Вирусная атака сегодня на ржд

МОСКВА, 13 мая — РИА Новости. Вирусная атака была произведена на IT-систему РЖД, но вирус уже локализован, перевозки пассажиров и грузов осуществляются в рабочем режиме, сообщили РИА Новости в компании.

Сейчас специалисты проводят технические работы по уничтожению вируса и обновлению защиты.

В свою очередь в "Лаборатории Касперского" сообщили, что зафиксировали около 45 тысяч попыток хакерских атак в 74 странах по всему миру, при этом наибольшее число попыток заражений наблюдается в России.

За расшифровку данных злоумышленники требовали у получателей вируса заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin.

Инженеры Microsoft уже выпустили патч для исправления уязвимости, которая позволяла заражать компьютеры. Сейчас компания работает с клиентами для предоставления им дополнительной помощи.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) фиксировал массовые рассылки банкам вредоносной программы, но ресурсы кредитных организаций не скомпрометированы, сообщили РИА Новости в пресс-службе регулятора.

Как сообщили в Сбербанке, системы информационной безопасности крупнейшего российского банка в пятницу зафиксировали попытки хакерских атак, но вирусы в систему не проникли. Службы банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности.

С проблемами столкнулся и один из основных сотовых операторов "Мегафон". Компания полностью восстановила работу трех филиалов розничной сети после случившихся в пятницу кибератак, в остальных пяти восстановление продаж завершается.

"Наши точки продаж пострадали больше всего, так как в рознице обширнее всего используется Windows, уязвимости которого были использованы. К 13:00 сегодня продажи полностью восстановлены в трех филиалах. В остальных пяти они будут восстановлены в течение следующего часа", — сообщила пресс-служба "Мегафона".

"Материального ущерба от кибератак нет. Единственное, это создало неудобства для абонентов", — сказал представитель компании.

Сотовый оператор МТС также подвергся кибератакам. "Атаки на МТС были ночью, мы их отразили", — сказал пресс-секретарь оператора Дмитрий Солодовников.

Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России зафиксировал вирусную атаку на персональные компьютеры ведомства, на которых установлена операционная система Windows, вирус уже локализован.

По ее словам, серверные ресурсы министерства не подвергались заражению, так как использовали иные операционные системы и отечественные серверы с российским процессором "Эльбрус".

Минздрав России оперативно отразил хакерские атаки на свои сервера и закрыл все уязвимости, сообщил помощник главы ведомства Никита Одинцов в своем микроблоге в Twitter.

Между тем, в Следственном комитете России опровергли появившуюся в некоторых СМИ информацию о том, что хакеры атаковали сервера ведомства.

Вирус-вымогатель стал причиной масштабной атаки на компании России и Украины. Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около двух часов назад. Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", "Евраза", ряда украинских и западных компаний. Подробости сетевого взлома - у корреспондента "Встей ФМ" Сергея Гололобова.

"На серверы компании осуществлена мощная хакерская атака", - говорится в сообщении "Роснефти". Позже стало известно о характере атаки. Многие компьютеры "единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry". Потом последовало уточнение: причиной масштабной кибератаки все-таки стал не сам печально известный вирус WannaCry, а его клон, вирус-шифровальщик Petya. Но позднее и эта информация не подтвердилась. По сетям распространяется абсолютно новый вирус, лишь отчасти похожий на два первых, рассказал руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закаржевский .

"Это новый троян, шифровальщик, который мы не видили. Мы его назвали NotPetya. Или "Не Петя". Он использует некоторые функционал и переменные, так скажем, некоторые данные, которые использовались трояном "Петя". Поэтому изначально некоторые исследователи посчитали, что это то же самое. Но на поверку оказалось, что это гораздо более сложная и эффективная угроза. С точки зрения вирусописателя, разумеется.

В результате DoS-атаки компьютер пользователя блокировался, за его разблокировку требовали перевести 300 долларов в биткоинах, после чего ключ обещали выслать на электронную почту. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах, пояснил заместитель руководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин .

"Судя по высему, это была почтовая рассылка с вредоносным вложением. После чего человек открывает это вложение, заражается, и заражаются компьютеры в одной локальной сети вместе с ним. В один из моментов компьютер перезагружается, вы видите черный экран, где написано, что ваши файлы зашифрованы, указан ключ, открытый для шифрования, и e-mail-адрес, по которому предлагается связаться со злоумышленниками".

