2 109 Безопасность

Вирусная атака cryptolocker в Украине. Горячие новости, факты, советы

27.06.2017

Утро 27 июня началось большими проблемами для украинского бизнеса. По оперативной информации уже "лежат" компьютеры большинства госучреждений украины, а также такие компании как:

Укртелеком, Киевэнерго, Укрпошта, DHL, Новая Почта, "Укрзализныця", Аэропорт "Борисполь", Аэропорт "Жуляны", Эпицентр, Новая почта, ДТЭК, Укрэнерго, Киевэнерго, Сеть заправок ТНК, Сеть заправок WOG, ПCГ "Ковальская", ТРК "Люкс", Киевводоканал, Киевский метрополитен, concert.ua ,Lifecell, Киевстар, Vodafone Украина, ГП "Антонов", ГП "Документ", "Ощадбанк", "Укрсоцбанк", "Укргазбанк", "ОТП Банк", "ПИБ" (РФ), Банки ТАСС, 24 канал, Канал ATR Запорожсталь, Днепроспецсталь, Запорожтрансформатор, Хлебодар и других.

Сайты, сервисы и банковские терминалы - не работают. Через дыры в системах безопасности и разгильдяйства, компьютеры организаций были заражены так называемым вирусом cryptolocker/petya. Вирус захватывает компьютеры, зашифровывает данные на жестких дисках и и требует выкуп в биткоин за ключ дешифрования.


Если вам нужна помощь с удаление данного вируса, пишите или заполняйте онлайн форму. В Киеве есть специалисты, которые уже занимаются решением данной проблемы. Они могу подъехать к вам и забрать ваш компьютер на обследование и ремонт.


Скриншоты сообщения:

cryptolocker virus

virus ukraine 2017 petya cryptolocker


Как не подхватить вирус cryptolocker?

Самое главное правило - Не открывать незнакомые письма и не загружать вложенные файлы из писем (pdf, doc, ...). Обращайте внимание на источник письма и не на само имя отправителя, а именно доменное самого e-mail.

В большинстве случаев вирус угрожает компьютерам с операционной системой Windows. На данный момент сообщений о вирусе на компьютерах Apple Mac OS или Linux - НЕТ.


Интересное то, что в этом году на конференции по кибер безопасности, компания Cisco Ukraine презентовала любопытный ролик на эту тему.

Хотите узнать как работает вирус cryptolocker? Примерно так:

Факты о вирусе cryptolocker

Указанный почтовый ящик вымогателей уже заблокирован, так что платить бессмысленно.

Кибербезопасность и осведомленность сотрудников о подозрительной активности на очень низком уровне, вирус быстро захватил крупнейшие бизнесы по всей Украине.

Вирус коснулся также сайта Чернобыльской атомной электростанции. Сначала сообщалось, что технологические системы станции «работают в штатном режиме», но потом выяснилось, что сотрудники станции перешли на ручной мониторинг радиации.

По данным криминалистической лаборатории Group-IB, жертвами атаки вируса Petya.A стали более 80 российских и украинских компаний. Чтобы остановить распространение вируса, необходимо закрыть TCP-порты 1024-1035, 135 и 445, подчеркнули в Group-IB. Руководитель лаборатории Валерий Баулин в разговоре с RNS также подчеркнул, что атака не имеет отношения к WannaCry, волна заражения которым прошла месяц назад. Тогда ущерб от вируса превысил $1 млрд.

В 22:00 по киевскому времени на счету биткоин кошелька, указанного на экране вируса, перечислено 3.04242065 BTC, по курсу это = 195182.89 UAH.

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Компании по безопасности советуют сделать 1-2 резервные копии дисков, чтобы не потерять данные и дождаться антидота.


Первые результаты

Вечером, 27 июня Департамент Киберполиции Украины сообщил, что причина вируса найдена. Зараженіе по всей відемості осуществлялась через программу для документооборота M.E.doc. Программа время от времени обращалась к серверу "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Сегодня в 10 утра программа получило обновление в размере 333 кб и начало исполнять следующий набор команд:

  1. Создать файл: rundll32.exe;
  2. Обращение к IP-адрес на порты: 139 TCP  и 445 TCP;
  3. Создать файл: perfc.bat;
  4. Запустить программу cmd.exe с командой: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
  5. Создать файл: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и запустить его;
  6. Создать файл: dllhost.dat.

В дальнейшем, вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba / SMB, который так же использовался во время атак WannaCry.


Следите за событиями за хештегами:

#cryptolocker #CyberAttack #Petya #вірус


Советы от украинских пиратов

Госучреждениям пора давно переходить на open source программное обеспечение, такое как Ubuntu. Скачать его можно бесплатно с официального сайта https://www.ubuntu.com/download/desktop и записать на флешку или CD диск.

Также вы можете создавать резервные копии и хранить их в облаке. Например, сервис https://mega.nz/ бесплатно предоставляет 50 Гб для хранения ваших файлов.

Хотите знать больше? Читайте горячие рубрики
Ищите индивидуальное решение? Пишите!
Автор блога