Мощнейший компьютерный вирус-вымогатель Petya добрался до Мордовии. На минувшей неделе кибератака заблокировала работу нескольких коммерческих предприятий региона, оказались заражены десятки компьютеров. За восстановление данных вредоносная программа, как и другие шифровальщики, требовала выкупа в биткоинах.
Американские корни
В Мордовии от нового вируса пострадали несколько коммерческих предприятий. У одной из крупных фирм федерального формата вирус поразил локальную сеть более чем из 20 компьютеров, работа компании на некоторое время была парализована. У известного провайдера Саранска пропал интернет, и связи не было несколько часов. Вероятнее всего, причиной технического сбоя был именно Petya. Но не многие жертвы вируса официально обращаются в полицию с заявлениями о кибератаках.
В России же вирус порезвился гораздо более масштабно - перестали работать интернет-сервисы крупных туроператоров, в том числе был заблокирован доступ к системе онлайн-бронирования. Проблемы из-за Petya возникли у некоторых российских нефтяных компаний, что обернулось проблемами в работе автозаправок во многих регионах страны. В числе атакованных в России компаний оказались: Роснефть, Башнефть, Evraz, Mars, Nivea, TESA, Mondelez International (производитель шоколада Alpen Gold). Сообщалось также, что вирус смог проникнуть и в систему ГИБДД Санкт-Петербурга и других регионов. Для того чтобы предотвратить распространение вируса и обезопасить данные автовладельцев, было принято решение об отключении баз. По словам сотрудников ГИБДД, некоторое время их базы не работали по всей России.
Ранее об атаках Petyа сообщали представители крупнейших компаний не только России, но и других стран мира - Дании, Испании, Норвегии, Нидерландов, Великобритании, Франции, Аргентины, Израиля, Австралии и США. В числе пострадавших - сеть крупнейших супермаркетов во Франции, где уже заявили, что ожидают проблемы с отправкой товаров, международный морской порт в индийском Мумбаи столкнулся с отказом систем управления грузопотоком.
Больше всего от вируса пострадала Украина. Там были блокированы сайты банков, энергетических, транспортных компаний. Из-за необходимости отключить компьютеры Чернобыльская АЭС перешла на ручной контроль радиационной обстановки. В Службе безопасности Украины сделали глупый, но вполне предсказуемый вывод - это россияне причастны к вирусной атаке. Естественно, никаких доказательств украинские спецслужбы не привели.
Между тем IT-специалисты заявляют: для создания нового шифровальщика использовались программные средства, разработанные американским Агентством национальной безопасности США - те же самые, что и для предшественника Petya Wannacry, который в мае поразил более 200 тысяч компьютеров в десятках стран. Однако в отличие от Wannacry Petya мог действовать не один. «Если права администратора вирусу не давались, он был бессилен, - заявила специалист в сфере киберзащиты Наталья Касперская. - Поэтому объединялся с другим вымогателем - вирусом Misha, который имел права администратора. Это была улучшенная версия, резервный шифровальщик».
Однако Petya оказался не столь идеальным. Одному из интернет-пользователей удалось создать инструмент, который может расшифровать «съеденные» Петей данные.
Способы защиты
«Вирус Petya был создан еще в 2016 году, суть вируса такая же, как и у Wannacry, - рассказал начальник отдела «К» МВД по РМ Алексей Ширманов. - Попадая в систему, он шифрует все данные, а потом требует выкупа за расшифровку 300 долларов в биткоинах. К сожалению, антивирусы Petya не отслеживают. Он распространялся в основном в письмах с резюме соискателей. Беспроигрышная схема - работодатели открывают такое письмо, чтобы посмотреть резюме, и запускают вирус-шифровальщик. Petya шифрует данные и выдает баннер с информацией о выкупе за дешифратор.
По информации одной из компаний в сфере информационных технологий, противостоять вирусу Petya довольно просто. Когда шифровальщик инфицирует компьютер, он первым делом ищет в системе определенный файл, если таковой обнаруживается, то шифрования не происходит. Можно сказать, что киберпреступники живут по определенным понятиям - если вирус уже побывал в компьютере, второй раз заражения не происходит. Так вот специалисты Symantec опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya. Для этого надо сделать вид, что компьютер уже заражен.
В момент атаки Petya ищет файл C:\Windows\ perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Чтобы создать такой файл для защиты от Petya, можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения».
Не платите выкуп
«Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп, - советуют специалисты «Лаборатории Касперского». - Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.
Но это еще не все. Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи «Лаборатории Касперского» проанализировали ту часть кода, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные. Так что не стоит платить, это все равно не поможет вернуть файлы».