Кто такой Petya и как его обезвредить

Кто такой Petya и как его обезвредить
Кто такой Petya и как его обезвредить
Фото: tatcenter.ru

Во вторник СМИ сообщили о масштабной хакреской атаке на нефтяные, телекоммуникационные и финансовые компании в России и на Украине. Причиной стал вирус-шифровальщик Petya. 

"Вирус блокирует компьютеры и требует 0 в биткоинах. Атака произошла около 14:00. Способ распространения в локальной сети аналогичен вирусу WannaCry", - сообщили  Интерфаксу в пресс-службе компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз.

Среди жертв кибератаки оказались компьютерные сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровская электроэнергетическая система", уточняет агентство, приводя внушительный список атакованных компаний. Associated Press сообщило, что атаке подверглась также датская компания A.P. Moller-Maersk. 

Специалисты Group-IB установили, что недавно вирус-шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.

Вредоносная программа по аналогии с вирусом WannaCry шифрует данные. WannaCry, мощно заявивший о себе в мае текущего года, создал серьезные проблемы более чем 200 тыс. пользователей в 150-ти странах мира.

О новом троянце, который помогает киберпреступникам воровать вредоносное ПО у своих коллег, еще в марте предупреждали эксперты "Лаборатории Касперского". Они обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya — один из наиболее заметных зловредов, распространяемых по модели "вымогатели как услуга"(Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно, отмечают в "Лаборатории Касперского". Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

"PetrWrap используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими", - говорит старший антивирусный аналитик "Лаборатории Касперского" Антон Иванов .

Для защиты организации от целенаправленных атак "Лаборатория Касперского" рекомендует предпринять ряд мер.

  1. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки.
  2. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
  3. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
  4. Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
  5. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
  6. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.

Рекомендации по обеспечению кибербезопасности новизной не отличаются, однако это не означает, что они стали менее эффективными. Эксперт АО ИК "ЦЕРИХ Кэпитал Менеджмент" Олег Якушев утверждает , что регулярное обновление используемого софта, применение антивирусных решений с актуальными базами, периодический углубленный аудит системы обеспечения безопасности автоматизированной банковской системы помогают обеспечить технологическую защиту от взлома и проникновения.

Директор Технопарка в сфере высоких технологий "ИТ-парк Антон Грачев напоминает собственникам бизнеса, что  к обеспечению информационной безопасности должен быть комплексный подход. "Лишь он позволит компаниям противостоять современным кибератакам и избежать серьезных финансовых потерь и репутационных рисков", - заключает Грачев, напоминая о простых правилах защиты бизнеса от кибератак .

Ксения Долгова

Ещё новости о событии:

