Erőteljes vírus érte el egy nagy bank és az Evraz kohászati vállalat informatikai rendszereit
A merevlemez tartalmát titkosító, majd a visszafejtésért váltságdíjat követelő Wanna Cry Petya ransomware vírus klónja beütött a Home Credit Bank informatikai rendszerébeÉs kohászati cég Evraz, beleértve Novokuznyeckben is.
A Prokopyevsk.ru tudósítójának az Evraz alkalmazottai azt mondták, hogy a vállalkozás munkájában megszakadt. A szakértők megpróbálják visszaállítani a rendszert.
Az IB-csoport legfrissebb adatai szerint a vírus előestéjén már több mint 80 vállalat és részleg szenvedett kárt Oroszországban és Ukrajnában. Emellett a dán Maersk cég rendszerhibáiról számolt be.
Különösen a Rosneft és a Bashneft, az orosz iroda vált hackerek áldozatává. Ukrajnában a vírus a Minisztertanács számítógépeit, a kijevi metrót, az energetikai cégeket és a boriszpili repülőteret fertőzte meg. – számol be a FAN.
A Meduza portál részletezi a vírus működését, valamint a fertőzés útját. Anyagot biztosítunk Önnek.
A ransomware működésének mechanizmusát a Malwarebytes Labs blogbejegyzése írta le a legrészletesebben még 2016 áprilisában. Aztán a vírust levélként terjesztették egy alkalmazott önéletrajzával: rákattintva megnyílt egy Windows-program, amelyhez rendszergazdai jogosultság kellett. Ha a figyelmetlen felhasználó beleegyezett, akkor a telepítő felülírta a merevlemez rendszerindítási területét, és megmutatta " kék képernyő halál": Összeomlási üzenet, amely a számítógép újraindítását kéri.
Ebben a szakaszban, mint a kutatók írják, a merevlemez még nincs titkosítva, és az adatok menthetők - például, ha kikapcsolja a számítógépet, és csatlakoztatja a merevlemezt egy másikhoz, de nem bootol róla. Ebben a helyzetben minden adat másolható.
Az újraindítás után Petya elindít egy programot, amelyet CHKDSK segédprogramnak álcáznak. Valójában nem ellenőrzi a merevlemezt hibákért, hanem titkosítja azt, és a Malwarebytes Labs kutatói megállapították, hogy nem teljesen, hanem csak részben. 2016. március végén a Kaspersky Lab azt állította, hogy a Petya-ban használt titkosítási módszer lehetővé teszi az összes adat helyreállítását szakemberek segítségével.
A titkosítás befejezése után a számítógépen egy piros képernyő jelenik meg a következő üzenettel: „Ön a Petya ransomware vírus áldozata lett” és 300 dollár bitcoin fizetési ajánlattal. A „sötét web” oldalon található részletes útmutatás arról, hogyan vásárolhatja meg a szükséges mennyiséget bitcoinban, és hogyan utalhatja át.
A Petya modern verziójának képernyőképei alapján most nincs webhely és részletes utasítások: a fertőzött felhasználókat felkérik, hogy írjanak a megadott címre. levelezési címés a pénzátutalás igazolásáért cserébe kap egy kódot a merevlemez visszafejtéséhez.
A kutatók megjegyzik, hogy Petya hozzáférés blokkolásáért felelős része már a rendszerindítás korai szakaszában elfogja a számítógép irányítását. Magasan képzett programozók írják.
2016 eleje óta Petya többször változott. Vannak sárga képernyős változatok váltságdíjjal, és vannak olyanok is, ahol nincs feltüntetve a vírus neve.
Még nem számoltak be arról, hogy pontosan hogyan működik és terjesztik a Petya azon verzióját, amellyel június 27-én találkoztak a felhasználók. A fertőzés mértékéből ítélve a vírus véglegesen megtörtént, és összetettebb terjesztési rendszerrel rendelkezik. A Githubon már megjelent egy link az egyik bitcoin pénztárcához, amely a vírussal fertőzött számítógépekről gyűjt pénzt. Jelen pillanatban a Meduza valamivel több mint 2300 dollárt kapott.
A Petya és a hasonló zsarolóvírusok elleni védekezés legegyszerűbb módja, ha nem kattintasz az ismeretlen személyektől származó gyanús e-mailek mellékleteire.
Forrás a vállalkozásnál arról számolt be a szerkesztőnek az EVRAZ-ZSMK főműhelyeinek munkája számítógépes problémák miatt megbénul. A főműhelyek technológiai számítógépei fertőzöttek voltak Számítógépes vírus Sírni akar.
