Вирус-вымогатель оказался вовсе не вымогателем

К такому выводу пришли эксперты «Лаборатории Касперского» и Comae
Вирус-вымогатель оказался вовсе не вымогателем
Вирус-вымогатель оказался вовсе не вымогателем / Vadim Ghirda / AP

Атаковавший компании всего мира вирус-вымогатель оказался вовсе не вымогателем. Он безвозвратно шифрует файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена. К таким выводам пришли эксперты из «Лаборатории Касперского» и компании Comae, также занимающейся кибербезопасностью.

Когда файлы жертв оказывались зашифрованы, на экране их компьютеров появлялось сообщение с требованием заплатить выкуп в размере $300 в биткоинах в обмен на ключ дешифрования файлов. Попытки самостоятельного восстановления доступа бесполезны, предупреждал вирус. К сожалению, это правда, констатировали эксперты.

После уплаты выкупа якобы для разблокировки компьютера-жертвы на указанный хакерами адрес нужно было отправить уникальный номер биткоин-кошелька плательщика и ID его компьютера, который выводил на экран шифровальщик. В других версиях вирусов-шифровальщиков ID содержит информацию, необходимую для расшифровки файлов жертвы: получив ID, хакеры должны выработать с его помощью ключ дешифрования и прислать жертве. Но ExPetr (так называется эта модификация известного шифровальщика) показывал жертвам случайный набор символов, пришли к выводу эксперты «Лаборатории Касперского». Значит, никакой полезной информации для дешифрования файлов из него не извлечь. Это вторая причина, по которой не стоит надеяться на разблокировку файлов, а первая — e-mail адрес злоумышленников уже заблокирован.

Кто пострадал от вируса?

«Лаборатория Касперского» насчитала свыше 2000 зараженных компаний на Украине (60% от всех заражений). На втором месте – Россия (30%), далее идут Польша (около 5%), далее Италия, Германия, Белоруссия, Бразилия. У ESET другие данные: на Украину приходится 75,24% заражений, за ней следует Германия (9,06%), Польша (5,81%), а Россия на седьмом месте с 0,82% заражений. Среди пострадавших – «Роснефть», «Газпром» (об этом сегодня сообщил Reuters), Evraz, украинские «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, операторы «Киевстар», LifeCell, «Укртелеком», а также Чернобыльская АЭС. Среди глобальных компаний пострадала датская судоходная компания A.P. Moller-Maersk, владелец крупнейшего в мире морского контейнерного перевозчика Maersk Line.

Такие вредоносные программы называются Wiper, объясняет эксперт Comae. В отличие от вымогателей (ransomware), их цель – просто нанести ущерб и исключить возможность восстановления.

Несмотря на массовый характер заражения (см. врез), вряд ли вирус собрал много денег. К 19.30 среды он сумел заработать лишь около $10 100, следует из данных его биткоин-кошелька. Выкуп ему заплатили 45 раз, при этом на счете создателя скопилось 3,99 единицы криптовалюты биткоин (BTC), который, по данным Coinmarketcap, вчера вечером стоил $2533. На момент публикации заметок новых платежей на кошелек не поступило.

Вчера аналитики Microsoft, ESET и «Лаборатории Касперского» отследили источник начавшейся вчера кибератаки вируса-шифровальщика, парализовавшего работу множества компаний по всему миру. Это украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота, говорится в техническом блоге американской корпорации. Такие же данные и у департамента киберполиции Украины.

M.E.Doc на своей странице в Facebook опровергает, что явилась источником заражения, и сообщает, что также пострадала от кибератаки.

Департамент киберполиции Национальной полиции Украины сегодня сообщил, что за последние двое суток к нему обратилось 1508 юридических и физических лиц с сообщениями о вирусе-шифровальщике. Заявления подали 152 компании и 26 госорганов, а остальные хотели проконсультироваться.

Как защититься от вируса-шифровальщика