Вирус блокирует компьютеры и требует 300 долларов в биткоинах. Способ распространения в локальной сети аналогичен вирусу WannaCry. По данным СМИ, на 18:00 биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов, с учетом комиссии за переводы пострадавшие перевели хакерам порядка 2,7 тысячи долларов.
По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу компании по странам, пострадавшим от вируса, на втором месте после Украины - Италия, а на третьем - Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.
PETYA ИЛИ MISHA
Эксперты по кибербезопасности разошлись во мнении относительно самого вируса. Компания Group-IB изначально сообщила об атаках вируса-вымогателя Petya.
Президент ГК InfoWatch Наталья Касперская заявила, что Petya.A обнаружили еще в апреле 2016 года, и первый его вариант был бессильным, если ему не давались права администратора.
«Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это была улучшенная версия, резервный шифровальщик», - сказала Касперская.
В компании Dr.Web также заявили, что вирус, поражавший компьютеры по всему миру во вторник, отличается от вируса-вымогателя Petya способом распространения. По данным Dr.Web, троянец распространяется самостоятельно, как и нашумевший WannaCry.
В «Лаборатории Касперского» заявили, что вирус не принадлежит к ранее известным семействам вредоносного программного обеспечения. Специалисты компании проводит расследование, и в ближайшее время компания сможет предоставить больше информации по сценарию заражения и схеме работы вредоносного кода, сказали в «Лаборатории Касперского».
АТАКИ НА УКРАИНЕ
Как сообщил советник главы МВД Украины Антон Геращенко, хакерская атака началась во вторник с внедрением модифицированной под Украину версии вируса WannaCry - cryptolocke, который рассылался по почте под видом деловых писем. По его словам, кибератака имела своей конечной целью попытку дестабилизации ситуации в экономике. Работа компьютерных сетей на Украине, подвергшихся хакерской атаке, будет полностью восстановлена через несколько дней, заверил Геращенко.
Вице-премьер Украины Павел Розенко сообщил, что хакерской атаке подверглись все компьютеры в кабмине страны. По информации пресс-службы кабмина, компьютерные сети центральных органов власти подверглись масштабной хакерской атаке с 14.00. Вечером около 19:00 сайт кабмина возобновил работу, но деятельность по пресечению распространения вируса и преодолению последствий кибератак продолжается, сообщил премьер Владимир Гройсман. Он также заявил, что в результате хакерской атаки важные системы инфраструктуры страны не пострадали, атака будет отражена.
При этом в администрации президента Украины заявили, что она работает в штатном режиме, уделяя повышенное внимание ситуации в связи с кибератакой.
Секретарь Совета национальной безопасности и обороны (СНБО) Украины Александр Турчинов заявил, что все государственные учреждения, использовавшие защищенный интернет-доступ, не пострадали из-за хакерской атаки.
Департамент киберполиции получил 22 сообщения о вмешательстве в работу персональных компьютеров от государственных и частных учреждений. Украинские правоохранители возбудили уголовное дело по факту хакерских атак на предприятия и государственные учреждения.
Национальный банк Украины в середине дня предупредил об атаках на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов. Украинский государственный Ощадбанк ограничил предоставление ряда услуг.
Вследствие атак на украинские банки в киевском метро невозможно было оплатить проезд банковскими картами. Из-за атаки на медиахолдинг ТРК «Люкс» украинский информационный «24 канал», входящий в него, прекратил вещание.
Атакам также подверглись «Укрэнерго», «Киевэнерго», международный аэропорт «Борисполь», крупнейшая на Украине частная компания по оказанию услуг доставки «Новая почта». По данным Group-IB, на Украине пострадали также «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровские электроэнергетические системы», «Ашан», украинские телеком-операторы.
Советник главы МВД Украины Зорян Шкиряк обвинил в хакерских атаках Россию, но при этом он не привел никаких доказательств.
