Компьютерные системы массово ложатся по всей Украине, Фото: TJ

Сегодня, 27 июня, накануне Дня Конституции, вся Украина оказалась под ударом неизвестных хакеров. Пользователи в панике и советуют друг другу просто отключить компьютеры от интернета.

Компьютерные специалисты уже показали, как вирус неизвестного происхождения поражает системы.

В чем суть вируса

Вредоносная пограмма (WannaCry) проникает на компьютеры пользователей следующим образом: сканирует открытые сетевые порты компьютера, отвечающие за удаленный доступ к файлам, принтерам и другим сетевым устройствам (SMB – Server Message Block). В случае, если такой порт открыт – программа пробует атаковать его через эксплойт EternalBlue (который, как считается, разработан АНБ США). С помощью EternalBlue злоумышленник передает пакет данных на уязвимый компьютер, после чего получает удаленный доступ к системе и запускает код. Атакам подвержены все компьютеры на операционной системе Windows от XP и до Server 2016.

Следующий шаг хакера – установка на компютер бэкдора (программы для получения несанкционированного доступа к файлам или управлению ОС) DoublePulsar (который также, предположительно, создан АНБ). Бэкдор дает доступ к контролю над системой.

Далее устанавливается сам WannaCry (известный и под другими названиями: WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor), который шифрует почти все файлы на компьютере и требует деньги за расшифровку: $300 в биткоин-эквиваленте.

Советы специалиста, как защититься от вируса:

Если вы хотите обезопасить себя от заражения, то это выполняется довольно просто:

  • Установить последние обновления операционной сети Windows (обновление, закрывающее дыру в безопасности, было выпущено 14 марта 2017 года);
  • Пользоваться альтернативными ОС: Mac или Linux;
  • Ни в коем случае не платите: компания Symantec отмечает, что даже если вы заплатите, то файлы останутся зашифрованными;
  • Не выключайте компьютер: разработанная французскими разработчиками программа WanaKiwi способна достать ключ и расшифровать файлы без выкупа. Для этого необходимо скачать файл, разархивировать папку, и запустить командную строку.

У нас так же есть несколько базовых рекомендаций от компании «БАКОТЕК»:

  • блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
  • на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
  • на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
  • блокировка SMB и WMI-портов. В первую очередь 135, 445;
  • после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! — это действительно важно.
  • не открывайте подозрительные письма и особенно вложения в них;
  • принудительно обновите базу антивируса и операционные системы.

Что случилось?

Сегодня в в полдень появилась информация, что на несколько украинских банков и инфраструктурных объектов была совершена хакерская атака. Позже появилась информация, что это вирус-вымогатель, который шифровал данные и требовал выкуп в размере $300 в биткоинах.

Следом стало известно о масштабах атаки. «Киевэнерго» (и ряд других облэнерго), «Нова Пошта», «Укрпошта», «Укрсоцбанк», «Укрализниця», «Эпицентр», «24 канал», разные министерства страны, аэропорты, больницы, «Ощадбанк» и нескольких других банков по всей стране подверглись атаке. Сообщают, что по всей стране закрываются банковские отделения, не работают банкоматы некоторых банков, закрывают магазины. В редакцию AIN.UA уже написало несколько человек из небольших городов о том, что атака зацепила местные коммунальные предприятия. Всего атака затронула тысячи компьютеров по всей стране.

Информации о международных заражениях почти нет, только несколько сообщений из РФ.

Кто основные жертвы? Компьютеры на базе Windows. Сообщений о том, что были заражены компьютеры на базе других операционных нет.

У меня дома компьютер на Windows, мне стоит бояться? Есть данные, что рассылка фишинговых писем шла только на корпоративные ящики. Но как сообщает компания ISSP, были случаи заражения домашних компьютеров.

Хроника событий

17.04 – “Деньги можно не платить”. В ИнАУ заявили, что зараженные вирусом компьютеры “вылечить” не получится

Глава Интернет-ассоциации Украины (ИнАУ) Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, “вылечиться” уже не получится.

“Ни в коем случае нельзя перечислять им эти биткоины. Это развод. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё”

17.01 – В АПУ заявили, что IT-системы Администрации президента Украины работают нормально

Информационные системы Администрации президента работают в штатном режиме, не смотря на массированную хакерскую атаку. Об этом в Facebook сообщил замглавы АПУ Дмитрий Шимкив.

“Информационные системы и команда киберзащиты Администрации президента Украины работают в штатном режиме, но с повышенным уровнем внимания к ситуации, которая имеет место в других государственных учреждениях в связи с кибератакой”, – сообщил Шимкив.

