Откуда взялся вирус петя

Сегодня вирус-вымогатель атаковал множество компьютеров в государственном, коммерческом и частном секторах Украины

Беспрецедентная хакерская атака нокаутировала множество компьютеров и серверов в государственных органах и коммерческих организациях по всей стране

Масштабная и тщательно спланированная кибер-атака вывела сегодня из строя объекты критической инфраструктуры многих госпредприятий и компаний. Об этом сообщила Служба безопасности (СБУ).

Начиная с обеда в интернете как снежный ком начали появляться сообщения о заражении компьютеров в государственном и частном секторе. Представители правительственных учреждений заявили о хакерских атаках на их IT-инфраструктуру.

По данным СБУ, заражение преимущественно происходило вследствие открытия word- и pdf-файлов, которые злоумышленники рассылали по электронной почте. Вирус-вымогатель (ransomware) Petya.A использовал сетевую уязвимость в операционной системе Windows. За разблокировку зашифрованных данных кибер-преступники требовали оплату в биткоинах размером $300.

Секретарь Совета национальной безопасности и обороны Александр Турчинов заявил , что госорганы, которые были включены в защищенный контур - специальный интернет-узел - не претерпели повреждений. Очевидно, Кабинет министров должным образом не выполнил рекомендации Национального координационного центра кибербезопасности, потому что правительственные компьютеры пострадали от Petya.A. Не устояли перед сегодняшней атакой Минфин, ЧАЭС, Укрэнерго, Укрпочта, Новая почта и ряд банков.

Некоторое время даже не открывались интернет-страницы СБУ, киберполиции и Государственной службы специальной связи и защиты информации (ГСССЗИ).

По состоянию на вечер вторника, 27-го июня, ни один из правоохранительных органов, в обязанности которых входит борьба с кибер-атаками, не сообщил, откуда взялся Petya.A и кто за ним стоит. СБУ, Киберполиция (сайт которой не работал целый день), ГСССЗИ сохраняли олимпийское молчание по поводу размера причиненного вирусом-вымогателем вреда.

Команда реагирования на чрезвычайные компьютерные события (CERT-UA, входит в ГСССЗИ) обнародовала советы для устранения последствий Petya Ransomware. Для этого технические специалисты рекомендовали использовать программное обеспечение компании ESET. Позже СБУ также рассказала о том, как уберечься или уменьшить вред от вируса.

Правильное название нового вируса — Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп — 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя — прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

Вирус Petya.A в Росси

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.

В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал необходимую для этого информацию. В случае ExPetr этого идентификатора нет – пишет РИА Новости.

Компании по всему миру во вторник, 27 июня, пострадали от масштабной кибератаки вредоносного ПО, распространяющегося через электронную почту. Вирус шифрует данные пользователей на жёстких дисках и вымогает деньги в биткоинах. Многие сразу решили, что это вирус Petya, описанный ещё весной 2016-го, но производители антивирусов считают, что атака произошла из-за какой-то другой, новой вредоносной программы.

Мощная хакерская атака днём 27 июня ударила сначала по Украине, а потом и по нескольким крупным российским и зарубежным компаниям. Вирус, который многие приняли за прошлогодний Petya, распространяется на компьютерах с операционной системой Windows через спам-письмо со ссылкой, по клику на которую открывается окно, запрашивающее права администратора. Если пользователь разрешает программе доступ к своему компьютеру, то вирус начинает требовать у пользователя деньги - 300 долларов биткоинами, причём сумма удваивается через какое-то время.

По нашим предварительным данным, это не вирус Petya, как говорилось ранее, а новое неизвестное нам вредоносное ПО. Поэтому мы назвали его NotPetya.

Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того чтобы получить ключ, нужно ввести данные, извлечённые программой, в эти два поля.

Программа выдаст пароль. Его надо будет ввести, вставив диск и увидев окно вируса.

Petrwrap/Petya ransomware variant with contact [email protected] spreading worldwide, large number of countries affected.

Краткий экскурс в историю нейминга вредоносных программ.

Логотип вируса Petya.A

27 июня по меньшей мере 80 российских и украинских компаний подверглись атаке вируса Petya.A. Программа заблокировала информацию на компьютерах ведомств и предприятий и также, как и известный вирус-вымогатель , потребовала у пользователей в биткоинах.

