Вчора, 27 червня 2017 року, Україна піддалася найбільшої кібер-атаці за історію держави. Вірус-шифрувальник під назвою “Petya.A” атакував комп’ютери підприємств національного значення. Ось їх список:

Держструктури: Кабінет міністрів України, Міністерство внутрішніх справ, Міністерство культури, Міністерство фінансів, Нацполіція (та регіональні сайти), Кіберполіція, КМДА, Львівська міська рада, Міненерго, Нацбанк Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Південний, ОТР банк, Кредобанк. Транспорт: Аеропорт «Бориспіль», Київський метрополітен, Укрзалізниця. ЗМІ: Радіо Ера-FM, Football.ua, СТБ, Інтер, Перший національний, Телеканал 24, Радіо «Люкс», Радіо «Максимум», «КП в Україні», Телеканал АТР, «Корреспондент.нет». Великі компанії: «Нова пошта», «Київенерго», «Нафтогаз України», ДТЕК, «Дніпроенерго», «Київводоканал», «Новус», «Епіцентр», «Арселлор Міттал», «Укртелеком», «Укрпошта». Мобільні оператори: Lifecell, Київстар, Vodafone Україна. Медицина: «Фармак», клініка Борис, лікарня Феофанія, корпорація Артеріум. Автозаправки: Shell, WOG, Klo, ТНК.

Також багато компаній були змушені відключитися від Інтернету, побоюючись ризику бути підданими атаці.

На тему того, як це сталося, що представляє собою вірус, чи є спосіб захисту від нього і хто міг організувати подібну атаку, нас проконсультував Микита Книш – Керівник компанії ProtectMaster, організатор міжнародного форуму з кібербезпеки HackIT

Відомо, що вірус «Petya» шифрує MBR завантажувальний сектор диска та замінює його своїм власним, що є «новинкою» в світі Ransomware, трохи пізніше прибуває його друг #Misha (назва з Інтернету), який вже шифрує всі файли на диску (не завжди) . Петя і Міша не нові, але такого глобального поширення раніше не було. Постраждали досить добре захищені компанії. Шифрується все, включаючи завантажувальні сектора (оригінальні) і Вам залишається тільки читати текст вимагача, після включення комп’ютера.

Є три вектора поширення даного вірусу: 1. Спам-компанія зі шкідливими вкладеннями; 2. Поширення через уразливості відкритих портів з уразливими протоколами;

3. Імовірно завантаження вірусу під виглядом оновлень популярного в Україні бухгалтерського софта. Софт сам скачав підміненні оновлення.

У мережі вже з’явився дескриптор, який нібито може дешифрувати файли. Його поширюють малоосвічені “експерти”, не звертаючи уваги на те, що даний дескриптор може розшифрувати тільки файли, зашифровані в 2016 році. “Петя” зразка 2017 го року йому не піддається.

Як зупинити зараження? Локальний “kill switch” для Petya: зупинити шифрувальника можна створивши файл “C: Windows perfc” perfc – файл без розширення. Так само важливо, якщо ви побачили перезавантаження комп’ютера і початок процесу “перевірки диска”, в цей момент потрібно відразу ж вимкнути комп’ютер, і файли залишаться незашифрованими. Завантаження з LiveCD або USB-диска дасть доступ до файлів.

Також необхідно встановити патч з ресурсу MicroSoft в залежності від вашої версії Windows (увага! це не гарантує 100% безпеки, так як у вірусу багато векторів зараження!), список патчів ви знайдете ось тут.

Щодо автора вірусу, а також замовника та виконавця кібер-атаки, дати будь-яку конкретику по гарячих слідах складно і було б проявом цілковитої некомпетентності. Це можна буде сказати тільки після детальних досліджень і аналізу коду а також векторів зараження. І навіть якщо хтось буде заявляти “це моє”, то це далеко не означатиме, що це так. Охочих підписатись під такою ефективною атакою буде багато, а ось реально підтвердити свою участь зможе тільки той, у кого буде повний вихідний код вірусу в оригінальному вигляді.

В іншому ж випадку, шанси довести з 100% вірогідністю джерело атак будуть такі ж, як і з’ясувати хто атакував сервера демократичної партії США. Все буде з формулюванням “З певним ступенем імовірності можна стверджувати що ….”

Ну і найголовніше питання, яке, напевно, хвилює дуже і дуже багатьох. Чи будуть тривати кібер-атаки на підприємства України? Так, будуть. А після успіху цієї атаки, можливо навіть частіше, тому всім компаніям необхідно більш скрупульозно підходити до питань IT безпеки. Тим більше це стосується стратегічних об’єктів та державних установ.

Останнє питання, яке ми поставили Микиті, змусило серйозно задуматися, цитую: – І все ж таки, це ми виявилися такими слабкими, або вони такими сильними?

– У кібер-просторі немає маркерів “ми” – “вони”, хакерам плювати на політику. Але у НИХ є урядові хакери. У нас – немає.

Віктор Сокуренко

d0a5d0b0d0ba-d0b0d182d0b0d0ba-d091d0b5d180d0b5d0b7d0b0-d0a2d0bed0b4d0b5d0b9-9555353

Load More…