Petya

Материал из Википедии — свободной энциклопедии
Petya
Экран после шифрования (после перезагрузки системы)

Экран после шифрования

(после перезагрузки системы)
Тип
ransomware, эксплойт
Год появления 29 марта 2016 (первая версия);
27 июня 2017 (начало массовой атаки)
Используемое ПО уязвимость в SMB ОС Windows,
эксплойты EternalBlue и EternalRomance[1],
бэкдор DoublePulsar (предположительно)
Описание Symantec
Описание Securelist

Petya (также известна как Petya.A, Petya.D

Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4]
.

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам, после оплаты расшифровки не происходит. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу с информацией о всех файлах, хранящихся на диске с файловой системой NTFS[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «

полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на заражённый компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11]
.

Массовое заражение в 2017

Основная статья: Хакерские атаки на Украину (2017)

Хоум Кредит», «Роснефть», «Башнефть»[19] и «Евраз»[20]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, с Украины, из Франции и Эстонии[14][21][22][23]
.

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчётности[24]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[22]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[25]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[26].

Цели атаки

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жёсткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[27]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[28]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ, который невозможно cкопировать в буфер обмена[22]. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[29][30].

Защита

Большинство крупных

полезными нагрузками[31]
.

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[32] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[22].

Название

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством

Bitdefender назвала его Goldeneye[22]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5]
.

См. также

Примечания

  1. ExPetr интересуется серьезным бизнесом. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 12 июля 2017 года.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  3. 1 2 Petya ransomware eats your hard drives. Kaspersky Lab (30 марта 2016). Дата обращения: 27 июня 2017. Архивировано 29 июня 2017 года.
  4. Ransom.Petya. Symantec | United States (29 марта 2016). Дата обращения: 27 июня 2017. Архивировано 11 июля 2017 года.
  5. 1 2 3 4 "Petya ransomware outbreak: Here's what you need to know". Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя. Газета.Ру (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  7. "Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20". Архивировано 7 июля 2017. Дата обращения: 7 июля 2017.
  8. Decrypting the Petya Ransomware. Check Point Blog (11 апреля 2016). Дата обращения: 28 июня 2017. Архивировано 30 июня 2017 года.
  9. Вымогатель Petya шифрует жёсткие диски. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 11 июля 2017 года.
  10. Constantin, Lucian. "Petya ransomware is now double the trouble". Network World (англ.). Архивировано 31 июля 2017. Дата обращения: 28 июня 2017.
  11. Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 9 февраля 2017 года.
  12. Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
  13. Burgess, Matt. "What is the Petya ransomware spreading across Europe? WIRED explains". WIRED UK (англ.). Архивировано 31 декабря 2017. Дата обращения: 28 июня 2017.
  14. 1 2 "Лаборатория ESET назвала Украину источником заражения вирусом Petya". Interfax.ru. 2017-06-28. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
  15. ""Киевэнерго" подверглось хакерской атаке, проблемы ощутило и "Укрэнерго"". Интерфакс-Украина. Архивировано 30 июня 2017. Дата обращения: 28 июня 2017.
  16. "Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме". Interfax.ru. 2017-06-28. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
  17. Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим. Новости Mail.Ru. Дата обращения: 28 июня 2017. Архивировано из оригинала 1 августа 2017 года.
  18. НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку. bank.gov.ua. Дата обращения: 28 июня 2017. Архивировано из оригинала 29 июня 2017 года.
  19. "Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний". Пятый канал. Дата обращения: 28 июня 2017.
  20. Наталья Селиверстова (2017-06-27). "Информационная система Evraz подверглась хакерской атаке". РИА Новости. Архивировано 1 августа 2017. Дата обращения: 17 июля 2017.
  21. "ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки". RUS Delfi. 2017-06-28. Архивировано 30 июня 2017. Дата обращения: 28 июня 2017.
  22. 1 2 3 4 5 Solon, Olivia (2017-06-27). "What is the Petya ransomware attack, and how can it be stopped?". The Guardian (англ.). Архивировано 30 мая 2019. Дата обращения: 28 июня 2017.
  23. "Huge cyber attack spreading across the world". The Independent (англ.). 2017-06-27. Архивировано 27 июня 2017. Дата обращения: 28 июня 2017.
  24. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent "medoc1001189". @CyberpoliceUA (27 июня 2017). Дата обращения: 28 июня 2017.
  25. M.E.Doc. www.facebook.com. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  26. "New ransomware, old techniques: Petya adds worm capabilities". Windows Security (англ.). Архивировано 28 июня 2017. Дата обращения: 28 июня 2017.
  27. ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Дата обращения: 28 июня 2017. Архивировано 13 февраля 2021 года.
  28. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak. the grugq (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
  29. Lee, David (2017-06-28). "'Vaccine' created for huge cyber-attack". BBC News (англ.). Архивировано 17 августа 2019. Дата обращения: 28 июня 2017.
  30. Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  31. "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser". MSPoweruser (англ.). 2017-05-13. Архивировано 29 мая 2020. Дата обращения: 28 июня 2017.
  32. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file "C:\Windows\perfc"pic.twitter.com/zlwB8Zimhv. @PTsecurity_UK (27 июня 2017). Дата обращения: 7 июля 2017. Архивировано 8 июля 2017 года.
Источник — https://ru.wikipedia.org/w/index.php?title=Petya&oldid=137639721