Имена вредоносным программам обычно дают сотрудники компаний-разработчиков антивирусов. Исключением становятся те шифровальщики, вымогатели, разрушители и похитители личных данных, которые помимо компьютерных заражений вызывают медийные эпидемии - повышенную шумиху в СМИ и активное обсуждение в cети.

Однако вирус Petya.A - представитель нового поколения. Имя, которым он сам представляется - часть маркетинговой стратегии разработчиков, направленной на повышение его узнаваемости и рост популярности на даркнет-рынке.

Субкультурное явление

Ранние вредоносные программы тоже обладали чувством юмора, хотя оно и не всегда касалось их названий. Так, Ричарда Скрэнта, предназначенный для компьютера Apple-2, раз в 50 загрузок компьютера читал жертве стишок, а имена вирусов, часто скрытые в коде, а не выставленные на показ, отсылали к шуткам и субкультурным словечкам, распространённым в среде гиков того времени. Они могли ассоциироваться с названиями металл-групп, популярной литературой и настольными ролевыми играми.

В конце 20 века создатели вирусов особо не скрывались - более того, часто, когда программа выходила из под контроля, старались принять участие в устранении принесённого ей вреда. Так было с пакистанским и разрушительным , созданным будущим сооснователем бизнес-инкубатора Y-Combinator.

География и календарь

В 1987 году вирус Jerusalem, известный также как Israeli Virus, получил название по месту своего первого обнаружения, а его альтернативное название Black Friday было связано с тем, что он активировался и удалял запускаемые файлы, если 13 число месяца приходилось на пятницу.

Функциональность

Служебные названия

Большинство вирусов уже давно получают названия в лабораториях, где их разбирают на части аналитики.

Задачи

Часто бывает и так, что вирусы, требующие большого внимания и сил для своего изучения получают у антивирусных компаний красивые названия, которые проще говорить и записывать - так случилось с Red October, дипломатическую переписку и данные, способные повлиять на международные отношения, а также с IceFog, крупномасштабным промышленным шпионажем.

Расширение файлов

DQ, который отмечал создаваемые им файлы.

Так же получил своё название нашумевший этой весной вирус WannaCry, маркирующий зашифрованные им данные расширением.wncry.

Как работает Petya.A?

Petya.A шифрует все данные на жестком диске. Расшифровка невозможна без приватного ключа – за это Petya требует 0.9 биткоинов, что равно примерно $300. Это цена за разблокировку одного ПК. Компании с сотнями устройств могут понести космический ущерб. На оплату выкупа создатели вируса отводят неделю. В GigaCloud пока не получили информации о расшифровке данных пользователей, оплативших требуемую сумму. В первый же день атаки обнаружена ссылка на один из кошельков, куда уходят деньги из зараженных устройств (на момент написания материала, сумма уже превышала 7000 долларов).

Что произойдет, если пользователь словит Petya.A?

1. Компьютер немедленно перезапустится.

2. После запуска на экране появится сообщение о якобы проверке OS Windows диска на ошибки (Disk Check), а в этот момент будет происходить собственно шифрование файлов.

3. Считается, что Petya перехватывает управление компьютером на самых первых этапах загрузки, шифруя данные в скрытом режиме.

Откуда взялся Petya?

Petya.A – новая модификация прошлогоднего вируса, первые версии которого распространялись как спам-письма, маскирующиеся под резюме. Petya 2017 впервые заявил о себе, загрузившись вместе с обновлением программы для электронного документооборота M.E.doc (именно поэтому временно не рекомендуется использовать обновления, которые эта программа предлагает установить при запуске). Далее вредоносное ПО распространялось при помощи уязвимости в протоколе Samba (так же, как и во время атак WannaCry).

Как защититься от вируса?

Чтобы не загрузить вирус из интернета, необходимо:

1. Не открывать вложения от неизвестных и сомнительных отправителей по почте.

2. Не переходить по ссылкам от неизвестных отправителей.

3. Переходить только по достоверным ссылкам и сайтам.

Чтобы не заразиться от компьютера в локальной сети, действительно, желательно сразу же отключиться от интернета: Petyа заражает все устройства на одном домене.

В качестве профилактических мер действительны советы наших специалистов по защите от вируса WannaCry:

1. Регулярно обновлять резервные копии критических систем и файлов. Резервные копии (на внешних носителях или в облачных сервисах) – это единственный шанс полностью предотвратить потерю данных.

2. Установить последние обновления на все операционные системы Windows.

