Статья опубликована в № 4351 от 28.06.2017 под заголовком: Вымогатель добрался до «Роснефти»

Новый компьютерный вирус поразил информационные системы тысяч компаний по всему миру

Среди пострадавших нефтяники, банкиры, металлурги и кондитеры

Вчера началась эпидемия нового компьютерного вируса-шифровальщика. Главным образом он поразил работу российских и украинских организаций, но затронул и компании из других стран мира. Вирус предупреждает пользователей, что все их файлы зашифрованы, а попытки самостоятельного восстановления бесполезны. Вирус-вымогатель требует перевести $300 в криптовалюте биткоин в обмен за разблокировку доступа.

По информации компании Group-IB (борьба с киберпреступностью), днем пострадало более 100 компаний в СНГ, а к вечеру «Лаборатория Касперского» объявила, что счет жертв во всем мире идет на тысячи. Вирус распространяется в Windows-системах, но точный механизм его работы пока не известен, сообщил представитель «Доктора Веба». Microsoft известно о ситуации и корпорация проводит расследование, заявил представитель компании.

Атака на нефть

Днем крупнейшая российская нефтяная компания «Роснефть» в своем твиттер-аккаунте сообщила о мощной хакерской атаке на серверы компании, не уточнив подробностей. Один из сотрудников «Башнефти» (подконтрольна «Роснефти») на условиях анонимности рассказал «Ведомостям» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange – значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. Умер жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, сотрудники получили распоряжение выключить компьютеры. Информацию о том, что вирус поразил именно «Башнефть», подтвердили два источника, близких к компании. Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены, сообщил представитель «Роснефти».

Как избежать заражения

Чтобы не заразить компьютер вирусом, представитель «Доктора Веба» советует не открывать подозрительные письма, создавать резервные копии важных данных, устанавливать обновления безопасности для программного обеспечения и пользоваться антивирусом. Представитель «Лаборатории Касперского» также напоминает своим пользователям, чтобы они проверили, включен ли антивирус. Также с помощью программы AppLocker нужно заблокировать файл с названием perfc.dat, советует «Лаборатория Касперского». Чтобы остановить распространение вируса, компаниям необходимо закрыть TCP-порты (протокол распространения данных по сети) 1024-1035, 135 и 445, сообщили в Group-IB.

Новые жертвы

О заражении нескольких российских банков ближе к вечеру сообщил Банк России. Нарушение работы из-за кибератаки подтвердил российский «Хоум кредит банк» (ХКФ-банк). Банк подчеркнул, что заметил признаки нестабильности и решил провести проверку всех систем безопасности. Отделения ХКФ-банка были открыты, но работали в консультационном режиме, банкоматы и колл-центры продолжали работу. Сайт ХКФ-банка был недоступен. Корреспондент «Ведомостей» дважды оплатил услуги одного из сотовых операторов через интернет с карты ХКФ-банка.

Платежи прошли, протокол 3-D Secure не сработал – клиент банка не получил sms с кодом подтверждения операции. В российском офисе Royal Canin (подразделение компании Mars) возникли трудности с IT-системами, сообщил представитель компании. Хакерской атаке подвергся и Evraz, но основные производства продолжали работать и угрозы сотрудникам и предприятиям не было, сообщил представитель компании. Вирусная атака затронула офисы в Европе (включая Россию и Украину), подтвердила представитель компании – производителя кондитерских изделий Mondelez.

Мировое турне

Хотя в России и на Украине зафиксировано больше всего инцидентов, вирус действует и в других странах, сообщил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Вряд ли можно настроить самораспространяющийся вирус так, чтобы он затронул только отдельные страны, солидарен представитель «Доктора Веба».

Кибератаки были совершены одновременно в разных странах Европы, а с началом рабочего дня в США поступило несколько сообщений и оттуда, написало около 18.00 мск издание The Wall Street Journal. Датская судоходная компания A.P. Moller-Maersk, владелец крупнейшего в мире морского контейнерного перевозчика Maersk Line, сообщила, что перестали работать компьютерные системы во многих ее подразделениях и регионах. Кибератаке подверглись IT-системы нескольких компаний, входящих в британский рекламный конгломерат WPP Group. О нападении также сообщили крупная юридическая фирма DLA Piper и французская строительная компания Saint Gobain, представитель которой сказал Financial Times, что она «изолировала свои компьютерные системы с целью защиты данных».

Вирус пожелал остаться неизвестным

Это уже второй случай глобальной атаки вируса-вымогателя за последние два месяца. В середине мая по всему миру прошла волна заражений шифровальщиком WannaCry. Вирус заражал компьютеры, не установившие обновление операционной системы Windows. В ходе хакерской атаки WannaCry поразил до 300 000 компьютеров более чем в 70 странах мира и зашифровал информацию на них, сделав ее недоступной для использования. В России были атакованы, в частности, «Мегафон» и МВД.

Одна из причин «популярности» шифровальщиков заключается в простоте бизнес-модели, объяснял главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, если вирусу удается проникнуть в систему, то шансов избавиться от него, не потеряв при этом личные данные, практически нет. Выкуп в биткоинах также играет мошенникам на руку: оплата происходит анонимно и ее почти невозможно отследить, объясняет он. Причем разблокировка компьютера после выплаты выкупа вовсе не гарантирована, отмечает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Изначально вирус идентифицировали как уже известный шифровальщик Petya, но вскоре эксперты разошлись в диагнозе. «Лаборатория Касперского» выделила его в отдельный штамм, представитель «Доктора Веба» вчера вечером считал его либо модификацией Petya, либо чем-то иным. Никитин думает, что речь идет о модификации Petya, которая распространяется в почтовой рассылке и для ее активации достаточно открыть вложение в пришедшем на почту письме. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет автор телеграм-канала «Сайберсекьюрити» Александр Литреев. Но способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы, отмечает представитель «Доктора Веба». К нашумевшему вирусу WannaCry новый вирус отношения не имеет, солидарны Никитин и Закоржевский. Однако самостоятельно расшифровать приглянувшиеся вымогателю файлы невозможно.

В подготовке статьи участвовали Дарья Борисяк, Екатерина Бурлакова, Иван Песчинский и Полина Трифонова

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать