Компьютерные сети энергокомпании «Киевэнерго», «Укртелекома», «Ощадбанка», «Новой пошты», а также многих других компаний пострадали от хакерской атаки с использованием вируса Petya. Об этом сообщает издание BBCcCNN.
По словам экспертов компании G DATA, вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Однако Petya блокирует не только рабочий стол или окно браузера – он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что вирус использует военный алгоритм шифрования и шифрует весь жесткий диск сразу.
В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом вирусов. Некоторые из них блокировали рабочий стол, другие – окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.
Тем не менее специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа вирус заявляет, что сочетает в себе функции блокировщика и шифровальщика разом. Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается вирус – файл application_portfolio-packed.exe. Запуск этого файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке.
Эксперты G DATA полагают, что перед перезагрузкой вирус вмешивается в работу MBR с целью перехвата управления процессом загрузки. После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно. Для восстановления доступа к системе и расшифровки данных нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение семи дней, сумма выкупа удваивается. «Купить» у хакеров предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.
Специалисты G DATA отмечают, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вирус попросту врет о шифровании данных. Вероятнее всего, он просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.