Вирус-убийца

Атаковавший компании всего мира вирус оказался вовсе не вымогателем. Он безвозвратно шифрует файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена. К таким выводам пришли эксперты из «Лаборатории Касперского» и компании Comae, также занимающейся кибербезопасностью.

Когда файлы жертв оказывались зашифрованы, на экране их компьютеров появлялось сообщение с требованием заплатить выкуп в размере $300 в биткоинах в обмен на ключ дешифрования файлов. Попытки самостоятельного восстановления доступа бесполезны, предупреждал вирус.

Аналитики Microsoft, ESET и «Лаборатории Касперского» отследили источник начавшейся атаки. Это украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота, говорится в техническом блоге американской корпорации. Такие же данные и у департамента киберполиции Украины. Департамент киберполиции Национальной полиции Украины вчера сообщил, что за последние двое суток с сообщениями о вирусе-шифровальщике к нему обратилось 1508 юридических и физических лиц.

После уплаты выкупа якобы для разблокировки компьютера-жертвы на указанный хакерами адрес нужно было отправить уникальный номер биткоин-кошелька плательщика и ID его компьютера, который выводил на экран шифровальщик. В других версиях вирусов-шифровальщиков ID содержит информацию, необходимую для расшифровки файлов жертвы: получив ID, хакеры должны выработать с его помощью ключ дешифрования и прислать жертве. Но ExPetr (так «Лаборатория Касперского» назвала эту модификацию известного шифровальщика Petya) показывал жертвам случайный набор символов, пришли к выводу эксперты компании. Значит, никакой полезной информации для дешифрования файлов из него не извлечь, резюмируют они. Класс таких вредоносных программ называется Wiper. В отличие от вымогателей (ransomware) их цель – просто нанести ущерб и исключить возможность восстановления.

Поскольку механизм восстановления не был заложен в код, возможны три мотивации злоумышленников, рассуждает заместитель начальника центра информационной безопасности интегратора «Инфосистемы Джет» Андрей Янкин. По его мнению, либо они маскировали под массовую эпидемию точечное уничтожение чьих-то конкретных данных, либо хотели заработать, изначально не собираясь ничего восстанавливать. Третий, наименее вероятный вариант – кибервандализм, полагает Янкин. Ведь вирус – это серьезный продукт, и силы на его создание было бы разумнее потратить на что-то, приносящее деньги.

В вирусе используется всего один остроумный прием, поэтому вряд ли он является продуктом спецслужб – от них логично ожидать большей изощренности, рассуждает гендиректор компании Digital Security (анализ защищенности компьютерных систем) Илья Медведовский. Версию кибервандализма он не исключает: до сих пор есть люди, которые получают удовольствие от нанесенного ущерба, помноженного на безнаказанность.