Как Petya объединил Россию и Украину: что делать, если экран вашего компьютера стал черным

Рассказывает Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group IB
27/06/2017 - 23:20 (по МСК) Павел Лобков
Поддержать ДО ДЬ

Множество сайтов в России и Украине 27 июня подверглось атаке вируса Petya. На Украине это — метрополитен Киева, аэропорт Борисполь, крупнейшие банки и правительственные сайты, а также компьютеры Чернобыльской АЭС, где мониторинг радиоактивности теперь производится вручную. Служба безопасности Украины заявила о причастности России к «акту гибридной войны». Но одновременно вирус под названием Petya атаковал компьютеры и в России: в их число попали «Роснефть» и банк Home Credit. О вирусной атаке также сообщили во Франции, Испании и Индии.

О том, как возник и распространился вирус, с Дождем поговорил Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group IB.

По его словам, этот вирус не новый, и опасность для общества состоит в том, что опыт WannaCry был недостаточен для многих компаний — до сих пор аспектам информационной безопасности уделяется недостаточно внимания.  Никитин рассказал, что платить вымогателям — плохая идея: «По ключу обещают присылать код разблокировки. Однако скорее всего не пришлют ничего или пришлют неверный код».

На вопрос о том, какие меры предосторожности можно предпринять перед возможной хакерской атакой, Никитин пояснил, что стоит своевременно делать резервные копии и спокойно продолжать работать.

Полная расшифровка программы:

Насколько я понимаю, именно ваша лаборатория окрестила его Petya. В чем его особенность, почему он настолько заразен?

На самом деле вирус Petya далеко не новый, он уже существует больше года. Окрестила его так не наша лаборатория, а одна из антивирусных компаний. Это просто одна из модификаций этого вируса, то есть он давно известен. А опасность заключается в том, что, к сожалению, судя по всему, опыт Wanna Cry, скажем так, был недостаточен для многих компаний, и до сих пор аспектам информационной безопасности уделяется недостаточно пристальное внимание.

Сам вирус старый, который непосредственно шифрует файлы, это его модификация. Однако путь распространения, здесь пока что проводится исследование, какой он, это что-то новое. А на данный момент рабочая версия, что это была массовая почтовая рассылка с вредоносным вложением, которое уже после заражения скачивает этот вирус Petya и распространяется по всей сети внутри компании.

Сергей, сегодня приходили сообщения из таких мест, где раньше вирусы, в общем, такие не заводились, например, из сети харьковских супермаркетов, где все кассовые аппараты показывали одно и то же. Вообще чего вирус этот хочет? Он хочет 300 биткоинов, 300 долларов? И были ли уже оплачены кем-то эти суммы, перечислены?

Смотрите, после того, как были заражены, через 30 или 40 минут ваш компьютер перезагрузится, вам покажется черный экран с красным текстом, где вымогатель пишет номер своего биткоин-кошелька, просит 300 долларов США в биткоинах перевести туда и указывает ключ шифрования этого компьютера и адрес, куда присылать данные. По этому ключу они обещают прислать код разблокировки, однако сразу скажу из опыта таких вирусов-шифровальщик, и Petya тоже, скорее всего, злоумышленники вам не ответят и не пришлют ничего. А если пришлют, то это будет неверный код.

Сергей, скажите, пожалуйста, а может ли быть этот вирус связан с каким-то государством или террористической группировкой? Поскольку мы видим, что поражается, в отличие от вируса Wanna Cry, стратегические объекты, например, сайт кабинета министров Украины, Чернобыльская АЭС, аэропорты и даже некоторые российские банки.

На самом деле, учитывая, что пострадало огромное количество компаний из всех стран бывшего СССР, не только из России и Украины, то, судя по всему, это обыкновенные хакеры-вымогатели, не стоит искать здесь политический подтекст. Ну и сам вирус Petya используется, в основном, именно просто с целью вымогательства. А то, что пострадали такие компании, организации, просто говорит о том, что у них что-то неладно с информационной безопасностью.

Сергей, если у меня вдруг сейчас на компьютере появится эта надпись или у меня дома, или на смартфоне, не знаю, заражает ли он смартфоны, что мне в этом случае делать?

Заражает только компьютер под управлением Windows, делать, к сожалению, наверное, ничего. Надеяться, что вы своевременно делали резервные копии, откуда вы сможете восстановить свои файлы и продолжить работу.

То есть сам компьютер, его жесткий диск можно спокойно выкидывать?

Нет,  это никак не страдает, железо. То есть вы просто переустанавливаете операционную систему, начинаете жизнь с нового листа и продолжаете работать, а сами данные —  тут как раз покажут, делались ли своевременно резервные копии или нет, и если говорить про компании, то не зашифрованы ли сами резервные копии.

Возможно ли, что кто-то пытается добыть некие тайны государственные? Потому что понятно, что на сайте Чернобыльской АЭС и на сайте кабинета министров Украины, да и на сайтах многих банков они есть.

Пока что функционал вируса, который мы преследовали, ничего такого не имеет, никуда ничего не отсылает, не связывается. Он просто распространяет себя и шифрует все подряд.

А есть ли у него так называемая цифровая подпись, то, что называется fingerprint, отпечатки пальцев, что можно было говорить о каком-то следе или центре, откуда началось распространение, можно ли выяснить, в конце концов, где эта точка, откуда все пошло?

Вот это как раз сейчас в процессе исследования, но это не в самом вирусе будет, а вот как раз во вложении к письмам, которые присылались, и откуда происходила рассылка. Потому что, как я говорил, сам вирус известен давно, это просто его новая модификация. Но, опять же, сам вирус, именно Petya, могли просто купить на каком-нибудь хакерском форуме и использовать для своей атаки просто как инструмент шифрования.

Скажите, пожалуйста,  допустим, Windows 10, который сейчас, в том числе, в нашем офисе установлен, во многих других переустанавливают на Windows 10. Когда он выходил, на хакерских сайтах и на компьютерных было много замечаний по поводу возможных уязвимостей именно Windows 10. Показывают ли атаки Wanna Cry и Petya, что Windows 10, на который сейчас все в массовом порядке переходят, действительно более уязвим?

Нет, конечно, нет. Наоборот, «десятка» хотя бы достаточно жестко обновляется и заставляет обновлять пользователей. Но тут вопрос даже не в операционной системе, а в том, что, к сожалению, несмотря на регулярное информирование об угрозах, люди до сих пор открывают какие-то письма, вложения к ним, несвоевременно ставят обновления и заражаются.

Скажите, пожалуйста, антивирусные программы, например, Касперский или McAfee, или другие — помогают ли они? Или если письмо открыто, то уже все?

Наверное, прямо сейчас уже добавили этот вирус в базу сигнатур, но вот количество и успешность заражений говорит о том, что антивирусные продукты, которые стояли в этих компаниях, они не справились.

Фото:Наталья Селивестрова/РИА Новости

Другие выпуски