Можливо, ви вже в курсі про хакерську загрозу зафіксованої 27 червня 2017 року країнах Росії та України, які зазнали масштабної атаки схожою на WannaCry. Вірус блокує комп'ютери і вимагає викуп у біткоіни за дешифрування файлів. В цілому постраждало більше 80 компаній в обох країнах, включаючи російські «Роснефть» і «Башнефть».

Вірус-шифрувальник, як і сумнозвісний WannaCry, заблокував всі дані комп'ютера і вимагає перевести злочинцям викуп у біткоіни, еквівалентний $ 300. Але на відміну від Wanna Cry, Petya не обтяжує шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий дискцілком.

Правильна назва цього вірусу - Petya.A. Звіт ESET розкриває деякі можливості Diskcoder.C (він же ExPetr, PetrWrap, Petya або NotPetya)

За статистикою всіх постраждалих, вірус поширювався в фішингових листах із зараженими вкладеннями. Зазвичай лист приходить з проханням відкрити текстовий документ, А як ми знаємо друге розширення файлу txt.exeховається, а пріоритетним є останнім розширення файлу. За замовчуванням операційна система Windows не відображує розширення файлів і вони вигладять ось так:

В 8.1 у вікні провідника (Вид \ Параметри папок \ Прибираємо галочку Приховувати розширення для зареєстрованих типів файлів)

У 7 в вікні провідника (Alt \ Сервіс \ Параметри папок \ Прибираємо галочку Приховувати розширення для зареєстрованих типів файлів)

І найстрашніше, що користувачів навіть не бентежить, що листи приходять від невідомих користувачів і просять відкрити незрозумілі файли.

Після відкриття файлу користувач бачить « синій екрансмерті ».

Після перезавантаження, схоже на те, що запускається «Скан диск» насправді, вірус шифрує файли.

На відміну від інших програм-вимагачів, після того як цей вірус запущений, він негайно перезапускає ваш комп'ютер, і коли він завантажується знову, на екрані з'являється повідомлення: "НЕ ВИМИКАЙТЕ ВАШ ПК! ЯКЩО ВИ ЗУПИНІТЬ ЦЕЙ ПРОЦЕС, ВИ МОЖЕТЕ ЗНИЩИТИ ВСЕ ВАШІ ДАНІ! БУДЬ ЛАСКА, ПЕРЕВІРТЕ, ЧИ ВАШ КОМП'ЮТЕР ПІД'ЄДНАНО до зарядки! ". Хоча це може виглядати як системна помилка, насправді, в Наразі Petya мовчки виконує шифрування в прихованому режимі. Якщо користувач намагається перезавантажити систему або зупинити шифрування файлів, на екрані з'являється миготливий червоний скелет разом з текстом "НАТИСНІТЬ БУДЬ-ЯКУ КЛАВІШУ!". Нарешті, після натискання клавіші, з'явиться нове вікно з запискою про викуп. У цій записці, жертву просять заплатити 0.9 біткойнов, що дорівнює приблизно $ 400. Проте, це ціна лише за один комп'ютер. Тому, для компаній, які мають безліч комп'ютерів, сума може складати тисячі. Що також відрізняє цього вимагача, так це те, що він дає цілий тиждень щоб заплатити викуп, замість звичайних 12-72 годин, які дають інші віруси цієї категорії.

Більш того, проблеми з Petya на цьому не закінчуються. Після того, як цей вірус потрапляє в систему, він буде намагатися переписати завантажувальні файли Windows, Або так званий завантажувальний майстер записи, необхідний для завантаження операційної системи. Ви будете не в змозі видалити Petya вірус з вашого комп'ютера, якщо ви не відновите настройки завантажувального майстра записи (MBR). Навіть якщо вам вдасться виправити ці настройки і видалити вірус з вашої системи, на жаль, ваші файли будуть залишатися зашифрованими, тому що видалення вірусу не забезпечує розшифровку файлів, а просто видаляє інфекційні файли. Звичайно, видалення вірусу має важливе значення, якщо ви хочете продовжити роботу з комп'ютером

Після потрапляння на ваш комп'ютер під управлінням системи Windows, Petya практично миттєво зашифровує MFT (Master File Table - головна таблиця файлів). За що ж відповідає ця таблиця?

