Вирус Petya мог стартовать в Бахмуте, а его цель - не деньги, а стирание данных и хаос

Последнюю глобальную кибератаку в мире мог устроить как парень, сидящий в подвале, так и специалисты на уровне государства. Такие неутешительные данные предоставили в ООН.

По словам главы Глобальной программы ООН по киберпреступности Нила Уолша, инициаторы новой атаки не опытны в вопросе сбора выкупа от жертв в обмен на разблокировку их компьютеров. Это, по его информации, позволило 28 июня заблокировать учетную запись, а также сделать невозможным получение средств. Однако хакеры в этот раз использовали намного более сложное программное обеспечение, нежели то, которое применялось в предыдущих атаках с применением вируса WannaCry (WCry). Таким образом получается, что появилась глобальная уязвимость сети, и пока неясно, как с ней бороться.

Эксперты отмечают, что вирус Petya только маскируется под вымогателя, однако основная его цель – безвозвратно удалять все данные с зараженного компьютера. Как заявил в блоге основатель фирмы по кибербезопасности Comae Мэтт Суиче, проведенные исследования показали, что текущая версия вируса Petya переписана, и теперь он работает на уничтожение данных, а не на шифрование для дальнейшего требования выкупа. Суиче рассказал, что вирус Petya 2016 года и 2017 года разительно отличаются друг от друга. Так, версия вируса 2016 года корректно считывает каждый секторный блок диска и обратимо кодирует их, в то время, как новая модификация вируса намеренно перезаписывает сектора, которые впоследствии не читаются и нигде не сохраняются. 

С мнением Мэтта Суиче согласен еще один эксперт по кибербезопасности, главный научный сотрудник F-Secure Микко Хайппенен. В своем микроблоге Twitter он продемонстрировал фото с компьютера вице-премьер-министра Украины Павла Розенко и подчеркнул, что вот как выглядит вирус Petya, когда он шифрует жесткий диск. По словам Хайппенена, у всех жертв вирус требовал $300 и давал один и тот же адрес для перечисления. Семь человек успели перечислить средства до того, как адрес электронной почты был уничтожен киберполицией. Вместе с тем, никто из жертв, отправивших деньги, не получил свои файлы обратно.

Хайппенен также сообщил в Twitter, что румынский антихакер, ведущий эксперт по безопасности «Лаборатории Касперского» в регионе ЕЕМЕА Костин Райю подтвердил, что началом инициализации вируса Petya стала домашняя страница в городе Бахмут Донецкой области в Украине. Как предположил Костин Райю, вирус распространялся географически избирательно. «Возможно, он нацелен на посетителей географически (моя догадка, только UA)», - добавил эксперт.

Некоторые эксперты высказали мнение, что атака была замаскирована для отвлечения внимания от нападения на Украину, организованного Кремлем в рамках продолжающейся гибридной войны. К этой же версии происходящего склоняются и высшие чиновники не только в Украине, но и в странах Евросоюза. В частности, министр национальной обороны Польши Антоний Мацеревич заявил, что не стоит исключать возможную причастность России к последней кибератаке в Украине и Европе.

«Это - серьезная атака, которая имеет схожие характерные признаки той, что произошла месяц назад. Сейчас она сконцентрировалась на одной стране - Украине, хотя и поразила почти всю западную Европу и некоторые другие страны, институты и организации, связанные с Украиной», - сказал Мацеревич.

Отметим, что в департаменте киберполиции Национальной полиции Украины выяснили, что вирус Petya распространялся с помощью бухгалтерского программного обеспечения M.E.Doc, разработанного в Украине. Разработчика пока ни в чем не подозревают, тем более, что он сам обратился в киберполицию и максимально содействует расследованию атаки. Эти сведения подтвердили и в компании Microsoft. По их данным, существуют убедительные доказательства, что процесс заражения компьютеров начался и установкой обновления M.E.Doc. В Украине от атаки вируса пострадали 12 500 компьютеров. В Microsoft также подчеркнули, что вирус после Украины распространился в 64 других странах.

За вирусом следят также и в Европоле. Как подчеркнул в комментарии «Громадському» директор Европола Роб Вайнрайт, пользователям, чьи компьютеры заражены вирусом, ни в коем случае не стоит платить хакерам. Он отметил, что вирус похож на WannaCry, заразивший компьютеры десятков компаний в мае 2017 года, но при этом является более сложным. «Это демонстрация того, как киберпреступность развивается в масштабах и опять-таки напоминает предприятиям о важности принятия ответственных мероприятий по кибербезопасности», - сказал он.

Для Украины эта атака стала важным толчком и поводом озаботиться еще больше тем фактом, что война с Россией идет не только на Донбассе, но уже и внутри страны. Обычный вирус на несколько часов парализовал работу Кабмина, банков и самых больших компаний. Никто на данный момент не может сказать, откуда придет следующий удар, но, учитывая урон от предыдущего, в том, что он повторится, сомнений практически нет, ведь война все еще продолжается.  

Читайте также: Мнение соцсетей, которые после вируса-вымогателя Petya констатируют наличие «вирусов» Vitalya и Skotyniaka.