Вирус Petya.A парализовал работу украинского бизнеса. Что нужно о нем знать и как защититься?

Хакеры парализовали работу десятков украинских частных и государственных компаний. О заражении вирусом-шифровальщиком Petya.A уже сообщили в Кабинете Министров Украины, Национальном банке, «Укрзализныце», «Укрпочте», «Укрэнерго», аэропорту «Борисполь» и даже в киевском «Метрополитене». В числе атакованых – медиа-ресурсы«24 канал», «Комсомольская правда», «Корреспондент» и другие. Marketing Challenge подготовил краткую сводку информации, которая известна о вирусе и как с ним можно бороться.

Как вирус проникает в компьютер

Основной способ заражения компьютеров – это отправка писем по электронной почте с поддельным содержимым. Письмо от хакеров с виду ничем не отличается от типичной деловой переписки – это может быть письмо от соискателя работы, счет на оплату каких-либо услуг, либо же предложения пересмотреть условия договора. В каждом из случаев, пользователю предлагают скачать и запустить на компьютере исполняемый файл, например, с Dropbox.

По другой версии вирус мог распространяться через M.E.Doc, компьютерную программу для подачи налоговой отчетности.

Сразу же после запуска вирус маскируется под системный файл, записывается в автозагрузку и ждет определенного момента. В день Х компьютер пользователя перезагружается и при попытке перезагрузки появляется якобы системное сообщение, сообщающее о том, что диск поврежден и для его восстановления потребуется время. На самом деле, в это время вирус шифрует файлы пользователя.

Сразу же после перезагрузки, пользователь видит еще одно сообщение. На сей раз ему говорят, что восстановить файлы на компьютере можно только одним способом – заплатить $300 на указанный Bitcoin кошелек.

Восстанавливает ли вирус файлы после оплаты – пока неизвестно. На момент выхода материала злоумышленники получили на свой счет пять транзакций по $300.

Как защититься от вируса

Лучшая защита от вируса – знание общих основ компьютерной безопасности. А именно:

1. Не открывать вложения из писем от неизвестных отправителей.
2. Включить на компьютере отображение расширений файлов, и не открывать вложения с расширениями .exe, .vbs и пр.
3. Создавать архивные копии всех важных файлов. Если это не противоречит политике безопасности компании – хранить их на облачном диске.
4. При появлении сообщения об ошибке диска – выключить компьютер и обратиться к специалистам по компьютерной безопасности. Либо же попробовать восстановить систему при помощи загрузочного диска.
5. Иметь под рукой загрузочную флешку с образом Windows или Linux-подобных систем для быстрой загрузки компьютера.

В украинской киберполиции рекомендуют установить последние патчи для операционных систем, их можно скачать по этой ссылке.

IT-компания «Бакотек» выпустила следующую серию рекомендаций:

• блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
• на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
• на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
• блокировка SMB и WMI портов, в первую очередь 135, 445;
  после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
• не открывайте подозрительные письма и особенно вложения в них;
  принудительно обновите базу антивируса и операционные системы.

Что происходит в украинских компаниях прямо сейчас

Судя по реакции пресс-служб, в крупных компаниях не готовы к происходящему и сейчас пытаются понять, как им справиться со внезапно возникшей проблемой.

«В финансовом секторе усилены меры безопасности и противодействия хакерским атакам всех участников финансового рынка», – объясняют в пресс-службе Нацбанка. В «Ощадбанке» заявили, что вынуждены ограничить функционал услуг, предоставляемых клиентам. В пресс-службе «Киевэнерго» вынуждено отключили все компьютеры и ожидают на инструкции от службы безопасности, а «Новая почта» временно приостановила обработку посылок.

«Наши IT-службы пытаются совместными усилиями урегулировать ситуацию. В связи с внештатной ситуацией возможны задержки рейсов», – написал в Facebook генеральный директор аэропорта «Борисполь» Павел Рябикин.

Редакция Marketing Challenge продолжает следить за развитием событий.