Petya (malware) — различия между версиями

Материал из Национальной библиотеки им. Н. Э. Баумана
(Исправлены источники)
(не показана одна промежуточная версия этого же участника)
Строка 20: Строка 20:
 
}}
 
}}
  
'''Petya''' (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением [[Microsoft Windows]]. Первые разновидности вируса были обнаружены в марте 2016 года.<ref group=""> Petya ransomware eats your hard drives // Kaspersky Lab. URL: https://www.kaspersky.com/blog/petya-ransomware/11715/ (дата обращения: 23.04.2019).</ref> Вредоносная программа нацелена на системы Microsoft Windows, заражая главную загрузочную запись для выполнения полезной нагрузки, которая шифрует таблицу файловой системы жесткого диска и предотвращает загрузку Windows. Впоследствии он требует, чтобы пользователь сделал платеж в Биткойне, чтобы восстановить доступ к системе.
+
'''Petya''' (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением [[Microsoft Windows]]. Первые разновидности вируса были обнаружены в марте 2016 года<ref name="refs 1" group="Источник"> Petya ransomware eats your hard drives // Kaspersky Lab. URL: https://www.kaspersky.com/blog/petya-ransomware/11715/ (дата обращения: 23.04.2019).</ref>. Вредоносная программа нацелена на системы Microsoft Windows, заражая главную загрузочную запись для выполнения полезной нагрузки, которая шифрует таблицу файловой системы жесткого диска и предотвращает загрузку Windows. Впоследствии он требует, чтобы пользователь сделал платеж в Биткойне, чтобы восстановить доступ к системе.
  
 
В июне 2017 года новый вариант Petya был использован для глобальной кибератаки, в первую очередь на Украину . Новый вариант распространяется с помощью эксплойта EternalBlue, который, как считается, был разработан США . Агентство национальной безопасности (АНБ), и был использован в начале года WannaCry вымогателей. Лаборатория Касперского назвала новую версию NotPetya отличить его от вариантов 2016 года, из-за этих отличий в эксплуатации. Кроме того, хотя он претендует на вымогателей, этот вариант был изменен так, что он не может фактически вернуть свои собственные изменения.
 
В июне 2017 года новый вариант Petya был использован для глобальной кибератаки, в первую очередь на Украину . Новый вариант распространяется с помощью эксплойта EternalBlue, который, как считается, был разработан США . Агентство национальной безопасности (АНБ), и был использован в начале года WannaCry вымогателей. Лаборатория Касперского назвала новую версию NotPetya отличить его от вариантов 2016 года, из-за этих отличий в эксплуатации. Кроме того, хотя он претендует на вымогателей, этот вариант был изменен так, что он не может фактически вернуть свои собственные изменения.
  
 
==История==
 
==История==
Вирус Petya  был обнаружен в марте 2016 года. Check Point отметила, что несмотря на то, что Petya заразил меньше компьютеров, чем другое вирусы-вымогатели 2016 года, его поведения значительно отличалось от остальных, что делает его следующим шагом в развитии вымогателей.<ref group=""> Decrypting the Petya Ransomware //Check Point Blog.  URL: https://blog.checkpoint.com/2016/04/11/decrypting-the-petya-ransomware/ (дата обращения: 23.04.2019).</ref> Для восстановления доступа к файлам программе требовалось перевести на счет злоумышленников 0,9 биткоина (около $ 380 на тот момент). Другую разновидность обнаружили в мае этого же года. Он содержал дополнительную полезную нагрузку: если вирус не может получить права администратора для перезаписи MBR, а затем MFT, он устанавливает другую вредоносную программу на зараженный компьютер-Mischa, которая шифрует файлы пользователя напрямую, а затем требует выкупа в размере 1,93 биткойнов ($ 875 на тот момент).
+
Вирус Petya  был обнаружен в марте 2016 года. Check Point отметила, что несмотря на то, что Petya заразил меньше компьютеров, чем другое вирусы-вымогатели 2016 года, его поведения значительно отличалось от остальных, что делает его следующим шагом в развитии вымогателей<ref name="refs 2" group="Источник"> Decrypting the Petya Ransomware //Check Point Blog.  URL: https://blog.checkpoint.com/2016/04/11/decrypting-the-petya-ransomware/ (дата обращения: 23.04.2019).</ref>. Для восстановления доступа к файлам программе требовалось перевести на счет злоумышленников 0,9 биткоина (около $ 380 на тот момент). Другую разновидность обнаружили в мае этого же года. Он содержал дополнительную полезную нагрузку: если вирус не может получить права администратора для перезаписи MBR, а затем MFT, он устанавливает другую вредоносную программу на зараженный компьютер-Mischa, которая шифрует файлы пользователя напрямую, а затем требует выкупа в размере 1,93 биткойнов ($ 875 на тот момент).
  
