Вредоносы «Петя» (Petya) и «Миша» (Misha): что происходит и что делать в трех словах? Кто стоит за массовым заражением украины Как работает вирус
Краткий экскурс в историю нейминга вредоносных программ.
В закладки
Логотип вируса Petya.A
27 июня по меньшей мере 80 российских и украинских компаний подверглись атаке вируса Petya.A. Программа заблокировала информацию на компьютерах ведомств и предприятий и также, как и известный вирус-вымогатель , потребовала у пользователей в биткоинах.
Имена вредоносным программам обычно дают сотрудники компаний-разработчиков антивирусов. Исключением становятся те шифровальщики, вымогатели, разрушители и похитители личных данных, которые помимо компьютерных заражений вызывают медийные эпидемии - повышенную шумиху в СМИ и активное обсуждение в cети.
Однако вирус Petya.A - представитель нового поколения. Имя, которым он сам представляется - часть маркетинговой стратегии разработчиков, направленной на повышение его узнаваемости и рост популярности на даркнет-рынке.
Субкультурное явление
В те времена, когда компьютеров было мало и далеко не все они были соединены между собой, самораспространяющиеся программы (ещё не вирусы) уже существовали. Одной из первых таких стал , шутливо приветствовавший пользователя и предлагавший поймать его и удалить. Следующим стал Cookie Monster, требовавший «дать ему печеньку», введя слово «cookie».
Ранние вредоносные программы тоже обладали чувством юмора, хотя оно и не всегда касалось их названий. Так, Ричарда Скрэнта, предназначенный для компьютера Apple-2, раз в 50 загрузок компьютера читал жертве стишок, а имена вирусов, часто скрытые в коде, а не выставленные на показ, отсылали к шуткам и субкультурным словечкам, распространённым в среде гиков того времени. Они могли ассоциироваться с названиями металл-групп, популярной литературой и настольными ролевыми играми.
В конце 20 века создатели вирусов особо не скрывались - более того, часто, когда программа выходила из под контроля, старались принять участие в устранении принесённого ей вреда. Так было с пакистанским и разрушительным , созданным будущим сооснователем бизнес-инкубатора Y-Combinator.
Поэтические способности демонстрировал и один из российских вирусов, упомянутых Евгением Касперским в его книге 1992 года «Компьютерные вирусы в MS-DOS». Программа Condom-1581 время от времени демонстрировала жертве , посвящённое проблемам засорения мирового океана продуктами человеческой жизнедеятельности.
География и календарь
В 1987 году вирус Jerusalem, известный также как Israeli Virus, получил название по месту своего первого обнаружения, а его альтернативное название Black Friday было связано с тем, что он активировался и удалял запускаемые файлы, если 13 число месяца приходилось на пятницу.
По календарному принципу получил название и вирус Michelangelo, вызвавший панику в СМИ весной 1992 года. Тогда Джон Макафи, позже прославившийся созданием одного из самых назойливых антивирусов, во время сиднейской конференции по кибербезопасности, журналистам и публике: «Если вы загрузите инфицированную систему 6 марта, все данные на жёстком диске испортятся». Причём здесь Микеланджело? 6 марта у итальянского художника был день рождения. Впрочем, ужасы, которые предсказывал Макафи, в итоге чрезмерно преувеличенными.
Функциональность
Возможности вируса и его специфика часто служат основой названия. В 1990 году один из первых полиморфных вирусов получил имя Chameleon, а его , обладающий широкими возможностями скрывать своё присутствие (а значит, относящийся к категории стелс-вирусов), был назван Frodo, намекая на героя «Властелина Колец» и скрывающееся от глаз окружающих Кольцо. А, например, вирус OneHalf 1994 года получил своё название из-за того, что проявлял агрессию только заразив половину диска атакуемого устройства.
Служебные названия
Большинство вирусов уже давно получают названия в лабораториях, где их разбирают на части аналитики.
Обычно это скучные порядковые имена и общие «семейные» названия, описывающие категорию вируса, то, какие системы он атакует и что с ними делает (вроде Win32.HLLP.DeTroie). Однако иногда, когда в коде программы удаётся выявить намёки, оставленные разработчиками, вирусы получают немного индивидуальности. Так появились, например, вирусы MyDoom и KooKoo.
