Вчора Україна зіткнулася зі спробою організації глобального “блекауту” – специфічний вірус Petya.A атакував об’єкти критичної інфраструктури. Розберемо, що на даний час відомо про цю атаку.
Масові жертви
Від вірусу постраждали фінансові компанії, енергетичні, телекомунікаційні, медіа, державні структури. В списку жертв – Київенерго, Ощадбанк, Укрпошта, “Нова Пошта”, “Укртелеком”, Укренерго, Міністерство інфраструктури, 24 канал, “Інтер” і багато інших. Були повідомлення про зараження деяких комп’ютерів “Борисполя”. Це все сталося вчора. Ввечері вірус розповсюдився на Росію, а сьогодні про нього стали писати зарубіжні медіа, відзначаючи, що жертви уже є в Бельгії, Великобританії, США та багатьох інших країнах світу.
Хто він такий – цей Petya.A і чи можна його побороти?
Petya.A є класичним вірусом-вимагачем або вірусом-шантажистом. Такі віруси ще називають Ransomware. Вони шифрують дані на комп’ютері користувача і вимагають викуп. Розмір викупу – уже традиційна сума в $300 в біткоїнах. Деякі користувачі платять гроші в надії отримати програмне забезпечення для розшифрування даних. На даний момент в біткоїн-гаманець розробників вірусу (принаймні, в один з них, не виключено існування й інших) було здійснено 45 переказів. Очевидно, що нічого для розшифрування даних користувачі не отримували. Більше того – електронну адресу авторів Petya.A в поштовому сервісі posteo.net уже заблокували, окрім того, компанія-власник поштового сервісу заблокувала всі інші адреси, пов’язані з основним акаунтом розробників Petya.A.
Зараз експерти намагаються вирішити три основні проблеми
- зрозуміти, як відбувається зараження, або який вектор атаки
- вияснити, які вразливості експлуатує Petya.A
- створити програму для розшифрування даних.
Відзначимо відразу, що третє – це доволі реальна задача, яка, наприклад, була успішно вирішена у випадку попередньої епідемії – розповсюдження вірусу WannaCry.
Другу проблему теж дамо на відкуп експертів, і поговоримо про першу.
Вектор атаки
Ймовірніше за все, існує декілька шляхів зараження комп’ютерів і зараз експерти шукають їх. Серед них – відвідування зараженого сайту, отримання зараженого листа та встановлення заражених оновлень деяких додатків.
Після того, як один комп’ютер в локальній мережі було заражено, виникає загроза для всіх інших. Якщо системний адміністратор не подбав про обмеження прав користувачів і використав невірні налаштування комп’ютерів та локальних мереж, потенційними жертвами можуть стати інші комп’ютери, об’єднані в цю локальну мережу.
Тобто достатньо невірних дій одного користувача та нехтування деякими налаштуваннями локальної мережі, щоб вірус розповзся по всім іншим ПК. Саме цим можна пояснити таке масове і дуже швидке ураження комп’ютерів великих компаній.
Як виглядає зараження
Один з варіантів – після запуску завантаженої програми можна побачити повідомлення про зараження.
Може статися так, що заражений комп’ютер перевантажиться і на ньому запуститься програма перевірки диску ChkDsk. Насправді це імітація і саме в процесі її роботи відбувається шифрування даних.
По її завершенню буде відображено повідомлення про шифрування даних і вимога сплатити гроші за розшифрування.
Petya старий, Petya.A новий
Цікаво, що вірус з назвою Petya “гуляв” Україною ще минулого року. Тоді атака була локальніша, хоча її можна сприймати як репетицію до того, з цим ми зіткнулися в ці дні.
Проте, читаючи про Petya.A та шкоди, якої він наробив, мимоволі згадуються дві інші атаки на українські енергосистеми – грудня 2015 та грудня 2016 років. Чи можна їх сприймати як своєрідні репетиції – чи до Petya.A, чи до майбутніх загроз – про це нам розкажуть експерти.
А якщо пригадати, що інструменти АНБ та сервіси для створення вірусів (в тому числі категорії Ransomware) доступні будь-кому, то сумніви щодо того, чи чекають нас атаки в майбутньому, розвіюються. І розумієш, що за Petya.A з’явиться і В, і С і ще багато чого іншого.
Що зробити вже сьогодні
Проте полишимо майбутні атаки в майбутньому і займемося днем сьогоднішнім. Що сьогодні можна зробити, або до вас у хату не завітав Petya.A?
Для початку, встановити оновлення Windows – ви можете скористатися цим https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx або цим посиланням http://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.
Якщо є ймовірність, що комп’ютери вашої компанії можуть бути заражені, краще відключитись від локальної мережі.
Якщо у вас на комп’ютері почав працювати підробний ChkDsk, виключіть комп’ютер та від’єднайте жорсткий диск.
Експерти кажуть, що вберегтися від Petya.A можна, якщо створити у каталозі Windows порожній файл з іменем perfc і без розширення і зробити його доступним лише до читання.
А про резервні копії варто було подбати ще під час епідемії WannaCry. Може зараз саме час перевірити, чи вони актуальні?
Про що пам’ятати завжди
І не зайвим буде нагадати про базові правила онлайн-безпеки
- не завантажувати підозрілих листів від незнайомців, не завантажувати їх вкладення
- не переходити по дивним посиланням
- мати резервні копії всіх даних
- заборонити авто запуск зовнішніх пристроїв на своєму комп’ютері (про всяк випадок)
- використовуйте складні паролі
- не завантажуйте програм з незрозумілих джерел.
Спеціально для читачів InformNapalm ІТ-аналітик та оглядач Надія Баловсяк.
При повному або частковому використанні матеріалу активне посилання на автора і статтю на сайті обов’язкове.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 )
Тисніть репост і діліться з друзями.
Підписуйтеся на сторінки спільноти InformNapalm у
Фейсбук / Твіттер
і оперативно отримуйте інформацію про нові матеріали.