Вирус-вымогатель Petya добрался до Беларуси

В Беларуси зафиксированы первые и пока единичные случаи заражения вирусом-вымогателем Petya.

«У нас единичные заражения, говорить о каком-то массовом заражении, что пошла какая-то волна, не совсем верно», — сообщили Naviny.by в Национальном центре реагирования на компьютерные инциденты.

С заявлениями в милицию уже обратились представители некоторых крупных белорусских компаний, говорится на сайте Министерства внутренних дел.

По неподтвержденной информации, атаке подверглись компьютеры группы компаний «Алютех» и ОАО «Бобруйский машиностроительный завод».

«Мы разбираемся, еще непонятно», — сказали Naviny.by в бобруйском предприятии.

 

Кто такой Petya?

Пока до конца непонятно, что за зараза распространяется по миру, но специалисты склоняются, что это какая-то вариация шифровальщика Petya. Зараженные им компьютеры внезапно перезагружаются. Затем на экране появляется сообщение о том, что файлы на жестких дисках зашифрованы. Для их расшифровки требуется отправить 300 долларов на адрес биткоин-кошелька.

Petya использует программный эксплойт EternalBlue, который, как предполагается, разработан Агентством национальной безопасности США. Его же использовал вирус-вымогатель WannaCry, который атаковал мир в мае этого года.

Специалисты считают, что вирус мог начать распространение через фальсифицированное обновление в украинской бухгалтерской программе M.E.Doc. Разработчики отрицают это.

Целью мошенников является блокировка ценной информации, в первую очередь вирусы угрожают финансовым и бухгалтерским подразделениям, сообщает белорусский МВД.

Зараженные файлы присылают под видом резюме, финансовых отчетов, прочей входящей документации или маскируют под архив с документами. Вирус является EXE-файлом, после запуска которого загрузить операционную систему невозможно.

«Вирус-шифровальщик Petya является новым не только для белорусских правоохранителей, но и для всего мира. Он изучается специалистами, и некоторые антивирусные программы распознают вредоносные файлы, — отметил начальник управления по раскрытию преступлений в сфере высоких технологий МВД Вадим Устинович.

Несколько лет назад в МВД уже были зарегистрированы обращения жертв кибермошенников, специализировавшихся на разработке подобных вирусов-вымогателей. Пострадавшими были как физические, так и юридические лица, которые после загрузки зараженных файлов получали уведомление о блокировке операционной системы и требование заплатить деньги.

Принцип деятельности прототипов вируса Petya основывался на сканировании открытого RDP-порта, затем методом подбора паролей хакеры получали доступ к компьютеру и присылали требование выкупа.

 

Как избежать заражения?

Во избежание заражения специалисты «Лаборатории Касперского» рекомендуют незамедлительно «вручную обновить антивирусные базы и еще пару раз обновить их в течение следующих нескольких часов», а также установить все обновления безопасности Windows.

Специалисты компании Symantec предлагают сделать вид, что компьютер уже заражен, пишет «Медуза». Дело в том, что в момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать файл для защиты от Petya, можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

Если компьютер уже заражен данным шифровальщиком и файлы заблокированы, то в «Лаборатории Касперского» не рекомендуют платить выкуп.

«Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с мошенниками, подтвердить перевод и получить ключ, необходимый для восстановления файлов», — отмечают специалисты.

Поскольку сбор данных, их анализ и мероприятия по установлению разработчиков требуют времени, в белорусском МВД настоятельно рекомендуем гражданам не предпринимать никаких действий, а при появлении на мониторе компьютера требования выкупа за дешифровку обращаться в милицию.

«Чтобы не стать жертвой кибератак, следует использовать сложные пароли, пользоваться только лицензионным программным и антивирусным обеспечением и постоянно их обновлять. Бдительность при получении сообщений по электронной почте из незнакомых и подозрительных источников также поможет избежать заражения компьютера и сети», — советует белорусская милиция.

 

Кто пострадал от вируса?

Масштабная кибератака началась утром 27 июня с Украины. Ей подверглись банки, энергетические компании, компьютеры правительства, аэропорта «Борисполь», киевского метрополитена, СМИ и других организаций. Из-за вируса Чернобыльская АЭС перешла на режим ручного мониторинга радиации. В России Petya поразил компьютерные сети «Башнефти», «Роснефти», банка «Хоум кредит» и других компаний.

По данным криминалистической лаборатории Group-IB, от вируса пострадало более 80 компаний в Украине и России. Сообщается также об атаках на компьютеры в США, Индии, Израиле, а также во многих европейских странах — Великобритании, Италии, Сербии, Румынии, Литве, Венгрии  и других.