Найти тему
Известия

Стирательный почерк: госструктуры атаковал новый вирус-шифровальщик

Российские мэрии и суды атаковал новый вирус-шифровальщик, рассказали «Известиям» специалисты по информационной безопасности. Программа кодирует данные на компьютере, затем на экране появляется сообщение с требованием заплатить выкуп — больше 0,5 млн рублей. Но даже если перевести хакерам эту сумму, вирус полностью удаляет файлы. Для защиты от подобных атак эксперты посоветовали пользоваться резервным копированием и защищать доступ к инфраструктуре организации — например, ограничивать использование удаленных рабочих столов.

Осторожно, вайпер

Мэрии и суды в регионах России атаковал новый вирус — CryWiper. Эксперты говорят, что обнаружили зловред в нескольких субъектах страны, но он может быть распространен шире.

— После заражения устройства CryWiper портил файлы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-адрес кошелька, указав сумму за расшифровку более 500 тыс. рублей (0,5 BTС), — рассказал «Известиям» эксперт по кибербезопасности «Лаборатории Касперского» Федор Синицын.

Но если заплатить хакерам, программа не восстанавливает файлы — они удаляются без возможности восстановления. Как показал анализ кода, это не ошибка разработчика, а его изначальный замысел, добавил эксперт.

Распространение подобного рода атак именно на российские органы власти может быть связано в том числе с геополитической обстановкой, считает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его мнению, зарубежные хакеры получили негласную установку работать против РФ, и количество инцидентов будет только расти.

CryWiper уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы, пояснили специалисты «Лаборатории Касперского». Его основная цель — базы данных, архивы, отдельные пользовательские документы. Программа не уничтожает файлы автономно: она отправляет запрос на командный сервер и, только получив разрешение, начинает работу. Документы с испорченным содержимым получают дополнительное расширение CRY, которое означает, что они зашифрованы и их нельзя открыть стандартными способами, рассказали эксперты.

— Одним из самых ярких примеров подобных вирусов является история с NotPetya, который был использован в атаках в 2017 году, — рассказал руководитель лаборатории компьютерной криминалистики компании Group-IB Олег Скулкин.

Они действуют по одной схеме: шифруют файлы, требуют выкуп, а после его получения не восстанавливают данные. В этом году против российских компаний хакеры активно применяли программы-вымогатели, созданные на основе попавших в публичное пространство исходных кодов вирусов-шифровальщиков Conti и LockBit, а также софта для защиты персональных данных BitLocker и DiskCryptor, добавил эксперт..

О появлении CryWiper знают и в Positive Technologies.

— В январе этого года по аналогичной схеме атаковал вирус WhisperGate. Он стирал не только файлы по списку расширений, но и главную загрузочную запись диска (MBR — специальный код, который нужен для загрузки операционной системы. — «Известия»), — рассказал руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков.

Вирусы такого рода специалисты называют «вайперами», что можно перевести как «стиратель» — программы именно стирают данные при заражении устройства.

Сложно, но возможно

Восстановить данные после атаки такого вируса можно, но это очень трудоемкая задача, сказали опрошенные «Известиями» специалисты по кибербезопасности.

— После перезаписи диска это сделать гораздо сложнее, нежели при использовании дешифрования. Перезаписаны могут быть как отдельные файлы пользователей, так и служебные, — рассказал ведущий инженер по информационной безопасности в компании R-Vision Антон Кузнецов.

Если содержимое файлов не искажено, то их можно восстановить штатными средствами операционной системы, без специальных программ. А когда документы изменены, остается рассчитывать только на резервные копии.

Чтобы защититься от такого рода кибератак, специалисты рекомендовали запретить подключение к удаленному рабочему столу из общественных сетей. Кроме того, важно обновлять VPN-решения и ПО. Разработчики периодически находят в своих программах уязвимости и устраняют их в новых версиях. Также эксперты посоветовали использовать резервное копирование данных.

Для защиты от вайперов можно использовать так называемые «песочницы». Это класс программ, которые позволяют запустить неизвестный софт в специальной безопасной среде, не навредив основной операционной системе компьютера, пояснил Алексей Вишняков.