Вірус петя колись зроблять роснефть. Роснефть зазнала атаки вірусу-шифрувальника Petya. Поширення у світі

Вірус-шифрувальник атакував комп'ютери десятків компаній у Росії та Україні, паралізувавши роботу зокрема державних структур, і почав поширюватися у світі

У РФ жертвами вірусу Petya - клону здирника WannaCry, який вразив комп'ютери по всьому світу в травні, - стали "Башнефть" і "Роснефть".

У "Башнафті" вірусом заражені всі комп'ютери, повідомило джерело в компанії "Ведомостям". Вірус шифрує файли і вимагає викупу в розмірі 300 доларів на гаманець биткоин.

"Вірус спочатку відключив доступ до порталу, до внутрішнього месенджера Skype for business, До MS Exchange, думали, просто мережевий збій, далі комп'ютер перезавантажився з помилкою. "Помер" жорсткий диск, наступне перезавантаження вже показало червоний екран", - розповіло джерело.

Практично одночасно про "потужну хакерську атаку" на свої сервери заявила "Роснефть". IT-системи та управління видобутком переведені на резервні потужності, компанія працює в штатному режимі, а "розповсюджувачі брехливих та панічних повідомлень нестимуть відповідальність разом з організаторами хакерської атаки", заявив ТАРС прес-секретар компанії Михайло Леонтьєв.

Сайти «Роснафти» та «Башнафти» не працюють.

Атаку було зафіксовано близько 14.00 мск, серед її жертв на даний момент 80 компаній. Крім нафтовиків постраждали представництва Mars, Nivea та Mondelez International (виробник шоколаду Alpen Gold), повідомила Group-IB, яка займається запобіганням та розслідуванню кіберзлочинів.

Також про атаку на свої ресурси повідомили металургійна компанія Evraz і банк Хоум Кредит, який був змушений призупинити роботу всіх своїх відділень. За даними РБК, не менше 10 російських банків звернулися у вівторок до фахівців із кібербезпеки у зв'язку з атакою.

В Україні вірус атакував комп'ютери уряду, магазини "Ашан", Приватбанк, операторів зв'язку "Київстар", LifeCell та "Укртелеком".

Під ударом опинилися Аеропорт "Бориспіль", Київський метрополітен, "Запоріжжяобленерго", "Дніпроенерго" та "Дніпровська електроенергетична система".

Чорнобильська АЕС перейшла на радіаційний моніторинг промислового майданчика ручному режимічерез кібератаки та тимчасове відключення системи Windows, повідомили "Інтерфаксу" у прес-службі Державного агентства з управління зоною відчуження.

Вірус-шифрувальник зачепив велика кількістькраїн по всьому світу, повідомив керівник міжнародного дослідницького підрозділу «Лабораторії Касперського» Костін Райю у своєму акаунті на Twitter.

За його словами, у нової версіївірусу, що з'явився 18 червня цього року, є підроблений цифровий підпис Microsoft.

О 18.05 мск про атаку на свої сервери оголосила данська судноплавна компанія A.P. Moller-Maersk. Крім Росії та України, постраждали користувачі у Великій Британії, Індії та Іспанії, повідомило Reuters з посиланням на Агентство. інформаційних технологійуряду Швейцарії.

Гендиректор ДК InfoWatch Наталія Касперська пояснила ТАРС, що сам вірус-шифрувальник з'явився понад рік тому. Він поширюється, в основному, через повідомлення фішингу і є модифікованою версією відомої раніше шкідливої програми. "Він об'єднався з деяким іншим здирником-вірусом Misha, який мав права адміністратора. Це була покращена версія, резервний шифрувальник", - розповіла Касперська.

За її словами, швидко побороти травневу атаку шифрувальника WannaCry вдалося через вразливість, що була у вірусі. "Якщо вірус такої вразливості не містить, то боротися із ним складно", - додала вона.

Масштабна кібератака із використанням вірусу-здирника WannaCry, що вразив понад 200 тисяч комп'ютерів у 150 країнах, сталася 12 травня 2017 року.

WannaCry шифрує файли користувача і для їх розшифровки вимагає оплату в біткоінах, еквівалентну 300 доларів.

У Росії атаці, зокрема, зазнали комп'ютерні системи міністерства внутрішніх справ, міністерства охорони здоров'я, Слідчого комітету, компанії РЗ, банків та операторів мобільного зв'язку.

