Досвід кібератак в Україні та світі – як захиститися від вірусів-вимагачів та вірусів- руйнівників

Фото не є прямою ілюстрацією до матеріалу

Експерти надали рекомендації щодо захисту комп’ютерів від атак кібервимагачів та вірусів- винищувачів 27 червня 2017 року в Україні була зафіксована масштабна кібератака, що одночасно вразила та блокувала діяльність десятків, а згодом і тисяч державних і комерційних структур країни. За перші три доби до Національної поліції України звернулося понад 2 тисячі юридичних і фізичних осіб із повідомленнями щодо блокування роботи комп’ютерної техніки в результаті розповсюдження вірусу. З офіційними заявами, станом на 30 червня, до поліції звернулися 309 організацій приватного сектору та 111 організацій державного сектору країни 1 . Хакерська атака здійснювалася з використанням злодіями шкідливої програми-руйнівника під назвою Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особливість дії вірусу полягає в ураженні комп’ютерів і серверів під керуванням ОС Microsoft Windows та передбачає перезапис інформації на жорстких дисках.

У результаті зараження комп’ютерного обладнання вірусом з’являлося повідомлення від кіберзлодіїв з пропозицією сплатити «викуп» за розблокування уражених даних (придбання ключа дешифрування) у розмірі 300 доларів у цифровий валюті – біткоїни. Проте, експерти наголошують, що шкідливе програмне забезпечення (ПЗ) Diskcoder.C не є «шифрувальником» та не належить до категорії «ransomware» (програм-вимагачів). Таким чином, пошкоджені дані неможливо «розшифрувати» та відновити. Є лише можливість відновити інші файли, які не потрапили під дію Diskcoder.C. Ключова мета програми-руйнівника полягала у виведенні комп’ютерного обладнання з ладу та блокуванні роботи компаній. Тож Diskcoder.C є наочним прикладом того, що платити викуп злодіям у жодному разі не можна, Потрапляння до кіберзлодія «на гачок» може обернутися не лише втратою файлів, а й втратою коштів.

Наразі експертами встановлено, що ураження інформаційних систем українських компаній переважно відбувалося через оновлення програмного забезпечення «M.E.Doc» 2 , призначеного для звітності та документообігу. За отриманими кіберполіцією даними, які підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у галузі інформаційної безпеки, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення 3.

Спеціалісти зазначають, що атака Diskcoder.C, розпочата 27 червня, мала попередників. Початок системних нападів на «українські комп'ютери» – це перші атаки, які були скоєні у березні-квітні 2017 року (коли відбувалося як зараження комп'ютерів вірусом-шифрувальником за допомогою листів нібито від

Державної податкової служби або від банку). Фахівці відзначають низку схожих ознак, які пов'язують весняні атаки, атаку Diskcoder.C, а також кібернапади на об'єкти критичної інфраструктури в Україні, вчинені за останні декілька років.

З кожним роком питання безпеки даних стає дедалі вагомішим як для організацій різних масштабів та галузей, так і для кожного окремого користувача. Експерти Української міжбанківської Асоціації членів платіжних систем ЄМА наголошують на важиливості донесення інформації щодо необхідності вживання превентивних заходів та наслідків сплати «викупу» хакерам-нападникам, беручи до уваги досвід останніх масових кібератак в Україні та світі, що пов’язані із застосуванням злодіями вірусів-руйнівників і вірусів-вимагачів.

Для захисту комп’ютерного обладнання від програм-винищувачів (зокрема шкідливого ПЗ Diskcoder.C) фахівці радять:

1. Усе те, що може бути причетним до фази ініціації атаки вірусом (зазвичай це: сервер/ПК, «M.E.Doc», контролер домену) необхідно відключити, зробити копії жорстких дисків, перевстановити. До цього підключатися до Інтернету та локальної мережі не можна.

2. Змінити свої паролі до адміністративних облікових записів на комп’ютерах та файерволах (під час формування паролю використовуйте щонайменш: 10 cимволів, 2 великі літери, 2 малі літери, 2 цифри, 2 символи. Не слід використовувати звичайні слова із словника).

3. Змінити паролі до електронної пошти та електронні цифрові підписи, у зв’язку з тим, що ці дані могли бути скомпрометовані.

4. Cкористайтеся рекомендаціями щодо поновлення доступу до враженої вірусом операційної системи, які наведені на сайті Департаменту кіберполіції Національної поліції України.

