Як це працюєЩо відомо про комп’ютерний вірус Petya.A
Державні і приватні підприємства – під атакою хакерів; кого атакували та як захиститися
Національний банк України, «Укрпошта», «Укрзалізниця» і «Ощадбанк» – цілі кібератаки, що відбулася 27 червня 2017 року.
Про зараження невідомим вірусом-вимагачем повідомили Секретаріат Кабінету міністрів України, Міністерство внутрішніх справ, «Укренерго», «Нова пошта», телеканал «Інтер», а також мережа будівельних гіпермаркетів «Епіцентр».
Схожі за ознаками напади впродовж дня фіксували в Росії та Європі. Зокрема, в Данії, Іспанії, Нідерландах. Так, у Голландії про вірус повідомила державна транспортна компанія APM.
Станом на 16:10, за інформацією директора департаменту комунікацій Національної поліції Ярослава Тракала, було зафіксовано 22 повідомлення про втручання в роботу персональних комп’ютерів.
«За попередньою інформацією, відбулось втручання в функціонування комп’ютерних мереж шляхом розповсюдження шкідливого програмного забезпечення, яке використовує нещодавно виявлені вразливості ОС Windows, а саме протоколу SMB», – повідомив Тракало на свої сторінці в Facebook.
Представник Нацполіції підтвердив, що мова йде про атаки як на державні, так і на приватні установи. Зокрема – на одного з мобільних операторів.
«Після отримання таких звернень на місце виїжджають спеціалісти Департаменту кіберполіції та інших профільних служб, які працюють над протидією розповсюдження вірусу, а також ліквідацією його наслідків», – додав Тракало.
Жертви хакерської атаки
Державні установи:
Національний банк України;
Секретаріат Кабінету міністрів;
Міністерство внутрішніх справ;
Міністерство інфраструктури;
«Укренерго»;
«Київенерго»;
«Запоріжжяобленерго»;
«Дніпроенерго»;
«Укртелеком»;
«Укрпошта»;
«Ощадбанк»;
«Укрзалізниця»;
«Антонов»;
«Київський метрополітен»;
аеропорт «Бориспіль»;
Чорнобильська атомна електростанція;
Приватні компанії:
«Нова Пошта»;
«Укргазбанк»;
«Таскомбанк»;
«Запоріжсталь»;
фармацевтична корпорація «Артеріум»;
клініка «Борис»;
мережа магазинів «Епіцентр»;
телеканал «Інтер»
видання мережі «Український медіахолдинг»;
телеканал 24;
телеканал ATR;
мережа АЗС WOG;
За повідомленням інформаційної агенції «Уніан», через хакерську атаку «Укренерго» було змушене припинити роботу комп’ютерів в офісах державного підприємства. Втім, на роботі української енергосистеми вірус не вплинув.
Тимчасово обслуговувати клієнтів через хакерів припинила «Нова Пошта». (Саме представники цієї компанії вперше назвали вірус – Petya.A.) Таким чином жертвою нападу стали не лише державні, а й приватні підприємства. Крім всеукраїнського поштового сервісу постраждали мережі АЗС «КЛО» і WOG.
Безпосередньо вірус вплинув і на роботу київського метрополітену. Безконтактні картки в метро працюють, як зазвичай. Проте можливість оплати банківськими картками в підземці неможлива.
Заступник директора аеропорту «Бориспіль» Євген Дихне повідомив, що через хакерську атаку припинило роботу табло з розкладом рейсів та офіційний сайт летовища. Водночас керівництво аеропорту попередило про можливі затримки рейсів.
Підтвердив інформацію про атаку хакерів й «Ощадбанк». За нормальної роботи операцій із картками та мобільного банкінгу «Ощад 24/7» банк ввів обмежене функціонування послуг для клієнтів.
Інформацію про атаку підтвердили і в «Укртелекомі». Державне підприємство продовжує надавати послуги доступу до інтернету та телефонії, однак центри обслуговування абонентів були змушені припинити роботу.
Директор департаменту підприємства зі зв’язків із громадськістю Михайло Шуранов заявив, що ІТ-фахівці «Укртелекому» співпрацюють з колегами із Microsoft для усунення наслідків кібератаки.
Принцип дії вірусу
Вірус вразив комп’ютери, що працюють на операційній системі Microsoft Windows. Постраждалі скаржаться, що їхні комп’ютери були заблоковані. На чорному тлі з’явилося повідомлення:
«Якщо ви бачите це повідомлення, то ваші дані більше не є доступними. Вони енкриптовані. Можливо, зараз ви намагаєтеся відшукати шлях, як відновити дані. Та не варто даремно витрачати час. Ніхто не зможе відновити ваші файли без декриптації».
Отримати доступ до ключа, що зможе декриптувати дані, зловмисники вимагають за гроші. Ціна вимагання – 300 доларів у криптовалюті Bitcoin.
12 травня 2017 року десятки тисяч користувачів з 74 країн світу постраждали від безпрецедентного за масштабами глобального поширення вірусу WCry. Також відомий як WannaCry чи Wannacryptor, вірус блокував комп’ютери під операційними системами Windows і вимагав за розблокування даних користувача гроші.
Окрім США, Великої Британії та Тайваню від кібератаки постраждала й Україна. Понад те, Україна ввійшла до трійки країн, у яких було зафіксовано найбільше випадків вірусу.
Зупинити масові хакерські атаки вдалося завдяки випадку. Користувач Twitter із Великої Британії під аккаунтом @malwaretechblog використав механізм, закладений хакерами-зловмисниками для можливого скасування своєї атаки. Втім, як визнав сам експерт із кібербезпеки, він не сподівався, що його дії зможуть зупинити поширення вірусу.
Водночас 22-річний англієць попередив, що остаточно хакерів зупинити не вдалося: «Це не кінець. Нападники зрозуміють, як ми їх зупинили, змінять код і розпочнуть знову».
Як захиститися
Микола Костинян, консультант і тренер із цифрової безпеки
На момент травневої атаки Microsoft випустив оновлення, яке зробило систему невразливою до віруса. Ми про це поки що не знаємо, але припускаю, що оновлення від цього вірусу поки що немає.
Якщо це так, то воно повинно скоро з'явитися – і всім треба буде терміново оновити свої операційні системи. Користувачам без збережених резервних копій важливих даних я б порадив вимкнути комп’ютери від мережі до кінця дня.
Чому вірус атакує саме операційну систему Microsoft? А навіщо уражати продукти Apple, якщо усі, кого хочеш заразити, користуються Windows? Та я б не радив сподіватися власникам «маків», шо вони є більш захищеними за інших. Вірусів для macOS менше ніж для Windows, але їх кількість досить швидко зростає.
Чому в цьому випадку зловмисники вимагають біткоїни? Певна річ, щоб можна було отримати «зароблені» гроші і щоб тебе при цьому не відстежили.
Ярослав Тракало, спікер Національної поліції
Кіберполіція радить у випадку виявлення порушень у роботі комп’ютерів, які працюють у комп’ютерних мережах, негайно від’єднати їх від мереж (як мережі Інтернет, так і внутрішньої мережі).
З метою запобігання випадків несанкціонованого втручання в роботу (залежно від версії ОС Windows) встановити патчі з офіційного ресурсу компанії Microsoft.
Крім того потрібно переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідності потрібно встановити та оновити антивірусне програмне забезпечення.
Також для зменшення ризику зараження слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – зв’язатися із відправником та підтвердити факт відправки листа.
Зробити резервні копії усіх критично важливих даних.
За всіма випадками радимо звертатись з повідомленнями до поліції для негайного реагування на кіберінцидент.