Вірус Petya. Що це таке і як захиститися?
27 червня українські державні структури і приватні компанії потрапили під удар "вірусу-здирника" під назвою Petya.A. Кібератаки зазнав Кабінет Міністрів, "Ощадбанк", "Укренерго", "Нова пошта", аеропорт Бориспіль, Чорнобильська АЕС та інші організації. "ГОРДОН" розповідає, як працює вірус Petya.A і чи можна від нього захиститися.
Що таке Petya.A?
Це "вірус-здирник", який зашифровує дані на комп'ютері і вимагає $300 за ключ, який дає змогу їх розшифрувати. Він почав інфікувати українські комп'ютери приблизно в полудень 27 червня, а потім поширився й на інші країни: Росію, Великобританію, Францію, Іспанію, Литву тощо. На сайті Microsoft вірус зараз має "серйозний" рівень загрози.
Зараження відбувається завдяки тій же уразливості в Microsoft Windows, що і у випадку з вірусом WannaCry, який у травні уразив тисячі комп'ютерів у всьому світі і завдав компаніям понад $1 млрд збитків.
Увечері кіберполіція повідомила, що вірусна атака проходила через програму M.E.Doc, призначену для електронної звітності та документообігу. За даними правоохоронців, о 10.30 вийшло чергове оновлення M.E.Doc, за допомогою якого на комп'ютери скачували шкідливе програмне забезпечення.
У M.E.Doc обвинувачення спростували, зазначивши, що всі оновлення перевіряють великі антивірусні компанії, і розробник не отримав жодного звернення про зараження вірусом персонального комп'ютера. На офіційному сайті M.E.Doc повідомляли, що сервери розробника теж потрапили під вірусну атаку.
Petya.A – це нова модифікація криптоздирника Petya, про який було відомо ще у 2016 році (з цим не згодна "Лаборатория Касперского", яка стверджує, що віруси не пов'язані між собою).
Petya поширювали за допомогою електронної пошти, видаючи програму за резюме співробітника. Якщо людина намагалася відкрити резюме, вірус просив надати йому права адміністратора. У разі згоди користувача починалося перезавантаження комп'ютера, потім жорсткий диск шифрувався і з'являлося вікно з вимогою викупу.
Водночас сам вірус Petya мав вразливість: отримати ключ для розшифрування даних можна було за допомогою спеціальної програми. Цей метод у квітні 2016 описував редактор Geektimes Максим Агаджанов.
Проте деякі користувачі воліють платити "викуп". Згідно з даними одного з відомих гаманців Bitcoin, творці вірусу отримали 3,64 біткоіна, що відповідає приблизно $9100.
Хто потрапив під удар вірусу?
В Україні жертвами Petya.A переважно стали корпоративні клієнти: державні структури, банки, ЗМІ, енергетичні компанії та інші організації.
Серед інших, під удар потрапили підприємства "Нова пошта", "Укренерго", OTP Bank, "Ощадбанк", ДТЕК, Rozetka, "Борис", "Укрзалізниця", ТНК, "Антонов", "Епіцентр", "24 канал", а також аеропорт Бориспіль, Кабінет Міністрів України, Держфіскальна служба та інші.
Атака поширилася і на регіони. Наприклад, на Чорнобильській АЕС через кібератаку перестав працювати електронний документообіг, і станція перейшла на ручний моніторинг рівня радіації. У Харкові виявилася заблокованою робота великого супермаркету "Рост", а в аеропорту реєстрацію на рейси переведено в ручний режим.
За даними видання "Коммерсантъ", у Росії під удар потрапили компанії "Роснефть", "Башнефть", Mars, Nivea та інші.
Як захиститися від Petya.A?
Інструкції про те, як захиститися від Petya.A, опублікували Служба безпеки України і кіберполіція.
Кіберполіція радить користувачам установити оновлення Windows з офіційного сайта Microsoft, оновити або встановити антивірус, не завантажувати незнайомих файлів з електронних листів і негайно від'єднувати комп'ютер від мережі, якщо помічені порушення в роботі.
СБУ підкреслила, що в разі підозр перезавантажувати комп'ютер не можна, оскільки шифрування файлів відбувається саме під час перезавантаження. Спецслужба порекомендувала українцям зберегти цінні файли на окремий носій і зробити резервну копію операційної системи.
Експерт із кібербезпеки Влад Стиран писав у Facebook, що поширення вірусу в локальній мережі можна зупинити, заблокувавши у Windows TCP-порти 1024-1035, 135, 139 і 445. В інтернеті є інструкції про те, як це зробити.
Фахівці американської компанії Symantec зазначили, що в момент атаки Petya шукає файл С:\Windows\perfc. Якщо створити цей файл самостійно (за допомогою "Блокнота"), можна зробити вигляд, що комп'ютер уже заражений і уникнути шифрування.
Що кажуть експерти і чиновники?
Генеральний директор інтернет-магазину Rozetka Владислав Чечоткін заявив, що економічні втрати України від "вірусу-здирника" можуть бути більші, ніж "від місяця гарячої війни".
Експерт в області кібербезпеки, технічний директор компанії SHALB Володимир Цап у коментарі виданню "ГОРДОН" підкреслив, що відповідальність за наслідки кібератаки повинна нести компанія Microsoft, проти якої клієнти можуть подати позови.
"Вони не забезпечили належної якості свого коду. І якщо фірми і компанії, які купували це програмне забезпечення, зазнали фінансових утрат, вони повинні вимагати компенсації. Наприклад, якщо в машині несправні гальма, то виробник відкликає всю партію. Microsoft же продає софт і в разі виявлення помилок просто просить вибачення", – підкреслив Цап.
Прес-секретар СБУ Олена Гітлянська не виключила, що кібератака була організована з Росії або окупованих територій Донбасу. Цю версію озвучив і секретар РНБО Олександр Турчинов, зазначивши, що після первинного аналізу вірусу "можна говорити про російський слід".