Впрочем, это правило работает не всегда - скажем, вирус Stuxnet, остановивший обогащающие уран центрифуги в Иране, не стал называться Myrtus, хотя это слово («мирт»), в коде, и было почти прямым намёком на участие в его разработке израильских спецслужб. В данном случае победило уже ставшее известным широкой публике название, присвоенное вирусу на первых этапах его обнаружения.
Задачи
Часто бывает и так, что вирусы, требующие большого внимания и сил для своего изучения получают у антивирусных компаний красивые названия, которые проще говорить и записывать - так случилось с Red October, дипломатическую переписку и данные, способные повлиять на международные отношения, а также с IceFog, крупномасштабным промышленным шпионажем.
Расширение файлов
Ещё один популярный способ наименования - по расширению, которое вирус присваивает зараженным файлам. Так, один из «военных» вирусов Duqu, был назван так не из-за графа Дуку из «Звёздных войн», а благодаря префиксу ~DQ, который отмечал создаваемые им файлы.
Так же получил своё название нашумевший этой весной вирус WannaCry, маркирующий зашифрованные им данные расширением.wncry.
Более раннее название вируса Wanna Decrypt0r, не прижилось - оно хуже звучало и имело разночтения при написании. Не все удосуживались ставить «0» в качестве «о».
«Вы стали жертвой вируса-вымогателя Petya»
Именно так представляется самая обсуждаемая сегодня вредоносная программа, завершив шифрование файлов на атакованном компьютере. У вируса Petya A. есть не только узнаваемое имя, но и логотип в виде пиратского черепа с костями, и целая маркетингового продвижения. Замеченный вместе со своим братом «Misha» ещё , вирус обратил на себя внимание аналитиков именно этим.
Из субкультурного явления, пройдя через период, когда для такого рода «хакерства» требовались довольно серьёзные технические знания, вирусы превратились в орудие кибер-гоп-стопа. Теперь им приходится играть по рыночным правилам – и кто получает больше внимания, тот и приносит своим разработчикам большие прибыли.
Краткий экскурс в историю нейминга вредоносных программ.
В закладки
Логотип вируса Petya.A
27 июня по меньшей мере 80 российских и украинских компаний подверглись атаке вируса Petya.A. Программа заблокировала информацию на компьютерах ведомств и предприятий и также, как и известный вирус-вымогатель , потребовала у пользователей в биткоинах.
Имена вредоносным программам обычно дают сотрудники компаний-разработчиков антивирусов. Исключением становятся те шифровальщики, вымогатели, разрушители и похитители личных данных, которые помимо компьютерных заражений вызывают медийные эпидемии - повышенную шумиху в СМИ и активное обсуждение в cети.
Однако вирус Petya.A - представитель нового поколения. Имя, которым он сам представляется - часть маркетинговой стратегии разработчиков, направленной на повышение его узнаваемости и рост популярности на даркнет-рынке.
Субкультурное явление
В те времена, когда компьютеров было мало и далеко не все они были соединены между собой, самораспространяющиеся программы (ещё не вирусы) уже существовали. Одной из первых таких стал , шутливо приветствовавший пользователя и предлагавший поймать его и удалить. Следующим стал Cookie Monster, требовавший «дать ему печеньку», введя слово «cookie».
Ранние вредоносные программы тоже обладали чувством юмора, хотя оно и не всегда касалось их названий. Так, Ричарда Скрэнта, предназначенный для компьютера Apple-2, раз в 50 загрузок компьютера читал жертве стишок, а имена вирусов, часто скрытые в коде, а не выставленные на показ, отсылали к шуткам и субкультурным словечкам, распространённым в среде гиков того времени. Они могли ассоциироваться с названиями металл-групп, популярной литературой и настольными ролевыми играми.
В конце 20 века создатели вирусов особо не скрывались - более того, часто, когда программа выходила из под контроля, старались принять участие в устранении принесённого ей вреда. Так было с пакистанским и разрушительным , созданным будущим сооснователем бизнес-инкубатора Y-Combinator.
Поэтические способности демонстрировал и один из российских вирусов, упомянутых Евгением Касперским в его книге 1992 года «Компьютерные вирусы в MS-DOS». Программа Condom-1581 время от времени демонстрировала жертве , посвящённое проблемам засорения мирового океана продуктами человеческой жизнедеятельности.
География и календарь
В 1987 году вирус Jerusalem, известный также как Israeli Virus, получил название по месту своего первого обнаружения, а его альтернативное название Black Friday было связано с тем, что он активировался и удалял запускаемые файлы, если 13 число месяца приходилось на пятницу.
