Что представляют собой программы Petya и NotPetya?
Petya и NotPetya поразили компьютеры в 2016 и 2017 годах соответственно, при этом NotPetya нанесла ущерб на миллиарды долларов. Первая версия Petya шифровала загрузочные записи, делая весь жёсткий диск недоступным, а не шифровала отдельные файлы, как обычные программы-вымогатели. Другая версия Petya была ещё опаснее, заражая загрузочные записи и шифруя документы.
Существенно модифицированная версия Petya, получившая название NotPetya, была более разрушительной и широко распространенной, чем старые версии Petya. В отличие от Petya, NotPetya могла быть кибероружием. Она преимущественно атаковала организации в Украине.
Что такое Petya?
Petya - это вредоносная программа-шифровальщик, обнаруженная исследователями в 2016 году. Его название навеяно вымышленным советским спутником из фильма о Джеймсе Бонде "Золотой глаз" (1995). Хотя скорость проникновения Petya была средней, его техника шифрования была инновационной и необычной.
Что сделал Петя?
Программа-вымогатель распространялась через фишинговые письма, содержащие PDF-файл, работающий как троянский конь. Как только кто-то активировал Petya и предоставлял ему права администратора, программа приступала к работе. После перезагрузки компьютера, подобно вирусу загрузочного сектора, она перезаписывала главную загрузочную запись (MBR), чтобы зашифровать жесткий диск. Хотя файлы на компьютере, зараженном Petya, не были зашифрованы, повреждены или потеряны, они были недоступны. Petya требовал от жертв биткойны для восстановления доступа.
В чем разница между Petya и NotPetya?
NotPetya была улучшенной версией Petya. Эксперты по кибербезопасности назвали её «NotPetya», и это имя закрепилось. Хотя и Petya, и NotPetya могут помочь киберпреступникам в запуске атаки с использованием программ-вымогателей, между ними есть значительные различия.
1. Распространение
Petya не распространился так быстро, как NotPetya, по нескольким причинам. Во-первых, он пытался обманом заставить пользователей открыть его, а многие современные пользователи компьютеров умеют распознавать приемы социальной инженерии, например фишинговые атаки. Кроме того, оригинальный вариант Petya требовал прав администратора, которыми многие опытные пользователи не обладали. С другой стороны, NotPetya распространялся быстрее благодаря бэкдорам, эксплойтам вроде Eternal Blue и уязвимостям удаленного доступа. Вы можете прочитать о EternalPetya, чтобы узнать больше о семействе вымогательских программ Petya.
2. Шифрование
Как уже упоминалось, исходная версия Petya не шифрует файлы, только загрузочную запись, чтобы предотвратить загрузку Windows. Наоборот, NotPetya зашифровывала файлы и даже повреждала некоторые носители данных. Они также различались в своих интерфейсах и сообщениях для жертв. Интересно, что второй вариант Petya, вооружённый вредоносом Mischa, также шифрует документы и не требует административных прав от жертвы.
3. Расшифровка
Многие эксперты утверждают, что злоумышленники не смогли расшифровать файлы NotPetya. Например, Национальный центр кибербезопасности Великобритании сказал: "Вредоносная программа не была рассчитана на расшифровку. Это означает, что у жертв не было возможности восстановить данные после того, как они были зашифрованы". Однако исследователи из Vice выяснили, что NotPetya hackers все-таки смогли разблокировать все файлы, зашифрованные этой программой-вымогателем.
Что это была за атака NotPetya?
NotPetya, скорее всего, была кибератакой. Кажется, что её создателей больше интересовала дестабилизация систем, чем получение доходов, и вряд ли обычные хакеры имели ресурсы или навыки для столь быстрого преобразования Petya в NotPetya.
На кого нацелился NotPetya?
Хотя NotPetya органично распространился по Европе, Азии и Северной Америке, его фактической целью, скорее всего, была Украина. NotPetya поразила правительственный, транспортный, энергетический и финансовый секторы, что привело к значительным денежным потерям и снижению производительности труда в европейской стране. Атака NotPetya также началась накануне Дня Конституции Украины.
Кто запустил NotPetya?
NotPetya имеет признаки кибервойны, спонсируемой государством. Украинские политики обвинили российские спецслужбы в создании NotPetya, и американское правительство поддержало это мнение. Кремль ответил отрицанием этих заявлений, указав, что вирус распространился также и в России. Однако национальный представитель сообщил, что в России атака не нанесла серьёзного ущерба.
Является ли NotPetya программой выкупа?
Некоторые эксперты утверждают, что NotPetya не является программой-вымогателем, поскольку её авторы могли не иметь возможности расшифровать данные. Однако ответ на вопрос «является ли NotPetya программой-вымогателем» зависит от вашей дефиниции программ-вымогателей. Можно сказать, что NotPetya — это вымогатель, вне зависимости от возможности авторов расшифровать данные, так как она предотвращает доступ к файлам или системе и требует выкуп. Аналогично, WannaCry также является видом вымогателя, хотя её авторы могли иметь возможность расшифровать данные.
Как остановить Petya
Возможно, вы читали о том, как угрозы используют уязвимости SMB для запуска атак вымогателей, таких как NotPetya и WannaCry. Загрузка новейших исправлений Windows Server Message Block (SMB) может устранить эти недостатки безопасности. Также важно использовать программное обеспечение для защиты от программ-вымогателей. Регулярное резервное копирование данных также поможет вам быть готовым к атаке ransomware.