A WannaCry egy zsarolóvírus, amely titkosítja a számítógép memóriájában tárolt adatokat, és pénzt kér a zárolás feloldásáért.
A Positive Technologies információbiztonságra szakosodott cég sajtószolgálata szerint az elmúlt hónapban világszerte több ezer felhasználó szenvedett el egy hatalmas WannaCry ransomware támadást szerte a világon. Az áldozatok között vannak nagy nemzetközi cégek, kormányzati szervek és természetesen hétköznapi internetezők is. A fertőzések lefedettsége meghaladta a 200 000 gépes lécet, és láthatóan tovább fog növekedni. A világ 150 országában regisztráltak támadásokat, Oroszország is az áldozatok között van. Több szervezetnél – a MegaFon, a VimpelCom, a Sberbank, az Orosz Vasutak, az Egészségügyi Minisztérium, a Sürgősségi Helyzetek Minisztériuma és a Belügyminisztérium – vannak információk a fertőzési kísérletekről. A támadás olyan nagyszabásúnak bizonyult, hogy a Microsoft még a Windows XP-hez is kiadott egy megfelelő frissítést, amelynek támogatása 2014 óta felfüggesztve van. A WannaCry terjesztéséhez a hálózatra kiszivárgott Shadow Brokers csoportosítási készlet ETERNALBLUE exploitját használják Windows operációs rendszerhez. Érdemes megjegyezni, hogy a biztonsági rést kijavító frissítés még márciusban, vagyis két hónappal a támadás előtt jelent meg. A támadóknak (akik egyébként a bitcoinos pénztárcákba történt kifizetésekből ítélve eddig mintegy 90 000 dollárt kaptak) már több módosítást is sikerült kiadniuk a kártevőből. Ez valószínűleg bizonyos mértékig annak tudható be, hogy a kiberbiztonsági szakember idő előtt regisztrálta a switch domaint. Ez a lépés több órával lassította a kártevő terjedését. Sok szakember küzd azért, hogy megoldja a fájlok visszafejtésének problémáját anélkül, hogy fizetne a blokkoló terjesztők „szolgáltatásaiért”. Számos cég bemutatott már elemzést az SMB-n keresztül terjesztett, majd a LAN-on lévő munkaállomásokat megfertőző WannaCry működési elvéről.
Az SMBv1 használatának bizonytalansága régóta ismert. A sebezhetőséget megszüntető javítást három hónapja adták ki. A Shadow Brokers csoport kiszivárogtatásáról szó esett szó szerint mindenhol. Csak az, aki még soha nem használt internetet, nem hallott a biztonsági másolatok használatának szükségességéről. Úgy tűnik, ilyen körülmények között egyáltalán nem szabad járványnak lennie, de sajnos. Minden a rendszergazdák, biztonsági szakemberek felelőtlen hozzáállásáról és bizonyos mértékig a felhasználók információbiztonsági kérdésekben való tájékozatlanságáról beszél. A Positive Technologies kutatási eredményei megerősítik a szoftverek sebezhető verzióinak vállalati infrastruktúrában való használatának széles körben elterjedt problémáját. Ugyanakkor, mint látható WannaCry járvány, a rendszer biztonsága nem függ a vállalat iparágától, amit a rendelkezésre álló elemzések általában megerősítenek. Támadások az elavult szoftverek sebezhetőségein keresztül egyaránt ipari vállalatok, IT, távközlési, pénzügyi szektor és kormányzati intézmények rendszerei érintettek.
Moszkva, június 28. - Vesti.Ekonomika. A Petya ransomware vírus erősebbnek és veszélyesebbnek bizonyult, mint a nemrégiben szenzációs WannaCry. Először Oroszországban és Ukrajnában szenvedtek cégek, de a vírus már az egész bolygón elterjedt.
A Forbes kiberbiztonsági szakértőkre hivatkozva azt írja, hogy a terjesztés sajátosságai és a már ismert programoktól való eltérések miatt új vírus veszélyesebb, mint a hasonlók, így még gyorsabban terjed, és nincs "varázskés-kapcsoló", mint ahogy az a WannaCry-nél volt.
A WannaCry ugyanakkor a világ 150 országában több mint 200 ezer felhasználót támadott meg, és a szakértők továbbra sem tudnak megegyezni a kárbecslésekben, de beszélgetünk több száz milliárd dollárról.
Figyelemre méltó, hogy a Petya vírus támadása infrastrukturális cégeket célzott: olaj-, távközlési és pénzügyi társaságokat Oroszországban és Ukrajnában. Más országokban nagy cégeket, köztük logisztikai cégeket is megtámadtak.
