27 ИЮН, 21:33

Мир атаковал Petya: от вируса-вымогателя пострадали компании в РФ и на Украине

Кибератаки новой версии вредоносной программы были также зафиксированы в Германии, США, Великобритании и Дании

МОСКВА, 27 июня. /ТАСС/. Новая модификация вируса-вымогателя, который блокирует доступ к данным и требует деньги за разблокировку, во вторник атаковала десятки компаний и организаций в России и на Украине, а затем распространилась по всему миру.

Как сообщили в "Лаборатории Касперского", данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. "Больше всего инцидентов было зафиксировано в России и на Украине, однако имеется информация о заражениях в других странах", - сообщает компания.

Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые организации на Украине и в России стал вирус-шифровальщик Petya. Он блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В Group-IB также установили, что недавно этот вирус использовала группа Cobalt, чтобы скрыть следы целевой атаки на финансовые учреждения.

По предварительным оценкам, атакованы около 80 компаний, причем большая часть из них - украинские: заражены компьютерные системы Ощадбанка, Укргазбанка, банка "Пивденный", банка "ОТР", ТАСКомбанка. Атаке подверглись также основные украинские сотовые операторы - "Киевстар", Vodafone и lifecell, "Укртелеком", "Укрзализныця" (Украинские железные дороги), госпредприятие "Антонов", "Укрпочта" и "Киевводоканал", аэропорт "Борисполь", киевский метрополитен, компьютерные системы кабинета министров и сайта правительства Украины.

В России были атакованы "Роснефть", "Башнефть", Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). В настоящее время не работают сайты "Татнефти" и Магнитогорского металлургического комбината. Банк России также сообщил о кибератаках на российские кредитные организации, которые, однако, не привели к нарушениям в работе банков.

Как рассказал ТАСС руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский, новое семейство шифровальщиков содержит некоторые признаки, которые присутствуют в вирусе Petya, но более детальный анализ показывает, что это новая модификация трояна.

Откуда он пришел

Вирус-вымогатель Petya в различных модификациях известен с прошлого года. Тогда о нем сообщала и "Лаборатория Касперского" в своем блоге. Компания отмечала, что вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. В отличие от традиционных троянов, Petya модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.

Гендиректор ГК InfoWatch (специализируется на кибербезопасности) Наталья Касперская рассказала ТАСС, что первый вариант вируса Petya требовал права администратора, без которых он был бессилен. По этой причине Petya объединился с другим вирусом, Misha, который имел права администратора. Получилась улучшенная версия шифровальщика, отметила Касперская.

Новая версия Petya, как сообщил в своем Twitter руководитель международного исследовательского подразделения "Лаборатории Касперского" Костин Райю, была обнаружена 18 июня этого года. В отличие от предыдущей, эта модификация имеет поддельную цифровую подпись Microsoft.

По данным Group-IB, Petya распространяется в локальной сети таким же способом, как и аналогичный WannaCry. В Microsoft сообщили, что знают о ситуации и проводят расследование.

Что делать пострадавшим

В последний раз крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая. Атака проводилась в рамках масштабной операции неизвестных хакеров, которые при помощи вируса WannaCry "напали" на компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.

К счастью, WannaCry содержал ошибку в алгоритме своего распространения, говорит Касперская. "Довольно быстро эту ошибку вскрыли, и через эту уязвимость в вирусе стало возможным его удаление и лечение", - сказала, уточнив, что при отсутствии такой ошибки победить вирус очень сложно.

По информации представителя "Лаборатории Касперского", хакеры, которые стоят за Petya, уже получили в свой кошелек платежи от девяти пользователей. Однако, заявила Касперская, выкуп не гарантирует восстановления поврежденных файлов. "К сожалению, на практике, даже если платить вымогателям, они не часто открывают файлы. Гарантии здесь нет, и трудно дать рекомендацию пострадавшим", - добавила она.

Закоржевский из "Лаборатории Касперского" отмечает, что существуют альтернативные средства по восстановлению файлов: "Такие, как Shadow Copy, если оно активировано, это средство Windows. Мы пока не можем подтвердить, что однозначно это поможет, но в случае с последним шифровальщиком WannaCry из-за ряда недоработок была возможность восстановить некоторые файлы".

Закоржевский также посоветовал пользователям не предпринимать ничего, кроме установки защитного ПО, чтобы не потерять файлы, которые еще можно восстановить.

Пострадавшие и избежавшие

Работу большинства российских компаний вирус не затронул. Так, российские операторы связи заявили, что не зафиксировали атак.

Пресс-служба Московской биржи также сообщила, что специалисты компании не зафиксировали признаков атак на IT-системы биржи. Вирус не затронул и Санкт-Петербургскую биржу.

Системный оператор Единой энергетической системы (единолично осуществляет управление в Единой энергетической системе России), госкорпорация "Росатом" и ее структуры не выявили целенаправленных хакерских или вирусных на свои информационные системы. "Российские железные дороги", "КамАЗ" и "АвтоВАЗ" также на наблюдали кибератаки на компьютерные системы.

Сотовые операторы заявили, что случаев заражения новым вирусом не было. "Все подразделения компании работают в штатном режиме, услуги оператора оказываются в полном объеме", - сказали в пресс-службе "Мегафона". В "Вымпелкоме" также сообщили, что все системы работают в штатном режиме.

"На сеть МТС ежедневно производятся атаки различного уровня сложности. За счет эффективной системы информационной безопасности мы отражаем их", - подчеркнули в пресс-службе МТС, добавив, что все работает в штатном режиме и компания мониторит ситуацию.

Не зафиксировали атаки вируса и в российских интернет- компаниях "Яндекс" и Mail.ru Group. Атаки не затронули и торговые сети X5 Retail Group и российского "Ашана".

В то же время кибератакам подверглись крупные предприятия по всему миру. Вредоносная программа затронула американскую научно-исследовательскую фармацевтическую компанию Merck, датскую судоходную компанию A.P. Moller-Maersk и британскую рекламную компанию WPP.

По информации Ведомства по защите информационных систем (BSI) ФРГ, немецкие предприятия также попали под масштабную хакерскую атаку.

Читать на tass.ru
Теги