Вирус Petya и его атака. Что он такое и с чем его едят.
27 июня 2017 года Украина подверглась массированной кибер-атаке вируса-шифровальщика, который получил название Petya. Сейчас, на 29 июня, подоспели анализы экспертов и начала вытанцовыватся общая картина.
Список попавших под раздачу предприятий действительно поражает. 60% зараженный компов приходятся на Украину, досталось так же России, Италии, Франции, Германии. Небольшой список пострадавших для примера масштабов происходящего:
Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Удар действительно серьезный, можно сказать, страна парализована. Как такое получилось? И вот тут начинается самое интересное. Практически каждая более-менее крупная контора в Украине использует для отправки отчетности в налоговую программу M.E.Doc. Кто имеет отношение к налоговой отчетности в Украине, тот меня поймет. И вот 27 июня, после очередного обновления это бесовской софтины, вспыхивает повальная эпидемия вируса шифровальщика Petya. Как показала потом практика и свидетельства админов пострадавших предприятий - таки да, именно через обновления Медка и нанес удар зловред. Опираясь на исследования независимых экспертов в области информационной безопасности, а так же отчеты ведущих антивирусных компаний, я выстроил цепочку действий этого зловреда. Кстати, его уже не зовут Петей, утверждая, что от оригинального Пети осталось в нем довольно мало. Принципиальное же отличие - новая гадость даже не предусматривает возможности дешифровать свои данные, так что слать деньги бессмысленно. И несмотря на это, на биткоин-кошельке, указанном злоумышленниками, валяется около 10000$.
Действия Пети
Петя - злая редиска. Окромя M.E.Doc, он еще распространяется в письмах электронной почты, маскируясь под офисные документы или PDF. Попадая в локальную сеть, он оперативно распространяется по ней, используя уязвимости EthernalBlue и EthernalRomance, а так же PSEXEC и WMI. При этом он оперативно повышает свои права до админских, используя алгоритмы Mimikatz. Таким образом, эта зараза очень оперативно распространяется по сети, особенно, если умудряется получать привилегии администратора домена. После чего он шифрует boot-сектор (MBR эта пакость подменяет собой) и начинает шифровать файло пользователя, прописывает в taskscheluder перезагрузку на час-полтора позднее начала своей работы. После перезагрузки грузит уже себя и под видом работы программы CHKDSK шифрует все остальное. И тут есть два варианта его действий. Первое - он шифрует все файло. Все. Файло потеряно, вы уже ничего не сделаете. Второй - он шифрует таблицу разделов (MFT). И вот таблицу разделов восстановить можно, и файлы спасти некоторые тоже. После чего он демонстрирует свой приветственный экран и просит денег. Платить выкуп бесполезно - у него не предусмотрено механизмов дешифрации в принципе. Это именно кибер-бомба, которая намеренно уничтожает данные. Если эта зараза попала в локалку, единственный способ его остановить - рубить по питанию абсолютно все, включать по одному без сети и форматировать наглуха, переустанавливая шиндовс.
Почему Петя так сильно всколыхнул этот мир.
Если кто не в курсе, не мониторит Hacker News и порталы по безопасности - Петя не покидает топов новостей с вечера 27 июня. Почему? Да потому что это оружие кибер-войны, которое впервые применили в мире. Украина стала первой в мире жертвой массовой атаки на экономику посредством информационных технологий. И это очень плохо, это показывает, что киберпанк гораздо ближе, чем казалось месяц назад. Это очень плохо, потому что государства начнут закручивать гайки - чтобы ситуации с Украиной не повторилось. Но это и хорошо - наглядно показана слабость государства в этом вопросе. Теперь государства начнут выделять деньги на киберзащиту, а это значит гранты для студентов-айтишников и готовые рабочие места для новых безопасников. Ну или великий китайский фаерволл станет реальностью не только в Китае)