3. Заблокировать внешние соединения с интернетом по протоколам SMB/NetBIOS. Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

4. Использовать актуальные версии ОС, для которых выпускаются обновления безопасности.

5. Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиком и другими вредоносными программами.

6. Использовать средства защиты персональных компьютеров – антивирусное программное обеспечение базами сигнатур, что регулярно обновляются.

Как вылечиться?

Вирус Petya действует в два этапа:

1. Удаляет MBR с диска, перезагружает компьютер.

2. Запускает шифрование данных под видом проверки диска (Check Disk). Это и есть индикатор вируса: обычно Check Disk выполняется только вручную.

Незашифрованные данные можно восстановить, если вовремя выключить компьютер.

Как спасти данные до шифрования:

1. Выключить компьютер (можно принудительно).

2. Загрузиться c Live CD (ОС на сменном носителе; для Windows – со средой предустановки Windows PE). С этого устройства запустить антивирус, и после полной очистки – загрузиться снова.

Нюанс: не все антивирусы могут помочь, если компьютер уже заражен, поскольку хакеры использовали уязвимости Windows, о которых до сих пор ничего не было известно. Поэтому антивирус – в первую очередь профилактическое средство. Список антивирусов, которые могут справиться, есть у Virus Total.

3. Использовать сервис для восстановления данных. Он поможет, так как Petya шифрует только таблицу, не затрагивая файлы. Мы рекомендуем программное решение R-Studio, которое поблочно сканирует диск и восстанавливает видимые файлы. Решение работает с разными файловыми системами (в том числе и файловой системой ОС Windows).

Если данные зашифрованы:

Специалисты GigaCloud сообщают, что в лечении вируса помогает полное восстановление данных из бекапов.

Наличие бекапов позволяет хранить незашифрованные копии файлов и документов, и даже если страдают компьютеры или серверы, на них можно полностью переустановить операционные системы и незараженное ПО, а затем, из бекапа, восстановить базы данных и документы. При этом важно, чтобы бекапы не хранились на собственных или постоянно подключенных сетевых дисках, так как в этом случае они тоже подвержены шифрованию. Поэтому для бекапов лучше использовать специальные решения, такие как Veeam или Acronis.

По данным компании Positive Technologies, в России и на Украине от действий Petya пострадали свыше 80 организаций. По сравнению с WannaCry этот вирус признан более разрушительным, так как распространяется несколькими методами — с помощью Windows Management Instrumentation, PsExec и эксплойта EternalBlue. Кроме того, в шифровальщик внедрена бесплатная утилита Mimikatz.

если говорить о причинах возникновения сегодняшней ситуации, то проблема снова в небрежном отношении к проблемам информационной безопасности.

Кроме того, в компании Avast рассказали, какие именно операционные системы пострадали от вируса больше всего.

На первом месте оказалась Windows 7 — 78% от всех зараженных компьютеров. Далее следу.т Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).

Таким образом, WannaCry практически ничему не научил мировое сообщество — компьютеры так и остались незащищенными, системы не были обновлены, а усилия по выпуску патчей даже для устаревших систем просто пропали даром.

Украинские власти тут же обвинили в кибератаке Россию.

Украина могла пострадать сильнее других из-за изначального распространения Petya через автоматическое обновление M.E.doc — программы для бухгалтерской отчетности. Именно так были заражены украинские ведомства, объекты инфраструктуры и коммерческие компании — все они пользуются этим сервисом.

Однако M.E.doc выступила с официальным опровержением этой версии.

Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)

По статистике всех пострадавших, вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt. exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:

В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)

В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)

И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.

В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.

Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером

Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.

Кто создал вирус Петя?

Как удалить вирус Petya?

Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.

Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Единственный вариант, это если ранее у вас были теневые копии файлов.

Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.

Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.

Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)

Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.

Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.

Во вторник вирус Petya/PetWrap/NotPetya атаковал учреждения и фирмы в России, Украине, Европе и США — всего около двух тысяч жертв. Вредоносная программа шифровала данные на компьютерах и просила выкуп в биткоинах. Рассказываем, что это за вирус, кто от него пострадал и кто его создал.

Вредоносная программа, которая маскируется под вложения в электронной почте. Если пользователь скачивал его и запускал от имени администратора, то программа перезагружает компьютер и запускает якобы функцию проверки диска, а на самом деле шифрует сперва загрузочный сектор, а потом и остальные файлы. После этого пользователь видит сообщение с требованием оплатить сумму в биткоинах эквивалентную $300 взамен на код расшифровки данных.