Пресс-секретарь "Роснефти" Михаил Леонтьев в свою очередь заявил, что сама компания и ее дочерние общества после атаки работают в штатном режиме. В своём Twitter-сообщении компания также упоминает о "текущих судебных процедурах", связанных с многомиллиардным иском к "Башнефти". Но при этом в "Роснефти" выражают надежду, что кибератака никак с этими судебными тяжбами не связана. Хотя и без последствий проделки неизвестных пока хакеров компания оставлять не намерена. Она обратилась в правоохранительные органы с требованием расследовать инцидент.

Одной лишь "Роснефтью" список атакованных структур не исчерпывается. Подверглись хакерской атаке информационные системы таких компаний, как Evraz, большой четверки российских сотовых операторов. Новый вирус шифровальщик прорвался в компьютеры российских офисов компаний Mars, Mondeles и Nivea. Приостановил обслуживание клиентов российский филиал "Хоум кредит банка". Технический сбой у одного из крупных российских туроператоров "Анекс тура". На его сайте лишь несколько строк с просьбой уезжающим на отдых гражданам получить документы уже непосредственно в аэропорту, а для этого приехать туда не менее чем за два часа. Компьютерные преступники сегодня попробовали приостановить также деятельность украинских госорганов и ведущих бизнес-структур этой страны.

Хакеры атаковали правительство, транспорт, банки и энергетику Незалежной. Вирус отключил компьютеры в кабинете министров страны и лишил пассажиров киевского метро возможности расплачиваться за проезд банковскими картами. Возникла угроза задержки с выполнением рейсов из аэропорта "Борисполь". А самое опасное - вирус-вымогатель поразил системы экологического мониторинга Чернобыльской АЭС. Хотя, как заверяет руководство станции, радиационная угроза отсутствует. Любопытно, но в этой DoS-атаке украинские власти по привычке обвинили Россию, вполне ожидаемо не приведя никаких доказательств.

Под угрозой атаки и информационные сети западной Европы. Один из крупнейших в мире судовых грузоперевозчиков, Датская компания Maersk, сообщила, что вирус вывел из строя её IT-системы. Похожие проблемы у дочерних предприятий британской рекламной компании WPP и голландской фирмы APM. Не исключено, что вирусная интернет эпидемия прокатиться по всему миру, считает Вячеслав Закаржевский.

"География - это по большей части Россия и Украина. Но также мы видим заражения в Польше, Италии, Великобритании, Германии и Франции. Но их гораздо меньше, чем в России и Украине".

По опыту всемирной, майской атаки вируса WannaCry понадобилось всего несколько дней, чтобы заблокировать его работу. Примерно столько же, по мнению специалистов, понадобится, чтобы нейтрализовать вирус Not Petya.

Игорь Ашманов

Это сейчас можно услышать по всем каналам, от Первого на центральном ТВ до самого последнего блога.
На самом деле, конечно, как обычно, всё не совсем так или совсем не так.

Для тех, кто привычно читает заголовок и первые шесть абзацев, сразу сообщу содержание и выводы. В сети такой спойлер называется TLDR (too long; didn’t read).

TLDR:

Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.

Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру. Это примерно на порядок меньше самых известных массовых атак, которые происходят каждый год. И на полтора-два порядка меньше масштаба тайных заражений пользователей при создании коммерческих ботнетов.

Это – медийная атака. Такой крик в СМИ поднялся из-за деградации наших СМИ в последние годы, склонности переписывать заголовки и новости друг у друга и хвататься за горячее, а вовсе не из-за какой-то особой опасности вируса или его особой распространённости. Через пару дней никто и не вспомнит – потому что сейчас в нашем медийном поле все сенсации живут 3-5 дней максимум.

Теперь подробно:

1. История и обстоятельства. Вирус – довольно типовой шифровальщик, т.н. винлокер. Приёму блокирования и шифрования файлов и вымогательства выкупа – уже примерно 20 лет. Волны таких вирусов несколько раз поражали российские сети компьютеров. Рассылают их русские киберпреступники, автор даже лично знает одного такого, кто как-то спьяну хвалился, что винлокеры в Рунете придумал он.

2. Уязвимость тоже известная. Сама по себе уязвимость Windows найдена и исправлена в марте 2017, для неё существует патч (заплатка). Патч скачивается с сайта Микрософт или устанавливается автоматическим обновлением.

4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:

a. Не установлены обновления Windows,

b. Не стоит свежий антивирус.

Червь I Love You, три миллиона заражений по всему миру.

Червь Slammer, миллионы копий, десятки тысяч заражений в час, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.

