Меню

Главная
Случайная статья
Настройки
Petya
Материал из https://ru.wikipedia.org

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, Petya Ransomware, PetrWrap[2]; схожий вирус — NotPetya, ExPetr[2], GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам, после оплаты расшифровки не происходит. При этом первая версия вируса шифровала не сами файлы, а лишь MFT-таблицу с информацией о всех файлах, хранящихся на диске с файловой системой NTFS[3]. Уплата выкупа чаще всего была бесполезной. Также в 2017 существовал другой вирус, который визуально имел схожие черты с «Petya», из-за чего прозванный «NotPetya» или «ExPetr», и использовал специфичное шифрование всех файлов и в ряде случаев повреждал жёсткие диски. Сперва эксперты пришли к выводу, что результат работы вируса не предполагает расшифровки и нацелен на уничтожение информации[6][7]. Однако позже была доказана потенциальная возможность восстановления данных[8].

Содержание

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[9]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[10]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на заражённый компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[11][12].

Массовое заражение в 2017

27 июня 2017 года началось массовое распространение новой программы, основанной на «Petya». Новый вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5]. Однако специалисты не рекомендовали пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который после осуществления платежа злоумышленники предлагали отправить зашифрованные файлы, был заблокирован провайдером[2][13]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта модификация была разработана так, чтобы распространяться максимально быстро[14]. В компании «ESET» заявили, что распространение вредоносной программы началось на территории Украины через пакет обновления популярного бухгалтерского приложения M.E.Doc[15]. Атаке подверглись энергетические компании[16], украинские банки, аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[15][22][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчётности[25]. Это объясняет, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети Интернет, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии произошла через фишинговый сайт с вредоносными вложениями[23]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

По мнению части аналитиков, модификация «NotPetya» лишь маскировался под вымогателя, в то время как его истинная цель — нанесение массового ущерба[6]. Об это свидетельствовали первоначальные выводы о невозможности расшифровки файлов. Об этом заявили, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что возникавшие иногда необратимые повреждения жёсткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первый вирус был «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО выглядит бесполезным: единственный адрес плохо скрыт, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ, который невозможно cкопировать в буфер обмена[23]. Более того, специалисты Лаборатории Касперского выяснили, что в новом вирусе этот ключ — ничего не значащий набор случайных символов, не передающих информацию, необходимую для расшифровки файлов[2]. Это может свидетельствовать о том, что создатели вируса и не собирались расшифровывать данные.

Однако в начале июля 2017 года хакеры стали предлагать заплатить 100 биткойнов (примерно 250 тыс. долларов США) на новый кошелёк за работающий ключ дешифрации. Редакция издания Motherboard передала хакерам зашифрованный файл и получила расшифрованную копию[8], что доказало потенциальную возможность восстановления данных.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и дата распространения, так как 28 июня — День Конституции Украины[30][31].

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами как Petya. Однако уже через несколько часов после начала эпидемии некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

Защита

Большинство крупных антивирусных компаний заявляет, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке c:\Windows\ только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК с целью распространиться в другие компьютерные системы через локальную сеть[23].

См. также

Примечания
  1. ExPetr интересуется серьезным бизнесом. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 12 июля 2017 года.
  2. 1 2 3 4 5 6 7 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr. Kaspersky Lab. Дата обращения: 28 июня 2017. Архивировано 11 июля 2017 года.
  3. 1 2 Petya ransomware eats your hard drives. Kaspersky Lab (30 марта 2016). Дата обращения: 27 июня 2017. Архивировано 29 июня 2017 года.
  4. Ransom.Petya. Symantec | United States (29 марта 2016). Дата обращения: 27 июня 2017. Архивировано 11 июля 2017 года.
  5. 1 2 3 4 Petya ransomware outbreak: Here's what you need to know. Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя. Газета.Ру (29 июня 2017). Дата обращения: 29 июня 2017. Архивировано 29 июня 2017 года.
  8. 1 2 Franceschi-Bicchierai, Joseph Cox and Lorenzo. Hackers Linked to NotPetya Ransomware Decrypted a File for Us (амер. англ.). VICE (5 июля 2017). Дата обращения: 17 июня 2025.
  9. Decrypting the Petya Ransomware. Check Point Blog (11 апреля 2016). Дата обращения: 28 июня 2017. Архивировано 30 июня 2017 года.
  10. Вымогатель Petya шифрует жёсткие диски. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 11 июля 2017 года.
  12. Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa. blog.kaspersky.ru. Дата обращения: 28 июня 2017. Архивировано 9 февраля 2017 года.
  13. Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
  15. 1 2
  18. Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим. Новости Mail.Ru. Дата обращения: 28 июня 2017. Архивировано из оригинала 1 августа 2017 года.
  19. НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку. bank.gov.ua. Дата обращения: 28 июня 2017. Архивировано из оригинала 29 июня 2017 года.
  23. 1 2 3 4 5
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent "medoc1001189". @CyberpoliceUA (27 июня 2017). Дата обращения: 28 июня 2017.
  26. M.E.Doc. www.facebook.com. Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  28. ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Дата обращения: 28 июня 2017. Архивировано 13 февраля 2021 года.
  29. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak. the grugq (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 28 июня 2017 года.
  31. Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times (27 июня 2017). Дата обращения: 28 июня 2017. Архивировано 27 июня 2017 года.
  33. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file "C:\Windows\perfc"pic.twitter.com/zlwB8Zimhv. @PTsecurity_UK (27 июня 2017). Дата обращения: 7 июля 2017. Архивировано 8 июля 2017 года.
Downgrade Counter