❗️Вирус "Petya" в действии. Будьте осторожны, обновите Windows, не открывайте никаких ссылок, присланных на почту pic.twitter.com/v2z7BAbdZx

Так работает вирус

Один из вариантов страницы с требованием выкупа (фото: Avast Blog)

Фото из харьковского супермаркета РОСТ, компьютеры которого тоже поразил вирус

— Ukraine / Україна (@Ukraine) June 27, 2017

Компьютер в кабинете министров Украины (фото: Павел Розенко)

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya

Petya образца 2016 года — Costin Raiu (@craiu) June 27, 2017

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).

Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.

«Приложение Камера записывает аудио Человеку, который имеет свой плей л.

Год поступления в продажу интегральной схемы выполненной Человеку, который имеет свой плей л.

Личный кабинет госуслуг в ленинградской области Человеку, который имеет свой плей л.

Как восстановить пароль в Госуслугах если изменился номер телефона? Человеку, который имеет свой плей л.

Суверенные базы данных и реестры нарушителей прав субъектов персональных данных Реестр нарушителей прав субъектов персональных данных Человеку, который имеет свой плей л.

Портал госуслуги без регистрации Человеку, который имеет свой плей л.

Почему не работает Скайп — способы решения всех возможных проблем Человеку, который имеет свой плей л.

Причины утечки информации Человеку, который имеет свой плей л.

Геоинформационные системы и технологии Геоинформационные технологии кратко Человеку, который имеет свой плей л.

Координационный центр национального домена сети интернет Человеку, который имеет свой плей л.

Украина – полигон для хакеров, писал не так давно американский портал BuzzFeed News. В той же статье автор рассуждал, как Россия пишет новые правила кибервойны. Не секрет, что в США, да и в Украине практически все крупные хакерские атаки приписывают россиянам. Сегодня на Украину была совершена самая крупная хакерская атака в истории страны – вирус-вымогатель поразил десятки госучреждений, банков, системы аэропортов, энергокомпаний, железной дороги и др. 112.ua собрал ТОП-5 хакерских атак на Украину за последние годы

Petya захватил всех

Украину 27 июня поразил вирус-вымогатель. Тысячи компьютеров по всей стране заражены, пострадали крупные компании и частные лица. Специалисты говорят, что вирус-ransomware (который на мониторе именует себя Petya) – это модифицированный аналог других вирусов-вымогателей (например, известного вируса WannaCry, который стал активно распространяться по всему миру 12 мая 2017 года). Сперва он поразил сеть учреждений здравоохранения Великобритании, а затем перекинулся на организации в других странах, включая Украину.

Судя по скриншотам экранов пораженных компьютеров, вирус блокирует доступ к файлам на компьютере, шифрует их и требует выкуп в размере 300 долл. на адрес Bitcoin-кошелька за их расшифровку. Так же поступал и WannaCry, который, согласно подсчетам, нанес ущерб более чем на 1 млрд долл., хотя и принес создателям всего лишь 120 тыс. долл.

Вирус работает только в операционной системе Windows. ІТ-эксперты объясняют, что авторы коварного кода WannaCry использовали уязвимость операционной системы Microsoft. Эту информацию подтвердил и президент Microsoft Брэд Смит. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

Новости по теме

В итоге пострадали системы около 30 банков, "Укрзализныци", аэропорта "Борисполь", Укрпочты, Киевского метрополитена, "Эпицентра", "Новой почты", ДТЭК, "Укрэнерго" и даже самого Кабмина.

Согласно сообщению НБУ, пораженные банки испытывают сложности с обслуживанием клиентов и осуществлением банковских операций. В "Укртелекоме" уверяют, что компания продолжает предоставлять услуги доступа в интернет и телефонии, а вот компьютерные системы, сопровождающие колл-центр и центры обслуживания абонентов, не работают. Аэропорт "Борисполь" предупреждает, что "в связи с внештатной ситуацией возможны задержки рейсов". Киевский метрополитен заявляет, что в результате атаки была заблокирована функция оплаты банковскими карточками. У "Новой почты" отделения и контакт-центр временно не могут обслуживать клиентов. Из-за технических сбоев на неопределенный срок приостановлена работа информационных систем Львовского городского совета, приостановлен документооборот и работа центров предоставления административных услуг города Львова. В Кабмине отключили компьютеры.

