Украинские компании начали платить вирусу Petya

1 833

102534382540 компаний перечислили 300 долларов в валюте биткойн интернет-вирусу Petya.

Это можно проследить по биткойн-кошельку вымогателей.

Первая транзакция была осуществлена ​​27 июня в 12.48, то есть почти сразу после блокировки. Последняя - 28 июня в 7.03.

Как сообщают пользователи в соцсетях, ключ для расшифровки данных в ответ никто не прислал.

Разработчик "ProZorro" и основатель ОО "Электронная демократия" Владимир Фльонц на своей странице в Facebook предостерег пользователей платить вирусу.

"Еще раз повторяю, если вы подхватили вирус Petya.A / C не пытайтесь заплатить вымогателям, их e-mail адрес уже заблокировано на уровне провайдера услуг. Это означает, что ваше подтверждение об оплате никто не получит, а вы не получите ключ для расшифровки ", - говорится в сообщении.

В компании Group-IB, которая специализируется на раннем выявлении киберугроз сообщили, что вирус Petya аналогичен вирусу WannaCry.

"Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около 14:00. Судя по фотографиям, это криптолокер Petya", — пояснили в пресс-службе компании, отметив, что способ распространения Petya в локальной сети аналогичен вирусу WannaCry.

Как работает вирус Petya?

Наиболее подробно механизм работы вирусов-вымогателей был описан еще в апреле 2016 года в блоге компании Malwarebytes Labs. Тогда вирус распространялся как письмо с резюме сотрудника: по клику на него открывалась Windows-программа, требовавшая прав администратора. Если невнимательный пользователь соглашался, то программа-установщик переписывала загрузочную область жесткого диска и показывала «синий экран смерти»: сообщение о сбое, предлагающее перезагрузить компьютер.

На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован, и данные можно спасти — например, если выключить компьютер и подключить жесткий диск к другому, но не загружаться с него. В этой ситуации все данные можно будет скопировать.

После перезагрузки Petya запускает программу, маскирующуюся под утилиту CHKDSK. На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его, причем, как установили исследователи из Malwarebytes Labs, не целиком, а лишь частично. В «Лаборатории Касперского» в конце марта 2016 года утверждали, что метод шифрования, применяемый в Petya, позволяет с помощью специалистов восстановить все данные.

После завершения шифрования компьютер показывает красный экран с сообщением «Вы стали жертвой вируса-вымогателя Petya» и предложением заплатить 300 долларов в биткоинах. Подробная инструкция, как купить необходимую сумму в биткоинах и как ее перечислить, содержалась на сайте в «дарквебе».

Судя по скриншотам современной версии Petya, теперь никакого сайта и подробной инструкции нет: зараженным пользователям предлагается написать на указанный почтовый адрес и в обмен на доказательство перечисления средств получить код для расшифровки жесткого диска.

Исследователи отмечают, что часть Petya, отвечающая за блокировку доступа, перехватывает управление компьютером на самом раннем этапе загрузки. Она написана высококвалифированными программистами.

С начала 2016 года Petya неоднократно видоизменялся. Существуют версии с желтым оформлением экрана с требованием выкупа, существуют и такие, где название вируса не указывается.

Как именно работает и распространяется та версия Petya, с которой столкнулись пользователи 27 июня, пока не сообщается. Судя по масштабу заражения, вирус доработан и имеет какую-то более сложную систему распространения. На Github уже появилась ссылка на один из биткоин-кошельков, который собирает деньги с зараженных вирусом компьютеров. На момент написания текста «Медузы» на него перечислили чуть более 2300 долларов.

Наиболее простой метод защиты от Petya и аналогичных вирусов-вымогателей — не кликать на вложения в подозрительных письмах от людей, которых вы не знаете.

Кибератака 27 июня

Напомним, в Украине сегодня, 27 июня, неизвестный вирус поразил сети целого ряда крупных компаний, в том числе крупных государственных.

Киберполиция сообщила откуда взялся вирус.  Между тем, в СБУ дали первые рекомендации пользователям.