"Нас жучит вирус Петя": Соцсети отреагировали на хакерские атаки в Украине. Вирус-Вымогатель Petya захватил Украину. Первые выводы

27-ого июля примерно в 11-00 десятки украинских компаний, корпораций и даже Кабмин подверглись атаке вируса Petya.A, внедрившегося в локальные сети. Это нападение тут же было названо атакой на Украину со стороны России. Так, об этом ожидаемо заявили советник министра МВД Антон Геращенко и спикер СБУ Гилянская. Кибер-атака мгновенно была названа «гибридной войной».

Украина понесла серьёзные имиджевые и финансовые потери, а само нападение продемонстрировало уязвимость страны в кибернетическом пространстве.

Вместо кибербезопасности – слежка за людьми

Президент Порошенко более года назад подписал Указ «О Национальном координационном центре кибербезопасности». Казалось бы, этот центр и должен был обеспечивать кибербезопасность, но как выясняется, он занимается скорее другими задачами, чем борьбой с вирусными атаками.

Как сказано на сайте президента Украины, центр «имеет право в установленном порядке запрашивать и получать от органов исполнительной власти, органов местного самоуправления, предприятий, учреждений и организаций статистические данные, информацию, справочные и другие материалы, необходимые для решения вопросов, относящихся к его компетенции», то есть в том числе и личную информацию по каждому гражданину Украины, по факту, вести негласное наблюдение в сети.



Скриншот сайта Киберполиции Украины 27-ого июля. Сайт поражён вирусом

Сегодняшняя атака ярко продемонстрировала, что никакой киберзащиты в Украине нет. А вот киберслежка есть! В Реестре судебных решений за три года накопилось десятки, если не сотни, решений судов, приговаривающих тех или иных пользователей к уголовной и административной ответственности за посты в соцсетях.

Смешно, но Киберполиция Украины сегодня также пострадала от несложного в принципе вируса.

Так чьи хакеры?

Миф о российских хакерах «зелёных кибер-человечках» родился не в Украине и не сегодня, а на Западе, и активно использовался не только в пропаганде, но даже и предвыборной гонке. Так, Россию обвиняли в кибер-атаках Клинтон и Макрон, об этом писали крупнейшие западные СМИ, чаще не предоставляя доказательства, чем предоставляя. «Если говорить только о фактах, то нет ни одного технического доказательства проникновения российских хакеров в серверы демократов. Есть только гипотетические предположения», — заявил эксперт в области кибербезопасности Джефри Карр в интервью американскому телеканалу Fox News. Тем не менее, тема «российских хакеров» тиражируется CNN как средство давления на Трампа.

Шифровальщик Petya известен, как минимум с 2016-ого, и никак не связан с именем Порошенко, как начали предполагать некоторые пользователи Фейсбука. Как сообщает профессиональный сайт ХакерРу , ссылаясь на западные исследования, этот вирус распространялся в начале 2016-ого вместе с вирусом Misha через фишинговые (рекламные) письма.

Человек открывал это письмо, в компьютер встраивался программный код, который потом в определённый момент срабатывал, требуя денег на счёт в бит-коинах – независимых электронных денег. Раскрыли вирус Petya эксперты компании G DATA ещё в марте 2016-ого, а никак не накануне Дня Конституции Украины.

Более того, несколько месяцев назад Россия также была атакована подобного рода вирусом, о чём тогда писал ряд украинских СМИ.

Но даже это не всё. Как сообщает BBC, вирус Petya.A поразил сегодня и крупнейшие российские нефтяные компании «Роснефть» и «Башнефть».

Остаётся загадкой, почему виновными в атаке на украинские компании и корпорации должны быть именно российские хакеры, а не, скажем, белорусские? Израильские? Или украино-изральско-белорусские? Ведь цель – получение денег в биткоинах – новой криптовалюте, усиленно растущей в своей цене? А для этой криптовалюты совсем не важно, из какой страны они могут приходить.

Вирус Petya.A был распространён в Украине не потому, что «путинские хакеры» решили напасть, а потому, что на Украину МОЖНО напасть в кибер-пространстве. Собственно, это и есть главный вывод из случившегося.

