Вирус Petya. Новая масштабная кибератака шифровальщика

Россия и Украина подверглись новой масштабной хакерской атаке вирусом Petya, похожим на WannaCry, - он также блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».

Кибератака наносит ущерб организациям, аэропортам, банкам и правительственным ведомствам в Украине. Шифровальщик Petya, возможно, распространился и в Великобритании - пострадала рекламная фирма WPP. Датские и испанские транснациональные корпорации также парализованы атакой.

Технические подробности вируса Petya

Новый вид шифровальщика Petya: Технические детали заражения

Как сообщается, #Petya использует новый подход среди шифровальщиков: шифрует MBR загрузочный сектор диска и заменяет его своим собственным. Затем в дело вступает вирус #Mischa, который уже шифрует все файлы на диске. Ранее данные шифровальщики не получали такого масштабного распространения.

Поверхностный анализ Petya показывает, что разработчики шифровальщика допустили такую же ошибку, как и хакеры, стоящие за атакой WannaCry. На скриншотах из социальных сетей отчетливо видно, что жертвам угрозы предлагается отправить платеж на один и тот же bitcoin-адрес. В стандартных атаках шифровальщиков у каждой жертвы генерируется свой уникальный адрес биткоинов. В противном случае зломушленники не могут определить, кто заплатил выкуп и кому нужно разблокировать компьютер. Подобная оплошность, допущенная злоумшленникам, останавливает жертв от оплаты выкупа. Аналогичным образом, шифровальщик WannaCry, который заразил 300 тысяч компьютеров по всему миру предлагал отправить денежные средства на один из трех адресов биткоинов.

Уже создан специальный бот в твитере https://twitter.com/petya_payments, который публикует новый твит, каждый раз, когда кто-либо оплачивает выкуп создателям Petya. До сих пор известен номер только одного кошелька биткоин. Если станут известны новые адреса биткоинов, бот будет обновлен.

Защита от шифровальщика Petya

Исследователь безопасности из компании Cybereason Амит Серпер (Amit Serper), рассказал как предотвратить заражение компьютеров шифровальщиком Petya (NotPetya / SortaPetya / Petna) с помощью файла C:\Windows\perfc:

Как защитить компьютер Windows от вируса Petya (NotPetya)

Для остановки распространения вируса по сети, надо заблокировать на своих компьютерах под управлением Windows TCP-порты 1024-1035, 135 и 445.

Скачайте и установите официальный патч Microsoft MS17-010, закрывающий уязвимость сервера SMB в ОС Windows, которая используется в атаке шифровальщика Petya (аналогично шифровальщику WannaCry).

По данным Virustotal более 40 антивирусов определяют угрозу:

• Ad-Aware Trojan.Ransom.GoldenEye.B
• Avast Win64:Malware-gen
• AVG Win64:Malware-gen
• Avira TR/Ransom.ME.12
• BitDefender Trojan.Ransom.GoldenEye.B
• CAT-QuickHeal Ransom.Petya
• Comodo TrojWare.Win32.Ransom.Petya.BE
• Cyren W32/Petya.VUNZ-1981
• DrWeb Trojan.Encoder.12544
• Emsisoft Trojan-Ransom.GoldenEye (A)
• ESET-NOD32 Win32/Diskcoder.C
• F-Prot W32/Petya.Ransom.J
• F-Secure Trojan:W32/Petya.F
• Fortinet W32/Petya.EOB!tr
• GData Win32.Trojan-Ransom.Petya.V
• Ikarus Trojan-Ransom.Petrwrap
• Kaspersky Trojan-Ransom.Win32.PetrWrap.d
• Malwarebytes Ransom.Petya.EB
• McAfee RDN/Ransomware
• Microsoft Ransom:Win32/Petya
• NANO-Antivirus Trojan.Win32.Petya.eqlcgp
• Panda Trj/CryptoPetya.B
• Symantec Ransom.Petya
• TrendMicro Ransom_PETYA.TH627
• VBA32 TrojanRansom.Filecoder
• Webroot W32.Ransomware.Petrwrap
• ZoneAlarm Trojan-Ransom.Win32.PetrWrap.d

Мы будем следить за развитием событий и обновлять информацию.

• Эпидемия шифратора Win32/Diskcoder.C Trojan. Рекомендации ESET