Фото: Vlad Styran

У вівторок, 27 червня, найбільші компанії і державні установи України піддалися наймасовішій атаці за всю історію, винуватцем став шифрувальник Petya.A. Зараз шкідливе ПЗ атакує комп’ютери і в інших країнах, експерти поки не прийшли до однозначного рішення, як боротися з небезпекою і тим більше зупинити шкідника. Tehnot.com зібрав відомі факти і схожі на правду спекулятивні заяви, які розкривають деталі атаки.

Атака починається

Petya.A, після того, як потрапив в комп’ютер, використовує більшість популярних методів саморозповсюдження: сканування мережі, дамп вмісту Active Directory, крадіжку паролів і використання вбудованих інструментів управління на кшталт редактора групових політик, інші механізми і комбінації, в тому числі модифіковану версію атаки WannaCry, а також експлойт віддаленого запуску коду EternalRomance, який Microsoft закрила березневим оновленням (використовував порт 445, звідси і з’явилися поради фахівців закрити TCP-порти 1024-1035, 135, 138, 139 і 445).

Головним завданням Petya.A виступило шифрування файлів на диску зараженого комп’ютера. Він перезаписує головний завантажувальний запис на жорсткому диску комп’ютера, після чого підвішує систему, а коли користувач перезавантажує комп’ютер, активується вірус і починає шифрувати дані. Нібито в цей момент відображається інтерфейс перевірки диска, тобто користувач думає, що комп’ютер працює справно, але коли процес шифрування закінчується, замість робочого столу Windows він бачить вікно з вимогою заплатити 300 доларів в біткоінах для розшифровки вмісту:

Досконально розібратися, що саме відбувається з даними, поки що не вдалося, існують версії, що самі файли залишаються незашифрованими, Petya.A кодує тільки файлову таблицю файлової системи NTFS (втім, кіберполіція розповіла, що файли все-таки зашифровані).

Вірус поширюється

Перші години після початку масового зараження з’явилися повідомлення про те, що джерелом поширення стали фішингові повідомлення на пошту і оновлення бухгалтерської програми M.Е.doc. Нібито хакери зламали сервер української компанії «IT Експерт» (розробник M.E.doc) і помістили шкідливе ПЗ під виглядом нової версії програми. Програма популярна в українському бізнес-середовищі, оскільки саме її рекомендує Державна фіскальна служба України для подання звітності.

Провину M.E.doc підкреслив і великий провайдер «Ланет»:

І кіберполіція України:

Розробники спростували ці дані і підкреслили, що їх софт не міг стати джерелом поширення трояна, якщо користувачі використовували два офіційних варіанти оновлення: через центр оновлення всередині самого додатка і завантаженням пакета з офіційного сайту.

У коментарях до посту користувачі відзначають махінації з викладеним файлом і той факт, що завантаження пакета оновлень проходить по http, а не більш безпечного https. «Лабораторія Касперського» підтвердила компрометацію механізму оновлень M.E.Doc.

Фішингові листи — підтверджене джерело зараження Petya.A, при цьому важливо враховувати, що розширення прикріпленого файлу не має значення: експерти вказували, що шкідник ховався в PDF- DOC- і XLS-файлах. Зараженню схильна більшість комп’ютерів під управлінням Windows з не актуальними пакетами безпеки.

Захиститися не так просто

Шифрувальник Petya.A використовує більшість відомих дір в безпеці, велика частина (якщо не всі) яких вже закриті, особливо після спалаху WannaCry. Для вирішення більшості проблем потрібно було вчасно встановити оновлення безпеки (і завжди якомога швидше ставити кожне оновлення).

Втім, фішинг використовує не стільки діри в безпеці, скільки орієнтований на людський фактор: низька комп’ютерна грамотність призвела до того, що деякі користувачі самостійно встановлювали Petya.A, не звертаючи уваги ані на відправника листа, ані на сам прикладений файл. Патчі та оновлення Windows не захистять машину від людини, яка їй управляє.

Людський фактор або відсутність актуальних оновлень вдарили по бізнесу багатьох компаній, в тому числі «Нової пошти», «Ощадбанку», «Укрпошті», енергетичним компаніям і навіть київського метро.

Microsoft в Windows 7 і 8 пропонувала інструмент для мінімізації наслідків експлойтів EMET, але в «десятці» відмовилася від нього, оскільки вважала нову версію ОС досить безпечною. Тепер софтверний гігант оголосив, що поверне EMET, а також, очевидь, доповнить його функціональність і захистить не тільки саму систему, а й побореться з уразами всередині деяких програм (виконання макросів в Word, розширення і скрипти в Edge тощо). Оновлення з’явиться разом з Fall Creators Update.

Фахівці радять методи захисту

Кіберполіція України порадила кілька варіантів, що робити в залежності від ситуації:

  1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажувайте його (якщо ПК вже постраждав — теж не перезавантажувайте його)
  2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі — резервну копію разом з операційною системою. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні завдання і перевірити наявність наступного файлу: C:\Windows\perfc.dat
  3. З метою запобігання випадкам несанкціонованого втручання в роботу залежно від версії ОС Windows встановити патчі з офіційного ресурсу Microsoft:

Інші поради включають оновити бази антивірусів (або встановити їх в принципі) і уважно ставитися до всієї вхідної кореспонденції.

Компанія Symantec заявила, що Petya.A перед установкою перевіряє, чи не заражений комп’ютер, причому робить це шляхом пошуку файлу perfc.dat (про який попереджає кіберполіція). Компанія вважає, що якщо в системі є такий файл, вірус встановиться:

Якщо створити порожній файл в блокноті, зберегти його під назвою perfc і змінити тип на .dat, а потім перемістити в C:/Windows/, Petya.A може проігнорувати комп’ютер (але це не точно). Додатково рекомендується змінити дозволи на «тільки читання», щоб вірус не міг модифікувати файл.

Кіберполіція кличе на допомогу

Офіційний Twitter-аккаунт кіберполіції України закликав експертів включитися в боротьбу з Petya.A, а також розкрив технічні подробиці, яких, на думку відомства, вистачить для того, щоб фахівці запропонували свої ідеї:

На даний момент немає відомого і загальнодоступного способу боротися з Petya.A, але зрозуміло одне — в жодному разі не можна переводити гроші зловмисникам, нехай вони і обіцяють, що розшифрують файли. Постраждалим залишається сподіватися, що рішення з’явиться найближчим часом.