RSS
Истории
27 июня 2017, 14:09
Масштабная хакерская атака - как это было
Вирус заблокировал работу нескольких облэнерго, Укрэнерго, ДТЭК, Роснефть и другие энергокомпании + банки + госструктуры + банкоматы.

"Заблокированы (шифровка) 99% компьютеров Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы. Под угрозой надежность передачи и распределения электроэнергии региона", - подчеркнул он.

Кроме того, по слова источника, вирус поразил не только Запорожский регион, а массово по всей Украине предприятия энергетики.

"Говорят, есть особое указание диспетчера НЕК Укрэнерго "до особого распоряжения" об обмене информации", - отметил он.

Также в ГП "Укрэнерго" подтвердили, что несколько часов назад действительно были определенные трудности и компьютеры их сотрудников в Киеве подверглись возможной кибератаке.

"Однако мы пока не можем сказать, что это точно была кибератака. Проводим пока расследование. На данный момент все работает стабильно. На работу энергосистемы происшествие никак не повлияло", - рассказали в пресс-службе.

При этом ситуацию в Запорожьеоблэнерго и Днепроэнерго в "Укрэнерго" ни подтвердить, ни опровергнуть не смогли.

Также отметим, что сайты "Укрэнерго не работают на момент написания статьи.


Обновление 15:18

Днём 27 июня сети крупнейших энергетических компаний Украины ДТЭК и «Укрэнерго» оказались заражены вирусом-шифровальщиком данных, похожим на WannaCry. Также об атаке на несколько банков сообщил Нацбанк страны.

Сообщение, которое отображает вирус, атаковавший украинские компании, фото TJ

В России в результате атаки оказались заблокированы компьютеры в «Башнефть-Добыче», НПЗ и управлении «Башнефти». Они одновременно перезагрузились и показали сообщение с требованием выкупа - такое же отображалось при атаке на украинские компании.


Обновление 15:22

Сети «Укрэнерго» и ДТЭК, крупнейших энергетических компаний Украины, оказались заражены новой формой вируса-шифровальщика, напоминающего WannaCry. Об этом рассказал источник внутри одной из компаний, непосредственно столкнувшийся с атакой вируса, сообщает tjournal.

По словам источника, днём 27 июня его компьютер на работе перезагрузился, после чего система якобы начала проверку жёсткого диска. После этого он увидел, что аналогичное происходит на всех компьютерах в офисе:

«Я понял, что идёт атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги».

В сообщении, появившемся на экране компьютеров (везде одинаковом), говорится, что файлы на жёстком диске зашифрованы, а для их расшифровки требуется отправить 300 долларов на адрес Bitcoin-кошелька. На момент написания материала этот кошелёк был пуст.

В компании распорядились отключить все компьютеры до конца дня. По данным источника, атака также затронула ДТЭК, в которых входит «Киевэнерго»: там якобы распорядились выключить сеть, чтобы остановить заражение. В пресс-службе компании подтвердили факт атаки. На момент подготовки материала сайт ДТЭК был недоступным, некоторые сервисы сайта «Киевоблэнерго» не работали.

Источник утверждает, что главный офис «Укрэнерго» тоже успел выключить сеть и избежать заражения, однако его подразделения полностью заражены. Подразделения «Укргидроэнерго», например, Киевские ГЭС и ГАЭС, не затронуты, говорит источник.

Нацбанк Украины также предупредил банки и другие компании финансового сектора о проводимой атаке: «В результате таких кибератак эти банки испытывают сложности с обслуживанием клиентов и осуществлением банковских операций».

С утра наблюдаются сбои в работе «Ощадбанка», но в банке опровергли сообщения о хакерской атаке и сообщают о проведении регламентных работ из-за которых сотрудникам и клиентам банка недоступны отдельные функции, передает «Экономическая правда». В банке сообщили, что регламентные работы будут продолжаться «несколько часов».

Обновление 15:38

Хакерская атака остановила работу платежных терминалов в "Киевском метрополитене" и привела к массовым сбоям во торговых сетях, энергокомпаниях, СМИ, банках, почтовых сервисах.

"Друзья, "Ощадбанк" перезапускает систему. Банковские карты не обслуживаются. Карточки метро - в обычном режиме", - говорится в сообщении.


Новая почта тоже пострадала

Обновление 15:44

Аэропорт "Борисполь" подвергся спам-атаке: возможны задержки рейсов.

Об этом на своей странице в Фейсбуке написал и.о. директора аэропорта "Борисполь" Павел Рябикин

"Внимание! Уважаемые коллеги/журналисты/пассажиры. Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация- спам-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию. В связи с внештатной ситуацией возможны задержки рейсов. Мы очень просим вас отнестись с пониманием, соблюдать спокойствие. Актуальную информацию о времени вылета вы можете прочитать на табло в терминале D в зоне вылета и на сайте аэропорта "Борисполь" kbp.kiev.ua", - рассказал он.

