Срочно

Мнение

Мнение: Алексей Оськин, Руководитель отдела технического маркетинга ESET Russia
Алексей Оськин
Руководитель отдела технического маркетинга ESET Russia

27 июня специалисты в области кибербезопасности и многие компании заявили о новой глобальной хакерской атаке, осуществленной с помощью вируса-вымогателя Petya. После заражения пользователь теряет доступ к своему компьютеру, а файлы зашифровываются, и для возвращения доступа к данным хакеры требует заплатить им $300 в биткоинах.

Мы не рекомендуем зараженным пользователям платить выкуп вымогателям по нескольким причинам. Во-первых, почтовый адрес злоумышленников был заблокирован, вы не сможете получить ключ для расшифровки, даже если оплата будет произведена. Во-вторых, выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получает ключ расшифровки — его может даже не быть у самих хакеров.

Вдобавок, получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости. Тем более что, выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Источник нынешней эпидемии — компрометация бухгалтерского программного обеспечения M.E.Doc, распространенного в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное (зараженное. — RNS) обновление M.E.Doc, положив начало масштабной атаке, охватившей страны Европы, Азии и Америки.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Вредоносная программа пытается инфицировать главную загрузочную запись (MBR — Master Boot Record) и в случае успеха шифрует весь жесткий диск. В противном случае программа шифрует все файлы.

Новый шифратор Petya распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Этим сочетанием и обусловлено стремительное распространение вредоносной программы.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получает права администратора и распространяется на остальные устройства. По данным телеметрии, наибольшее число срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.