Petya использовал уязвимость, которой пользовались американские спецслужбы

Вчера вирус-вымогатель под названием Petya парализовал работу десятков компаний по всей Украине. В "Борисполе" второй день не работают компьютеры и табло вылетов. 

О том, как вообще стала возможной такая масштабная хакерская атака в Украине, и об особенностях вируса Petya "Страна" поговорила с Дмитрием Дубилетом,  бывшим IT-директором "ПриватБанка", а ныне — координатором проекта iGov и сооснователем Fintech Band. 

— Как вы оцениваете вчерашнюю хакерскую атаку, которая "положила" пол-страны?

— В интересное время живем.

— Из-за чего такая атака в Украине вообще стала возможна? Недостаточное внимание к кибербезопасности на уровне государства или другие причины?

— Я бы не сказал, что беда в низком уровне развития компьютерных систем в нашей стране. Конечно, он ниже, чем в развитых странах, так как мы беднее, но похожая история ведь периодически возникает и за границей. Еще недавно мы наблюдали гордое шествие вируса WannaCry (жертвами вируса-вымогателя WannaCry  в мае этого года стали более 200 тысяч компьютеров в 150 странах, в основном это представители бизнеса, включая огромные корпорации — Прим.ред.).

— Почему одни компании смогли не "подцепить" этот вирус (среди которых, кстати, и "Приватбанк", в котором вы работали), а другие — нет?  Чем это объяснить? Ненадежным антивирусом, несовершенством операционной системы? Ведь Petya поражал только Windows.

— Конкретно в случае с этим вирусом самый простой рецепт не подцепить его — пользоваться не Windows, а другой операционной системой. В Привате, например, почти все наши станции работали на Linux (наша версия Ubuntu). И дело не в том, больше Windows защищен или меньше по сравнению с другими ОС, а в том, что он — самая массовая ОС, потому вирусы обычно создают именно под него.

— Кто виноват в том, что вирус “заразил” так много компаний, и как вообще ему это удалось?

— Искать тут виноватых не нужно. А вообще интересно, что вирус использовал уязвимость, которой в свое время пользовались американские спецслужбы (NSA) в своих интересах. Но в прошлом году NSA сами стали жертвами утечки данных, и наружу вытекла информация о куче "дырок", которыми они пользовались (от "дырок" в смартфонах до телевизоров). В том числе стала публичной информация об этой конкретной уязвимости в Windows, которую использовал недавно и WannaCry, и этот Petya.

— Как защитить на будущее всю компьютерную систему в стране от таких атак и сколько это будет стоить, если подойти к вопросу кибербезопасности системно?

— Такого понятия, как компьютерная система страны, не существует. Есть множество отдельных индивидуумов, компаний и госорганизаций. Не хочется быть капитаном очевидность, но в любом случае в работе с компьютерами нужно соблюдать элементарные правила гигиены: вовремя бекапиться, обновлять систему, не открывать подозрительные файлы и так далее.

Если мы говорим о государственных органах, то кибербезопасность — это частный вопрос более широкого вопроса IТ. С IТ в нашем государстве, по моей оценке, все грустно. И вопрос вообще не в бюджетах на IТ (бюджеты как раз, по моей оценке, в Украине слишком раздутые), а в том, что, к сожалению, у нас катастрофически мало компетентных управленцев, которые хоть что-то понимают в IТ.

Автор Анастасия Товт

З.Ы. Не все так просто, как он говорит, но про утечку информации из NSA - абсолютно точно. Об этом еще WikiLeaks писал. На данный момент эксперты Лаборатории Касперского видят несколько векторов распространения вируса. Помимо писем, использовались взломанные и зараженные сайты, при заходе на которые пользователи автоматически получали вредоносный файл, замаскированный под системное обновление. Также для распространения инфекции использовалась система автоматического обновления некоторых сторонних программ — в частности, программы для банковской отчетности M.E.Doc. Иными словами, предугадать, как именно злоумышленники попытаются добраться до своих жертв, нельзя.

В отличие от WannaCry, утвердившись на одной из машин, ExPetr расползается по локальной сети гораздо эффективнее, так как обладает расширенным набором инструментов для этого. Во-первых, он использует как минимум два эксплойта — модифицированный EternalBlue (применявшийся в немодифицированном виде в WannaCry) и EternalRomance (еще один эксплойт, работающий через TCP-порт 445). Во-вторых, заразив машину, пользователь которой имеет права администратора, вирус может распространяться через технологию Windows Management Instrumentation (WMI) или же при помощи утилиты для удаленного управления компьютером PsExec.

Если компьютер уже заражен данным шифровальщиком и файлы заблокированы, уплата выкупа не поможет вам вернуть файлы. Проведенный экспертами Лаборатории Касперского анализ показал, что у жертв изначально не было шансов вернуть свои файлы.

Исследователи Лаборатории Касперского проанализировали ту часть кода вируса, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.