Зображення користувача Світ Зелений.
Світ Зелений
  • Відвідувань: 0
  • Переглядів: 0

Хакерська атака в Україні: як працює вірус Petya.A і що робити?

Категорія:

Спецтема:

Хакерська атака вразила комп'ютерні мережі українських компаній та організацій 27 червня. Серед жертв вірусу Petya.A – банківська система, підприємства інфраструктури, відомі ЗМІ, автозаправки тощо. 

Що таке вірус Petya.A?

27 червня в Україні почалися масові хакерські атаки. Близько з 12-ї години вірус-здирник невідомого походження, подібний на WannaCry, атакував комп’ютерні системи сотень держустанов та компаній. Цей вірус називається Petya.A або mbr locker 256.

MBR – це головний запис, код, необхідний для подальшого завантаження операційної системи і розташований в першому секторі пристрою. Після включення живлення комп'ютера проходить так звана процедура POST, тестується апаратне забезпечення, після проходження якої BIOS завантажує MBR в оперативну пам'ять за адресою 0Ч7C00 і передає йому управління. Так вірус потрапляє в комп'ютер і вражає його.

Модифікацій вірусу існує багато. Вірус поширюється дуже швидко. Виявляється у відмові роботи комп'ютерів на платформі Windows, перезавантаженні і шифруванні даних. Сайти низки компаній не працюють через атаки, в інших офісах відключили всі комп'ютери після перших ознак атаки. Вірус шифрує інформацію на жорсткому диску комп'ютера, вимагаючи за відновлення роботи викуп розміром 300 доларів у біткоінах.

Хакерська атака в Україні: як працює вірус Petya.A
Хакерська атака в Україні: як працює вірус Petya.A

Як поширюється вірус?

Працівники атакованих установ розповіли, що їм на пошту приблизно за годину до масової відмови комп'ютерів приходили листи від невідомого адресата з "лівими" посиланнями. Зараження відбувається, коли адресати переходили за цим посиланням або скачували невідомі файли.

Переважно листи з вірусом були відправлені у відділи кадрів під виглядом резюме. У листі було вкладене посилання на нібито архів портфоліо робіт, що зберігається в папці на сервісі Dropbox (а насправді – на вірус).

Крім того, вірусна атака на українські компанії почалася через оновлення програми "M.E.doc." (програмне забезпечення для звітності та документообігу). Це програмне забезпечення має вбудовану функцію оновлення. Розробники програми заявили, що на момент завантажування оновлення M.E.doc від 22.06.2017 воно не містило жодних вірусів.

Скачаний вірус відразу ж модифікує завантажувальний запис на системному накопичувачі і викликає аварійне завершення роботи комп'ютера. Після перезавантаження комп'ютера на екран виводиться повідомлення, що диск пошкоджений і потрібно виконати процедуру виправлення помилок, яка може зайняти кілька годин. За цей час насправді відбувається шифрування даних. Вкінці на екрані висвічується повідомлення про те, що весь диск зашифрований, а щоб його розшифрувати, потрібно купити ключ у зловмисників через Tor. І нібито якщо цього не зробити, за 7 днів ціна збільшиться в два рази.

Як відбувається зараження вірусом Petya.A: відео

Початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам вірусу WannaCry.

Кого вразив вірус Petya.A?

В Україні масовій хакерській атаці піддалися: банківська система (близько 30 банків), система інфраструктури (80% підприємств, підпорядкованих Міністерству інфраструктури), Кабмін, мобільні оператори, ЗМІ, підприємства енергетичної сфери.

Хто потрапив під хакерську атаку в Україні: список

ЗМІ: медіахолдинг ТРК "Люкс" (24 Канал, радіо "Люкс", Радіо Максимум, Zaxid.net, Без Табу); Український медіа холдинг ("Комсомольська правда в Україні", "Кореспондент", Football.ua); Чорноморська ТРК; Телеканал ATR; за деякими даними – "Інтер" і UA:Перший.

