Шифровальщики: сходства и различия WannaCry и Petya

Фото: ТАСС/Донат Сорокин (вирус Petya)

Еще не "отшумел" коварный вирус-шифровальщик WannaCry, как жители разных стран начали жаловаться на новую напасть в виде малваря Petya, который, как и его "старший брат", требовал в обмен на ключи для расшифровки плату в криптовалюте. "Цифровая Москва" решила выяснить, чем эти вредоносные программы похожи, а чем различаются. 

Сходства 

О первом сходстве мы написали выше: и тот, и другой вирус являются шифровальщиками и поражают компьютеры под управлением ОС Windows.

По своей сути оба вируса – удачные модификации  ранее написанных вредоносных программ. Так, первую версию WannaCry "остановил" программист, работающий под никнеймом @MalwareTechBlog, написав об этом в своем Twitter-аккаунте. Он понял, что вирус обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и зарегистрировал этот домен, чтобы следить за активностью шифровальщика. Специалист обнаружил, что адрес был зашит в коде вируса на случай, если программу понадобится остановить. Впоследствии вымогатель научился обходить этот домен, обращаясь к нему, и если не получал ответа, продолжал заражать компьютеры.

С Petya история примерно такая же. По словам экспертов, о модификациях вируса под названием Petya известно уже давно. Его даже в сравнении с WannaCry сложно назвать "свежим": по сути новый вирус стал улучшенной версией шифровальщика-вымогателя Petya.A/Petya, который известен своими атаками в 2016 году. Причем первая версия шифровала не сами файлы, а MFT таблицу, которая представляет собой базу данных с информацией о всех документах, хранящихся на диске.

И хотя малварь использует известные инструменты, он достаточно сильно отличается от аналогичных программ. Некоторые специалисты даже изменили имя новой версии вируса – его зовут не иначе как NotPetya. А конкретно специалисты из "Лаборатории Касперского" в России отвергли в качестве названия вредоносного ПО слово "Petya", и в в конце концов под разными именами вроде Petna, Pneytna и даже Goldeneye скрывается все тот же малварь, только более "умная" версия.

Говоря о других более очевидных сходствах, можно привести выбор "жертв" шифровальщиками: они блокируют как устройства крупных компаний, так и обычных пользователей. За ключи требуют выкуп в самой распространеной на сегодняшний день криптовалюте – биткоинах. Распространение у зловредов тоже одинаковое: чаще всего это происходит через электронную почту, а затем вирусы проникают в локальную сеть. Однако это больше предположение: источник "заразы" в случае с WannaCry со стопроцентной уверенностью не назвал ни один эксперт. 

Еще одно сходство в работе вредоносных программ, это то,  что оба они эксплуатируют одну и ту же уязвимость в SMB MS17-010 – к примеру, эксплойт EternalBlue и бэкдор DoublePulsar, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199 в Office RTF. 

Фото: ТАСС/Сергей Коньков (WannaCry)

Различия

Несмотря на сходство, тем не менее WannaCry и малварь Petya имеют и отличия. Перве заключается в том, что WannaCry сканирует и шифрует файлы только определенных форматов. Кроме того, опасность этого вируса в старой версии возможно нивелировать (а у экспертов есть подозрения, что появления "рубильника" в виде останавливающих распространение доменов – дело рук создателей вируса, тогда как система обхода придумана уже совсем другими людьми). К слову, разработчики из Тайланда придумали приложение Block Wannacry, которое, по их словам, может блокировать вирус – то есть какая-то защита от этого малваря все-таки появилась. 

А французский программист Адриен Гинье научился расшифровывать файлы пострадавших ПК под управлением Windows XP. Правда, не во всех случаях это получается, но тем не менее исходные коды инструмента WannaKey давно размещены в открытом доступе. 

У Petya, с одной стороны, особых сдерживающих факторов нет. Но буквально сегодня исследователи из компании Symantec сообщили, что нашли способ борьбы против этого вируса. Механизм работы вредоносной программы, оказался довольно прост. Она ищет файл под названием "C:\Windows\perfc", а найдя его, перестает заражать устройство. То есть пользователю предлагается самостоятельно создать подобный файл, сделав его его доступным только для чтения, чтобы вирус ничего не мог в нем изменить. Однако нет никакой гарантии, что этот баг со стороны злоумышленников в новой версии вируса не обойдут.

Кстати, что касается зашифрованных данных, то в старой версии Petya, как утверждали в "Лаборатории Касперского" было возможно с помощью специалистов восстановить все данные. О новой модификации пока такое никто не писал и не говорил. 

Кроме использования тех же уязвимостей, что и WannaCry, вымогатель также добывает пароли из памяти или локальной файловой системы и с их помощью проникает в другие системы. Распространение вредоносной программы происходит посредством удаленного управления PsExec: это значит, что если администратор компьютера-жертвы имеет доступ к сети, заразиться может каждый компьютер этой сети. Фактически, чтобы распространиться, малварю нужен лишь один уязвимый компьютер. В том случае, если Petya не может добыть права локального администратора и заразить раздел MBR, то в таком случае он идет другим путем, запуская утилиту шифрования файлов на диске. Проще говоря, у аналога WannaCry пути распространения более широкие, и хотя они все известны, Petya все равно выглядит более "хитрым". 

Еще кое-что важное, о чем надо бы знать

Самое главное различие между этими вирусами, как ни странно, даже не техническое, а, так сказать, "целевое": эксперты приписывают их создателям абсолютно разные цели, и речь идет далеко не о желании злоумышленников нажиться. 

К примеру, по мнению специалиста компании Thycotic Джозефа Карсона, WannaCry использовался злоумышленниками не столько ради наживы путем вымогательства, а для искусственного роста криптовалюты биткоин. Все используемые схемы не новы, и, по словам эксперта, они классические для любой бирже. Так,киберпреступники, заставляя жертв создавать кошельки для оплаты выкупа, могли спровоцировать резкий скачок в росте биткоинов (и он действительно произошел), чтобы выгодно осуществить сделку купли-продажи криптовалюты. 

В действиях же создателей Petya некоторые исследователи наблюдают скорее политический подтекст: как быстро удалось обнаружить, механизм вымогательства вредоносной программой был сделан очень странно, если не сказать глупо, поскольку единственный адрес, куда должны были направляться средства был на самом деле плохо зашифрован, и за тем, куда и как отправляются деньги, можно проследить. Совсем нелепо выглядит требование отправить 60-значный персональный идентификационный ключ поврежденной вирусом машины с компьютера, однако сам ключ при этом невозможно копировать и вставлять. Именно эти, с позволения сказать, "странности" и натолкнули многих экспертов на мысль о том, что Petya в действительности был предназначен для быстрого распространения и нанесения ущерба с помощью правдоподобного вымогательства. 

Актуально по теме