Накануне новый вирус-вымогатель поднял на уши админов всего мира. Жертвами шифровальщика стали компьютерные сети десятков компаний, среди которых есть как малоизвестные, так и международные корпорации. Предполагается, что вирус носит название Petya, однако уверенности в этом нет: в «Лаборатории Касперского», например, считают, что речь идет о некоем новом и доселе неизвестном вредоносном ПО.
Очередными крупными жертвами «петеподобного» вируса стал крупный индийский контейнерный порт имени Джавахарлала Неру в Мумбаи, а также шоколадная фабрика Cadbury. Жертвам предлагается заплатить выкуп в размере $300 на биткоин-кошелек. После необходимо отправить письмо на указанный злоумышленниками электронный адрес для получения ключа. Однако это не поможет: провайдер заблокировал ящик, и письма отправятся в никуда, а вот деньги хакеры получат — они уже заработали как минимум $8 тыс.
Опасная черта нового вируса заключается в том, что единственный пользователь, получивший зараженное письмо, может «уложить» всю локальную сеть того или иного предприятия. Специалисты рекомендуют обновить антивирусное ПО и установить заплатки для самой ОС, однако спасет ли это от «Пети» и его друзей на все 100%, утверждать нельзя. Еще один способ — создать файл perfc (без расширения и только для чтения) в каталоге «C:\Windows». По словам других специалистов, сработает и файл perfc.dat. Он не избавит от Petya, однако не даст ему активизироваться. Ну а специалистам остается работать над решением глобальной проблемы.
Обязательным для Windows-пользователей является установка обновления MS17-010.
Кстати, в комментариях ко вчерашнему материалу читатели сообщали о приостановленной работе в некоторых белорусских компаниях, в том числе в «Белнефтехиме». Но там нам рассказали, что ни о каких вирусах не слышали.
Как рассказал Onliner.by руководитель отдела технического маркетинга ESET Russia Алексей Оськин, вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Малварь пытается инфицировать главную загрузочную запись и в случае успеха шифрует весь жесткий диск. В противном случае программа шифрует все файлы.
Источник нынешней эпидемии — компрометация бухгалтерского программного обеспечения M.E.Doc, распространенного в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало масштабной атаке, охватившей страны Европы, Азии и Америки.
Новый шифратор Petya распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.
Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.
По данным телеметрии, большее число срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию, Израиль.