Вариант вредоносного ПО Petya, поразивший бизнес во всем мире, возможно, не был попыткой заработать деньги, подозревают эксперты по безопасности.
Вредоносная программа потребовала оплату, чтобы разблокировать файлы, которые она скремблировала на зараженных компьютерах.
Однако все большее число исследователей полагают, что программа была запущена только для уничтожения данных.
Эксперты указывают на «агрессивные» функции вредоносного ПО, которые делают невозможным получение ключевых файлов.
Сбой
Мэтт Suiche, из охранной фирмы Comae, описал вариант как «очиститель», а не прямолинейный выкуп.
«Целью стеклоочистителя является уничтожение и повреждение», - писал он, добавив, что аспект рецессии программы был приманкой для создания медиапотоков
Хотя вариант Petya, который был нанесен этой неделе, имеет поверхностное сходство с оригинальным вирусом, он отличается тем, что он намеренно перезаписывает важные компьютерные файлы, а не просто шифрует их, сказал он.
Г-н Суйче писал: «2016 Петя модифицирует диск таким образом, что он может фактически вернуть свои изменения, тогда как 2017 г. Петя постоянно и необратимо повреждает диск».
Хотя вариант Petya, который был нанесен этой неделе, имеет поверхностное сходство с оригинальным вирусом, он отличается тем, что он намеренно перезаписывает важные компьютерные файлы, а не просто шифрует их, сказал он.
Г-н Суйче писал: «2016 Петя модифицирует диск таким образом, что он может фактически вернуть свои изменения, тогда как 2017 г. Петя постоянно и необратимо повреждает диск».
Антон Иванов и Орхан Мамедов из российской охранной фирмы «Лаборатория Касперского» согласились с тем, что программа была построена для уничтожения, а не сбора средств.
«Похоже, он был разработан как стеклоочиститель, притворяющийся выкупом», - сказали они.
Их анализ вредоносного ПО показал, что у него не было возможности генерировать полезный ключ для дешифрования данных.
«Это худшие новости для жертв», - сказали они. «Даже если они заплатят выкуп, они не вернут свои данные».
«Настоящий Петя был преступным предприятием за деньги», - писал он. «Это определенно не предназначено для зарабатывания денег».
Учетная запись Bitcoin, связанная с вредоносным ПО, теперь получила 45 платежей от жертв, которые заплатили более 10 000 долларов США (7 785 фунтов стерлингов) в цифровой кошелек.
Учетная запись электронной почты, через которую жертвы должны сообщать о том, что они заплатили, была закрыта немецкой фирмой, принимающей ее, закрывая единственную предполагаемую возможность общения с создателями вредоносного ПО.
Пульты управления
Известно, что в более чем 64 странах жертвами вредоносной программы стали организации.
Последним из них является фирма Nuance. В заявлении говорится, что «части» его внутренней сети были затронуты вспышкой. В нем говорилось, что он принял меры по сдерживанию угрозы и работал с охранными фирмами, чтобы избавиться от инфекции.
Первоначальный инфекционный вектор, похоже, широко используется в Украине для обработки налоговых платежей, и около 75% всех инфекций, вызванных этим вариантом Пети, были замечены в стране.
Представитель правительства Украины обвинил Россию в том, что она начала атаку.
«Трудно представить, что кто-то еще захочет это сделать», - сказал в интервью технологическому журналу Wired глава центра киберзащиты Украины Роман Боярчук.
Исследователь компьютерной безопасности Лесли Кархарт сказал, что вредоносное ПО сильно пострадало из-за того, как он путешествовал, когда он уклонился от цифровой защиты.
Г-жа Кархарт сказала, что вредоносное ПО злоупотребляло удаленными инструментами администрирования Windows, чтобы быстро распространяться во внутренних компьютерных сетях компании.
«Я, честно говоря, немного удивлен, мы не видели, как черви используют эти механизмы так элегантно в больших масштабах до сих пор», - писала она.
Использование этих инструментов оказалось эффективным, сказала она, поскольку мало кто из организаций защищает их использование, и даже если они это делают, действовать достаточно быстро, чтобы помешать вредоносному ПО, будет сложно.
Успех варианта «Петя», скорее всего, побудит других скопировать его, предупредила она.
«Все будет хуже, а ландшафт атаки будет ухудшаться», - сказала г-жа Кархарт.
Как правило, ransomware распространяется по электронной почте, с целью обмануть получателей щелчком по файлам, загруженным вредоносными программами, которые приводят к тому, что данные ПК становятся скремблированными, прежде чем требовать шантаж.
Но другие вымогательства, в том числе Wannacry, также распространяются через «черви» - самовоспроизводящиеся программы, которые распространяются с компьютера на компьютер для обнаружения уязвимостей, которые они могут использовать.
Считается, что текущая атака имеет червеобразные свойства.
Несколько экспертов считают, что одним из способов нарушения киберзащиты компаний является захват автоматического инструмента обновления программного обеспечения, используемого для обновления программы налоговой отчетности.
Как только он нарушил организацию, он использует множество средств для распространения внутри других компьютеров в одной сети.
Один из них - через так называемый EternalBlue hack - предполагаемый эксплойт, разработанный американскими кибер-шпионами, который использует слабость в протоколе, используемом для того, чтобы компьютеры и другое оборудование разговаривали друг с другом, называемое сервером Блок сообщений (SMB).
Комментариев нет