Масштабная программа-вымогатель WannaCry еще не умерла, и еще одна крупномасштабная атака программы-вымогателя создает хаос во всем мире, заражая и отключая Машины в любом масштабе. Новое вредоносное ПО под названием «Программа-вымогатель Petya» or «Программа-вымогатель Petwrap» атаковал многие компьютеры банков, предприятий, источников питания и банков в России, Украине, Испании, Франции, Великобритании, Индии и Европе и потребовал 300 долларов в биткойнах.
Согласно источникам, вредоносное ПО быстро распространяется с помощью той же уязвимости Windows SMBv1, которую вымогатель WannaCry использовал ранее в мае 2017 года, чтобы заразить 300,000 72 компьютеров по всему миру всего за XNUMX часа.
Что такое программа-вымогатель Petya?
Petya - это опасная программа-вымогатель, которая работает совсем не так, как любые другие вредоносные программы-вымогатели. В отличие от других традиционных программ-вымогателей, Petya не шифрует файлы в целевой системе один за другим.
Вместо этого Петя перезагружает компьютеры жертв и шифрует главную файловую таблицу жесткого диска (MFT) и выводит главную загрузочную запись (MBR) из строя, ограничивая доступ ко всей системе, захватывая информацию об именах файлов, размерах и расположении на физическом диске.
Программа-вымогатель Petya заменяет MBR компьютера собственным вредоносным кодом, который отображает записку о выкупе и не дает компьютерам загрузиться. По данным исследовательской компании Kaspersky, Petya может быть вариантом Petya.A, Petya.D или PetrWrap.
Как влияет программа-вымогатель Petya?
Программа-вымогатель Petya распространяется по протоколу SMB Microsoft Windows. Он использует инструмент эксплойта Eternalblue, который использует CVE-2017-0144. Как и Wannacry, он использует машины с Windows без исправлений.
«Петя использует АНБ. Eternalblue использовать, но также распространяется во внутренних сетях с помощью WMIC и PSEXEC. Вот почему исправленные системы могут пострадать ». Микко Хиппонен, главный исследователь F-Secure, написал в Твиттере.
После компрометации системы жертву просят отправить 300 долларов США в биткойнах на определенный биткойн-адрес, а затем отправить им электронное письмо с идентификатором биткойн-кошелька жертвы, чтобы получить их индивидуальный ключ дешифрования.
На компьютере жертвы отображается сообщение: «Если вы видите этот текст, значит, ваши файлы больше не доступны, потому что они зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не теряйте зря время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования ».
Программа-вымогатель Petya поражает банки, предприятия и телекоммуникационные компании
За последние несколько часов программа-вымогатель Petya уже заразила российский государственный нефтяной гигант «Роснефть», украинских государственных поставщиков электроэнергии, «Киевэнерго» и «Укрэнерго». Есть также сообщения из нескольких банков, в том числе Национального банка Украины (НБУ) и Ощадбанка, подтверждающие, что они подверглись атакам программы-вымогателя «Петя».
Maersk, международная логистическая компания, также подтвердила в Твиттере, что в результате последних атак программы-вымогателя Petya были отключены ее ИТ-системы в нескольких местах и бизнес-подразделениях. Три украинских оператора связи: «Киевстар», «LifeCell», «Укртелеком» также пострадали от последней атаки «Пети».
К наиболее серьезным повреждениям, о которых сообщают украинские предприятия, также относятся взломанные системы в местном метро Украины и киевском аэропорту Борисполь.
Как предотвратить заражение от программы-вымогателя Petya?
Исследователи безопасности обнаружили, что программа-вымогатель Petya шифрует системы после перезагрузки компьютера. Поэтому, если ваша система заражена программой-вымогателем Petya и пытается перезапустить ее, немедленно выключите ее.
«Если машина перезагружается и вы видите это сообщение, немедленно выключите питание! Это процесс шифрования. Если вы не включите питание, файлы в порядке », - написал в Твиттере HackerFantastic.
Если машина перезагружается и вы видите это сообщение, немедленно выключите питание! Это процесс шифрования. Если вы не включаете, файлы в порядке. pic.twitter.com/IqwzWdlrX6
— hackerfantastic.x (@hackerfantastic) 27 июня 2017
Атакован программой-вымогателем Petya? Вот что вам следует делать:
Зараженным пользователям рекомендуется не платить выкуп, потому что хакеры, стоящие за вымогателем Petya, больше не могут получать ваши электронные письма. Таким образом, даже если вы заплатите, вы не получите свои файлы обратно.
Posteo, немецкий провайдер электронной почты, заблокировал адрес электронной почты (wowsmith123456@posteo.net), используемый злоумышленниками для связи с жертвами и получения ключей дешифрования.
Как защититься от атак программ-вымогателей?
- Примените обновления безопасности в MS17-010
- Отключите незащищенный протокол обмена файлами SMBv1 на своих системах и серверах Windows.
- Блокировать входящие соединения через TCP-порт 445
- Создавайте и поддерживайте надежные резервные копии, чтобы в случае заражения вы могли восстановить свои данные.
- Убедитесь, что в вашей системе установлен хороший и эффективный пакет антивирусной защиты.
- Самое главное, всегда безопасно пользоваться Интернетом.