 
Корпорация Майкрософт выпустила исправления для поддерживаемых версий Windows в марте 2017 года для устранения уязвимости EternalBlue. За этим последовали исправления для неподдерживаемых версий Windows (например, Windows XP ) в мае 2017 года, сразу после WannaCry.  
 
Корпорация Майкрософт выпустила исправления для поддерживаемых версий Windows в марте 2017 года для устранения уязвимости EternalBlue. За этим последовали исправления для неподдерживаемых версий Windows (например, Windows XP ) в мае 2017 года, сразу после WannaCry.  
Строка 31: Строка 31:
 
27 июня 2017 года началась крупная кибератака (украинские компании одними из первых заявили, что подверглись атаке) с использованием нового варианта Petya. Касперский окрестил этот вариант "NotPetya", так как он имеет существенные отличия в своей работе по сравнению с более ранними вариантами.По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия вируса была разработана так, чтобы распространяться максимально быстро. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc. В тот день "Лаборатория Касперского" сообщила об инцидентах заражения во Франции, Германии, Италии, Польше, Великобритании и США, но большинство атак было совершено на компании России и Украины .Атаке подверглись энергетические компании, банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней. Президент России Владимир Путин заявил Дмитрию Пескову, что теракт не причинил серьезного ущерба России.
 
27 июня 2017 года началась крупная кибератака (украинские компании одними из первых заявили, что подверглись атаке) с использованием нового варианта Petya. Касперский окрестил этот вариант "NotPetya", так как он имеет существенные отличия в своей работе по сравнению с более ранними вариантами.По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия вируса была разработана так, чтобы распространяться максимально быстро. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc. В тот день "Лаборатория Касперского" сообщила об инцидентах заражения во Франции, Германии, Италии, Польше, Великобритании и США, но большинство атак было совершено на компании России и Украины .Атаке подверглись энергетические компании, банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней. Президент России Владимир Путин заявил Дмитрию Пескову, что теракт не причинил серьезного ущерба России.
  
Считалось, что механизм обновления программного обеспечения была скомпрометирована для распространения вредоносного ПО. Анализ ESET обнаружил, что бэкдор присутствовал в системе обновления по крайней мере за шесть недель до атаки, описывая его как "тщательно спланированную и хорошо выполненную операцию".Разработчики M.E.Doc отрицали, что они несут полную ответственность за кибератаку, заявляя, что они тоже были жертвами.<ref group=""> A new ransomware outbreak similar to WCry is shutting down computers worldwide //  Ars Technica. URL: https://arstechnica.com/information-technology/2017/06/a-new-ransomware-outbreak-similar-to-wcry-is-shutting-down-computers-worldwide/ (дата обращения: 23.04.2019).</ref>
+
Считалось, что механизм обновления программного обеспечения была скомпрометирована для распространения вредоносного ПО. Анализ ESET обнаружил, что бэкдор присутствовал в системе обновления по крайней мере за шесть недель до атаки, описывая его как "тщательно спланированную и хорошо выполненную операцию".Разработчики M.E.Doc отрицали, что они несут полную ответственность за кибератаку, заявляя, что они тоже были жертвами<ref name="refs 3" group="Источник"> A new ransomware outbreak similar to WCry is shutting down computers worldwide //  Ars Technica. URL: https://arstechnica.com/information-technology/2017/06/a-new-ransomware-outbreak-similar-to-wcry-is-shutting-down-computers-worldwide/ (дата обращения: 23.04.2019).</ref>.
  