За даними в британському Центрі кібербезпеки (NCSC), який очолює міжнародне розслідування атаки 12 травня, за нею стояли північнокорейські хакери з угрупування Lazarus, що пов'язане з урядом.

За матеріалами ЗМІ

27 червня світ постраждав від чергової хакерської атаки: вірус із знущально-легковажним ім'ям Petya заблокував комп'ютери в багатьох країнах, зажадавши за повернення доступу до баз даних компаній по 300 доларів. Зібравши близько 8 тисяч, «Петя» вгамувався, залишивши, втім, безліч питань.

Самий актуальний, звичайно - хто, звідки? За версією журналу Fortune – видання авторитетного – «Петя» прийшов до нас з України. До цієї точки зору схиляється німецька кіберполіція, і, що характерно, українська теж. «Петя» вийшов у великий світз надр української фірми «Інтелект-Сервіс» – розробника на замовлення найрізноманітнішого програмного забезпечення.

Зокрема, найбільшим замовником компанії є український оператор стільникового зв'язку Vodafone, відоміший як «МТС Україна» - так він і називався до 2015 року. А взагалі МТС є ключовим активом корпорації АФК «Система», володіє якою відомий Володимир Євтушенков. Чи не приклав бізнесмен руку до розробки та запуску «Петі»?

На думку «Версії», це більш ніж можливо. "Петя" вирушив на свою "велику дорогу" якраз напередодні засідання Арбітражного суду Башкирії, де розглядалися претензії "Роснефти" до АФК "Система" - колишньому власнику "Башнафти", яка перейшла в розпорядження найбільшої національної нафтової компанії. На думку "Роснефти", своїм управлінням Євтушенков та його топ-менеджмент завдали "Башнафти" збитків на 170 мільярдів рублів, відшкодування яких і вимагає по суду.

Суд, до речі, схильний повірити новому власнику, бо вже наклав арешт на 185 мільярдів рублів, які належать старому, зокрема, до речі, і на 31,76% акцій МТС. В результаті стан Євтушенкова «схуднув» майже наполовину, а нерви самого бізнесмена почали здавати все частіше. Чого тільки варта фальшива мирова угода, яка невідомо звідки надійшла до суду - позивач її, як з'ясувалося, в очі не бачив, не те, що підписувати.

Якщо з підмітними листами не вийшло, то наступний логічний крок - приховати докази сумнівних діянь відповідача, які йому інкримінуються. А докази ці зберігаються в комп'ютерах «Башнефти», що перейшли разом із рештою її майна до «Роснефти». Тож не варто сміятися над «Петею» – його творці не «грошей по-легкому зрубати» хотіли, а кінці підчистити.

І, загалом, розрахунок був непоганий. І українська компанія була обрана не випадково – де, як не в Україні, зав'яжуть усі офіційні запити, і збирання доказів зайде у глухий кут? І комп'ютерна система «Роснефти» похитнулася під хакерською атакою, але завдяки системі резервного копіювання, все ж таки вистояла, на що колишній власник ніяк не міг розраховувати - він, напевно, очікував, що в системі кіберзахисту його опонента повно проріх, як це було в "Башнафті" часів АФК "Система".

Тому, мабуть, і поспішили автори атаки розпустити чутки про те, що Роснафті довелося призупинити виробництво. Ні, виробництво не стало, але ці чутки вкотре свідчать про те, що творці «Петі» були в цьому зацікавлені. А на сьогоднішній день дискредитація «Роснефти» є пунктом перших на порядку денному структур Володимира Євтушенкова.

Детально

Крупним планом

В ініціативі Росгвардії щодо посилення покарання за незаконну приватну охоронну діяльність найцікавіше - не пропоновані санкції, а чітко визначений наймолодшою російською спецслужбою об'єкт докладання сили. Фактично, планується оголосити справжню війну багатоликою армією вахтерів та адміністраторів.

Тож тепер з'явився новий вірус.

Що за вірус і чи варто його боятися

Ось так він виглядає на зараженому комп'ютері

Вірус під назвою mbr locker 256 (який на моніторі називає себе Petya) атакував сервери російських та українських компаній.

Він блокує файли на комп'ютері і шифрує їх. За розблокування хакери вимагають $300 у біткоїнах.

MBR– це головна завантажувальний запис, код, необхідний наступного завантаження ОС. Він розташований у першому секторі пристрою.

