Petya: эксперты рассказали о природе вируса

Более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. Как отмечают эксперты Positive Technologies, эта кампания оказалась вовсе не связана с WannaCry.

Жертвами вымогателя уже стали украинские и российские компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены, в том числе, некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся.

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп 300 долларов (на 27 июня 2017 - примерно 0,123 биткойна) для получения ключа разблокировки файлов.

Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.