+375 (29) 982-80-80
Главная » Статьи » Новый вирус-шифровальщик NotPetya

Новый вирус-шифровальщик NotPetya

В мае 2017 года были зафиксированы многочисленные атаки вируса WannaCry, зашифровавшего файла восьми десятка российских и украинских компаний, в том числе, государственных. Буквально спустя месяц произошла новая атака мошенников, уже вирусом NotPetya, разработанного другой организацией. NotPetya зашифровал файлы компаний России и Украины, создатели вируса вымогали деньги за дешифровку. Жертвами вируса успели стать такие крупные компании как Новая Почта, Днепэнерго, Нивея, Марс и еще около сотни средних и малых предприятий. Распространение вируса началось на территории Украины, в столице были заражены не только компьютеры компаний, но и банкоматы и терминалы оплат.

АЛГОРИТМ ДЕЙСТВИЯ NOTPETYA

Проанализировав один из образцов вируса NotPetya, эксперты установили, что вирус шифрует загрузочную запись операционной системы, расположенного на жестком диске и заменяет ее на свой собственный загрузчик.

Исходная загрузочная запись хранится в 0х22-м секторе диска и зашифровывается побайтовой операцией XOR с 0х07.

NotPetya при запуске инициирует перезагрузку компьютера через 60-90 минут. В этот период, запустив команду bootrec /fixMbr, можно восстановить загрузочную запись и работоспособность операционной системы. Но спасти зараженные файлы не удастся. Для каждого раздела диска вирус создает отдельные ключи симметричного шифрования. Который сохраняется в памяти до конца зашифровки файлов. Перезагрузка системы не останавливает процесс шифровки. Для восстановления файлов после окончания процесса шифрования, необходимо знать ключ, за который мошенники и требуют деньги.

Специалисты предполагают, что вирус зашифровывает не все файла, а только те, которые хранятся не глубже 15 директорий. Файлы, расположенные глубже остаются в сохранности.

После зашифровки данных и перезагрузки системы на экране появляется сообщение о требовании оплаты за расшифровку данных. Мошенники просят перевести 300 долларов или 0,1 биткоин на их биткоин-кошелек.

Буквально через пару часов после первых атак вирусов уже начали поступать средства на кошелек, указанный взломщиками. Использование биткоинов позволяет вредителям сохранять в тайне свое местоположение и личные данные. 

РАСПРОСТРАНЕНИЕ ВИРУСА

NotPetya распространяется с помощью трех взаимодополняющих инструментов:

  • Технология WMI изначально предназначена для удаленного управления и администрирования компьютеров с ОС Windows. Но для распространения файлов с ее использованием необходимо иметь права администратора. Т.е. вирус может распространяться только через устройства с полным доступом к администрированию.
  • Эксплойт – это программа или часть кода, которая позволяет использовать вычислительные мощности чужого компьютера за счет наличия уязвимостей в системе. EternalBlue – это эксполойт, который дает возможность получить максимальный доступ на зараженном компьютере.
  • Утилита Mimikatz позволяет мошенниками получать логины и пароли пользователей, в том числе, системных администраторов, обладающих обычно полными правами на внесение изменений в операционной системе.

Эти три программы позволяет вирусу проникать даже в те системы, в которых меры безопасности были усилены после заражения вирусом WannaCry.

ЗАЩИТА ОТ ВИРУСА-ШИФРОВАЛЬЩИКА NOTPETYA

  • Чтобы попасть в лапы мошенников, требуется регулярно обновлять используемое программное обеспечение, в том числе, обновления MS Windows.
  • Для обеспечения безопасности данных и систем компании необходимо сократить до минимума права пользователей на рабочих компьютерах.
  • Необходимо проведение регулярного обучения и тренингов сотрудников для повышения грамотности в сфере информационной безопасности и предотвращений угроз.
  • Использование антивирусов в системой самозащиты позволит избежать заражения системы. Права на изменения и удаление антивируса должны быть ограничены для пользователей.

СТОИТ ЛИ ПЛАТИТЬ МОШЕННИКАМ

Ни в коем случае нельзя платить шифровальщикам! Во-первых, нет никакой гарантии дешифровки данных. Во-вторых, переводя деньги мошенникам, вы положительно подкрепляете их поведение и спонсируете дальнейшие разработки. Слухи о том, что шифровальщики возвращают файлы после оплаты, чаще всего распространяются теми же людьми, что и сам вирус. Поиск дешифровщика – это работа полиции и компании-разработчиков антивирусов.


Поделиться:
ООО Фактор ЛТД