Письма, которые содержали вирус, были тщательно замаскированы под деловую переписку, и приходили на почту за несколько дней, а то и недель.
Есть информация о том, что дата и время старта вируса были зашифрованы в коде – 27 июня 11.00.
В преддверии Дня Конституции случилась наибольшая за всю историю Украины кибератака на компьютерные системы финансовых учреждений, энергетических предприятий, средств массовой информации, объектов транспорта и инфраструктуры, телекоммуникационных сетей и других крупных организаций.
Попадая в компьютер, вирус-вымогатель зашифровывал все данные и требовал заплатить 300 долларов в биткоинах. После перечисления средств, злоумышленники обещали выслать ключ для расшифровки.
От кибератаки пострадали более 100 компаний по всей Украине. Первым был "Ощадбанк", за ним "Укрпочта", "Новая почта", "Укренерго", "Укртелеком", Министерство инфраструктуры Украины, Минэнергоугля, 24 канал, Интер, Первый национальный и многие другие.
Рассылка писем с вирусом совершалась на корпоративные электронные ящики, однако были случаи заражения и домашних компьютеров.
Власти считают, что вирус был запущен для того, чтобы дестабилизировать ситуацию в Украине, но, по словам Гройсмана: "Атака будет отбита, а злоумышленники выявлены".
Специалисты по кибербезопасности уже принимают меры по стабилизации ситуации, пытаются обнаружить, откуда был запущен вирус, а также помогают компаниям разобраться с последствиями атаки.
Отмечается, что пострадали компьютеры с операционной системой Windows 7 и ниже. Компьютеры, которые работают на Windows 10 и других операционных системах атаке не подверглись.
В зоне особого риска
По словам CEO компании SOC Prime Андрея Безверхого, вирус атаковал не только Украину, но и другие страны, в частности, Голландию, Польшу, Францию.
По его словам, специалисты в сфере кибербезопасности уже обнаружили индикаторы атаки. В связи с этим они ожидают, что Microsoft выпустит бесплатный пакет обновлений для Windows в течение ближайших двух часов. Кроме того, уже 13 антивирусов детектируют вирус и их число постоянно растет.
В настоящий момент достоверно неизвестно, как вирус попадал на ПК. На этот вопрос будет дан однозначный ответ после проведения реверс-инжиниринга исходного кода вредоносного ПО.
Пока рассматриваются три сценария заражения:
Первый - ссылка в письме, которая ведет на сайт с закачкой зараженного ПО.
Второй - заражение через системы электронного документооборота.
Третий - взлом системы обновления Windows, но это пока на уровне слухов.
По его Андрея Безверхого, у специалистов пока нет доказательств, что вирус - это новая модификация WannaCry. Пока вредоносное ПО проявляет признаки более старого шифровальщика, который называется Petya. Однако Безверхий не исключает, что вирус может содержать куски исходного кода Petya и WannaCry.
Между тем, технический директор Zillya! Олег Сыч считает, что вирус - это все-таки новая модификация WannaCry.
"Его можно по разному называть, например, на сайте "Укрпочты" пишут, что их атаковала троянская программа Petya.A, - говорит Сыч. - Но скорее всего речь идет о WannaCry. Несмотря на то, что новая модификация значительно усовершенствована, есть явное сходство".
По его данным, первоначальное заражение произошло по электронной почте. Злоумышленники провели спам-рассылку с предложением работы. После заражения первого компьютера троян, используя уязвимость ОС Windows, проник в локальную сеть и заразил все остальные компьютеры сети.
После атаки WannaCry в мае Windows выпустила обновление, которое закрывало уязвимость системы, через которую распространялся вирус. Пока доподлинно неизвестно, атаковал ли новый вирус системы, которые не были обновлены, но по некоторым признакам можно судить о том, что вирус обнаружил новую уязвимость - пострадавшие пользователи утверждают, что их ОС Windows была полностью обновлена. По крайней мере, точно была установлена "заплатка", закрывающая "дыру" для WannaCry.
"Возникает вопрос, почему вирус поразил так много ПК? - говорит технический директор Zillya!. - Обращает внимание тот факт, что больше всего пострадали компании с большими локальными сетями, имеющие разветвленную структуру".
