Тайна вируса Petya раскрыта: это кибероружие. Анализ кода
Однажды мне рассказали историю о враче-онкологе, которая показала своим студентам снимок раковой опухоли и сказала с восхищением: “Только посмотрите, какой совершенный рак!”. Именно такие чувства возникают у меня при взгляде на код вируса “Petya A”,
Однажды мне рассказали историю о враче-онкологе, которая показала своим студентам снимок раковой опухоли и сказала с восхищением: “Только посмотрите, какой совершенный рак!”.
Именно такие чувства возникают у меня при взгляде на код вируса “Petya A”, на днях массового атаковавшего информационные системы в Украине, а затем и по всем миру. Reverse engineering этого кода осуществили специалисты компании ISSP ( Information Systems Security Partners). Специалисты в сфере информационной безопасности могут сами ознакомится с этим кодом по ссылке . А для всех остальных я коротко изложу суть того, что может сделать с вашим компьютером вирус Petya A.
Наверное, прежде всего очень многих впечатлит такая его способность, состоящая из двух пунктов: 1) определить, есть ли на компьютере антивирус Касперского, Norton или Semantec; 2) отключить этот антивирус.
Но профессионалов в сфере кибербезопасности это наверняка особо не впечатлит: для них давно не секрет, что все серьезное вредоносное програмное обеспечение тестируется на уязвимость к антивирусу — до тех пор, пока приобретет неуязвимость к нему. Поэтому антивирусы сегодня могут защищать только от старых и примитивных вредоносных программ.
Специалистов гораздо больше впечатлят иные способности “Пети А”.
Но прежде чем перейти к ним, уточню: как я и прогнозировал уже в первый день кибератаки, расшифровать заражённые компьютеры не получится: вирус использует ассиметричную криптографию, то есть для каждого зараженного компьютера существует персональный private key. Те, кто знаком с криптографией, прекрасно понимает, что это значит, для всех остальных просто скажу, что расшифровать зашифрованные “Петей” диски невозможно. Может, когда-нибудь в будущем – когда квантовые компьютеры станут реальностью. А пока с потерянными данными придётся распрощаться.
Итак, что сделает «Петя» с вашим компьютером, если попадет на него?
После того как он идентифицирует и отключит антивирус, «Петя» зашифрует данные на вашем диске (файлы с расширениями ( .3ds .7z .accdb .ai. asp. aspx avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc), стирает MBR (область загрузки) и очистит логи, чтобы максимально усложнить понимаени того, как к он к вам попал. А затем, после перезагрузки, выведет на экран баннер с требованием перевести деньги за расшифровку.
Но это далеко не все. Попав на компьютер, вирус запускает программу Мimikatz, с помощью которой извлекает credentials остальных хостов, находящихся в локальной сети — и заражает их. Помимо этого, авторы доклада предполагают, что вирус оставляет на зараженных компьютерах бекдоры (пути для последующих вторжений).
Подробно код вируса вы можете посмотреть в докладе. Но самое интересное все же кроется в выводах.
Самое главное: авторы доклада убеждены, что нынешняя модификация «Пети» – это не что иное, как кибероружие.
И это кибероружие имеет несколько главных целей.
1) Скрывать последствия предыдущих атак по типу APT (Advanced Persistatnt Threat) – наиболее мощного, сложного и опасного вредоносного програмного обеспечения, которому я как-нибудь посвящу отдельный пост. Это может означать, что атакованные компьютеры были еще до нынешней кибератаки заражены каким-то вредоносным ПО, но что именно оно делало и какой вред наносило, теперь уже никто не узнает. Впрочем, тем организациям, которые не пострадали от атаки, не мешало бы самым тщательным образом проверить свои жесткие диски.
2)демонстрация кибермощи и тренировка выполнения массивных скоординированных кибервторжений
3) испытание нового кибероружия и возможностей систем безопасности противостоять ему, особенно скорость реакции и восстановления атакованных систем
4)Подготовка к следующей атаке или массированному скоординированному кибервторжению
5) Тренировка выполнения массового скоординированного кибервторжения в комбинации с элементами гибридной войны.
Итак, теперь мы знаем, что «Petya A» – это не просто криминальный инструмент. Это кибероружие. А значит, неизбежно будет и следующий киберудар – гораздо более серьезный, чем этот. И надо использовать все имеющееся время для того, чтобы приготовиться отбить его с минимальными потерями.
- Жіноче лідерство в українському бізнесі: трансформація, яка вже відбулася Наталія Павлючок 09:50
- Проведення перевірок в частині вчинення мобінгу: внесено зміни до законодавства Анна Даніель 01:16
- Суд не задовольнив позов батька-іноземця про зміну місця проживання дитини Юрій Бабенко вчора о 17:15
- Як повернутись до програмування після довгої IT-перерви Сергій Немчинський вчора о 16:39
- Моральна шкода за невиконання рішення суду Артур Кір’яков вчора о 14:21
- Путінський режим знову показує своє справжнє обличчя: цього разу – проти азербайджанців Юрій Гусєв вчора о 10:51
- Зелений прорив 2025: як відновлювана енергетика відкриває шлях для України Ростислав Никітенко вчора о 10:22
- "Розумні строки" протягом 1200 днів: чому рішення у справі стає недосяжним Максим Гусляков 28.06.2025 20:49
- Мир начал избавляться от иллюзий, связанных с ИИ Володимир Стус 27.06.2025 23:54
- Триваюче правопорушення – погляд судової практики Леся Дубчак 27.06.2025 16:19
- Дике поле чи легальна сила: навіщо Україні закон про приватні військові компанії (ПВК)? Галина Янченко 27.06.2025 16:03
- Реформа "турботи" Андрій Павловський 27.06.2025 12:07
- Оцінка девелоперського проєкту з позиції мезонінного інвестора, як визначити дохідність Роман Бєлік 26.06.2025 18:39
- Весна без тиші: безпекова ситуація на Херсонщині Тарас Букрєєв 26.06.2025 17:24
- Краще пізно, ніж бідно: чому після 40 саме час інвестувати в фондовий ринок Антон Новохатній 26.06.2025 16:20
- Президент поза строком: криза визначеності й мовчання Конституційного суду України 730
- "Розумні строки" протягом 1200 днів: чому рішення у справі стає недосяжним 300
- Реформа "турботи" 238
- Житлово-будівельні товариства: як знизити ризики у новому житловому будівництві 117
- Краще пізно, ніж бідно: чому після 40 саме час інвестувати в фондовий ринок 103
-
Літній базовий гардероб – 2025: як зібрати стильну і зручну капсулу – пояснює стилістка
Життя 7405
-
На Черкащині викрили незаконний видобуток каолінів: за майже три роки – 14 000 тонн
Бізнес 5370
-
21 удар по одному заводу. У Дрогобичі розповіли про наймасштабнішу атаку за час війни
Бізнес 5049
-
Антиамбітність – не лінь, а вибір: чому slow success набирає обертів
Життя 4226
-
Втратив бізнес в окупації та пережив два інсульти. Як ветеран відкрив поліграфічну фірму в Одесі
Бізнес 3177