Petya
Petya | |
---|---|
Тип |
ransomware, эксплойт |
Год появления |
29 марта 2016 (первая версия); 27 июня 2017 (начало массовой атаки) |
Используемое ПО |
уязвимость в SMB ОС Windows, эксплойты EternalBlue и EternalRomance[1], бэкдор DoublePulsar (предположительно) |
Описание Symantec | |
Описание Securelist |
Petya (также известна как Petya.A, Petya.D.
Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам, после оплаты расшифровки не происходит. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу с информацией о всех файлах, хранящихся на диске с файловой системой NTFS[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].
История
Первые версии в 2016
Впервые вирус Petya был обнаружен в марте 2016 года. Компания «
Массовое заражение в 2017
Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчётности[24]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[22]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[25]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[26].
Цели атаки
По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жёсткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[27]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[28]. Он также добавил:
Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.
К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ, который невозможно cкопировать в буфер обмена[22]. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.
Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[29][30].
Защита
Большинство крупных
Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[32] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[22].
Название
По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством
См. также
- Хакерские атаки на Украину (2017)
- WannaCry
- Bad Rabbit (вирус шифровальщик)
- EternalRocks
- DoublePulsar
- EternalBlue
Примечания
- ↑ ExPetr интересуется серьезным бизнесом . blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 12 июля 2017 года.
- ↑ 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr . Kaspersky Lab. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
- ↑ 1 2 Petya ransomware eats your hard drives . Kaspersky Lab (30 марта 2016). Дата обращения: 27 июня 2017. Архивировано 29 июня 2017 года.
- ↑ Ransom.Petya . Symantec | United States (29 марта 2016). Дата обращения: 27 июня 2017. Архивировано 11 июля 2017 года.
- ↑ 1 2 3 4 "Petya ransomware outbreak: Here's what you need to know". Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 27 июня 2017.
- ↑ 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя . Газета.Ру (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
- ↑ "Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20". Архивировано 7 июля 2017. Дата обращения: 7 июля 2017.
- ↑ Decrypting the Petya Ransomware . Check Point Blog (11 апреля 2016). Дата обращения: 28 июня 2017. Архивировано 30 июня 2017 года.
- ↑ Вымогатель Petya шифрует жёсткие диски . blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 11 июля 2017 года.
- ↑ Constantin, Lucian. "Petya ransomware is now double the trouble". Network World (англ.). Архивировано 31 июля 2017. Дата обращения: 28 июня 2017.
- ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa . blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 9 февраля 2017 года.
- ↑ Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
- ↑ Burgess, Matt. "What is the Petya ransomware spreading across Europe? WIRED explains". WIRED UK (англ.). Архивировано 31 декабря 2017. Дата обращения: 28 июня 2017.
- ↑ 1 2 "Лаборатория ESET назвала Украину источником заражения вирусом Petya". Interfax.ru. 2017-06-28. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
- ↑ ""Киевэнерго" подверглось хакерской атаке, проблемы ощутило и "Укрэнерго"". Интерфакс-Украина. Архивировано 30 июня 2017. Дата обращения: 28 июня 2017.
- ↑ "Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме". Interfax.ru. 2017-06-28. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
- ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим . Новости Mail.Ru. Дата обращения: 28 июня 2017. Архивировано из оригинала 1 августа 2017 года.
- ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку . bank.gov.ua. Дата обращения: 28 июня 2017. Архивировано из оригинала 29 июня 2017 года.
- ↑ "Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний". Пятый канал. Дата обращения: 28 июня 2017.
- ↑ Наталья Селиверстова (2017-06-27). "Информационная система Evraz подверглась хакерской атаке". РИА Новости. Архивировано 1 августа 2017. Дата обращения: 17 июля 2017.
- ↑ "ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки". RUS Delfi. 2017-06-28. Архивировано 30 июня 2017. Дата обращения: 28 июня 2017.
- ↑ 1 2 3 4 5 Solon, Olivia (2017-06-27). "What is the Petya ransomware attack, and how can it be stopped?". The Guardian (англ.). Архивировано 30 мая 2019. Дата обращения: 28 июня 2017.
- ↑ "Huge cyber attack spreading across the world". The Independent (англ.). 2017-06-27. Архивировано 27 июня 2017. Дата обращения: 28 июня 2017.
- ↑ Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua за допомогою User Agent "medoc1001189". @CyberpoliceUA (27 июня 2017). Дата обращения: 28 июня 2017.
- ↑ M.E.Doc . www.facebook.com. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
- ↑ "New ransomware, old techniques: Petya adds worm capabilities". Windows Security (англ.). Архивировано 28 июня 2017. Дата обращения: 28 июня 2017.
- ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Дата обращения: 28 июня 2017. Архивировано 13 февраля 2021 года.
- ↑ 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak . the grugq (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
- ↑ Lee, David (2017-06-28). "'Vaccine' created for huge cyber-attack". BBC News (англ.). Архивировано 17 августа 2019. Дата обращения: 28 июня 2017.
- ↑ Cyberattack Hits Ukraine Then Spreads Internationally . The New York Times (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
- ↑ "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser". MSPoweruser (англ.). 2017-05-13. Архивировано 29 мая 2020. Дата обращения: 28 июня 2017.
- ↑ P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file "C:\Windows\perfc"pic.twitter.com/zlwB8Zimhv . @PTsecurity_UK (27 июня 2017). Дата обращения: 7 июля 2017. Архивировано 8 июля 2017 года.