По календарному принципу получил название и вирус Michelangelo, вызвавший панику в СМИ весной 1992 года. Тогда Джон Макафи, позже прославившийся созданием одного из самых назойливых антивирусов, во время сиднейской конференции по кибербезопасности, журналистам и публике: «Если вы загрузите инфицированную систему 6 марта, все данные на жёстком диске испортятся». Причём здесь Микеланджело? 6 марта у итальянского художника был день рождения. Впрочем, ужасы, которые предсказывал Макафи, в итоге чрезмерно преувеличенными.
Функциональность
Возможности вируса и его специфика часто служат основой названия. В 1990 году один из первых полиморфных вирусов получил имя Chameleon, а его , обладающий широкими возможностями скрывать своё присутствие (а значит, относящийся к категории стелс-вирусов), был назван Frodo, намекая на героя «Властелина Колец» и скрывающееся от глаз окружающих Кольцо. А, например, вирус OneHalf 1994 года получил своё название из-за того, что проявлял агрессию только заразив половину диска атакуемого устройства.
Служебные названия
Большинство вирусов уже давно получают названия в лабораториях, где их разбирают на части аналитики.
Обычно это скучные порядковые имена и общие «семейные» названия, описывающие категорию вируса, то, какие системы он атакует и что с ними делает (вроде Win32.HLLP.DeTroie). Однако иногда, когда в коде программы удаётся выявить намёки, оставленные разработчиками, вирусы получают немного индивидуальности. Так появились, например, вирусы MyDoom и KooKoo.
Впрочем, это правило работает не всегда - скажем, вирус Stuxnet, остановивший обогащающие уран центрифуги в Иране, не стал называться Myrtus, хотя это слово («мирт»), в коде, и было почти прямым намёком на участие в его разработке израильских спецслужб. В данном случае победило уже ставшее известным широкой публике название, присвоенное вирусу на первых этапах его обнаружения.
Задачи
Часто бывает и так, что вирусы, требующие большого внимания и сил для своего изучения получают у антивирусных компаний красивые названия, которые проще говорить и записывать - так случилось с Red October, дипломатическую переписку и данные, способные повлиять на международные отношения, а также с IceFog, крупномасштабным промышленным шпионажем.
Расширение файлов
Ещё один популярный способ наименования - по расширению, которое вирус присваивает зараженным файлам. Так, один из «военных» вирусов Duqu, был назван так не из-за графа Дуку из «Звёздных войн», а благодаря префиксу ~DQ, который отмечал создаваемые им файлы.
Так же получил своё название нашумевший этой весной вирус WannaCry, маркирующий зашифрованные им данные расширением.wncry.
Более раннее название вируса Wanna Decrypt0r, не прижилось - оно хуже звучало и имело разночтения при написании. Не все удосуживались ставить «0» в качестве «о».
«Вы стали жертвой вируса-вымогателя Petya»
Именно так представляется самая обсуждаемая сегодня вредоносная программа, завершив шифрование файлов на атакованном компьютере. У вируса Petya A. есть не только узнаваемое имя, но и логотип в виде пиратского черепа с костями, и целая маркетингового продвижения. Замеченный вместе со своим братом «Misha» ещё , вирус обратил на себя внимание аналитиков именно этим.
Из субкультурного явления, пройдя через период, когда для такого рода «хакерства» требовались довольно серьёзные технические знания, вирусы превратились в орудие кибер-гоп-стопа. Теперь им приходится играть по рыночным правилам – и кто получает больше внимания, тот и приносит своим разработчикам большие прибыли.
Во вторник, 27 июня, украинские и российские компании сообщили о массовой вирусной атаке: компьютеры на предприятиях отображали сообщение с требованием о выкупе. разобралась, кто в очередной раз пострадал из-за хакеров и как уберечься от кражи важных данных.
Петя, хватит
Первым атаке подвергся энергетический сектор: на вирус пожаловались украинские компании «Укрэнерго» и «Киевэнерго». Злоумышленники парализовали их компьютерные системы, но на стабильности работы электростанций это не отразилось.
Украинцы начали публиковать последствия заражения в сети: судя по многочисленным снимкам, компьютеры атаковал вирус-вымогатель. На экране пораженных устройств выскакивало сообщение о том, что все данные зашифрованы, и владельцам устройств нужно заплатить 300 долларов выкупа в биткоинах. При этом хакеры не сообщили, что произойдет с информацией в случае бездействия, и даже не установили таймер обратного отсчета до уничтожения данных, как это было с атакой вируса WannaCry.