 

+ Кабинет министров Украины

 

Обновление 15:57

 

О заражении вредоносным вирусом сообщили и в сети заправок KLO.

 

Обновление 16:06

 

Компания Укрлендфарминг и Авангард, акции которой котируются на Лондонской фондовой бирже, также подверглась хакерской атаке вместе с другими коммерческими и государственными учреждениями. "Атака была осуществлена с помощью неизвестного вируса, который существенно ограничил работоспособность компьютерных систем компании. Технические подразделения Укрлендфарминг и Авангарда принимают все необходимые меры для восстановления работы систем и минимизации убытков для предприятий холдинга, партнеров и клиентов"

Укрэнерго успокаивает, что все нормально

 

Обновление 16:20


Чтобы защититься от вируса, который поразил сети «Роснефти», а также украинских банков, энергокомпаний и правительства, системным администраторам компаний необходимо закрыть несколько TCP-портов. Об этом сообщила компания Group-IB, которая специализируется на информационной безопасности, передаёт RNS. 

Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445, сказали в компании. По данным Group-IB, в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года и не имеющий отношения к вирусу WannaCry, который распространялся в начале мая 2017 года.

«По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и Украине», - сказал руководитель криминалистической лаборатории Group-IB Валерий Баулин.

Обновление 16:34

Список пораженных сайтов:

Кабинет министров Украины
Министерство внутренних дел
Министерство культуры
Минфин
Нацполиция
Нацбанк
Ощадбанк
Аэропорт "Борисполь"
Телеканал 24
Радио "Люкс"
Радио "Максимум"
"КП в Украине"
"Корреспондент.нет"
"Новая почта"
"Киевэнерго"
ДТЭК
"Днепрэнерго"
"Новус"
"Кло"
"Эпицентр"
"Ариселлор Миттал"
"Укртелеком"

 

Обновление 16:48

Как пишет Xakep.ru, эксперты компании G DATA уже разобрались в принципе действия вируса Petya. Он блокирует не только рабочий стол или окно браузера, но и вообще предотвращает загрузку операционной системы. Сообщение с требованием выкупа при этом гласит, что вирус использует "военный алгоритм шифрования" и шифрует весь жесткий диск сразу, одновременно выполняя функцию блокировщика.

Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается вирус. При клике на нее система падает, и появляется "синий экран смерти", который не исчезает даже при перезагрузке.

Эксперты полагают, что перед ребутом вредонос вмешивается в работу MBR с целью перехвата управления процессом загрузки.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи "военного алгоритма шифрования" и восстановить их невозможно.

Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение семи дней, сумма выкупа удваивается. "Купить" у атакующего предлагается специальный "код расшифровки", вводить который нужно прямо на экране локера.

Специалисты пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, он просто блокирует доступ к файлам и не дает операционной системе загрузиться. Поэтому они настоятельно не рекомендуют платить злоумышленникам выкуп и обещают вскоре опубликовать обновленную информацию об угрозе.

 

Обновление 17:03

В Администрации Президента Украины говорят, что были готовы к такой атаке

 

Вирус в действии

 

Официальное сообщение правительства

 

Обновление 18:03

 

Директор департамента коммуникации Нацполиции Ярослав Тракало дал свои рекомендации. 

 

Вирус "положил" сайт киберполиции ...

Крупные супермаркеты Харькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):


Вирус бушует и в других странах

Обновление 18:25

Сеть гипермаркетов Metro в Украине, управляемая ООО "Метро Кеш энд Керри Украина" (Metro C&C, Киев), в результате хакерской атаки, поразившей ряд государственных и частных организаций во вторник, оставила возможность рассчитываться на кассах магазинов только наличными средствами.

Обновление 19:01

Киевские пользователи сообщают, что атаке вируса Petya.A подверглись банкоматы некоторых банков.

В частности, фотографию зараженного вирусом банкомата OTP банка разместил в сети Facebook киевлянин Александр Вышенский. 

Фотография была сделана примерно в 17:30. По словам автора фото, банкомат банка Аваль при этом работал. В комментариях пользователи отмечают, что пострадал также банкомат ПриватБанка рядом с университетом КПИ. В то же время, банкоматы Правекс-Банка работают.

 


"Новая почта" возобновила работу отделений, личного кабинета, сайта компании и системы API.

Читайте самые интересные истории ЭлектроВестей в Telegram и Viber

По материалам: ЭлектроВести
ELEKTROVESTI.NET экономят ваше время
Подпишитесь на важные новости энергетики!