Вирус Петя (Petya): как один шифровальщик поставил бизнесы на колени и чему он учит сегодня

Один заражённый компьютер вывел из строя целые корпорации. Petya за считаные минуты распространился по внутренним сетям, уничтожая данные, шифруя диски, блокируя доступ к системам. Многие думали, что у них всё под контролем — до тех пор, пока бизнес не остановился.

В 2017 году мир столкнулся с атакой, которая изменила представление о цифровой угрозе. Вирус Petya — точнее, его модификация под названием NotPetya — распространился с ужасающей скоростью, оставляя за собой отключённые системы, зашифрованные диски и убытки на сотни миллионов долларов. Для многих компаний и государственных структур это стало холодным душем.

Краткое описание атаки Petya и её последствий

Petya — это оригинальный вирус-шифровальщик, появившийся в 2016 году. Он шифровал таблицу файловой системы (MFT) и требовал выкуп. Тогда он был типичным вымогателем, распространялся через фишинг и заражённые исполняемые файлы.

NotPetya — это модификация того же вируса, но с совсем другим смыслом. Он появился летом 2017 года и лишь маскировался под Petya, чтобы казаться вымогателем. На деле — это был уничтожающий червь (wiper). Даже при оплате расшифровать данные было невозможно: механизма восстановления просто не существовало.

Заражение началось с обновления украинской бухгалтерской программы M.E.Doc. Вирус быстро перекинулся на другие системы через уязвимость EternalBlue в протоколе SMB. Последствия ощущались глобально: были атакованы логистические компании, банки, металлургические комбинаты, правительственные ведомства. Некоторые предприятия приостановили деятельность на несколько дней.

Ущерб от действий Пети подсчитать сложно. По разным оценкам, пострадали десятки тысяч устройств в более чем 60 странах.

Как вирус Петя парализовал компании и инфраструктуры по всему миру

Распределение шло не по случайной цепочке — вредоносный код быстро проникал в корпоративные сети, используя комбинацию уязвимостей и украденных учётных данных. После попадания в локальную сеть Петя действовал как инструмент внутреннего разрушения, а не как классический вирус-вымогатель.

В зоне поражения оказались не только частные компании, но и элементы госинфраструктуры: терминалы портов, транспортные системы, государственные органы. Была нарушена работа систем поставок, документооборота, производственных линий. Компании, не пострадавшие напрямую, понесли убытки из-за остановки партнёров и логистических цепочек.

Многие IT-службы просто не были готовы к такой скорости заражения и глубине воздействия.

Почему атака Пети стала поворотной точкой для кибербезопасности

NotPetya разрушил миф о том, что шифровальщики действуют только ради денег. Его целью было максимальное разрушение, и это изменило подход к защите. Акцент сместился с восстановления на предупреждение. В защитных стратегиях появились жёсткая сегментация, надёжное резервирование и постоянный мониторинг внутренних соединений.

Событие повлияло не только на технические решения. Руководство компаний впервые всерьёз включило киберриски в стратегическое планирование. Появились новые стандарты, обновились регламенты реагирования, выросло внимание к резервному копированию, управлению уязвимостями, мониторингу и обучению персонала.

NotPetya стал для бизнеса тем, чем стал Stuxnet для промышленной автоматизации — демонстрацией, что кибератака способна оставить после себя физические и финансовые руины.

Как работал вирус Petya

Поверхностно вирус казался очередным шифровальщиком, но внутри скрывался продуманный механизм разрушения. Его архитектура сочетала в себе сразу несколько методов проникновения, захвата и уничтожения данных — в том числе техники, которые раньше использовались в кибершпионаже.

Заражение через уязвимые цепочки поставщиков и фишинг

Первая волна заражения началась с поставщика софта, которому доверяли тысячи организаций. Программа M.E.Doc получила заражённое обновление. Его установили на рабочих станциях, после чего начался запуск вредоносного кода.

Это был не единственный вектор. Расследования указывают на то, что Петя использовал фишинговые письма с вредоносными вложениями, чтобы проникнуть в системы, не использующие уязвимую версию M.E.Doc. Пользователю достаточно было открыть заражённый файл, чтобы дать вирусу точку входа.

Цепочка поставки оказалась тем слабым звеном, которое вирус использовал почти без сопротивления.

Петя использовал эксплойт для распространения внутри сети

После активации вирус Petya начинал действовать как червь: сканировал внутреннюю сеть и атаковал другие устройства. Он применял инструменты, украденные у АНБ: эксплойт EternalBlue для обхода защиты Windows через SMBv1 и утилиту Mimikatz для кражи учётных данных из памяти.