 
4 июля 2017 года подразделение по борьбе с киберпреступностью Украины захватило серверы компании после обнаружения "новой активности", которая приведет к неконтролируемому распространению вредоносных программ. Полиция Украины посоветовала M.E.Doc пользователям перестать использовать программное обеспечение, так как предполагалось, что бэкдор все еще присутствует.  Анализ изъятых серверов показал, что обновления программного обеспечения не применялись с 2013 года, имеются доказательства российского присутствия, а учетная запись сотрудника на серверах была скомпрометирована.
 
4 июля 2017 года подразделение по борьбе с киберпреступностью Украины захватило серверы компании после обнаружения "новой активности", которая приведет к неконтролируемому распространению вредоносных программ. Полиция Украины посоветовала M.E.Doc пользователям перестать использовать программное обеспечение, так как предполагалось, что бэкдор все еще присутствует.  Анализ изъятых серверов показал, что обновления программного обеспечения не применялись с 2013 года, имеются доказательства российского присутствия, а учетная запись сотрудника на серверах была скомпрометирована.
Строка 39: Строка 39:
 
Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись — первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0×22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0×07.
 
Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись — первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0×22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0×07.
  
При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16.242, загружая вредоносный файл Myguy.xls в корень диска <code>С:\</code>.<ref group=""> Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).</ref> После загрузки происходят следующие операции:
+
При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16.242, загружая вредоносный файл Myguy.xls в корень диска <code>С:\</code><ref name="refs 4" group="Источник"> Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).</ref>. После загрузки происходят следующие операции:
 
*открытие вредоносного файла с помощью утилиты <code>С:\Windows\System32\mshta.exe</code>;
 
*открытие вредоносного файла с помощью утилиты <code>С:\Windows\System32\mshta.exe</code>;
 
*загрузка шифровальщика по адресу french-cooking.com;
 
*загрузка шифровальщика по адресу french-cooking.com;
Строка 49: Строка 49:
 
В случае, если вирусу не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске, за исключением системной директории Windows, а также папок, содержащих файлы браузеров (в отличие от WannaCry, который сканировал систему и шифровал файлы определенных форматов), аналогично поведению старого вымогателя Mischa — данное поведение было замечено в лабораторных исследованиях, подавляющее большинство жертв подвергались полному шифрованию диска и блокированию доступа в систему после перезагрузки.
 
В случае, если вирусу не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске, за исключением системной директории Windows, а также папок, содержащих файлы браузеров (в отличие от WannaCry, который сканировал систему и шифровал файлы определенных форматов), аналогично поведению старого вымогателя Mischa — данное поведение было замечено в лабораторных исследованиях, подавляющее большинство жертв подвергались полному шифрованию диска и блокированию доступа в систему после перезагрузки.
  
В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300  для получения ключа разблокировки файлов, как показано на рисунке 1. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме — некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.<ref group=""> Petya/GoldenEye
+
В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300  для получения ключа разблокировки файлов, как показано на рисунке 1. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме — некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов<ref name="refs 5" group="Источник"> Petya/GoldenEye
Вирус-вымогатель // tadviser. URL: http://www.tadviser.ru/index.php/Статья:Petya/ExPetr/GoldenEye_(вирус-вымогатель)#.D0.9F.D1.80.D0.B8.D0.BD.D1.86.D0.B8.D0.BF_.D0.B4.D0.B5.D0.B9.D1.81.D1.82.D0.B2.D0.B8.D1.8F_Petya (дата обращения: 23.04.2019).</ref>
+
Вирус-вымогатель // tadviser. URL: http://www.tadviser.ru/index.php/Статья:Petya/ExPetr/GoldenEye_(вирус-вымогатель)#.D0.9F.D1.80.D0.B8.D0.BD.D1.86.D0.B8.D0.BF_.D0.B4.D0.B5.D0.B9.D1.81.D1.82.D0.B2.D0.B8.D1.8F_Petya (дата обращения: 23.04.2019).</ref>.
  
