Не успели утихнуть страсти по поводу вируса-вымогателя (по английски – ransomware) WannaCry, поразившего тысячи компьютеров в мае 2017 года, как 27 июня киберпространство захлестнула новая масштабная волна эпидемии
Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает: не успели утихнуть страсти по поводу вируса-вымогателя (по английски – ransomware) WannaCry, поразившего тысячи компьютеров в мае 2017 года, как 27 июня киберпространство захлестнула новая масштабная волна эпидемии. Были атакованы информационные ресурсы десятков компаний и правительственных организаций, главным образом на Украине и в России.
На этот раз вирус-шифровальщик, который препятствует загрузке операционной системы, блокирует компьютеры и требует выкуп, носит имя Petya, который уже был выявлен и изучен экспертами по кибербезопасности в начале 2016 года. Например, в «Лаборатории Касперского» уверены, что нынешняя атака носит комплексный характер, и в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был разработан Агентством Национальной безопасности США и использован для распространения WannaCry.
Механизм работы вируса описали эксперты компании Positive Technologies: вирус воздействует на главную загрузочную запись загрузочного сектора жесткого диска (Master Boot Record, или MBR - код, который нужен для последующей загрузки операционной системы). Вредоносная программа шифрует эту запись и заменяет ее собственными данными. После попадания в систему вирус дает компьютеру команду перезагрузиться через один-два часа, а после перезагрузки вместо операционной системы запускается вредоносный код, шифрующий Master File Table, или главную таблицу файлов. Таким образом, данные о том, как расположены все ваши файлы и папки, становятся недоступными для пользователя.
Способ распространения вируса отчасти аналогичен WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения, которое эксплуатирует уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник: через интерфейс WMI, через копию программы PsExec, через уязвимость в SMB (CVE-2017-0144, MS17-010).
Самая подозрительная категория вложений - это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).
Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и т.п.). Опасность в них представляют встроенные макрокоманды, или макросы. Если при открытии файла вас просят разрешить выполнение макрокоманд, не стоит этого делать.
Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.
Для профилактики заражения компьютера эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют следующие меры:
1. Не открывайте подозрительные почтовые вложения (ведь учили в детстве – нельзя брать конфеты от незнакомцев), даже если они присланы от известных корреспондентов (компьютер отправителя может быть уже инфицирован). Запретите скачивание файлов с именами: Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc
2. Обновите антивирусные базы (на сегодняшний день продукты «Лаборатории Касперского» Internet Security, Kaspersky Security Network и Мониторинг активности (System Watcher) уверенно обнаруживают и блокируют активность вируса).
3. Установите все обновления безопасности Windows («залатайте», наконец, уязвимости MS17-010 для Windows и CVE-2017-0199 для MSOffice).
4. Можно создать файл без расширения в директории c:\windows\perfc – из-за этого деструктивные действия шифровальщика прекращаются.
5. Не забывайте делать резервное копирование (бэкап) наиболее важных для вас файлов на съемные носители, можно сохранить образ жесткого диска.
Что делать, если компьютер заражен?
1. Ни в коем случае не платить вымогателям – скорее всего ключ для дешифрования вы не получите.
2. Немедленно выключить компьютер (на этом этапе еще можно снять жесткий диск, чтобы подключить его к другому компьютеру (только не в качестве загрузочного) и скопировать свои файлы.
3. Срочно обратиться к системному администратору или эксперту по кибербезопасности для принятия мер.