Після включення живлення комп'ютера проходить процедура POST, що тестує апаратне забезпечення, а після неї BIOS завантажує MBR в оперативну пам'ятьза адресою 0x7C00 та передає йому управління.

Таким чином, вірус потрапляє в комп'ютер і вражає систему. Модифікацій шкідника існує багато.

Працює він під керуванням Windows, як і колишній зловред.

Хто вже постраждав

Українські та російські компанії. Ось частина зі всього списку:

«Запоріжжяобленерго»

«ДТЕК»

«Дніпровська електроенергетична система»

«Харківгаз»

«Київенерго»

«Київводоканал»

«Антонов»

«Київський метрополітен»

"Нова Пошта"

«Ашан»

«Епіцентр»

«ПриватБанк»

"ОщадБанк"

"Національний банк України"

Nivea

трійка мобільних операторів: «Київстар», LifeCell та «УкрТелеКом»

аеропорт «Бориспіль»

Роснефть

Багато компаній оперативно відбили атаку, але не все це зробити змогли. Через нього не працює частина серверів.

Банки що неспроможні здійснити через «Петі» низку фінансових операцій. Аеропорти відкладають чи затримують рейси. Метрополітен України не приймав безконтактні платежідо 15.00.

Щодо офісної техніки, комп'ютерів, вони не працюють. При цьому з енергосистемою, енергозабезпеченням жодних проблем немає. Це торкнулося лише офісних комп'ютерів (працюють на платформі Windows). Нам дали команду вимкнути комп'ютери. - Укренерго

Оператори скаржаться на те, що також постраждали. Але при цьому намагаються працювати для абонентів у штатному режимі.

Як захиститися від Petya.A

Для захисту від нього потрібно закрити на комп'ютері TCP-порти 1024-1035, 135 та 445. Це зробити досить просто:

Крок 1. Відкриваємо брендмауер.

Крок 2. У лівій частині екрану переходимо до «Правил для вхідних підключень».

Крок 3. Вибираємо "Створити правило" -> "Для порту" -> "Протокол TCP" -> "Певні локальні порти".

Крок 4. Пишемо «1024-1035, 135, 445», вибираємо всі профілі, клацаємо «Блокувати підключення» та скрізь «Далі».

Крок 5. Повторюємо дії для вихідних підключень.

Ну і друге – оновити антивірус. Експерти повідомляють, що необхідні оновленнявже з'явилися у базах антивірусного ПЗ.

Компанія «Роснефть» поскаржилася на потужну атаку хакерів на свої сервери. Про це компанія повідомила у своєму

За матеріалами ЗМІ

Самий актуальний, звичайно - хто, звідки? За версією журналу Fortune – видання авторитетного – «Петя» прийшов до нас з України. До цієї точки зору схиляється німецька кіберполіція, і, що характерно, українська теж. «Петя» вийшов у великий світ із надр української фірми «Інтелект-Сервіс» - розробника на замовлення різноманітного програмного забезпечення.

І, загалом, розрахунок був непоганий. І українська компанія була обрана не випадково – де, як не в Україні, зав'яжуть усі офіційні запити, і збирання доказів зайде у глухий кут? І комп'ютерна система «Роснефти» похитнулася під хакерською атакою, але, завдяки системі резервного копіювання, таки вистояла, на що колишній власник ніяк не міг розраховувати - він, напевно, очікував, що в системі кіберзахисту його опонента повно проріх, як це було у «Башнафті» часів АФК «Система».

Детально

Політолог Антон Бредіхін переконаний, що Росія має докласти всіх зусиль, щоб повернути наших співгромадян із Лівії. Йдеться про соціологів Фонду захисту національних цінностей Максима Шугалея та Самера Суейфана, затриманих у Тріполі в травні 2019 року. Вони досі перебувають у неофіційній в'язниці "Мітіга", звинувачення їм не пред'явлено.

ВСІ ФОТО

Вірусу-здирнику WannaCry прийшов на зміну такий же шифрувальник, але з менш хитромудрим назвою -
. Вдень 27 червня "Петя" атакував близько 80 організацій в Україні та Росії. Пізніше повідомлення про атаки хакерів надійшли з Європи та Індії. За попередніми даними, аналогічним вірусом-вимагачем було заражено комп'ютерні мережі в Нідерландах, Франції та Іспанії.

