Кибератака на украинские банки и СМИ: что за вирус и как ему противостоять

27.06.2017
Кибератака на украинские банки и СМИ: что за вирус и как ему противостоять
27.06.2017 15:47

Эксклюзив  Кибератака на украинские банки и СМИ: что за вирус и как ему противостоять

Во вторник, 27 июня, ряд украинских учреждений, среди которых оказались "Укрпочта", "Ощадбанк", "Новая почта", "Киевэнерго", "Эпицентр", "Укрэнерго", "ДТЕК", а также подразделения Украинского Медиа Холдинга (УМХ) атаковал неизвестный вирус-энкриптор. Хакеры требуют за разблокировку компьютера эквивалент $300 на биткоин-кошелек, а в случае, если денег этих они не получат, то файлы на компьютере останутся зашифрованными. Компьютеры атакованы вирусом Petya, шифрующим диски пользователя.

В чем суть вируса

Petya - это вирус, ориентированный в основном на бизнес-пользователей, поскольку обычно попадает на компьютеры через спам-письма с якобы резюме по работе.

Специалисты из Киберполиции сообщают, что вредоносная программа проникает на компьютеры через SMB. SMB - сетевой протокол, отвечающий за удаленный доступ к файлам, принтерам и другим сетевым устройствам (Server Message Block). В случае, если вирус просканировал компьютер, на котором сетевой порт, работающий по такому протоколу был открыт - программа пробует атаковать его через эксплойт EternalBlue (который, как считается разработан АНБ США). С помощью EternalBlue злоумышленник передает пакет данных на уязвимый компьютер, после чего получает удаленный доступ к системе и запускает код. Атакам подвержены все компьютеры на операционной системе Windows от XP и до Server 2016.

Более стандартный сценарий заражения выглядит следующим образом: сотрудник отдела кадров получает электронное письмо от лица, ищущего должность в компании. Письмо содержит ссылку на якобы файл с резюме, но фактически являющимся EXE-файлом. Далее вместо, собственно, резюме, сотрудник получает "синий экран смерти" ПК. 

Далее Petya шифрует главную загрузочную запись диска (Master Boot Record - MBR), которая содержит необходимые данные о разделах на диске и код для загрузки операционной системы (Boot Loader). Petya как раз модицифирует бутлоадер, поскольку тот загружается перед загрузкой ОС и в дальнейшем не дает загрузиться самой операционной системе. 

Далее пользователь видит фальшивый отчет о проверке диска chkdsk, при этом Petya шифрует главную файловую таблицу (Master File Table - MFT), которая содержит данные о расположении файлов и папок. 

После этого при окончательной загрузке пользователь получает сообщение с требованием выкупа.

Как с ним бороться

Если вы хотите обезопасить себя от заражения, то это выполняется довольно просто:

  • Не открывайте файлы, происхождение которых вам неизвестно;
  • Пользуйтесь антивирусами - стандартный защитник Windows не идеален;
  • Установите последние обновления операционной сети Windows (обновление, закрывающее дыру в безопасности, было выпущено 14 марта 2017 года); 
  • Если вам удалось заразиться: не ждите пока после "синего экрана смерти" появится фальшивый chkdsk - выключайте компьютер сразу;
  • Скачайте с незараженного компьютера образы ESET NOD32 LiveCD, либо же Kaspersky Rescue Disk. После скачивания "спасательных" программ, следуйте указаниям инструкции: запишите их на загрузочный носитель и загрузите компьютер с него. После этого доверьтесь антивирусу - Petya уже давно внесен во многие базы.

Как ранее сообщал MIGnews.com.ua, из-за хакерской атаки все отделения "Новой почты" прекратили работу.

Loading...
Теги материала: вирус, компьютер, сеть, безопасность
Статьи по теме
bigmir)net TOP 100