Банки: Ощадбанк, Південний, ОТП, ПУМБ, ТАСКомерцбанк, Укргазбанк, Розрахунковий центр, Мега банк, Кристал банк, Укрсоцбанк, Радабанк, Кредо банк, Idea банк, Юнісон, Перший інвестиційний банк, Кредит оптима, Траст капітал, Проминвестбанк, Реконструкції і розвиток, Вернум, Глобус.

Підприємства енергетики: ДТЕК, Укренерго, Київенерго та інші.

Підприємства інфраструктури: аеропорт "Бориспіль", "Укрзалізниця", Київський метрополітен та інші.

Мережі заправок ОККО, ТНК, WOG, KLO

Мобільні оператори: Київстар, Vodafone, Lifecell.

Медицина: компанія "Фармак", клініка "Борис", за непідтвердженими даними, лікарня "Феофанія".

Укрпошта

"Нова пошта"

Укртелеком

Мережа гіпермаркетів "Епіцентр"

ДП "Антонов"

Київводоканал

Укргазвидобування

Кабінет Міністрів України

Вірус Petya.A вразив супермаркет в Харкові
Супермаркет у Харкові під час атаки вірусу Petya.A 27 червня

Це далеко не весь список заражених установ та компаній. Вірус поширюється дуже швидко.

Зазначимо, комп'ютерні мережі силових відомств не постраждали. Однак сайт МВС припинив свою роботу, щоб уникнути ураження вірусом.

Президентські комп'ютерні мережі також не потрапили під атаку. Кілька місяців тому ІТ-команда АПУ відбила подібні атаки та провела відповідні технологічні заходи для закриття потенційних зон атаки.

Прем'єр-міністр України Володимир Гройсман запевняє, що важливі системи Кабміну не постраждали.

Після України вірус Petya.A почав заражати комп'ютерні мережі в Росії (зокрема "Роснефть" та деякі банки), Франції, Великобританії, Іспанії, Індії, США. Заголом програма-здирник дуже швидко поширюється по всьому світу.

Чи треба платити гроші, якщо вірус заразив комп'ютер?

Ні, ні в якому випадку не зв'язуйтеся з шахраями. Швидше за все, навіть якщо ви заплатите зловмисникам, втрачена інформація не повернеться. Втім, станом на 18:00 на один із біткоін-гаманців, який збирає гроші із заражених вірусом комп'ютерів, перерахували понад 2300 доларів.

Ні в якому разі не можна перераховувати їм ці біткоіни. Це розвод". З того, що проаналізували наші фахівці, ясно, що через вірус йде повне шифрування файлів. Всю уражену вірусом техніку можна просто викинути на смітник. Від вірусу вилікувати комп'ютери нереально. Якщо вже почалося шифрування, це вже все,
– сказав голова Інтернет-асоціації України Олександр Федієнко.

Якщо комп'ютери вашої компанії, заразив вірус Petya.A, зверніться в поліцію. Ця атака спрямована в основному на комп'ютерні системи, однак і ваш персональний комп'ютер теж може піддатися шахрайству.

Інформація на заражених комп'ютерах безслідно зникла?

Наразі аналіз вірусу Petya.A триває. Поки що немає остаточної інформації про те, чи можна відновити доступ до даних. Наприклад, фахівці з G DATA SecurityLabs припускають, що вірус Petya.А блокує лише доступ до файлів, а не шифрує всі дані на накопичувачі.

Інші експерти припускають, що вірус повністю нищить комп'ютер.

Посмотреть изображение в Твиттере

Фахівці української антивірусної компанії "Zillya" переконані, що головним завданням Petya.A є знищення даних, а не їх викрадення. Більше того, експерти не відкидають, що це замовлена атака, замаскована під комерційну.