Уявіть, що ваш жорсткий диск - це найбільша бібліотека у всьому всесвіті. У ній містяться мільярди книг. Так як же знайти потрібну книгу? Тільки за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-якої «файл» на вашому ПК. Якщо бути ще точніше, то після «роботи» Petya жорсткий диск вашого комп'ютера буде нагадувати бібліотеку після торнадо, з обривками книг, літаючими всюди.

Таким чином, на відміну від Wanna Cry, Petya.A не шифрується окремі файли, Витрачаючи на це значний час - він просто відбирає у вас будь-яку можливість знайти їх.

Хто створив вірус Петя?

При створенні вірусу Петя був задіяний експлойт ( «діра») в ОС Windows під назвою «EternalBlue». Microsoft випустив патч kb4012598(З раніше випущених уроків по WannaCry ми вже розповідали про це оновлення, яке «закриває» цю діру.

Творець «Petya» зміг з розумом використовувати безпечність корпоративних і приватних користувачів і заробити на цьому. Його особа поки що невідома (та й навряд чи буде відома)

Як видалити вірус Petya?

Як видалити вірус Petya.A з вашого жорсткого диска? Це вкрай цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то і видаляти буде, фактично, нічого. Якщо ви не планує платити здирникам (чого робити не варто) і не будете пробувати відновлювати дані на диску в подальшому, вам досить просто провести форматування диска і заново встановити ОС. Після цього від вірусу не залишиться і сліду.

Якщо ж ви підозрюєте, що на вашому диску присутній заражений файл - проскануйте ваш диск антивірусом від компанії ESET Nod 32 і проведіть повне сканування системи. Компанія NOD 32 запевнила, що в його основі сигнатур вже є відомості про даний вірус.

дешифратор Petya.A

Petya.A зашифровує ваші дані дуже стійким алгоритмом шифрування. На даний момент не існує рішення для розшифровки заблокованих відомостей.

Безсумнівно, ми б все мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус WannaCry вразив світ кілька місяців тому, але ліки для розшифровки даних, які він зашифрував, так і не знайдено.

Єдиний варіант, це якщо раніше у вас були тіньові копії файлів.

Тому, якщо ви ще не стали жертвою вірусу Petya.A - поновіть ОС систему, встановіть антивірус від компанії ESET NOD 32. Якщо ви все ж втратили контроль над своїми даними - то у вас є кілька шляхів.

Заплатити гроші. Робити цього безглуздо!Фахівці вже з'ясували, що дані творець вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.

Спробувати видалити вірус з комп'ютера, а ваші файли спробувати відновити за допомогою тіньової копії (вірус їх не вражає)

Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і жати появи дешифратора.

Форматування диска і установка операційної системи. Мінус - всі дані будуть втрачені.

Petya.A і Android, iOS, Mac, Linux

Багато користувачів турбуються - «а чи може вірус Petya заразити їх влаштування під управлінням Androidі iOS. Поспішу їх заспокоїти - ні, не може. Він розрахований тільки на користувачів ОС Windows. Те ж саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.

Вірус-вимагач Petya атакував комп'ютери України, Росії, Швеції, Голландії, Данії та інших країн. Тільки що поява вірусу зафіксовано в Азії: в Індії вийшла з ладу система управління вантажопотоком найбільшого в країні контейнерного порту. Однак, Україна постраждала найбільше - аеропорт Харкова повністю паралізований, в аеропорту Бориспіль робота відновлена, але все ще не працює головний сервер. Всього заблоковано близько 300 тисяч комп'ютерів, користувач повинен заплатити 300 доларів за розблокування даних. На даний момент, хакерам виплачено близько 5000 доларів від 20 користувачів, повідомляє Next Web.

Хто винен?

Вночі департамент кіберполіції Національної поліції України повідомив у себе на сторінці в Facebook, що атака на Україну здійснювалася через програму для звітності та документообігу «M.E.doc»:

Поліцейські повідомляють, що атака почалася о 10:30 за московським часом, після того як розробники софта викотили чергове оновлення. При цьому самі автори програм для автоматизації документообігу свою причетність категорично заперечують і призводять докладні аргументи:

Пізніше на сторінці кіберполіції з'явилося повідомлення про те, що вони не звинувачують компанію «M.E.doc», а лише констатують: виявлено факти, які слід детально перевірити. Однак ставити оновлення все одно не рекомендують:

Хто такий Петя?