В Україні було вражено урядову мережу, у Росії - компанії "Роснефть", Mars, Nivea та інші. У Кремлі заявили, що їхній вірус не торкнувся. Тим часом Київ поклав відповідальність за атаку на російські спецслужби, назвавши те, що відбувається, елементом гібридної війни.

За даними Group-IB, вірус Petya.A блокує комп'ютери та не дає запустити операційну систему. За відновлення роботи та розшифровку файлів він вимагає викуп у розмірі 300 доларів у біткоїнах. Масштабна атака на нафтові, телекомунікаційні та фінансові компанії в Росії та Україні була зафіксована в районі 14:00 по Москві, передає ТАСС.

За даними "Лабораторії Касперського", шифрувальник використовує підроблений електронний підпис Microsoft. Технологія електронного підписувикористовується для того, щоб показати користувачам, що програма розроблена довіреним автором і гарантує, що не завдасть шкоди. У "Лабораторії Касперського" вважають, що вірус було створено 18 червня 2017 року.

Для припинення поширення вірусу в Group-IB рекомендують негайно закрити TCP-порти 1024-1035, 135 та 445.

Вірус Petya поширився по всьому світу

Експерти вже повідомили, що новий вірус-вимагач Petya поширився за межі СНД та вразив комп'ютерні мережі по всьому світу.

"Вірус Petya з контактною адресою [email protected]поширюється в усьому світі, величезна кількість країн торкнеться", - написав на своїй сторінці у Twitterкерівник міжнародної дослідницької команди "Лабораторії Касперського" Костін Райю.

Він уточнив, що Petya використовує підроблений цифровий підпис компанії Microsoft. За даними Райю, хакери-здирники вже отримали щонайменше сім платежів як викуп за повернення доступу до комп'ютерів, атакованих вірусом.

Журналісти агентства Reuters повідомляють, що атака хакерів поширилася і на країни Європи. Вірус-вимагач проник, зокрема, у комп'ютерні мережі Великобританії та Норвегії. Крім того, сліди Petya були виявлені і в Індії.

Віце-прем'єр України Павло Розенко на своїй сторінці у Facebook повідомив про те, що в секретаріаті уряду через невстановлену причину перестала працювати мережа. "Та-дам! Якщо що, то у нас теж мережа "лягла", походу! Таку картинку показують усі комп'ютери кабінету міністрів України", - написав він.

Національний банк України (НБУ) вже попередив банки та інших учасників фінансового сектора про зовнішню атаку хакерів невідомим вірусом. У НБУ також зазначили, що у зв'язку з кібератаками у фінансовому секторі України було посилено заходи безпеки та протидії хакерським атакам, повідомляється у прес-релізі регулятора.

В "Укртелекомі" заявили, що компанія продовжує надавати послуги доступу в інтернет та телефонії, а комп'ютерні системи, що супроводжують кол-центр та центри обслуговування абонентів, не працюють.

В аеропорту Бориспіль, у свою чергу, попередили, що "у зв'язку із позаштатною ситуацією можливі затримки рейсів". В даний час на офіційному сайті аеропорту пасажирам недоступний онлайн-розклад рейсів.

У Київському метрополітені заявили, що внаслідок атаки було заблоковано функцію оплати банківськими картками. "Безконтактні карти метро працюють у звичайному режимі", - зазначили у столичній підземці.

В "Укренерго" повідомили, що у компанії вже проводять розслідування за фактом кібератаки.

Крім того, атака хакера призвела до відключення комп'ютерної системи моніторингу радіаційного фону на Чорнобильській АЕС. Комп'ютери під керуванням Windows довелося тимчасово відключити, радіаційний моніторинг промислового майданчика було переведено в ручний режим.

В даний час Центр моніторингу та реагування на комп'ютерні атаки у кредитно-фінансовій сфері Банку Росії спільно з кредитними організаціями працює над усуненням наслідків виявлених комп'ютерних атак, наголосили у Центробанку.

Хакерській атаці, імовірно, зазнали й усі комп'ютери корпоративного сервера московських ресторанів мережі "Тануки - Єрш", повідомляє ТАСС.

Прес-служба Росенергоатому повідомила, що всі АЕС Росії працюють у штатному режимі. Відсутність слідів хакерських атак підтвердили також в "Інтер РАО", "Енел Росія", "Россетях" та "Системному операторі ЄЕС". У "Россетях" додали, що для запобігання можливим атакам хакерів вже були вжиті відповідні заходи.