Вірус у різних модифікаціях відомий ще з 2016 року. Як саме працює та версія Petya.A, з якою зіткнулися користувачі 27 червня, поки не повідомляється. Судячи з масштабу зараження, вірус доопрацьований висококваліфікованими хакерами і має якусь складнішу систему поширення.

Як видалити вірус Petya.A з комп'ютера?

Після того, як цей вірус потрапляє в систему, він буде намагатися переписати завантажувальні файли Windows, або так званий завантажувальний майстер запису, необхідний для завантаження операційної системи. Ви не зможете видалити Petya.А з вашого комп'ютера, якщо не відновите настройки завантажувального майстра запису (MBR). Навіть якщо Вам вдасться виправити ці настройки і видалити вірус з Вашої системи, на жаль, Ваші файли будуть залишатися зашифрованими, тому що видалення вірусу не забезпечує розшифрування файлів, а просто видаляє інфекційні файли.

Безумовно, видалити вірус все одно потрібно для продовження роботи з комп'ютером. Petya.А неможливо видалити за допомогою простої процедури видалення. Ви повинні видалити цей вірус автоматично – за допомогою надійного антивірусного засобу, який виявить і видалить цей вірус з вашого комп'ютера.

Вірус Petya.А неможливо видалити стандартними способами
Вірус Petya.А неможливо видалити стандартними способами

Якщо ви бачите, що з вашим комп'ютером відбувається процес, який ми описували вище, спробуйте вимкнути комп'ютер на етапі шифрування – коли він перезавантажився і видав повідомлення, що диск пошкоджений і потрібно виконати процедуру виправлення помилок, яка може зайняти кілька годин. Є ймовірність, що ви зупините процес шифрування, якщо вимкнете комп'ютер в цей момент.

Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 и 445.

Як вберегтися від вірусу Petya.А?

Щоб вберегтися від вірусу Petya.А, власники відключають інтернет і пов'язані з ним послуги. Детальних рекомендацій щодо безпеки поки немає, але якщо у вашій компанії є пристрої на Windows, краще відключіться від мережі, забекапіть дані, запускайтеся з іншої операційної системи. Якщо важливі дані є в мережі – тимчасово відключіть синхронізацію ПК з хмарним сервісом.

Як не підчепити вірус-здирник, який атакує українські комп'ютерні мережі: поради

1. Обов'язково користуйтеся антивірусами. Фахівці розповіли одному з українських видань, що Virus #Petya блокує Avast, тоді як антивірус "Касперський" його не бачить.

2. Не завантажуйте сторонні програми і файли. Перевіряйте файли антивірусом і розумом (малоймовірно, що хтось надсилає вам "Скаргу з податкової" у форматі zip-архіву) перед відкриттям.

3. Не переходьте за сторонніми підозрілими посиланнями, в тому числі, з соцмереж. Особливо якщо вони надійшли від невідомих вам користувачів. А краще – взагалі ігноруйте повідомлення від невідомих вам людей.

4. Оновіть операційну систему, браузер і антивірус до останніх версій.

5. Налаштуйте резервну копію всіх необхідних вам в роботі файлів за допомогою DropBox чи інших аналогічних програм – у випадку, якщо ваші файли будуть зашифровані вірусом, ви зможете відновити старі версії файлів з резервної копії.

6. Кіберполіція радить у випадку виявлення порушень у роботі комп’ютерів, які працюють у комп’ютерних мережах, негайно від’єднати їх від мереж (як мережі Інтернет, так і внутрішньої мережі).

7. З метою запобігання випадкам несанкціонованого втручання в роботу (в залежності від версії ОС Windows) встановити патчі з офіційного ресурсу компанії Microsoft.

8. Не вмикайте програму M.E.doc

Посмотреть изображение в Твиттере

У кіберполіції також радять з метою запобігання зараження вірусом встановити останні патчі для операційної системи. В залежності від версії ОС Windows встановити патч з ресурсу technet.microsoft.com, а саме:

– для Windows XP

– для Windows Vista 32 bit

– для Windows Vista 64 bit

– для Windows 7 32 bit

– для Windows 7 64 bit

– для Windows 8 32 bit

– для Windows 8 64 bit

– для Windows 10 32 bit

– для Windows 10 64 bit

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою.