 
===Распространение===
 
===Распространение===
Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI — это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен. <ref group=""> Все, что вы хотели узнать о NotPetya, но боялись спросить // positive technologies. URL: https://www.ptsecurity.com/ru-ru/about/news/283092/ (дата обращения: 23.04.2019).</ref>
+
Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI — это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен<ref name="refs 6" group="Источник"> Все, что вы хотели узнать о NotPetya, но боялись спросить // positive technologies. URL: https://www.ptsecurity.com/ru-ru/about/news/283092/ (дата обращения: 23.04.2019).</ref>.
  
 
===Смягчение угроз===
 
===Смягчение угроз===
Было обнаружено, что можно остановить процесс шифрования, если зараженный компьютер немедленно завершает работу, когда появляется экран chkdsk, и аналитик безопасности предложил, что создание файлов с именем <code>perf.c</code> и <code>perfc.dat</code> в каталоге установки Windows может предотвратить полезную нагрузку текущего напряжения от выполнения. <ref group=""> Security researcher creates 'vaccine' against ransomware attack // The Telegraph. URL: https://www.telegraph.co.uk/technology/2017/06/28/security-researcher-creates-vaccine-against-ransomware-attack/ (дата обращения: 23.04.2019).</ref>
+
Было обнаружено, что можно остановить процесс шифрования, если зараженный компьютер немедленно завершает работу, когда появляется экран chkdsk, и аналитик безопасности предложил, что создание файлов с именем <code>perf.c</code> и <code>perfc.dat</code> в каталоге установки Windows может предотвратить полезную нагрузку текущего напряжения от выполнения<ref name="refs 7" group="Источник"> Security researcher creates 'vaccine' against ransomware attack // The Telegraph. URL: https://www.telegraph.co.uk/technology/2017/06/28/security-researcher-creates-vaccine-against-ransomware-attack/ (дата обращения: 23.04.2019).</ref>.
  
 
==Цели атаки==
 
==Цели атаки==
Имеется ряд гипотез, какой была основная цель атаки. Основными являются следующие<ref group=""> Чего на самом деле хотел вирус Petya. Пять главных версий //strana.ua. URL: https://strana.ua/articles/analysis/79587-chego-hotel-virus-petya-vse-versii.html (дата обращения: 23.04.2019).</ref>:
+
Имеется ряд гипотез, какой была основная цель атаки. Основными являются следующие<ref name="refs 8" group="Источник"> Чего на самом деле хотел вирус Petya. Пять главных версий //strana.ua. URL: https://strana.ua/articles/analysis/79587-chego-hotel-virus-petya-vse-versii.html (дата обращения: 23.04.2019).</ref>:
 
# '''Деньги'''
 
# '''Деньги'''
 
#'''Удар по экономике Украины'''. Три четверти всех заражений пришлись на Украину, где вирус заразил около 13 тысяч компьютеров на базе Windows.
 
#'''Удар по экономике Украины'''. Три четверти всех заражений пришлись на Украину, где вирус заразил около 13 тысяч компьютеров на базе Windows.
Строка 66: Строка 66:
 
#'''Проверка на прочность'''. Данная гипотеза стала следствием предыдущей. Обычно вредоносное программное обеспечение в фоновом режиме отправляет данные с пораженного компьютера хакерам, и рядовой пользователь при этом ничего не замечает. Однако Petya громко заявил о себе, что похоже на "показательное выступление".
 
#'''Проверка на прочность'''. Данная гипотеза стала следствием предыдущей. Обычно вредоносное программное обеспечение в фоновом режиме отправляет данные с пораженного компьютера хакерам, и рядовой пользователь при этом ничего не замечает. Однако Petya громко заявил о себе, что похоже на "показательное выступление".
  
