Сeгoдня дeсятки укрaинскиx кoмпaний и учрeждeний, пoнeсли oгрoмныe aтaки xaкeрoв. Вирус-вымoгaтeль/Petya.Нaпaл бaнкoв, пoчт и тeлeкoммуникaций oпeрaтoрoв и элeктричeскoй систeмы стрaны.
Oбзoр LIGA.net пoпрoсил экспeртoв в oблaсти кибeрбeзoпaснoсти, чтoбы oтвeтить нa нeкoтoрыe вoпрoсы:
— Кoгдa и кaк укрaинскиe кoмпьютeры были зaрaжeны вирусoм?
— Чтo пoслeдствия eсть атаки?
— Можно ли будет восстановить данные?
Комментарий технического директора антивирусной компании Zillya! Олег Сыч:
Эпидемия инфекций, отдельных компьютеров и сетей компании сегодня связана с действием вредоносных программ WannaCry.
Это вирус, сетевой червь, вымогатель, который в своей деятельности использует уязвимость операционной системы Windows. Весной этого года, уже был замечен в масштабах эпидемии, которая охватила многие страны мира. Пострадали тысячи пользователей. О нем писали все СРЕДСТВА массовой информации! Но что более важно — способ, как избежать новых случаев вич-инфекции был найден в течение нескольких дней. Был создан патч, установив который, WannaCry не мог больше атаковать ваш ПК.
Тем не менее, можно говорить с высокой вероятностью, что сегодня «жертва» просто проигнорировали возможность принимать превентивные меры. Возможно, это из-за недостатка внимания. Возможно, в связи с тем, что обычные пользователи и даже компании, которые имеют пиратский функции операционных систем. И чтобы не надоедали напоминание о необходимости купить лицензию, принудительно отключают обновление системы. Кроме того, администраторы должны быть внимательны к рекомендациям предприятий и лабораторий, работающих в области кибернетической защиты. Например, сразу же закрыть порты TCP 1024-1035, 135, 139 и 445.
Читайте также — Топ-10 тенденций агропромышленного комплекса, которые в ближайшее время придут в Украину
Изначально заражены трояном WannaCry произошло, вероятно, из-за невнимательности или недостаточной осведомленности персонала. Сотрудники могут, например, пользоваться личной электронной почты на рабочем ПК, или открывать вложения электронной почты от неизвестных получателей электронной почты предприятия, таким образом, заразив компьютер.
Нарушение настолько базовых правил можно говорить или что имел «человеческий фактор», или о том, что эти правила, как правило, никогда не слышали.
Какие могут быть последствия? Самый страшный и масштабный, как на уровне отдельных пользователей, так и на уровне корпоративном сегменте — полная потеря данных в закриптованных средств хранения данных. Вероятно, даже попытки расшифровать и восстановить данные, даже при условии выплаты выкупа шантажистам (300 долларов в биткоинах) не приведут ни к чему. Конечно, если вы не знакомы, значение фразы «резервное копирование».
Комментарий архитектор систем информационной безопасности, ИТ-компания, Интегратор Алекс Швачка:
27 июня начало новой волны масштабных заражений модификации шифровальщика.
Механизм распространения совпадает с WannaCry, использует уязвимость в ОПЕРАЦИОННОЙ системе Windows называется MS17-010. Кстати, эта уязвимость известна с марта (!). Microsoft давно выпустила исправление безопасности, в том числе уже снятых с поддержки Windows XP / Vista / 2003 / 2008.
Если Вы используете одну из этих версий ОПЕРАЦИОННОЙ системы Windows, убедитесь, что вы установите исправление, доступное по адресу.
Для актуальных лицензионных версий ОПЕРАЦИОННОЙ системы Windows, обновления устанавливаются автоматически. Если, по какой-то причине не выполняется, инструкции по установке и обновлению, вы можете найти здесь.
Если вы подозреваете, что ваш компьютер уже заражен, срочная необходимость скопировать важные данные на внешний носитель, что, после этого отключить.
Надеемся, в ближайшие дни, производители выпустят обновления базы данных вирусов и специальные утилиты-дешифровшики, как уже было сделано несколько модификаций вируса месяц назад.
Комментарий МЕХАНИЧЕСКИЕ Labs:
— АТМОСФЕРА Labs проводит расследование массовых кибер-атак против украинской инфраструктуры. Полученные промежуточного соответствии с анализом экспертов лаборатории, пришли к выводу, что разрушительное воздействие ит-систем, изученных организаций, выполняемых с помощью инструментов типа WannaCry/xdata. Но в данном случае было прямое участие преступников, которые уже были в определенное время в инфраструктуре. По мнению экспертов) Labs, сама атака началась ориентировочно в марте-апреле 2017 года. Она начала с изучения инфраструктуры, перехват паролей администратора/техника учетных записей.
Читайте также — Коптер с Башни: Kray, начали продавать гигантского агродроны
На данный момент проходит заключительный этап скандал, известный как «Clean up» (Зачистки). Зафиксированы несколько вариантов действий: разрушение MBR и шифрования диска. Мы считаем, что преступники были осведомлены о том, что количество пострадавших пользователей, которые произведут требуемый после зашифровки платежа будет маленькая, и итоговая сумма не покроет затраты на разработку и распространение этого вредоносного кода, организация и реализация такого масштаба атаки. В этом контексте возникает вопрос об истинных мотивах и целях злоумышленников. Более важным является определить, что скрывает этот этап, какие действия они пытаются скрыть, через разрушение журнала для серверов и рабочих станций, которые были убиты организаций. Какие инструменты «спящие агенты» оставили для последующего возвращения в инфраструктуру жертв-организаций?