Вирус Petya.А: итоги и перспективы
На сегодня киберполиция сообщает о 2 основных предполагаемых путях заражения. Первый (подтверждается корпорацией Microsoft – ред.) – сложная система распространения «вредоноса» через обновление бухгалтерского ПО.
Для этого в теории сначала надо было получить несанкционированный доступ к ресурсам автора программы сдачи отчетности, после чего процесс становился автоматизированным и заражал жертв через систему обновления этой программы.
Широкое добровольно-принудительное распространение этого ПО стало мощным каналом «дистрибуции» уже вируса.
Вторым массовым путем заражения стала рассылка кода вируса в приложениях к электронным письмам, которые мимикрировали под доверенные источники. Пользователь не задумываясь открывал вложение, и происходило заражение фактически руками самой жертвы.
Рассматривать вариант оплаты вымогателям не будем. Ведь вероятнее всего, что после оплаты никто ничего расшифровывать не станет. Никакой код может и не прийти. Да и вообще неизвестно, предусмотрена ли авторами возможность дешифрации на самом деле. При этом в сети уже появились ложные дешифраторы, которые сами являются вирусами.
Расшифровка же на самом деле технически возможна. Для старых версий вируса существуют программы-дешифраторы. Но будет ли кто-то на энтузиазме писать новые, и самое главное – сколько времени для этого понадобится? У корпоративных клиентов времени для ожидания обычно нет. С другой стороны, у них всегда есть резервные копии и отдел ИТ, у которых день Конституции стал очень рабочим.
В результате для корпоративного сектора последствия будут выражены в ударной работе ИТ-шников для восстановления из backup-ов данных + недополученная прибыль по факту непредставленных услуг, а также имиджевые потери и прочие более мелкие неприятности. Это в очень общих чертах.
В системах на тонких клиентах с квалифицированным администрированием потерь данных могло вообще не быть.
Поэтому в реальности стоит исходить из того, что информация на диске в случае отсутствия архивных копий скорее всего потеряна.
Если только опытный пользователь не успел отключить питание компьютера до полного окончания шифрования и прочитать оставшиеся нетронутыми данные из здоровой операционной системы. Ведь процесс шифрования больших объемов данных требует ресурсов и времени. Поэтому вирус маскировал это под обслуживание диска.
Информатизация частно-государственных отношений породила аутсорсинг того, что должно было предоставлять государство с соответствующим уровнем защиты – программное обеспечение для взаимодействия. История внедрения электронной отчетности со всеми прелестями в виде платной подписки и непринятии бумажных отчетов бизнесу известна.
Если версия киберполиции об основном канале распространения угрозы окажется достоверной, то в случае обеспечения аналогичного сервиса государством можно было бы говорить о защите и виновных.
В случае же частного поставщика услуги таковой сам заявится потерпевшим. В любом случае под угрозой оказывается уже безопасность национального уровня.
Поэтому актуальным становится вопрос государственной составляющей в таком взаимодействии как первичной бесплатной альтернативы платному программному обеспечению без гарантий – ведь именно финансовый канал стал источником распространения вреда, будучи при этом почти безальтернативным.
Так же необходимо вести речь об элементарной грамотности в сфере компьютерной безопасности. Примерно, как в вопросе распространения ВИЧ/СПИДа еще несколько лет назад. И если в случае с частным сектором вопрос полностью лежит на предпринимателе, то ситуация с блокированием работы органов государственной власти по причине использования необслуживаемого ПО либо низкой компетенции государственных служащих – абсолютно недопустима.
Особняком стоит вопрос о том, каковы были истинные цели авторов вредоносной программы. Ведь поверить в то, что они реально рассчитывали на существенные суммы выкупа в биткоинах из Украины, крайне сложно.
Поэтому нельзя исключать вероятность того, что событие является либо «пробным шаром», либо даже отвлекающим маневром, призванным выровнять статистические ожидания в профильной аналитике.
Обсуждения закрыты для данной страницы