Petya/NotPetya — це сімейство шкідливих програм, яке вражає комп’ютери під управлінням операційних систем Microsoft Windows. Вперше вірус Petya був виявлений у 2016 році, але найбільшу популярність він здобув після масштабної атаки 27 червня 2017 року, яка отримала назву NotPetya. Ця атака стала однією з найбільших у світі, завдавши мільярдних збитків компаніям та урядам по всьому світу.
Що таке Petya/NotPetya?
Petya — це шкідливе програмне забезпечення, яке шифрує файли на жорсткому диску комп’ютера та вимагає викуп у криптовалюті (біткойнах) за їх розшифрування. На відміну від звичайних здирницьких вірусів, NotPetya мав на меті не лише отримання фінансової вигоди, але й заподіяння максимальної шкоди інформаційним системам.
Основні характеристики Petya/NotPetya:
-
- Тип
-
Комп’ютерний хробак / винищувач даних, замаскований під здирника.
-
- Операційна система
-
Microsoft Windows.
-
- Мова програмування
-
C++.
-
- Розробники
-
Угрупування, пов’язане з російськими військовими.
Історія Petya/NotPetya
Petya (2016)
Вперше вірус Petya був виявлений у березні 2016 року. Він шифрував головний завантажувальний запис (MBR) і вимагав викуп у розмірі 0,9 біткойнів (близько 380 доларів США на той момент). На відміну від інших здирників, Petya не шифрував файли безпосередньо, а замість цього шифрував MFT-таблицю, що робило систему недоступною.
Petya/Mischa (2016)
У травні 2016 року з’явилася нова версія вірусу, яка включала додатковий модуль під назвою Mischa. Якщо Petya не міг отримати права адміністратора, він встановлював Mischa, який шифрував файли безпосередньо. Викуп збільшився до 1,93 біткойнів (близько 875 доларів США).
NotPetya (2017)
27 червня 2017 року відбулася масштабна атака, яка вразила комп’ютери по всьому світу. Нова версія вірусу, відома як NotPetya, використовувала вразливості EternalBlue та EternalRomance, які раніше були використані в атаці WannaCry. NotPetya шифрував файли та MBR, але на відміну від попередніх версій, він не мав можливості відновлення даних навіть після сплати викупу. Це свідчило про те, що основним мотивом атаки було заподіяння шкоди, а не отримання фінансової вигоди.
Шкідлива дія NotPetya
Шифрування файлів
NotPetya шифрував файли за допомогою алгоритму AES-128, а ключ шифрування захищався за допомогою RSA-2048. Вірус також шифрував MFT-таблицю, що робило систему повністю недоступною.
Знищення файлової системи
Після шифрування файлів вірус змінював головний завантажувальний запис (MBR) і шифрував його за допомогою алгоритму Salsa20. Ключ шифрування стирався, що робило відновлення даних неможливим.
Атака на Україну
NotPetya вразив Україну найбільше — 75% всіх заражених комп’ютерів припало саме на цю країну. Атаці піддалися урядові установи, банки, енергетичні компанії, аеропорти та навіть Чорнобильська АЕС. За даними кіберполіції України, вірус поширювався через механізм оновлення бухгалтерської програми M.E.Doc, яку використовували багато українських компаній.
Організатори атаки
На думку багатьох експертів, NotPetya був створений не для отримання викупу, а для заподіяння шкоди. Адміністрація Президента США Дональда Трампа та країни альянсу Five Eyes (США, Велика Британія, Канада, Австралія, Нова Зеландія) звинуватили російську владу в організації цієї атаки. Зокрема, вважається, що за атакою стоять підрозділи Головного центру спеціальних технологій ГРУ ГШ РФ.
Наслідки атаки
Атака NotPetya завдала мільярдних збитків компаніям по всьому світу. Вона стала однією з найбільших кібератак в історії, що підкреслило важливість кібербезпеки для урядів та бізнесу.
Захист від Petya/NotPetya
Для захисту від подібних атак рекомендується:
- Встановлювати останні оновлення операційної системи.
- Використовувати антивірусне програмне забезпечення.
- Обмежувати права користувачів.
- Регулярно робити резервні копії даних.
Висновок
Petya/NotPetya — це не просто здирницький вірус, а потужний інструмент кібератаки, який може завдати значної шкоди інформаційним системам. Його поява підкреслила важливість кібербезпеки та необхідність постійного оновлення програмного забезпечення для захисту від нових загроз.