Украина подверглась самой крупной в истории кибератаки вирусом Petya
Сегодня утром ко мне обратились мои клиенты с паническим криком "Никита, у нас все зашифровано. Как это произошло?". Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.
Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что "Ощадбанк", "УкрПочта" , "ТАСКомерцбанк", "ОТР банк" под атакой (полный список ниже)
Что случилось?
То, о чем все кибер эксперты, включая меня, говорили днями и ночами! У нас страна разгильдяев! Но сейчас не об этом.
Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как "Київенерго" и "Укренерго", думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.
На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Ситуация динамически развивается и мы будем освещать ее на своем сайте protecmaster.org. Некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее...
Теперь о технических деталях
Первые версии Petya были обнаружены существенно ранее. Однако на сегодняшний день в сети свирепствует новая модификация Petya. Пока что известно, что "Новый Petya" шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является "новинкой" в мире Ransomware, егу друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске (не всегда). Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.
В интренете уже были попытки написания дешифровщиков которые подходят только к старым версиям Petya. Так же уже написан бот, который мониторит оплаты (выкупы) за дешифрование файлов, зашифрованных Petya.
Однако, их работоспособность не подтверждена.
Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, "паническое нажатие кнопки выкл" я бы назвал это так.
Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим "sleep" ACPI S3 Sleep (suspend to RAM) , с отключением от интернета при любых обстоятельствах.
Личные предположения:
Вирус получил название "Petya" в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.
Инструменты:
На сайте мы создали новость, где уже выложили патчи от MicroSoft которые помогут защититься от шифровальщика. Там же будем выкладывать все найденные инструменты для дешифровки. Просим остальных экспертов и специалистов в области информационной безопасности присылать информацию на почтовый ящик [email protected] для эффективной коммуникации.
Также я думаю, это самая крупная в истории независимой Украины кибератака, которая будет обсуждаться и детально разбираться на нашем третьем международном форуме по кибербезопасности HackIT.
Список сайтов, подвергшихся кибератаке по категориям.
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК
Уже нашли способ остановить заражение! Пока что не дешифровальщик а только способ остановить заражение или не допустить его, подробности на сайте protectmaster.org
