Кого задела атака нового вируса-вымогателя и как от неё защититься

«Антонов», WPP и «Укрпошта» и другие компании в России, Украине и мире, которые затронул вирус.

Украина

По данным Ain.ua, атака захватила «сотни» компаний по всей стране. В их число попали «Киевэнерго» и другие энергокомпании, логистические организации «Укрпошта» и «Нова пошта», «Укртелеком», завод «Антонов», «Ощадбанк», несколько клиник и медиахолдинг ТРК «Люкс» (в него входит «24 канал», «Комсомольская правда» и «Корреспондент»).

Также от атаки пострадало киевское метро, аэропорт «Борисполь» и системы железных дорог страны, сказал министр инфраструктуры Украины Владимир Омелян. Он добавил, что критично важные элементы инфраструктуры не были затронуты.

По данным канала «Громадское», также были задеты серверы сайта Чернобыльской АЭС. Руководство ЧАЭС заявило, что атака привела к отключению компьютерной системы мониторинга радиационного фона и теперь мониторинг проводится вручную.

Местная компания ISSP, которая специализируется на кибербезопасности, сказала Ain.ua, что были зафиксированы заражения персональных компьютеров.

Кого задела атака нового вируса-вымогателя и как от неё защититься

Россия

Одной из первых компаний, которая сообщила о хакерской атаке, стала «Роснефть» и принадлежащая ей «Башнефть». Компания сразу заявила, что перешла на использование резервных систем и не остановила свою работу, а также пригрозила преследованием за «панические сообщения».

По данным РБК, от вируса также пострадали системы банка «Хоум Кредит», из-за чего компании пришлось закрыть все отделения. РИА Новости сообщает о поражении сети металлургической компании Evraz, одним из бенефициаров которой является Роман Абрамович.

Российский офис компании Mondelez, производителя шоколада Alpen Gold и Milka, тоже зафиксировал хакерскую атаку. По данным Group-IB на 16:00, атака затронула около 80 российских и украинских организаций.

Вечером 27 июня Центробанк сообщил «Интерфаксу», что регулятор зафиксировал «единичные случаи заражения объектов информационной инфраструктуры» нескольких российских банков, но на обслуживание клиентов это не повлияло.

Мир

Международная логистическая компания Moller-Maersk днём 27 июня сообщила Reuters, что испытывает проблемы со своими системами в различных подразделениях и изучает ситуацию. Кроме того, жертвой хакерской атаки стали французская строительная группа Saint-Gobain и британское рекламное агентство WPP.

​Связаны ли эти атаки с распространением вируса по российским и украинским компаниям, неизвестно. По данным Independent, под действие вируса также попали Испания и Индия.

К 18:48 вирус пошёл до США и атаковал фармацевтическую компанию Merck.

Что за вирус и как от него защититься

По данным Group-IB, в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года. Он не имеет отношения к вирусу WannaCry, который распространялся в начале мая 2017 года и поразил более ста компаний по всему миру.

Чтобы защититься от Petya.A, на компьютере нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445, рекомендует Group-IB.

Руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского» Костин Райю заметил, что вирус маскируется под приложение от Microsoft и использует цифровую подпись компании.

Вымогатель Petrwrap/Petya подписан поддельной цифровой подписью Microsoft
Судя по временному штампу, вымогатель скомпилирован 18 июня 2017 года

При этом в самой «Лаборатории Касперского» выразили сомнение, что используемый в атаке вымогатель — это действительно Petya.A. На биткоин-кошелёк авторов вируса к 18:00 по московскому времени уже перевели около $2,5 тысяч в биткоинах.

Обновлено в 18:39. В «Лаборатории Касперского» сказали vc.ru, что по предварительным данным, новый вирус не похож на уже существующие вымогальщики. В компании посоветовали активировать мониторинг системы и заблокировать файлы, под которые маскируется вирус.

По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. Больше всего инцидентов было зафиксировано в России и Украине, однако имеется информация о заражениях в других странах.

На данный момент «Лабортатория Касперского» проводит расследование, и в ближайшее время мы сможем предоставить больше информации по сценарию заражения и схеме работы вредоносного кода.

Пользователям защитного ПО «Лаборатории Касперского» для обеспечения безопасности необходимо убедиться, что защитное решение включено и использует актуальные вирусные базы, а также удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher). В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.

Программные продукты «Лаборатории Касперского» детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.

— Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского»
66
10 комментариев

Комментарий недоступен

13

Уважаемый Андрей, Вы можете четко написать - пробивает ли вирус обычные домашние компы за популярными роутерами, или первоначально один из пользователей сети обязательно должен открыть вирусный файл, чтобы заразить себя и остальных?

Также, при закрытии указанных портов - какие сервисы выключатся? Доступ к сетевым папкам/файлам и сетевой печати? Или что-то еще?

8

Гугл вроде разблокировали уже, не?

1

Читаем Хабр, а не пиздим на ЦП, маркетологи, ебать.
https://habrahabr.ru/post/331762/

1

Цитата: «UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам».

1