Вірус Petya

Вірус-вимагач, який блокує доступ до даних і вимагає 300 доларів у біткоїнах за розблокування, відомий у різних модифікаціях ще з 2016 року.

Шкідлива програма розповсюджується через спам-лист. Зокрема перші версії Petya маскувались під резюме. Коли користувач відкривав заражений лист, на екрані з'являлася програма Windows, що вимагала прав адміністратора.

Якщо неуважний користувач погоджувався надати програмі відповідні права, вірус переписував завантажувальну область жорсткого дискаі показував " синій екрансмерті", що пропонує терміново перезавантажити комп'ютер.

До Petya був WannaCry

Попередня масштабна атака на організації у всьому світі, знаряддям якої став вірус WannaCry, відбулася 12 травня. Вірус-шифрувальник масово виводив з ладу комп'ютери та вимагав викуп за дешифрування файлів користувачів. Повідомлялося, що Росія найбільше постраждала від WannaCry. Кібератака, зокрема, торкнулася компанії "Мегафон", МВС, "Сбербанк", МОЗ. Про спробу зараження повідомляли в РЖД та Центробанку, де наголосили, що атака була безуспішною.

Експерти американської компанії Flashpoint дійшли висновку, що творцями вірусу-здирника WannaСry можуть бути вихідці з Південного Китаю, Гонконгу, Тайваню чи Сінгапуру. У Group-IB хакерів із КНДР, які до того ж намагалися видати себе за російських.

Вірус-шифрувальник атакував комп'ютери ідесятків компаній у Росії та Україні, паралізувавши роботу зокрема державних структур, і почав поширюватися у світі

"Вірус спочатку відключив доступ до порталу, до внутрішнього месенджера Skype for business, до MS Exchange, думали, просто мережевий збій, далі комп'ютер перезавантажився з помилкою. "Помер" жорсткий диск, наступне перезавантаження вже показало червоний екран", - розповіло джерело.

Сайти «Роснафти» та «Башнафти» не працюють.

Також про атаку на свої ресурси повідомили металургійна компанія Evraz та банк "Хоум Кредит".

Під ударом опинилися Аеропорт "Бориспіль", Київський метрополітен, Запоріжжяобленерго", "Дніпроенерго" та "Дніпровська електроенергетична система".

Чорнобильська АЕС перейшла на радіаційний моніторинг промислового майданчика в ручному режимі через кібератаку та тимчасове відключення системи Windows, повідомили "Інтерфаксу" у прес-службі Державного агентства з управління зоною відчуження.

Вірус-шифрувальник зачепив велику кількість країн по всьому світу, повідомив керівник міжнародного дослідницького підрозділу «Лабораторії Касперського» Костін Райю у своєму акаунті у Twitter.

О 18.05 мск про атаку на свої сервери оголосила данська судноплавна компанія A.P. Moller-Maersk. Крім Росії та України, постраждали користувачі у Великій Британії, Індії та Іспанії, повідомив Reuters з посиланням на Агентство інформаційних технологій уряду Швейцарії.

За його словами, у новій версії вірусу, яка з'явилася 18 червня цього року, є підроблений цифровий підпис Microsoft.

О 18.05 мск про атаку на свої сервери повідомила данська судноплавна компанія A.P. Moller-Maersk. Гендиректор ДК InfoWatch Наталія Касперська пояснила ТАРС, що сам вірус-шифрувальник з'явився понад рік тому. Він поширюється, в основному, через повідомлення фішингу і є модифікованою версією відомої раніше шкідливої програми. "Він об'єднався з деяким іншим здирником-вірусом Misha, який мав права адміністратора. Це була покращена версія, резервний шифрувальник", - розповіла вона.

За словами Касперської, швидко побороти травневу атаку шифрувальника WannaCry було можливо через вразливість, що була у вірусі. "Якщо вірус такої вразливості не містить, то боротися із ним складно", - додала вона.

Масштабна кібератака з використанням вірусу-здирника WannaCry, який вразив понад 200 тисяч комп'ютерів у 150 країнах, відбулася 12 травня 2017 року.

WannaCry шифрує файли користувача і для їх розшифровки вимагає оплату в біткоінах, еквівалентну 300 доларів.

Британія, США та Австралія офіційно звинуватили Росію у поширенні NotPetya

15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.

За твердженням британської влади, ця атака продемонструвала подальшу зневагу щодо суверенітету України, і в результаті цих безрозсудних дій було порушено роботу багатьох організацій по всій Європі, що призвело до багатомільйонних збитків.

