Вспышку эпидемии вредоноса ExPetr следует считать не атакой вымогателя-шифровальщика, а скорее действиями вайпера, который саботирует работу компьютеров по всему миру, уничтожая загрузочную запись (MBR) жесткого диска.

Таково заключение экспертов «Лаборатории Касперского» и компании Comae Technologies, которые поделились результатами своих расследований этой эпидемии на прошедшем во-вторник вебинаре, запись которого вы можете увидеть чуть ниже.

«На самом деле мы считаем, что это атака вайпера или акт саботажа. Была ли она задумана именно такой, или это случайность, достоверно мы не знаем, а домыслами заниматься не хотим», — сказал Хуан Андрес Герреро-Сааде, старший исследователь «Лаборатории Касперского», — «Но называть «шифровальщиком-вымогателем» вредонос, не предусматривающий способа расшифровки файлов, совершенно точно нельзя».

По словам Мэтта Суиша, исследователя из Comae Technologies, в коде этого вредоноса содержится ошибка, которая не позволит расшифровать данные ни при каких условиях. Не говоря уже о том, что немецкий провайдер Posteo отключил электронный адрес злоумышленников, так что жертвы в любом случае не смогут связаться с киберпреступниками чтобы подтвердить уплату выкупа.

«Там в функции шифрования файлов содержится логическая ошибка. Из-за нее расшифровать данные должным образом не получится, даже если предположить, что соответствующий ключ будет доступен», — сказал на вебинаре Суиш.

Но есть и хорошая новость — первая волна атаки завершилась. Суиш сказал, что большая часть вреда от ExPetr уже нанесена. «Так что если вы не пострадали, то теперь, скорее всего, вас эта атака уже не затронет», — сказал он.

Оба исследователя признали, что расследование этого вредоноса было достаточно сложным, и во многом из-за противоречивых сообщений о векторах распространения инфекции и обилия наименований: его называли NotPetya, ExPetr, PetrWrap, GoldenEye и другими именами. Суиш и Герреро-Сааде говорят, что нет никаких оснований считать, ее атакой на базе электронной почты (а именно это поначалу утверждали некоторые исследователи).

Изначальный вектор распространения ExPetr использовал механизм обновления украинской программы для финансовой отчетности M.E.Doc. «Лаборатория Касперского» также обнаружила что веб-сайт администрации украинского города Бахмут был взломан и использован для распространения ExPetr всем посетителям.

Далее злоумышленники применяли вариант программы Mimikatz для того, чтобы собирать учетные данные с правами администраторов и распространяться по всей сети и подключенным к ней доменом через открытые TCP-порты 445 и 139. Распространившись, ExPetr пытается удаленно исполнить вредоносный код, используя либо PSEXEC, либо WMIC.

В отличие истории с WannaCry, где был предусмотрен рубильник, который мог мгновенно прекратить распространение вредоноса, у ExPetr аналогичного механизма не было. Вместо этого, некоторые специалисты по безопасности рекомендовали использовать локальный выключатель, который может предотвратить заражение одного компьютера — они советовали создавать доступный только для чтения файл с названием perfc и помещать его в папку C:\windows\.

Оба исследователя (Георреро-Сааде и Суиш) предупреждают, что это временная мера, которая никак не поможет при следующих атаках.

«Идея использования «вакцины» на первый взгляд кажется привлекательной, однако многое из того, что предлагают в таких случаях, на самом деле оказывается достаточно бесполезным. Ничто не мешает атакующим изменить это имя для второй волны атаки или вообще встроить в код вредоноса генератор случайных имен», — объяснил Герреро-Сааде. «И тогда ваша вакцина перестанет срабатывать. Не думаю, что это хорошая идея — внушать сетевым администраторам ложное чувство защищенности».

Реальные советы по предотвращению ущерба от атак, подобных ExPetr, включают усиление системы безопасности сервиса Active Directory, урезание пользовательских полномочий, отключение протокола SMBv1, а также установка системных патчей, в первую очередь MS17-010.

Категории: Вредоносные программы, Главное, Уязвимости