Вымогателя-Petya ищут в России и на Украине и хотят записать в «Блокнот»

Жертвы «Пети»: от «Роснефти» до Чернобыльской АЭС

Массовое распространение вируса Petya началось 27 июня. Первой пострадала Украина: атаке подверглись компьютеры крупных энергетических компаний — «Укрэнерго», ДТЭК и «Киевэнерго», сообщили местные СМИ. Сотрудник одной из компаний рассказал журналистам, что утром 27 июня его рабочий компьютер перезагрузился, после чего система якобы начала проверку жесткого диска. Далее он увидел, что аналогичное происходит на всех компьютерах в офисе. Он выключил компьютер, однако после включения на экране устройства появилась надпись с требованием выкупа. Вирусом оказались поражены и ПК некоторых украинских банков, казначейства Украины, Кабмина, компании «Укртелеком» и аэропорта «Борисполь».

Petya напал и на компьютерную систему мониторинга радиационного фона на Чернобыльской АЭС. При этом все системы станции работали нормально, а радиационный фон не превышает контрольный, передает «Медуза». Вечером 27 июня на официальной странице МВД Украины в Facebook появилось обращение к жителям страны с рекомендацией выключить компьютеры, до тех пор, пока не будет разработан способ борьбы с вирусом.

В России атаке вируса-вымогателя Petya подверглись серверы «Роснефти». Пресс-секретарь «Роснефти» Михаил Леонтьев увидел связь хакерских атак вируса Petya с иском компании к АФК «Система». В эфире Business FM он назвал рациональной попытку использовать вирус для уничтожения данных об управлении «Башнефтью». Зафиксированы единичные случаи заражения объектов информационной инфраструктуры банковской системы России. Банк «Хоум кредит» прекратил проведение операций из-за кибератак, также была нарушена работа сайта кредитной организации. Отделения работали только в консультационном режиме, при этом банкоматы работали в штатном режиме, сообщает «Интерфакс».

28 июня СМИ также сообщили об атаке на компьютеры в Великобритании, Голландии Дании, Испании, Индии, Литве, Франции и США.

Защита от WannaCry бессильна против «Пети»

Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись — первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1—2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.

Petya использует уязвимость Windows — эксплойт под кодовым названием EternalBlue. С помощью этой же уязвимости в компьютеры вторгался печально известный WannaCry. Благодаря эксплойту, Petya распространялся через Windows Management Instrumentation (инструмент для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows) и PsExec (позволяет выполнять процессы в удаленных системах), получая максимальные привилегии на уязвимой системе. Это и позволяло вирусу продолжать работу даже при установленных на компьютерах обновлениях против WannaCry.

Команда bootrec /fixMbr и запись в «Блокнот»

Известный французский хакер и разработчик программ Матье Суше в своем Twitter опубликовал способ защиты от вируса Petya для «друзей из Украины». Пользователям, после того как вредоносный файл запущен и стоит задача перезапуска компьютера, нужно успеть запустить команду bootrec /fixMbr для восстановления MBR и возобновить работоспособность ОС.

Специалисты Symantec дали свою рекомендацию по защите компьютера от вируса-вымогателя Petya. Дело в том, что во время атаки вирус ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Таким образом, пользователю нужно «изобразить» заражение компьютера, создав этот файл самостоятельно. Для этого можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы Petya не мог внести в него изменения, передает «Медуза».

Кто виноват?

В Сети сразу начали строить предположения, кто может стоять за очередной крупной хакерской атакой на компьютеры по всему миру. Поскольку первые заражения вирусом были зафиксированы на Украине, именно местных разработчиков обвинили в появлении Petya. Так, тень пала на разработчиков бухгалтерской программы M.E.Doc. На своем Facebook компания опровергла слухи, что причиной распространения вируса Petya стала установка обновлений программы M.E.Doc. Разработчики утверждают, что последнее обновление программы M.E.Doc было разослано клиентам еще 22 июня и не содержало вирусы. В самой Незалежной в вирусной атаке, по традиции, увидели российский след.

Любопытно, что об используемом вирусом Petya эксплойте EternalBlue стало известно после того, как хакерская группировка The Shadow Brokers опубликовала сведения о нем, указав что EternalBlue использовался американскими спецслужбами. Кто использовал эти знания, пока что точно не известно.