Эксперты разработчика программного обеспечения в сфере информационной безопасности Positive Technologies обнаружили способ локально остановить распространение нового вируса-вымогателя. Как рассказали ТАСС в компании, в ходе исследования образца вируса Petya, атаковавшего компьютеры 27 июня, специалисты обнаружили особенность, которая позволяет выключить вирус.
По данным Positive Technologies, вирус Petya воздействует на главную загрузочную запись (MBR - код, который нужен для последующей загрузки операционной системы) загрузочного сектора диска: вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через 1-2 часа, а после перезагрузки вместо операционной системы запускается вредоносный код, Однако, если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее, отметили в Positive Technologies. Однако в этом случае файлы все равно останутся зашифрованы, для их расшифровки требуется знание специального ключа.
Локально отключить шифровальщик можно, создав файл "C:\Windows\perfc", отмечают эксперты Positive Texhnologies. Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.
"Таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование", - отмечают эксперты Positive Technologies.
В том случае, если у вируса нет прав администратора, он не сможет проверить наличие пустого файла в папке "C:\Windows\". Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Превентивные меры
Чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях.
Если заражение уже произошло, платить злоумышленникам не стоит.
"Почтовый адрес нарушителей был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен", - отметили в Positive Technologies.
Для предотвращения распространения шифровальщика в сети эксперты рекомендуют выключить другие компьютеры, которые не были заражены и отключить от сети зараженные узлы. Также следует сохранить образы скомпрометированных систем, и если исследователи найдут способ расшифрования файлов, то заблокированные данные можно будет восстановить в будущем.
Новый Petya атаковал весь мир
27 июня вирус-вымогатель, блокирующий доступ к данным и требующий деньги за разблокировку, атаковал десятки компаний и организаций в России и на Украине, а затем распространился по всему миру. Как выяснили специалисты компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз, причиной масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп в размере $300 в биткоинах. В то же время в Лаборатории Касперского отмечали, что новое семейство шифровальщиков содержит некоторые признаки вируса Petya, но более детальный анализ показывает, что это новая модификация трояна.
По предварительным оценкам Group-IB, вирус атаковал около 80 компаний, большинство из которых - украинские. В России были атакованы "Роснефть", "Башнефть", Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Банк России также сообщил о кибератаках на российские кредитные организации, которые не привели к нарушениям в работе банков.
В последний раз крупная атака на компьютерные системы по всему миру была зафиксирована 12 мая, когда вирус WannaCry атаковал компьютеры с операционной системой Windows в 74 странах. По всему миру было совершено 45 тыс. кибернападений с использованием вируса-шифровальщика, причем наибольшее число кибератак было зафиксировано в России.
Новая мошенническая схема строится вокруг целой «команды» фейковых коллег. Итоговой целью атак становится перевод денег на «безопасный счёт» либо обналичивание средств с последующей передачей их курьеру. Как отмечают в F6, этот сценарий является модификацией давно известной схемы fake boss.
Злоумышленники по-прежнему используют поддельные аккаунты руководителей или чиновников, однако теперь значимую роль играют и «коллеги» — для них также создаются фальшивые профили. Новый сценарий специалисты F6 назвали fake team.
В общий чат фейковые участники добавляются под нейтральными названиями, например «Отдел кадров». Там могут присутствовать и другие «сотрудники», создающие видимость активности, а также «руководители», в том числе якобы бывшие. Для убедительности преступники используют реальные фотографии людей. В итоге единственным настоящим человеком в чате оказывается потенциальная жертва.
После добавления жертвы в чат «руководитель» начинает давать указания: воспользоваться телеграм-ботом якобы от госсервиса и сообщить шестизначный код подтверждения. В разговор активно включаются и фейковые коллеги. В F6 отметили, что эта тактика напоминает приёмы, ранее применявшиеся в так называемых «группах смерти».
Затем мошенники переходят к классической двухступенчатой схеме, характерной для телефонных аферистов. Если жертва сообщает код «руководителю», преступники убеждают её, что личный кабинет на госсервисе якобы взломан.
Конечная цель злоумышленников — запугать пользователя и вынудить его перевести деньги на «безопасный счёт», «досрочно погасить» кредит, якобы оформленный мошенниками, или «задекларировать» свои сбережения, передав их курьеру.
Чтобы защититься от подобных атак, в F6 рекомендуют включить в мессенджерах запрет на звонки и сообщения от незнакомых пользователей, отключить поиск по номеру и возможность приглашения в чаты от посторонних. Также не стоит вступать в переписку с незнакомыми аккаунтами, даже если они представляются руководителями или коллегами.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
