Открыть сервис

Petya

Petya — это семейство вредоносных программ (вымогателей), классифицируемое как троян-шифровальщик, которое впервые было обнаружено в 2016 году. Программа шифрует файлы на жёстком диске заражённого компьютера и требует выкуп в криптовалюте Bitcoin за их восстановление. В отличие от многих других вымогателей, Petya получила широкую известность благодаря своей технической реализации: она шифрует не отдельные файлы, а главную таблицу файлов (MFT) и загрузочный сектор (MBR) диска, что делает невозможным загрузку операционной системы. Наибольший резонанс вызвала модификация 2017 года, известная как NotPetya (или ExPetr), которая, по мнению экспертов, была не вымогателем, а кибероружием, направленным на уничтожение данных, а не на получение выкупа.

История

Первое появление (2016 год)

Первая версия Petya была обнаружена в марте 2016 года. Она распространялась через фишинговые письма с вложениями, содержащими вредоносный код. После запуска программа перезаписывала главную загрузочную запись (MBR) и загрузочный сектор, после чего отображала на экране поддельное сообщение об ошибке диска (CHKDSK). На самом деле в это время происходило шифрование таблицы MFT. После завершения процесса компьютер перезагружался, и пользователь видел сообщение с требованием выкупа в размере 0,9 биткоина (на тот момент — около 400 долларов США). Эта версия была относительно малоэффективна и не вызвала массового заражения.

Эпидемия 2017 года (NotPetya)

27 июня 2017 года произошла глобальная кибератака с использованием новой модификации Petya, получившей название NotPetya (также известна как ExPetr, GoldenEye). Атака затронула тысячи компьютеров в десятках стран, но наибольший ущерб понесла Украина. Среди пострадавших организаций оказались украинские энергетические компании, аэропорт «Борисполь», государственные банки, операторы мобильной связи, а также крупные международные компании, имеющие филиалы на Украине (например, датская судоходная компания Maersk, российская нефтяная компания «Роснефть» и французская строительная компания Saint-Gobain).

Ключевым отличием NotPetya от оригинального Petya стал способ распространения. Помимо фишинга, он использовал уязвимость протокола SMBv1 (EternalBlue), разработанную Агентством национальной безопасности США (АНБ) и опубликованную хакерской группой Shadow Brokers. Эта же уязвимость была использована в атаке WannaCry в мае 2017 года. Кроме того, NotPetya распространялся через обновление бухгалтерского программного обеспечения M.E.Doc, широко используемого на Украине. Злоумышленники скомпрометировали серверы обновлений M.E.Doc, что позволило им распространять вредоносное ПО легитимным путём.

Последствия и расследование

Атака NotPetya нанесла колоссальный ущерб — по оценкам экспертов, он превысил 10 миллиардов долларов США. Maersk, например, потеряла около 300 миллионов долларов из-за остановки работы терминалов. В отличие от обычных вымогателей, NotPetya не предоставлял реальной возможности расшифровки данных даже после оплаты выкупа. Анализ кода показал, что процедура восстановления была либо неработоспособна, либо намеренно повреждена.

Правительства Украины, США, Великобритании и других стран обвинили в организации атаки российские хакерские группы, в частности группировку Sandworm, связанную с Главным управлением Генерального штаба Вооружённых сил РФ (ГУ ГШ ВС РФ). Россия категорически отвергла эти обвинения. В 2020 году Министерство юстиции США предъявило обвинения шести офицерам ГРУ в причастности к атакам NotPetya, а также к другим киберпреступлениям.

Технические особенности

Архитектура и механизм работы

Основное отличие Petya от классических вымогателей — метод шифрования. Вместо того чтобы шифровать каждый файл по отдельности, что требует времени и ресурсов, Petya шифрует метаданные файловой системы.

  1. Заражение и получение прав: После запуска на компьютере жертвы программа получает права администратора. Для этого она может использовать уязвимости или повышать привилегии через легитимные инструменты Windows (например, PsExec).
  2. Модификация загрузчика: Petya перезаписывает главную загрузочную запись (MBR) и загрузочный сектор. Вместо загрузчика Windows устанавливается собственный вредоносный код, который выводит на экран поддельное сообщение об ошибке диска (CHKDSK).
  3. Шифрование MFT: Пока пользователь видит поддельный CHKDSK, программа в фоновом режиме шифрует главную таблицу файлов (MFT). MFT содержит информацию о всех файлах и папках на томе: их имена, размеры, атрибуты и расположение на диске. Без MFT операционная система не может найти и прочитать файлы, даже если они физически не зашифрованы.
  4. Перезагрузка и требование выкупа: После завершения шифрования компьютер перезагружается. Вместо нормальной загрузки пользователь видит красный экран с черепом и костями (в версии 2016 года) или просто сообщение с требованием выкупа. Для восстановления доступа к данным требуется оплатить выкуп и ввести уникальный ключ.