Даже при отсутствии прямых уязвимостей Petya мог продвигаться дальше, если ему удавалось получить права администратора. Он быстро охватывал всё: от рабочих станций до серверов, включая системы управления и резервные хранилища.

Многие компании не успели ничего предпринять — инфекция распространялась за считанные минуты.

Шифрование критической части системы (MFT)

В отличие от большинства вымогателей, Petya не просто зашифровывал файлы. Он воздействовал на структуру диска: шифровал таблицу MFT (Master File Table) — элемент, определяющий, где и как хранятся файлы на диске.

После перезагрузки пользователь видел фальшивое сообщение CHKDSK — якобы система проверяет диск. На самом деле в этот момент происходило шифрование. В финале появлялся экран с требованием оплаты в биткоинах и инструкциями по «восстановлению».

Но даже если жертва следовала этим инструкциям — никакого восстановления не происходило.

Отсутствие возможности восстановления данных даже при оплате

Вирус Петя выдавал ключ, который якобы можно было использовать для расшифровки. Однако у него не было механизма сохранения уникального идентификатора жертвы. Это делало восстановление невозможным: злоумышленники просто не знали, кому отправить расшифровку, даже если бы захотели.

Формально атака выглядела как вымогательство, но фактически это была операция по разрушению. Данные были потеряны безвозвратно, а оплата не имела смысла.

Такой подход показал: цель — не деньги, а максимальный урон инфраструктуре. Именно это отличает NotPetya от классических шифровальщиков вроде WannaCry или LockBit.

Кто и почему пострадал от Пети

Вирус не делал различий — он поражал всех, кто оказался уязвим: от частных компаний до государственных учреждений. Уязвимость часто скрывалась в мелочах — невнимательность к обновлениям, единый административный доступ, отсутствие изоляции внутри сети. Даже крупные организации с казалось бы выстроенной ИТ-безопасностью оказались не готовы к атаке Пети.

Устаревшие системы со слабой безопасностью

Первыми под удар Petya попали организации, которые годами откладывали обновления и продолжали использовать устаревшие операционные системы — Windows XP, Windows 7 без последних патчей, сервера без антивирусной защиты. В некоторых случаях такие системы работали на критически важных узлах: терминалах логистики, бухгалтерии, диспетчерских центрах.

Многие из них не были подключены к централизованному управлению, не имели мониторинга, не проходили аудит. В условиях атаки такие машины превращались в «дверь нараспашку», через которую вирус спокойно проходил вглубь сети.

Ошибки в обновлениях, резервном копировании и сегментации сети

Там, где обновления всё-таки устанавливали, нередко отсутствовал контроль: патчи применялись выборочно, без проверки актуальности конфигураций. Это создавало иллюзию безопасности, но в критический момент оставило сети незащищёнными.

Копии для восстановления, если и существовали, часто хранились в той же сети, были доступны по тем же логинам, что и основной массив данных. Петя добирался до них за считанные минуты, запускал удалённое выполнение команд, получал права администратора через Mimikatz или уже имел их, а затем:

• либо зашифровывал резервные копии, если они были в доступной файловой форме,
• либо просто уничтожал их — перезаписывал, удалял, делал недоступными,
• в некоторых случаях — удалял каталоги и сетевые тома, в которых были копии.

Итог — резервные данные исчезали или становились бесполезными, как и основная система. У компаний не оставалось ничего, что можно было бы восстановить

Сегментация сети — базовый принцип безопасности — почти нигде не применялась строго. В результате заражение одной машины в бухгалтерии приводило к остановке заводского конвейера или обесточиванию дата-центра.

Такой эффект домино стал главным фактором катастрофического масштаба атаки.

Примеры пострадавших от Petya

Среди наиболее известных жертв — Maersk, крупнейшая в мире контейнерная компания. Атака Не-Пети нарушила работу более 70 тысяч устройств и парализовала логистику в десятках стран. Компания восстановилась только благодаря резервной копии одного из серверов, случайно отключенного в момент атаки.

Также пострадали Роснефть, Башнефть, Merck, Еvraz, заводы Mondelez и филиалы множества государственных структур Украины. В некоторых случаях ущерб исчислялся сотнями миллионов долларов.

Особенно тревожным оказался факт: вирус Petya остановил работу объектов критической инфраструктуры — энергетики, транспорта, медицины. Там, где должны быть выстроены уровни защиты, отказоустойчивость и контроль, система оказалась хрупкой и неподготовленной.

Петя стал не просто киберугрозой — он стал зеркалом для отрасли. Многие увидели собственные уязвимости, о которых предпочитали не думать.

