Эксперты из IT-компаний рассказывают, как вирусу-вымогателю удалось заразить компании по всему миру И что делать, чтобы защититься от вируса

Во вторник, 27 июня, в интернете начал распространятся новый вирус-вымогатель — при попадании в компьютер он шифрует данные и требует перевести злоумышленникам 300 долларов в обмен на ключ к шифру. Заражение началось с Украины, в итоге вирусом оказались заражены компьютеры в 64 странах; программа поразила компьютеры крупных промышленных компаний — Maersk, Evraz и, по всей видимости, «Роснефти». Новый вирус похож на вредоносную программу Petya, которая появилась год назад, и использует те же уязвимости, что и вирус WannaCry, поразивший тысячи компьютеров в мае 2017 года. «Медуза» с помощью специалистов из крупных российских IT-компаний отвечает на ключевые вопросы о работе вируса.

Как правильно называть новый вирус?

В СМИ распространившийся по миру 27 июня вирус называют Petya — по имени вируса-вымогателя, который появился год назад. Новый вирус действительно немного похож на Petya, однако, как рассказали «Медузе» в «Лаборатории Касперского», от старого он отличается тем, что не только блокирует, но и шифрует данные на диске, а также имеет дополнительные механизмы распространения по локальной сети. Канонического названия у нового вируса нет, в «Лаборатории Касперского» его называют ExPetr; другие компании, специализирующиеся на информационной безопасности, используют старое название.

Что делает вирус с компьютером?

Когда вирус попадает в компьютер, на котором установлена операционная система Windows, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска, где хранятся необходимые для загрузки компьютера данные (это часть называется MBR — master boot record, «главная загрузочная запись»). Если получается, система выдает «синий экран смерти», а после перезагрузки вместо запуска Windows появляется стандартное сообщение о проверке жесткого диска с просьбой не отключать питание.

На самом деле, это обман — вирус маскируется под системную программу по проверке диска, а в это время шифрует файлы с определенными расширениями (например, базы данных и другие файлы, необходимые для делопроизводства). Когда шифрование заканчивается, пользователь видит сообщение о том, что он стал жертвой программы-вымогателя (ransomware). Чтобы получить ключ для дешифровки данных, он должен перевести злоумышленникам 300 долларов биткоинами.

Кроме того, после попадания в компьютер вирус стремится заразить другие станции в локальной сети.

Что вирус уже заразил?

Заражение началось 27 июля 2017 года с Украины. Вирус поразил компьютеры правительства, «Украинских железных дорог», киевского метрополитена, нескольких банков, мобильных компаний, редакций ряда СМИ. Служба безопасности Украины почти сразу обвинила в атаке Россию.

В самой России под удар попали крупные промышленные компании — металлургическая Evraz, Mondelez (производит шоколадки Alpen Gold), «Роснефть» (при этом пресс-секретарь «Роснефти» Михаил Леонтьев заявил, что кибератака, затронувшая компьютеры «Роснефти» и принадлежащей ей «Башнефти», могла быть связана с текущими судебными процессами компании), «Татнефть», а также банк «Хоум кредит» и другие.

Затем вирус распространился в другие страны — в Великобритании пострадал рекламно-коммуникационный холдинг WPP Group, в Дании — логистическая компания Maersk, в Индии — крупнейший в стране контейнерный порт имени Джавахарлала Неру. Архитектор по информационной безопасности компании «Информзащита» Павел Таратынов в разговоре с «Медузой» сообщил, что к вечеру 28 июня заражению подверглись 12,5 тысячи компьютеров в 64 странах.

Руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников рассказал «Медузе», что вирус «заточен под бизнес» — и написан так, чтобы поражать корпоративные сети.

Как распространяется вирус?

27 июня появилось предположение, что Petya/exPetr содержался в свежем обновлении программы M.E.Doc, широко используемой на Украине для ведения бухгалтерии. Разработчики ПО заявили, что это не так, но и Таратынов из «Информзащиты», и Наместников из «Лаборатории Касперского» утверждают, что заражение началось именно с обновлений M.E.Doc.

«Дальше он распространился очень просто. Вся экономика у нас транснациональная, и поэтому вирус из одних офисов перетек в другие, причем за несколько минут», — объясняет Наместников. Как вирус попал на компьютеры компаний, не работающих с M.E.Doc, эксперты не уточнили.

Как отметили оба специалиста, вирус распространяется либо с помощью уязвимостей в Windows, которые использовал вирус WannaCry (он заражал компьютеры по всему миру в мае), либо через встроенные в Windows (и вполне легитимные) утилиты PSexec и WMIC — в нормальных условиях они используются для администрирования компьютерной инфраструктуры. Специалисты сказали, что речь об использовании социальной инженерии в случае с Petya/exPetr, очевидно, не идет: для распространения вируса не применяют электронную почту или фишинговые ссылки.

Как защититься от вируса?

Прежде всего, надо обновить Windows. Если у вас старая версия операционной системы, установите обновления вручную (они есть здесь). Это спасет вас от распространения через уязвимости системы, потому что свежие обновления их починят. Если у вас есть антивирусное ПО, обновите сигнатуры. «Касперский» также советует скачать бесплатную утилиту для обнаружения вирусов-вымогателей.

Специалисты также рекомендуют запретить своему компьютеру связываться с некоторыми узлами в интернете — тогда Petya/exPetr не сможет скачать шифратор (список узлов здесь). Еще один способ снизить риск заражения — сделать вид, что компьютер уже заражен; для этого понадобится обычный «Блокнот» (в «Лаборатории Касперского» этот прием назвали «лечением пневмонии чесноком», однако специалисты Symantec рекомендуют им воспользоваться).

Чтобы заражение не нарушило ваших планов (в случае, если оно произойдет), сделайте резервную копию данных. И ни в коем случае не отправляйте деньги злоумышленникам — очень часто это не помогает: почтовые ящики мошенников заблокированы, и получить ключ расшифровки вы просто не сможете.