РОССИЯ
Во вторник «Роснефть» сообщила, что ее серверы подверглись мощной хакерской атаке, в связи с чем компания обратилась в правоохранительные органы.
Кроме того, хакерской атаке подверглись информационные системы Evraz. В то же время в ряде других крупнейших металлургических компаний РФ, в частности в «Северстали», НЛМК, ММК, «Норникеле» и ТМК, заявили об отсутствии каких-либо инцидентов, связанных с кибератакой.
Банк России заявил, что выявил хакерские атаки, направленные на системы российских кредитных организаций; в результате этих атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. При этом нарушений работы систем банков и нарушений предоставления сервисов клиентам зафиксировано не было. В крупнейших российских банках сообщили, что не зафиксировали масштабных хакерских атак и работают в штатном режиме. В Сбербанке сообщили, что банк работает в штатном режиме на фоне произошедших во вторник хакерских атак.
Хакерская атака никак не отразилась на работе атомных электростанций, действующих в России, все АЭС работают в штатном режиме, заявил представитель концерна «Росэнергоатом».
В пресс-службе «Системного оператора» Единой энергосистемы России сообщили, что специалисты по информационной безопасности компании не зафиксировали никаких целенаправленных атак на информационную инфраструктуру компании. В пресс-службе компании «Россети» сообщили, что ситуация находится на контроле, меры для отражения атак приняты.
Российские телекоммуникационные операторы также сообщили, что работают в штатном режиме, компании не затронул вирус-шифровальщик Petya.
Московская биржа также не зафиксировала хакерских атак на свои IТ-системы, сообщили в пресс-службе Московской биржи.
ДРУГИЕ СТРАНЫ
В Испании хакеры совершили атаку на серверы представительств международных компаний Mondelz International (производитель продуктов питания и растворимых напитков) и DLA Piper (международная юридическая фирма), Saint-Gobain (французская компания-производитель строительных материалов). Национальный центр криптологии при Национальном центре разведки Испании заявил, что вирус - вариация вируса-вымогателя Petya, и что его жертвами стали «несколько международных компаний, имеющих представительства в Испании».
Один из ведущих морских грузоперевозчиков - датская компания A.P. Moller-Maersk - также подверглась кибератаке, которая вывела из строя ее компьютерные системы во многих подразделениях компании.
Транснациональная фармацевтическя компания со штаб-квартирой в США Merck & Co. подтвердила, что стала одной из жертв глобальной хакерской атаки, начато расследование. Немецкие компании также пострадали из-за хакерской атаки, сообщила Федеральная служба безопасности в сфере информационной техники (BSI) Германии. Сообщения о заражении вирусом появились и в Литве.
Департамент государственных информационных систем Эстонии сообщил, что в стране пока не зарегистрированы случаи заражения компьютеров вирусом-вымогателем Petya.
КАК ОБЕЗОПАСИТЬСЯ
Как рассказал российский технологический инвестор, эксперт в IT-области Денис Черкасов, одним из наиболее надежных методов защиты от вирусов являются правильные действия сотрудников компании, а именно - игнорирование подозрительных писем и особенно просьб перейти по ссылкам.
«В противном случае, вирус может расти, как снежный ком, благодаря таким 'безобидным' действиям», - отметил Черкасов.
Поэтому, по его словам, продумывая тактику защиты бизнеса, в первую очередь, необходимо проводить тренинги по простым правилам кибербезопасности для коллектива. Во-вторых, даже самые современные системы защиты нуждаются в регулярном обновлении, для того чтобы не попасть под удар нового вирусного ПО. В-третьих, необходимы системы контроля целостности систем, чтобы быть в состоянии обнаружить распространение вируса в компьютерной сети до того, как он начал свое вредоносное действие.
«Лаборатория Касперского» рекомендует своим пользователям для обеспечения безопасности убедиться, что защитное решение включено и использует актуальные вирусные базы, а также удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher).
«В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals», - советует представитель компании.