Он также отметил, что несколько месяцев назад IT- специалисты отразили похожие атаки на АПУ и приняли меры по закрытию потенциальных зон атаки.

 

Фото: facebook.com/dmitry.shymkiv

17.00 – От хакерской атаки пострадали 30 украинских банков, – СМИ

Под атаку неизвестного компьютерного вируса, похожего на вирус-вымогатель WannaCry, попали 30 банков, а также три облэнерго. Об этом сообщает ZN.UA со ссылкой на источник в Нацбанке Украины.

В частности, пострадали такие банки, как “Ощадбанк”, “Укрсоцбанк”, “Укргазбанк”, “ОТП Банк”, “ПриватБанк” и российский “ПИБ”.

Кроме того, от вируса-захватчика “легла” компьютерная сеть Кабмина.

Смотрите также полный список всех компаний, которые угодили под масштабную хакерскую атаку.

Под атаку хакеров также попали и компьютерные сети “Укргаздобычи”.

IT-специалист рассказал “Стране”, как не схватить вирус “Petya А”. По его словам, первое, что следует делать – это ни в коем случае не скачивать посторонние программы и файлы, а также не открывать неизвестные письма в электронной почте. Кроме того, по мнению специалиста, Virus #Petya блокирует Avast, тогда как антивирус “Касперский” его не видит.

16.59 – Появилось видео вируса-вымогателя “Petya A” в действии

Сегодня, 27 июня, в преддверии Дня Конституции на Украину обрушилась масштабная хакерская атака – Virus #Petya. Пользователям удалось заснять опасный вирус в действии.

“Будьте осторожны, обновите Windows, не открывайте никаких ссылок, присланных на почту”, – рекомендуют пользователи.

Некоторые находятся в панике и советуют друг другу просто отключить компьютеры от интернета.

IT- специалисты говорят, что это вирус который называется Petya A или mbr locker 256, который относится к вирусам-вымогателям. MBR – это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много. Атака началась практически одновременно, около 11:30 утра. Вирус распространяется очень быстро. Проявляется в отказе работы компьютеров на платформе Windows. Перегружается и зашифровывается.

16.56 – Балчун заявил, что “Укразализныця” работает в штатном режиме

ПАО “Укрзализныця” осуществляет пассажирские и грузовые перевозки, кассы работают. Об этом написал на своей странице в Facebook глава госпредприятия Войцех Балчун.

“Проинформированы о кибератаках, что их терпят государственные и частные учреждения. Действуем согласно протокола наших IT и служб безопасности. Пассажирские, грузовые перевозки — осуществляются, кассы работают,” – написал Балчун.

Фото: facebook.com/golovauz

По предварительной информации, хакерских атак понесли государственные предприятия и учреждения, а именно Нацбанк, Ощадбанк, ПриватБанк, Укрпочта, Укрэнерго, Укргаздобыча, а также международные аэропорты “Борисполь” и “Киев”. Кроме того, кибератак понесли частные компании, в том числе мобильные операторы. В Киевском метрополитене также заявили о хакерской атаке.

Специалисты Нацполиции выехали в госорганы для борьбы с хакерскими атаками.

16.55 – В киберполицию поступили 22 заявления о хакерских атаках

В кибер-департамент Национальной полиции поступило 22 сообщения о вмешательстве в работу персональных компьютеров. Об этом в Facebook сообщил пресс-секретарь НПУ Ярослав Тракало.

Он отметил, что это обращение как от государственных, так и частных учреждений. В частности, и от одного из мобильных операторов”.

Тракао добавил, что аналогичные сообщения про кибератаки поступают и в региональные представительства Департамента киберполиции.

“Сообщение о вмешательстве в работу персональных компьютеров продолжают поступать. Все они фиксируются. После получения таких обращений – на место выезжают специалисты Департамента киберполиции и других профильных служб, работающих над противодействием распространения вируса, а также ликвидацией его последствий”, – говорят копы.

По предварительной информации, произошло вмешательство в функционирование компьютерных сетей путем распространения вредоносного программного обеспечения, которое использует недавно обнаруженные уязвимости ОС Windows, а именно протокола SMB.

Киберполиции советует, в случае выявления нарушений в работе компьютеров, работающих в компьютерных сетях, немедленно отсоединить их от сетей (как сети Интернет, так и внутренней сети)

16.55 – У Кличко решили просто отключить серверы, чтобы избежать хакерской атаки

В Киевской городской государственной администрации отключили серверы, чтобы обезопасить систему от масштабной хакерской атаки, которая атакует компании и ведомства по всей стране. Об этом сообщает пресс-служба КГГА.

