27 czerwca, w przeddzień Dnia Konstytucji, strony internetowe wielu firm, banków i urzędów na całej Ukrainie zostały masowo zaatakowane przez nieznanych hakerów. Mieszkańcy Ukrainy wpadli w panikę i po prostu odłączali komputery od Internetu. Wirus o nazwie „Petya.A” lub „mbr locker 256” zaatakował m.in. sieć Rady Ministrów Ukrainy.
Ukraina padła ofiarą jednego z największych ataków hakerskich w historii kraju.
To nie pierwszy taki atak hakerski, do którego doszło na Ukrainie. Za poprzednie władze Ukrainy obwiniały Rosję. Teraz sparaliżowano największą na Ukrainie prywatną firmę kurierską Nowa Poczta, która nie może przez to obsługiwać klientów. Zaatakowano państwowego dostawcę usług pocztowych UkrPoszta. Atakowane są także ukraińskie banki: Ukrgasbank, Oszczadbank, a także Koleje Ukraińskie, Ukrtelecom, Ukrenergo, Kyivenergo, sieć stacji benzynowych TNC oraz największe ukraińskie lotnisko w Boryspolu koło Kijowa. Przestał działać kanał Telekanal 24, bo nastąpiła awaria komputerów. Na bieżąco tu jest podawana sytuacja na Ukrainie.
Narodowy Bank Ukrainy ostrzegł ukraińskie banki, które mogą być zaatakowane przez hakerów.
Co ciekawe, tym razem także rosyjskie firmy są dotknięte wirusem Petya.A – podał to m.in. Rosnieft.
Wirus Petya.A sparaliżował strony medialnego holdingu UMH. Wirus-szantażysta pokazuje na ekranie komunikat, gdy komputer jest zainfekowany. Obecnie wiadomo, że wyłącza komputer – blokuje dostęp do danych, a kluczem do odblokowania jest zapłata w bitcoinach o równowartości 300 dol. Eksperci twierdzą, że wirus Petya.A jest podobny do WannaCrypt, który zaatakował w maju, powodując miliardy dolarów strat dla gospodarki światowej.
Jak „Petya.A” dostaje się do komputera?
Zespół antywirusowy Kaspersky Lab odkrył, że głównym celem tego typu wirusa są użytkownicy korporacyjni: wirus dostaje się do komputera przy użyciu spamu udając list – mail w takiej czy innej sprawie. Standardowy scenariusz infekcji wygląda następująco:
Użytkownik, który może stać się celem, otrzymuje fałszywą wiadomość mailową z linkiem do Dropbox, gdzie rzekomo można coś pobrać (załącznik, itd). Oprócz linku do pliku i pozornie nieszkodliwego dokumentu tekstowego jest tam także samorozpakowujący się plik z rozszerzeniem .exe.
Gdy użytkownik zdecyduje się otworzyć załącznik, pojawi się przed nim niebieski ekran „śmierci” i jest już za późno. Oznacza to, że „Petya.A” jest już w komputerze użytkownika – czarny scenariusz!
Jak chronić się przed wirusem-szantażystą?
1 Zaleca się regularne tworzenie kopii zapasowych wszystkich ważnych plików. Wskazane jest, aby tworzyć dwie kopie, jedną w chmurze, np. Dropbox, Google Drive i inne. Druga kopia zapasowa powinna być na nośniku wymiennym (wymienny dysk twardy, duży dysk SSD, zapasowy laptop). Aby to dobrze zrobić, należy ustawić w urządzeniach prawa ograniczonego dostępu tylko do odczytu i zapisu, bez możliwości usunięcia lub nadpisania. Dla bezpieczeństwa kopie zapasowe są dostępne tylko dla użytkownika.
2 Przestępcy często tworzą fałszywe e-maile, podobne do raportów ze sklepów internetowych i banków, do rozpowszechniania złośliwego oprogramowania – nazywa się to „phishing”. Należy odpowiednio skonfigurować filtr spamu w poczcie i nigdy nie otwierać załączników wiadomości e-mail wysłanych z obcych, nieznanych źródeł.
3 Nie ufaj nikomu. Haker może wysłać takiego maila, podszywając się pod czyjegoś przyjaciela ze Skype, kolegę z gry online, a nawet pod kolegę z pracy.
4 Warto zablokować dostęp z Internetu do portu 445 TCP.
5 Wyłącz „Ukryj rozszerzenia znanych typów plików” w ustawieniach Opcji Eksploratora plików. Tak będzie łatwiej zorientować się, który plik jest niebezpieczny. W pierwszej kolejności trzeba się obawiać podejrzanych plików z rozszerzeniem .exe, .vbs i .scr.
6 Regularnie należy instalować aktualizacje systemu operacyjnego, przeglądarki, antywirusów i innego oprogramowania. Przestępcy używają wszelkich „dziur” w oprogramowaniu do infekowania komputerów i komórek użytkowników.
7 Należy zainstalować niezawodnego antywirusa, który jest w stanie walczyć z trojanami.
8 Jeśli zauważysz, że zachodzi podejrzany proces, należy odłączyć komputer od Internetu. Jeśli trojan-szantażysta nie zdążył usunąć klucza szyfrowania na komputerze, to jest szansa, aby przywrócić pliki.
Aktualizacja
Infekcja bardzo szybko się rozprzestrzenia i niestety mamy złe wiadomości – zgodnie z informacjami od Kaspersky Lab Polska jest już na 3. miejscu pod względem ilości infekcji komputerów – zaraz po Ukrainie i Rosji. Serwis zaufanatrzeciastrona.pl informuje, że ofiarami ataku w Polsce padły przypuszczalnie firma kurierska Raben, czy też firma Intercars z branży motoryzacyjnej.
Serwis niebezpiecznik.pl w aktualizacji swojego komunikatu z godziny 22:00 wskazuje przyczynę dużego sukcesu szkodnika na Ukrainie – podmieniono tam aktualizację jednego z popularnych narzędzi do zarządzania dokumentami M.E.doc na szkodliwą, pobierając się automatycznie użytkownikom – infekowała ich komputery i dalej rozprzestrzeniała się po wewnętrznej sieci szukając znanych podatności. Może to też wyjaśniać wysoką pozycję Polski – firmy mające oddziały na Ukrainie mogły paść ofiarą pośrednio po infekcji w tamtejszych biurach.
- HP
- TSN UA