27 июня из различных государств стали поступать сообщения об активности вымогательской программы Petya. Вследствие кибератак пострадали организации в Великобритании, Дании, Индии, Испании, Нидерландах, России и Украине.
Сама программа Petya была обнаружена экспертами еще в начале минувшего года.
В рамках текущей киберкампании операторы вредоносного программного обеспечения шифруют файлы жертв и требуют, чтобы пострадавшие отправили письмо на адрес wowsmith123456@posteo.net для получения инструкции о выплате выкупа суммой в 300 долларов в биткоинах.
Эксперты утверждают, что применяемая хакерами версия вымогательской программы – Petya.A – осуществляет шифрование MFT (Master File Tree) для разделов NTFS, перезапись MBR (Master Boot Record), а также имеет загрузочный экран с посланием вымогателей.
Вероятно, создатели Petya решили воспользоваться наработками WannaCry, поскольку распространение этих программ осуществляется схожим образом. Эта информация подтверждается экспертами Avira, Bitdefender, Emsisoft, Payload Security и Symantec.
В отличие от WannaCry, в Petya нет механизма остановки киберкаппании, вследствие чего оперативно прекратить распространение программы будет непросто.
Несмотря на то, что ИБ-специалисты ранее взламывали шифрование Petya, однако пока что нет свидетельств уязвимости Petya.A, что позволило бы восстановить файлы без выплаты выкупа. Также представители немецкого почтового сервиса Posteo сообщили о том, что аккаунт вымогателей (wowsmith123456@posteo.net) ликвидирован. Теперь у пострадавших нет возможности выйти на связь с хакерами.
Вследствие атаки пострадало большое количество украинских организаций: «Укрэнерго», ДТЭК, аэропорт «Борисполь», Укрпочта, Киевский метрополитен, некоторые банки и СМИ. Кроме того, была остановлена работа сайта МВД Украины.
Также среди пострадавших российский концерн «Роснефть» и американская фармацевтическая корпорация Merck.
Эксперты уже отслеживают один из биткоин-кошельков вымогателей. Сообщается, что хакерам удалось получить более 9000 долларов.
Специалисты настоятельно рекомендуют установить патч MS17-010, который устраняет уязвимости, используемые для распространения WannaCry и Petya. Кроме того, эксперты Microsoft в мае текущего года выпустили экстренные патчи для устаревших операционных систем (Windows XP, 8 и Server 2003), поэтому пользователи, работающие с этими ОС, так же должны провести обновление.
Кроме того, как сообщает издание «Медуза», эксперты Symantec обнародовали собственные рекомендации по защите компьютера от вымогательской программы Petya. Для этого необходимо сделать вид, что устройство уже инфицировано. В ходе кибератаки Petya ведет поиск файла C:\Windows\perfc. При наличии такого файла на компьютере программа прекращает работу. Для создания такого файла можно применять стандартную программу «Блокнот». При этом различные источники советуют создать либо или файл без расширения, или perfc.dll. Кроме того, эксперты советуют сделать файл доступным лишь для чтения, чтобы программа не могла модифицировать его.