Статьи
Заказать услугу
Новый вирус-шифровальщик NotPetya
В мае 2017 года были зафиксированы многочисленные атаки вируса WannaCry, зашифровавшего файла восьми десятка российских и украинских компаний, в том числе, государственных. Буквально спустя месяц произошла новая атака мошенников, уже вирусом NotPetya, разработанного другой организацией. NotPetya зашифровал файлы компаний России и Украины, создатели вируса вымогали деньги за дешифровку. Жертвами вируса успели стать такие крупные компании как Новая Почта, Днепэнерго, Нивея, Марс и еще около сотни средних и малых предприятий. Распространение вируса началось на территории Украины, в столице были заражены не только компьютеры компаний, но и банкоматы и терминалы оплат.
АЛГОРИТМ ДЕЙСТВИЯ NOTPETYA
Проанализировав один из образцов вируса NotPetya, эксперты установили, что вирус шифрует загрузочную запись операционной системы, расположенного на жестком диске и заменяет ее на свой собственный загрузчик.
Исходная загрузочная запись хранится в 0х22-м секторе диска и зашифровывается побайтовой операцией XOR с 0х07.
NotPetya при запуске инициирует перезагрузку компьютера через 60-90 минут. В этот период, запустив команду bootrec /fixMbr, можно восстановить загрузочную запись и работоспособность операционной системы. Но спасти зараженные файлы не удастся. Для каждого раздела диска вирус создает отдельные ключи симметричного шифрования. Который сохраняется в памяти до конца зашифровки файлов. Перезагрузка системы не останавливает процесс шифровки. Для восстановления файлов после окончания процесса шифрования, необходимо знать ключ, за который мошенники и требуют деньги.
Специалисты предполагают, что вирус зашифровывает не все файла, а только те, которые хранятся не глубже 15 директорий. Файлы, расположенные глубже остаются в сохранности.
После зашифровки данных и перезагрузки системы на экране появляется сообщение о требовании оплаты за расшифровку данных. Мошенники просят перевести 300 долларов или 0,1 биткоин на их биткоин-кошелек.
Буквально через пару часов после первых атак вирусов уже начали поступать средства на кошелек, указанный взломщиками. Использование биткоинов позволяет вредителям сохранять в тайне свое местоположение и личные данные.
РАСПРОСТРАНЕНИЕ ВИРУСА
NotPetya распространяется с помощью трех взаимодополняющих инструментов:
- Технология WMI изначально предназначена для удаленного управления и администрирования компьютеров с ОС Windows. Но для распространения файлов с ее использованием необходимо иметь права администратора. Т.е. вирус может распространяться только через устройства с полным доступом к администрированию.
- Эксплойт – это программа или часть кода, которая позволяет использовать вычислительные мощности чужого компьютера за счет наличия уязвимостей в системе. EternalBlue – это эксполойт, который дает возможность получить максимальный доступ на зараженном компьютере.
- Утилита Mimikatz позволяет мошенниками получать логины и пароли пользователей, в том числе, системных администраторов, обладающих обычно полными правами на внесение изменений в операционной системе.
Эти три программы позволяет вирусу проникать даже в те системы, в которых меры безопасности были усилены после заражения вирусом WannaCry.
ЗАЩИТА ОТ ВИРУСА-ШИФРОВАЛЬЩИКА NOTPETYA
- Чтобы попасть в лапы мошенников, требуется регулярно обновлять используемое программное обеспечение, в том числе, обновления MS Windows.
- Для обеспечения безопасности данных и систем компании необходимо сократить до минимума права пользователей на рабочих компьютерах.
- Необходимо проведение регулярного обучения и тренингов сотрудников для повышения грамотности в сфере информационной безопасности и предотвращений угроз.
- Использование антивирусов в системой самозащиты позволит избежать заражения системы. Права на изменения и удаление антивируса должны быть ограничены для пользователей.
СТОИТ ЛИ ПЛАТИТЬ МОШЕННИКАМ
Ни в коем случае нельзя платить шифровальщикам! Во-первых, нет никакой гарантии дешифровки данных. Во-вторых, переводя деньги мошенникам, вы положительно подкрепляете их поведение и спонсируете дальнейшие разработки. Слухи о том, что шифровальщики возвращают файлы после оплаты, чаще всего распространяются теми же людьми, что и сам вирус. Поиск дешифровщика – это работа полиции и компании-разработчиков антивирусов.