Осторожно, атака! WannaCry и Petya.A

WannaCry, он же WannaCrypt, — специальная программа, блокирующая все данные в системе, оставляя пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor — инструмент для разблокировки данных. Вирус-вымогатель попадает на устройство через съёмные носители или через открытие заражённых файлов-вложений (документов Word, PDF), направленных на электронные адреса многих коммерческих и государственных структур. Цель — получить выкуп в эквиваленте $300 за разблокировку ваших данных. Если жертва не заплатит в течение 3 дней, сумма увеличивается до $600. После 7 дней восстановить данные будет невозможно, угрожают нападающие.

Вирус опасен, так как копирует сам себя до бесконечности, если находит другие компьютеры, имеющие брешь в системе безопасности. Он распространяется только на компьютеры, на которых установлена операционная система Windows, и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003.

Первая волна этой кибер-угрозы пришлась на 12 мая этого года. В мае жертвами WannaCry стали более 200 тысяч компьютеров в 150 странах; пострадали бизнесмены, порой огромные корпорации. Так, вирус поразил ряд компьютерных систем немецкого железнодорожного концерна Deutsche Bahn. В Великобритании были заражены компьютеры многих больниц, а в Российской Федерации — Следственного комитета, МВД и компании «Мегафон».

Украина подверглась хакерской атаке 27 июня. Пострадали «Новая почта», «Укрпочта», клиника «Борис». В сети «Ашан» не функционируют терминалы. Есть проблемы у «Ощадбанка». Зафиксирован отказ биллинговых систем оплаты коммуникатора Life.

Как стало известно, авторы программы-вымогателя успели обновить её. Модифицированный вирус называется Petya.A. У основных антивирусов «лекарства» от него пока нет (исключением, по мнению экспертов, являются Windows Defender и Symantec). Пока что всем рекомендуют загрузить необходимые патчи от Windows, чтобы обезопасить компьютер от заражения.

Специалист по кибербезопасности Владимир Стыран говорит о новом вирусе следующее: «Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам WannaCry».

Вирус блокирует не только рабочий стол или окно браузера, но и загрузку операционной системы. Сообщение с требованием выкупа при этом гласит, что вирус использует «военный алгоритм шифрования» и шифрует весь жёсткий диск сразу.

Основной контингент жертв — специалисты по кадрам. Злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность со ссылкой на портфолио соискателя на Dropbox. Вместо портофолио по ссылке располагается файл application_portfolio-packed.exe. Его запуск приводит к появлению синего экрана и перезагрузке компьютера с последующей имитацией проверки диска (CHKDSK), по окончании которой загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жёстких дисках зашифрованы и восстановить их невозможно. За решение проблемы требуют оплату в течение 7 дней, потом сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

Возможно, помогут методы борьбы, оказавшиеся эффективными с Wncry:

  1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
  2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Но чтобы избежать ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

После удаления вируса нужно восстановить зашифрованные файлы. В противном случае можно нанести ущерб системным файлам и реестрам. Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

 

Новости по теме

Добавить комментарий