Как пишет isBuzznews, в тот июльский вторник компьютерный мир Европы проснулся другим. Массированные кибератаки вновь поразили правительственные сервера и компьютеры крупнейших мировых корпораций. Хотя распространение нового вредоноса ещё не достигло своего пика, кое-что уже можно рассказать об уроках, которым «научил» вирус NotPetya. Некоторые факты о целях поражения вирусом пригодятся корпоративным IT-структурам для того, чтобы подвластная им инфраструктура не оказалась очередной жертвой вредоносного программного обеспечения (ПО).

  1. Большинство пострадавших в первые дни компаний находятся на территории России и Украины. Значительно меньший объём поражённых компьютеров расположен в Западной Европе. Если отмести в сторону предположение о некой форме геотаргетинга внутри вируса, этот факт говорит о постепенном распространении заражённого кода вслед за часовыми поясами. Чем западнее находится очередная территория поражения, тем позднее по времени она подвергается кибератакам.
  2. Схожесть «Не-Пети» с предыдущей программной проблемой, вирусом Petya, весьма поверхностна. Поэтому вредоносы Petya и NotPetya никак нельзя считать одинаковыми, или даже схожими. Новое вредоносное ПО значительно сложнее по своей структуре, чем и Petya, и легендарный Wannacry.
  3. Кибератака происходит по нескольким направлениям проникновения в систему:
  • По каналам Email (многочисленны случаи внедрения вредоносного кода в аттачменты PDF и Word).
  • Посредством эксплойта EternalBlue – того же самого, который использовался вирусом Wannacry.
  • Сбор критически важных учётных данных при помощи отдельных пользовательских привилегий в ОС. Например, посредством системного процесса lsass и последующего внедрения в процесс WMIC. Обе эти задачи постоянно работают среди других системных процедур Windows.
  • Атака посредством внедрения в обновление для украинского программного обеспечения M.E.Doc – это полностью легальный комплекс приложений электронного документооборота и составления отчётности.
  1. Компьютеры, пропатченные для защиты от эксплойта EternalBlue, остаются подвержены атакам вируса NotPetya – к примеру, если открыть на них заражённый аттачмент электронного сообщения. Новое вредоносное ПО считается более зловредным и опасным, чем печально известный WannaCry, так как от него не спасёт даже полностью обновлённое ПО со всеми наборами «заплаток»-патчей.
  2. Наиболее тяжёлые последствия для организаций наступают в том случае, если заражённым оказывается пользователь с набором привилегий администратора. При этом серьёзному риску становится подвержена целая сеть. При таком сценарии заражение происходит через повреждённый системный процесс WMIC, а также через процесс удалённого выполнения задач (psexec).
  3. Жертвы, не обладающие привилегиями администратора, являются конечной целью вируса. Файлы на их компьютерах шифруются при помощи стандартного протокола криптозащиты AES. Поэтому крайне маловероятно, что зашифрованные данные будет возможно подвергнуть дешифровке: алгоритм AES является весьма стойким ко взлому.
  4. У пользователей с привилегиями администратора (как на локальном, так и на доменном уровне) шифруются не сами файлы, а системная запись на жёстком диске под названием Master Boot Record (MBR). Хотя при этом компьютер перестаёт загружаться, восстановить утраченные данные при этом – довольно простая задача. Этот же факт косвенно подтверждает, что целью создателей NotPetya было не получение финансовой выгоды, а электронный вандализм: уничтожение чужих данных без возможности их восстановления.
  5. Некоторое время существовал bitcoin-аккаунт, предназначенный для получения выкупа, однако это кошелёк уже взят под контроль. Поэтому на данный момент нет никаких способов получить «ключ» для расшифровки заблокированных файлов, даже если жертва горит желанием заплатить злоумышленникам. Впрочем, судя по алгоритму работы вируса, возможности дешифровки никогда не существовало.
  6. Вредонос для внедрения в систему редко использует среды, защищённые архитектурой SoftwareDefined Perimeter (она жёстко ограничивает способы проникновения во внутреннюю среду ОС). Поэтому такие компьютерные экосистемы менее подвержены угрозе, чем традиционные открытые корпоративные сети.
  7. Некоторые современные комплексы антивирусной защиты уже способны обнаружить и предотвратить заражение вирусом NotPetya.
Топ-10 важных фактов о вирусе «NotPetya»
5 (100%) 1 vote