main-logo

Кібератака, вірус Petya.A . Що необхідно знати?

29.06.2017

27 червня велика кількість українських компаній та державних установ піддалась атакам хакерів. Атака була здійснена вірусом Win32/Petya. Як вияснилось, це оновлений прототип вже відомого WannaCry. Від кібератаки постраждали такі відомі компанії як “Укренерго”, “Укрпошта”, “Нова пошта”, ДТЕК, аеропорт Бориспіль, і київський метрополітен. Про проблеми в роботі комп’ютерної мережі повідомили і в Кабміні.

За даними CERT-UA переважна більшість інфікувань операційних систем відбувалася через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів.

Вірус «інфікує» комп’ютери з ПЗ ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті $300 для розблокування даних.

Microsoft повідомляє, хакерська атака почалася з України, а потім «накрила» ще 64 країни. Процес був запущений о 10.30 ранку 27 червня з оновлення  програмного забезпечення MEDOC (EzVit.exe); всього були інфіковані 12,5 тисяч комп’ютерів.

Якщо ваш компютер постраждав або його інфіковано на сайтах Держспецзв’язку та команди CERT-UA опубліковано рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача.

Зокрума, команда CERT-UA рекомендує:

Зокрума, команда CERT-UA рекомендує:

  1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його)– вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
  2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
  3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat. Також для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процеса шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.
  4. Взалежності від версії ОС Windows встановити патч з рекомендованих CERT-UA ресурсів.
  5. Переконатися, що на всіх комп’ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
  6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
  7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

  1. Коли користувач бачить «синій екран смерті», дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Якщо ви бачите, що комп’ютер показує вам «синій екран», перезавантажується і запускає Check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп’ютера (тільки не в якості завантажувального тому!). І скопіювати свої файли.

Свої рекомендації також оприлюднили Фахівці з американської компанії з виробництва ПЗ в галузі інформаційної безпеки Symantec. Зазначається, що під час атаки вірус шукає на комп’ютері файл C: \ Windows \ perfc. Якщо такий файл вже існує, то вірус завершує свою роботу без зараження. Саме тому створення заздалегідь такого файлу застереже від його шкідливої дії.

Станом на 29 червня 45 компаній перерахували вимогу у 300 доларів у валюті біткойн інтернет-вірусу Petya.A. Зокрема всього перераховано 3.99009155 BTC. Станом на 29.06.2017 це близько 10252.43 доларів США. Статистику надходження коштів на рахунок вимагачів можна простежити по їхньому біткойн-гаманцю. Як повідомляють користувачі в соціальних мережах, ключ для розшифровки даних у відповідь ніхто не надіслав.

Як відомо, e-mail адреса здирників вже заблокована на рівні провайдера послуг. Це означає, що підтвердження про оплату ніхто не отримає, відповідно,  ви не отримаєте ключ для розшифровки .Тому не потрібно  плати хакерам.

Коментарі ДФС щодо прийняття звітності, податкових накладних та ін.

27 червня увечері ДФС заявила, що відключила некритичні елементи мережі у зв’язку з потужною кібератакою протягом дня. На FB-сторінці відомства опублікована наступна заява“Приймання електронних документів (звітності, податкових накладних та інших) тимчасово призупинено з 18:00 год 27.06.2017. Всі електронні документи, що надійшли до ДФС до 18:00 будуть оброблені днем прийняття”“Наразі ситуація з роботою комп’ютерної мережі ДФС контрольована, вживаються заходи для повної нейтралізації втручання”, – повідомили в ДФС.

Податківці обіцяють, що 29 червня, всі сервіси ДФС, які з метою захисту були відключені, почнуть працювати у штатному режимі. А у вчорашніх коментарях на Fb сторінці M.E.Doc повідомлено, що Сота працюватиме в четвер у другій половині дня, а Медок – працює.