Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты

27 июня страны Европы поразила атака вируса-вымогателя, известного под безобидным именем Petya (в различных источниках также можно встретить названия Petya.A, NotPetya и GoldenEye). Шифровальщик требует выкуп в биткоинах, эквивалентный 300 долларам. Заражены десятки крупных украинских и российских компаний, также фиксируется распространение вируса в Испании, Франции и Дании.

Кто попал под удар?

Украина

Украина стала одной из первых стран, подвергшихся атаке. По предварительным оценкам, атакованы около 80 компаний и госучреждений:

• аэропорты: «Борисполь», Международный Аэропорт Харькова (он, кстати, временно перешёл на регистрацию в ручном режиме);
• киевское метро: вирус заразил терминалы пополнения проездных билетов, оплата картами пока невозможна;
• банки: Национальный банк Украины, «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк»;
• операторы сотовой связи: «Киевстар», lifecell и «Укртелеком»;
• энергетические компании: «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровская электроэнергетическая система».

Атаке подверглись и компьютерные сети правительства Украины. Вирус-вымогатель распространился даже в кабинет министров. Сайт правительства оказался недоступен.

Советник министра внутренних дел Украины Антон Геращенко заявил:

Письмо, содержащее вирус, приходило в большинстве случаев по почте… Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали неопытные пользователи.

Россия

В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). «Роснефть» была первой российской компанией, заявившей об атаке вируса на сервера компании.

Шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович, а также компании Nivea, TESA, Royal Canin, «Новая Почта», и подразделения Damco в России и Европе.

Ситуация в Европе

Petya затронул и другие страны. Компании Испании, Дании, Франции, Нидерландов, Индии и других государств также сообщили об атаке на свои серверы.

По оценкам сотрудника «Лаборатории Касперского» Костина Райю, масштаб атаки меньше, чем во время активности вируса WannaCry, однако урон всё равно является «значительным». Он заявил, что компания наблюдает «несколько тысяч» попыток заражения по всему миру.

По данным антивирусной компании ESET, в первую десятку пострадавших от вируса стран вошли Украина, Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.

Как устроен Petya?

По предварительным данным, вирус распространяется на компьютеры под управлением операционной системы Windows, а заражение в основном происходит через фишинговые письма, которые отправляют злоумышленники.

Первая версия Petya была обнаружена ещё в прошлом году. Она также пыталась получить доступ к файлам на жестком диске, но без прав администратора была бессильна что-либо сделать. По словам гендиректора ГК InfoWatch Натальи Касперской, именно поэтому «вирус объединился с другим вымогателем Misha, который имел права администратора. Это была улучшенная версия, резервный шифровальщик».

На сегодняшний день вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. Также вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность. После заражения компьютера вирус модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.

Как защититься?

1. Закройте TCP-порты 1024–1035, 135 и 445.
2. Обновите базы ваших антивирусных продуктов.
3. Так как Petya распространяется при помощи фишинга, не открывайте письма из неизвестных источников (если отправитель известен, уточните, безопасно ли это письмо), будьте внимательны к сообщениям из соцсетей от ваших друзей, так как их аккаунты могут быть взломаны.
4. Вирус ищет файл C:\Windows\perfc, и, если не находит его, то создаёт и начинает заражение. Если же такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Нужно создать пустой файл с таким именем. Рассмотрим этот процесс подробнее.

Методом защиты поделился ресурс BleepingComputer. Для удобства они подготовили скрипт, который сделает всю работу за вас, а ниже приведена подробная инструкция на случай, если вы захотите сделать всё самостоятельно.

Инструкция по защите от Petya

В настройках «Параметры папки» отключите опцию «Скрывать расширения для зарегистрированных типов файлов». Это позволит создать файл без расширения.

Перейдите в папку C:\Windows и найдите файл notepad.exe:

Создайте копию этого файла (система запросит подтверждение):

Переименуйте полученную копию файла в perfc:

Система выдаст предупреждение, что файл может оказаться недоступным:

Перейдите в свойства файла perfc:

Установите атрибут «Только чтение»:

Если же вы всё-таки поймаете этот вирус, помните — не в коем случае не перезагружайте компьютер! По данным MalwareTech, процесс шифрования начинается именно в момент включения устройства.