Украинскую артиллерию на Донбассе в 2014 году уничтожали хакеры

В декабре этого года аналитики CrowdStrike (американской компании, специализирующейся на кибербезопасности) выпустили доклад, в котором рассказали, как широко применяемое в ВСУ приложение для операционной системы Android, разработанное офицером украинской артиллерии в целях упрощения расчетов при ведении огня, могло быть использовано российским правительством в качестве средства получения разведданных (например, о местонахождении украинских правительственных сил).

В 2014 году Fancy Bear создала для скачивания вредоносный вариант приложения и разместила его на украинских военных форумах. В CrowdStrike обнаружили, что вариант вредоносной программы Fancy Bear применялся для взлома Android-приложения, разработанного, чтобы помочь артиллерийским войскам более эффективно наводить свои устарелые гаубицы на цели. Как правило, для наведения украинских буксируемых гаубиц Д-30 времен советской эпохи необходимо несколько минут, данные для наведения вводятся вручную. С Android-приложением это занимало 15 секунд, обнаружили в CrowdStrike. Команда Fancy Bear, очевидно, взломала приложение, позволив ГРУ использовать GPS-координаты телефонов для отслеживания позиций украинских войск. Таким образом, российская армия могла наводить на украинских военных артиллерию и другое оружие. Украинские подразделения, задействованные на востоке Украины, находились на передовой конфликта с поддерживаемыми Россией сепаратистскими силами на его ранних стадиях в конце 2014 года, отметили в CrowdStrike.

К концу 2014 года число российских войск в регионе достигло примерно 10 тысяч. Android-приложение помогало российским войскам определять позиции украинской артиллерии. По данным Международного института стратегических исследований, за два года конфликта украинские артиллерийские войска потеряли более 50% своего оружия и более 80% своих гаубиц Д-30, и это самый высокий процент потерь артиллерийского оружия в арсенале, говорится в докладе. Приложение не было доступно в Android-магазине и распространялось только через страницу его разработчика в социальной сети, украинского офицера-артиллериста Ярослава Шерстюка, говорят в CrowdStrike. Активация приложения была возможна только после связи с разработчиком и отправки кода для индивидуальной загрузки приложения.

Новости по теме

Сооснователь и ведущий эксперт по технологиям CrowdStrike Дмитрий Альперович подчеркивает, что украинский пример показателен для понимания, насколько сильна связь между хакерами Fancy Bear и российскими военными. "Для того чтобы использовать полученные в результате взлома данные на поле боя, нужна тесная интеграция, - говорит Альперович. - Такие задачи находятся в компетенции ГРУ. По нашему мнению, это очень убедительное доказательство связи этих двух (Fancy Bear и ГРУ) организаций".

Отключили все Прикарпатье

Между тем одна из наиболее значимых и опасных атак была совершена в декабре 2015 года. Тогда хакерам удалось отключить от электросети отдельный регион – Прикарпатье, вмешавшись в работу "Прикарпатьеоблэнерго". Вследствие этой "работы" более 700 тыс. жителей региона остались без электричества на несколько часов.

IT-система предприятия пострадала настолько сильно, что каждую из подстанций пришлось включать вручную. При этом в “Прикарпатьеоблэнерго” причиной неполадок скромно назвали "вмешательством посторонних лиц в работу телемеханики – автоматической системы контроля и управления оборудованием".

Однако, исследовав эту ситуацию, международные компании и организации, такие как SANS ICS, ESET и Symantec, выяснили, что электричество было отключено с помощью хакерской атаки с использованием вредоносного вируса Black Energy. По данным Symantec, за семейством вирусов Black Energy стоит группировка Sandworm, которая орудует против промышленных объектов Украины, других стран Европы и даже против НАТО.

Руткит BlackEnergy, который открыл доступ к внутренней сети энергокомпаний, попал на компьютеры за полгода до включения деструктивной функции.

Согласно заявлению Службы безопасности Украины (СБУ), данная хакерская атака была попыткой российских спецслужб атаковать компьютерные сети энергетического комплекса Украины. Американская компания iSight Partners, специализирующаяся на вопросах киберразведки, утверждает, что Sandworm – это российская группа хакеров, и именно она причастна к беспрецедентному отключению электроэнергии в Украине. Этот случай заинтересовал даже Центральное разведывательное управление, Агентство национальной безопасности и Департамент внутренней безопасности США, которые взялись его расследовать.

