Сьогодні вранці до мене звернулися мої клієнти з панічним криком "Микита, у нас все зашифровано. Як це сталося?". Це була велика компанія 1000+ машин, з останніми оновленнями ліцензійного Windows, налаштованим файрволом, порізаними правами для користувачів і антифішинг фільтрами для поштовиків.
Через годину подзвонили представники іншої великої компанії, у них теж все зашифровано, під 2000 машин. Атака почалася з великих бізнес структур та вже годину або два тому я дізнався, що "Ощадбанк", "Укрпошта", "ТАСКомерцбанк", "ОТР банк" під атакою (повний список нижче)
Що трапилося?
Те, про що всі кібер експерти, включаючи мене, говорили днями і ночами! У нас країна нехлюїв! Але зараз не про це.
Український кібер сегмент піддався черговій атаці, на цей раз Ransomware шифрувальники Petya і Misha стали шифрувати комп'ютер великих українських підприємств, включаючи критичні об'єкти інфраструктури, такі як "Київенерго" і "Укренерго", думаю, за фактом, їх в тисячі разів більше, але чиновники як зазвичай будуть про це мовчати, поки у вас не згасне світло.
На даний момент темпи поширення вірусу виявилися настільки швидкі, що державна фіскальна служба відключила всі комунікації з інтернетом, а в деяких важливих державних установах працює тільки закритий урядовий зв'язок. За моєю особистою інформацією, профільні підрозділи СБУ і кіберполіції вже переведені в екстрений режим і займаються даною проблемою. Ситуація динамічно розвивається і ми будемо висвітлювати її на своєму сайті protecmaster.org. Деякі сайти і сервіси можуть бути відключені в якості превентивного заходу боротьби із зараженням. Зашифровані не тільки великі компанії, але і банкомати разом з цілими відділеннями банків, телевізійні компанії і так далі ...
Тепер про технічні деталі
Перші версії Petya були виявлені істотно раніше. Однак на сьогоднішній день в мережі лютує нова модифікація Petya. Поки що відомо, що "Новий Petya" шифрує MBR завантажувальний сектор диска і замінює його своїм власним, що є "новинкою" в світі Ransomware, ЄГУ один #Misha (назва з Інтернету) який прибуває трохи пізніше, шифрує вже всі файли на диску ( не завжди). Петя і Міша не нові, але такого глобального поширення не було раніше. Постраждали і досить добре захищені компанії. Шифрується все, включаючи завантажувальні сектора (оригінальні) і Вам залишається тільки читати текст вимагача, після включення комп'ютера. Поширюється цей вірус з використанням останніх, імовірно 0day вразливостей.
У інтренет вже були спроби написання дешифровщиков які підходять тільки до старих версій Petya. так само вже написаний бот , Який моніторить оплати (викупи) за дешифрування файлів, зашифрованих Petya.
Однак, їх працездатність не підтверджена.
Проблема так само полягає в тому, що для перезапису MBR Петі необхідне перезавантаження комп'ютера, що користувачі в паніці успішно і роблять, "панічний натискання кнопки викл" я б назвав це так.
З діючих рекомендацій станом на 17 годин 27 червня, я б порадив НЕ вимикати комп'ютер, якщо виявили шифрувальника, а переводити його в режим "sleep" ACPI S3 Sleep (suspend to RAM), з відключенням від інтернету за будь-яких обставин.
Особисті припущення:
Вірус отримав назву "Petya" в честь президента України Петра Порошенка і найбільш масовий сплеск зараження спостерігається, саме в Україні і саме на великих і важливих підприємствах України.
Інструменти:
На сайті ми створили новина , Де вже виклали патчі від MicroSoft які допоможуть захиститися від шифрувальника. Там же будемо викладати всі знайдені інструменти для дешифрування. Просимо інших експертів і фахівців в області інформаційної безпеки надсилати інформацію на поштову скриньку [email protected] для ефективної комунікації.
Також я думаю, це найбільша в історії незалежної України кібератака, яка буде обговорюватися і детально розбиратися на нашому третьому міжнародному форумі з кібербезпеки HackIT .
Список сайтів, які зазнали кібератаки за категоріями.
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Південний, ОТР банк, Кредобанк.
Транспорт: Аеропорт «Бориспіль», Київський метрополітен, Укрзалізниця
ЗМІ: Радіо Ера-FM, Football.ua, СТБ, Інтер, Перший національний, Телеканал 24, Радіо «Люкс», Радіо «Максимум», «КП в Україні», Телеканал АТР, «Корреспондент.нет»
Великі компанії: «Нова пошта», «Київенерго», «Нафтогаз України», ДТЕК, «Дніпроенерго», «Київводоканал», «Новус», «Епіцентру», «Арселлор Міттал», «Укртелеком», «Укрпошта»
Мобільні оператори: Lifecell, Київстар, Vodafone Україна,
Медицина: «Фармак», клініка Борис, лікарня Феофанія, корпорація Артеріум,
Автозаправки: Shell, WOG, Klo, ТНК
Вже знайшли спосіб зупинити зараження! Поки що ні дешифрувальників а тільки спосіб зупинити зараження або не допустити його, подробиці на сайті protectmaster.org
Як це сталося?