У Міністерстві зазначили, що висновок про причетність до кібератаки російського уряду та Кремля було зроблено на підставі укладання Національного центру кібербезпеки Великобританії (UK National Cyber Security Centre), який «практично повністю впевнений у тому, що за атакою NotPetya стоять російські військові». У заяві сказано, що і її союзники не зазнають шкідливої кіберактивності.

За словами Міністра у справах правоохоронних органів та кібербезпеки Австралії Енгуса Тейлора (Angus Taylor), на основі даних австралійських спецслужб, а також консультацій зі США та Великобританією, австралійський уряд уклав, що відповідальність за інцидент несуть зловмисники, які підтримує уряд РФ. «Австралійський уряд засуджує поведінку Росії, яка створює серйозні ризики для світової економіки, урядових операцій та послуг, ділової активності, а також безпеки та благополуччя окремих осіб», - випливає із заяви.

Кремль, який раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»

Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"

Пам'ятник комп'ютерному вірусу Petya встановили у грудні 2017 року біля будівлі Технопарку Сколково. Двометровий монумент з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкусаного жорсткого диска, був створений за підтримки компанії ІНВІТРО, серед інших компаній, що постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює у Фізтехпарку та (МТІ) спеціально приїхав на церемонію, щоб вимовити урочисту промову.

Атака на уряд Севастополя

Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.

Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах у державних установах Севастополя.

Орієнтованість на використання вільного програмного забезпечення закладена у концепції інформатизації Севастополя, затвердженої у 2015 році. У ній вказується, що при закупівлі та розробці базового ПЗ, а також ПЗ інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витрати та знизити залежність від постачальників та розробників.

Раніше, наприкінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждала і філія її філія, розташована в Севастополі. Через поразку вірусу комп'ютерної мережіфілія тимчасово призупинила видачу результатів аналізів до усунення причин.

«Інвітро» заявила про призупинення прийому аналізів через кібератаки

Медична компанія «Інвітро» призупинила збирання біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор із корпоративних комунікацій компанії Антон Буланов.

Як йдеться в повідомленні компанії, найближчим часом "Інвітро" перейде до штатного режиму роботи. Результати досліджень, проведених пізніше за цей час, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторна інформаційна системавідновлено, йде процес її налаштування. «Ми шкодуємо про форс-мажорну ситуацію, що склалася, і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».

За цими даними, атаці комп'ютерного вірусузазнали клініки в Росії, Білорусії та Казахстані.

Атака на «Газпром» та інші нафтогазові компанії

29 червня 2017 року стало відомо про глобальну кібератаку на комп'ютерні системи "Газпрому". Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.

Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді та людину, яка брала участь у розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої програми Petya, яка атакувала комп'ютери загалом більш ніж у 60 країнах світу.

Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також розмір збитків, завданих хакерами. У компанії відмовилися від коментарів на запит Reuters.

Тим часом високопоставлене джерело РБК у «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна хакерська атака (27 червня 2017 року), і продовжують через два дні. Ще два джерела РБК у «Газпромі» також запевнили, що у компанії «все спокійно» і жодних вірусів немає.

У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» та «Роснефть». Остання заявила 28 червня про те, що компанія працює у штатному режимі, а «окремі проблеми» оперативно вирішуються.

Банки та промисловість

Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виготовляє форма для тварин) та російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold та Milka).

Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках та у соціальних мережах опублікував відео з докладним описомпроцесу запуску здирницького ПЗ на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку в соціальної мережіна яку завантажив шкідливу програму. У ході обшуків у квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, що використовується для розповсюдження NotPetya. Також поліцейські виявили файли зі шкідливим ПЗ, після аналізу яких було підтверджено його схожість із здирником NotPetya. Як встановили співробітники кіберполіції, здирницька програма, посилання на яку опублікував нікопольчанин, було завантажено користувачами соцмережі 400 разів.

Серед правоохоронців, що завантажили NotPetya, виявили компанії, які навмисно заражали свої системи здирницьким ПЗ для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіка з хакерськими атаками 27 червня цього року, тобто про будь-яку його причетність до авторів NotPetya не йдеться. Осудні йому дії стосуються лише процесів, скоєних у липні поточного року - після хвилі масштабних кібератак.

Відносно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання у роботу ЕОМ) КК України. Нікопольцю загрожує до 3 років позбавлення волі.