9. Детали борьбы с вирусом:

В минувшие выходные некий британский программист 22 лет заметил, что программа обращается к адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он решил узнать, что будет, если сайт реально откликнется, и зарегистрировал домен с таким именем. Оказалось, что вирус начинает ждать инструкций с сайта и останавливает работу. С тех пор, правда, авторы вируса изменили его код, и больше он к данному сайту не обращается.

b. Компания Microsoft выпустила экстренные обновления для устаревших операционных систем в связи с международной массированной хакерской атакой. Как сообщается на официальном сайте, обновления устраняют опасную уязвимость в Windows XP, Windows 8 и Windows Server 2003, поддержка которых была прекращена несколько лет назад.

11. Может ли это быть атака спецслужб? Это довольно распространённая версия – что это государственные хакеры (России или США, неважно).

Нет, не может. Атака спецслужб на критическую инфраструктуру и/или госучреждения, с выведением из строя или препятствованием работе – это акт войны. Все, кто нужно, поймёт, кто это сделал, а это может привести к войне.

12. Могут ли такие вирусы привести к катастрофам? Вывести из строя АЭС, свести с неба самолёт, взорвать завод? В среднем – нет. Спецслужбы и кибервойска государств этого не будут делать, пока не начнётся настоящий горячий конфликт (а тогда ракеты будут более разрушительны), а коммерческие хакеры заинтересованы в том, чтобы всё работало, деньги зарабатывались, и их не разыскивали спецслужбы, как террористов.

В общем, мировое инфернальное зло, которое творит зло ради самого зла и возможности посмеяться сатанинским смехом за кадром – оно в основном водится в Голливуде. Все остальные злодеи – прагматики. Прагматики в разрушении плотины или АЭС в мирное время – нет.

13. Почему такой успех? Успех скорее медийный. Заражения с десятками тысяч и сотнями тысяч заражённых компьютеров – повседневность. В сети на хакеров и спамеров работают ботнеты из миллионов заражённых компьютеров (см. выше).

Технический успех заражения обеспечен тем, что:

a. Люди не обновляют Windows,

b. Люди не ставят актуальных антивирусов,

c. Слабая политика ИБ в организациях,

Медийный успех вируса обеспечен тем, что:

e. Широкое распространение: сотня стран мира.

f. Вирус появлялся в утечках про спецслужбы США.

g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.

i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.

j. Прокомментировал Сноуден (что это инструменты АНБ).

k. По этим причинам произошла и происходит бурная раскрутка в СМИ.

Выводы:

m. Коммерческой подоплёки тоже, возможно, нет, заработок там небольшой (на 15 мая – 42К долларов). Скорее – тренировка. Или демонстрация работы вирусов из арсенала АНБ.

n. Почему заразили МВД и другие ведомства? Во-первых, беспечность, во-вторых, возможно, запрет на автоматическое обновление Windows (что, в принципе, можно понять). Пиратские копии, популярные у нас, тоже внесли свою лепту.

p. Зачем запустили? Скорее всего, попробовать, работают ли боевые АНБшные вирусы. Для этого и нелепое требование 300 долларов, благодаря которому журналисты услужливо делают для хакеров карты распространения их вируса.

r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.

s. Конспирология напоследок. Ну и самая страшная версия (шутка одного из известных российских специалистов в ИБ): вирус – приманка, разводка, а настоящие, рабочие уязвимости сейчас все скачивают в обновлениях и заплатках.

RussiaPost Новости 17.05.2017 899

TLDR:

Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.

Теперь подробно:

4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:

a. Не установлены обновления Windows,

b. Не стоит свежий антивирус.

Червь I Love You, три миллиона заражений по всему миру.

9. Детали борьбы с вирусом:

Технический успех заражения обеспечен тем, что:

a. Люди не обновляют Windows,

b. Люди не ставят актуальных антивирусов,

c. Слабая политика ИБ в организациях,

Медийный успех вируса обеспечен тем, что:

e. Широкое распространение: сотня стран мира.

f. Вирус появлялся в утечках про спецслужбы США.

g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.

i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.

j. Прокомментировал Сноуден (что это инструменты АНБ).

k. По этим причинам произошла и происходит бурная раскрутка в СМИ.

Выводы:

r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.

Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.

4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:

a. Не установлены обновления Windows,

b. Не стоит свежий антивирус.

Червь I Love You, три миллиона заражений по всему миру.

9. Детали борьбы с вирусом:

Технический успех заражения обеспечен тем, что:

a. Люди не обновляют Windows,

b. Люди не ставят актуальных антивирусов,

c. Слабая политика ИБ в организациях,

Медийный успех вируса обеспечен тем, что:

e. Широкое распространение: сотня стран мира.

f. Вирус появлялся в утечках про спецслужбы США.

g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.

i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.

j. Прокомментировал Сноуден (что это инструменты АНБ).

k. По этим причинам произошла и происходит бурная раскрутка в СМИ.

r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.

