Очередной клон NotPetya атаковал ряд российских и украинских организаций

Начиная с 24 октября, в сети появился клон печально известного вируса-шифровальщика «Petya», который попытался атаковать банковские и кредитные организации в России и Украине. В ряде случаев его атака увенчалась успехом. Инженеры, исследовавшие код вируса, отметили, что новая версия зловреда являются улучшенной и исправленной модификацией «Пети», поразившей миллионы компьютеров по всему миру в прошлом году. Специалистам удалось выяснить адрес домена, откуда началось распространение вируса, что вселяет надежду найти лиц, инициировавших данное нападение.

В результате исследования компанией «Group-IB» выяснилось, что атаки вредоносного ПО начались с домена 1dnscontrol.com, имеющего IP-адрес 5.61.37.209, который делегирован еще в прошлом году.

В запущенной модификации вируса-шифровальщика BadRabbit значительно доработаны функции шифрования данных и методы обхода существующих защитных средств. Однако, многие части программы не претерпели изменений, что позволило специалистам отнести его к группе вредоносных программ класса «NotPetya».

Выступая на радио Sputnik, Илья Сачков - директор компании «Group-IB», сообщил, что благодаря установленному домену, откуда началось распространение вредоносной программы, существует большой шанс найти злоумышленников. Однако даже изоляция данной группы лиц не позволит избежать подобных атак в ближайшее время. Инструментарий для разработки и создания подобных программ каждый человек может найти в открытом доступе, поэтому в скором времени следует ожидать атаки других модификаций вируса с расширенными функциями.

Первым делом после попадания на целевой компьютер, зловред начинает шифровать все доступные ему жесткие диски, после чего инициирует перезагрузку с полным запретом доступа пользователя к устройству и требованием выкупа в биткоинах за ключ расшифровки (стоимость составляет порядка 300 USD).

Илья Сачков добавил «Вполне вероятно, мы сможем установить личность хакера, запустившего данный вирус. По информации из реестра доменных имен, 1dnscontrol.com зарегистрирован в 2016 году, срок его делегирования постепенно увеличивается, значит, кто-то за него платит. Определено, что с данным доменом связано еще несколько вредоносных сайтов, которые функционировали с 2011 года, владельцев которых вычислить не так уж сложно. Налицо спланированная деятельность преступной группы, которая до этого занималась фишингом и спамными рассылками. Поэтому, лицо или группа лиц наверняка будут определены и задержаны, а после соответствующей юридической процедуры осуждены на длительные сроки».

Кроме кредитно-финансовых организаций, от действий вируса-вымогателя пострадал метрополитен в Киеве, аэропорт в Одессе, множество онлайновых и оффлайновых российских изданий, включая известные новостные порталы «Интерфакс» и «Фонтанка».

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.