Хакерська атака в Україні як працює вірус Петя А та що робити

атака

Що таке вірус Petya.A?

Модифікацій вірусу є багато. Вірус розповсюджується дуже швидко. Виявляється у відмові роботи комп'ютерів на платформі Windows, перевантаження та шифрування даних. Сайти низки компаній не працюють через атаку, в інших офісах відключили всі комп'ютери після перших ознак атаки. Вірус шифрує інформацію на жорсткому диску комп'ютера, вимагаючи викупу за відновлення роботи розміром 300 доларів у биткоинах.

працює

Хакерська атака в Україні: як працює вірус Petya.A

Як поширюється вірус?

В основному листи з вірусом були надіслані до відділів кадрів під виглядом резюме. У листі були вкладені посилання на нібито архів портфоліо робіт, які зберігаються у папці на сервісі Dropbox (а насправді – на вірус).

Завантажений вірус відразу модифікує завантажувальний запис на системному накопичувачі і викликає аварійне завершення роботи комп'ютера. Після перезавантаження комп'ютера на екран виводиться повідомлення, що диск пошкоджено і потрібно виконати процедуру виправлення помилок, яка може тривати кілька годин. За цей час насправді відбувається шифрування даних. Наприкінці на екрані висвічується повідомлення про те, що весь диск зашифрований, а щоб його розшифрувати, потрібно купити ключ у зловмисників через Tor. І нібито якщо цього не зробити, через 7 днів ціна збільшиться вдвічі.

Початкова інфекція відбувається через повідомлення фішинга (файл Петя.apx) або оновлення програми M.E.doc. Розповсюдження локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам вірусу WannaCry.

Кого уразив вірус Petya.A?

В Україні масову хакерську атаку зазнали: банківська система (близько 30 банків),система інфраструктури (80% підприємств, підпорядкованих Міністерству інфраструктури), Кабмін, мобільні оператори, ЗМІ, підприємства енергетичної галузі.

Хто потрапив під атаку хакерів в Україні: список

ЗМІ : медіахолдинг ТРК "Люкс" (24 Канал, радіо "Люкс", Радіо Максимум, Zaxid.net Без Табу); український медіахолдинг ("Комсомольська правда в Україні", "Кореспондент", Football.ua); Чорноморська ТРК; Телеканал AT; за деякими даними – "Інтер" та UA:Перший.

Банки : Ощадбанк, Східний, ОТП, ПУМБ, ТАСКомерцбанк, Укргазбанк, Розрахунковий центр, Мега банк, Кристал банк, Укрсоцбанк, Радабанк, Кредо банк, Idea банк, Юнісон, Перший інвестиційний банк, Кредит оптиму, Траст капітал , Промінвестбанк, Реконструкції та розвиток, Вернум, Глобус.

Підприємства енергетики : ДТЕК, Укренерго, Київенерго та інші.

Підприємства інфраструктури : аеропорт "Бориспіль", "Укрзалізниця", Київський метрополітен та інші.

Мережі заправок ОККО, ТНК, WOG, KLO

Мобільні оператори : Київстар, Vodafone, Lifecell.

Медицина : компанія "Фармак", клініка "Борис", за непідтвердженими даними, лікарня "Феофанія".

атака

Це далеко не весь перелік заражених установ та компаній. Вірус розповсюджується дуже швидко.

Зазначимо, що комп'ютерні мережі силових відомств не постраждали. Однак сайт МВС припинив свою роботу, щоб уникнути ураження вірусом.

Президентські комп'ютерні мережі також не потрапили під атаку. Кілька місяців тому ІТ-команда АПУ відбила подібні атаки та провела відповідні технологічні заходи для закриття потенційних зон атаки.

Інформаційні системи та команда кіберзахисту Адміністрації Президента України працюють у штатному режимі, але із підвище.

Після України вірус Petya.A почав заражати комп'ютерні мережі в Україні (зокрема "Роснефть" та деякі банки), Франції, Великобританії, Іспанії, Індії, США. Таким чином, програма-вимагач дуже швидко поширюється по всьому світу.

Чи потрібно платити гроші, якщо вірус заразив комп'ютер?

Ні, в жодному разі не зв'язуйтеся з шахраями. Найімовірніше, навіть якщо ви заплатите зловмисникам, втрачена інформація не повернеться. Втім, станом на 18:00 на один із биткоин-гаманців, який збирає гроші із заражених вірусом комп'ютерів, перерахували понад 2300 доларів.

У жодному разі не можна перераховувати їм ці біткоїни. Це розлучення". З того, що проаналізували наші фахівці, ясно, що за вірусом йде повне шифрування файлів. Всю уражену вірусом техніку можна просто викинути на смітник. Від вірусу вилікувати комп'ютери неможливо. Якщо вже почалося шифрування, це вже все, - сказав голова Інтернет-асоціації України Олександр Федієндо.

Якщо комп'ютери вашої компанії, заразив вірус Petya.A, зверніться до поліції. Ця атака спрямована в основному на комп'ютерні системи, однак і ваш персональний комп'ютер теж може зазнати шахрайства.

