Обновлено 27.06 — 23:24 СЕST Выключить компьютер и не включать его снова может стать мерой, которая поможет предотвратить шифрование диска, но некоторые файлы могут быть уже зашифрованы после замены MBR, что приведет к дальнейшим попыткам заражения через сеть.
Обновлено 27.06 — 22:28 СЕST Больше невозможно произвести оплату, поскольку эл.почта для отправки ID кошелька Bitcoin и «личного инсталляционного кода» закрыта провайдером. То есть люди не должны платить выкуп, поскольку они не смогут получить код для дешифровки.
Обновлено 27.06 — 21:20 СЕST Исследователи ESET установили точку, откуда начала распространяться глобальная эпидемия. Злоумышленники успешно заразили бухгалтерское программное обеспечение M.E.Doc, популярное в различных отраслях Украины, включая финансовые учреждения. Некоторые адресаты установили зараженное трояном обновление M.E.Doc, что позволило злоумышленникам запустить массированную кампанию с целью вымогательства выкупа, которая теперь охватила всю страну и даже весь мир. M.E.Doc сегодня выпустил предупреждение на своем сайте: http://www.me-doc.com.ua/vnimaniyu-polzovateley
NВ социальных сетях появляются многочисленные свидетельства новых атак в Украине, принадлежащих к семейству Petya, который идентифицирован компанией ESET как Win32/Diskcoder.C Trojan. При успешном заражении MBR он сам может зашифровать весь диск. Другими словами, он шифрует все файлы, как Mischa.
Для распространения, вероятно, используется сочетания эксплойта SMB (EternalBlue), которым пользуется WannaCryptor для проникновения в сеть, а затем применяется PsExec для распространения в самой сети.
Эта опасная комбинация может объяснить ту скорость и масштабность распространения вируса, даже несмотря на громкие заголовки в СМИ и устранение уязвимостей. Для проникновения в сеть нужен только один незащищенный компьютер, и вредоносное ПО может получить права администратора и заразить другие компьютеры.
Например, журналист Кристиан Борис, написал в Твиттере, что кибератака, в числе прочего, «якобы» была направлена на банки, энергокомпании и почтовые учреждения. Более того, кажется, правительство тоже подверглось атаке. Борис также выставил в Твиттере изображение, выложенное в Facebook заместителем премьер-министра Украины Павло Роженко, на котором виден зараженный компьютер.
Национальный банк Украины на своем сайте выставил уведомление, предупреждающее другие банке об атаке в целях вымогательства выкупа.
В нем говорится: «В настоящее время финансовый сектор усилил меры безопасности и противодействует хакерским атакам на всех участников финансового рынка.»
Forbes заявляет, что хотя и имеется определенное сходство с WannaCryptor, а также его аналогами WannaCry-esque, вероятнее всего, речь идет о варианте Petya.
Как сообщается, изображение, похожее на то, что было обнаружено жертвами WannaCryptor о вымогательстве выкупа, гуляет по Сети; один из участников Group-IB показал следующее сообщение (перефразированное):
«Если вы видите этот текст, вы больше не имеете доступа к своим файлам, потому что они зашифрованы… Мы гарантируем, что вы можете восстановить все файлы просто и безопасно. Все, что вам нужно — перевести (300 $ в биткойнах) и выкупить код для дешифровки.
Представитель энергокомпании заявил, что на энергокомпаниях атаки не отразились, хотя, возможно, еще рано делать конкретные выводы.
Вероятно, атака в целях вымогательства выкупа не ограничится только Украиной. Газета «Independent» написала, что Испания и Индия могли также подвергнуться атаке, как это произошло с датской транспортной компанией Maersk и британским рекламным агентством WPP.
На сайте последнего имеется следующее сообщение: “Сайт WPP в настоящее время недоступен вследствие проведения важного планового обслуживания. Нормальное функционирование будет восстановлено в ближайшее время.
«Мы приносим свои извинения за любые возможные неудобства. Если Вам нужно связаться с WPP, отправьте сообщение на эл.почту редактора сайта … «
WPP подтвердило в Твиттере, что они стали жертвой атаки: «Мы подозреваем, что ИТ-системы в нескольких предприятиях WPP подверглись кибератаке. Мы принимаем соответствующие меры и будем держать вас в курсе.»
Есть свидетельства, что в ответ на атаку были произведены выплаты на этот адрес ВТС.
Для получения более подробной информации о Petya, ознакомьтесь с этим провидческим отрывком 2017 года, в котором упоминается о криптографическом ПО для вымогательства выкупа:
«Petya выбрал подход, отличный от другого криптографического ПО для получения выкупа. Вместо шифрования отдельных файлов он нацелился на файловую систему.
“Целью является главная загрузочная запись (MBR) жертвы, которая отвечает за загрузку ОС сразу после запуска системы.”
Для предотвращения подобного рода угроз мы рекомендуем постоянно обновлять систему, использовать надлежащее решение обеспечения безопасности, а также настроить сегментацию сети, что может помочь помешать распространению в самой сети.
Обновление следует.
Источник: WeLiveSecurity
Поделиться статьей