Кто стоит за заразившим весь мир и проникнувшим в сети МВД вирусом-вымогателем

И были правы как никогда — всего за пару часов вымогатель атаковал десятки стран. Начав с Испании и Португалии, где он парализовал работу крупного оператора связи Telefonica и прошелся по газовой компании Gas Natural, оператору электросетей Iberdrola и банку Iberica, малварь переметнулся на внутренние сети британских больниц, потом был зафиксирован в Сингапуре, на Тайване и в Китае, а после распространился по всему миру, добравшись даже до Австралии и Латинской Америки.

Один из специалистов отметил, что заражению подверглись десятки тысяч компьютеров в 74 странах мира и это число продолжает возрастать. Другой подчеркнул, что мир, возможно, стал свидетелем крупнейшей вирусной атаки в истории.

Специалисты по кибербезопасности в один голос утверждают, что по своей сути WanaCrypt0r 2.0 — весьма стандартный троян-вымогатель. Попав на компьютер жертвы, он шифрует все данные на жестком диске и требует отправить злоумышленникам 300 долларов в биткоинах. На размышление отводится три дня, после чего сумма выкупа увеличивается вдвое, а через неделю файлы останутся зашифрованными навсегда.

Еще одна любопытная особенность заключается в том, что вирус заражает только компьютеры на Windows. Эксперты полагают, что в группе максимального риска находятся пользователи, не установившие последние обновления операционной системы.

Многие юзеры отмечали, что за несколько дней до того, как вирус зашифровал все имеющиеся на компьютерах файлы, система либо бесконтрольно перезапускалась, либо требовала перезагрузить компьютер из-за некой критической ошибки, заботливо напоминая юзерам о необходимости сохранить все важные рабочие файлы.

Пострадавшие также сообщили, что антивирусы не способны обнаружить WanaCrypt0r 2.0, на полный цикл зашифровки у него уходит около четырех часов, но в окне процессов сторонних программ не наблюдается. Некоторые попытались отформатировать жесткий диск или переустановить Windows, но через некоторое время на экране вновь появлялось сообщение с требованием заплатить выкуп.

Специалисты напоминают, что обычно вирусы-вымогатели прячутся в текстовых файлах или PDF-документах и распространяются по почте. Так же считает глава компании по расследованию киберпреступлений Group IB Илья Сачков. По его словам, такие вредоносы чаще всего распространяются через электронные письма, но многие пострадавшие отмечали, что в последнее время не заходили в почту и не открывали сомнительные вложения.

Пока специалисты не знают, что за хакерская группировка разработала WanaCrypt0r 2.0 и провела столь масштабную атаку. Злоумышленники явно воспользовались тем, что многие пользователи не установили последние обновления Windows. Это хорошо заметно на примере серьезно пострадавшего от вируса Китая — как известно, жители Поднебесной питают особую любовь к не получающим апдейты пиратским операционкам.

Зато кое-что известно о самом вирусе. Первые жалобы на WannaCry появлялись еще в феврале 2017 года, но не имели массового характера. В блоге Kaspersky Lab уточняется, что WanaCrypt0r 2.0 — это новая версия WannaCry, использующая уязвимость под кодовым названием EthernalBlue.

Материалы по теме

Она подробно описана в документах хакерской группировки Shadowbrokers, которая в середине апреля выложила в открытый доступ инструменты сотрудников американского Агентства национальной безопасности. А это значит, что в руки создателей вируса могло попасть в том числе и подробное описание уязвимостей корпорации Microsoft, которые кропотливо собирали для себя американские спецслужбы.

Ряд специалистов утверждает, что хакеры используют и упомянутый в документах АНБ зловред DoublePulsar. Он использует EthernalBlue для проникновения в систему, до предела нагружая ядро Windows и позволяя загрузить на устройство новые вирусы.

Более того, некоторые эксперты отмечают, что EthernalBlue и DoublePulsar якобы были выявлены и разработаны сотрудниками АНБ, а с помощью последнего неизвестные в конце апреля заразили 36 тысяч компьютеров по всему миру. Однако Microsoft еще в марте утверждала, что устранила все описанные в документах АНБ уязвимости в новой версии Windows.

Роль уязвимостей АНБ в работе WanaCrypt0r 2.0 пока еще не подтверждена окончательно. Тем не менее бывший сотрудник американских спецслужб Эдвард Сноуден в своем Twitter уже упрекнул сотрудников спецслужбы в том, что из-за их маниакального желания следить за всем миром и оплошности с утечкой данных страдают вполне реальные люди. Например, сотни пациентов больниц.

Читайте также: