Только в России от нового вируса-вымогателя пострадали «Газпром», «Роснефть», «Башнефть», банк «Хоум кредит», «Новая Почта» и другие крупные компании. После проникновения в компьютер Petya требует 300 долларов в биткоинах за разблокировку устройства. Вирусный аналитик и эксперт кафедры безопасных информационных технологий Университета ИТМО Григорий Саблин объясняет механизм вируса и как рядовым пользователям уберечь свои файлы от кибератак.
Petya, ты кто?
Как считает эксперт, ничего кардинально нового злоумышленники не придумали: они используют для распространения вируса всем известные методы (письма с вредоносными вложениями, эксплуатацию известной уязвимости в ОС Windows, запуск вредоносных файлов в локальной сети при помощи инструментов администратора WMI). Для шифрования, как предполагает Саблин, используются известные криптостойкие алгоритмы шифрования.
«Алгоритм работы этого червя ещё не до конца проанализирован. На данный момент известно, что он распространяется через почтовые вложения, эксплуатируя уязвимости в ОС Windows и внутри локальной сети (при наличии прав), шифрует файлы и требует деньги за их расшифровку. Другого вредоносного функционала в его коде пока что не обнаружено», — рассказал он «Собака.ru»
Вирус — «сын» WannaCry ?
Некоторые специалисты называют Petya аналогом вируса-вымогателя WannaCry — также вредоносной программы, которая привела к киберэпидемии компьютеров по всему миру 12 мая этого года. Тем не менее, эксперт ИТМО считает, что Petya, безусловно, продукт со схожим механизмом работы, но с кардинальными отличиями в принципе заражения: так, WannaCry шифровал только пользовательские файлы и при атаке операционная система продолжала работать, а Petya шифрует все данные файловой системы, и пока не до конца понятно, шифруется ли весь диск или специальная область со структурой файловой системы.
Второе главное отличие заключается в том, что Petya может попадать на компьютеры в локальной сети, на которых была закрыта уязвимость. Он использует специальные инструменты администратора для доступа с компьютера администратора к другим компьютерам локальной сети и может их заразить.
«Более того, уже сейчас можно сказать, что кибератака 27 июня превзошла атаку 12 мая, так как у вируса Petya отсутствует механизм для остановки массового заражения (в первой версии червя WannaCry была возможность приостановить распространение)», — говорит Саблин.
Кому бояться?
Первоначально поступали сообщения об атаках на крупные компании: рассылка вредоносных писем происходила по их почтовым адресам. Тем не менее, рядовым пользователям также стоит опасаться риска заражения компьютеров — червь распространялся внутри корпоративных локальных сетей и, в зависимости от того, насколько грамотно в той или иной компании была построена система защиты информации, вирус мог навредить и не корпоративным компьютерам.
«Также хочу заметить, что нет смысла платить вымогателям выкуп — электронная почта злоумышленников была заблокирована и на данный момент отсутствует какой-либо способ расшифровать файлы», — уточнил Саблин.
Насущные вопросы
Как еще можно заразиться, кроме как открыв подозрительное письмо?
Если вы находитесь в локальной сети, то к вам червь может попасть с машины администратора (если она подверглась заражению) или с другой заражённой машины путём эксплуатации уязвимости в ОС Windows. Вероятно, данный червь, как и предыдущий нашумевший вирус WannaCry, способен также попадать на компьютеры, напрямую подключённые к Интернету, путём эксплуатации уязвимости в ОС Windows.
Как понять, что компьютер заражен?
Червь ждет или инициирует перезапуск ОС, после чего шифрует файлы, перезагружает компьютер и выводит информацию о том, что файлы зашифрованы, и инструкции по оплате. Если у вас есть подозрение, что компьютер был заражён (вы открыли подозрительное вложение, присутствует файл C:\Windows\perfc.dat, АВПО сообщало о попытках сетевых атак, в памяти появились подозрительные процессы), рекомендуется выключить компьютер. Также специалист ИТМО рекомендует регулярно делать резервную копию (бекап) важных файлов, во избежание серьезных последствий в случае заражения.
Уже после заражения бекап поможет минимизировать последствия и спасти ценную информацию ( пользователя будет от 10 минут до часа).
Смогут ли злоумышленники использовать заблокированные данные в своих целях? Пострадают ли персональные данные из этих баз?
Злоумышленники не получат доступ к содержимому файлов (если пользователи сами их им не отправят).
Можно ли будет восстановить заблокированные данные?
Нет. По последним данным, вирус Petya полностью удаляет зараженные файлы.
Человеческий фактор
«К сожалению, на данный момент основная проблема таких атак кроется в людях — они не обновляют ОС, не устанавливают АВПО, открывают подозрительные вложения. Более того, WannaCry и Petya использовали уязвимость, которая была закрыта корпорацией Microsoft. Но в ОС Windows (как и в любой системе) есть уязвимости, которые ещё не закрыты, и появляются новые. И если кто-то найдет их и начнет эксплуатировать, под ударом могут оказаться вообще все пользователи данной ОС, подключённые к Интернету», — объясняет сотрудник ИТМО.
Таким образом, по мнению нашего спикера, выход из сложившейся с кибератаками ситуации только один — необходимо повышать компьютерную грамотность и осведомленность в области информационной безопасности среди населения: это позволит пусть не защититься от новых атак, но хотя бы минимизировать урон от них.
Инструкция по самозащите
• Сделайте резервное копирование (бекап) всех важных файлов, а вообще настройте регулярное резервное копирование (в случае заражения системы шифровальщиком, резервные копии не должны пострадать — необходимо переносить их на съемный носитель».
• Установите обновления ОС Windows, но одних только обновлений недостаточно для защиты системы.
• Установите или обновить антивирусное ПО. Закройте TCP-порты 1024-1035, 135 и 445 (с помощью встроенного в Windows фаервола или АВПО).
• Не открывайте подозрительные вложения в почте. Лучше вообще воздержаться от открытия вложений в почте на некоторое время.
• В сети распространяется информация, что для защиты компьютера достаточно создать файлы: C:\Windows\perfc и C:\Windows\perfc.dat — лучше поставить на них атрибут "read only"
Комментарии (0)