Кто пострадал от вируса-вымогателя Petya.A и как от него защититься

Атаке подверглись более 80 компаний из России и Украины.

27 июня сети многих российских и украинских компаний поразил вирус-шифровщик, похожий на Petya.A. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).

Сайты многих ведомств, предприятий и подразделений оказались недоступны. По оценкам cпециалистов по кибербезопасности, речь идёт минимум о 80 пострадавших компаниях.

Продолжение (18:47): Компании по всему миру, в том числе из Испании, Франции и Дании, сообщили об атаке Petya.A.

Вирус атаковал киевский аэропорт Борисполь, в руководстве которого предупредили о возможных задержках рейсов. Обновлено (28 июня 9:40): Международный Аэропорт Харькова временно перешёл на регистрацию в ручном режиме.

Шифровальщик добрался до киевского метро, где заразил терминалы пополнения проездных билетов. Оплату банковскими картами временно приостановили.

Атаке подверглись компьютерные сети правительства Украины. Вирус-вымогатель распространился в кабинет министров. Сайт правительства оказался недоступен.

Энергетические компании также столкнулись с вирусом-вымогателем: cообщалось об атаках на «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровскую электроэнергетическую систему». В компании-операторе энергосистемы «Укрэнерго» заявили, что энергосистема работает в штатном режиме, а реальных угроз для производства вирус не нёс.

Вирус затронул Национальный банк Украины, в котором предупредили клиентов о сложностях с обслуживанием и банковскими операциями. Он также распространился на некоторые украинские банки, в том числе «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк». «Проминвестбанк» (украинская «дочерняя» компания ВЭБ) заявил, что ущерба для систем нет, а сотрудники «вовремя успели отключили все компьютеры от сети».

Шифровальщик попал на компьютеры в офисы украинских мобильных операторов «Киевстар», lifecell и «Укртелеком».

СМИ сообщили о том, что атака на Чернобыльскую атомную электростанцию привела к отключению сайта. Позже эту информацию подтвердили в Агентстве по управлению зоной отчуждения. Все компьютеры временно отключали, а систему мониторинга перевели в ручной режим. О превышении радиационного фона не сообщалось.

Одной из первых о «мощной хакерской атаке» на свои серверы объявила «Роснефть». В компании избежали серьёзных последствий, перейдя на резервную систему управления. Сообщения о сбоях при добыче и подготовке нефти в «Роснефти» опровергли, а заодно заподозрили в причастности к кибератаке тех, кто распространяет слухи.

По данным СМИ, атаке подверглась «Башнефть», включая управление и структуру, отвечающую за добычу нефти. Все компьютеры компании «единомоментно перезагрузились», скачали неустановленное программное обеспечение и вывели на экран заставку вируса».

Центральный банк России выявил единичные случаи заражения вирусом информационной инфраструктуры российских кредитных организаций. ЦБ заявил, что «работа систем банков и предоставление сервисов клиентам» не нарушались. При этом атака обрушилась на банк «Хоум Кредит». Все отделения кредитной организации приостановили работу и начали проверку безопасности.

Также шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович. На предприятии отметили, что угрозы безопасности нет, а работу не прекращали.

Специалисты по кибербезопасности из компании Group-IB сообщили, что вирус затронул компанию Mars. В компании пояснили, что «сложности с IT-системами» возникли только у бренда корма для животных Royal Canin.

Среди жертв вируса, по данным Group-IB, оказались Nivea, TESA и производитель шоколада Alpen Gold — Mondelez International. Атаке подверглись «Новая Почта», а также подразделения логистической компании Damco в России и Европе.

На работе систем Кремля и администрации президента России атака не сказалась.

Для того, чтобы прекратить распространение вируса, необходимо закрыть TCP-порты 1024–1035, 135 и 445, объяснил руководитель криминалистической лаборатории Group-IB Валерий Баулин. Подробные инструкции о том, как это сделать, размещены на специализированных сайтах.

Обновлено (18:50): В «Лаборатории Касперского» сообщили TJ, что пользователям сервиса необходимо убедиться, что защита включена и использует актуальную вирусную базу.

Обновлено (28 июня 9:40): Рекомендации по борьбе с шифровщиком выпустил производитель антивирусного программного обеспечения Symantec. Пользователям посоветовали имитировать ситуацию с заражением компьютера.

Вирус ищет файл в директории C:\Windows\perfc. Для того, чтобы имитировать ситуацию с заражением, следует создать, например, в программе «Блокнот» файл perfc и разместить его в указанной папке на этом диске.

Файл должен быть без расширения. При его наличии вирус не будет заражать компьютер.

В Group-IB заявили, что атака Petya.A не связана с вирусом-вымогателем WannaCry, поразившим компьютеры по всему миру в мае 2017 года. По данным специалистов, относительно недавно шифровальщик использовала группа Cobalt, которая хотела скрыть следы целевой атаки на финансовые учреждения.

В новой версии Petya от 18 июня этого года есть поддельная цифровая подпись Microsoft, заявил глава международного исследовательского подразделения «Лаборатории Касперского» Костин Райю. По его словам, вирус начал распространяться по всему миру.

Гендиректор ГК InfoWatch Наталья Касперская подтвердила, что Petya.A обнаружили ещё год назад (точнее — в апреле 2016 года). Первый вариант, по её словам, был бессильным, если ему не давались права администратора.

В «Лаборатории Касперского» сообщили о начале расследования. Пока известно, что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения, а следовательно, является новой модификацией. В компании подтвердили, что больше всего заражений произошло в России и Украине. При этом появилась информация о появлении вируса в других странах.

Несмотря на отсутствие прямой связи Petya.A с WannaCry, похоже, что он также заражает компьютеры через фишинговые сообщения и вредоносные вложения, открытые с помощью электронной почты. WannaCry пользовался уязвимостью, для защиты от которой достаточно было обновиться и скачать патч.