Наразі віруси-руйнівники та програми-вимагачі є проблемою міжнародного масштабу, яка потребує невідкладного вирішення. За результатами першого кварталу 2017 року 6 з 10 шкідливих ПЗ складали саме віруси-вимагачі 4 . За даними спеціалістів «Лабораторії Касперського», кожні 40 секунд комерційні та державні установи по всьому світу зазнають атак вірусами-вимагачами, при цьому індивідуальні атаки відбуваються кожні 10 секунд 5 . Відповідно до прогнозів дослідлідницької компаніїї Cybersecurity Ventures, очікується, що у 2017 році глобальні втрати у результаті дій кібервимагачів перевищуватимуть 5 млрд. доларів, порівняно із сумою збитків у розмірі 325 млн. доларів у 2015 році.

Серед загальних рекомендацій щодо захисту даних на комп’ютері від вірусів-руйнівників та вірусів-вимагачів:

1. Установити оновлення ОС Windows MS17-010.

2. Відключити застарілу версію мережевого протоколу (Server Message Block) – SMB1.

3. Слід уважно ставитися до всієї електронної кореспонденції: не слід завантажувати та відкривати додатки й переходити за посиланнями у листах, які надіслані з невідомих адрес або виглядають підозріло (наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо), а також у листах з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів (архівів, виконуваних файлів тощо). У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – слід зв’язатися з відправником та підтвердити факт відправки листа.

4. Заблокувати можливість відкриття JS файлів, отриманих електронною поштою.

5. Завжди створюйте резервні копії файлів на окремих носіях або в хмарному сховищі. Вимикайте зв'язок із хмарним сховищем, щойно завантажили туди дані.

6. Включіть у налаштуваннях Windows на комп'ютері функцію «Показувати розширення файлів»: це допоможе помітити потенційно шкідливі файли (файли з розширенням «.exe», «.vbs» і «.scr» – потенційно небезпечні!). Шахраї можуть використовувати кілька розширень, щоб замаскувати шкідливий файл під нібито відео, фото чи документ (наприклад, hot-chics.avi.exe або doc.scr).

7. Якщо на вашому комп'ютері запущено шкідливий процес, негайно вимкніть зв'язок з мережею Інтернет та локальною мережею. Це може зупинити процес зараження вірусом.

У разі, якщо шкідливе програмне забезпечення все ж заблокувало комп’ютер, спеціалісти категорично не рекомендують реагувати на повідомлення з вимогою сплати викупу для повернення доступу до файлів.

«Сплачувати викуп нападникам у жодному разі не можна. По-перше, немає жодних гарантій, що доступ до комп’ютера буде відновлено, а файли врятовані. По-друге, здійснення будь-якого платежу – це вклад до "бюджету" шахрая та фінансування його подальшої кіберзлочинної діяльності», – зазначає Олексій Красюк, заступник директора з операційних питань та інформаційної безпеки Української міжбанківської Асоціації членів платіжних систем ЄМА.

Також експерти наголошують, що сьогодні у кожного українця є можливість безкоштовно скористатися інструментом для дешифрування заражених вірусом файлів на своєму комп’ютері чи мобільному пристрої, якщо він був атакований шкідливим шифрувальним програмним забезпеченням (вірусом-вимагачем). У квітні 2017 року, у рамках глобальної ініціативи No More Ransom, метою якої є боротьба з кібервимаганням, було запущено Інтернет-сторінку українською мовою, де доступні спеціальні ключі та додатки для повернення доступу до «інфікованих» вірусом файлів. Доступ громадян до такого функціоналу став можливим завдяки долученню до глобальної ініціативи з протидії кібервимагачам Департаменту кіберполіції України та Асоціації ЄМА.

Міжнародний проект No More Ransom, який був запущений у липні 2016 року спільними зусиллями Європолу, поліції Нідерландів, «Лабораторії Касперського» та компанії Intel Security, наразі підтримали вже 89 організацій. Зараз на сайті проекту No More Ransom доступні вже 50 ефективних інструментів для дешифрування даних. Крім української, платформа www.nomoreransom.org працює ще на 14 різних мовах.

За рік роботи проекту за допомогою розроблених спеціалістами інструментів уже понад 29 000 користувачів по всьому світу змогли розшифрувати заражені вірусом дані без платежів нападникам.

У випадку, коли роботу комп’ютера було заблоковано вимагацьким ПЗ або ПЗ-руйнівником, необхідно негайно повідомити про інцидент у кіберполіцію, найпростіший спосіб – через сайт Департаменту кіберполіції Національної поліції України.