“Наши специалисты проверяют систему. На время проверки онлайн сервисы были отключены в целях безопасности”, – сказали в ведомстве.

На данный момент сайт КГГА не работает, его обещают включить, когда пропадет угроза атаки.

Фото: facebook.com/kievcity.gov.ua

Отметим, что от кибератак уже пострадали “Новая почта”, “Укрпочта”, клиника “Борис”, сеть “Ашан”, “Ощабданк”, Кабмин и другие.

16.31 – Под атаку хакеров попали компьютерные сети “Укргаздобычи”

Сегодня, 27 июня, осуществлялись кибератаки на сети ГП “НЭК “Укрэнерго” и ПАО “Укргаздобыча”.

“По оперативной информации, кибератаки осуществлялись на сети “Укрэнерго” и “Укргаздобыча”, – сообщил советник министра энергетики и угольной промышленности Максим Белявский.

Он добавил, что сейчас проводятся соответствующие действия для избежания сбоев информационной инфраструктуры.

16.28 – Кого в Украине поразил компьютерный вирус

В Украине стремительно распространяется компьютерный вирус, который парализовал работу многих учреждений, в том числе банков. Не могут обслуживать клиентов “Ощадбанк”, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТП банк.

От атаки хакеров пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, Укртелеком, Укрзализныця, аэропорт Борисполь, Киевводоканал, киевский метрополитен. Интернет в аэропорту “Киев” отключен в целях профилактики, рейсы совершаются по расписанию.

Также вирус атаковал некоторые СМИ, в частности, 24 канал, национальная сеть радиостанций “Радио Люкс”, “Радио Максимум”, Украинский медиа холдинг, в состав которого входит “Комсомольская правда”, “Кореспондент” и Football.ua; Черноморская ТРК, канал ATR. По некоторым данным, атакованы телеканалы Интер, Первый национальный.

Также недоступен сайт Кабмина, сайт Львовского горсовета. Под атакой ГП “Документ”. В Днепре “лег” весь горсовет. Не открывается и сайт киберполиции.

Заправки: WOG, Klo, ТНК.

Связь: Lifecell, Киевстар, Vodafone Украина.

Пострадали Эпицентр, Новая почта, магазины GoodWine.

Медицина: компания “Фармак”, клиника “Борис”, по неподтвержденным данным, больница “Феофания”.

16.09 – Стало известно, как приводится в действие вирус-вымогатель

Вирус-вымогатель, который заблокировал множество сайтов и информационных порталов в Украине, активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса. Об этом стало известно “Стране” из источников в одном из коммерческих банков.

По словам работников банковского сектора, им на почту приблизительно за час до оповещения из НБУ приходили письма от неизвестного адресата с “левыми” ссылками.

16.08 – “Борисполь” попал под вирусную атаку. Сайт аэропорта и табло вылетов не работают

Аэропорт “Борисполь” также поразила массовая хакерская атака. В связи с внештатной ситуацией возможны задержки рейсов. Об этом на своей странице в Facebook сообщил председатель международного аэропорта “Борисполь” Павел Рябикин.

“Уважаемые пассажиры! Официальный сайт аэропорта и табло с расписанием рейсов НЕ РАБОТАЮТ! Актуальную информацию о времени вылета вы можете прочитать ТОЛЬКО на табло в зоне вылета в терминале D!  Перед выездом в аэропорт уточняйте информацию о рейсе у Вашей авиакомпании или туристического оператора. Приносим свои извинения и просим быть максимально толерантными!”, – написал Рябикин.

Фото: facebook.com/rjabikin.pavel

16.05 – “Это выпускной экзамен в ФСБ”. Как соцсети реагируют на массовую хакерскую атаку

Пользователи социальных сетей активно обсуждают массовую хакерскую атаку, которая поразила украинские СМИ, банки и другие компании. Некоторые делятся советами, как избежать заражения, другие просто шутят о вирусе.

Блогер Михаил Голуб: “Этот вирус массово атаковал крупные предприятия Украины. Сисадмины только зря хлеб едят: Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого)”.

16.30

На Медок тоже совершается хакерская атака

http://www.me-doc.com.ua/vnimaniyu-polzovateley

16.10

Вирус захватил и медицину: атаке подверглись фармацевтические компании «Артериум» и «Фармак», клиника «Борис» и, по неподтвержденным данным, больница «Феофания» (да-да, та самая).

«Громадское»: глава киберполиции Сергей Демедюк заявил, что специалисты службы работают на местах вызовов.