Petya в Татарстане: вирус отключил компьютеры на «Казанькомпрессормаше»

Письмецо в конверте: вирус-вымогатель отправил предприятия в прошлый век

Вирус-вымогатель Petya, 27 июня атаковавший «Укрэнерго», ДТЭК и «Киевэнерго», «Роснефть», «Хоум кредит» (всего более 80 предприятий в России, на Украине и в Европе), не пощадил и машиностроителей из Казани. «Казанькомпрессормаш» третий день не может восстановить работу из-за хакерской атаки. Производство не пострадало, но работа офиса оказалась парализована. Ни один компьютер не работает. Ситуация доведена до абсурда — «Реальное время» не смогло получить официальный комментарий об ущербе, который нанес вирус «Казанькомпрессормашу» из-за того, что отдел писем физически не может принять запрос. Электронная почта не работает, направить письмо секретарь предприятия предложила традиционной почтой.

В прошлый век вирус-вымогатель отправил и АО «НИИтурбокомпрессор». Секретарь посетовала, что компьютеры не работают «уже несколько дней», в связи с этим здесь вспомнили о существовании факса.

— Мы обесточили все электронные системы, сейчас наши инженеры проверяют насколько глубоким было поражение. Если нужно, они и в выходные поработают, чтобы в понедельник мы смогли начать работу, говорит Александр Харитонов, главный конструктор АО «НИИтурбокомпрессор».

По его словам, вирусная атака не парализовала деятельность НИИ, но притормозила и усложнила работу.

«Петя» добрался и до телефонной книжки

«Казанькомпрессормаш» и «НИИтурбокомпрессор» стали жертвами кибер атаки вместе с другими предприятиями входящими в АО «Группа ГМС» — всего 18 организаций, расположенных в России, Белоруссии, Германии и на Украине. Компьютеры были отключены 27 июня во второй половине дня.

«Группа ГМС была частично затронута глобальной хакерской атакой. Мы продолжаем оценивать ситуацию и предпринимаем все необходимые действия для минимизации вышеупомянутого негативного влияния», — говорится в сообщении на официальном сайте компании.

Выяснить объемы поражения и другие подробности хакерской атаки не представилось возможным по той же причине — компьютеры не работают. Более того, даже соединить корреспондента «Реального времени» по внутренней связи с сооветствующим отделом или специалистом, который мог бы прокомментировать ситуацию не смогли.

«Я не помню номеров внутренних телефонов», — робко ответила секретарь компании. На предложение посмотреть номера последовал тяжелый вздох и объяснение, что все данные хранятся в компьютере, который не работает.

«Лаборатория Касперского»: «Если этот модуль защиты был отключен администраторами, то происходило заражение»

Как стало известно «Реальному времени» пострадавшие «Казанькомпрессормаш» и «НИИтурбокомпрессор» мерами безопасности не пренебрегали, предприятие пользовалось продуктами «Лаборатории Касперского». Там отмечают, что «в большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher), но, видимо, защитить 100% пользователей не удалось.

— Современные антивирусы являются сложной, многокомпонентной системой защиты. В момент появления вируса его ловил компонент, отвечающий за блокировку по поведению программ. Если этот модуль защиты был отключен администраторами, то происходило заражение. Аналогичная ситуация с очень старыми версиями продуктов, которые просто не имеют этого компонента, — прокомментировал ситуацию «Реальному времени» руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.

По данным на 28 июня «Лаборатория Касперского» зафиксировала более 2 000 атак. В блогпосте компании говорится, что «вымогатель использует стандартную, надежную схему шифрования, поэтому расшифровка представляется маловероятной, если только не допущена какая-то мелкая ошибка в имплементации». По данным «Лаборатории Касперского» в биткойн-кошелек вымогателей за сутки в результате 24 транзакций поступило порядка 2,54 биткойна, это чуть меньше $6000.

Чтобы не стать жертвой кибермошенников в компании советуют использовать надежное антивирусное решение со встроенной защитой от программ-вымогателей, обновить Microsoft Windows и все стороннее ПО, крайне важно сразу же установить обновление MS17-010, не открывать вложения, полученные из сомнительных источников, создавать резервные копии ценных данных на внешних носителях и хранить их оффлайн.

Татнефть «жива», в полицию пострадавшие не обращались

Ранее СМИ сообщали о том, что вирус напал на еще одно татарстанское предприятие — на «Татнефть», однако в компании «Реальному времени» информацию опровергли. В МВД по РТ корреспонденту «Реального времени» сообщили: официальных жалоб на виртуального вымогателя «Петю» от предприятий республики и граждан пока не поступало. На всякий случай в полиции напоминают, что пострадавшим делать нельзя: ни в коем случае нельзя платить.

Напомним, что Petya распространяется через файлы, вложенные в сообщения электронной почты. Принцип действия вируса основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись — первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1—2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.