Новая кибератака. Насколько навредил Украине "плохой кролик"

Новая кибератака в Украине задела инфраструктурные объекты: аэропорт "Одесса", Мининфраструктуры, сайт Госавиационной службы и киевское метро - в последнем случае киевляне не могли расплатиться за проезд банковской картой. Вирус достал Россию (там была парализована работа информагентства "Интерфакс" и сайта "Фонтанка") и Германию. Киберспециалисты говорят, что вирус отличается от напугавшего украинцев Petya, но принципы работы шифровальщика Badrabbit для обычных пользователей схожи: оба вируса шифровали и блокировали доступ к компьютерам, требуя выкуп за разблокировку. Цена вопроса от "плохого кролика"- 0,05 биткоина (около 7100 грн на данный момент). В Украине, по данным правоохранителей, денег за разблокировку никто не перечислил. Доставка "кролика" может происходить с использованием электронных писем - адреса мимикрируют под техподдержку Microsoft.

Читайте также: Вымогатель "Петя". Что за компьютерный вирус атакует Украину

Команда быстрого реагирования CERT.UA при Госслужбе спецсвязи о возможной атаке предупреждала. Благодаря этому потерь аэропорту, метро и Министерству инфраструктуры хакеры не нанесли - ведомства сами отключили сайты и переждали атаку, параллельно выполняя рекомендации киберполиции и частных компаний. "Мы создаем надежный щит по кибербезопасности вместе со специалистами", - заверяет министр Владимир Омелян.

В Госспецсвязи, тем не менее, не исключают новую волну атак, потому стоит разобраться, в чем суть работы вируса и как от него уберечься.

Опасные ссылки и непривычные письма

Специалисты выяснили, что один из способов распространения вируса связан с применением программного обеспечения "M.E.doc." (так же было и с вирусом Petya), предназначенного для электронного документооборота. Пользователям этой системы рекомендуют временно прекратить работать с ней либо же при необходимости отключить там функцию автоматического обновления.

Читайте также: Атака вируса "Пети" на Украину. Как уберечься

Более подробные технические советы дает команда CERT-UA: спецы объясняют, что в результате активации гиперссылки из электронного письма или программы по документообороту активируется скрипт, который и запускает работу вируса. Этот скрипт вешает на систему пользователя закодированные алгоритмом данные, которые и не позволяют ему продолжить работу. Командно-контрольный центр шифровальщика находился по адресу hxxp: //gdiscoun.org. Пользователям необходимо заблокировать доступ к компрометирующим ссылкам:

hxxp: //urcho.com/JHGGsdsw6

hxxp: //tatianadecastelbajac.fr/kjhgFG

hxxp: //video.rb-webdev.de/kjhgFG

hxxp: //themclarenfamily.com/kjhgFG

hxxp: //webhotell.enivest.no/cuYT39.enc

hxxp: //gdiscoun.org

Также специалисты просят пользователей установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office.

В число более простых советов входит не открывать вложения в подозрительных сообщениях. Подозрение может вызвать целый ряд вещей: автор неожиданно сменил язык общения, стиль общения, пишет на нетипичную тему, неожиданно для себя предлагает  открыть приложение. Лучше всего в случае с письмом со ссылкой запросить подтверждения отправки письма через СМС.

Читайте также: Совершенно секретно. За что критикуют законопроект о кибербезопасности

Важные файлы можно прогнать через онлайн-программу virustotal для проверки на вирусы. Сисадминам в организациях советуют обратить внимание на фильтрование почтового веб-трафика и не работать на компьютере под профилем администратора. Последний совет касается всех: гостевой профиль вынуждает компьютер спрашивать о любом действии, которое вмешивается в работу системы. Кроме того, на компьютерах пользователей нужно на период опасности атаки ограничить возможность запуска исполняемых файлов (* .exe).

Карантин и удаление писем

В СБУ, помимо этого, рекомендуют обеспечить ежедневное обновление системного программного обеспечения всех без исключения версий OS Windows (iOS и Mac OS вирус не атаковал) и обязательно установить обновление KB3213630 (Windows 10). В настройках сетевой безопасности пользователям советуют заблокировать доступ к домену x90DOTim, с которого загружается вредоносное программное обеспечение. В браузере этот домен открывать нельзя (!). Кроме того, не помешает снова сделать резервные копии всех данных на компьютере.

Читайте также: Petya 2:0. Как избежать повторного штурма компьютеров

Председатель наблюдательного совета в Octava Capital Александр Кардаков дополнительно советует сразу удалять письма с вложениями с непроверенных адресов, пользоваться средствами предварительного просмотра содержимого и внимательно читать все системные предупреждения. А сисадмины могут дополнительно настроить почтовую систему на карантин, запретив доступ в интернет для процессов wscript.exe, cscript.exe, powershell.exe, а также - чтение и запись в каталогах %appdata% и %temp% для файлов *.js*, *.vb*, *.ws*, *.exe.

Напомним, предыдущая крупная атака на Украину и другие страны была вызвана вирусом Petya.A, который атаковал банки, государственные и коммерческие офисы, мобильных операторов и индивидуальных пользователей. Так что точно сказать, что кто-то может избежать угрозы, нельзя.