По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба. В пользу этого говорит тот факт, что версия вируса 2017 года  не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем. На это указывает слабый механизм вымогательства: единственный адрес плохо зашифрован, то есть движение денег можно отследить.<ref group=""> What is the Petya ransomware attack, and how can it be stopped? // The Guardian. URL: https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how (дата обращения: 23.04.2019).</ref> Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.
+
По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба. В пользу этого говорит тот факт, что версия вируса 2017 года  не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем. На это указывает слабый механизм вымогательства: единственный адрес плохо зашифрован, то есть движение денег можно отследить<ref name="refs 9" group="Источник"> What is the Petya ransomware attack, and how can it be stopped? // The Guardian. URL: https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how (дата обращения: 23.04.2019).</ref>. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.
  
 
==Что делать при заражении?==
 
==Что делать при заражении?==
Ни в коем случае нельзя переводить деньги на счет злоумышленников. При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО<ref group=""> Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).</ref>:
+
Ни в коем случае нельзя переводить деньги на счет злоумышленников. При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО<ref name="refs 10" group="Источник"> Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).</ref>:
  
 
*Отключить зараженную машину от локальной сети;
 
*Отключить зараженную машину от локальной сети;
Строка 80: Строка 80:
  
 
==Защита==
 
==Защита==
Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.<ref group=""> Как защитить компьютер Windows от вируса Petya (NotPetya) // comss. URL: https://www.comss.ru/page.php?id=4200 (дата обращения: 23.04.2019).</ref>
+
Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry<ref name="refs 11" group="Источник"> Как защитить компьютер Windows от вируса Petya (NotPetya) // comss. URL: https://www.comss.ru/page.php?id=4200 (дата обращения: 23.04.2019).</ref>.
  
 
Анализируя внутреннюю работу шифровальщика, исследователь безопасности из компании Cybereason Амит Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.
 
Анализируя внутреннюю работу шифровальщика, исследователь безопасности из компании Cybereason Амит Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.
Строка 90: Строка 90:
  
 
==Название==
 
==Название==
Предполагают, что создатели вируса назвали его в честь российского спутника  "Петя" из фильма "Золотой глаз"(Golden Eye), где по сюжету "Петя" и "Миша" (Mischa) являлись электромагнитным оружием, которое выводило из строя электронику. <ref group=""> Это Petya, скинь выкуп // Lenta.ru. URL: https://lenta.ru/articles/2017/06/27/petya_a/ (дата обращения: 23.04.2019).</ref> Аккаунт в Twitter, который, как предположил Хейз, мог принадлежать автору вредоносного ПО , названного "Janus Cybercrime Solutions" после преступной группы Алека Тревельяна в GoldenEye , имел Аватар с изображением персонажа GoldenEye Бориса Гришенко, русского хакера и антагониста в фильме, сыгранном шотландским актером Аланом Каммингом.<ref group=""> Petya, Mischa, Goldeneye: Die Erpresser sind Nerds // heize online. URL: https://www.heise.de/newsticker/meldung/Petya-Mischa-Goldeneye-Die-Erpresser-sind-Nerds-3571937.html (дата обращения: 23.04.2019).</ref>
+
Предполагают, что создатели вируса назвали его в честь российского спутника  "Петя" из фильма "Золотой глаз"(Golden Eye), где по сюжету "Петя" и "Миша" (Mischa) являлись электромагнитным оружием, которое выводило из строя электронику<ref name="refs 12" group="Источник"> Это Petya, скинь выкуп // Lenta.ru. URL: https://lenta.ru/articles/2017/06/27/petya_a/ (дата обращения: 23.04.2019).</ref>. Аккаунт в Twitter, который, как предположил Хейз, мог принадлежать автору вредоносного ПО , названного "Janus Cybercrime Solutions" после преступной группы Алека Тревельяна в GoldenEye , имел Аватар с изображением персонажа GoldenEye Бориса Гришенко, русского хакера и антагониста в фильме, сыгранном шотландским актером Аланом Каммингом<ref name="refs 13" group="Источник"> Petya, Mischa, Goldeneye: Die Erpresser sind Nerds // heize online. URL: https://www.heise.de/newsticker/meldung/Petya-Mischa-Goldeneye-Die-Erpresser-sind-Nerds-3571937.html (дата обращения: 23.04.2019).</ref>.
  