После второй хакерской атаки, произошедшей днем 27 июня на базы данных МВД России в целом и УГИБДД по Петербургу и Ленобласти, в частности , сотрудникам ведомства спустили бумагу о предпринимаемых для защиты мерах.
14:37 28.06.2017 Фонтанка - Санкт-Петербург
Новый вирус не является частью вредоносной системы Petya, но имеет ряд общих строк кода.
22:37 28.06.2017 VladTime.Ru - Владивосток
27 июня новый вирус-вымогатель атаковал около 80 компаний в России и на Украине, а затем распространился по всему миру.
16:35 28.06.2017 Lentachel.Ru - Челябинск
АЗС компании «Роснефть» работают в штатном режиме. Об этом сообщили в пресс-службе компании.
14:34 28.06.2017 ИА МедиаРязань - Рязань
Арбитраж Башкирии продолжит рассмотрение иска «Роснефти» к АФК «Система» 12 июля Фото: Карина Камаева Арбитраж Башкирии продолжит рассмотрение иска «Роснефти» к АФК «Система» 12 июля Фото: Карина Камаева УФА,
16:04 28.06.2017 Башинформ - Уфа
Вирус-вымогатель Petya за 27 и 28 июня атаковал десятки крупнейших компаний России, в том числе «Роснефть» и «Башнефть», Украины и других стран.
16:04 28.06.2017 АиФ Челябинск - Челябинск
Атака вирусом Petya произошла вчера, 27 июня. Хакеры заблокировали работу компьютеров компании, что повлекло за собой сбои в производственном процессе орловского завода.
14:01 28.06.2017 InfoOrel.Ru - Орел
Присутствие вируса зафиксировали в Индии и Китае Агентство Bloomberg сообщило, что вирус-вымогатель Petya, поразивший компьютеры предприятий и органов власти в Европе и США, добрался до Азии.
16:01 28.06.2017 JustMedia.Ru - Екатеринбург
Но отметили, что производство не остановлено. Представители компании «Керама Марацци» подтвердили, что их компьютеры подверглись атаке вируса-вымогателя Petya.
13:55 28.06.2017 OrelGrad.Ru - Орел
Число пользователей, атакованных вирусом-шифровальщиком, достигло двух тысяч, передаёт агентство «Прайм» со ссылкой на данные «Лаборатории Касперского».
15:54 28.06.2017 Между Строк - Нижний Тагил
Источник: tv-gubernia.ru Специалисты компании Symantec рассказали, как простым интернет-пользователям обезопасить свои компьютеры от вируса-вымогателя Petya,
13:54 28.06.2017 Slovosti.Ru - Воронеж
Глава Башкортостана Рустэм Хамитов одобряет арест счетов компании АФК «Система» Арбитражным судом Башкортостана.
15:51 28.06.2017 Спутник ФМ - Уфа
Весь мир 27 июня содрогнулся от очередной атаки вируса-вымогателя. Новый шифровальщик не похож на те, что были ранее известны.
13:40 28.06.2017 Tlttimes.Ru - Тольятти
Новый компьютерный вирус не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода.
19:34 28.06.2017 Иркутская торговая газета - Иркутск
Министр инфраструктуры Украины Владимир Омелян заподозрил Россию в организации последних хакерских атак, которые были зафиксированы по всему миру.
17:33 28.06.2017 Vse42.Ru - Кемерово
Вирус-вымогатель, поразивший государственные и частные сети Украины, распространился в Польше и Эстонии.
17:33 28.06.2017 Vse42.Ru - Кемерово
Сообщение Центробанка России. О выявленных случаях заражения ИТ-систем российских банков после хакерской атаки сообщает « Интерфакс » сo ссылкой на пресс-службу Центробанка РФ.
17:33 28.06.2017 Gorod55.Ru - Омск
  О неисправностях в IT-системах после вчерашней глобальной кибератаки сообщают компании из Финляндии, Эстонии, Латвии, и Польши, передает RNS.
13:23 28.06.2017 Газета Республика Татарстан - Казань
Вирусная программа Petya, ранее нанесшая атаку по компьютерам компаний со всей планеты, является более мощной и опасной, чем WannaCry.
21:08 28.06.2017 VladTime.Ru - Владивосток
Компьютерный вирус-вымогатель Petya атаковавший 27 июня несколько крупных российских компаний, но более всего "нашаливший" на Украине, ползет по Европе.
13:06 28.06.2017 Вести.Ru - Москва
Компьютерный вирус, атаковавший целую вереницу компаний России и Украины, добрался и до Чернобыльской атомной электростанции.
13:05 28.06.2017 Новый Крым - Симферополь
Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые считают, что это все тот же WannaCry (это не так).
13:04 28.06.2017 NrNews.Ru - Новороссийск
Вирус-вымогатель, поразивший государственные и частные сети Украины, распространился в Польше и Эстонии.
17:04 28.06.2017 News.Vse42.Ru - Кемерово
Накануне атаке вируса-вымогателя Petya подверглись серверы госорганов и крупнейших российских и украинский компаний таких, как «Роснефть», «Башнефть», Mars, Nivea и Mondelez International,
13:02 28.06.2017 Телерадиокомпания Терра - Самара
В «Касперском» настаивают, что вирус «существенно» отличается от шифровальщика Petya, хотя у них есть несколько общих строк кода.
