Спец Україна

27 июня 2017 г. Атака вируса PetyaRansomware на Украину

~ 11.00:
… корпоративные компьютеры по всей Украине были атакованы вирусом;
… в результате – легли компьютеры в 200 компаниях по всей стране;
… в том числе – легли компьютеры “Укртелекома”, “Укрэнерго”, “Киевэнерго”, “Новой пошты”;
… также – легли компьютеры Борисполя, медиахолдинга “Люкс”, “Укрпошты”;
… также – легли компьютеры Ощадбанка и ещё нескольких банков;
… ?! атаке подверглись компьютеры всех банков, но большинство атак было отбито;

.. вирус:
… проникал в компьютер и шифровал имеющуюся там информацию;
… в результате – работа компьютера и всех служб оказывалась заблокирована;
… после этого на экран выводилось сообщение с требованием выкупа в $300;
… при этом – компьютер не разблокировался даже после уплаты выкупа;

.. также – вирус атаковал ряд компаний в РФ:
… в РФ пострадали Башнефть, Роснефть, Татнефть, Nivea [косметика];
… также – пострадали шоколадные компании Mars и Mondelez International;
… также – заблокирован сайт Магнитогорского металлургического комбината;
… также – были атакованы системы Банка России и ряда коммерческих банков;

– Reuters:
— вирус также атаковал компьютеры в Нидерландах, Дании, Австралии, Индии;
— компьютеры Nivea и Mondelez International – атакованы по всему миру;
— пока неизвестно – тот же это вирус или нет;

~ 14.00:
… вирус атаковал компьютеры Уряда;

~ 14.30 /”Нова пошта”/:
— из-за вирусной атаки “Нова пошта” не может обслуживать клиентов;
— мы делаем всё возможное, чтобы исправить ситуацию;

~ 15.25 /вице-премьер Розенко/:
— та-дам! у нас [в Кабмине] сеть легла, по ходу!
— все копмы Кабмина показывают чёрный экран;

~ 15.50 /журналист Яковина/:
— 24 канал тоже пострадал от вирусной атаки;

~ 16.10 /Тракало, голос Нацполиции/:
— нам пришло уже 22 заявления по факту поражения персональных компьютеров;
— вирус поражает компьютеры как госконтор, так и частных компаний;
— в том числе – от вируса пострадал один из мобильных операторов Украины;
— по нашим данным – вирус использует слабости Windows, а именно – протокол SMB;
— после получения заявлений киберполицейские выезжают и ликвидируют последствия;
— нами заведено дело по статье 361 ККУ;

~ 16.40 /Саваневский, глава УКМЦ/:
я бы поставил двойку киберполиции и СБУ – за коммуникацию;
— с самого начала атаки они должны были вещать, что всё под контролем;
— и отдельно “молодец” Розенко – с его “всё пропало, весь Уряд лежит!”;
— [УКМЦ – Украинский кризисный медиацентр];

~ 16.54 /Золотухин, замглавы Мининформполитики/:
— за последние два месяца мне в министерство пришло 7 фишинговых писем – якобы от НАБУ и ДФС;
— я отправлял их в корзину; но можно предположить, что другие – кликали на них;
— когда вирус проник в достаточное количество компьютеров – пошла команда на атаку;
— [фишинговые письма – поддельные электронные письма, содержащие вирус];


пример фишингового письма – якобы от ДФС

~ 17.00:
лёг сайт Львовской облрады;

~ 17.00 /Нацбанк Украины/:
ряд банков Украины пострадал от атак неизвестного вируса;
— такие банки имеют сложности с обслуживанием клиентов и проведением операций;
— сейчас в банковском секторе усилены меры безопасности против хакерских атак;
— Нацбанк уверен – последствия атак на банковский сектор будут нейтрализованы;
— е-инфраструктура Нацбанка, в том числе межбанковские платежи, – работает в обычном режиме;

~ 17.00 /пресс-служба Уряда/:
— на данный момент поражены компьютеры Мининфраструктуры, Укртелекома, Укрпошты;
— также – поражены компьютеры “Новой пошты” и ряда банковских структур;
— сервера Кабмина – не пострадали; но ряд компьютеров Уряда – были атакованы;
— вирус шифрует файловые системы;

~ 17.05 /СБУ/:
— атака произведена вирусом Ransomware; этот вирус не новый, но модифицированный;
— по предварительным оценкам – заражение компьютеров в Украине было спланировано и шло поэтапно;
— сейчас СБУ, ДССЗИ и Департамент киберполиции изучают то, как вирус попадает в компьютеры;
— также – мы изучаем способы нейтрализации вируса;
— [ДССЗИ – Держслужба спецсвязи и защиты информации Украины];

~ 17.30 /техподдержка ПриватБанка/:
— мы авторитетно заявляем – [вирусов у нас нет] у нас всё @@@енно!

