Вчера, 27 июня 2017 года, Украина подверглась самой крупной кибер-атаке за историю государства. Вирус-шифровальщик под названием «Petya.A» атаковал компьютеры предприятий национального значения. Вот их список:

Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк . Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк. Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця. СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет». Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентр», «Арселлор Миттал», «Укртелеком», «Укрпочта». Мобильные операторы: Lifecell, Киевстар, Vodafone Украина. Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум, Автозаправки: Shell, WOG, Klo, ТНК.

Также многие компании были вынуждены отключиться от Интернета, опасаясь риска быть подвергнутыми атаке.

На тему того, как это произошло, что представляет собой вирус, есть ли способ защиты от него и кто мог организовать подобную атаку, нас проконсультировал Никита Кныш — Руководитель компании ProtectMaster, организатор международного форума по кибербезопасности HackIT

Известно, что вирус «Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, чуть позже прибывает его друг #Misha (название из Интернета), который уже шифрует все файлы на диске (не всегда). Петя и Миша не новы, но такого глобального распространения ранее не было. Пострадали довольно хорошо защищенные компании. Шифруется всё, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера.

Есть три вектора распространения данного вируса: 1. Спам-компания с вредоносными вложениями; 2. Распространение через уязвимости открытых портов с уязвимыми протоколами;

3. Предположительно загрузка вируса под видом обновлений популярного в Украине бухгалтерского софта. Софт сам скачал подмененные обновления.

В сети уже появился дескриптор, который якобы может дешифровать файлы. Его распространяют малообразованные «эксперты», не обращая внимания на то, что данный дескриптор может расшифровать только файлы, зашифрованные в 2016 году. «Петя» образца 2017-го года ему не поддаётся.

Как остановить заражение? Локальный “kill switch” для Petya: остановить шифровальщика можно создав файл «C:\Windows\perfc» perfc — файл без расширения. Так же важно, если вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам.

Также необходимо установить патч с ресурса MicroSoft в зависимости от вашей версии Windows (внимание! это не гарантирует 100% безопасности, так как у вируса много векторов заражения!), список патчей можно найти тут.

Насчёт автора вируса, а также заказчика и исполнителя кибер-атаки, дать какую-либо конкретику по горячим следам сложно и было бы проявлением полнейшей некомпетентности. Это можно будет сказать только после детальных исследований и анализа кода, а также векторов заражения. И даже если кто-то будет заявлять «это мое», то это далеко не будет значить, что это так. Желающих подписаться под такой эффективной атакой будет много, а вот реально подтвердить своё участие сможет только тот, у кого будет полный исходный код вируса в оригинальном виде.

В противном же случае, шансы доказать со 100% вероятностью источник атак будут такие же, как и выяснить кто атаковал сервера демократической партии США. Всё будет с формулировкой «С определенной степенью вероятности можно утверждать что ….»

Ну и самый главный вопрос, который, наверняка, волнует очень и очень многих. Будут ли продолжаться кибер-атаки на предприятия Украины? Да, будут. А после успеха этой атаки, возможно даже чаще, поэтому всем компаниям необходимо более скрупулезно подходить к вопросам IT безопасности. Тем более это касается стратегических объектов и государственных учреждений.

Последний вопрос, который мы задали Никите, заставил серьёзно задуматься, цитирую: — И всё таки, это мы оказались такими слабыми, или они такими сильными?

— В кибер-пространстве нет маркеров «мы»-«они», хакерам плевать на политику. Но у НИХ есть правительственные хакеры. У нас — нет.

Виктор Сокуренко

d09fd196d0b2d0bdd196d187d0bdd0bed0bad0bed180d0b5d0b9d181d18cd0bad196-d180d0b0d0bad0b5d182d0bdd196-d0b4d0b2d0b8d0b3d183d0bdd0b8-d0bdd0b5-d0b7-d0a3d0bad180d0b0d197d0bdd0b8-6866611

Load More…