Ви є тут

Хакери атакують: інфовійна у розпалі. Попереджено другу хвилю

оновлено

Сьогодні з 11 ранку Україна була атакована шифрувальником та кодувальником даних – вірусом Petya A.  Не працюють он-лайн платежі, заблоковано пересилання листів та банківські трансакції.

Атаковані обленерго в столиці, Херсоні, Запоріжжі та Миколаєві. Повідомляють про атаку Укрпошта, Нова пошта та телеканали ZIK, 24, Інтер та 5 канал. Банки приватні та державні Укрсоцбанк, Укргаз, Приват, Ощадбанк також заблоковані. Не працюють термінали.

Вірус вимагає здійснити оплату на рахунок зловмисників 300 доларів в біткоїнах.

Раніше подібний комп’ютерний вірус WCry (WannaCry і WannaCryptor) атакував близько 200 тисяч пристроїв з операційною системою Windows по всьому світу, серед яких комп'ютери лікарень, державних структур та мобільних операторів.

Дія цього вірусу також полягала в шифруванні файлів на комп'ютері, а розповсюджувачі вимагали від користувачів викуп за відновлення доступу до інформації на свої "Bitcoin" гаманці.

початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам #WannaCry.

Потрібно встановити найновішу версію ОС з оновленнями. Не відкривайте листи з лінками. Особливо – з архівними файлами чи невідомими розширеннями, або які виглядають як програма. Не дозволяйте ОС самій оновлюватися, ставте «прапорці» тільки там, де ви впевнені.

Спеціалісти повідомляють, що антивіруси по-різному «бачать» ворога:

Антивіруси

Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.

Symantec ніби зловив (прим. – лише остання версія АВ)

McAfee у всіх відомих випадках облажався.

Eset не реагує.

Порада: Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 и 445.

Поки що наші спеціалісти вивчають «подарунок» ймовірно з Росії та шукають антидоти. Бережіть себе і свої дані! 

В аеропорту «Петю обдурили»

Київ Сіті з посиланням на Європейську Правду, повідомляє, що в аеропорту проблем не було з видачею документів та посадкових талонів.

Як вдалося «обдурити» вірус розповів керівник Департаменту консульської служби МЗС України Сергій Погорельцев.

Міністерство закордонних справ змогло запобігти збоям в комп’ютерній системі оформлення віз іноземцям, включивши резервну систему.

“Проблем в оформленні віз іноземцям в Борисполі, Жулянах і Одесі в зв’язку з вірусом не було. Всі перейшли на дублюючу програму”, – розповів він.

При цьому він додав, що оформлення віз перевели на резервний режим ще до ймовірного виникнення проблем.

“Перейшли, не чекаючи збоїв. Відключили наші сервери і задіяли програму “Реноме”, яка не потребує мережі та доступ до інтернету”, – пояснив він.

Нагадаємо, Україна ввела в міжнародних аеропортах Бориспіль, Жуляни та Одеса оформлення віз по прибуттю для громадян декількох десятків держав.

Прес-центр СБУ повідомив сьогодні, 1 липня, що зараження вірусом відбулося через інтервенцію РФ. На меті була дестабілізація ситуації в Україні. 

"Наявні дані, у тому числі отримані у рамках взаємодії з міжнародними антивірусними компаніями, дають підстави вважати, що до вказаних атак причетні ті ж самі хакерські угрупування, що здійснювали атаки з використанням ШПЗ "TeleBots" та "Blackenergy" у грудні 2016 року на фінансову систему, об’єкти транспорту та енергетики України. Це свідчить про причетність до цієї атаки спецслужб РФ", - йдеться в повідомленні.

За оцінкою Служби безпеки України, зараження було сплановане та здійснено заздалегідь. Воно відбувалось у декілька етапів та стартувало напередодні національного державного свята.

Кібератака справляє враження звичайного вірусу типу ransomeware (програмне забезпечення для вимагання грошей), створеного для збагачення зловмисників. Насправді ж вірус є прикриттям масштабної атаки, спрямованої на Україну. Про це свідчить відсутність реального механізму заволодіння коштами, примітивність якого лише підтверджує думку про те, що збагачення не було метою атаки. Слід відмітити оригінальність та специфічність масштабного вектора зараження, пов’язаного з використанням прикладного бухгалтерського програмного забезпечення. За даними джерел СБУ за останні роки він зустрічався лише раз під час кібератаки з боку Північної Кореї. Таким чином, основним призначенням вірусу було знищення важливих даних та порушення роботи державних і приватних установ України для поширення панічних настроїв серед населення. 

Представники M.E.Doc підтвердили, що саме через їхнє програмне забезпечення відбувалося розповсюдження віруса-здирника Petya, відтак пропонують кіберполіції спільно випустити оновлення-"антивірус".

На офіційній Facebook-сторінці компанії M. E. Doc підтвердили, що вірус Petya поширювався саме через їхню програму.

"Вперше за історію існування ПЗ "M.E.Doc" стався безпрецедентний факт взлому, внаслідок якого до продукту було внесено шкідливий програмний код до пакету оновлення. За словами провідних міжнародних експертів та правоохоронців, втручання було здійснено високопрофесійними спеціалістами. Більше того, комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry, можуть бути причетними і до цієї вірусної атаки, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya)", – підкреслили представники M.E.Doc.

Також CEO M. E. Doc Олеся Білоус заявила, що всі, компанії, які мають їхнє програмне забезпечення, є зараженими.

"Просто вірус чекає на свій час. Може бути друга хвиля кібератаки",- повідомила вона. 

Друга хвилья планувалася на сьогодні, 5 липня. Але її вдалося зупинити. 

"На даний момент відкрито 597 кримінальних проваджень за статтею 361 Кримінального кодексу, 1047 юридичних і фізичних осіб звернулися з офіційними заявами у правоохоронні органи з цією проблемою, які у подальшому можуть бути визнані потерпілими. Але у більшості випадків до нас продовжують звертатися переважно з метою консультації"повідомив головуа Департаменту кіберполіції Сергій Демедюк в інтерв'ю "Цензор.net".

Також, за його словами, підприємці продовжують звертатися і в кіберполіцію, щоб зафіксувати факт зараження техніки вірусом. Це є підставою для податкової служби відкласти здачу звітності.

 

Варто зазначити, що у Міністерстві фінансів запропонували звільнити платників податків від штрафів за несвоєчасну реєстрацію податкових накладних, виписаних з 1 по 15 червня 2017 року через кібератаки.

Демедюк додав, що кіберполіція також рекомендує користувачам відмовитися від М. Е. Dос.

"Потрібно приймати кардинальне рішення. Все замкнуто на цю компанію, всі звіти через них. Ми, як кіберполіція, будемо рекомендувати всім користувачам повністю відмовитися від даного продукту. Є багато аналогічних програм, як вітчизняних, так і іноземних. Але це часовий період, певні фінансові витрати, тому що люди проплатили вже річні ліцензії. Деякі це зробили нещодавно. Думаю, той, хто хвилюється про свою безпеку, особливо у кого величезна мережева система, змушений буде піти на такий крок", - підсумував голова кіберполіції.