Oroszország
Rosneft és BashneftJúnius 27-én a Rosneft bejelentette, hogy "erőteljes hackertámadást" indított szerverei ellen. A kibertámadás tényével a cég rendvédelmi szervekhez fordult.
Mihail Leontyev szerint egy hackertámadás súlyos következményekkel járhatott volna, de amiatt, hogy a cég átállt egy tartalék folyamatirányító rendszerre, sem a termelést, sem az olaj-előkészítést nem állították le.
A Vedomosztyi megjegyzi, hogy a Bashneft számítógépei nem működnek, és a Rosznyefty weboldalát sem nyitották meg.
Mihail Leontyev, a Rosznyefty szóvivője szerint a Rosznyefty szervereit támadó hackerek célja olyan perek szempontjából fontos információk lehetnek, amelyekben a cég érintett.
"Ha megnézzük a hackerek racionális indítékait, akkor azonban lehetetlen nem észrevenni, hogy egy ilyen racionális indíték az lenne, hogy" megöljék "a Bashneft számítógépeit, amelyek nagyszámú információkat a Bashneft tevékenységéről a korábbi tulajdonosok birtoklása idején" - mondta Leontyev, idézi a BFM portál.
Evraz
Az Evraz információs rendszert is hackertámadás érte.
"Az Evraz információs rendszert feltörték. A főbb termelő létesítmények továbbra is működnek, a vállalkozások és az alkalmazottak biztonságát nem fenyegeti veszély" - közölte a sajtószolgálat.
Mondelez
Hackertámadás miatti problémák merültek fel a Mondelez orosz részlegében, amely különösen az Alpen Gold és Milka csokoládékat gyártja.
Bankok
A Lakáshitelbank rendszereit támadták, de a jegybank nem zárta ki, hogy más bankokat is érinthet.
Ukrajna
Június 27-én délelőtt a legnagyobb ukrán energiacégek számítógépeit találták el.A Kyivenergo megerősítette a vírus legyőzésének tényét, megjegyezve, hogy a személyzet kénytelen volt minden számítógépet kikapcsolni.
Az alacsony likviditás miatt a támadás nem tükröződött a részvényárfolyamokban.
Később a támadás tényét Ukrajna kormánya is megerősítette. A vírus megfertőzte az Oschadbank rendszereit. Új levél", a "Borispol" repülőtér és a kijevi metró.
Más országok
Az Egyesült Királyságban a nagy reklámcég, a WPP szenvedett a Petya-tól.Az oroszországi és ukrajnai olaj-, távközlési és pénzügyi vállalatok elleni nagyszabású támadás oka a Petya titkosítási vírus volt. A ma 14:00 körül kezdődött támadás már több tucat vállalatot érintett. A vírus blokkolja a számítógépeket, és 300 dollár bitcoint követel. Az egész világon elterjed, és a Kaspersky Lab szerint már "nagyszámú országot" érintett.
Amint a Kommersantnak a kiberbűnözést és csalást megelőző és nyomozó cégnél, a Group-IB-nél elmondták, a Petya kriptoblokkoló a WannaCry vírushoz hasonlóan terjeszthető. A kibertámadás áldozatai az orosz Basnyefty, a Rosznyefty, az ukrán Zaporozhyeoblenergo, a Dneproenergo és a Dnyeper Electricity System hálózatai voltak. Oroszországban is megtámadták a Mondelez Internationalt, a Marsot és a Niveát. Emellett az IB-csoport szerint kormányzati számítógépeket, a kijevi metrót, az Auchan üzleteket, a távközlési szolgáltatókat (Kyivstar, LifeCell, Ukrtelecom), a Privatbankot, a csernobili atomerőművet és feltehetően a boriszpili repülőteret is megtámadták Ukrajnában.
A Rosznyefty szóvivője, Mihail Leontyev a Kommerszantnak azt mondta, hogy a támadás nagyon erős volt, és ha a termelési egységeket nem helyezték volna át azonnal a tartalék vezérlőrendszerekbe, akkor a kár jelentős lehet. „Ennek eredményeként mostanra minden termelőeszköz normálisan működik, és ebben a szegmensben nem történt kár” – hangsúlyozta Mikhail Leontiev. A Kommerszant egyik beszélgetőpartnere a Rosznyefty központi irodájában azt mondja, hogy nem vette észre a vírus jeleit. „A támadásról szóló jelentések után arra kértek bennünket, hogy kapcsoljuk ki számítógépeinket” – mondta. Egy másik Rosznyeftyhez közel álló Kommerszant forrás azt mondta, hogy a cég számos leányvállalatában, köztük az uráli szövetségi körzetben, az alkalmazottak számítógépeit blokkolták a felugró vírusablakok.