Як експерти Positive Technologies розповіли сайт, це зловредів, принцип дії якого заснований на шифруванні головною завантажувального запису(MBR) завантажувального сектора диска і заміні його своїм власним.

Навіть після того як комп'ютер був заражений, у користувача залишається 1-2 години, за які можна встигнути запустити команду bootrec / fixMbr для відновлення MBR і відновити працездатність ОС, однак розшифрувати файли не вдасться.

Крім того, Petya уміє обходити оновлення безпеки системи, які були встановлені після атаки WannaCry, тому він настільки ефективний і поширюється на інші комп'ютери лавиноподібно. Він бореться за контроль над усіма вузлами домену, що еквівалентно повній компрометації інфраструктури.

Британія, США та Австралія офіційно звинуватили Росію в поширенні NotPetya

15 лютого 2018 року Міністерство закордонних справ Великобританії виступило з офіційною заявою, в якій звинуватило Росію в організації кібератаки з використанням вірусу-шифрувальника NotPetya.

За твердженням британської влади, дана атака продемонструвала подальше нехтування по відношенню до суверенітету України, і в результаті цих нерозважливих дій була порушена робота безлічі організацією по всій Європі, що призвело до багатомільйонних збитків.

У Міністерстві відзначили, що висновок про причетність до кібератаки російського уряду і Кремля був зроблений на підставі висновку Національного центру кібербезпеки Великобританії (UK National Cyber ​​Security Centre), який «практично повністю впевнений в тому, що за атакою NotPetya стоять російські військові» .Також в заяві сказано, що і її союзники не потерплять шкідливої ​​кіберактівності.

Кремль, раніше вже неодноразово заперечував будь-яку причетність російської влади до хакерських атак, назвав заяву британського МЗС частиною «русофобської кампанії»

Пам'ятник "Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya"

Пам'ятник комп'ютерного вірусу Petya встановили в грудні 2017 року біля будинку Технопарку Сколково. Двометровий монумент, з написом: «Тут лежить переможений людьми 27/06/2017 комп'ютерний вірус Petya». виконаний у вигляді надкушеною жорсткого диска, був створений за підтримки компанії ИНВИТРО, в числі інших компаній постраждала від наслідків масованої кібератаки. Робот на ім'я Ню, який працює в Фізтехпарке і (МТІ) спеціально приїхав на церемонію, щоб виголосити урочисту промову.

Атака на уряд Севастополя

Фахівці Головного управління інформатизації та зв'язку Севастополя успішно відбили атаку мережевого вірусу-шифрувальника Petya на сервери регіонального уряду. Про це 17 липня 2017 року на апаратній нараді уряду Севастополя повідомив начальник управління інформатизації Денис Тимофєєв.

Він заявив, що шкідлива програма Petya ніяк не вплинула на дані, що зберігаються на комп'ютерах в державних установахСевастополя.

Орієнтованість на використання вільного програмного забезпечення закладена в концепції інформатизації Севастополя, затвердженої в 2015 році. У ній вказується, що при закупівлі та розробці базового ПО, а також ПО інформаційних систем для автоматизації доцільно аналізувати можливість використання вільних продуктів, що дозволяють скоротити бюджетні витрати і знизити залежність від постачальників і розробників.

Раніше, в кінці червня, в рамках масштабної атаки на медичну компанію «Інвітро» постраждав і філія її філія, розташований в Севастополі. Через ураження вірусу комп'ютерної мережі філія тимчасово призупинив видачу результатів аналізів до усунення причин.

«Інвітро» заявила про припинення прийому аналізів через кібератаки

Медична компанія «Інвітро» призупинила збір біоматеріалу та видачу результатів аналізів пацієнтів через хакерську атаку 27 червня. Про це РБК заявив директор з корпоративних комунікацій компанії Антон Буланов.

Як говориться в повідомленні компанії, найближчим часом «Інвітро» перейде в штатний режим роботи. Результати досліджень, проведених пізніше цього часу, будуть доставлені пацієнтам після усунення технічного збою. На даний момент лабораторна інформаційна системавідновлена, йде процес її налаштування. «Ми шкодуємо про ситуацію форс-мажорній ситуації і дякуємо нашим клієнтам за розуміння», - уклали в «Інвітро».