 
==Источники==
 
==Источники==
{{reflist|group=""}}
+
{{reflist|group=Источник}}

Версия 01:39, 15 июня 2019

Petya
Petya.svg
Экран при заражении вирусом
Technical name Petya.A, Petya.C
Aliases GoldenEye, NotPetya, ExPetr
Family Шифрующие вымогатели
Classification Троянский конь
Type Вирус-вымогатель
Subtype Криптовирус
Operating system(s) affected Windows

Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[Источник 1]. Вредоносная программа нацелена на системы Microsoft Windows, заражая главную загрузочную запись для выполнения полезной нагрузки, которая шифрует таблицу файловой системы жесткого диска и предотвращает загрузку Windows. Впоследствии он требует, чтобы пользователь сделал платеж в Биткойне, чтобы восстановить доступ к системе.

В июне 2017 года новый вариант Petya был использован для глобальной кибератаки, в первую очередь на Украину . Новый вариант распространяется с помощью эксплойта EternalBlue, который, как считается, был разработан США . Агентство национальной безопасности (АНБ), и был использован в начале года WannaCry вымогателей. Лаборатория Касперского назвала новую версию NotPetya отличить его от вариантов 2016 года, из-за этих отличий в эксплуатации. Кроме того, хотя он претендует на вымогателей, этот вариант был изменен так, что он не может фактически вернуть свои собственные изменения.

История

Вирус Petya был обнаружен в марте 2016 года. Check Point отметила, что несмотря на то, что Petya заразил меньше компьютеров, чем другое вирусы-вымогатели 2016 года, его поведения значительно отличалось от остальных, что делает его следующим шагом в развитии вымогателей[Источник 2]. Для восстановления доступа к файлам программе требовалось перевести на счет злоумышленников 0,9 биткоина (около $ 380 на тот момент). Другую разновидность обнаружили в мае этого же года. Он содержал дополнительную полезную нагрузку: если вирус не может получить права администратора для перезаписи MBR, а затем MFT, он устанавливает другую вредоносную программу на зараженный компьютер-Mischa, которая шифрует файлы пользователя напрямую, а затем требует выкупа в размере 1,93 биткойнов ($ 875 на тот момент).

Корпорация Майкрософт выпустила исправления для поддерживаемых версий Windows в марте 2017 года для устранения уязвимости EternalBlue. За этим последовали исправления для неподдерживаемых версий Windows (например, Windows XP ) в мае 2017 года, сразу после WannaCry.

27 июня 2017 года началась крупная кибератака (украинские компании одними из первых заявили, что подверглись атаке) с использованием нового варианта Petya. Касперский окрестил этот вариант "NotPetya", так как он имеет существенные отличия в своей работе по сравнению с более ранними вариантами.По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия вируса была разработана так, чтобы распространяться максимально быстро. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc. В тот день "Лаборатория Касперского" сообщила об инцидентах заражения во Франции, Германии, Италии, Польше, Великобритании и США, но большинство атак было совершено на компании России и Украины .Атаке подверглись энергетические компании, банки, аэропорт Харькова, Чернобыльская АЭС, правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней. Президент России Владимир Путин заявил Дмитрию Пескову, что теракт не причинил серьезного ущерба России.

Считалось, что механизм обновления программного обеспечения была скомпрометирована для распространения вредоносного ПО. Анализ ESET обнаружил, что бэкдор присутствовал в системе обновления по крайней мере за шесть недель до атаки, описывая его как "тщательно спланированную и хорошо выполненную операцию".Разработчики M.E.Doc отрицали, что они несут полную ответственность за кибератаку, заявляя, что они тоже были жертвами[Источник 3].

