Глобальная эпидемия вируса: аналог WannaCry добрался до Беларуси

Компьютеры десятков организаций в Украине и России подверглись атаке вируса-шифровальщика, похожего на WannaCry. Проблема затронула и белорусских пользователей — пока известно о единичных случаях заражений в нашей стране.

Украина и Россия — настоящая эпидемия

По предварительным данным, это вирус-вымогатель Petya.A. Зараженные компьютеры неожиданно перезагружаются, на экране появляется сообщение о том, что файлы на жестких дисках зашифрованы. Для их расшифровки якобы требуется отправить 300 долларов на адрес биткоин-кошелька.

Днем 27 июня стало известно, что вирус поразил компьютеры работников сетей «Укрэнерго» и ДТЭК — крупнейших энергетических компаний Украины. Позже хакерская атака затронула компьютеры в кабинете министров Украины, логистической компании «Нова Пошта», «Ощадбанке», «Укртелекоме», аэропорту «Борисполь», киевском метрополитене, Украинских железных дорогах и Чернобыльской АЭС.

В России о «мощной хакерской атаке» на свои серверы сообщила корпорация «Роснефть». Также заражение подтвердили в российских офисах компании Mondelez, банка «Хоум Кредит», представительства бренда Royal Canin и металлургической компании Evraz.

По данным криминалистической лаборатории Group-IB, от вируса пострадали более 80 компаний в России и Украине. Украинское издание AIN.UA оценило количество организаций-жертв в несколько сотен.

Также появились сообщения об атаках в других странах: в Литве, Испании, Португалии, Франции, Великобритании, Нидерландах, Дании и США.

В Беларуси — единичные случаи

Атака затронула и белорусов. В группе компаний «АЛЮТЕХ» подтвердили, что вирус заблокировал все компьютеры. По неподтвержденным данным, такой же вирус заметили на экране компьютера ОАО «Бобруйский машиностроительный завод».

Завод им. Ленина в Бобруйске 15 минут назад. Вроде как вся сеть. pic.twitter.com/Q2AqcCT7bU

— Солидный бобёр (@dmrlx) 27 июня 2017 г.

На самом заводе рассказали, что с компьютерами действительно есть проблема, но не смогли уточнить, какая именно. По словам специалиста, сейчас на предприятии работают над ее устранением.

«Обращения, касаемые подобных заражений, в наш адрес единичны, — сообщили в Национальном центре реагирования на компьютерные инциденты. — Волны
заражения данным шифровальщиком на территории нашей страны мы не
наблюдаем».

Что за шифровальщик?

Petya.A шифрует файлы пользователя, в результате чего их больше нельзя использовать.

Пока неизвестно, как именно вирус проникает на компьютеры. Обычно программы-вымогатели устанавливаются через документы, распространяемые по электронной почте. По данным сервиса VirusTotal scan, только 13 из 60 популярных антивирусов определяют Petya.A как вредоносный элемент.

Читайте также  На крымских курортах не будут практиковать курортный сбор

К 19.30 по минскому времени злоумышленникам заплатили 13 человек — это значит, что «авторы» вируса заработали около 3900 долларов. Платить злоумышленникам не следует: их почтовый адрес заблокирован, даже в случае оплаты выкупа они не смогут прислать ключ.

Скорее всего, вирус использует уязвимость Windows под названием EternalBlue. К такому выводу пришли эксперты антивирусных компаний Avira и Symantec. Считается, что этот эксплойт разработало Агентство национальной безопасности США, а в августе 2016 года его украли хакеры The Shadow Brokers.

Именно эту уязвимость использовал шифровальщик WannaCry, который атаковал тысячи компьютеров по всему миру в мае 2017 года. Максимум атак пришелся на Россию, Украину, Китай и Индию. В общей сложности заражения зафиксировали в 150 странах мира.

Как избежать заражения?

В «Лаборатории Касперского» рекомендуют включить все уровни антивирусной защиты и вручную обновить антивирусные базы. Также следует установить все обновления безопасности Windows (они доступны на официальном сайте Microsoft).

«В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite», — отмечают специалисты.

Эксперты компании Positive Technologies считают, что локально остановить шифровальщика можно, создав пустой файл без расширения с названием perfc в каталоге С:Windows. Для прекращения распространения вируса следует закрыть TCP-порты 1024−1035, 135 и 445, советует руководитель криминалистической лаборатории Group-IB Валерий Баулин.

Читайте также

Чернобыльская АЭС перешла на ручной мониторинг радиации из-за вируса-вымогателя

В Беларуси распространилась социальная сеть, которая обещает деньги за «лайки»

СБУ: вирусная атака на украинские компании может быть организована из России