Кібератака, вірус Petya.A і до чого тут M.E.Doc
Як захистити себе від вірусу Petya.A, як виявити вірус Petya.A., що робити якщо вже заражені вірусом. Хто постраждав від кібертакаки вірусу Petya.A і до чого тут M.E.Doc (Для користувачів 1С як створити резервні копії програми — в кінці статті)
Отже, що сталось?
У вівторок, 27 червня, велика кількість українських компаній та державних установ піддалась атакам хакерів. Атака була здійснена за допомогою вірусу-здирникаWin32/Petya; це варіант вже відомого WannaCry, проте він витонченіший за свого попередника. Постраждали «Укренерго», ДТЕК, «Нова пошта», аеропорт Бориспіль, «Укрпошта» і київський метрополітен. Про проблеми в роботі комп’ютерної мережі повідомили і в Кабміні.
Вірус атакує комп’ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних.
Як повідомляє Microsoft у блозі компанії, хакерська атака почалася з України, а потім відбулася і в 64 інших країнах. Весь процес був запущений о 10.30 ранку 27 червня і до обіду загроза поширилася по всій Україні; всього були інфіковані 12,5 тисяч комп’ютерів.
Що робити, якщо ваш компютер постраждав або його інфіковано?
На сайтах Держспецзв’язку та команди CERT-UA опубліковано рекомендації щодо захисту комп’ютерів від кібератаки, а також з відновлення (лікування) комп’ютерних систем. Зокрема, «якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері», — пояснили експерти Держспецзв’язку та команди CERT-UA.
Рекомендації спеціалістів антивірусної компанії ESET для захисту від програм-шифрувальників читайте за цим посиланням, а від компанії Zillya — ось тут. Департамент кіберполіції України радить «оновлюватися і відключити протокол SMBv1″, а також відправляє за інструкціями на офіційний сайт компанії «Microsoft». Також у кіберполіції рекомендують встановити програмне забезпечення для захисту головного завантажувального запису (MBR) від внесення несанкціонованих змін. Наприклад, «Mbrfilter».
Поради щодо захисту комп’ютерів від кібератаки від СБУ дивіться тут.
Свої рекомендації також оприлюднили Фахівці з американської компанії з виробництва ПЗ в галузі інформаційної безпеки Symantec. Зазначається, що під час атаки вірус шукає на комп’ютері файл C: \ Windows \ perfc. Якщо такий файл вже існує, то вірус завершує свою роботу без зараження. Саме тому створення заздалегідь такого файлу застереже від його шкідливої дії.
Чи треба платити хакерам?
Ні! Станом на 29 червня 45 компаній перерахували 300 доларів у валюті біткойн інтернет-вірусу Petya.A. Це можна простежити по біткойн-гаманцю вимагачів. Перша транзакція була здійснена 27 червня в 12.48, тобто майже відразу після блокування. Остання — 28 червня в 11.51.Як повідомляють користувачі в соціальних мережах, ключ для розшифровки даних у відповідь ніхто не надіслав.
Розробник ProZorro і засновник ГО Електронна демократія Володимир Фльонц на своїй сторінці в Facebook застеріг користувачів платити вірусу: «Ще раз повторюю, якщо ви підхопили вірус Petya.A/C не намагайтеся заплатити здирникам, їх e-mail адреса вже заблоковано на рівні провайдера послуг. Це означає, що ваше підтвердження про оплату ніхто не отримає, а ви не отримаєте ключ для розшифровки «.
Хто винен?
Попередньо експерти Департаменту кіберполіції України встановили, що вірусна атака на українські компанії виникла через оновлення програми «M.E.doc.» (програмне забезпечення для звітності та документообігу). «Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: «upd.me-doc.com.ua» (92.60.184.55) за допомогою User Agent «medoc1001189», — йдеться у повідомленні Кіберполіції.
Щоправда, пізніше на ФБ-сторінці кіберполіції послідовно з`явилося ще три повідомлення:
- Варто додати, що зараження чезер M.E.doc — це лише один із векторів атаки. Фіксується також і фішинг.
- Звертаємо увагу, що ми не звинувачуємо компанію «M.E.doc», лише констатуємо виявлені факти, які слід детально перевірити.
- На теперішній час встановлено два основних способи ураження. Це «фішинг» та оновлення ПЗ «M.E.doc».
