Вирус-вымогатель оказался вовсе не вымогателем

К такому выводу пришли эксперты «Лаборатории Касперского» и ComaeАтаковавший компании всего мира вирус-вымогатель оказался вовсе не вымогателем. Он безвозвратно шифрует файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена. К таким выводам пришли эксперты из «Лаборатории Касперского» и компании Comae, также занимающейся кибербезопасностью.

Когда файлы жертв оказывались зашифрованы, на экране их компьютеров появлялось сообщение с требованием заплатить выкуп в размере $300 в биткоинах в обмен на ключ дешифрования файлов. Попытки самостоятельного восстановления доступа бесполезны, предупреждал вирус. К сожалению, это правда, констатировали эксперты.

После уплаты выкупа якобы для разблокировки компьютера-жертвы на указанный хакерами адрес нужно было отправить уникальный номер биткоин-кошелька плательщика и ID его компьютера, который выводил на экран шифровальщик. В других версиях вирусов-шифровальщиков ID содержит информацию, необходимую для расшифровки файлов жертвы: получив ID, хакеры должны выработать с его помощью ключ дешифрования и прислать жертве. Но ExPetr (так называется эта модификация известного шифровальщика) показывал жертвам случайный набор символов, пришли к выводу эксперты «Лаборатории Касперского». Значит, никакой полезной информации для дешифрования файлов из него не извлечь. Это вторая причина, по которой не стоит надеяться на разблокировку файлов, а первая — e-mail адрес злоумышленников уже заблокирован.

Такие вредоносные программы называются Wiper, объясняет эксперт Comae. В отличие от вымогателей (ransomware), их цель – просто нанести ущерб и исключить возможность восстановления.

Несмотря на массовый характер заражения (см. врез), вряд ли вирус собрал много денег. К 19.30 среды он сумел заработать лишь около $10 100, следует из данных его биткоин-кошелька. Выкуп ему заплатили 45 раз, при этом на счете создателя скопилось 3,99 единицы криптовалюты биткоин (BTC), который, по данным Coinmarketcap, вчера вечером стоил $2533. На момент публикации заметок новых платежей на кошелек не поступило.

Вчера аналитики Microsoft, ESET и «Лаборатории Касперского» отследили источник начавшейся вчера кибератаки вируса-шифровальщика, парализовавшего работу множества компаний по всему миру. Это украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота, говорится в техническом блоге американской корпорации. Такие же данные и у департамента киберполиции Украины.

M.E.Doc на своей странице в Facebookопровергает, что явилась источником заражения, и сообщает, что также пострадала от кибератаки.

Департамент киберполиции Национальной полиции Украины сегодня сообщил, что за последние двое суток к нему обратилось 1508 юридических и физических лиц с сообщениями о вирусе-шифровальщике. Заявления подали 152 компании и 26 госорганов, а остальные хотели проконсультироваться.

Как защититься от вируса-шифровальщикаИ домашним, и корпоративным пользователям нужно обновлять системы безопасности (включая антивирус) и операционную систему вместе с появлением их новых версийСоздавайте резервные копии данных. Они позволят восстановить файлы, а зараженный жесткий диск можно будет просто отформатироватьНе открывайте подозрительные письма и предупредите об опасности своих сотрудников. Часть заражений случались из-за писем в отделы кадров украинских компаний – сотрудники получали якобы резюме от соискателей. На самом деле при открытии они запускали заражение. Вредоносный контент могут содержать любые вложения – doc, docx, xls, xlsx, rtf. Сотрудникам нужны регулярные тренинги по безопасности и регулярные проверки. Причем на тренингах нужно демонстрировать практические примеры методов социальной инженерииНедостатки систем защиты нужно выявлять регулярными аудитами систем безопасности и тестированием на проникновение. Заказать эту услугу можно у профильных компанийНельзя скачивать никакое программное обеспечение из непроверенных или подозрительных источниковЕсли компания может без ущерба для бизнеса перейти на менее популярную ОС, нужно это сделать. Две последние волны шифровальщиков (WannaCry и модификация Petya) нацелены на популярные Windows-системы. По данным аналитического сервиса Netmarketshare, в мае они были установлены на 91,64% компьютеров в мире. Киберпреступники ориентированы на извлечение максимальной выгоды. Но в долгосрочной перспективе, если популярность Windows пойдет на спад, это спровоцирует всплеск появления вирусов под Mac и другие ОСНе вставляйте в компьютер неизвестные флешкиЕсли шифровальщик проник в какую-то часть сети, быстро ее изолируйте. Если компьютер уже начал шифроваться, то нужно его сразу выключитьВ случае заражения экстренно поменяйте все пароли привилегированных пользователей и отберите права администраторов у всех, кому они не нужны. Также пока все компьютеры сети не получат обновлений, не подключайте к ней ноутбукиНе платите выкуп: это лишь спонсирование киберпреступников, и не факт, что они вышлют ключи дешифрования. Советы давали Acronis, «Доктор Веб», CheckPoint, Positive Technologies, Group-IB