Петя стирает память

Вирус Petya безвозвратно удаляет файлы пользователя

Владимир Трефилов/РИА «Новости»
Эксперты пришли к мнению, что вирус Petya не является простым вымогателем — в отличие от WannaCry, он не предусматривает восстановление зараженных файлов, а удаляет их навсегда, делая уплату денежного выкупа бесполезной. В чем особенность вируса-стирателя и что о нем думает бывший сотрудник АНБ Эдвард Сноуден — в материале «Газеты.Ru».

Вирус Petya, который изначально причислили к семейству шифровальщиков-вымогателей, на деле представляет собой куда большую угрозу, чем WannaCry. Хакеры требовали выкуп от пользователей зараженных компьютеров, чтобы разблокировать личные данные, но на этот раз вирус не шифровал их — он просто стирал жесткий диск целиком, не оставляя возможности спасти информацию.

Петя не вымогатель, Петя стиратель

Эксперт по информационной безопасности Мэтт Свише сообщил в своем блоге, что ранняя версия вируса Petya технически имела способность шифровать файлы пользователя, а его обновленный собрат, который теперь зовется NotPetya, наносит необратимый ущерб.

«Petya 2016 года модифицирует диск так, что в принципе изменения можно обратить, в то время как Petya 2017 года бесповоротно поражает систему», — пишет Свише.

Специалист-безопасник назвал NotPetya стирателем и объяснил разницу между ним и вирусом-вымогателем.

По словам Свише, целью вымогателя является получение денежной выгоды, в то время как стиратель направлен исключительно на уничтожение и нанесение ущерба.

«Разные намерения. Разные мотивы. Разные схемы», — заявил эксперт.

К такому же выводу пришла «Лаборатория Касперского», которая поменяла имя вируса на ExPetr, сославшись на то, что «прошлогодний» Petya относится совсем к другому семейству.

«Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи «Лаборатории Касперского» проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно», — говорится в сообщении компании.

Тем не менее не все разделяют точку зрения Свише. Программист Маркус Хатчинс, ставший знаменитым после того, как он смог случайно остановить распространение вируса WannaCry, скептически отнесся к версии своего коллеги о том, что «текущая версия Petya была специально модифицирована, чтобы превратить его в стирателя».

В своем твиттере Хатчинс допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее.

АНБ снова досталось

Новая мировая кибератака, случившаяся всего пару месяцев спустя WannaCry, вызвала очередную волну критики в адрес Агентства национальной безопасности (АНБ) США.

Исследователи ведущих мировых компаний в сфере информационной безопасности хором подтвердили, что вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows, которой пользовалось АНБ.

Этот эксплойт оказался в интернете в апреле 2017 года, после того как его бесплатно слила хакерская группировка The Shadow Brokers. Компания Microsoft выпустила патч, который закрывает эту уязвимость, но из-за халатного отношения к безопасности программного обеспечения и нежелания ставить обновления вирус WannaCry смог заразить свыше 300 тыс. компьютеров на базе Windows по всему миру.

Вирус Petya поразил незащищенные компьютерные сети организаций по всему миру. Сейчас их количество насчитывает около 80, причем большая часть из них расположена на Украине.

Агентство национальной безопасности столкнулось с критикой еще после первой мировой хакерской атаки. Пользователи по всему миру задавались вопросом, зачем разрабатывать такое продвинутое кибероружие, если не можешь за ним уследить. Бывший сотрудник ведомства Эдвард Сноуден снова не упустил шанс высказаться против своего прежнего работодателя.

«Сколько еще раз цифровое оружие АНБ должно причинить ущерб гражданской инфраструктуре, чтобы наконец последовала ответственность?» — спрашивает он в своем твиттер-аккаунте.

По информации International Business Times, в прошлом месяце Агентство национальной безопасности высказалось в защиту использования таких инструментов, как EternalBlue, о существовании которого так и не уведомило Microsoft до самого момента утечки.

Один из бывших сотрудников агентства назвал возможности эксплойта «нереальными», а другой сообщил, что его использование напоминает «рыбалку с динамитом».

Президент Microsoft Брэд Смит придерживается другой точки зрения. Он заявил, что «хранение уязвимостей» государством превратилось в настоящую проблему. «Страны мира должны воспринять эту атаку [WannaCry] как тревожный звоночек», — сообщил Смит.

На настоящий момент нет достоверной информации о том, кто начал кибератаку вирусом Petya: анализ подобных преступлений онлайн может занять долгое время и не всегда приводит к однозначному результату. Эксперты бельгийского федерального центра кибербезопасности CERT полагают, что заражение началось с бухгалтерской программы MEDoc, которой активно пользуются на Украине.