За цими даними, атаки комп'ютерного вірусупіддалися клініки в Росії, Білорусії та Казахстані.

Атака на «Газпром» та інші нафтогазові компанії

29 червня 2017 року стало відомо про глобальну кібератаці на комп'ютерні системи «Газпрому». Таким чином, ще одна російська компанія постраждала від вірусу-здирника Petya.

Як повідомляє інформаційне агентство Reuters з посиланням на джерело в російському уряді і людини, який брав участь в розслідуванні інциденту, «Газпром» постраждав від поширення шкідливої ​​програми Petya, яка атакувала комп'ютери в цілому більше ніж в 60 країнах світу.

Співрозмовники видання не надали подробиць про те, скільки і які системи були заражені в «Газпромі», а також про розмір збитку, нанесеного хакерами. У компанії відмовилися від коментарів на вимогу Reuters.

Тим часом, високопоставлене джерело РБК в «Газпромі» повідомило виданню, що комп'ютери в центральному офісі компанії працювали без перебоїв, коли почалася масштабна хакерська атака (27 червня 2017 року), і продовжують два дні по тому. Ще два джерела РБК в "Газпромі" також запевнили, що в компанії «все спокійно» і ніяких вірусів немає.

У нафтогазовому секторі від вірусу Petya постраждали «Башнефть» і «Роснефть». Остання заявила 28 червня про те, що компанія працює в в штатному режимі, а «окремі проблеми» оперативно вирішуються.

Банки і промисловість

Стало відомо про зараження комп'ютерів в «Євраз», російському відділенні фірми Royal Canin (виробляє форма для тварин) і російський підрозділ компанії Mondelez (виробник шоколаду Alpen Gold і Milka).

Згідно з повідомленням Міністерства внутрішніх справ України, чоловік на файлообмінних майданчиках і в соціальних мережах опублікував відео з докладним описомпроцесу запуску здирницькі ПО на комп'ютерах. У коментарях до ролика чоловік розмістив посилання на свою сторінку в соціальної мережі, На яку завантажив шкідливу програму. В ході обшуків в квартирі «хакера» правоохоронці вилучили комп'ютерну техніку, Що використовувалася для розповсюдження NotPetya. Також поліцейські виявили файли з шкідливим ПЗ, після аналізу яких було підтверджено його схожість з здирником NotPetya. Як встановили співробітники кіберполіції, здирницькі програма, посилання на яку опублікував нікопольчанин, була завантажена користувачами соцмережі 400 раз.

У числі завантажили NotPetya правоохоронці виявили компанії, навмисно заражали свої системи здирницькі ПО для приховування злочинної діяльності та ухилення від сплати штрафних санкцій державі. Варто зазначити, що поліція не пов'язує діяльність чоловіки з хакерськими атаками 27 червня нинішнього року, тобто, про яку-небудь його причетності до авторів NotPetya мова не йде. Адекватні йому діяння стосуються лише дій, скоєних в липні поточного року - після хвилі масштабних кібератак.

Стосовно чоловіка порушено кримінальну справу за ч.1 ст. 361 (несанкціоноване втручання в роботу ЕОМ) КК України. Нікопольчанин загрожує до 3 років позбавлення волі.

Поширення в світі

Поширення вірусу-здирника Petya зафіксовано в Іспанії, Німеччині, Литві, Китаї та Індії. Наприклад, через шкідливої ​​програми в Індії технології управління вантажопотоком контейнерного порту імені Джавахарлала Неру, оператором якого є A.P. Moller-Maersk, перестали розпізнавати приналежність вантажів.

Про кібератаці повідомили британська рекламна група WPP, іспанське представництво однієї з найбільших в світі юридичних компаній DLA Piper та харчової гігант Mondelez. У числі постраждалих також французький виробник будівельних матеріалів Cie. de Saint-Gobain і фармакологічна компанія Merck & Co.

Merck

Американський фармацевтичний гігант Merck, який сильно постраждав в результаті червневої атаки вірусу-шифрувальника NotPetya, до сих пір не може відновити всі системи і повернутися в нормальний режим роботи. Про це повідомляється в звіті компанії за формою 8-K, представленому в Комісію з цінних паперів і бірж США (SEC) в кінці липня 2017 року. Докладніше .