Сегодня, 27 июня, в Украине ряд стратегических компаний . До сих пор не работают некоторые официальные ресурсы, в том числе и сайт киберполиции. От кибератак пострадали "Новая почта", чей сайт недоступен, "Укрпочта", клиника "Борис". В сети "Ашан" не функционируют терминалы. Есть проблемы у "Ощабданка", как сообщает корреспондент "Вестей", зафиксировано несколько случаев невозврата кредитной карты банкоматом "Привата". Из-за атаки на системы под управлением операционной системы Windows прекратили свои трансляции каналы , а в предупреждают о задержках рейсов.

Эксперты по кибербезопасности заявили "Вестям" - атакует системы новая модификация вируса-шифровальщика WannaCry, первая вспышка которого была месяц назад. Модифицированный вирус называется Petya.A.

Появление вируса Petya.A, массовые хакерские атаки по всей Украине вызвали бурную реакцию в соцсетях.

Большинство людей предупреждают друг друга или сообщают о новых атаках на те или иные ресурсы и сервисы. Однако много и тех, кто иронизирует и шутит на тему вируса Пети и в целом кибератаки.





Кто-то сравнивает президентство Петра Порошенко с хакерской атакой сегодня.


Кто-то проводит параллель, что в силу решение СНБО "Об угрозах кибербезопасности государства и неотложные меры по их нейтрализации".


Не обходится и без того, чтобы пошутить про российский след в кибератаках в Украине.



Кто-то считает, что к кибератакам причастен президент Петр Порошенко.


Кто-то написал занимательный пост, привязав кибератаки к уже существующим проблемам в стране.


Кто-то сообщает о новых атаках.


Кто-то сочинил стихотворение о вирусе:

"Нас "жучит" вирус "Петя "!
Понятно всей планете,
Сидящей в интернете
Чье авторство без слова -
Сумасшедший вирус "Вова".

Неесенин", - написал пользователь Вячеслав Власенко.


Кто-то задается вопросом, почему вирус называется Петя, а не Петр.


Все новости по кибератаке в Украине

Многие интернет-любители до сих пор наивно полагают, что если не заходить на сомнительные странички и не переходить по незнакомым ссылкам, шансов «поймать» вирус нет. «К сожалению, это не так, – констатируют в компании DriverPack (занимается автоматизацией работы с драйверами на платформе Microsoft Windows. – Прим. ред.). – Новое поколение вирусов действует совершенно иначе – они активируют себя самостоятельно, используя уязвимость в одном из протоколов». Из их числа и Petya. По данным компании Symantec (американская компания, разрабатывающая антивирусный софт. – Прим. ред.), Petya существует с 2016 года. А вот активизировался он только сейчас. Правда, это может быть и не совсем Petya. В «Лаборатории Касперского» троянец назвали ExPetr и утверждают, что на прошлого «Петю» он похож, но незначительно. А в компании Cisco (американская компания, специализирующаяся на высоких технологиях, в том числе по кибербезопасности. – Прим. ред.) новый вирус-вымогатель и вовсе назвали Nyetya.

Чем опасен?

Как ты «Петю» ни назови, а проблема остается. «Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса, – предупреждают в Group-IB (российская компания, специализирующаяся на борьбе с киберпреступностью. – Прим. ред.). – После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов. Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент». В Cisco добавили, что вирус шифрует главную загрузочную запись компьютера (можно сказать, «содержание» жесткого диска).

Если речь идет о корпоративной сети, то чтобы заразить ее всю, нужен всего один «инфицированный» компьютер. «После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть восстановить работоспособность ОС, – вроде бы дают надежду в Positive Technologies (российская компания, специализирующаяся на кибербезопасности. – Прим. ред.). – Однако расшифровать файлы не удастся. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно».

Увы, эксперты также выяснили, что набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

Как сделать так, чтобы Petya не прошел?

Для того чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. «Подпишитесь на Microsoft Technical Security Notifications», – советуют и в Group-IB. Собственно, это залог того, что когда Microsoft проанализирует пути обезвреживания этой угрозы, компания установит соответствующие обновления. К слову, в российском подразделении Microsoft уже сообщили, что антивирусное ПО обнаруживает этот вирус-вымогатель и защищает от него.

