Рандомные программы Petya и NotPetya

Petya и NotPetya - это кибератаки 2016 и 2017 годов соответственно. Обе атаки были связаны с вымогательством, но NotPetya была даже более продвинутой, чем Petya.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

Что представляют собой программы Petya и NotPetya?

Petya и NotPetya поразили компьютеры в 2016 и 2017 годах соответственно, причем ущерб от последнего составил миллиарды долларов. Первый вариант Petya шифровал главную загрузочную запись, делая недоступными целые жесткие диски, а не шифровал конкретные файлы, как типичные программы-вымогатели. Другой вариант Petya оказался более опасным: он заражал загрузочные записи и шифровал документы.

Значительно модифицированная версия Petya, названная исследователями NotPetya, оказалась более разрушительной и распространенной, чем старые версии Petya. В отличие от Petya, NotPetya мог быть кибероружием. В первую очередь она поражала организации в Украине.

Что такое Petya?

Petya - это вредоносная программа-шифровальщик, обнаруженная исследователями в 2016 году. Его название навеяно вымышленным советским спутником из фильма о Джеймсе Бонде " Золотой глаз" (1995). Хотя скорость проникновения Petya была средней, его техника шифрования была инновационной и необычной.

Что сделал Петя?

Программа-вымогатель распространялась через фишинговые письма, содержащие PDF-файл, работающий как троянский конь. Как только кто-то активировал Petya и предоставлял ему права администратора, программа начинала работать. После перезагрузки компьютера, подобно вирусу загрузочного сектора, она перезаписывала главную загрузочную запись (MBR), чтобы зашифровать жесткий диск. Хотя файлы на компьютере, зараженном Petya, не были зашифрованы, повреждены или потеряны, они были недоступны. Petya требовал от жертв биткойны для восстановления доступа.

В чем разница между Petya и NotPetya?

NotPetya была усовершенствованной версией Petya. Эксперты по кибербезопасности назвали его NotPetya, и это название прижилось. Хотя и Petya, и NotPetya могут помочь киберпреступникам организовать атаку с выкупом, между ними есть ряд существенных различий.

1. Распространение

Petya не распространился так быстро, как NotPetya, по нескольким причинам. Во-первых, он пытался обманом заставить пользователей открыть его, а многие современные пользователи компьютеров умеют распознавать приемы социальной инженерии, например фишинговые атаки. Кроме того, оригинальный вариант Petya требовал прав администратора, которыми многие опытные пользователи не обладали. С другой стороны, NotPetya распространялся быстрее благодаря бэкдорам, эксплойтам вроде Eternal Blue и уязвимостям удаленного доступа. Вы можете прочитать о EternalPetya, чтобы узнать больше о семействе вымогательских программ Petya.

2. Шифрование

Как уже упоминалось выше, оригинальная версия Petya не шифрует файлы, а только загрузочную запись, чтобы жертвы не смогли загрузить Windows. NotPetya, напротив, шифрует файлы и даже повреждает некоторые накопители. Эти два вируса также отличаются друг от друга отображением и сообщениями для своих целей. Интересно, что второй вариант Petya, оснащенный полезной нагрузкой Mischa, также шифрует документы и не требует административных прав от жертвы.

3. Расшифровка

Многие эксперты утверждают, что злоумышленники не смогли расшифровать файлы NotPetya. Например, британский Национальный центр кибербезопасности Security сказал: "Вредоносная программа не была рассчитана на расшифровку. Это означает, что у жертв не было возможности восстановить данные после их шифрования". Однако исследователи из Vice выяснили, что хакеры NotPetya все-таки смогли разблокировать все файлы, зашифрованные выкупной программой.

Что это была за атака NotPetya?

NotPetya, скорее всего, была кибератакой. Его авторы, похоже, были больше заинтересованы в нарушении работы систем, чем в получении прибыли, и маловероятно, что у мелких хакеров хватило ресурсов или навыков, чтобы так быстро превратить Petya в NotPetya.

На кого нацелился NotPetya?

Хотя NotPetya органично распространился по Европе, Азии и Северной Америке, его фактической целью, скорее всего, была Украина. NotPetya поразила правительственный, транспортный, энергетический и финансовый секторы, что привело к значительным денежным потерям и снижению производительности труда в европейской стране. Атака NotPetya также началась накануне Дня Конституции Украины.

Кто запустил NotPetya?

NotPetya имеет признаки кибервойны, спонсируемой государством. Украинские политики возложили ответственность за NotPetya на российские спецслужбы, и американское правительство согласилось с ними. Кремль в ответ опроверг эти заявления и указал на то, что вымогательская программа распространилась и в России. Однако пресс-секретарь страны заявил, что атака не нанесла серьезного ущерба России.  

Является ли NotPetya программой выкупа?

Некоторые эксперты утверждают, что NotPetya не является программой-выкупом, поскольку ее авторы, возможно, не имеют возможности расшифровать компьютеры. Но ответ на вопрос "Является ли NotPetya вымогательским ПО" зависит от вашего определения вымогательского ПО. Можно сказать, что NotPetya - это программа-вымогатель, независимо от способности ее авторов расшифровывать компьютеры, поскольку она не позволяет пользователям получить доступ к своим файлам или системе и требует выкуп. Аналогично, WannaCry также является вымогательским ПО, несмотря на то что его авторы могут расшифровывать компьютеры.

Как остановить Petya

Возможно, вы читали о том , как угрозы используют уязвимости SMB для запуска атак с выкупом, таких как NotPetya и WannaCry. Загрузка новейших исправлений Windows Server Message Block (SMB) может устранить эти недостатки безопасности. Также важно использовать программное обеспечение для защиты от программ-вымогателей. Регулярное резервное копирование данных также поможет вам быть готовым к атаке ransomware.