Moller-Maersk і «Роснефть»

3 липня 2017 року стало відомо про те, що датський судноплавний гігант Moller-Maersk і «Роснефть» відновили заражені вірусом-здирником Petya ІТ-системи лише через майже тиждень після атаки, яка сталася 27 червня.

У судноплавної компанії Maersk, на частку якої припадає кожен сьомий відправляється в світі вантажний контейнер, також додали, що всі 1500 додатків, які постраждали в результаті кібератаки, повернуться до штатної роботи максимум до 9 липня 2017 року.

Постраждали переважно ІТ-системи належить Maersk компанії APM Terminals, яка управляє роботою десятків вантажних портів і контейнерних терміналів в більш ніж 40 країнах. В добу понад 100 тис. Вантажних контейнерів, проходять через порти APM Terminals, їх робота яких була повністю паралізована через поширення вірусу. Термінал Maasvlakte II в Роттердамі відновив поставки 3 липня.

16 серпня 2017 року A.P. Moller-Maersk назвала приблизну суму збитку від кібернападів за допомогою вірусу Petya, зараження яким, як відзначили в європейській компанії, проходило через українську програму. Згідно з попередніми розрахунками Maersk, фінансові втрати від дії шифрувальника Petya в другій чверті 2017 року склали від 200 до 300 млн доларів.

Тим часом, майже тиждень на відновлення комп'ютерних систем від хакерської атаки потрібно також «Роснефти», про як 3 липня повідомили в прес-службі компанії повідомили «Інтерфаксу»:

Декількома днями раніше «Роснефть» підкреслювала, що поки не береться оцінювати наслідки кібератаки, але виробництво не постраждало.

Принцип дії Petya

Дійсно, жертви вірусу не можуть розблокувати свої файли після зараження. Справа в тому, що його творці не передбачили такої можливості взагалі. Тобто зашифрований диск апріорі не піддається дешифрування. В ідентифікатор шкідливої ​​програми відсутня інформація, необхідна для розшифровки.

Спочатку експерти зарахували вірус, який вразив близько двох тисяч комп'ютерів в Росії, Україні, Польщі, Італії, Німеччини, Франції, та інших країнах, до вже відомого сімейства вимагачів Petya. Однак виявилося, що мова йде про новий сімействі шкідливого ПЗ. "Лабораторія Касперського" охрестила новий шифрувальник ExPetr.

як боротися

Боротьба з кіберзагрозами вимагає об'єднання зусиль банків, ІТ-бізнесу і держави

Метод відновлення даних від Positive Technologies

7 липня 2017 року експерт Positive Technologies Дмитро Скляров представив метод відновлення даних, зашифрованих вірусом NotPetya. За словами експерта, метод можна застосовувати, якщо вірус NotPetya мав адміністративні привілеї і зашифрував диск цілком.

Можливість відновлення даних пов'язана з помилками в реалізації алгоритму шифрування Salsa20, допущеними самими зловмисниками. Працездатність методу перевірена як на тестовому носії, так і на одному з зашифрованих жорстких дисківвеликої компанії, що опинилася в числі жертв епідемії.

Компанії і незалежні розробники, які спеціалізуються на відновленні даних, можуть вільно використовувати і автоматизувати представлений сценарій розшифровки.

Результати розслідування вже підтвердили українські кіберполіцейських. Висновки слідства «Юскутум» збирається використовувати як ключовий доказ у майбутньому процесі проти Intellect-Service.

Процес буде носити цивільний характер. Незалежне розслідування проводять правоохоронні органи України. Їх представники раніше вже заявляли про можливість порушення справи проти співробітників Intellect-Service.

У самій компанії M.E.Doc заявили про те, що відбувається - спроба рейдерського захоплення компанії. Виробник єдиного популярного українського бухгалтерського ПО вважає, що минулий в компанії обшук, проведений кіберполіції України, став частиною по реалізації цього плану.

Початковий вектор зараження шифратором Petya

17 травня вийшла оновлення M.E.Doc, що не містить шкідливий модуль бекдор. Ймовірно, цим можна пояснити порівняно невелике число заражень XData, вважають в компанії. Атакуючі не очікували виходу апдейта 17 травня і запустили шифратор 18 травня, коли більшість користувачів вже встигли встановити безпечне оновлення.

