График работы:

Вт-Пт: Сб: Вс-Пн:
10 00–19 00 10 00–18 00 Выходной
Ваш город: Россия

Массивная кибератака «Петя» достигла 64 стран

29.06.2017 330

На этот раз, пока, нет "выключателя" вируса.

Исследователи безопасности заявили, что новая кибератака «Петя», охватывающая весь мир, может быть хуже, чем атака WannaCry в мае, и, возможно, ее будет сложно остановить.

Впервые Украина сообщила, что кибератака ударила по национальному банку, аэропорту и правительственным ведомствам. А после Украины, российская нефтяная компания, гигантская компания WPP и голландская логистическая фирма Maersk начали сообщать о своих проблемах.

Microsoft сообщила в обновлении безопасности, что атака достигла 64 стран, включая Россию, Бразилию и США.

Атака нацелена на ПК с ОС Windows и принимает форму выкупа, шифрует файлы пользователей и требует оплаты в обмен на дешифрование. В этом случае хакеры запрашивают биткойн стоимостью $300. 
Но вирус не шифрует, а уничтожает информацию - после чего восстановлению не подлежит. Так и было задумано, поэтому платить смысла нет.

До сих пор было зарегистрировано 36 платежей в Bitcoin на адрес "Петька" на общую сумму £ 7064 ($ 9000).

Исследователь по безопасности Кевин Бомон указал на различие с атакой WannaCry. У хакеров, стоящих за вспышкой Петя, был бюджет развития. И уточнил, что, вероятно, последствия будут хуже.

Некоторые люди обвиняют украинское программное обеспечение под названием MeDoc. Несколько охранных фирм и исследователей сказали, что одна из причин быстрого распространения связано с популярной бухгалтерской программой в Украине, под названием MeDoc. Это объясняет, почему первые жертвы были в Украине и России.

Компания отрицала случайное участие в атаке на своей странице в Facebook, но Microsoft, охранная фирма Talos и собственный национальный отдел кибербезопасности Украины возлагали вину на программное обеспечение.

Microsoft написала: «Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законных MeDoc ".

MalwareTech, британский исследователь по безопасности, который остановил распространение WannaCry, добавил, что, вероятно, MeDoc был взломан. Затем распространилось вредоносное ПО на компьютеры, где использовалась его бухгалтерская служба.

Он добавил, что, в отличие от WannaCry, не было «kill switch» - это решение, которое остановило бы вредоносное ПО.

MalwareTech писал: «Хотя некоторые компании заявили, что нашли переключатель «kill», это не более чем PR, так как «kill-kill» активируется только путем изменения файлов в собственной системе (что может быть сделано для остановки большинства вредоносных программ) И не выполнимо удаленно, как WannaCry.

Что такое Петя?
Исследователи по-прежнему анализируют образцы вредоносного кода и спорят о происхождении. 
Существует некоторый консенсус относительно этого вируса:

- Вредоносная программа сложнее, чем WannaCry.
- Используется программный эксплоит, который, как сообщается, разработан Агентством национальной безопасности, называется EternalBlue. Это разрешает использовать уязвимость Windows, для распространения между машинами.
- Используется подобный недостаток Windows для EternalBlue под названием EternalRomance.
- Используется инструмент взлома, известный как Mimikatz, для извлечения паролей с других компьютеров в той же сети, а затем заражает машины, не уязвимые для недостатков ExternalBlue или EternalRomance.
- Также распространяется с использованием MeDoc.
- В отличие от WannaCry, программное обеспечение предназначено для распространения на ПК в сети, а не в Интернете.
- Но комбинированные методы заражения могут объяснить, как вредоносное ПО распространяется так быстро.

Исследователи первоначально предположили, что это вредоносная вспышка была деформацией вымогателей Пети, который возник в прошлом году. Но некоторые из них теперь не согласны, говоря, что есть больше различий в коде, чем сходства в дублировании вредоносного ПО «НеПетя».

Вот одна вещь, которую советуют эксперты: "Не платите выкуп, если ваши файлы зашифрованы".