Фото: Vlad Styran

Во вторник, 27 июня, крупнейшие компании и государственные учреждения Украины подверглись самой массовой атаке за всю историю, виновником стал шифровальщик Petya.A. Сейчас вредоносное ПО атакует компьютеры и в других странах, эксперты пока не пришли к однозначному решению, как бороться с опасностью и тем более остановить зловреда. Tehnot.com собрал известные факты и похожие на правду спекулятивные заявления, которые раскрывают детали атаки.

Атака начинается

Petya.A, после того, как попал в компьютер, использует большинство популярных методов самораспространения: сканирование сети, дамп содержимого Active Directory, воровство паролей и использование встроенных инструментов управления вроде редактора групповых политик, другие механизмы и комбинации, в том числе модифицированную версию атаки WannaCry, а также эксплойт удаленного запуска кода EternalRomance, который Microsoft закрыла мартовским обновлением (использовал порт 445, отсюда и появились советы специалистов закрыть TCP-порты 1024-1035, 135, 138, 139 и 445).

Главной задачей Petya.A выступило шифрование файлов на диске зараженного компьютера. Он перезаписывает главную загрузочную запись на жёстком диске компьютера, после чего подвешивает систему, а когда пользователь перезагружает компьютер, активируется вирус и начинает шифровать данные. Якобы в этот момент отображается интерфейс проверки диска, то есть пользователь думает, что компьютер работает исправно, но когда процесс шифрования заканчивается, вместо рабочего стола Windows он видит окно с требованием заплатить 300 долларов в биткоинах для расшифровки содержимого:

Досконально разобраться, что именно происходит с данными, пока не удалось, существуют версии, что сами файлы остаются не зашифрованными, Petya.A кодирует только файловую таблицу файловой системы NTFS (впрочем, киберполиция рассказала, что файлы все-таки зашифрованы).

Вирус распространяется

Первые часы после начала массового заражения появились сообщения о том, что источником распространения стали фишинговые сообщения на почту и обновления бухгалтерской программы M.E.doc. Якобы хакеры взломали сервер украинской компании «IT Эксперт» (разработчик M.E.doc) и поместили зловредное ПО под видом новой версии приложения. Программа популярная в украинской бизнес-среде, поскольку именно ее рекомендует Государственная фискальная служба Украины для подачи отчетности.

Вину M.E.doc подчеркнул и крупный провайдер «Ланет»:

И киберполиция Украины:

Разработчики опровергли эти данные и подчеркнули, что их софт не мог стать источником распространения трояна, если пользователи использовали два официальных варианта обновления: через центр обновления внутри самого приложения и загрузкой пакета с официального сайта.

В комментариях к посту пользователи отмечают махинации с выложенным файлом и тот факт, что загрузка пакета обновлений проходит по http, а не более безопасному https. «Лаборатория Касперского» подтвердила компрометацию механизма обновлений M.E.doc.

Фишинговые письма — подтвержденный источник заражения Petya.A, при этом важно учитывать, что расширение прикрепленного файла не имеет значения: эксперты указывали, что зловредностям прятался в PDF- DOC- и XLS-файлах. Заражению подвержено большинство компьютеров под управлением Windows с не актуальными пакетами безопасности.

Защититься не так просто

Шифровальщик Petya.A использует большинство известных прорех в безопасности, большая часть (если не все) которых уже закрыты, особенно после вспышки WannaCry. Для решения большинства проблем нужно было вовремя установить обновления безопасности (и всегда как можно скорее ставить каждое обновление).

Впрочем, фишинг использует не столько дыры в безопасности, сколько ориентирован на человеческий фактор: низкая компьютерная грамотность привела к тому, что некоторые пользователи самостоятельно устанавливали зловреда, не обращая внимания ни на отправителя письма, ни на сам приложенный файл. Патчи и обновления Windows не защитят машину от человека, который ей управляет.

Человеческий фактор или отсутствие актуальных обновлений ударили по бизнесу многих компаний, в том числе «Новой Поште», «Ощадбанку», «Укрпоште», энергетическим компаниям и даже киевскому метро.

Microsoft в Windows 7 и 8 предлагала инструмент для минимизации последствий эксплойтов EMET, но в «десятке» отказалась от него, поскольку считала новую версию ОС достаточно безопасной. Теперь софтверный гигант объявил, что вернет EMET, а также, по всей видимости, дополнит его функциональность и защитит не только саму систему, но и поборется с уязвимостями внутри некоторых программ (исполнение макросов в Word, расширения и скрипты в Edge и другое). Обновление появится вместе с Fall Creators Update.

Специалисты советуют методы защиты

Киберполиция Украины посоветовала несколько вариантов, что делать в зависимости от ситуации:

  1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал — тоже не перезагружайте его)
  2. сохраните все файлы, которые наиболее ценны, на отдельный не подключенный к компьютеру носитель, а в идеале — резервную копию вместе с операционной системой. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
  3. С целью предотвращения случаев несанкционированного вмешательства в работу в зависимости от версии ОС Windows установить патчи с официального ресурса Microsoft:

Другие советы включают обновить базы антивирусов (или установить их в принципе) и внимательно относиться ко всей входящей корреспонденции.

Компания Symantec заявила, что Petya.A перед установкой проверяет, не заражен ли компьютер, причем делает это путем поиска файла perfc.dat (о котором предупреждает киберполиция). Компания считает, что если в системе есть такой файл, зловредностям не установится:

Если создать пустой файл в блокноте, сохранить его под названием perfc и сменить тип на .dat, а затем переместить в C:/Windows/, Petya.A может проигнорировать компьютер (но это не точно). Дополнительно рекомендуется сменить разрешения на «только чтение», чтобы вирус не мог модифицировать файл.

Киберполиция зовет на помощь

Официальный Twitter-аккаунт киберполиции Украины призвал экспертов включиться в борьбу с Petya.A, а также раскрыл технические подробности, которых, по мнению ведомства, хватит для того, чтобы специалисты предложили свои идеи:

На данный момент нет известного и общедоступного способа бороться с Petya.A, но понятно одно — ни в коем случае нельзя переводить деньги злоумышленникам, пусть они и обещают, что расшифруют файлы. Пострадавшим остается надеяться, что решение подоспеет в ближайшее время.