~ 17.35 /”Нова пошта”/:
мы восстановили работу сайта, Личного кабинета и системы API;
— наша IT-команда борется за восстановление полноценной работы системы;
— 28 июня “Нова пошта” будет работать по субботнему графику;
— команда службы доставки – также будет обслуживать клиентов;
— для заполнения заявки – просьба использовать Личный кабинет;

~ 17.40 /Турчинов, глава РНБО/:
— первичный анализ вируса позволяет говорить про российский след;
— неслучайно кибератака совпала по времени с убийством полковника ГУР Шаповала;

~ 18.00 /Тракало, голос Нацполиции/:
— на данный момент – только в call-центр киберполиции пришло более 200 заявлений об атаках;

~ 18.25 /пресс-служба Уряда/:
более 150 стратегических предприятий удалось сохранить от кибератаки;
— АЭС и предприятия, связанные с безопасностью государства, – НЕ пострадали;

~ 19.00 /”Лаборатория Касперского” [РФ]/:
— природа вируса пока что не определена; мы её выясняем;
— одни считают – что это модификация Petya; другие – что нет;
— третьи считают – что это WannaCry, что точно не так;
— [? портал РФ “Медуза” со ссылкой на Касперского: вирус – это точно не Petya];


магазин “Рост” в Харькове после атаки

~ 21.00 /центр киберзащиты CERD-UA/:
— вирус получил условное название PetyaRansomware;
— механизм распространения вируса – аналогичный тому, что был у WannaСry;
— вирус проникал на компьютеры через уязвимость CVE-2017-0199;
— через эту уязвимость на компьютер проникал файл hxxp://84.200.16.242/myguy.xls;
— после перезагрузки компьютера выводилось сообщение с требованием выкупа;
— рекомендации по очистке поражённого компьютера выложены на нашем сайте;
— также – обратите внимание на наши рекомендации по безопасности почтовых сервисов;
— [CERD-UA – команда реагирования на компьютерные ЧС в Украине];

~ 21.00 /киберполиция Украины/:
— главным источником переноса вируса стала программа документооборота M.E.doc;

~ 21.10 /компания M.E.doc/:
— наш сайт был сегодня атакован вирусом;
— однако – наша продукция не может быть распространителем вируса;
— наша продукция всегда тщательно проверяется антивирусниками;

~ 21.40 /Держслужба спецсвязи/:
— компьютеры были атакованы вирусом с условным названием PetyaRansomware;
— PetyaRansomware – вирус, аналогичный WannaCry, но модифицированный;
— на данный момент – ситуация взята [нами] под контроль;
— Цетр кибербезопасности РНБО активировал протокол быстрого реагирования;
— к протоколу подключились ДССЗИ, Нацбанк, СБУ, Нацполиция и другие институты;
— в результате – распространение PetyaRansomware на компьютерах госсектора удалось остановить;
— ни один государственный е-ресурс, защищённый контуром киберзащиты ДССЗИ, – не пострадал;
— электронные реестры Украины не пострадали и не были взломаны;
— на данный момент сайты Кабмина и ряда других госинститутов возобновили работу;
— замалчивание фактов кибератак – недопустимо! обнародование фактов атак – условие кибербезопасности!
— [ДССЗИ – Держслужба спецсвязи и защиты информации Украины];

~ 23.00 /Пилипец, директор компании “Национальные телевизионные системы”/:
— у компании Iнтер поражены вирусом десятки серверов;
— но перебоев в телевещании удалось избежать;

~ 23.00 /Миркасымов, глава отдела анализа вирусов компании IB-Group [РФ]/:
— модифицированную версию вируса Petya использовала группа хакеров Colbat [из РФ];
— Colbat использовала вирус для сокрытия атаки на банки по всему миру;

~ 23.10 /Золотухин, замглавы Мининформполитики/:
— компания IB-Group связана с ФСБ РФ;
— поэтому – их заявление может быть прикрытием для операции РФ против Украины;
— в РФ под атаку попали структуры Сечина [это означает конфликт Путина и Сечина];
— атака приурочена к Дню Конституции Украины; это вполне в стиле Путина;

~ 00.05 /киберполиция Украины/:
— мы не обвиняем компанию M.E.doc; мы лишь обнародуем имеющиеся факты; факты ещё надо проверить;

~ 01.10 /Стиран, глава IT-компании OWASP Kyiv/:
— важно – не платите вымогателям;
— Petya блокирует почту, так что ключ Вы не получите, даже если заплатите;
— эффективность антивирусов – под вопросом; надеяться на них очень сильно – не стоит;

~ 02.40 /киберполиция Украины/:
— установлено 2 пути заражения – это фишинг и использование M.E.doc;
— на данный момент расшифровать файлы, зашифрованные вирусом, – невозможно;
— мы работаем над тем, чтобы создать дешифратор.

— — —

Журналистика, даже независимая – должна что-то есть.
поэтому НАПОМИНАЕМ – вы все можете помочь СВОДКАМ.

ПРОСПОНСИРОВАТЬ ПРОЕКТ:
5168 7553 6990 2255 — “Приватбанк” на имя Бондаренко Анастасии

СВОДКА ПОДГОТОВЛЕНА

Автор: Илья С.
Корректор: Вета С.

! — собственные источники
? — информация не подтверждена
# — опровержения
[…] — пояснения и дополнения
/…/ — пояснения и дополнения в хроникальном режиме
~ — приблизительное время в хроникальном режиме
** — техническая информация СВОДОК

2 коментарі

Leave a Comment