Чем вирус Petya отличается от NotPetya, каков истинный масштаб эпидемии, как распространяются вирусы и, главное, как от них защищаться и что делать, если заражение все-таки произошло – на вопросы SeaNews отвечает Вячеслав Медведев, ведущий аналитик отдела развития «Доктор Веб».
Вячеслав Владимирович, каков, по Вашим оценкам, масштаб эпидемии WannaCry/Petya/NotPetya, зарегистрированный компанией с начала этого года? Какова статистика с точки зрения географии, отраслей, пострадавших компаний? Какие компании пострадали от этих вирусов?
Это три совершенно не связанные между собой эпидемии. По времени Petya был первым, WannaCry – вторым, а NotPetya – последним из трех. Нужно отметить, что это – далеко не единственные шифровальщики (в день в базы антивирусных программ вносится информация о 10-20 новых энкодерах). Просто эти шифровальщики привлекли внимание СМИ. Причем отнюдь не из-за масштабности атак или технического совершенства троянцев. Скорее, наоборот: эти три шифровальщика очень несовершенны. Это, скорее, не коммерческий продукт для заработка путем вымогательства, а концепт. В пользу этого говорит огромное число недоработок, возможность восстановить удаленные файлы, уязвимые реализации алгоритмов шифрования.
Petya привлек внимание СМИ тем, что атаковал загрузочные области жестких дисков. Это нехарактерный для шифровальщиков прием. WannaCry и NotPetya атаковали практически исключительно крупные компании. Число пострадавших предприятий мелкого и среднего бизнеса по сравнению с настоящими эпидемиями шифровальщиков крайне невелико. По отраслям у WannaCry и NotPetya разницы нет, атакам подвергались все крупные компании подряд. Единственное, из-за специфики способа заражения NotPetya атаковал организации, связанные с украинскими компаниями. Можно сказать, что WannaCry и NotPetya – рекламные шифровальщики. По большей части они имитировали настоящую атаку или отрабатывали ее. Пока трудно сказать, учения какого рода это были.
Масштабы эпидемии крайне невелики и ограничиваются несколькими тысячами зараженных объектов.
Каким образом вирус влияет на IT-инфраструктуру? Какие тут могут быть сценарии – от оптимистичного до Армагеддона?
Вредоносная программа может никак не повлиять – а может привести к полному уничтожению информации и внесению преднамеренных искажений, приводящих к нужным для злоумышленника последствиям. Под «никак» имеются в виду неработоспособные вредоносные программы, замусоривающие зараженные системы. Это, конечно, не совсем «никак», но максимально близко. Далее – рекламные троянцы. Показ нужной злоумышленникам информации. Близко находятся банковские троянцы, кейлоггеры и другие вредоносные программы (в том числе производства АНБ), модифицирующие или крадущие информацию. Более опасны троянцы, уничтожающие информацию или делающие ее недоступной. В частности, шифровальщики. Ну и, наконец, вершина – специальные программы, зачастую разработанные под конкретную атаку, вносящие запланированные изменения в работу программ.
При этом потенциально «армагеддон» может вызвать любая из вышеперечисленных вредоносных программ. Шифровальшик уничтожит все ПО, программа удаленного доступа откроет злоумышленнику путь в систему, а случайно установившаяся программа нарушит работоспособность системы управления химическим производством.
В защите нельзя концентрироваться только на одном типе вредоносного ПО. Шифровальщики привлекают внимание СМИ, но остальные угрозы не становятся менее опасными.
Каковы схемы распространения подобных вирусов?
Это три совершено разные вредоносные программы. Petya – классический шифровальщик. Такие программы, как правило, распространяются по почте или через сменные носители. WannaCry – червь, который распространялся через уязвимость: шло сканирование уязвимых компьютеров, при наличии «бреши» устанавливался троянец. NotPetya – целенаправленная атака: взлом компании, распространяющей некое ПО, и заражение этого ПО.
Каковы рекомендованные действия, если заражение все-таки произошло?
По возможности обесточить зараженные компьютеры, оборвать их связь с внешним миром. Не восстанавливать систему, так как это может уничтожить данные, необходимые для создания утилит расшифровки, обратиться в техническую поддержку антивирусной компании и получить необходимые инструкции.
Какие изменения в IT-инфраструктуре могут снизить вероятность поражения вирусами этого типа?
В случае с WannaCry – установка всех обновлений безопасности, отключение ненужных сервисов, удаление неиспользуемых программ, ограничение прав пользователей на запуск новых, неразрешенных программ, составление списка разрешенного ПО и ограничение для сотрудников доступа к Интернету. В случае с Petya – фильтрация всех входящих сообщений на наличие исполняемых файлов во вложениях, запрет за запуск неразрешенных приложений. В случае с NonPetya – разделение инфраструктуры локальной сети на несколько подсетей, запуск различных серверных приложений в изолированном окружении, отказ от работы администраторов с доменными паролями на локальных машинах.
И, естественно, везде, где только можно, необходим антивирус. Причем с запретом его отключения или внесения несанкционированных изменений в настройки со стороны пользователей. Тот же WannaCry успешно ловился антивирусным ПО.
Какие изменения в IT-инфраструктуре позволят снизить тяжесть последствий от возможного поражения вирусом?
Все то же самое, что и в первом пункте, плюс резервное копирование и регулярное обучение пользователей на случай инцидентов безопасности.a