Маркери зараження вірусом Petya.A

27 червня 2017 року українські компанії та установи були атаковані небезпечним вірусом-шифрувальником Petya.A. Іноземні та вітчизняні ІТ-спеціалісти одним із основних джерел розповсюдження вірусу назвали програмне забезпечення для звітності та документообігу M.E.doc. Крім того вірус розповсюджувався за допомогою фішингових повідомлень (спам із вкладеними файлами або посиланнями). Заражаються комп’ютери із операційною системою Windows (від ХP до 10). У локальних мережах вірус самостійно швидко поширюється, вражаються навіть інфраструктури із серйозним рівнем безпеки.

Основна небезпека від Petya.A полягає у виведенні з ладу завантажувального запису і шифруванні даних користувача (документів, таблиць, програм тощо). Після цього робота комп’ютера стає неможливою, з’являється повідомлення із вимогою надіслати 300 $ для дешифрування даних. Проте e-mail хакерів був заблокований у перший же день, і зв’язатися з ними для отримання інструкцій після оплати неможливо.

Пізніше було з’ясовано, що насправді даний вірус фактично є знищувачем даних, а не Ransomware (вимагачем грошей за відновлення даних), як це вважалося спочатку. Цей висновок випливає з аналізу роботи модифікації Petya.A. Він знищує перші 25 секторів завантажувального запису накопичувача (cектори просто перезаписуються). Початково збережені в них дані не зчитуються і нікуди не зберігаються в процесі зараження. Таким чином відновити і дешифрувати дані стає неможливо.

Також встановлено, що атаковані комп’ютери були заражені ще до 27 червня, і сам вірус був запущений як мінімум у трьох різних модифікаціях.

На поточний момент відомі такі маркери зараження:

  1. Наявність файлів:
    • C:\myguy.xls.hta
    • C:\Windows\perfc.dat
    • %APPDATA%\10807.exe
    • dllhost.dat
  2. Завдання в планувальнику завдань на перезавантаження, яке ви не створювали:
    • “%WINDIR%\system32\shutdown.exe /r /f”

05 червня на офіційній сторінці Департаменту кіберполіції НПУ в Фейсбук опубіковано пост, в якому підсумовуються основні моменти кібератаки за останні дні і зазначаються наступні рекомендації:

Департамент кіберполіції наполегливо рекомендує усім користувачам ПК, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.
Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *