20170628

Вирус Petya распространялся через украинскую альтернативу 1С, - полиция


Слышишь, реют над страною вихри яростных кибератак?

28.06.2017 00:10

Минувший день был отмечен целой волной кибератак, обрушившихся на крупнейшие компании России и Украины. Вирус "Петя" наглядно продемонстрировал - там, где промышляют "российские хакеры", увы, неспособны противостоять киберугрозам в масштабах целой страны.

27 июня в мире начал массово распространяться вирус, который блокирует компьютеры на Windows. На Украине атака началась около 11:30 утра, затем о ней рассказали в России, а потом и в других странах. Злоумышленники блокируют работу компьютеров, требуя выкуп в биткоинах.

Что вирус сломал на Украине?

По предварительным оценкам атакованы около 80 компаний, причем большая часть из них — украинские: заражены компьютерные системы «Ощадбанка», «Укргазбанка», банка «Пивденный», банка «ОТР», «ТАСКомбанка», сеть магазинов DIY «Эпицентр», промышленно-строительная группа «Ковальская», основные украинские сотовые операторы - «Киевстар», Vodafone и Lifecell. О хакерских атаках сообщили также «Укртелеком», «Укрзализныця», госпредприятие «Антонов», «Укрпочта», «Киевводоканал». Атаке подверглись киевский метрополитен, компьютерные системы Кабинета министров и сайта правительства Украины.

Киевский аэропорт Борисполь предупредил о возможных задержках рейсов." Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация- компьютерная-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию. В связи с внештатной ситуацией возможны задержки рейсов. Мы очень просим вас отнестись с пониманием, соблюдать спокойствие", - написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook.

Атака началась утром 27 июня с поражения компьютеров крупнейших украинских энергетических компаний. Об этом около полудня сообщили украинские СМИ со ссылкой на источники в «Укрэнерго» и энергетической компании ДТЭК. Эти сведения подтвердили и в «Киевэнерго». «Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности», — заявили в компании.

Вирус коснулся также сайта Чернобыльской атомной электростанции. Сначала сообщалось, что технологические системы станции «работают в штатном режиме», но потом выяснилось, что сотрудники станции перешли на ручной мониторинг радиации.

На Украине считают, что за атакой стоит Россия. К атаке "вируса-вымогателя" Petya.A 27 июня на украинские финучреждения, правительственные ресурсы, компании и средства массовой информации могут быть причастны спецслужбы РФ, заявил народный депутат Украины от "Народного фронта", член коллегии Министерства внутренних дел Антон Геращенко

"Она сделана под маскировкой, что это якобы вирус, который вымогает с пользователей компьютера деньги. По предварительной информации, это организованная система со стороны спецслужб РФ", — утверждает Геращенко.

Что "Петя" натворил в России?

В России «Роснефть» также сообщила о «мощной хакерской атаке» на свои серверы. Пресс-секретарь компании Михаил Леонтьев сообщил, что хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что Компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены. "Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.", - сообщила компания в Twitter.

По данным «Ведомостей», в результате атаки оказались заблокированы компьютеры и в «Башнефть-Добыче», НПЗ и управлении «Башнефти». В пресс-службе компании Group-IB, которая занимается расследованием киберпреступлений, изданию "Вести.Экономика" сообщили, что причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании в России и на Украине стал вирус-шифровальщик Petya.

В России от вируса также пострадали металлургическая компания Evraz и банк «Хоум кредит». У финансовой организации не открывается сайт, отделения работают исключительно в консультационном режиме, никакие операции не проводятся. По сообщениям с СМИ, трудности возникли у компании Mondelez, которая, в частности, производит шоколадки Alpen Gold и Milka, а также у производителя кормов для животных Royal Canin.

Вирус-шифровальщик Petya добрался и до российских банков. В Банке России подтверждают случаи выявления компьютерных атак, направленных на кредитные организации РФ. Речь идет о заражении IT-систем банков, сообщает пресс-служба ЦБ.

"Банк России сообщает о выявлении компьютерных атак, направленных на российские кредитные организации. По информации Банка России, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и нарушений предоставления сервисов клиентам не зафиксировано".

Reuters сообщает, что банк «Хоум Кредит» из-за хакерской атаки прекратил обслуживание клиентов. «Все отделения, к сожалению, в связи с хакерской атакой закрыты»,— заявил представитель банка. Пресс-служба «Хоум Кредит» не подтвердила агентству закрытие всех отделений, но сообщила о приостановке клиентских операций.

Как "Петя" добирается до компьютера и что делает?

Вирус Petya появился в 2016 году, однако в "Лаборатории Касперского" заявили, что компьютеры поразила новая версия вируса. В целом, эксперты считают, что атака получилась меньшей по масштабам, чем в случае с вирусом WannaCry, однако ущерб от нее всё равно ощутим.