У вже згадуваному повідомленні у блозі Microsoft також підтвердили, що винен софт M.E.Doc. Спочатку такі дані в компанії вважали виключно непрямими, але більш детальне дослідження підтвердило заяву української кіберполіції.
Які дії правоохоронців?
Станом на 18:30 середи до call-центру Департаменту кіберполіції надійшло близько 200 заяв про ураження комп’ютерних систем державних і приватних організацій та окремих користувачів. За фактами втручання в роботу комп’ютерних мереж правоохоронці відкрили 23 кримінальні провадження за ст. 361 Кримінального кодексу України.
Також Департаменту кіберполіції України регулярно інформує про перебіг подій на своїй сторінці у Facebook. Останнє повідомлення датовано вечором середи: «Розробник ПЗ «M.e.doc» звернувся до Департаменту кіберполіціі з метою повного сприяння в розслідуванні фактів можливого ураження шкідливим програмним забезпеченням. Було проведено спільну робочу зустріч на рівні технічних спеціалістів».
Яка реакція ДФС?
У вівторок увечері ДФС заявила, що відключила некритичні елементи мережі у зв’язку з потужною кібератакою протягом 27 червня. «Приймання електронних документів (звітності, податкових накладних та інших) тимчасово призупинено з 18:00 год 27.06.2017. Всі електронні документи, що надійшли до ДФС до 18:00 будуть оброблені днем прийняття», — йдеться в заяві відомства. «Наразі ситуація з роботою комп’ютерної мережі ДФС контрольована, вживаються заходи для повної нейтралізації втручання», — повідомили в ДФС.
В середу також надійшла інформація від пресс-секретаря ДФС. «Всі бази даних цілі та не пошкоджені вірусом завдяки своєчасному відключенню. У четвер зранку всі сервіси будуть запущені. Ще раз нагадуємо, що всі документи, що надійшли до 18.00 27 червня, коли ДФС призупиноло приймання електронних документів, будуть оброблені днем прийняття», — повідомила вона.
А на Fb-сторінці ДФС міститься ось така інформація: «Завдяки своєчасно проведеним захисним заходам вірусна атака, яка відбулась 27 червня, не завдала шкоди базам даних ДФС.
Завтра зранку, 29 червня, всі сервіси ДФС, які з метою захисту були відключені, почнуть працювати у штатному режимі»
Що кажуть у команії «Інтелект-Сервіс» (M.E.doc)?
У вівторок на сайті компанії було розміщене коротке повдомлення: «На наші сервери здійснюється вірусна атака. Просимо вибачення за тимчасові незручності!». Більше новин на сайті немає, але компанія активно на сторінці у Facebook
Перший великий текст датовано 21 годиною вечора вівторка: «В списки пострадавших от кибератаки также попал и разработчик программного обеспечения M.E.Doc. Это стало причиной временной блокировки сервисов, в том числе и сервера обмена первичными документами. В настоящее время ведутся активные работы по восстановлению работоспособности всех сервисов… В соответствии с вышеперечисленными аргументами можем утверждать, что пользователи системы M.E.Doc не могут заразить свои ПК вирусами в момент обновления программы».
Стосовно інформації від Департаменту кіберполіції, компанія повідомила таке: «Хотим обратить Ваше внимание: M.E.Doc не распространял вирус, на сервере программы файла обновления, размером в 333Кб нет и не было. Всю необходимую информацию можем предоставить».
Реакція на блог від Microsoft: «в статье отсутствует обвинение программы M.E.Doc как источника заражения. Единственное, о чём говорит статья — это иллюстрация того, что программа M.E.Doc запущена на ранее заражённом компьютере, и соответственно, сама подверглась заражению».
Також вчора ввечері відбулася прес-конференція представників компанії, наразі ми очікуємо на офіційний прес-реліз.
Як працювати далі?
Податківці обіцяють, що «29 червня, всі сервіси ДФС, які з метою захисту були відключені, почнуть працювати у штатному режимі» — про це ми вже писали вище. А у вчорашніх коментарях на Fb сторінці M.E.Doc повідомлено, що Сота працюватиме в четвер у другій половині дня, а Медок — працює. «Сервер дистрибутиву програми та оновлень не постраждав», що б це не значило.
Не забувайте регулярно робити резервны копыъ цынних для вас данних. Якщо ви використовуэте програму 1С, то нагадую: 1С как сохранить базу (для версии 7.7) та Как сохранить 1С 8.0, 8.1, 8.2