Здравствуй, Petya, и до свидания! Вологодская область отделалась лёгким испугом в результате глобальной атаки нового компьютерного вируса-шифровальщика

Подведены итоги глобальной атаки вируса-вымогателя Petya, который поразил 27 июня компьютеры в России, на Украине, а также в Европе, в США и в Азии.

Его создатели заработали на этом почти 4 биткоина

Согласно записям блокчейна, на «кошелек» биткоинов 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, указанный вымогателями, на момент публикации заметки было переведено 3,99 биткоинов с помощью 45 транзакций. Цена 1 биткоина, по данным Coindesk, составляет на данный момент $2574,46. Таким образом, в пересчете по курсу Coindesk хакерам удалось заработать $10,3 тыс.

Сущие копейки в сравнении с теми убытками, которые понесли частные лица и корпорации из-за сбоев в своих компьютерах и сетях.

Жертвами масштабной кибератаки 27 июня стали компании и государственные структуры во многих странах мира. Вирус блокировал компьютерные системы компаний — на экранах компьютеров появлялось сообщение с требованием перевести на указанный кошелек сумму в биткоинах, эквивалентную $300. Однако больше всего пострадали компании на Украине и в России. По информации компании Group-IB (борьба с киберпреступностью), днем в минувший вторник пострадало более 100 компаний в СНГ, а к вечеру «Лаборатория Касперского» объявила, что счет жертв во всем мире идет на тысячи. Вирус распространяется в Windows-системах, но точный механизм его работы пока не известен, сообщил представитель «Доктора Веба». Microsoft известно о ситуации и корпорация проводит расследование, заявил представитель компании.

О хакерских атаках на свои системы заявили компании во Франции и Великобритании.

Не обошёл Petya стороной и Вологодскую область

Хотя, как удалось выяснить РБК, новый компьютерный вирус, поразивший информационные системы тысяч компаний по всему миру, компаниям региона нанёс минимальный ущерб.

В числе единичных пострадавших, о которых стало известно, — медицинская компания Invitro («Инвитро»), информационная инфраструктура которой подверглась кибератаке. Впрочем, как накануне сообщило «РИА Новости», утечки персональных данных клиентов удалось избежать.

РБК связался с вологодским представительством «Инвитро», расположенным на Ленинградской улице областного центра. В телефонном разговоре представители компании сообщили о том, что, действительно, накануне перестала работать база данных, приём новых посетителей временно приостановлен, операторы просят новых клиентов перезвонить позже. Лабораторное же оборудование не пострадало, работает в обычном режиме.

По словам представителя «Инвитро», сейчас уже информация восстановлена, идёт процесс настройки системы, который должен завершиться к концу завтрашнего дня.

«Мы со всей ответственностью заявляем, что персональные данные наших клиентов не пострадали и не достались злоумышленникам», — говорится в официальном сообщении компании.

Как известно, первым объектами атак вируса Petya стали нефтяные, металлургические компании и финансовые учреждения.

РБК Вологодской области связался с пресс-службой дивизиона «Северсталь Российская сталь», где нашему корреспонденту ответили, что хакерская атака компанию не затронула.

«В компании информационной безопасности уделяют значительное внимание. Помимо технических средств обеспечения безопасности, работаем над повышаем грамотность сотрудников в этой области. Например, в компании разработаны электронные обучающие курсы, в которых рассматриваются вопросы обеспечения безопасной работы с информацией в повседневной деятельности работников компании. (это полезный тезис в этой ситуации — потому что, судя по сообщениям СМИ, вирус распространился после открытия сотрудниками сомнительных ссылок в почте)», — говорится в официальном сообщении «Северстали».

Что касается банков, то нарушение работы из-за кибератаки пока подтвердил только российский «Хоум кредит банк» (ХКФ-банк). Банк подчеркнул, что заметил признаки нестабильности и решил провести проверку всех систем безопасности. Отделения ХКФ-банка были открыты, но работали в консультационном режиме, банкоматы и колл-центры продолжали работу. Сайт ХКФ-банка был недоступен, хотя банковские карты и банкоматы работали, платежи проходили.

Пример «Инвитро» и ХКФ-банка показывает, что на Вологодчине пострадали в основном подразделения (или франшизы) крупных федеральных компаний, объединенных общими сетевыми базами данных, по которым, собственно, вирус, попав в сеть через имеющуюся уязвимость, потом и распространялся.

