Кого задела атака нового вируса-вымогателя и как от неё защититься Статьи редакции
«Антонов», WPP и «Укрпошта» и другие компании в России, Украине и мире, которые затронул вирус.
Украина
По данным Ain.ua, атака захватила «сотни» компаний по всей стране. В их число попали «Киевэнерго» и другие энергокомпании, логистические организации «Укрпошта» и «Нова пошта», «Укртелеком», завод «Антонов», «Ощадбанк», несколько клиник и медиахолдинг ТРК «Люкс» (в него входит «24 канал», «Комсомольская правда» и «Корреспондент»).
Также от атаки пострадало киевское метро, аэропорт «Борисполь» и системы железных дорог страны, сказал министр инфраструктуры Украины Владимир Омелян. Он добавил, что критично важные элементы инфраструктуры не были затронуты.
Друзі! Оплата банківськими картками наразі неможлива.
Хакерська атака.
По данным канала «Громадское», также были задеты серверы сайта Чернобыльской АЭС. Руководство ЧАЭС заявило, что атака привела к отключению компьютерной системы мониторинга радиационного фона и теперь мониторинг проводится вручную.
Местная компания ISSP, которая специализируется на кибербезопасности, сказала Ain.ua, что были зафиксированы заражения персональных компьютеров.
Россия
Одной из первых компаний, которая сообщила о хакерской атаке, стала «Роснефть» и принадлежащая ей «Башнефть». Компания сразу заявила, что перешла на использование резервных систем и не остановила свою работу, а также пригрозила преследованием за «панические сообщения».
Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.
По данным РБК, от вируса также пострадали системы банка «Хоум Кредит», из-за чего компании пришлось закрыть все отделения. РИА Новости сообщает о поражении сети металлургической компании Evraz, одним из бенефициаров которой является Роман Абрамович.
Российский офис компании Mondelez, производителя шоколада Alpen Gold и Milka, тоже зафиксировал хакерскую атаку. По данным Group-IB на 16:00, атака затронула около 80 российских и украинских организаций.
Вечером 27 июня Центробанк сообщил «Интерфаксу», что регулятор зафиксировал «единичные случаи заражения объектов информационной инфраструктуры» нескольких российских банков, но на обслуживание клиентов это не повлияло.
Мир
Международная логистическая компания Moller-Maersk днём 27 июня сообщила Reuters, что испытывает проблемы со своими системами в различных подразделениях и изучает ситуацию. Кроме того, жертвой хакерской атаки стали французская строительная группа Saint-Gobain и британское рекламное агентство WPP.
Связаны ли эти атаки с распространением вируса по российским и украинским компаниям, неизвестно. По данным Independent, под действие вируса также попали Испания и Индия.
К 18:48 вирус пошёл до США и атаковал фармацевтическую компанию Merck.
#BREAKING Global cyberattack spreads to US, Merck hit
Что за вирус и как от него защититься
По данным Group-IB, в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года. Он не имеет отношения к вирусу WannaCry, который распространялся в начале мая 2017 года и поразил более ста компаний по всему миру.
Чтобы защититься от Petya.A, на компьютере нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445, рекомендует Group-IB.
Руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского» Костин Райю заметил, что вирус маскируется под приложение от Microsoft и использует цифровую подпись компании.
New Petrwrap/Petya ransomware has a fake Microsoft digital signature appended. Copied from Sysinternals Utils.
The fast-spreading Petrwrap/Petya ransomware sample we have was compiled on June 18, 2017 according to its PE times…
При этом в самой «Лаборатории Касперского» выразили сомнение, что используемый в атаке вымогатель — это действительно Petya.A. На биткоин-кошелёк авторов вируса к 18:00 по московскому времени уже перевели около $2,5 тысяч в биткоинах.
Это не #Petya и не Mischa. Мы продолжаем изучать.
Обновлено в 18:39. В «Лаборатории Касперского» сказали vc.ru, что по предварительным данным, новый вирус не похож на уже существующие вымогальщики. В компании посоветовали активировать мониторинг системы и заблокировать файлы, под которые маскируется вирус.
По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. Больше всего инцидентов было зафиксировано в России и Украине, однако имеется информация о заражениях в других странах.
На данный момент «Лабортатория Касперского» проводит расследование, и в ближайшее время мы сможем предоставить больше информации по сценарию заражения и схеме работы вредоносного кода.
Пользователям защитного ПО «Лаборатории Касперского» для обеспечения безопасности необходимо убедиться, что защитное решение включено и использует актуальные вирусные базы, а также удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher). В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.
Программные продукты «Лаборатории Касперского» детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.
Комментарий недоступен
Уважаемый Андрей, Вы можете четко написать - пробивает ли вирус обычные домашние компы за популярными роутерами, или первоначально один из пользователей сети обязательно должен открыть вирусный файл, чтобы заразить себя и остальных?
Также, при закрытии указанных портов - какие сервисы выключатся? Доступ к сетевым папкам/файлам и сетевой печати? Или что-то еще?
Гугл вроде разблокировали уже, не?
Лови пятюню!
Комментарий удален модератором
Комментарий удален модератором
Читаем Хабр, а не пиздим на ЦП, маркетологи, ебать.
https://habrahabr.ru/post/331762/
Цитата: «UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам».
@hackerfantastic: Kill switch does NOT WORK, created %WINDIR%\perfc & .dat & .dll on a clean 2008 host. Petya still spreads and infects via MS17-010.
Если я правильно понял тренд, то Роскомнадзор должен по аналогии потребовать у Ростелекома заблокировать источники распространения вируса, если Ростелеком не заблокирует, то признать Ротелеком пособником распространителей вирусов и лишить его лицензии "пожизненно".
Комментарий удален модератором
Что то сомнительно, что бытовой "локер" шифровальщик
полностью заблокировал с 14-00 27 числа Маерск.
http://my.maerskline.com/
Там же серверные службы
каспаряны выпустили.. и теперь проводят расследование... ну дела!