Причем в DriverPack отмечают, что последствия атаки оказались настолько серьезными, что «компания Microsoft пошла на беспрецедентный шаг - выпустила обновление даже для снятой с поддержки Windows XP. Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB (сетевой протокол, появившийся в 1983 году. – Прим.ред.) и без последних обновлений». «Некоторые пользователи держат не обновлёнными компьютеры много-много лет», – разводит руками руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Однако если обновления все-таки делаются, то параллельно с этим процессом в компании Cisco советуют внести в стратегию обеспечения безопасности базовое положение относительно резервного копирования ключевых данных.

Еще для дополнительной защиты от Petya разработчики советуют создавать на компьютере файл-обманку. В частности, как пишет в своем твиттере компания Symantec, чтобы защититься от вируса, нужно создать файл под названием perfc и разместить его в папке Windows на диске C. Проникая в компьютер, вирус проверяет систему на наличие заражения, и такой файл имитирует его. Создать файл можно в программе «Блокнот». Из имени документа будет необходимо удалить расширение.txt.

Если Petya все же пришел

В первую очередь, эксперты по информационным технологиям не рекомендуют платить деньги вымогателям, если вирус все же заблокировал компьютер. Причем объясняют это вовсе не высокотехнологичными причинами. «Почтовый адрес нарушителей уже был заблокирован, и даже в случае оплаты выкупа ключ для расшифровки файлов наверняка не будет получен», – говорят в Positive Technologies. Да и в целом, отмечают в «Лаборатории Касперского», если давать деньги «фишерам», вирусы будут только множиться. «Для предотвращения распространения шифровальщика в Сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от Сети зараженные узлы и снять образы скомпрометированных систем», – дают конкретные рекомендации в Positive Technologies.

Причем если данные на компьютере уже зашифрованы, лучше «не дергаться». «Если появится возможность расшифровать и восстановить хотя бы часть файлов, то дополнительные действия могут только помешать будущей расшифровке», – считает Вячеслав Закоржевский из «Лаборатории Касперского». «В случае, если исследователи найдут способ расшифровки файлов, заблокированные данные могут быть восстановлены в будущем», – уверены и в Positive Technologies. Господин Закоржевский при этом советует попытаться восстановить резервные копии, если таковые имеются.

Сколько в мире «Петь»?

В «Лаборатории Касперского» подсчитали, что число вредоносных программ для атак только на устройства Интернета вещей превышает семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. А всего в мире работают больше 6 миллиардов подключенных к Интернету устройств. По словам Закоржевского, интенсивность по киберугрозам в мире ежедневно меняется, но все же не сильно. Скорее, меняется география атак. И еще влияют на «киберстатистику» время суток и национальные праздники.

У основных игроков рынка, работающих на рынке информационной безопасности, есть онлайн-карты, показывающие количество атак в реальном времени по всему миру. Эти данные основаны на данных пользователей, поставивших у себя тот или иной «антивирусник». Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал, как читают профессионалы такие карты и где расположено большинство хостингов, являющихся «рассадником» фишинга и прочих «зловредов».

По оценкам DriverPack, полностью беззащитны перед компьютерными вирусами более 35% пользователей в России. «Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB», – уверены эксперты. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.

Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.

Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги — 300 долларов биткоинами, причём сумма удваивается через какое-то время.

Вирус Petya, обнаруженный в начале 2016 года, распространялся по точно такой же схеме, поэтому многие пользователи решили, что это он и есть. Но специалисты из компаний-разработчиков антивирусного ПО уже заявили, что в произошедшей атаке виноват какой-то другой, совершенно новый вирус, который они ещё будут изучать. Эксперты из «Лаборатории Касперского» уже дали неизвестному вирусу название — NotPetya.

По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.

Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.

Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.

Жертвы кибератаки

Больше всех от неизвестного вируса пострадали украинские компании. Заражены оказались компьютеры аэропорта «Борисполь», правительства Украины, магазинов, банков, СМИ и телекоммуникационных компаний. После этого вирус добрался и до России. Жертвами атаки стали «Роснефть», «Башнефть», Mondelеz International, Mars, Nivea.

О проблемах с IT-системами из-за вируса заявили даже некоторые зарубежные организации: британская рекламная компания WPP, американская фармацевтическая компания Merck & Co, крупный датский грузоперевозчик Maersk и другие. Об этом в своём твиттере написал Костин Райю, глава международной исследовательской команды «Лаборатория Касперского».

Похожие публикации