этом в своём твиттере написал Костин Райю, глава международной исследовательской команды «Лаборатория Касперского».
Petrwrap/Petya ransomware variant with contact wowsmith123456@posteo.net spreading worldwide, large number of countries affected.
— Costin Raiu (@craiu) 27 июня 2017 г.
«Вредоносное ПО Petrwrap/Petya, распространяющееся с почтового ящика wowsmith123456@posteo.net, затронуло уже многие страны».
Однако на кошелёк хакеров пока поступило не так много денег. Как пишет в своём твиттере компания по IT-безопасности Security Response, пока «выкуп» в 300 долларов в биткоинах заплатили только девять людей.
Nine payments have been made into #Bitcoin wallet associated with #Petya so far #ransomware #infosec
— Security Response (@threatintel) 27 июня 2017 г.
«Девять платежей поступили на биткоин-кошелёк, который, скорее всего, связан с вирусом Petya».
Вирусы, такие как NotPetya или WannaCry, сложно не заметить, так как они полностью блокируют компьютер. Но есть вредоносные программы, которые могут внедриться к вам совершенно незаметно и потихоньку зарабатывать за счёт ваших мощностей и трафика, как в мае это делала программа Adylkuzz.