Уроки для ИТ и ИБ-специалистов

После атаки вируса Петя многие компании начали по-другому смотреть на киберугрозы. Стало очевидно: защита информации — это не «технический вопрос», а вопрос выживания. Ниже — выводы, которые ИТ и ИБ-службы усвоили на практике, а не из методичек.

Любая точка входа может стать катастрофой для всего бизнеса

Обновление бухгалтерской программы, один заражённый файл. Несколько минут — и система вышла из строя по всей сети. Атака Пети началась с одной уязвимости, но её последствия почувствовали глобальные подразделения, логистика, финансы, руководители.

Речь не только о внешнем периметре. Даже внутренний компьютер без патчей может стать той самой точкой, откуда вирус начнёт движение. Контроль над мелочами — вот что удерживает компанию на плаву в момент атаки.

Petya показал: обновления и патчи — не прихоть, а базовая гигиена

Многие пострадавшие знали о существующих уязвимостях, но откладывали обновления: «нет времени», «боюсь поломать», «вроде и так работает». Именно такие решения открыли двери для вируса.

Поддержка актуального состояния системы — не разовая задача, а ежедневная рутина. Ее невозможно «доделать и забыть». Это такая же норма, как замок на двери офиса или тревожная кнопка в банке.

Узнайте, как Vulnerability Management поможет защитить систему.

Кибератака может быть не ради денег, а ради разрушения

С Петей случился важный сдвиг в восприятии угроз. До этого шифровальщики ассоциировались с вымогательством: заплати — получишь ключ. В данном случае ключа не было. Целью был хаос, простой, дестабилизация — особенно на фоне напряжённой политической обстановки.

ИБ-специалисты начали учитывать сценарии саботажа, кибершпионажа и атак, не связанных с финансовой выгодой. Это повлияло на приоритеты: защита непрерывности, изоляция сегментов, физическая безопасность серверов вышли на первый план.

Ущерб от Petya

Maersk потеряла сотни миллионов долларов. Merck судилась за компенсации — процесс закончился только в 2023 году. Клиенты уходили, логистика срывалась, партнёры несли убытки. Юристы, страховщики, пиар-службы и кризисные штабы работали в экстренном режиме.

Петя показал, что кибератака может быть не просто инцидентом ИТ, а полноценным бизнес-кризисом. От того, как компания готовится, реагирует и восстанавливается, зависит не только выручка, но и её репутация, доверие клиентов и даже легальное положение на рынке.

Petya показал: иногда достаточно одной уязвимости, чтобы остановить весь бизнес. Но решение не в том, чтобы бояться, а в том, чтобы быть подготовленным. Расскажем, что поможет выстроить реальную защиту, а не формальную галочку в отчёте.

Патч-менеджмент и контроль версии ПО

Атака Пети стала возможной из-за неустановленных обновлений. Даже после публикации патча к уязвимости EternalBlue многие системы оставались без него неделями. Причина — отсутствие централизованного учёта и контроля.

Решение простое по форме, но непростое по реализации: системный учёт всех компонентов, регулярная проверка наличия обновлений, автоматизация установки и контроль состояния патчей. Без этого любое ПО — потенциальная брешь в защите.

Сегментация сети и ограничение прав доступа

Petya распространялся по внутренним сетям как по открытому шоссе. Отсутствие изоляции между подразделениями, единые учётные записи и полные права на всех устройствах сделали вирусу путь максимально простым.

Концепция нулевого доверия Zero Trust — что это и как внедрить, читайте наш обзор.

Сеть должна быть разделена логически: бухгалтерия не должна видеть хранилища производства, а тестовая среда — иметь доступ к «боевым» системам. Администраторы должны использовать разные учётные записи для работы и администрирования. Меньше прав — меньше урона при компрометации.

Регулярное резервное копирование и тестирование восстановления

Многие компании, пострадавшие от Petya, имели резервные данные. Но либо они были зашифрованы вместе с основной системой, либо восстановление заняло недели — потому что никто не проверял процесс восстановления заранее.

Бекап данных нужно делать не «по расписанию», а по смыслу: регулярно, надёжно, с учётом приоритетных данных. Но главное — тестировать, насколько реально оперативное восстановление работоспособности в кризис. Без этого копии — просто файлы в хранилище.

Установка современного антивируса и мониторинг трафика

Вирусы вроде Пети часто обходят устаревшие антивирусные решения. Обнаружить их можно не по сигнатурам, а по аномальному поведению. Здесь критически важен поведенческий анализ, мониторинг трафика и реакция в реальном времени.

Нужны не просто «антивирусы», а полноценные решения класса EDR и XDR, которые умеют видеть подозрительную активность, блокировать распространение вредоносного кода и передавать информацию специалистам безопасности.