A LUKOIL egyik Kommersant forrása azt mondta, hogy a rendszerek megfelelően működnek. "Figyelmeztették az alkalmazottakat, hogy ne nyissák fel az ismeretlen címről érkező leveleket és a gyanús mellékleteket" - mondta.
Az Evraz képviselője elmondta, hogy a cég információs rendszerét megtámadták, de a főbb gyártó létesítmények továbbra is működnek. „Nincs veszély a vállalkozások és az alkalmazottak biztonságára” – mondta.
A Központi Bank (CB) feltárta az orosz hitelintézetek informatikai rendszereinek megfertőződését is hackertámadás következtében. „Az Oroszországi Bank információi szerint az információs infrastruktúra létesítményeinek megfertőződését támadások eredményeként egyedi esetek jegyezték fel. A bankok rendszereinek megsértése és az ügyfeleknek nyújtott szolgáltatások megsértése nem került rögzítésre” – idézi a jegybank közleménye az RNS-t.
Az orosz Marson egy hackertámadás érintette a Royal Canin részleg munkáját. Képviselője a Kommerszantnak azt mondta, hogy "vannak bizonyos nehézségek az informatika munkájában". „Nincs számítógépünk. Szakértők vizsgálják a problémát” – mondta. A Mondelez International megerősítette, hogy a cég alkalmazottai olyan technológiai problémákkal szembesültek, amelyek nemcsak az orosz képviseletet, hanem az európai kirendeltségeket is érintették. "A Ebben a pillanatban nem nyilatkozhatunk a helyzet részleteiről, és dolgozunk a probléma megoldásán” – közölte a sajtószolgálat.
miatt a Lakáshitel Bank felfüggesztette az ügyfélszolgálatot hacker támadás. A bank sajtószolgálata arról számolt be, hogy jelenleg minden fiók a megszokott ütemterv szerint működik, de konzultatív módban a fiókokban nem bonyolítható le az ügyféltranzakció, működnek az ATM-ek és a call center. A bank honlapja nem érhető el.
A Kaspersky Lab szerint a Petya ransomware vírus az egész világon elterjedt. Ezt a Kaspersky Lab nemzetközi kutatócsoportjának vezetője, Kostin Rayu nyilatkozta mikroblogjában Twitter . « Petya vírus elérhetőségi címmel [e-mail védett] az egész világon elterjed, nagyon sok országot érint” – mondta.
Több európai cég is beszámolt már számítógépét ért kibertámadásokról. Köztük a brit WPP reklámcég, a hollandok szállitó cég APM, dán A.P. Moller-Maersk, valamint Norvégia egyik nemzetközi vállalata. Emellett a Mondelēz International és a DLA Piper nemzetközi cégek spanyolországi képviseleteinek szervereit is megtámadták, számítógépes rendszereiket teljesen letiltották.
A víruskereső cég Dr. A Web tanulmányt végzett a kibertámadásokról. A cég azt mondta, hogy annak ellenére, hogy a párhuzamot a médiában Petya ransomware vírus, amely számos oroszországi és ukrajnai cég számítógépét érintette, a vírus a Petyától való terjedés módjában különbözik. Mint az előző WannaCry vírus, a trójai magától terjed, de terjesztésének módjáról és elnevezéséről továbbra sincs pontos adat, dr. Web.
Szergej Ryzhikov, az 1C-Bitrix vezérigazgatója a Kommersant FM adásában:„Nem írhatsz olyan vírusirtót, amely abszolút minden vírus ellen véd. Megtörténik a vírus módosítása, és néhány napig némi előnyt kap, amíg az antivírusok kiadják a megfelelő frissítéseket. Mindez azért lehetséges, mert van gazdasági haszon: a vírusok klónjainak létrehozásával a bűnözőknek lehetőségük van bitcoinon keresztül hozzájutni ehhez a pénzhez. És ha lehetőség van arra, hogy megkapjuk, és ne büntessenek meg, akkor ez a történet többször is folytatódik. Van egy megbízható módon nem fertőződik meg végleg le van választva az internetről, és erre nincs abszolút garancia, mert valami beragad ebbe a számítógépbe - ugyanazok a pendrive-ok - és ez bizonyos kockázatokat hordoz magában.
Julia Silence, Oleg Trutnyev, Dmitrij Kozlov, Anatolij Dzsumailo, Olga Mordyusenko
