Атака вымогателей Пети: как и кто заражен; как это остановить

Во вторник появилась новая атака с использованием вымогателей, в которой используется модифицированная версия уязвимости EternalBlue, использованной в атаках WannaCry, и уже поразила более 2000 компьютеров по всему миру в Испании, Франции, Украине, России и других странах.

В первую очередь атака была нацелена на предприятия в этих странах, а также был нанесен удар по больнице в Питтсбурге, США. Жертвами атаки являются Центральный банк, РЖД, Укртелеком (Украина), Роснетт (Россия), WPP (Великобритания) и DLA Piper (США) и другие.

В то время как наибольшее количество инфекций было обнаружено в Украине, второе место в России, за ним следуют Польша, Италия и Германия. Биткойн-счет, принимающий платежи, завершил более 24 транзакций, прежде чем был закрыт.

Также читайте: Petya Ransomware Hackers теряют доступ к учетным записям электронной почты; Жертвы остались на мели.

Хотя атака не нацелена на предприятия в Индии, она нацелена на судоходный гигант AP Moller-Maersk, и порт Джавахарлала Неру находится под угрозой, поскольку компания управляет терминалами Gateway в порту.

Как распространяется Petya Ransomware?

В вымогателях используется аналогичный эксплойт, использованный в крупномасштабных атаках WannaCry в начале этого месяца, предназначенных для машин, работающих на устаревших версиях Windows, с небольшими изменениями.

Уязвимость может быть использована посредством удаленного выполнения кода на компьютерах под управлением Windows XP в системах Windows 2008.

Вымогатель заражает компьютер и перезагружает его с помощью системных инструментов. После перезагрузки он шифрует таблицу MFT в разделах NTFS и перезаписывает MBR настраиваемым загрузчиком, отображающим записку с требованием выкупа.

По данным «Лаборатории Касперского», «для захвата учетных данных для распространения вымогатель использует специальные инструменты, такие как Mimikatz. Они извлекают учетные данные из процесса lsass.exe. После извлечения учетные данные передаются инструментам PsExec или WMIC для распространения внутри сети ».

Что происходит после заражения ПК?

После того, как Петя заражает ПК, пользователь теряет доступ к машине, на которой отображается черный экран с красным текстом на нем, который гласит:

«Если вы видите этот текст, то ваши файлы больше не доступны, потому что они были зашифрованы. Возможно, вы заняты поиском способа восстановить ваши файлы, но не тратьте наше время. Никто не сможет восстановить ваши файлы без нашего сервиса расшифровки ».

И есть инструкции относительно оплаты $ 300 в биткойнах и способа ввода ключа дешифрования и получения файлов.

Как оставаться в безопасности?

В настоящее время не существует конкретного способа расшифровки файлов, находящихся в заложниках у Petya Ransomware, поскольку он использует надежный ключ шифрования.

Но сайт безопасности Bleeping Computer считает, что создание доступного только для чтения файла с именем «perfc» и размещение его в папке Windows на диске C может помочь остановить атаку.

Также важно, чтобы люди, которые до сих пор этого не сделали, немедленно загрузили и установили исправление Microsoft для старых операционных систем Windows, которое устраняет уязвимость, используемую EternalBlue. Это поможет защитить их от атак со стороны аналогичного вредоносного ПО, такого как Петя.

Если машина перезагружается и вы видите это сообщение, немедленно выключите питание! Это процесс шифрования. Если вы не включите, файлы в порядке. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 июня 2017 г.

Хотя количество и масштабы атак вымогателей возрастают с каждым днем, предполагается, что риск новых инфекций значительно снижается после первых нескольких часов атаки.

Также Читайте: Атаки вымогателей на подъеме: вот, как оставаться в безопасности.

А в случае с Петей аналитики прогнозируют, что код показывает, что он не будет распространяться за пределы сети. Никто еще не смог понять, кто несет ответственность за эту атаку.

Исследователи безопасности до сих пор не нашли способ расшифровать системы, зараженные Petya Ransomware, и, поскольку даже с хакерами сейчас невозможно связаться, все затронутые останутся таковыми в настоящее время.