Хробак «Petya» заразив більше 20 вінницьких структур, решта промовчали (СПИСОК)

Спеціалісти з кібербезпеки СБУ та Нацполіції вже мають підтвердження, що організатори кібератаки прагнули зупинити роботу державних структур, банків, стратегічно важливих транспортних і поштових мереж. Гроші за ключі потерпілі платили, але ніхто з них не отримав ніяких кодів доступу.

Як розповів начальник поліцейського відділу протидії кіберзлочинам у Вінницькій області Олександр Ульяненков, постраждалі від вірусу українці переказали разом 14 тисяч доларів.

– Ніхто із цих людей, які заплатили гроші, не отримав коду деактивації, – говорить він. – Більше скажу, технічно це не можливо взагалі. Якщо злочинець надасть комусь код активації, то він створить умови спеціалістам для самостійного визначення алгоритму шифрування, і вже надалі ця програма (вірус – авт.) вже буде не цікава. Тобто платити викуп сенсу немає узагалі.

Точна година

Вранці 27 червня до редакції почала надходити інсайдерська інформація: вірусом, який вимагає 300 доларів викупу, атаковані комп'ютери міськради, Укрпошти, Ощадбанку, Нової пошти та інших компаній й ряду комерційних структур.

Саме в цей час мережевий хробак під назвою "Petya" поширився по всій Україні із надзвичайною швидкістю. Гасли монітори комп’ютерів у різних установах. На їхніх екранах потім з’являлися повідомлення з інструкцією для cплати викупу. У Нацбанку назвали цю мережеву атаку найбільшою.

– Наc теж зачепив цей вірус, – розповів журналісту RIA/20minut працівник міськвиконкому. – Комп'ютери вимкнулись і не працюють. Прозорі офіси просто зупинили роботу. Приблизно по обіді комп'ютери почали самостійно перезавантажуватись. Потім був чорний екран і вимога заплатити гроші…

Директор департаменту у справах ЗМІ та зв'язків з громадськістю міськради Аліса Мисловська підтвердила хакерську атаку:

– IT-департамент займається цією проблемою. Це надзвичайно складний вірус. Наші фахівці чекають рекомендацій від кіберполіції та СБУ.

Аналогічну інформацію редакція отримували протягом дня від працівників Укрпошти, Ощадбанку, Нової пошти. Нам говорили також про збої роботи сервісів ПриватБанку, але прес-служба вінницького управління спростувала атаку:

– На офіси ПриватБанку у Вінниці ніяких хакерських атак не було.

За даними на кінець тижня, до вінницького відділу боротьби з кіберзлочинами звернулася 21 структура із заявою про вірус.

– Це переважно комерційні структури, – говорить Олександр Ульяненков. – Лише 20 відсотків із постраждалих погодилися надати техніку на експертизу. Дослідження будуть тривалими. Але вже зараз маємо інформацію, що атака відбулась із використанням програмного забезпечення російського виробництва.

Як спрацювало

Вірус паралізує роботу комп'ютера і викидає пропозицію заплатити $300 у криптовалюті – в біткоїнах. Методів проникнення, за наявною інформацією, було два: або через листи із вкладеннями, замасковані під ділову переписку, або через оновлення бухгалтерських програм.

Олександр Уляненков назвав вірус «Petya» (є різновиди Petya.а, Petya.с та Petya.d) модифікацією вимагача, який заражав комп’ютерні системи по всьому світу навесні цього року. Той вірус дійсно мав на меті заробити і називався «WannaCry». «Petya» ж, як розібралися спеціалісти, створений спеціально для України, щоб просто нашкодити нашим системам.

– Це модифікована під Україну хвиля, – говорить поліцейський. – В останньому вірусі система кодування трохи змінена. Ураженими виявилися ті компанії, які мали «1С:бухгалтерію», «КлієнтБанк» та інші програмні продукти, що використовуються для подачі звітності у фіскальні органи. Через оновлення цих програм, які самі підтягуються, відбувалося зараження.

Код вірусу був закладений на дату і час. От тому й називають атакою те, що сталося 27 червня об 11.00. Тоді почалась активація, поширення зарази, по всій країні вимкнулися 12,5 тисячі комп’ютерів.

Загроза зникла?

– Не дарма Указом Президента визначені санкційні продукти – інтернет-продукти, заборонені у обігу, – говорить Олександр Ульяненков. – Саме в цей період ми, і саме від цих продуктів, отримали те, що отримали. Усі ж знають, як обійти заборону і зайти в ВК чи «Однокласники». Сказали не користуватися «Карсперським», «1С:бухгалтерією», знаходити заміни, а альтернативу важко підібрати, от і маємо. Ця атака – це відповідь на заборону.

Чиї системи постраждали від хакерської атаки, дивіться в інфографіці. Число заражених чи покалічених вірусом структур та масштаби атаки тільки підтверджують, що вірус мав іншу ціль, ніж банальне вимагання.   

Тим не менше, за словами Олександра Ульяненкова, відновити роботу зараженої комп’ютерної техніки нескладно. Досить переустановити «Windows», щоб загроза зникла.

– Якщо інформація була перед цим скопійована, то немає проблем. Багато в кого були резервні копії даних. Так, тільки такі копії дозволять зберегти цінну інформацію, – говорить кіберполіцейський.

Він також розповів, що у день кібератаки у відділ телефонували багато вінницьких фірм з питаннями про вірус «Petya». Цікавилися, але заявляти про проблему не стали, щоб зберегти свою ділову репутацію та не віддавати техніку на експертизу. Бо останнє – складна і тривала процедура, а продовжувати роботу треба.

Тим часом постраждалі структури відновлюють свої системи. Укрпошта, до прикладу, до кінця тижня вже почала приймати комунальні платежі. Хто вів паперову документацію, тому легше.

Кібератака була тренувальною.
Як не постраждати надалі?

У Департаменті кіберполіції назвали вірусну атаку 27 червня спробою дестабілізувати ситуацію в економіці та в суспільній свідомості України. Заявили, що це посягання – тренувальне. Значить, буде ще? Тоді як уберегтися? Поради від кіберспеціалістів з СБУ та поліції:

• У випадку порушень роботи комп’ютерів: негайно від’єднайте їх від мереж (інтернет, внутрішні).
   
• Для запобігання несанкціонованого втручання: встановлюйте патчі з офіційного ресурсу компанії «Мікрософт».
   
• Встановіть актуальне або оновіть антивірусне програмне забезпечення.
   
• Для зменшення ризику зараження не завантажуйте та не відкривайте додатки в електронних листах з невідомих адрес.
   
• Отримали лист вкладенням із відомої адреси – зв’яжіться з відправником, щоб підтвердити факт відправки.
   
• Робіть резервні копії критично важливих даних.
   
• Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що може бути заражений, не перезавантажуйте його. Вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
   
• Коли користувач бачить «синій екран смерті», дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Комп’ютер перезавантажуються і запускає check Disk – негайно вимикайте його. На цьому етапі можете витягнути свій жорсткий диск, підключити його до іншого комп’ютера (тільки не як завантажувальний) і скопіювати файли.

Більше інформації про вірус та протидію знайдете за ЦИМ посиланням.

Читайте також:

Слідком за WannaCry з’явився вчетверо швидший вірус-вимагач XData. Що робити?
 

Слідкуйте за новинами Вінниці у Telegram.