Национальный банк Украины (НБУ) сообщил, что из-за вируса частично парализована работа нескольких банков. По данным украинских СМИ, атака коснулась офисов Ощадбанка, Укрсоцбанка, Укргазбанка, и ПриватБанка.
Заражению подверглись компьютерные сети «Укртелекома», аэропорта «Борисполь», «Укрпочты», «Новой почты», «Киевводоканала» и Киевского метрополитена. Кроме того, вирус ударил по украинским мобильным операторам - «Киевстару», Vodafone и Lifecell.
Позже украинские СМИ уточнили, что речь идет о вредоносе Petya.A. Он распространяется по обычной для хакеров схеме: жертвам рассылаются фишинговые письма от подставных лиц с просьбой открыть вложенную ссылку. После этого вирус проникает в компьютер, шифрует файлы и требует выкуп за их дешифровку.
Хакеры указали номер своего биткоин-кошелька, на который следует переводить деньги. Судя по информации о транзакциях, жертвы перевели уже 1,2 биткоина (более 168 тысяч рублей).
По данным специалистов по информационной безопасности из компании Group-IB, в результате атаки пострадали более 80 компаний. Руководитель их криминалистической лаборатории отметил , что вирус не связан с WannaCry. Для устранения проблемы он посоветовал закрыть TCP-порты 1024–1035, 135 и 445.
Кто виноват
Поспешила предположить, что атака организована с территории России или Донбасса, но никаких доказательств не предоставила. Министр инфраструктуры Украины увидел подсказку в слове «вирус» и написал в своем Facebook, что «не случайно оно заканчивается на RUS», снабдив свое предположение подмигивающим смайликом.
Между тем утверждает, что атака никак не связана с существующими «зловредами», известными под названием Petya и Mischa. Безопасники утверждают, что новая волна поразила не только украинские и российские компании, но и предприятия в других странах.
Тем не менее нынешний «зловред» по интерфейсу напоминает известный вирус Petya, который еще несколько лет назад распространялся посредством фишинговых ссылок. В конце декабря неизвестный хакер, ответственный за создание вымогателей Petya и Mischa, начал рассылать зараженные письма с вложенным вирусом под названием GoldenEye, который был идентичен предыдущим версиям шифровальщиков.
Во вложении к обычному письму, которое зачастую получали сотрудники отдела кадров, содержалась информация о подставном кандидате. В одном из файлов действительно можно было найти резюме, а в следующем - установщик вируса. Тогда главной мишенью злоумышленника стали компании в Германии. За сутки в ловушку попали более 160 сотрудников немецкой компании.
Вычислить хакера не удалось, но очевидно, что он является поклонником бондианы. Программы Petya и Mischa - названия российских спутников «Петя» и «Миша» из фильма «Золотой глаз» (Golden Eye), по сюжету представлявших собой электромагнитное оружие.
Оригинальная версия Petya начала активно распространяться в апреле 2016 года. Она искусно маскировалась на компьютерах и выдавала себя за легальные программы, запрашивая расширенные права администратора. После активации программа вела себя крайне агрессивно: ставила жесткий дедлайн для оплаты выкупа, требуя 1,3 биткоина, а по истечении срока удваивала денежную компенсацию.
Правда, тогда один из пользователей Twitter быстро нашел слабые стороны вымогателя и создал простую программу, которая за семь секунд генерировала ключ, позволяющий снять блокировку с компьютера и расшифровать все данные без каких-либо последствий.
Не в первый раз
В середине мая компьютеры по всему миру атаковал похожий вирус-вымогатель WannaCrypt0r 2.0, также известный как WannaCry. Всего за несколько часов он парализовал работу сотен тысяч работавших на Windows устройств в более чем 70 странах. В числе пострадавших оказались и российские силовые структуры, банки и мобильные операторы. Попав на компьютер жертвы, вирус шифровал жесткий диск и требовал отправить злоумышленникам 300 долларов в биткоинах. На размышление отводилось три дня, после чего сумма увеличивалась вдвое, а через неделю файлы зашифровывались навсегда.
Однако жертвы не торопились перечислять выкуп, и создатели «вредоноса»
Правообладатель иллюстрации PA Image caption По мнению экспертов, бороться с новым вымогателем сложнее, чем с WannaCry
Программа-вымогатель 27 июня заблокировала компьютеры и зашифровала файлы в десятках компаний по всему миру.
