[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } } ] { "gtm": "GTM-NDH47H" }
{ "author_name": "Сергей Звезда", "author_type": "self", "tags": [], "comments": 29, "likes": 40, "favorites": 5, "is_advertisement": false, "section": "default" }
16 240

Кто пострадал от вируса-вымогателя Petya.A и как от него защититься

Атаке подверглись более 80 компаний из России и Украины.

Поделиться

В избранное

В избранном

Вышедший из строя компьютер в кабинете министров Украины. Фото вице-премьера Павла Розенко

27 июня сети многих российских и украинских компаний поразил вирус-шифровщик, похожий на Petya.A. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).

Сайты многих ведомств, предприятий и подразделений оказались недоступны. По оценкам cпециалистов по кибербезопасности, речь идёт минимум о 80 пострадавших компаниях.

Продолжение (18:47): Компании по всему миру, в том числе из Испании, Франции и Дании, сообщили об атаке Petya.A.

Украина

Вирус атаковал киевский аэропорт Борисполь, в руководстве которого предупредили о возможных задержках рейсов. Обновлено (28 июня 9:40): Международный Аэропорт Харькова временно перешёл на регистрацию в ручном режиме.

Шифровальщик добрался до киевского метро, где заразил терминалы пополнения проездных билетов. Оплату банковскими картами временно приостановили.

Атаке подверглись компьютерные сети правительства Украины. Вирус-вымогатель распространился в кабинет министров. Сайт правительства оказался недоступен.

Энергетические компании также столкнулись с вирусом-вымогателем: cообщалось об атаках на «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровскую электроэнергетическую систему». В компании-операторе энергосистемы «Укрэнерго» заявили, что энергосистема работает в штатном режиме, а реальных угроз для производства вирус не нёс.

Вирус затронул Национальный банк Украины, в котором предупредили клиентов о сложностях с обслуживанием и банковскими операциями. Он также распространился на некоторые украинские банки, в том числе «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк». «Проминвестбанк» (украинская «дочерняя» компания ВЭБ) заявил, что ущерба для систем нет, а сотрудники «вовремя успели отключили все компьютеры от сети».

Шифровальщик попал на компьютеры в офисы украинских мобильных операторов «Киевстар», lifecell и «Укртелеком».

СМИ сообщили о том, что атака на Чернобыльскую атомную электростанцию привела к отключению сайта. Позже эту информацию подтвердили в Агентстве по управлению зоной отчуждения. Все компьютеры временно отключали, а систему мониторинга перевели в ручной режим. О превышении радиационного фона не сообщалось.

Россия

Одной из первых о «мощной хакерской атаке» на свои серверы объявила «Роснефть». В компании избежали серьёзных последствий, перейдя на резервную систему управления. Сообщения о сбоях при добыче и подготовке нефти в «Роснефти» опровергли, а заодно заподозрили в причастности к кибератаке тех, кто распространяет слухи.

По данным СМИ, атаке подверглась «Башнефть», включая управление и структуру, отвечающую за добычу нефти. Все компьютеры компании «единомоментно перезагрузились», скачали неустановленное программное обеспечение и вывели на экран заставку вируса».

Центральный банк России выявил единичные случаи заражения вирусом информационной инфраструктуры российских кредитных организаций. ЦБ заявил, что «работа систем банков и предоставление сервисов клиентам» не нарушались. При этом атака обрушилась на банк «Хоум Кредит». Все отделения кредитной организации приостановили работу и начали проверку безопасности.

Также шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович. На предприятии отметили, что угрозы безопасности нет, а работу не прекращали.

Специалисты по кибербезопасности из компании Group-IB сообщили, что вирус затронул компанию Mars. В компании пояснили, что «сложности с IT-системами» возникли только у бренда корма для животных Royal Canin.

Среди жертв вируса, по данным Group-IB, оказались Nivea, TESA и производитель шоколада Alpen Gold — Mondelez International. Атаке подверглись «Новая Почта», а также подразделения логистической компании Damco в России и Европе.

На работе систем Кремля и администрации президента России атака не сказалась.

Как защитить сеть от вируса

Для того, чтобы прекратить распространение вируса, необходимо закрыть TCP-порты 1024–1035, 135 и 445, объяснил руководитель криминалистической лаборатории Group-IB Валерий Баулин. Подробные инструкции о том, как это сделать, размещены на специализированных сайтах.

Обновлено (18:50): В «Лаборатории Касперского» сообщили TJ, что пользователям сервиса необходимо убедиться, что защита включена и использует актуальную вирусную базу.

Необходимо удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher). В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.

Программные продукты «Лаборатории Касперского» детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.

Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского»

Обновлено (28 июня 9:40): Рекомендации по борьбе с шифровщиком выпустил производитель антивирусного программного обеспечения Symantec. Пользователям посоветовали имитировать ситуацию с заражением компьютера.

Вирус ищет файл в директории C:\Windows\perfc. Для того, чтобы имитировать ситуацию с заражением, следует создать, например, в программе «Блокнот» файл perfc и разместить его в указанной папке на этом диске.

Файл должен быть без расширения. При его наличии вирус не будет заражать компьютер.

В Group-IB заявили, что атака Petya.A не связана с вирусом-вымогателем WannaCry, поразившим компьютеры по всему миру в мае 2017 года. По данным специалистов, относительно недавно шифровальщик использовала группа Cobalt, которая хотела скрыть следы целевой атаки на финансовые учреждения.

В новой версии Petya от 18 июня этого года есть поддельная цифровая подпись Microsoft, заявил глава международного исследовательского подразделения «Лаборатории Касперского» Костин Райю. По его словам, вирус начал распространяться по всему миру.

Гендиректор ГК InfoWatch Наталья Касперская подтвердила, что Petya.A обнаружили ещё год назад (точнее — в апреле 2016 года). Первый вариант, по её словам, был бессильным, если ему не давались права администратора.

Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик.

Наталья Касперская, гендиректор ГК InfoWatch

В «Лаборатории Касперского» сообщили о начале расследования. Пока известно, что вирус-вымогатель не принадлежит к ранее известным семействам вредоносного программного обеспечения, а следовательно, является новой модификацией. В компании подтвердили, что больше всего заражений произошло в России и Украине. При этом появилась информация о появлении вируса в других странах.

Несмотря на отсутствие прямой связи Petya.A с WannaCry, похоже, что он также заражает компьютеры через фишинговые сообщения и вредоносные вложения, открытые с помощью электронной почты. WannaCry пользовался уязвимостью, для защиты от которой достаточно было обновиться и скачать патч.

Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против