Україну атакував вірус-шифрувальник Petya

Комп’ютерні мережі органів влади і комерційного сектору атаковані вірусом, схожим на WannaCry. Як Petya Ransomware потрапляє на комп’ютер та рекомендації щодо уникнення зараження.

27 червня, з 14:00, комп’ютерні мережі центральних органів влади зазнали масштабної хакерської атаки вірусом-шифрувальником під назвою «Petya», повідомляється на Урядовому порталі.

Зараженими стали системи Міністерства інфраструктури, Укртелекому, Укрпошти, «Нової пошти» та низки банківських установ.

Сервери Кабінету Міністрів України не постраждали, проте окремі персональні комп’ютери зазнали нападу. Майже 150 стратегічних для економіки країни підприємств, мережі яких підключені та контролюються фахівцями Державної служби спецзв’язку (ДССЗІ), в тому числі АЕС та підприємства, пов'язані з забезпеченням  безпеки держави, також не постраждали.

Ввечері фахівці Державної служби спеціального зв’язку та захисту інформації України заявили, що ситуацію було взято під контроль.

«Жоден державний е-ресурс, який захищено спільним контуром кіберзахисту, реалізованим Держспецзв’язку в Системі захищеного доступу до Інтернету, не постраждав. Не зазнали ушкоджень чи інших несанкціонованих дій і електронні державні реєстри країни», - зазначають у Держспецзв’язку.

Petya Ransomware використовує ту ж вразливість, що і WannaCry (WanaCrypt0r), вказують у Команді реагування на комп’ютерні надзвичайні події України (CERT-UA).

Вірус може потрапити у комп’ютер, як приклад, з прикріпленого до електронного листа документа Word. При відкритті такого документу завантажується xls-файл, який містить обфускований javascript-код, і завантажує виконуваний файл, який, в свою чергу, використовується в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware. Надалі в планувальник задач встановлюється команда на перезапуск системи, а після перезавантаження на інфікований комп’ютер приходить фейковий chkdsk (утиліта для перевірки диска).

У CERT-UA рекомендують:

1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.

3. Установити офіційний патч MS17-010.

4. На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.

5. В разі інфікування персонального комп’ютера не перезавантажувати систему (а швидко скопіювати важливі дані на змінний носій, - ред.).

6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

8.  Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec (ці програми дуже рідко зможуть допомогти, - ред.).

OstanniPodii.com