Крупная атака приложения-вымогателя проводится на этой неделе на европейские организации, напоминая о неприятностях начала мая в виде атаки WannaCry. Больше других пострадала Украина, в том числе Центральный банк, метро и Киевский аэропорт. Затронута и энергетическая компания Укрэнерго, хотя на поставки электричества потребителям это не повлияло.
О проблемах сообщает работающая в сфере доставок датская компания Maersk, есть пострадавшие во Франции и Великобритании. В России затронуты компьютеры компании Роснефть, хотя степень поражения неизвестна. Специалисты лаборатории Касперского определили вирус как Petrwrap, что относит его к семейству приложений-вымогателей Petya, о котором мы сообщали в прошлом году. Один из обнаруженных образцов кода был скомпилирован 18 июня, так что он занимается инфицированием компьютеров уже больше недели. Несмотря на это, сканер VirusTotal показывает, что эту версию вымогателя способны определить всего 4 антивируса из 61.
Метод распространения вымогателя пока неизвестен. Некоторые утверждают, что используется тот же самый эксплоит EternalBlue, который задействовал вымогатель WannaCry, но с этим согласны не все исследователи. Данный эксплоит был опубликован в апреле хакерской группой Shadow Brokers, его автором является Агентство Национальной Безопасности США, используется протокол Windows SMB. Microsoft уже закрыла эту уязвимость во всех версиях Windows, включая Windows XP, однако далеко не все пользователи и организации регулярно ставят последние обновления. Эта уязвимость задействует не только вымогателей, но и вирусы, которые превращают инфицированные компьютеры в криптомайнеры.
В данном случае Petrwrap является простым приложением-вымогателем. Файлы на компьютерах шифруются, размер выкупа в биткоинах составляет $300. На кошелек уже зафиксировано восемь денежных переводов, сумма которых составляет около $2300. Пока неизвестно, были возвращены файлы после получения выкупа или нет. Источник атаки также остаётся неизвестным.