Новости по теме

Позже вирус Black Energy Госслужба спецсвязи Украины обнаружила в сети аэропорта "Борисполь". "Специалисты Госслужбы спецсвязи предотвратили возможную хакерскую атаку со стороны России. Вчера специалисты связи обнаружили, что одна из рабочих станций в аэропорту "Борисполь" была инфицирована вирусом Black Energy. Инфицированный компьютер был изъят из компьютерной сети аэропорта, а об инциденте были проинформированы эксперты группы CERT UA", — сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.

В 2015 году версия с российскими хакерами была еще не очень популярной. Тем более, что в последующих атаках власти обвиняли уже свои хакерские группы.

Финансы тоже под угрозой

В результате атаки 7 декабря 2016 года проведение обязательных платежей на сотни миллионов гривен Госказначейством и Пенсионным фондом были заблокированы. Платежи проходили с задержками или не проходили вовсе, не работали сайты Минфина и Госказначейства.

Атака на сайты этих ведомств была остановлена спустя два дня, 8 декабря. Согласно сообщению на официальной странице Минфина в Facebook, Госказначейство возобновило платежи, внутренние сети, и базы данных начали работать в штатном режиме, вся информация была сохранена. При этом в результате атаки были поврежденные серверы госструктур. В Министерстве финансов отметили, что целью хакеров был срыв бюджетного процесса, реформы Минфина и подрыв доверия к системе кибербезопасности правительства.

Новости по теме

Затем сотрудник госпредприятия "Национальные информационные системы", которое занимается сопровождением госреестров, написал в Facebook, что "вирус, уложивший казну, носит название killdisk". Это популярная программа, у которой много разновидностей. Она доступна в исходных кодах, поэтому злоумышленники всегда могут ее модифицировать до неузнаваемости, чтобы антивирусные программы эту программу не обнаружили.

Программа killdisk применялась при атаках с помощью BlackEnergy на энергокомпании Украины. Эксперты говорят, что там была другая модификация killdisk. Этот троян уничтожает информацию методом перезаписывания, что делает невозможным ее восстановление.

Кабмин после атаки выделил Минфину и Госказначейству 80 млн грн на защиту от хакеров.

Не российские, свои преступники

Ночью 14 декабря 2016 года на шесть серверов Приднепровской железной дороги (ПАО "Укрзализныця") была осуществлена кибератака, а утром 15 декабря была атакована система распределения пустых грузовых вагонов. "Выдаем бумажные документы для машинистов. Все вопросы безопасности движения контролируются. Работает радио- и телеграфная связь. Работает продажа билетов в кассах", – сообщил глава "Укрзализныци" Войцех Балчун. Он также отметил, что существовали проблемы с диспетчерской системой энергообеспечения.

Топ-менеджмент УЗ в этой атаке не увидел следа РФ, зато обвинил своих же, украинских коррупционеров. По мнению топ-менеджера, хакерская атака - это "резкая реакция действующей коррупционной системы на госпредприятии". Балчун заявил, что давление и угрозы в адрес членов его команды связаны с запуском автоматизированной системы распределения пустых грузовых вагонов, запуск которой был запланирован на 28 декабря. Впрочем, министр инфраструктуры Владимир Омелян заявил, что "Укрзализныцю" атаковали украинские хакерские группы по заказу “неустановленного лица из Санкт-Петербурга", что это был отвлекающий маневр, чтобы в то время украсть данные пассажирских перевозок. По словам Омеляна, атаки на Минфин и Госказначейство были осуществлены аналогичным образом. Отметим, что атака на сайт самого Министерства инфраструктуры произошла 16 декабря.

Почему пропускаем удары?

Несмотря на то что активно атаковать Украину хакеры начали еще в 2015 году, украинские госорганы оказались абсолютно не готовыми к новым виткам киберугроз. Эксперты уверяют, что в связи с развитием технологий хакерские атаки будут только усиливаться, а при нынешней ситуации с устаревшим оборудованием в госорганах осуществлять атаки не составляет большого труда.

"До последнего времени государственные органы мало уделяли внимания вопросам кибербезопасности. Сейчас этот вопрос начинают поднимать на уровне государства", - отмечает он, добавив, что одной из причин уязвимости госорганов также является отсутствие квалифицированных специалистов в вопросах кибербезопасности. Видимо, технические специалисты наконец объяснили чиновникам, что им недостаточно серверов для резервного копирования, что существующее оборудование слабое или устаревшее", - считает директор компании “Криптософт” Геннадий Чепурда.

Читайте также: