27 июня aтaкe   вирусa-шифрoвaльщикa   пoдвeрглись   кoмпьютeрныe сeти дeсяткoв компаний в России и на Украине. На следующий день   к списку стран, пострадавших   от кибератаки, добавились Финляндия, Латвия, Индия, Австралия, Франция и другие.  

В компании Group-IB, которая занимается предотвращением и расследованием киберпреступлений, сообщили, что новая компьютерная угроза — это известный еще с 2016   года троян Petya. В свою очередь, в «Лаборатории Касперского» ТАСС рассказали, что хотя вирус «содержит некоторые признаки, которые присутствуют в шифровальщике Petya, но при более детальном анализе   оказалось, что это новая модификация трояна».  

?
Так это Petya или не Petya?

Вирус-шифровальщик Petya — не новый (в отличие от вируса WannaCry, который 12 мая атаковал инфраструктуру множества организаций в 72 странах мира). Еще в 2016 году о нем писали специализированные издания. По версии ряда экспертов, сегодня компьютеры атаковала "модернизированная" версия этого трояна, которая научилась обходить защиту операционной системы Windows. 

В то же время руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский заявил ТАСС, что "это новое семейство шифровальщиков, которых мы не видели ранее".

Некоторые эксперты называют это зловредное ПО NonPetya ("НеПетя") — под таким же тегом комментируют ситуацию пользователи Twitter.

?
Как действуют подобные вирусы?

По словам специалистов в области кибербезопасности, основная цель таких вирусов — компьютеры корпораций. Троян приходит на почтовый ящик одного из компьютеров в Сети, маскируясь под деловое письмо с приложенным файлом. После скачивания этого файла компьютер выдает системную ошибку и автоматически перезагружается, а после включения на экране отображается процедура "проверка загрузочных томов жесткого диска".

Это сообщение — стандартное для компьютеров с операционной системой Windows. На "чистом" компьютере эта программа проверяет, сохранилась ли на диске вся имевшаяся до экстренной перезагрузки информация. Однако в случае с вирусом в этот момент загружается не стандартная программа, а "зловредная". Она шифрует файлы компьютера, блокируя к ним доступ.

После этого на экране появляется сообщение с требованием заплатить $300 в биткоинах для разблокировки компьютера.

?
Что делать, чтобы вирус не проник в компьютер?

Главное правило — не открывайте вложения из электронной почты, особенно в письмах от неизвестных вам адресатов. Если вам все же необходимо открыть приложенный файл в письме от человека, которому вы доверяете, проверьте, действительно ли он вам его отправлял.

Убедитесь, что защитное ПО на компьютере работает корректно. Активируйте программу Shadow Copy (теневая копия — одна из программ, встроенных в Windows), если это еще не сделано. 

В пресс-службе компании Microsoft заявили, что антивирусные программы, встроенные в  Windows, обнаруживают этот вирус-вымогатель и защищают от него. Однако для этого операционную систему нужно обновить (разрешить автообновление). Вирус использует ту же уязвимость в Windows, что и WannaCry, и инженеры из Microsoft подготовили патч (программу, устраняющую ошибки), который ее "закрывает", еще в феврале. Причем установить ее можно на все версии операционной системы, начиная с XP.

В качестве еще одной меры предосторожности эксперты из "Лаборатории Касперского" советуют через "блокировщик приложений" запретить запуск файлов perfc.dat и PSExec из Sysinternals Suite.

Positive Technologies, в свою очередь, предлагают системным администраторам воспользоваться бесплатной программой WannaCry Petya FastDetect, которая автоматически выявляет уязвимости в корпоративной сети. 

?
Что делать, если мой компьютер все же оказался заражен?

Компании, работающие в сфере кибербезопасности по всему миру, сейчас ищут способ остановить распространение вируса. "Лечение" уже зараженных компьютеров — следующая задача. Поэтому на данный момент способа расшифровки файлов, закодированных новым вирусом, еще не существует, но ведется активная работа по их поиску. 

В то же время Закоржевский в разговоре с ТАСС сказал, что не может спрогнозировать, когда "лекарство" будет найдено: "Не исключено, что не получится это сделать, потому что все зависит от криптостойкости алгоритма".

Помните главное: ни в коем случае не платите вымогателям. Почтовый ящик, который они указали для "обратной связи", заблокирован — и присылать код разблокировки вам никто не будет. 

Сергей Круглов

{{item.group_date}}

{{item.suffix?», «+item.suffix:»»}}

Показать еще