4 июля 2017 года подразделение по борьбе с киберпреступностью Украины захватило серверы компании после обнаружения "новой активности", которая приведет к неконтролируемому распространению вредоносных программ. Полиция Украины посоветовала M.E.Doc пользователям перестать использовать программное обеспечение, так как предполагалось, что бэкдор все еще присутствует. Анализ изъятых серверов показал, что обновления программного обеспечения не применялись с 2013 года, имеются доказательства российского присутствия, а учетная запись сотрудника на серверах была скомпрометирована.

Описание

Рисунок 1 – Экран после шифрования

Принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись — первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0×22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0×07.

При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16.242, загружая вредоносный файл Myguy.xls в корень диска С:\[Источник 4]. После загрузки происходят следующие операции:

  • открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe;
  • загрузка шифровальщика по адресу french-cooking.com;
  • на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta
  • подключение зараженного компьютера к адресам 111.90.139.247, coffeeinoffice.xyz;
  • распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
  • заражение MBR (главной загрузочной записи Windows).

В случае, если вирусу не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске, за исключением системной директории Windows, а также папок, содержащих файлы браузеров (в отличие от WannaCry, который сканировал систему и шифровал файлы определенных форматов), аналогично поведению старого вымогателя Mischa — данное поведение было замечено в лабораторных исследованиях, подавляющее большинство жертв подвергались полному шифрованию диска и блокированию доступа в систему после перезагрузки.

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 для получения ключа разблокировки файлов, как показано на рисунке 1. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме — некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов[Источник 5].

Распространение

Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI — это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен[Источник 6].

Смягчение угроз

Было обнаружено, что можно остановить процесс шифрования, если зараженный компьютер немедленно завершает работу, когда появляется экран chkdsk, и аналитик безопасности предложил, что создание файлов с именем perf.c и perfc.dat в каталоге установки Windows может предотвратить полезную нагрузку текущего напряжения от выполнения[Источник 7].

Цели атаки

Имеется ряд гипотез, какой была основная цель атаки. Основными являются следующие[Источник 8]:

  1. Деньги
  2. Удар по экономике Украины. Три четверти всех заражений пришлись на Украину, где вирус заразил около 13 тысяч компьютеров на базе Windows.
  3. Кража имущества .Так как многие (в т.ч. нотариальные и банковские)системы вышли из строя, злоумышленники могли воспользоваться этим с целью кражи денежных средств и имущества.
  4. Шпионаж. После очистки компьютера от вируса-шифровальщика и возобновления работы, на компьютерах остался вредоносный код типа Троян с функцией проверки открытых портов для обмена данными.
  5. Проверка на прочность. Данная гипотеза стала следствием предыдущей. Обычно вредоносное программное обеспечение в фоновом режиме отправляет данные с пораженного компьютера хакерам, и рядовой пользователь при этом ничего не замечает. Однако Petya громко заявил о себе, что похоже на "показательное выступление".

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба. В пользу этого говорит тот факт, что версия вируса 2017 года не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем. На это указывает слабый механизм вымогательства: единственный адрес плохо зашифрован, то есть движение денег можно отследить[Источник 9]. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Что делать при заражении?

Ни в коем случае нельзя переводить деньги на счет злоумышленников. При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО[Источник 10]:

  • Отключить зараженную машину от локальной сети;
  • При заражении MBR в отдельных случаях удается восстановиться с помощью bootrec /RebuildBcd, bootrec /fixMbr, bootrec /fixboot;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диск. В случае появления дешифратора, данные можно будет восстановить.;
  • Загрузиться с загрузочного диска / флешки, установить систему, полностью отформатировав зашифрованный жесткий диск;
  • Установить актуальные обновления безопасности Windows (обязательна установка KB4013389);
  • Установить антивирусное ПО, обновить базу данных сигнатур;
  • Восстановить данные из резервной копии.

Защита

Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry[Источник 11].

