1. Кібератака на Україну: Як вірус блокував комп'ютери
2. Кібератаку на Україну організували з РФ?
3. Кібератаку приурочили Дню Конституції

Сьогодні, 27 червня, Україна піддалася вірусної кібератаці. Модифікований вірус WannaCry під назвою Petya.A заблокував комп'ютери ряду державних установ і приватних компаній, в тому числі IT-інфраструктуру Кабінету міністрів. За попередніми даними атака готувалася не менше місяця. Користувачі отримували листи, зашифровані під ділову переписку, в яких знаходився вірус. У його коді була дана команда запуститися саме 27 червня об 11 годині дня. У кіберполіції рекомендують користувачам відключити комп'ютери і не користуватися ними протягом декількох днів, поки не будуть дані рекомендації, як уберегтися від вірусу-здирника. В СБУ припускають, що кібератака була організована з Росії або тимчасово непідконтрольних територій, так званих «ДНР» і «ЛНР». Політологи не виключають, атака може бути приурочена до Дня Конституції України. Її запустили напередодні свята, так як у вихідний день вона могла б бути менш помітною для українців.

Кібератака на Україну: Як вірус блокував комп'ютери

Сьогодні, 27 червня, о 11 годині була розпочата кібератака на Україну. За інформацією народного депутата, радника глави МВС Антона Геращенко, злочинці використовували модифіковану під Україну версію вірусу WannaCry - Cryptolocker з іронічною назвою Petya.A. Він повідомив, листи містять вірус, приходили поштою за кілька днів або тижнів до сьогоднішньої атаки. Геращенко вважає, що кібератака готувалася не менше місяця.

Читайте також: Вірусна атака на найбільші компанії України: Зламано система банків. Список, Подробиці

Нардеп розповідає, листи приходили російською або українською мовами. В основному їх маскували під резюме. У поліції додають, найчастіше їх отримували співробітники кадрових відділів. До листа від здобувача додавалася посилання на повне портфоліо, файл якого розміщувався на Dropbox. Але замість нього за посиланням було malware (шкідливе програмне забезпечення) - файл application_portfolio-packed.exe. У свою чергу експерт з кібербезпеки Віталій Якушев відзначив, що вірус маскувався під вордовскіе файли або файли з розширенням .exe. Він називався або за назвою резюме, або як документ для бухгалтерів або співробітників відділів кадрів. Зараз проводиться детальне розслідування шляхів зараження комп'ютерів.

Геращенко каже, недосвідчені користувачі відкривали листи, переходили по посиланнях і заражали вірусом комп'ютер. У програмному коді вірусу була закладена дата запуску: 27 червня в 11:00.

За словами експертів, запуск .exe файлу призводить до падіння системи в "синій екран" і подальшої перезавантаження. Після цього з'являється екран блокування Petya. Вимагачі повідомляють, що всі файли комп'ютера зашифровані і вимагають 300 доларів в біткоіни за код, який дозволить розблокувати його роботу. Через тиждень сума подвоюється. Крім цього, вимагачі вимагають надати інформацію про електронні гаманцях користувача. Втім, експерти радять не платити за відновлення роботи, вони сумніваються, що шахраї вишлють код, який розблокує комп'ютер.

Експерти кажуть, вірус поширюється дуже швидко. Під загрозою комп'ютери, які працюють на платформі Windows.

Кібератаку на Україну організували з РФ?

У Службі безпеки заявили, хакерська атака на Україну організована за межами країни. За словами прес-секретаря СБУ Олени Гітлянська, у відомстві припускають, що кібератаки організовані з території Росії або з окупованих територій Донбасу. В СБУ заявили, основні атаки були здійснені на банківську сферу. Це наймасовіша кібератака на Україну.

За інформацією секретаря Ради національної безпеки і оборони Олександра Турчинова, Національний координаційний центр кібербезпеки працює по протоколу швидкого реагування.

Фахівці з кібербезпеки СБУ і Національної поліції працюють на ключових інфраструктурних об'єктах України з метою допомогти системним адміністраторам якомога швидше відновити роботу комп'ютерних мереж, повідомив Геращенко. У МВС в свою чергу додали, фахівці СБУ, Держспецзв'язку, Департамент кіберполіції, представники антивірусних лабораторій проводять роботи по вивченню зразків шкідливого програмного забезпечення і відпрацьовують шляхи його нейтралізації.

