Новости: 07.07.2017 | Вирус NotPetya является кибероружием

Исследователями были выяснены реальные мотивы, по которым был создан вирус NotPetya.

Известный вымогатель?

Вирус под названием Petya.A, который также известен под именами Petna, SortaPetya, NotPetya, за 2 дня зашифровал информацию на тысячах ПК по планете, в реальности выступает не программой для вымогательства средств, а кибероружием.

Как показывает анализ, что проводили эксперты из «Касперского» и Comae Technologies, вредонос является инструментом для удаления информации с жесткого диска для саботажа работы компаний.

По отметке исследователей, вирус на самом деле действует как вымогатель, но не дает возможности восстановления информации. Дело заключается даже не в том, что немецкий сервис Posteo, который использовались преступники, заблокировал их учетку. NotPetya генерирует случайный идентификатор для зараженного ПК, где хранит информацию о каждой системе с заражением и ключ для дешифрования.

Как объясняет эксперт А. Иванов, так как NotPetya создает случайные данные для любого идентификатора, процесс расшифровывания нереален. Иными словами, даже если жертва платит выкуп, нет шансов получения своих файлов назад. Из-за этого специалисты сделали вывод, что основной целью операторов выступает не финансовая выгода, а саботаж.

Хаос везде

Преступники желали не обогащения, а хаоса. За 2 дня заплатили выкуп только 45 жертв вируса NotPetya. Именно столько переводов было произведено на кошелек с биткоинами, что указан в уведомлении с требованием заплатить.

Вообще, киперпреступники получили на этом вирусе только 3,99 биткоина, что означает 10,3 тыс. долларов. Данная сумма очень мала в сравнении с 1 млн., который был получен вымогателем Erebus.

Следует заметить, что этот вирус не удаляет информацию с жесткого диска, но шифрует ее так, что невозможно восстановить. Если верить твиттеру автора оригинального Petya, то NotPetya – это не его работа. Аналогичное заявление было сделано разработчиком Aes-NI, касаемо XData.

А NotPetya и XData применяли аналогичные векторы атаки – обновление программы для ведения бухгалтерского учета, что применяется украинскими компаниями. Может быть, за обоими вирусами стоят одни и те же организации.

Работа над ошибками

В новой атаке можно заметить серьезную работу над ошибками, которая была проделана создателями WannaCry. В первую очередь, применялся массовый метод первого заражения. Как говорится в исследовании вируса, первые атаки произведены после обновления популярной иностранной системы, аналога 1С. Несложно предполагать, что подобный системы между собой взаимодействуют на планете, что является помощью для распространения.

Кроме того, к имеющимся инструментам WannaCry добавились новые для взлома и распространения в сети – если ранее WannaCry применял уязвимость протокола SMB, то новый вирус применяет еще инструменты PSExec и WMI. Кроме того, к эксплойту Eternalblue добавились еще функции Eternalromance. А через почту шифр распространяется путем применения уязвимости ОС Windows под номером CVE-2017-0199.