Как EDR-системы помогают оперативно заметить и устранить угрозу, узнайте из нашего материала.

Инструменты от «Петь» разного рода  есть. Главное — уметь ими пользоваться не по инструкции, а по ситуации.

Обучение сотрудников и готовность реагировать на инциденты

Даже лучшая защита бессильна, если пользователь запускает заражённый файл или передаёт пароль по телефону. Петя заразил многие компании через обычные фишинговые письма и социальную инженерию.

Сотрудники должны понимать, как выглядят признаки атаки, кому сообщать, как себя вести. У компании должен быть чёткий, отработанный сценарий реагирования: кто что делает, куда звонит, как отключает заражённые узлы.

План реагирования без тренировки — просто бумага. Сценарий,  отработанный на практике, определяет, насколько серьёзными будут потери при атаке.

Как организовать обучение кибергигиене, узнайте из нашего материала.

Почему история Petya до сих пор актуальна

С тех пор прошло больше семи лет, но вирус Петя до сих пор вспоминают в отчётах, тренингах, презентациях для руководства. Не потому что это «страшилка из прошлого», а потому что всё, что с ним связано, по-прежнему происходит — с другими именами, но по тем же сценариям.

Те же уязвимости используются в новых атаках

Уязвимости, которые эксплуатировал Petya — например, в протоколе SMB — всё ещё встречаются в инфраструктуре. Несмотря на патчи, настроенные сканеры и регламенты, в некоторых сетях продолжают работать машины с SMBv1, устаревшими Windows и неотключёнными учетными записями с правами администратора.

Злоумышленники это знают. Современные атаки используют ровно тот же принцип: проникновение через известную уязвимость, захват учётных данных, движение по сети, шифрование или удаление данных. Только инструменты стали умнее, а последствия — дороже.

Тренд на сложные, деструктивные кибератаки продолжается

Если раньше основной мотивацией считались деньги, то сейчас всё чаще цель — дестабилизация. Кибератаки стали частью политических конфликтов, инструментом давления, способом вывести из строя инфраструктуру. Petya был одним из первых массовых примеров такой модели, но далеко не последним.

Вирусы вроде WhisperGate, HermeticWiper, атакующие ransomware-группы вроде BlackCat — всё это продолжение той же линии: точечная атака, разрушение критических компонентов, максимальный урон с минимальным шумом.

Петя не исчез — он просто стал основой для более изощрённых подходов.

Petya — наглядный пример, почему ИБ — это бизнес-необходимость

История Petya — это не про вирус. Это про уязвимость решений, просчёты в управлении, слабые ИТ-фундаментальные практики. Именно поэтому эту атаку изучают в бизнес-школах, приводят в отчётах CISO, обсуждают на совещаниях директоров.

Петя ясно показал: ИБ не ограничивается техническим отделом. Это вопрос управления рисками, выживания компании, доверия клиентов и сохранения бизнеса в кризис.

Когда безопасность встроена в процессы, в ежедневные действия, в культуру компании — последствия даже самой серьёзной атаки будут другими.

Главное

Petya — не просто вирус. Это поворотная точка в истории кибербезопасности. Он показал, как уязвимость в одной точке может парализовать глобальные бизнес-процессы. Причём не ради выкупа, а с целью нанести максимальный урон.

Заражение началось с доверенного источника. Программа M.E.Doc использовалась многими легально. Это классический пример: вредонос попадает в систему через программу, которой доверяют. Такой путь называют атакой через цепочку поставки ПО. Поэтому проверка подрядчиков и внешнего кода — обязательный элемент киберзащиты.

Устаревшие системы — как открытая дверь. Без обновлений, сегментации и контроля прав даже крупные корпорации стали лёгкой добычей. Атака Пети двигалась быстро, вглубь сети, уничтожая данные, ломая бизнес.

Резервные копии не помогли многим. Потому что никто не проверял, как восстановиться. Копирование без восстановления — это самоуспокоение, а не защита.

Petya не шифровал ради денег. Это был акт деструкции. Он разрушал систему, а не торговался. Такой подход стал основой многих современных атак: хаос вместо выкупа — теперь это реальность.

Атака вышла за рамки ИТ. Она затронула логистику, юристов, финансы, пресс-службы, клиентов и партнёров. Реакция на киберинцидент — это всегда командная задача, а не только зона ответственности безопасников.

Главный урок Пети — в готовности. Не в том, чтобы бояться, а в том, чтобы быть заранее подготовленными: технически, организационно и ментально. Petya стал примером, почему ИБ — это часть стратегии, а не только IT-отдел.