Бекдор дозволяє завантажувати і виконувати в зараженій системі інше шкідливе ПЗ - так здійснювалося початкове зараження Шифратори Petya і XData. Крім того, програма збирає настройки проксі-серверів і e-mail, включаючи логіни і паролі з програми M.E.Doc, а також коди компаній за ЄДРПОУ (Єдиним державним реєстром підприємств та організацій України), що дозволяє ідентифікувати жертв.

«Нам належить відповісти на ряд питань, - розповів Антон Черепанов, старший вірусний аналітик Eset. - Як довго використовується бекдор? Які команди і шкідливі програми, крім Petya і XData, були спрямовані через цей канал? Які ще інфраструктури скомпрометувала, але поки не використовувала кібергруппа, що стоїть за цією атакою? ».

За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми і цілі атак, експерти Eset встановили зв'язок між епідемією Diskcoder.C (Petya) і кібергруппой Telebots. Достовірно визначити, хто стоїть за діяльністю цього угруповання, поки не вдалося.

Сьогодні вірус-вимагач атакував безліч комп'ютерів в державному, комерційному і приватному секторах України

Безпрецедентна атака хакера нокаутувала безліч комп'ютерів і серверів в державних органах і комерційних організаціях по всій країні

Масштабна і ретельно спланована кібер-атака вивела сьогодні з ладу об'єкти критичної інфраструктури багатьох держпідприємств і компаній. Про це повідомила Служба безпеки (СБУ).

Починаючи з обіду в інтернеті як сніжний ком почали з'являтися повідомлення про зараження комп'ютерів в державному і приватному секторі. Представники урядових установ заявили про хакерські атаки на їх IT-інфраструктуру.

За даними СБУ, зараження переважно відбувалося внаслідок відкриття word- і pdf-файлів, які зловмисники розсилали по електронній пошті. Вірус-вимагач (ransomware) Petya.A використовував мережеву вразливість в операційній системі Windows. За розблокування зашифрованих даних кібер-злочинці вимагали оплату в біткоіни розміром $ 300.

Секретар Ради національної безпеки і оборони Олександр Турчинов заявив, що держоргани, які були включені в захищений контур - спеціальний інтернет-вузол - не зазнали пошкоджень. Очевидно, Кабінет міністрів належним чином не виконав рекомендації Національного координаційного центру кібербезпеки, тому що урядові комп'ютери постраждали від Petya.A. Не встояли перед сьогоднішньою атакою Мінфін, ЧАЕС, Укренерго, Укрпошта, Нова пошта та ряд банків.

Деякий час навіть не відкривалися інтернет-сторінки СБУ, кіберполіції та Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ).

Станом на вечір вівторка, 27-го червня, жоден з правоохоронних органів, в обов'язки яких входить боротьба з кібер-атаками, не повідомила, звідки взявся Petya.A і хто за ним стоїть. СБУ, кіберполіції (сайт якої не працював цілий день), ДССЗЗІ зберігали олімпійський мовчання з приводу розміру заподіяної вірусом-здирником шкоди.

У вівторок, 27 червня, українські та російські компанії повідомили про масову вірусній атаці: комп'ютери на підприємствах відображали повідомлення з вимогою про викуп. розібралася, хто в черговий раз постраждав через хакерів і як вберегтися від крадіжки важливих даних.

Петя, вистачить

Першим атаці піддався енергетичний сектор: на вірус поскаржилися українські компанії «Укренерго» і «Київенерго». Зловмисники паралізували їх комп'ютерні системи, але на стабільності роботи електростанцій це не відбилося.

Українці почали публікувати наслідки зараження в мережі: судячи з численних знімках, комп'ютери атакував вірус-вимагач. На екрані уражених пристроїв вискакувало повідомлення про те, що всі дані зашифровані, і власникам пристроїв потрібно заплатити 300 доларів викупу в біткоіни. При цьому хакери не повідомили, що станеться з інформацією в разі бездіяльності, і навіть не встановили таймер зворотного відліку до знищення даних, як це було з атакою вірусу WannaCry.

