Он напоминает вирус-вымогатель. На самом деле он просто-напросто уничтожает данные. Предприятия и власти пытаются отыскать след этого вируса, причинившего весьма значительный ущерб, пишет журналист французской газеты Le Monde Мартин Унтензингер.
После появления неделю назад компьютерного вируса Petya десятки экспертов по всему миру ринулись в большую игру по розыску следов, дабы понять его функционирование и происхождение. Хотя зараженные предприятия недавно возобновили нормальную деятельность, поиски внутреннего содержания этой атипичной вредоносной программы еще далеки от рассеивания теневых зон, говорится в статье.
Сначала Petya старался маскироваться. Когда он нагрянул 27 июня, поразив сети многих компаний на Украине, потом в Европе и остальном мире, все признаки заставляли верить в то, что это вирус-вымогатель. Данные преобразованы в цифровую форму, недоступны, и жертвам зараженных компьютеров предлагается заплатить выкуп, чтобы их восстановить. Тем не менее, все большее число экспертов теперь считают, что один из механизмов, использованных Petya с целью парализовать компьютер своих жертв, делает невозможным всякое восстановление данных, даже самими создателями вируса, так, словно они повесили на компьютер висячий замок, для которого не существует никакого ключа, отмечает журналист.
К этой констатации пришли многие специализированные компании. "Кодирование необратимо: речь идет о вирусе Wiper (программное обеспечение, разрушающее данные), а не о вирусе-вымогателе", - поясняет Le Monde руководитель глобального центра исследований и анализа угроз "Лаборатории Касперского" Костин Райю, который изучил код Petya. "Petya задуман скорее для разрушения, нежели для принесения финансовой прибыли", - отмечают эксперты компании Talos Cisco. Более осторожно в своих выводах, хотя и придерживается той же линии, Национальное агентство безопасности информационных систем (ANSSI), считающее, что Petya - это вредоносная программа, принимающая подобие вируса-вымогателя.
По мнению Центра изучения передового опыта НАТО в области кибербезопасности, "Petya был запущен государственным или негосударственным субъектом, действующим при поддержке или одобрении государства. Операция была слишком сложной, чтобы быть подготовленной независимыми хакерами в целях тренировки. За вирусом Petya стоят не киберпреступники, принимая во внимание тот факт, что метод сбора выкупа был так плохо задуман, что он даже не покрыл бы расходов на саму операцию".
Многие компании в эти последние дни обнаружили сходства с серией вредоносных программ, уже наблюдавшихся в прошлом. Словацкая компания ESET утверждает, что раскрыла родственную связь между Petya и хакерской группой Telebot, в свою очередь, близкой к хакерской группе Black Energy, виновной в кибератаке против украинской энергосистемы в декабре 2015 года. "Лаборатория Касперского" тоже обнаружила сходство между кодами Black Energy и Petya, сообщает автор статьи.
Кто скрывается за хакерской группой Black Energy? Их операционный режим и их мишени натолкнули многих экспертов на вывод о том, что они работали на Россию. Например, в случае с США, которые в январе этого года включили эту группу в список операций, проведенных Кремлем, продолжает автор.
"Главная цель этого вируса - уничтожить важные данные (...), чтобы посеять панику среди населения. Имеющиеся в распоряжении сведения позволяют говорить о том, что в этой кибератаке замешаны те же группы, что и во время атак декабря 2015 года (еще одно наступление, нацеленное на украинскую энергосистему). (...) Это свидетельствует о вовлечении спецслужб Российской Федерации", - вынесли обвинение украинские спецслужбы. Официальный представитель Кремля опроверг перед агентством Reuters "эти необоснованные обвинения".
В конечном счете 70% компьютеров, зараженных Petya, находятся на Украине. Кстати - не символично ли это? - заражение началось 27 июня, накануне Дня Конституции, являющегося праздничным в этой стране, отмечает журналист.
"На данном этапе элементы, позволяющие приписывать России создание и распространение Petya, чрезвычайно скудны и исключительно косвенны. Если мишень и метод могли бы соответствовать российским стратегическим интересам в киберпространстве, то следует отметить, что Россия - вторая страна, наиболее затронутая вирусом Petya. Кроме того, смущающий факт - вирус был настроен так, чтобы совершенно прекратили действие именно те компьютеры, на которых было установлено антивирусное программное обеспечение, разработанное "Лабораторией Касперского", флагмана российской кибербезопасности", - комментирует Унтерзингер.
"Быть может, расследования, открытые в разных странах, в том числе во Франции, дадут ответы на все эти вопросы", - пишет журналист.