Вирус Petya.А: итоги и перспективы

На сегодня киберполиция сообщает о 2 основных предполагаемых путях заражения. Первый (подтверждается корпорацией Microsoft – ред.) – сложная система распространения «вредоноса» через обновление бухгалтерского ПО.

Для этого в теории сначала надо было получить несанкционированный доступ к ресурсам автора программы сдачи отчетности, после чего процесс становился автоматизированным и заражал жертв через систему обновления этой программы.

Широкое добровольно-принудительное распространение этого ПО стало мощным каналом «дистрибуции» уже вируса.

Вторым массовым путем заражения стала рассылка кода вируса в приложениях к электронным письмам, которые мимикрировали под доверенные источники. Пользователь не задумываясь открывал вложение, и происходило заражение фактически руками самой жертвы.

Рассматривать вариант оплаты вымогателям не будем. Ведь вероятнее всего, что после оплаты никто ничего расшифровывать не станет. Никакой код может и не прийти. Да и вообще неизвестно, предусмотрена ли авторами возможность дешифрации на самом деле. При этом в сети уже появились ложные дешифраторы, которые сами являются вирусами.

Расшифровка же на самом деле технически возможна. Для старых версий вируса существуют программы-дешифраторы. Но будет ли кто-то на энтузиазме писать новые, и самое главное – сколько времени для этого понадобится? У корпоративных клиентов времени для ожидания обычно нет. С другой стороны, у них всегда есть резервные копии и отдел ИТ, у которых день Конституции стал очень рабочим.

В результате для корпоративного сектора последствия будут выражены в ударной работе ИТ-шников для восстановления из backup-ов данных + недополученная прибыль по факту непредставленных услуг, а также имиджевые потери и прочие более мелкие неприятности. Это в очень общих чертах.

В системах на тонких клиентах с квалифицированным администрированием потерь данных могло вообще не быть.

Поэтому в реальности стоит исходить из того, что информация на диске в случае отсутствия архивных копий скорее всего потеряна.

Если только опытный пользователь не успел отключить питание компьютера до полного окончания шифрования и прочитать оставшиеся нетронутыми данные из здоровой операционной системы. Ведь процесс шифрования больших объемов данных требует ресурсов и времени. Поэтому вирус маскировал это под обслуживание диска.

Информатизация частно-государственных отношений породила аутсорсинг того, что должно было предоставлять государство с соответствующим уровнем защиты – программное обеспечение для взаимодействия. История внедрения электронной отчетности со всеми прелестями в виде платной подписки и непринятии бумажных отчетов бизнесу известна.

Если версия киберполиции об основном канале распространения угрозы окажется достоверной, то в случае обеспечения аналогичного сервиса государством можно было бы говорить о защите и виновных.

В случае же частного поставщика услуги таковой сам заявится потерпевшим. В любом случае под угрозой оказывается уже безопасность национального уровня.

Поэтому актуальным становится вопрос государственной составляющей в таком взаимодействии как первичной бесплатной альтернативы платному программному обеспечению без гарантий – ведь именно финансовый канал стал источником распространения вреда, будучи при этом почти безальтернативным.

Так же необходимо вести речь об элементарной грамотности в сфере компьютерной безопасности. Примерно, как в вопросе распространения ВИЧ/СПИДа еще несколько лет назад. И если в случае с частным сектором вопрос полностью лежит на предпринимателе, то ситуация с блокированием работы органов государственной власти по причине использования необслуживаемого ПО либо низкой компетенции государственных служащих – абсолютно недопустима.

Особняком стоит вопрос о том, каковы были истинные цели авторов вредоносной программы. Ведь поверить в то, что они реально рассчитывали на существенные суммы выкупа в биткоинах из Украины, крайне сложно.

Поэтому нельзя исключать вероятность того, что событие является либо «пробным шаром», либо даже отвлекающим маневром, призванным выровнять статистические ожидания в профильной аналитике.