Вначале программы-вымогатели блокировали рабочий стол. Затем они начали шифровать файлы. Вскоре после этого блокеры начали атаковать веб-серверы, общие диски и резервные копии. Теперь мишенью вредоноса является главная загрузочная запись. "Герой" дня, вирус Petya, впервые был обнаружен в ходе анализа спам-рассылки, ориентированной на кадровиков немецких компаний.

Вредоносный спам содержит ссылку на Dropbox, при активации которой происходит загрузка инсталлятора вымогателя. После запуска Petya подменяет MBR(там содержится код, необходимый для загрузки операционки) зловредным загрузчиком, который провоцирует перезапуск Windows и отображает на экране имитацию проверки диска (CHKDSK).

Вот так выглядит этот ужас:
[html]<iframe width="640" height="360" src="https://www.youtube.com/embed/3Ixtt8LVpTk?rel=0&controls=0&showinfo=0" frameborder="0" allowfullscreen></iframe>[/html]

После заражения компьютер жертвы заблокирован и файлы надежно зашифрованы. При этом на экране не указано название программы-шифровальщика, что осложняет процесс реагирования на ситуацию. Также стоит отметить, что в Petya используется стойкий алгоритм шифрования и нет возможности создать инструмент расшифровки. Шифровальщик требует $300 в биткоинах.

"По предварительной информации, вирус распространяется методом социальной инженерии — сотрудники компаний открывали вредоносные вложения в письмах электронной почты. Petya распространяется в локальной сети, так же как известный вирус WannaCry, атаковавший в мае этого года 300 тыс. компьютеров в 150 странах мира", - пишет в блоге Group-IB Сергей Никитин, заместитель руководителя лаборатории по компьютерной криминалистике.

Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya — «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Cobalt известна тем, что успешно атаковала банки по всему миру — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

На биткоин-кошелёк, связанный с вирусом Petya.A, спустя пять часов после атаки было переведено более $2,5 тыс. Это следует из открытой информации блокчейна, доступной по адресу кошелька. Первые переводы на него начали поступать примерно через три часа после начала атаки.

На 18:00 по московскому времени этот биткоин-кошелёк получил всего девять переводов, каждый из них номиналом, эквивалентным примерно $300 — столько злоумышленники требуют за дешифровку файлов.

Что делать?

Эксперты "Лаборатории Касперского" советуют выполнить следующие шаги, которые помогут защитить свои файлы от заражения трояном-шифровальщиком:

1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.

2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.

3. Лучший способ защиты — это предупредить атаку, используя защитное решение. Kaspersky Internet Security не даст спаму проникнуть в ваш почтовый ящик, так что вы, скорее всего, никогда и не получите ссылку, за которой скрывается «Петя». Если же «Петя» каким-то образом проник в систему, Kaspersky Internet Security распознает его как Trojan-Ransom.Win32.Petr и заблокирует все его вредоносные действия.

Специалисты Group-IB рекомендуют соблюдать нижеперечисленные меры:

1. Устанавливайте вовремя обновления системы и патчи систем безопасности.

2. Настройте почтовые фильтры, которые будут отсеивать зашифрованные архивы, исполняемые файлы, а офисные документы рекомендуется проверять на "песочницах" перед доставкой пользователям.

3. Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки, принесенные из дома.

4. Регулярно создавайте резервные копии своих систем.

5. Внедрите политику "нулевого доверия" и организуйте тренинг по информационной безопасности для ваших сотрудников.

6. Рассмотрите возможность отключения SMB в качестве временной меры.

7. Подпишитесь на уведомления технической безопасности Microsoft.

Ключевым каналом распространения вируса Petya.А, атаковавшего компьютеры украинских предприятия 27 июня, стала бухгалтерская программа «M.E.doc» украинского производства.
Об этом сообщила пресс-служба департамента киберполиции Украины.

По данным ведомства, вредоносное програмное обеспечение распространялось через встроенную функцию обновления данной системы. Начиная с 10:30 27 июня пользователи «M.E.doc» получали обновление системы, содержащее вредоносный код вируса Petya.A, который затем распространялся с заражённой машины на другие компьютеры через локальную сеть предприятия (используя уязвимость в протоколе Samba, использующемся, в частности, для организации доступа по сети к принтерам и другим удалённым устройствам).

Ради безопасности киберполиция просит пользователей «M.E.doc» временно отключить функцию автоматических обновлений.

Интересно, что программа «M.E.doc», которую часто называли реальной альтернативой попавшей под санкции российский 1С, уже не в первый раз становится источником проблем для своих клиентов.

Так, в мае этого года через систему обновления «M.E.doc» распространялся аналогичный вирус-вымогатель XData. Тогда последствия атаки были куда менее плачевными: во–первых, вирус обнаруживался большинством антивирусных программ, во–вторых, распространение его по локальным сетям предприятий было затруднено. Petya.A является куда более опасным «хищником»: его «не видит» большинство антивирусов, кроме того, он с лёгкостью поражает все компьютеры, подключённые к той же локальной сети, что и заражённая машина.