Інформація на заражених комп'ютерах безвісти зникла?

Наразі аналіз вірусу Petya.A триває. Поки що немає остаточної інформації про те, чи можна відновити доступ до даних. Наприклад, фахівці з G DATA SecurityLabs припускають, що вірус Petya. А блокує лише доступ до файлів, а не шифрує всі дані на накопичувачі.

Інші експерти вважають, що вірус повністю знищує комп'ютер.

Ось чим вирус #Petya відрізняється від #WannaCry - пояснення від кібер-експерта pic.twitter.com/ty5jc1ezk2

Фахівці українськоїАнтивірусна компанія "Zillya" переконана, що головним завданням Petya.A є знищення даних, а не їх викрадення. Більше того, експерти не виключають, що це рекомендована атака, замаскована під комерційну.

Як видалити вірус Petya.A з комп'ютера?

Після того, як цей вірус потрапляє в систему, він намагатиметься переписати завантажувальні файли Windows або так званий завантажувальний майстер запису, необхідний для завантаження операційної системи. Ви не зможете видалити Petya.А з вашого комп'ютера, якщо не відновите налаштування завантажувального майстра запису (MBR). Навіть якщо Вам вдасться виправити ці налаштування та видалити вірус із Вашої системи, на жаль, Ваші файли залишатимуться зашифрованими, тому що видалення вірусу не забезпечує розшифрування файлів, а просто видаляє інфекційні файли.

Безперечно, видалити вірус все одно потрібно для продовження роботи з комп'ютером. Petya.А неможливо видалити за допомогою простої процедури видалення. Ви повинні видалити цей вірус автоматично – за допомогою надійного антивірусного засобу, який виявить та видаляє цей вірус із вашого комп'ютера.

хакерська

Вірус Petya.А неможливо видалити стандартними способами

Якщо ви бачите, що з вашим комп'ютером відбувається процес, який ми описували вище, спробуйте відключити комп'ютер на етапі шифрування – коли він перезавантажився і видав повідомлення, що диск пошкоджено і потрібно виконати процедуру виправлення помилок, яка може тривати кілька годин. Існує ймовірність, що ви зупините процес шифрування, якщо вимкнете комп'ютер у цей момент.

Для зупинення поширення черв'яка мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 і 445.

Як уберегтися від вірусу Petya.

Щобуберегтися від вірусу Petya.А, власники відключають інтернет та пов'язані з ним послуги. Детальних рекомендацій щодо безпеки поки немає, але якщо у вашій компанії є пристрої на Windows, краще відключіться від мережі, забекаптуйте дані, запускайтеся з іншої операційної системи. Якщо важливі дані є в мережі, тимчасово відключіть синхронізацію ПК з хмарним сервісом.

Як не підчепити вірус-вимагач, який атакує українські комп'ютерні мережі: поради

1. Обов'язково користуйтесь антивірусами. Фахівці розповіли одному з українських видань, що Virus #Petya блокує Avast, тоді як антивірус Касперський його не бачить.

2. Не завантажуйте сторонні програми та файли. Перевіряйте файли антивірусом та розумом (малоймовірно, що хтось надсилає вам "Скаргу з податкової" у форматі zip-архіву) перед відкриттям.

4. Оновіть операційну систему, браузер та антивірус до останніх версій.

Щодо атак на комп'ютерні мережі. Наразі до Департаменту кіберполіції НПУ надійшло вже 22 повідомлення про втр.

5. Налаштуйте резервну копію всіх необхідних вам у роботі файлів за допомогою DropBox або інших аналогічних програм – у разі, якщо ваші файли будуть зашифровані вірусом, ви зможете відновити старі версії файлів із резервної копії.

6. Кіберполіція радить у разі виявлення порушень у роботі комп'ютерів, що працюють у комп'ютерних мережах, негайно відключити їх від мереж (як мережі Інтернет, так і внутрішньої мережі).

7. З метою запобігання несанкціонованому втручанню в роботу (залежно від версії ОС Windows) встановити патчі з офіційного ресурсу компанії Microsoft.

Great advice from @Europol on #ransomware. Як би не було зафіксовано DO NOT PAY. There is no guarantee you willget your files back. pic.twitter.com/eWRzalIvUr

У кіберполіції також радять задля запобігання зараженню вірусом встановити останні патчі для операційної системи. Залежно від версії Windows встановити патч з ресурсу technet.microsoft.com, а саме:

Звідки йде хакерська атака?

Наразі зловмисники не ідентифіковані, як і джерело поширення вірусу. Українські силовики схиляються до версії "українського сліду" у атаках хакерів. Зокрема, таку думку висловили секретар РНБО Олександр Турчинов та радник голови МВС Антон Геращенко. У СБУ повідомили, що головною метою кібератаки були об'єкти критичної інформаційної інфраструктури енергогенеруючих та енергопостачальних компаній, об'єктів транспорту, низки банківських установ, телекомунікаційних компаній.

Звідки б не йшла атака, бережіть свої комп'ютери та дотримуйтесь рекомендацій експертів. А у разі зараження – негайно зверніться до поліції.