Найближчим часом будуть оброблені та надані рекомендації щодо захисту від вищезгаданої атаки, до цього часу співробітники кіберполіції радять користувачам вимкнути комп'ютери, щоб не наражатися на небезпеку блокування їх роботи.

Таку пораду називає, як мінімум дивним, політолог Юрій Романенко. За його словами, експерти повинні були б порадити не відкривати листи від невідомих користувачів, але не вимикати комп'ютери на кілька днів.

У той же час в СБУ вже оприлюднили перші рекомендації користувачам, які підозрюють, що могли стати жертвами вірусу. По-першу чергу експерти радять не перезавантажувати комп'ютер, так як вірус спрацьовує при перезавантаженні і зашифровує всі файли, що містяться на комп'ютері. Крім цього в СБУ радить встановити актуальні патчі для системи Windows і користуватися антивірусником Eset.

Кібератаку приурочили Дню Конституції

За інформацією політолога Олексія Голобуцького, ймовірно кібератака на Україну була присвячена Дню Конституції, який в країні відзначатимуть завтра. Експерт вважає, оскільки 28 червня вихідний день, атаку вирішили провести напередодні, щоб її точно відчули і помітили українці.

Геращенко називає кібератаку найпотужнішою, але не останньою. За його словами, в умовах ведення гібридної війни потрібно бути готовими до таких викликів. Він теж вважає, що хакерська атака на Україну була приурочена до Дня Конституції. Народний депутат додає, що кінцева мета таких дій - це дестабілізація ситуації в економіці і суспільній свідомості України. Деякі підприємці вже заявили, що сьогоднішня атака завдала істотної шкоди економіці країни.

Варто відзначити, що за офіційними даними зазнали атаки і великі россйіскіе компанії. На даний момент під атакою виявилися:

«Роснефть»
НПЗ «Роснефть» Рязань
«Башнефть»
НПЗ «Башнефть»
«Башнефть - видобуток»
Хоум кредит
Damco (російські та європейські підрозділи)
Аеропорт «Бориспіль»
Запоріжжяобленерго
Дніпроенерго
Дніпровська електроенергетична система
Харківгаз
Ощадбанк
ПриватБанк
Нова Пошта
Київський метрополітен
Чорнобильська АЕС
Ашан
Київстар
LifeCell
Укртелеком
Nivea
Mars
Mondelēz International
Maersk
Епіцентр
Космо
ОТР
Автозаправки Shell, WOG, Klo, ТНК

Також постраждали держструктури:
Кабінет міністрів України, Міністерство внутрішніх справ, Міністерство культури, Міністерство фінансів, Нацполіція (і регіональні сайти), кіберполіції, КМДА, Львівська міська рада, Міненерго, Нацбанк

Попередній аналіз коду вірусу показав можливість захистити комп'ютер від зараження вірусом WannaCry \ Petya.A шляхом ручного створення файлу C: \ Windows \ perfc.dll Наприклад за допомогою стандартного Блокнота.

Якщо комп'ютерам вже заражений і користувач бачить «синій екран смерті Windows», комп'ютер самостійно починає перезавантажуватися з запуском утиліти Check Disk, необхідно терміново відключити його харчування. У цьому випадку дані на жорсткому диску не будуть зашифровані.

Дані з жорстких дисків, зашифрованих старим вірусом Petya, відновлювалися в такий спосіб: www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released

Дешифратор для старої версії Petya був опублікований на Github: github.com/leo-stone/hack-petya

Дешифратора для останньої версії Petya.C ще немає.

За попередніми даними з джерел в кіберполіції одним із шляхів зараження фінансових IT систем стали оновлення пакету для документообігу Медок - "MEDoc" (http://www.me-doc.com.ua/).

Повні рекомендації від Служби Безпеки України щодо захисту комп'ютера від вірусу-здирника .

Жертви вірусної епідемії від Kaspersky Lab

За останніми даними жертвами атаки стали і комерційні системи Естонії.

Антикорупційний інформаційно-аналітичний портал job-sbu.org