Вирус-вымогатель оказался вовсе не вымогателем

https://www.vedomosti.ru

Атаковавший компании всего мира вирус-вымогатель оказался вовсе не вымогателем. Он безвозвратно шифрует файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена. К таким выводам пришли эксперты из «Лаборатории Касперского» и компании Comae, также занимающейся кибербезопасностью.

Когда файлы жертв оказывались зашифрованы, на экране их компьютеров появлялось сообщение с требованием заплатить выкуп в размере $300 в биткоинах в обмен на ключ дешифрования файлов. Попытки самостоятельного восстановления доступа бесполезны, предупреждал вирус. К сожалению, это правда, констатировали эксперты.

После уплаты выкупа якобы для разблокировки компьютера-жертвы на указанный хакерами адрес нужно было отправить уникальный номер биткоин-кошелька плательщика и ID его компьютера, который выводил на экран шифровальщик. В других версиях вирусов-шифровальщиков ID содержит информацию, необходимую для расшифровки файлов жертвы: получив ID, хакеры должны выработать с его помощью ключ дешифрования и прислать жертве. Но ExPetr (так называется эта модификация известного шифровальщика) показывал жертвам случайный набор символов, пришли к выводу эксперты «Лаборатории Касперского». Значит, никакой полезной информации для дешифрования файлов из него не извлечь. Это вторая причина, по которой не стоит надеяться на разблокировку файлов, а первая — e-mail адрес злоумышленников уже заблокирован.

Такие вредоносные программы называются Wiper, объясняет эксперт Comae. В отличие от вымогателей (ransomware) их цель – просто нанести ущерб и исключить возможность восстановления.

Несмотря на массовый характер заражения (см. врез), вряд ли вирус собрал много денег. К 19.30 среды он сумел заработать лишь около $10 100, следует из данных его биткоин-кошелька. Выкуп ему заплатили 45 раз, при этом на счете создателя скопилось 3,99 единицы криптовалюты биткоин (BTC), который, по данным Coinmarketcap, вчера вечером стоил $2533. На момент публикации заметок новых платежей на кошелек не поступило.

Вчера аналитики Microsoft, ESET и «Лаборатории Касперского» отследили источник начавшейся вчера кибератаки вируса-шифровальщика, парализовавшего работу множества компаний по всему миру. Это украинская компания M.E.Doc, разрабатывающая системы отчетности и документооборота, говорится в техническом блоге американской корпорации. Такие же данные и у департамента киберполиции Украины

M.E.Doc на своей странице в Facebook опровергает, что явилась источником заражения, и сообщает, что также пострадала от кибератаки.

Департамент киберполиции Национальной полиции Украины сегодня сообщил, что за последние двое суток к нему обратилось 1508 юридических и физических лиц с сообщениями о вирусе-шифровальщике. Заявления подали 152 компании и 26 госорганов, а остальные хотели проконсультироваться.

Загрузка...

Это интересно