Поширення у світі

Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливу програму в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати приналежність вантажів.

Про кібератаку повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших у світі юридичних компаній DLA Piper та харчовий гігант Mondelez. Серед постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain та фармкомпанія Merck & Co.

Merck

Американський фармацевтичний гігант Merck, який сильно постраждав внаслідок червневої атаки вірусу-шифрувальника NotPetya, досі не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється у звіті компанії за формою 8-K, поданому до Комісії з цінних паперів та бірж США (SEC) наприкінці липня 2017 року. Детальніше .

Moller-Maersk та «Роснефть»

3 липня 2017 року стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-вимагачем Petya ІТ-системи лише майже через тиждень після атаки, що сталася 27 червня.

У судноплавній компанії Maersk, на частку якої припадає кожен сьомий вантажний контейнер, що відправляється у світі, також додали, що всі 1500 додатків, що постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.

Постраждали переважно ІТ-системи компанії APM Terminals, що належить Maersk, яка управляє роботою десятків вантажних портів і контейнерних терміналів у більш ніж 40 країнах. За добу понад 100 тис. вантажних контейнерів проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II у Роттердамі відновив постачання 3 липня.

16 серпня 2017 року A.P. Moller-Maersk назвала зразкову суму збитків від кібернападу за допомогою вірусу Petya, зараження яким, як зазначили у європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya у другій чверті 2017 року становили від 200 до 300 млн доларів.

Тим часом майже тиждень на відновлення комп'ютерних системвід хакерської атаки знадобилося також «Роснефти», про що 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу»:

Декількома днями раніше «Роснефть» наголошувала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.

Принцип дії Petya

Справді, жертви вірусу неможливо розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили такої можливості взагалі. Тобто зашифрований диск апріорі не піддається дешифруванню. В ідентифікаторі шкідливої програми немає інформації, необхідної для розшифровки.

Спочатку експерти зарахували вірус, що вразив близько двох тисяч комп'ютерів у Росії, Україні, Польщі, Італії, Німеччині, Франції та інших країнах до вже відомого сімейства здирників Petya. Однак виявилося, що мова йдепро нове сімейство шкідливого ПЗ. "Лабораторія Касперського" назвала новий шифрувальник ExPetr.

Як боротися

Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу та держави

Метод відновлення даних від Positive Technologies

7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод можна застосувати, якщо вірус NotPetya мав адміністративні привілеї і зашифрував диск повністю.

Можливість відновлення даних пов'язана з помилками реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному із зашифрованих жорстких дисківвеликої компанії, яка опинилася серед жертв епідемії.

Компанії та незалежні розробники, що спеціалізуються на відновленні даних, можуть вільно використовувати та автоматизувати представлений сценарій розшифровки.

Результати розслідування підтвердили українські кіберполіцейські. Висновки слідства «Юскутум» має намір використовувати як ключовий доказ у майбутньому процесі проти Intellect-Service.

Процес матиме громадянський характер. Незалежне розслідування проводять правоохоронні органиУкраїни. Їхні представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.

У компанії M.E.Doc заявили про те, що те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПЗ вважає, що обшук, проведений в компанії кіберполіцією України, став частиною реалізації цього плану.

Початковий вектор зараження шифратором Petya

17 травня вийшло оновлення M.E.Doc, що не містить шкідливого модуля бекдора. Ймовірно, цим можна пояснити порівняно невелику кількість заражень XData, вважають у компанії. Атакуючі не очікували виходу апдейта 17 травня і запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.

Бекдор дозволяє завантажувати і виконувати в зараженій системі інше шкідливе програмне забезпечення - так здійснювалося початкове зараження шифраторами Petya і XData. Крім того, програма збирає налаштування проксі-серверів та e-mail, включаючи логіни та паролі з програми M.E.Doc, а також коди компаній по ЄДРПОУ (Єдиному) державному реєструпідприємств та організацій України), що дозволяє ідентифікувати жертв.

«Нам належить відповісти на низку питань, – розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди та шкідливі програми, крім Petya і XData, були направлені через цей канал? Які ще інфраструктури скомпрометувала, але поки що не використовувала кібергрупа, яка стоїть за цією атакою?».

За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми та цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) та кібергрупою Telebots. Достовірно визначити, хто стоїть за діяльністю цього угрупування, поки що не вдалося.