Офисы таких компаний физически расположены по всей стране, но организованы таким образом, что работают в едином сетевом пространстве. В таком случае, если в каком-то месте система дает "течь", то есть кто-то из пользователей запускает троянскую программу у себя, то троян заражает все подразделения независимо от того, где они находятся территориально. Вирус использует логическую структуру локальной сети. Поэтому самый высокий риск заражения имеют как раз крупные предприятия.
Стоит также отметить, что троянская программа заражает не только рабочие станции, но и сервера под управлением ОС Windows, а потеря информации на серверах наиболее болезненна.
Предотвратить и победить
По словам архитектора систем информационной безопасности компании "ИТ-Интегратор" Алексея Швачки, вирус использует уязвимость в ОС Windows под названием MS17-010.
Специалисты утверждают, что эта уязвимость известна с марта 2017 года и компания Microsoft давно выпустила исправление безопасности, в том числе и на уже снятые с поддержки Windows XP / Vista / 2003 / 2008.
"Если Вы используете одну из этих версий ОС Windows, необходимо обязательно установить исправление, доступное по адресу: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012
Для актуальных лицензионных версий ОС Windows обновления устанавливаются автоматически. Если это по какой-то причине не выполняется, инструкцию по установке обновления можно найти здесь: https://support.microsoft.com/en-us/help/4023262/how-to-verify-that-ms17-010-is-installed
Если есть подозрение на то, что Ваш компьютер уже заражен, необходимо срочно скопировать важные данные на внешний носитель, который после этого обязательно отключить".
Тем, кто еще не заразился, Олег Сыч рекомендует заблокировать фаерволом порты 135 и 139. Таким образом, пользователи не смогут заходить в сетевые папки и сетевые диски, но все остальные транспортные протоколы будут доступны. Будет работать интернет, мессенджеры, электронная почта. Не будет работать файлообмен, но тем самым будет заблокировано размножение троянской программы.
Тем, кто уже пострадал, Олег Сыч рекомендует снимать с рабочих станций жесткие диски и отправлять их на хранение. Вместо них необходимо устанавливать новые диски с новой операционной системой.
"Вероятность того, что данные будут расшифрованы все-таки существует", - говорит технический директор Zillya!
Стоит отметить, что в апреле 2016 года после атаки криптовымогателя Petya появились бесплатные дешифровщики зашифрованных файлов. Их создали несколько специалистов из разных стран мира, после того как взломали код криптовымогателя.
Впрочем, чтобы впоследствии не надеяться на появление дешифровщиков, лучше всего выучить наизусть базовые правила работы с электронной почтой и пересылаемыми файлами. Эти правила напомнили в компании "Киевстар", которую атака не затронула:
- Не открывайте ссылки на веб страницы, полученные в подозрительных письмах или СМС. Ни в коем случае нельзя запускать программы, которые предлагают скачать или установить подобным образом. Злоумышленники могут ввести в заблуждение получателя, розыгрышем призов, использованием логотипов известных компаний, призывом к срочному выполнению и другими способами социальной инженерии.
- Внимательно проверяйте адрес веб страницы или адрес отправителя письма. Особенно необходимо быть внимательным, в случае если Вам предлагают ввести логин и пароль.
- Не открывайте вложения писем, полученных от неизвестных адресатов. Если есть малейшее подозрение на содержимое письма, перед открытием вложения обязательно проверьте его антивирусом. В случае выявления вируса обязательно удалите письмо и очистите папку "Удалённые".
- Не устанавливайте на компьютерах и мобильных устройствах программы из неофициальных источников. Программы могут содержать скрытый вредоносный функционал, который не обнаруживается системами защиты.
- Внимательно относитесь к паролям: используйте сложные пароли, не пользуйтесь одним паролем в разных системах, как в корпоративных так и в личных аккаунтах. Обязательно устанавливайте пароль на блокировку мобильного устройства.
А для сторонников радикальных мер подойдет пример "Приватбанка". Он в 2013 году стал самым крупным корпоративным пользователем ОС Linux в мире.
"Для наших программных комплексов и систем на сегодняшний день не существует никаких хакерских угроз, во многом благодаря конфигурации систем и работе департамента электронной безопасности", - сообщает сегодня пресс-служба "ПриватБанка".
Источник: epravda.com.ua