Українська міжбанківська Асоціація членів платіжних систем ЄМА
кібератака досвід захист віруси пароль програмнезабезпечення
Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію
Оцініть першим
(0 оцінок)
Поки ще ніхто не оцінював
Ніхто ще не рекомендував
Авторизуйтесь ,
щоб оцінити і порекомендувати

Коментарі

Пригоди
Сьогодні, у ніч на 12 липня через негоду, що панувала у області, затопило кілька домогосподарств. Про це йдеться у повідомленні пресслужби Головного управління ДСНС в Рівненській області. Зокрема, нині, як зазначається, рятувальники області надають допомогу місцевому населенню, що проживають на вулиці Хмільній. Дощова вода затопила вщент їхні подвір‘я. Тож на місце події викликали рятівників. До надання допомоги залучено один пожежний автомобіль, дві мотоп...
Пригоди
У селі Бранів, що на Кореччині, через сильний порив вітру та негоду, що панувала в районі на житловий будинок впало дерево та заблокувало у середині там двох жінок - матір та її доньку, повідомляють у пресслужбі Головного управління ДСНС в Рівненській області. До слова, на місце події викликали рятувальників, котрі оперативно надали допомогу жінкам та визволили їх із пастки. Дерево з будинку зрізали та зняли.  Постраждалих на щастя не виявилося. Читайте на...
Пригоди
Сьогодні, близько восьмої ранку у селі Карпилівка Сарненського району у одному з приватних господарств спалахнула пожежа. Про це повідомляють у пресслужбі Головного управління ДСНС в Рівненській області. Вогнеборці, котрі прибули за викликом, оперативно загасили осередок займання. Поширенню пожежі на іншу господарську будівлю та житловий будинок вдалося запобігти. Однак вогонь встиг пошкодити дах. Нині причина пожежі та розмір збитків наразі встановлюються...
Суспільство
Цілодобовий оперативний штаб протидії коронавірусу при Рівненській ОДА інформує, що станом на ранок 12 липня на Рівненщині зареєстровано 31 новий випадок захворювання на COVID-19. На вечір же суботи 11 липня - 51. До слова, сьогодні це: 30 мешканців міста Рівного та 1 мешканець міста Дубно. Вік хворих від 21 до 64 років. Відтак в Рівненській області маємо 4629 випадків захворювання на коронавірусну хворобу. З них 549 медичних працівники та 331 дитина...
Суспільство
В Україні зафіксовано 678 нових випадків коронавірусної хвороби COVID-19. 12 липня в Україні 53 521 лабораторно підтверджений випадок COVID-19, з них 26 118 одужав, 1383 померли. Загалом проведено 796 680 тестувань методом ПЛР.  Наразі коронавірусна хвороба виявлена:  Вінницька обл. — 2097 (1540 одужали); Волинська обл. — 3042 (1618 одужали); Дніпропетровська обл. — 1144 (1033 одужали); Донецька обл. — 759 (249 одужали); Житомирська обл. — 1532 (1129 одужа...
Пригоди
У п'яти районах області рятувальники Рівненщини в ніч з 11 на 12 липня надають допомогу населенню та ліквідовують наслідки сильної негоди. Це Корецький, Гощанський, Острозький, Рівненський та Костопільський райони, повідомляють у пресслужбі Головного управління ДСНС в Рівненській області. Так зокрема підрозділи обласного управління ДСНС працюють в Корецькому, Гощанському, Острозькому, Рівненському та Костопільському районах. Зокрема, у Острозькому та Корец...
Реклама
Окрім традиційних готелів та санаторів, курортний Трускавець багатий віллами – мальовничими пам’ятками архітектури, що мають багату історію та вишуканий дизайн. Однією з таких є вілла «Моцарт», яка по праву вважається однією з найкрасивіших будівель курорту. Тут - унікальна архітектура, відмінний сервіс та смачна кухня. Вілла «Моцарт» розташована в самому серці Трускавця, безпосередньо біля центральної площі міста, за 100 метрів від бювету мінеральних вод....
Пригоди
Сьогодні, близько четвертої години дня у селищі Зоря Рівненського району трапилася ДТП - зіткнулись два легковика.  Попередньо відомо про двох потерпілих. Їх госпіталізували. Нині на місці події працюють рятувальники та поліція, повідомляють у пресслужбі ГУ ДСНС в Рівненській області. Також відомо, що через ДИП на цій ділянці дороги поки що ускладнено рух, який регулюють поліцейські. Обставини даної події наразі встановлюються.На місці залишаються працюват...
Суспільство
Саме об’єднані територіальні громади Рівненщини за підсумками першого півріччя демонструють найвищі темпи приросту податку на доходи фізичних осіб. Департамент фінансів облдержадміністрації наводить такі показники: Старосільська ОТГ - 148,4%; Локницька ОТГ -  141,3%; Висоцька, Крупецька і Тараканівська  ОТГ  - понад 130%; Вараська, Бугаївська і Шпанівська ОТГ - понад 120%.  Як пояснив голова Старосільської ОТГ Рокитнівського району Михайло Кузьмич, досягти...