Анализируя внутреннюю работу шифровальщика, исследователь безопасности из компании Cybereason Амит Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске. Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:\Windows и установите уровень доступа “Только чтение”. Для этого необходимо выполнить следующие действия:

  1. Включить отображение расширений файлов в Проводнике Windows на вкладке Вид. В Параметры папок > Вид должна быть отключена опция Скрывать расширения для зарегистрированных типов файлов.
  2. Открыть папку C:\Windows и cоздать файл perfc.
  3. Установить атрибут доступа “Только чтение” в Свойства
  4. Для надежности вакцинации аналогичным образом создать файлы C:\Windows\perfc.dat и C:\Windows\perfc.dll.

Название

Предполагают, что создатели вируса назвали его в честь российского спутника "Петя" из фильма "Золотой глаз"(Golden Eye), где по сюжету "Петя" и "Миша" (Mischa) являлись электромагнитным оружием, которое выводило из строя электронику[Источник 12]. Аккаунт в Twitter, который, как предположил Хейз, мог принадлежать автору вредоносного ПО , названного "Janus Cybercrime Solutions" после преступной группы Алека Тревельяна в GoldenEye , имел Аватар с изображением персонажа GoldenEye Бориса Гришенко, русского хакера и антагониста в фильме, сыгранном шотландским актером Аланом Каммингом[Источник 13].

Источники

  1. Petya ransomware eats your hard drives // Kaspersky Lab. URL: https://www.kaspersky.com/blog/petya-ransomware/11715/ (дата обращения: 23.04.2019).
  2. Decrypting the Petya Ransomware //Check Point Blog. URL: https://blog.checkpoint.com/2016/04/11/decrypting-the-petya-ransomware/ (дата обращения: 23.04.2019).
  3. A new ransomware outbreak similar to WCry is shutting down computers worldwide // Ars Technica. URL: https://arstechnica.com/information-technology/2017/06/a-new-ransomware-outbreak-similar-to-wcry-is-shutting-down-computers-worldwide/ (дата обращения: 23.04.2019).
  4. Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).
  5. Petya/GoldenEye Вирус-вымогатель // tadviser. URL: http://www.tadviser.ru/index.php/Статья:Petya/ExPetr/GoldenEye_(вирус-вымогатель)#.D0.9F.D1.80.D0.B8.D0.BD.D1.86.D0.B8.D0.BF_.D0.B4.D0.B5.D0.B9.D1.81.D1.82.D0.B2.D0.B8.D1.8F_Petya (дата обращения: 23.04.2019).
  6. Все, что вы хотели узнать о NotPetya, но боялись спросить // positive technologies. URL: https://www.ptsecurity.com/ru-ru/about/news/283092/ (дата обращения: 23.04.2019).
  7. Security researcher creates 'vaccine' against ransomware attack // The Telegraph. URL: https://www.telegraph.co.uk/technology/2017/06/28/security-researcher-creates-vaccine-against-ransomware-attack/ (дата обращения: 23.04.2019).
  8. Чего на самом деле хотел вирус Petya. Пять главных версий //strana.ua. URL: https://strana.ua/articles/analysis/79587-chego-hotel-virus-petya-vse-versii.html (дата обращения: 23.04.2019).
  9. What is the Petya ransomware attack, and how can it be stopped? // The Guardian. URL: https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how (дата обращения: 23.04.2019).
  10. Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины // habr. URL: https://habr.com/ru/company/infosecurity/blog/331788/ (дата обращения: 23.04.2019).
  11. Как защитить компьютер Windows от вируса Petya (NotPetya) // comss. URL: https://www.comss.ru/page.php?id=4200 (дата обращения: 23.04.2019).
  12. Это Petya, скинь выкуп // Lenta.ru. URL: https://lenta.ru/articles/2017/06/27/petya_a/ (дата обращения: 23.04.2019).
  13. Petya, Mischa, Goldeneye: Die Erpresser sind Nerds // heize online. URL: https://www.heise.de/newsticker/meldung/Petya-Mischa-Goldeneye-Die-Erpresser-sind-Nerds-3571937.html (дата обращения: 23.04.2019).