Нова кібератака. Наскільки нашкодив Україні "поганий кролик"

Нова кібератака в Україні зачепила інфраструктурні об'єкти: аеропорт "Одеса", Мінінфраструктури, сайт Госавиационной служби і київське метро - в останньому випадку кияни не могли розплатитися за проїзд банківською картою. Вірус дістав Росію (там була паралізована робота інформагентства "Інтерфакс" і сайту "Фонтанка") та Німеччини. Киберспециалисты кажуть, що вірус відрізняється від налякав українців Petya, але принципи роботи шифровальщика Badrabbit для звичайних користувачів схожі: обидва вірусу шифрували і блокували доступ до комп'ютерів, вимагаючи викуп за розблокування. Ціна питання від "поганого кролика"- 0,05 биткоина (близько 7100 грн на даний момент). В Україні, за даними правоохоронців, грошей за розблокування ніхто не перерахував. Доставка "кролика" може відбуватися з використанням електронних листів - адреси мімікрують під техпідтримку Microsoft.

Читайте також: Вимагач "Петя". Що за комп'ютерний вірус атакує Україну

Команда швидкого реагування CERT.UA при Держслужбі спецзв'язку про можливу атаку попереджала. Завдяки цьому втрат аеропорту, метро і Міністерству інфраструктури хакери не нанесли - відомства самі відключили сайти і перечекали атаку, паралельно виконуючи рекомендації кіберполіції і приватних компаній. "Ми створюємо надійний щит з кібербезпеки разом з фахівцями", - запевняє міністр Володимир Омелян.

У Держспецзв'язку, тим не менш, не виключають нову хвилю атак, тому варто розібратися, в чому суть роботи вірусу і як від нього вберегтися.

Небезпечні посилання і незвичні листи

Фахівці з'ясували, що один із способів поширення вірусу пов'язаний із застосуванням програмного забезпечення "M.E.doc." (так само було і з вірусом Petya), призначеного для електронного документообігу. Користувачам цієї системи рекомендують тимчасово припинити працювати з нею або ж при необхідності відключити там функцію автоматичного оновлення.

Читайте також: Атака вірусу "Петі" на Україну. Як уберегтися

Більш докладні технічні поради дає команда CERT-UA: специ пояснюють, що в результаті активації гіперпосилання з електронного листа або програми з документообігу активується скрипт, який і запускає роботу вірусу. Цей скрипт вішає на систему користувача закодовані алгоритмом дані, які і не дозволяють йому продовжити роботу. Командно-контрольний центр шифровальщика знаходився за адресою hxxp: //gdiscoun.org. Користувачам необхідно заблокувати доступ до компрометуючих посиланнями:

hxxp: //urcho.com/JHGGsdsw6

hxxp: //tatianadecastelbajac.fr/kjhgFG

hxxp: //video.rb-webdev.de/kjhgFG

hxxp: //themclarenfamily.com/kjhgFG

hxxp: //webhotell.enivest.no/cuYT39.enc

hxxp: //gdiscoun.org

Також фахівці просять користувачів встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office.

У число більш простих порад входить не відкривати вкладення в підозрілих повідомленнях. Підозра може викликати цілий ряд речей: автор несподівано змінив мову спілкування, стиль спілкування, пише на нетипову тему, несподівано для себе пропонує відкрити програму. Найкраще у випадку з листом з посиланням запросити підтвердження відправки листа через СМС.

Читайте також: Абсолютно секретно. За що критикують законопроект про кібербезпеки

Важливі файли можна прогнати через онлайн-програму virustotal для перевірки на віруси. Сисадмінам в організаціях радять звернути увагу на фільтрування поштового веб-трафіку і не працювати на комп'ютері під профілем адміністратора. Остання порада стосується всіх: гостьовий профіль змушує комп'ютер питати про будь-якій дії, яка втручається в роботу системи. Крім того, на комп'ютерах користувачів потрібно на період небезпеки атаки обмежити можливість запуску виконуваних файлів (* .exe).

Карантин і видалення листів

В СБУ, крім цього, рекомендують забезпечити щоденне оновлення системного програмного забезпечення всіх без винятку версій OS Windows (iOS і Mac OS вірус не атакував) і обов'язково встановити оновлення KB3213630 (Windows 10). У налаштуваннях мережевої безпеки користувачам радять заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення. У браузері цей домен відкривати не можна (!). Крім того, не завадить знову зробити резервні копії всіх даних на комп'ютері.

Читайте також: Petya 2:0. Як уникнути повторного штурму комп'ютерів

Голова наглядової ради Octava Capital Олександр Кардаков додатково радить відразу видаляти листи з вкладеннями з неперевірених адрес, користуватися засобами попереднього перегляду вмісту і уважно читати всі системні попередження. А сисадміни можуть додатково налаштувати поштову систему на карантин, заборонивши доступ в інтернет для процесів wscript.exe, cscript.exe, powershell.exe, а також - читання і запис в каталогах %appdata% і %temp% для файлів *.js*, *.vb*, *.ws*, *.exe.

Нагадаємо, попередня крупна атака на Україну та інші країни була викликана вірусом Petya.A, який атакував банки, державні і комерційні офіси, мобільних операторів і індивідуальних користувачів. Так що точно сказати, що хтось може уникнути загрози, не можна.