Національний банк України (НБУ) повідомив, що через вірус частково паралізована робота декількох банків. За даними українських ЗМІ, атака торкнулася офісів Ощадбанку, Укрсоцбанку, Укргазбанку, і ПриватБанку.

зараженню піддалися комп'ютерні мережі«Укртелекому», аеропорту «Бориспіль», «Укрпошти», « нової пошти»,« Київводоканалу »і Київського метрополітену. Крім того, вірус вдарив по українським мобільним операторам - «Київстару», Vodafone і Lifecell.

Пізніше українські ЗМІ уточнили, що мова йде про шкідливий Petya.A. Він поширюється по звичайній для хакерів схемою: жертвам розсилаються фішингові листи від підставних осіб з проханням відкрити вкладену посилання. Після цього вірус проникає в комп'ютер, шифрує файли і вимагає викуп за їх дешифрування.

Хакери вказали номер свого біткоіни-гаманця, на який слід переводити гроші. Судячи з інформації про транзакції, жертви перевели вже 1,2 біткоіни (більше 168 неоподатковуваних мінімумів доходів громадян).

За даними фахівців з інформаційної безпекиз компанії Group-IB, в результаті атаки постраждали більше 80 компаній. Керівник їх криміналістичної лабораторії зазначив, що вірус не пов'язаний з WannaCry. Для усунення проблеми він порадив закрити TCP-порти 1024-1035, 135 і 445.

Хто винен

Поспішила припустити, що атака організована з території Росії або Донбасу, але ніяких доказів не надала. Міністр інфраструктури України побачивпідказку в слові «вірус» і написав у своєму Facebook, що «не випадково воно закінчується на RUS», забезпечивши своє припущення підморгуючим смайликом.

Тим часом стверджує, що атака ніяк не пов'язана з існуючими «зловредів», відомими під назвою Petya і Mischa. Безпечники стверджують, що нова хвиля вразила не тільки українські та російські компанії, але і підприємства в інших країнах.

Проте нинішній «зловредів» по ​​інтерфейсу нагадує відомий вірус Petya, який ще кілька років тому поширювався за допомогою фішингових посилань. В кінці грудня невідомий хакер, відповідальний за створення вимагачів Petya і Mischa, почав розсилати заражені листи з вкладеним вірусом під назвою GoldenEye, який був ідентичний попередніх версійшифрувальників.

У доданому файлі до звичайного листа, яке часто отримували співробітники відділу кадрів, містилася інформація про підставну кандидата. В одному з файлів дійсно можна було знайти резюме, а в наступному - установник вірусу. Тоді головною мішенню зловмисника стали компанії в Німеччині. За добу в пастку потрапили понад 160 співробітників німецької компанії.

Обчислити хакера не вдалося, але очевидно, що він є прихильником бондіани. Програми Petya і Mischa - назви російських супутників «Петя» і «Міша» з фільму «Золоте око» (Golden Eye), за сюжетом представляли собою електромагнітне зброю.

Оригінальна версія Petya почала активно поширюватися в квітні 2016 року. Вона майстерно маскувалася на комп'ютерах і видавала себе за легальні програми, запитуючи розширені права адміністратора. Після активації програма вела себе вкрай агресивно: ставила жорсткий дедлайн для оплати викупу, вимагаючи 1,3 біткоіни, а після закінчення терміну подвоювала грошову компенсацію.

Правда, тоді один з користувачів Twitter швидко знайшов слабкі сторонивимагача і створив просту програму, яка за сім секунд генерувала ключ, що дозволяє зняти блокування з комп'ютера і розшифрувати всі дані без будь-яких наслідків.

Не в перший раз

В середині травня комп'ютери по всьому світу атакував схожий вірус-вимагач WannaCrypt0r 2.0, також відомий як WannaCry. Всього за кілька годин він паралізував роботу сотень тисяч працювали на Windows пристроївв більш ніж 70 країнах. У числі постраждалих опинилися і російські силові структури, банки і мобільні оператори. Потрапивши на комп'ютер жертви, вірус шифрував жорсткий диск і вимагав відправити зловмисникам 300 доларів в біткоіни. На роздуми відводилося три дні, після чого сума збільшувалася вдвічі, а через тиждень файли зашифровувати назавжди.

Однак жертви не поспішали перераховувати викуп, і творці «шкідливий»