Звідки йде хакерська атака?

Наразі зловмисники не ідентифіковані, як і джерело розповсюдження вірусу. Українські силовики схиляються до версії "російського сліду" в хакерських атаках. Зокрема, таку думку висловили секретар РНБО Олександр Турчинов та радник голови МВС Антон Геращенко. В СБУ повідомили, що головною ціллю кібератаки були об’єкти критичної інформаційної інфраструктури енергогенеруючих та енергопостачальних компаній, об’єктів транспорту, низки банківських установ, телекомунікаційних компаній.

А от фахівець з кібербезпеки Юрій Мелащенко розповів у коментарі 24 Каналу, що шматок шкідливого коду комп'ютерного вірусу Petya.A, який вразив Україну 27 червня, міг міститись у документах, оприлюднених нещодавно засновником Wikileaks Джуліаном Ассанжем.

Звідки б не йшла атака, бережіть свої комп'ютери і дотримуйтеся рекомендацій експертів. А у випадку зараження – нагайно зверніться в поліцію.

Наші інтереси: 

Бережімо свої комп’ютери.

Якщо ви помітили помилку, то виділіть фрагмент тексту не більше 20 символів і натисніть Ctrl+Enter
Підписуюсь на новини

Зверніть увагу

Передчуття Великого джигаду

Фільм і роман «Дюна» як війна людей і психопатів – три вибухові ідеї таємного послання Френка Герберта

Моад’Діб став рукою Господньою – і пророцтво вільних справдилося. Моад’Діб приносив мир туди, де була війна. Моад’Діб приносив любов туди, де панувала ненависть. Він повів свій народ до справжньої...

Останні записи

Кращий коментар

Зображення користувача Михайло Харачко.
0
Ще не підтримано

Дуже ймовірно, що це атака з Московії, а вимагання коштів - це спроба прикрити організатора і звести все до банального шахрайства якихось "зловмисників"

Користуйтесь вільним ПЗ на базі Лінукс чи аналогами, користуйтесь українською мовою і отримаєте чистий спокій ))

Сидить Мамай, в кобзу грає, що замислить - то все має.

Коментарі

Зображення користувача Михайло Харачко.
0
Ще не підтримано

Дуже ймовірно, що це атака з Московії, а вимагання коштів - це спроба прикрити організатора і звести все до банального шахрайства якихось "зловмисників"

Користуйтесь вільним ПЗ на базі Лінукс чи аналогами, користуйтесь українською мовою і отримаєте чистий спокій ))

Сидить Мамай, в кобзу грає, що замислить - то все має.

Зображення користувача Миро Продум.
0
Ще не підтримано

Цікаво, що вірус блокується антивірусною програмою Avast, тоді як антивірус "Касперський" його не бачить.

Ще ньюанс: від цього вірусу не постраждали російські банки в Україні, а також він не зачепив жодної структури кремлівського "кооперативу Озеро".

Освячуйся! Озброюйся! Плодися!

Зображення користувача Михайло Харачко.
0
Ще не підтримано

Сьогодні мене приємно здивувала новина, що мережу ОТР Банку дуже легко "оживив" хакер-школяр з м.Тячів на Закарпатті.
Молоде покоління вміє обходити інформаційні загрози.

Сидить Мамай, в кобзу грає, що замислить - то все має.

Зображення користувача Володимир Федько.
0
Ще не підтримано

Цікава порада! Якщо зашифрований диск з даними загинув, то навіщо викидати все інше ? Постав новий хард, інсталюй Вінду і працюй далі!

Цитата:
Всю уражену вірусом техніку можна просто викинути на смітник.

Воїн Світла ніколи не грає за правилами, написаними для нього іншими!