NotPetya: ключевые отличия

NotPetya 2017 года имела ряд существенных отличий от оригинального Petya:

  • Способ распространения: Использование EternalBlue, PsExec и скомпрометированных обновлений ПО.
  • Цель: NotPetya была разработана как «уничтожитель» (wiper). Код расшифровки был либо неработоспособен, либо требовал уникального ключа, который не сохранялся. Даже при оплате выкупа восстановить данные было невозможно.
  • Механизм заражения: NotPetya могла заражать компьютеры в локальной сети без участия пользователя, используя уязвимости и украденные учётные данные.
  • Сбор данных: NotPetya собирала и отправляла на сервер злоумышленников хэши паролей и другие данные с заражённого компьютера.

Классификация и варианты

Семейство Petya включает несколько основных вариантов, которые различаются по механизму работы и целям:

НазваниеГодКлючевая особенностьСтатус
Petya2016Оригинальная версия. Шифрует MBR и MFT.Малоэффективна, не вызвала эпидемии.
Petya.A2016Вариант, распространявшийся через фишинг.Устарел.
NotPetya (ExPetr, GoldenEye)2017Модификация, действующая как wiper. Использует EternalBlue.Вызвала глобальную эпидемию.
Petya.D2017Вариант, обнаруженный после атаки NotPetya.Не получил широкого распространения.

Применение и значение

Нецелевое использование

Изначально Petya была создана как инструмент для вымогательства денег. Однако атака NotPetya 2017 года показала, что вредоносное ПО может быть использовано для нанесения массового ущерба, не связанного с финансовой выгодой. Эта атака стала примером гибридной кибервойны, где под видом вымогателя скрывается «уничтожитель» данных.

Влияние на кибербезопасность

Атака Petya/NotPetya оказала значительное влияние на мировую кибербезопасность:

  • Осознание уязвимости цепочек поставок: Атака через обновление M.E.Doc показала, что компрометация одного доверенного поставщика ПО может привести к заражению тысяч клиентов.
  • Усиление защиты от EternalBlue: После атаки Microsoft и другие компании выпустили экстренные обновления, закрывающие уязвимость SMBv1, а также рекомендовали отключить этот протокол.
  • Развитие стратегий резервного копирования: Атака продемонстрировала необходимость создания автономных, изолированных резервных копий, которые не могут быть зашифрованы или уничтожены атакующим.
  • Изменение восприятия вымогателей: NotPetya показала, что вымогатель может быть не просто финансовым преступлением, а инструментом киберсаботажа и государственной кибератаки.

Критика и этические аспекты

С этической точки зрения, Petya и её модификации являются примерами киберпреступлений. Создатели и распространители этого ПО нарушают законы большинства стран мира, в том числе Уголовный кодекс РФ (статьи 272, 273, 274 УК РФ, касающиеся неправомерного доступа к компьютерной информации, создания и распространения вредоносных программ и нарушения правил эксплуатации средств хранения компьютерной информации). Критике подвергается не только сам факт создания вредоносного ПО, но и его использование для атак на критическую инфраструктуру, что может привести к гуманитарным последствиям (например, сбои в работе больниц или энергосистем).

Интересные факты

  • Название «Petya» происходит от имени персонажа советского мультфильма «Петя и Красная Шапочка», что, вероятно, является отсылкой к русскоязычному происхождению авторов.
  • В коде NotPetya был обнаружен файл с именем «Misha», что породило предположения о том, что это мог быть ещё один вариант вымогателя, который так и не был выпущен.
  • Несмотря на требование выкупа в биткоинах, анализ блокчейна показал, что лишь несколько жертв перевели средства на указанные кошельки, и ни одна из них не получила ключ для расшифровки.
  • Атака NotPetya была названа одной из самых разрушительных кибератак в истории, уступая по масштабу ущерба только атаке WannaCry.

Источники

  • Отчёт компании ESET о кибератаке NotPetya (2017).
  • Анализ вредоносного ПО Petya/NotPetya от «Лаборатории Касперского» (2016–2017).
  • Публикации Microsoft Security Response Center об уязвимости EternalBlue и атаке NotPetya.
  • Материалы Министерства юстиции США по делу о кибератаках Sandworm (2020).
  • Статья в журнале «Wired»: «The Untold Story of NotPetya, the Most Devastating Cyberattack in History» (2018).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →