Украину захватывает новый вирус-вымогатель. Пострадавшие есть по всей стране
Что случилось? Сегодня в полдень появилась информация, что на несколько украинских банков и инфраструктурных объектов была совершена хакерская атака. Позже появилась информация, что это вирус-вымогатель, который шифровал данные и требовал выкуп в размере $300 в биткоинах.
Следом стало известно о масштабах атаки. «Киевэнерго» (и ряд других облэнерго), «Нова Пошта», «Укрпошта», «Укрсоцбанк», «Укрзализныця», «Эпицентр», «24 канал», разные министерства страны, аэропорты, больницы, «Ощадбанк» и нескольких других банков по всей стране подверглись атаке. Сообщают, что по всей стране закрываются банковские отделения, не работают банкоматы некоторых банков, закрывают магазины. В редакцию AIN.UA уже написало несколько человек из небольших городов о том, что атака зацепила местные коммунальные предприятия. Всего атака затронула тысячи компьютеров по всей стране.
Информации о международных заражениях почти нет, только несколько сообщений из РФ.
Кто основные жертвы? Компьютеры на базе Windows. Сообщений о том, что были заражены компьютеры на базе других операционных систем нет.
А что за вирус? Хакерская атака очень похожа на ту, которая была связана с вирусом WCry: это вирус-вымогатель, который шифрует данные и просит $300 выкупа. В прошлый раз заражались компьютеры на базе Windows 7 и младше. Но пока никому не удалось подтвердить информацию о том, что это WCry. В сообщение Нова Пошта говорится, что вирус называется Petya.A, а издание Лига указывает, что это DOS/Petya.A. Еще в 2016 году об этом вирусе писало издание «Хакер». Как обычно, заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.
Пользователь Сергей Лукашевич рассказал, что еще вчера заметил рассылку, похожую на фишинговую, от якобы реальных компаний. В подобном действительно был замечен WCry, который рассылал письма от имени известных компаний, после чего вирус получал доступ к системе.
У меня дома компьютер на Windows, мне стоит бояться? Есть данные, что рассылка фишинговых писем шла только на корпоративные ящики. Но как сообщает компания ISSP, были случаи заражения домашних компьютеров.
Что делать? У нас есть несколько базовых рекомендаций от компании «БАКОТЕК»:
- блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
- на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
- на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
- блокировка SMB и WMI-портов. В первую очередь 135, 445;
- после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! — это действительно важно;
- не открывайте подозрительные письма и особенно вложения в них;
- принудительно обновите базу антивируса и операционные системы.
Пока это все, что известно на данный момент. Редакция следит за событиями.
Команда AIN.UA спільно з фондом Group 35 збирає 608 800 грн на мобільний діджитал-штаб для підрозділу 148 ОБР ДШВ. Штаб інтегрує системи роботизованої аеророзвідки та передає стріми на відеостіну. Це дозволяє командуванню ефективніше планувати операції, зберігаючи життя захисників та захисниць, і збільшуючи шанси місій на успіх. Більше деталей у Facebook AIN.UA.
Комментарии | 10
Редакция лучше бы не следила, а сообщила массам какая одна программа стоит на всех этих предприятиях и однозначно связывает все случаи заражения.
И почему ни российские, ни молдавские, ни киргизские предприятия (а не частные лица) не страдают от этой заразы.
1 С чтоле
копаем дальше — программа должна быть нашего, национального производителя
подсказка: https://ain.ua/2017/05/22/ukraincev-atakuet-novyj-virus-xdata
Что действительно надо делать если все таки заразились:
На самом деле ничего не шифруется, просто перезаписывается MBR и выводится страшная картинка. Ваши файлы в порядке. Восстановите MBR с установочного диска или флэшки с Windows — выберите режим восстановления системы и в консоли и введите три команды
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot
Если попалась версия которая на самом деле шифрует — youtube.com/watch?v=Xk2yvYv2_wY
Этот способ лучше использовать по-умолчанию
це старий спосіб, не працює, походу вірус модифікували
віддалений сервер, доступ був по терміналу, зараз доступ лише ipmi/kvm
Медок однозначно, в мене — доступ до сервера лише по впн, щоночі оновлення, права юзерів сильно обмежені, на сервері 1с та медок, якраз в 3 ночі оновив, видно користувачі запустили зранку ну і він відпрацював, зараза.
Кто еще не заразился — вот тулза, которая поможет не подцепить заразу https://www.talosintelligence.com/mbrfilter
https://youtu.be/eEZAQD6YeSU