Petya в Татарстане: вирус отключил компьютеры на «Казанькомпрессормаше»
«Кибервымогатель» оправил в каменный век всю «Группу ГМС», но в «Лаборатории Касперского» уверены, что виноваты сами админы
Petya уже в Казани. ИТ-беда не миновала предприятие «Казанькомпрессормаш» — третий день там не могут справиться с вирусом-шифровальщиком. Работа парализована и в головном офисе группы компании ГМС, в которую входит предприятие. Хакерская атака буквально отправила их в каменный век: вместо запроса по электронной почте там предлагают воспользоваться традиционной, а соединить по внутренней связи не могут из-за того, что все номера телефонов хранились в компьютере. Интересно, что жертвы кибератаки пользовались продуктами одной из ведущих лабораторий по компьютерной безопасности. Подробности — в материале «Реального времени».
Письмецо в конверте: вирус-вымогатель отправил предприятия в прошлый век
Вирус-вымогатель Petya, 27 июня атаковавший «Укрэнерго», ДТЭК и «Киевэнерго», «Роснефть», «Хоум кредит» (всего более 80 предприятий в России, на Украине и в Европе), не пощадил и машиностроителей из Казани. «Казанькомпрессормаш» третий день не может восстановить работу из-за хакерской атаки. Производство не пострадало, но работа офиса оказалась парализована. Ни один компьютер не работает. Ситуация доведена до абсурда — «Реальное время» не смогло получить официальный комментарий об ущербе, который нанес вирус «Казанькомпрессормашу» из-за того, что отдел писем физически не может принять запрос. Электронная почта не работает, направить письмо секретарь предприятия предложила традиционной почтой.
В прошлый век вирус-вымогатель отправил и АО «НИИтурбокомпрессор». Секретарь посетовала, что компьютеры не работают «уже несколько дней», в связи с этим здесь вспомнили о существовании факса.
— Мы обесточили все электронные системы, сейчас наши инженеры проверяют насколько глубоким было поражение. Если нужно, они и в выходные поработают, чтобы в понедельник мы смогли начать работу, говорит Александр Харитонов, главный конструктор АО «НИИтурбокомпрессор».
По его словам, вирусная атака не парализовала деятельность НИИ, но притормозила и усложнила работу.
«Петя» добрался и до телефонной книжки
«Казанькомпрессормаш» и «НИИтурбокомпрессор» стали жертвами кибер атаки вместе с другими предприятиями входящими в АО «Группа ГМС» — всего 18 организаций, расположенных в России, Белоруссии, Германии и на Украине. Компьютеры были отключены 27 июня во второй половине дня.
«Группа ГМС была частично затронута глобальной хакерской атакой. Мы продолжаем оценивать ситуацию и предпринимаем все необходимые действия для минимизации вышеупомянутого негативного влияния», — говорится в сообщении на официальном сайте компании.
Выяснить объемы поражения и другие подробности хакерской атаки не представилось возможным по той же причине — компьютеры не работают. Более того, даже соединить корреспондента «Реального времени» по внутренней связи с сооветствующим отделом или специалистом, который мог бы прокомментировать ситуацию не смогли.
«Я не помню номеров внутренних телефонов», — робко ответила секретарь компании. На предложение посмотреть номера последовал тяжелый вздох и объяснение, что все данные хранятся в компьютере, который не работает.
«Лаборатория Касперского»: «Если этот модуль защиты был отключен администраторами, то происходило заражение»
Как стало известно «Реальному времени» пострадавшие «Казанькомпрессормаш» и «НИИтурбокомпрессор» мерами безопасности не пренебрегали, предприятие пользовалось продуктами «Лаборатории Касперского». Там отмечают, что «в большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher), но, видимо, защитить 100% пользователей не удалось.
— Современные антивирусы являются сложной, многокомпонентной системой защиты. В момент появления вируса его ловил компонент, отвечающий за блокировку по поведению программ. Если этот модуль защиты был отключен администраторами, то происходило заражение. Аналогичная ситуация с очень старыми версиями продуктов, которые просто не имеют этого компонента, — прокомментировал ситуацию «Реальному времени» руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.
По данным на 28 июня «Лаборатория Касперского» зафиксировала более 2 000 атак. В блогпосте компании говорится, что «вымогатель использует стандартную, надежную схему шифрования, поэтому расшифровка представляется маловероятной, если только не допущена какая-то мелкая ошибка в имплементации». По данным «Лаборатории Касперского» в биткойн-кошелек вымогателей за сутки в результате 24 транзакций поступило порядка 2,54 биткойна, это чуть меньше $6000.
Чтобы не стать жертвой кибермошенников в компании советуют использовать надежное антивирусное решение со встроенной защитой от программ-вымогателей, обновить Microsoft Windows и все стороннее ПО, крайне важно сразу же установить обновление MS17-010, не открывать вложения, полученные из сомнительных источников, создавать резервные копии ценных данных на внешних носителях и хранить их оффлайн.
Татнефть «жива», в полицию пострадавшие не обращались
Ранее СМИ сообщали о том, что вирус напал на еще одно татарстанское предприятие — на «Татнефть», однако в компании «Реальному времени» информацию опровергли. В МВД по РТ корреспонденту «Реального времени» сообщили: официальных жалоб на виртуального вымогателя «Петю» от предприятий республики и граждан пока не поступало. На всякий случай в полиции напоминают, что пострадавшим делать нельзя: ни в коем случае нельзя платить.
Напомним, что Petya распространяется через файлы, вложенные в сообщения электронной почты. Принцип действия вируса основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись — первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies.
После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1—2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.