30.06.2017
Источник:
Ведомости
К такому выводу пришли эксперты «Лаборатории Касперского» и Comae
Атаковавший компании всего мира вирус-вымогатель оказался вовсе не вымогателем. Он безвозвратно шифрует файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена. К таким выводам пришли эксперты из «Лаборатории Касперского» и компании Comae, также занимающейся кибербезопасностью.
Когда файлы жертв оказывались зашифрованы, на экране их компьютеров появлялось сообщение с требованием заплатить выкуп в размере $300 в биткоинах в обмен на ключ дешифрования файлов. Попытки самостоятельного восстановления доступа бесполезны, предупреждал вирус. К сожалению, это правда, констатировали эксперты.
ЦБ продолжает фиксировать попытки кибератак на банки
После уплаты выкупа якобы для разблокировки компьютера-жертвы на указанный хакерами адрес нужно было отправить уникальный номер биткоин-кошелька плательщика и ID его компьютера, который выводил на экран шифровальщик. В других версиях вирусов-шифровальщиков ID содержит информацию, необходимую для расшифровки файлов жертвы: получив ID, хакеры должны выработать с его помощью ключ дешифрования и прислать жертве. Но ExPetr (так называется эта модификация известного шифровальщика) показывал жертвам случайный набор символов, пришли к выводу эксперты «Лаборатории Касперского». Значит, никакой полезной информации для дешифрования файлов из него не извлечь. Это вторая причина, по которой не стоит надеяться на разблокировку файлов, а первая — e-mail адрес злоумышленников уже заблокирован.
Такие вредоносные программы называются Wiper, объясняет эксперт Comae. В отличие от вымогателей (ransomware), их цель – просто нанести ущерб и исключить возможность восстановления.
Несмотря на массовый характер заражения (см. врез), вряд ли вирус собрал много денег. К 19.30 среды он сумел заработать лишь около $10 100, следует из данных его биткоин-кошелька. Выкуп ему заплатили 45 раз, при этом на счете создателя скопилось 3,99 единицы криптовалюты биткоин (BTC), который, по данным Coinmarketcap, вчера вечером стоил $2533. На момент публикации заметок новых платежей на кошелек не поступило.
Вирус-вымогатель начал распространяться с Украины
Вчера аналитики Microsoft, ESET и «Лаборатории Касперского» отследили источник начавшейся вчера кибератаки вируса-шифровальщика, парализовавшего работу множества компаний по всему миру. Это украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота, говорится в техническом блоге американской корпорации. Такие же данные и у департамента киберполиции Украины.
M.E.Doc на своей странице в Facebook опровергает, что явилась источником заражения, и сообщает, что также пострадала от кибератаки.
Департамент киберполиции Национальной полиции Украины сегодня сообщил, что за последние двое суток к нему обратилось 1508 юридических и физических лиц с сообщениями о вирусе-шифровальщике. Заявления подали 152 компании и 26 госорганов, а остальные хотели проконсультироваться.
Как защититься от вируса-шифровальщика
И домашним, и корпоративным пользователям нужно обновлять системы безопасности (включая антивирус) и операционную систему вместе с появлением их новых версий