Это уже второй случай глобальной атаки вируса-вымогателя за последние два месяца. В середине мая по всему миру прошла волна заражений шифровальщиком WannaCry. Вирус заражал компьютеры, не установившие обновление операционной системы Windows. В ходе хакерской атаки WannaCry поразил до 300 000 компьютеров более чем в 70 странах мира и зашифровал информацию на них, сделав ее недоступной для использования. В России были атакованы, в частности, «Мегафон» и МВД.

Одна из причин «популярности» шифровальщиков заключается в простоте бизнес-модели, объяснил «Ведомостям» главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, если вирусу удается проникнуть в систему, то шансов избавиться от него, не потеряв при этом личные данные, практически нет. Выкуп в биткоинах также играет мошенникам на руку: оплата происходит анонимно и ее почти невозможно отследить, объясняет он. Причем разблокировка компьютера после выплаты выкупа вовсе не гарантирована, отмечает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Изначально вирус идентифицировали как уже известный шифровальщик Petya, но вскоре эксперты разошлись в диагнозе. «Лаборатория Касперского» выделила его в отдельный штамм, представитель «Доктора Веба» вчера вечером считал его либо модификацией Petya, либо чем-то иным. Никитин думает, что речь идет о модификации Petya, которая распространяется в почтовой рассылке и для ее активации достаточно открыть вложение в пришедшем на почту письме. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет автор телеграм-канала «Сайберсекьюрити» Александр Литреев. Но способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы, отмечает представитель «Доктора Веба». К нашумевшему вирусу WannaCry новый вирус отношения не имеет, солидарны Никитин и Закоржевский. Однако самостоятельно расшифровать приглянувшиеся вымогателю файлы невозможно.

Уроки безопасности

Специалисты компании Symantec, специализирующейся на разработке программного обеспечения в области информационной безопасности, нашли простой способ защиты от вируса Petya.

Сотрудники Symantec, пишет ресурс 4pda. ru выяснили, что при заражении компьютера вирус ищет файл, расположенный по адресу «C:\Windows\perfc». Если такого файла нет, то вирус начинает шифрование данных, а если есть — просто прекращает свою работу.

Таким образом, чтобы защититься от вируса Petya пользователю достаточно просто создать соответствующий файл на своём компьютере. Для этого зайдите в папку «Windows» на системном диске «(C:)», нажмите в любом пустом месте правой кнопкой мыши, а затем в появившемся контекстном окне выберите пункт «Создать» и создайте файл с именем «perfc» без расширения. Для этой операции вам потребуются права администратора. Файл также можно создать в любой другой папке, а затем скопировать его в «Windows».

Ко всему прочему, представители Microsoft заявили, что встроенный в Windows «Защитник Windows» способен оградить пользователей от нового вируса, так как он использует некоторые уязвимости, которые ранее использовал вирус WannaCry. Причём компьютеры с Windows 10 и всеми последними обновлениями заражению не подвержены.

Поэтому, советуют профессионалы IT-безопасности, чтобы защититься от вируса, нужно, прежде всего, надо обновить Windows.

Если у вас старая версия операционной системы, установите обновления вручную (они есть здесь). Это спасет вас от распространения через уязвимости системы, потому что свежие обновления их починят. Если у вас есть антивирусное ПО, обновите сигнатуры. «Касперский» также советует скачать бесплатную утилиту для обнаружения вирусов-вымогателей.

Специалисты также рекомендуют запретить своему компьютеру связываться с некоторыми узлами в интернете — тогда Petya/exPetr не сможет скачать шифратор (список узлов здесь). Еще один способ снизить риск заражения — сделать вид, что компьютер уже заражен; для этого понадобится обычный «Блокнот» (в «Лаборатории Касперского» этот прием назвали «лечением пневмонии чесноком», однако специалисты Symantec рекомендуют им воспользоваться

Чтобы заражение не нарушило ваших планов (в случае, если оно произойдет), сделайте резервную копию данных. И ни в коем случае не отправляйте деньги злоумышленникам — очень часто это не помогает: почтовые ящики мошенников заблокированы, и получить ключ расшифровки вы просто не сможете.

И, кстати, эксперты сообщили о критической уязвимости к вирусам многих российских компаний. Компания Positive Technologies провела исследование, которое показало критически опасные уязвимости в IT-системах российских компаний, госструктур, банков. Атаковать их могут хакеры даже с минимальными знаниями.

Подготовил Сергей Михайлов
СамолётЪ