12:56 28.06.2017 Югополис - Краснодар
Глава Башкортостана Рустэм Хамитов заявил, что Правительство Башкортостана чувствует поддержку людей в разбирательствах с АФК «Система».
14:52 28.06.2017 Спутник ФМ - Уфа
Вирус-вымогатель стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России, Украины, а также ряда европейских стран.
12:52 28.06.2017 ТРК Новая Россия - Новороссийск
Причиной масштабной хакерской атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины стал вирус-вымогатель под названием Petya.
19:39 28.06.2017 Khabara.Ru - Хабаровск
Министр инфраструктуры Украины Владимир Омелян заподозрил Россию в организации последних хакерских атак, которые были зафиксированы по всему миру.
16:35 28.06.2017 News.Vse42.Ru - Кемерово
Компьютерный вирус-вымогатель Petya атаковал компьютеры в Эстонии и Польше, пишет РИА Новости .
13:34 28.06.2017 Gubdaily.Ru - Петрозаводск
Тюменские компании и офисы туроператоров пострадали от масштабной кибератаки, которая 27 июня затронула ряд крупных российских компаний.
14:34 28.06.2017 72.Ru - Тюмень
Компьютерный вирус, атаковавший целую вереницу компаний России и Украины, добрался и до Чернобыльской атомной электростанции.
12:33 28.06.2017 Первый Крымский - Симферополь
Производство остановлено. Завод по производству плитки «Керама Марацци» в Орле остановил производство из-за вируса-вымогателя Petya, который поразил компьютеры.
12:28 28.06.2017 OrelGrad.Ru - Орел
  Компьютерный вирус-вымогатель Petya атаковал компьютеры в Эстонии и Польше.
12:14 28.06.2017 Газета Республика Татарстан - Казань
Из-за хакерской атаки оказались недоступны для клиентов сайты крупных отечественных туроператоров Anex Tour и Mouzenidis Travel.
12:07 28.06.2017 NewKaliningrad.Ru - Калининград
Кибератака была зафиксирована в компаниях "Роснефть", "Башнефть", Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold).
13:01 28.06.2017 Журнал Бизнес и Власть - Вологда
Хакерская атака вируса  обрушила систему независимой медицинской лаборатории.
13:55 28.06.2017 МК Челябинск - Челябинск
Днем 27 июня на Украине и в России, а затем и в других странах мира начал распространяться вирус-вымогатель, который блокирует доступ к данным и требует 300 долларов в биткоинах за разблокировку.
15:51 28.06.2017 OmskTime.Ru - Омск
Хакерская атака на Украину и РФ осуществлялась через пакет обновлений для бухгалтерской программы M.E.doc.
19:43 28.06.2017 VladTime.Ru - Владивосток
От банков и энергетических компаний до международных перевозчиков и аэропортов.
11:42 28.06.2017 Вести.Ru - Москва
Как заявил Амит Серпер, нужно заставить вредоносную программу «думать, что она уже есть в компьютере».
11:40 28.06.2017 Радио Август - Тольятти
Вирус атаковал серверы медицинской компании в России, Белоруссии и Украине Серверы новосибирских офисов медицинской компании «Инвитро» подверглись атаке компьютерного вируса — в компании заявили,
14:36 28.06.2017 НГС.Новости - Новосибирск
Масштабную атаку на компании России и Украины устроили хакеры с помощью вируса Petya 27 июня.
11:31 28.06.2017 TatPressa.Ru - Казань
Сайты крупных российских туроператоров Anex Tour и Mouzenidis Travel перестали работать из-за кибератаки.
11:26 28.06.2017 РТВ-Подмосковье - Подмосковье
Американская компания Symantec, специализирующаяся на противовирусном программном обеспечении, выпустила простые рекомендации по борьбе с вирусом-вымогателем Petya, атаковавшим системы компаний по всему миру 27 июня.
11:13 28.06.2017 Фонтанка - Санкт-Петербург
Накануне автомобилисты Хакасии пожаловались в социальных сетях на невозможность расплатиться по банковским картам за бензин.
16:09 28.06.2017 Газета Хакасия - Абакан
  Компьютерный вирус Petya дошел до Польши, сообщает специализированный портал niebezpiecznik.pl.
11:08 28.06.2017 Газета Республика Татарстан - Казань
Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям.
11:04 28.06.2017 Саров24 - Саров
 
По теме
Сеть медицинских лабораторий «Инвитро» временно приостановила сбор биоматериала и выдачу результатов анализов в России, Беларуси и Казахстане из-за масштабной кибератаки, которая произошла во вторник, 27 июня.
Новости - Росздравнадзор Счетчик обращений граждан и организаций Поступило 43506 на рассмотрении 6541 решено 36965 ВРАЧ ВРАЧ Мониторинг безопасности лекарственных препаратов Контроль качества лекарственных средств Мониторинг ассортим
Росздравнадзор
гпмгммммммхх- - Централизованная библиотечная система 27 марта в центральной городской библиотеке прошел захватывающий квест «Охота на книги»!
Централизованная библиотечная система