Предыдущая публикация
Вирус шифровальщик Petya атаковал компьютеры во всём мире.
Как защитить свой компьютер.
Спустя всего месяц прошел с момента глобальной атаки Wannacry, привлекшей внимание всех мировых СМИ, по Европе и другим континентам начала стремительно распространяться очередная масштабная кибератака. За этой кибератакой стоит новая версия вируса из семейства программ-вымогателей Petya.
Первые сообщения об атаке появились утром 27 июня. Масштабнее всего вирус-вымогатель развернулся на территории Украины, в результате чего пострадали государственные и коммерческие предприятия, в числе которых: киевский аэропорт Борисполь, Киевский метрополитен, национальная энергетическая компания «Укрэнерго», Центробанк Украины и даже остановленная Чернобыльская атомная электростанция.
Затем сообщения, подтверждающие заражение вирусом-шифровальщиком, стали поступать от предприятий из других уголков Европы. Среди пострадавших: британское рекламное агентство WPP, французский строительный концерн Saint-Gobain, российская нефтяная компания «Роснефть», датский судоходный и транспортный гигант AP Moller-Maersk и другие компании. На данный момент, заражение вирусом-вымогателем подтверждено в более чем 14 странах мира, в том числе в США, Мексике, Иране, Бразилии и др. Однако мы ожидаем, что список пострадавших стран будет ещё больше.
Знакомство с шифровальщиком-вымогателем Petya
Отличительной особенностью Petya стало внедрение своей собственной «операционной системы», которая устанавливалась и загружалась вместо Windows, что позволяло Petya зашифровать важные структуры файловой системы на диске во время следующей перезагрузки. Этот метод также используется и в новой версии Petya, более того, даже код операционной системы Petya почти полностью скопирован. Однако новая версия использует свои собственные способы распространения, шифрования файлов и заражения системы.
После того, как система поражена шифровальщиком Petya, на экране появляется текст на английском языке, в котором говорится, что для разблокировки системы и расшифровки всех важных файлов пользователю необходимо перевести 300 долларов в биткоиновом эквиваленте на определённый кошелёк, привязанный к адресу posteo.net:
На момент написания этой публикации было совершено 28 транзакций и заплачено 3,1 биткоина, что принесло авторам программы-вымогателя примерно 7300 долларов. На следующий день общая сумма составила уже более 9000 долларов. Несмотря на то, что общая сумма выплаченного выкупа сравнительно мала, ещё очень рано говорить об окончательных результатах, особенно учитывая стремительную скорость распространения. Поэтому позднее мы сможем увидеть, что количество жертв, решивших заплатить выкуп для высвобождения своих файлов, будет больше.
Как Petya зашифровывает файлы пользователей?
Шифровальщик Petya состоит из двух различных модулей. Первый модуль очень похож на классические семейства программ-вымогателей. Он шифрует до 1 МБ каждого из файлов со следующими расширениями:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Для зашифровки файлов Petya использует алгоритм шифрования AES с 128-битным ключом. Этот ключ, в свою очередь, зашифрован с помощью открытого RSA-ключа, встроенного в исполняемый файл программы-вымогателя.
Второй модуль был напрямую позаимствован у семейства программ-вымогателей. Он состоит из небольшой собственной операционной системы, которая устанавливается в главную загрузочную запись системы (MBR), при условии, что система может загружаться через MBR, а самому шифровальщику удалось получить необходимые права. Как только вредоносная операционная система загружается, Petya находит и зашифровывает главную файловую таблицу загрузочного диска, используя шифр Salsa20.
Главная файловая таблица – это внутренняя структура файловой системы NTFS Windows, содержащая данные о конкретном расположении каждого файла на диске. Чтобы ни один инструмент восстановления файлов не смог выполнить свою работу, ОС Petya шифрует первые секторы каждого файла. Без главной файловой таблицы Windows не может распознать данные на диске, что, по сути, полностью блокирует возможность её использования пользователем.
Как Вы можете защитить себя от программы-вымогателя Petya?
Наш совет, лучшей защитой от возможных последствий деятельности программ-вымогателей по-прежнему остаётся надёжная и проверенная стратегия резервного копирования. Это тем более актуально, если учитывать, что Petya использует надёжное шифрование. Поэтому вернуть зашифрованные данные можно лишь двумя способами: или заплатить требуемый выкуп авторам шифровальщика, или восстановить резервные копии Ваших данных. Установка критических обновлений безопасностей Windows также является очень важным шагом в деле защиты Вашей системы, поскольку основным вектором заражения Petya до настоящего времени является уязвимость EternalBlue. Заметим, что патч для устранения этой уязвимости был выпущен ещё несколько месяцев назад.
Помимо регулярного резервного копирования Вы можете положиться на работу антивируса от компании Emsisoft, которая внедрила в свой антивирус «Антишифровальщика». Этот компонент защиты используется в программах Emsisoft Anti-Malware и Emsisoft Internet Security и является частью технологии «Анализ поведения». «Антишифровальщик» является превосходным защитником от программ-вымогателей, поскольку он пресекает любые попытки заразить систему, используя бэкдор DoublePulsar. Таким образом, пользователи остаются защищёнными от атак Petya, как, впрочем, и от атак сотен других семейств программ-вымогателей.
Антивирусная компания Emsisoft считает программы-вымогатели одной из самых серьёзных угроз на сегодняшний день и в будущем, и делает все от нее зависящее, чтобы пользователи и дальше оставались максимально защищёнными от этих кибератак и потери данных.
Подробнее об антивирусе можно узнать и посмотреть видеообзор здесь: https://ok.ru/nuzhnyeprogramyzatak/topic/66997822398608
Скачать антивирус Emsisoft Anti-Malware с оф.сайта:
http://download.emsisoft.com/EmsisoftAntiMalwareSetup_13726362
#антивирус #защита #безопасность
Следующая публикация
Комментарии 1