2017-06-29

Одна из причин массовой вспышки вируса-вымогателя была вызвана вредоносным обновлением программного обеспечения M.E.Doc - популярного программного обеспечения учета, используемого украинскими Бухгалтерами.

Согласно официальным сообщениям, таким как Cisco Talos, ESET, Microsoft, MalwareHunter, «Лаборатория Касперского», «Украинская полиция» и другие, неизвестный злоумышленник внес изменения в обновление M.E.Doc, в следствии, пользователи получили вместе с обновлением вирусный контент.

При установке обновления клиента M.E.Doc, зараженное программное обеспечение было запущено с вирусом Петя (Petya) - также именуемое в Интернете как НеПетя (NotPetya), или Petna.
Компания M.E.Doc изначально подтвердили, а затем опровергли проблему с обновлением.

Спустя некоторое время, по мере того как эпидемия распространилась по всей Украине и другим странам, M.E.Doc на своей официальной странице в Facebook продолжил отрицать причастность к обслуживанию каких либо вредоносных ПО.

M.E.Doc так и не ответил на запрос к времени публикации этой статьи. Наличие M.E.Doc в основе вспышки имеет смысл. По данным Kaspersky, 90% жертв находятся в Украине и России, это как раз та область которую покрывает разработчик программного обеспечения.

Петя/НеПетя

КОД Вируса-вымогателя схож с кодом вируса вымогателя, которого некоторые люди называют Петя (Petya), но имеет значительные отличия как в принципе работы, так и в идеологии целиком. Цель вируса не материальная составляющая (собрать как можно больше денег с пользователей), а, скорее запугать и навредить пользователям.

И это одна из причин, почему так много исследователей начали называть данный вирус-вымогатель НеПетя (NotPetya).

Тем не менее, исследователь Malwarebytes Hasherezade, эксперт по изучению Пети (Petya) приписывает штамп НеПетя (NotPetya) тому же автору, который создал оригинальные вирусы Petya, Mischa и GoldenEye.

Исследователи Cisco и Kaspersky's также раскрыли новые подробности относительно воздействия вируса. По мнению исследователей, вирус-вымогатель сначала заражает компьютеры через зараженное обновление программы M.E.Doc. Затем вирус использует инструменты сбора данных о локальной сети, и использует их по средствам PsExec и WMIC. Эти инструменты используют собранные пароли для распространения вируса на другие компьютеры, находящиеся в этой же сети.

В отличие от того-же WannaCry (свирепствующего приблизительно в те же сроки), НеПетя (NotPetya) распространяется только через LAN, а не через Интернет.

Согласно MalwareTech, человек, который создал средство убивающее вирус WannaCry, НеПетя (NotPetya) не так опасен, как WannaCry.

Кроме того, эксперт считает, что распространение НеПетя (NotPetya) прекратилось. "Важное различие между WannaCry и Petya заключается в том, что WannaCry, скорее всего, был распространен на небольшое количество компьютеров, а затем быстро разошелся по сети Интернет, в то время как Петя (Petya), похоже, был развернут на большое количество компьютеров и распространен только через локальную сеть, поэтому в этом случае есть Низкий риск новых инфекций более 1 часа после атаки" - говорит MalwareTech. «Вредоносная программа отключает компьютер, чтобы зашифровать его через 1 час после выполнения, и к этому времени он уже завершит сканирование локальной сети

Вакцина против Петя/NotPetya:

Как пояснил MalwareTech, через час вирус-вымогатель перезагружает ПК пользователя и запускает процесс шифрования. Этот процесс замаскирован под операцию CHKDSK.

Пользователи, увидев такое сообщение могут выключить свой ПК, что должно остановить шифрование файловой таблицы.

В процессе шифрования используется двойная модель шифрования AES-128 в комбинации с RSA-2048, используемая большинством вирусов-вымогателей. Это значительно усложняет процесс дешифровки как в временных, так и в ресурсных рамках, делая написания дешифровщика практически безнадежным

К счастью, исследователь безопасности Cybereason Амит Серпер нашел способ остановить Петю / NotPetya

http://rdm.kiev.ua/rdmnews/20