Сообщается, что больше всех пострадали украинские компании - вирус заразил компьютеры крупных компаний, госструктур и объектов инфраструктуры.
За расшифровку файлов вирус требует от жертв 300 долларов в биткойнах.
Русская служба Би-би-си отвечает на главные вопросы о новой угрозе.
Кто пострадал?
Распространение вируса началось с Украины. Пострадали аэропорт "Борисполь", некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. Отключились компьютеры и в правительстве Украины.
Вслед за этим наступила очередь компаний в России: "Роснефть", "Башнефть", Mondelеz International, Mars, Nivea и другие также стали жертвами вируса.
Как работает вирус?
Эксперты пока не пришли к единому мнению относительно происхождения нового вируса. Компании Group-IB и Positive Technologies видят в нем разновидность вируса Petya 2016 года.
"Это вымогательское программное обеспечение использует как хакерские методы и утилиты, так и стандартные утилиты системного администрирования, - комментирует руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. - Все это гарантирует высокую скорость распространения внутри сети и массовость эпидемии в целом (при заражении хотя бы одного персонального компьютера). Результатом является полная неработоспособность компьютера и шифрование данных".
В румынской компании Bitdefender видят больше общего с вирусом GoldenEye, в котором Petya объединяется с еще одним вредоносом под названием Misha. Преимущество последнего - для шифрования файлов он не требует у будущей жертвы права администратора, а добывает их самостоятельно.
Брайан Кэмбелл из Fujitsu и ряд других экспертов полагают, что новый вирус использует украденную у Агентства национальной безопасности США, модифицированную программу EternalBlue.
После публикации этой программы хакерами The Shadow Brokers в апреле 2017 года весь мир облетел созданный на ее основе вирус-вымогатель WannaCry.
Используя уязвимости Windows, эта программа позволяет вирусу распространяться на компьютеры по всей корпоративной сети. Оригинальный же Petya рассылался по электронной почте под видом резюме и мог заражать только тот компьютер, где это резюме открывали.
В "Лаборатории Касперского" заявили "Интерфаксу", что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения.
"Программные продукты "Лаборатории Касперского" детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.", - отметил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
В общем, если и называть новый вирус русским именем, нужно иметь в виду, что внешне он больше похож на чудовище Франкенштейна, поскольку собран из нескольких вредоносных программ. Доподлинно известно, что вирус появился на свет 18 июня 2017 года.
Image caption За расшифровку файлов и разблокировку компьютера вирус требует 300 долларовКруче чем WannaCry?
WannaCry понадобилось всего несколько суток в мае 2017 года, чтобы достичь статуса самой массовой кибератаки подобного рода в истории. Обгонит ли новый вирус-вымогатель своего недавнего предшественника?
За неполные сутки злоумышленники получили от своих жертв 2,1 биткойна - порядка 5 тыс. долларов. WannaCry за тот же срок собрал 7 биткойнов.
При этом, по мнению Эльмара Набигаева из Positive Technologies, бороться с новым вымогателем сложнее.
"Помимо эксплойта [уязвимости в Windows] эта угроза распростряется также с помощью учетных записей операционных систем, украденных с помощью специальных хакерских утилит", - отметил эксперт.
Как бороться с вирусом?
В качестве профилактики эксперты советуют вовремя устанавливать обновления для операционных систем и проверять файлы, полученные по электронной почте.
Продвинутым администраторам советуют временно отключить протокол передачи данных в сети Server Message Block (SMB).
Если же компьютеры оказались заражены - ни в коем случае не платить злоумышленникам. Нет никакой гарантии, что, получив оплату, они расшифруют файлы, а не станут требовать больше.
Остается только ждать программу-дешифровщик: в случае с WannaCry на ее создание у специалиста французской компании Quarkslab Адриена Гинье ушла неделя.
Первая программа-вымогатель AIDS (PC Cyborg) была написана биологом Джозефом Поппом в 1989 году. Она скрывала каталоги и шифровала файлы, требуя выплатить 189 долларов за " продление лицензии " на счет в Панаме. Свое детище Попп распространял с помощью дискет по обычной почте, совершив в общей сложности около 20 тыс яч отправлений . Попп был задержан при попытке обналичить чек, но избежал суда - в 1991 году его признали невменяемым.
