27 июня 2017 в Украине была зафиксирована масштабная кибератака, которая одновременно поразила и блокировала деятельность десятков, а впоследствии и тысяч государственных и коммерческих структур страны. За первые трое суток в Национальную полицию Украины обратилось более 2 тысяч юридических и физических лиц с сообщениями о блокировании работы компьютерной техники в результате распространения вируса. С официальными заявлениями, по состоянию на 30 июня, в полицию обратились 309 организаций частного сектора и 111 организаций государственного сектора страны[1]. Хакерская атака осуществлялась с использованием злоумышленниками вредоносной программы-разрушителя под названием Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особенность действия вируса заключается в поражении компьютеров и серверов под управлением ОС Microsoft Windows и предусматривает перезапись информации на жестких дисках.
В результате заражения компьютерного оборудования вирусом появлялось сообщение от кибермошенникам с предложением выплаты «выкупа» за разблокировку пораженных данных (приобретение ключа дешифрования) в размере 300 долларов в цифровой валюте – биткоины. Однако эксперты отмечают, что вредоносное программное обеспечение (ПО) Diskcoder.C не является «шифровальщиком» и не относится к категории «ransomware» (программ-вымогателей). Таким образом, поврежденные данные невозможно «расшифровать» и восстановить. Есть только возможность восстановить другие файлы, которые не попали под действие Diskcoder.C. Ключевая цель программы-уничтожителя заключалась в выведении компьютерного оборудования из строя и блокировании работы компаний. Поэтому, Diskcoder.C является наглядным примером того, что платить выкуп преступникам ни в коем случае нельзя. Попадание к кибермошенникам «на крючок» может обернуться не только потерей файлов, но и потерей средств.
Экспертами установлено, что поражение информационных систем украинских компаний преимущественно происходило через обновление программного обеспечения «M.E.Doc»[2], предназначенного для отчетности и документооборота. По полученным киберполицией данным, которые подтверждены правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения[3].
Специалисты отмечают, что атака Diskcoder.C, начатая 27 июня, имела предшественников. Начало системных нападений на «украинские компьютеры» – это первые атаки, которые были осуществлены в марте-апреле 2017 года (когда происходило как заражение компьютеров вирусом-шифровальщиком с помощью писем, якобы, от Государственной налоговой службы, или от банка). Специалисты отмечают ряд схожих признаков, которые связывают весенние атаки, атаку Diskcoder.C, а также кибернападения на объекты критической инфраструктуры в Украине, совершенные за последние несколько лет.
С каждым годом вопрос безопасности данных становится все более весомым как для организаций различных масштабов и отраслей, так и для каждого отдельного пользователя. Эксперты Украинской межбанковской Ассоциации членов платежных систем ЕМА подчеркивают важность донесения информации о необходимости принятия превентивных мер и последствиях уплаты «выкупа» киберпреступникам, принимая во внимание опыт последних массовых кибератак в Украине и мире, связанных с применением злоумышленниками вирусов-разрушителей и вирусов-вымогателей.
Для защиты компьютерного оборудования от программ-уничтожителей (в частности вредоносного ПО Diskcoder.C) специалисты советуют:
1. Все то, что может быть причастно к фазе инициации атаки вирусом (как правило это: сервер/ПК, «M.E.Doc», контроллер домена), необходимо отключить, сделать копии жестких дисков, переустановить. Перед этим подключаться к Интернету и локальной сети нельзя.
2. Изменить свои пароли к административным учетным записям на компьютерах и файерволах (при формировании пароля используйте как минимум 10 символов – 2 большие буквы, 2 маленькие буквы, 2 цифры, 2 символа. Не следует использовать обычные слова из словаря).
3. Изменить пароли к электронной почте и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.
4. Воспользуйтесь рекомендациями по восстановлению доступа к пораженной вирусом операционной системе, которые приведены на сайте Департамента киберполиции Национальной полиции Украины.
Сегодня вирусы-разрушители и программы-вымогатели являются проблемой международного масштаба, которая требует безотлагательного разрешения. По результатам первого квартала 2017 года, 6 из 10 вредоносных ПО составляли именно вирусы-вымогатели[4], По данным специалистов «Лаборатории Касперского», каждые 40 секунд коммерческие и государственные учреждения по всему миру подвергаются атакам вирусами-вымогателями, при этом индивидуальные атаки происходят каждые 10 секунд[5]. Согласно прогнозам исследовательской компании Cybersecurity Ventures, ожидается, что в 2017 году глобальные потери в результате действий кибервымогателей будут превышать 5 млрд. долларов, по сравнению с суммой убытков в размере 325 млн. долларов в 2015 году.[6]
Среди общих рекомендаций по защите данных на компьютере от вирусов-уничтожителей и вирусов-вымогателей:
1. Установить обновление ОС Windows MS17-010.
2. Отключить устаревшую версию сетевого протокола (Server Message Block) – SMB1.
3. Следует внимательно относиться ко всей электронной корреспонденции: не следует загружать и открывать приложения и переходить по ссылкам в письмах, которые отправлены с неизвестных адресов или выглядят подозрительно (например, автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и т.д.), а также в письмах с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или к открытию подозрительных файлов (архивов, исполняемых файлов и т.д.). В случае получения письма с известного адреса, но такого, которое вызывает подозрение относительно своего содержания, – следует связаться с отправителем и подтвердить факт отправки письма.
4. Заблокировать возможность открытия JS файлов, полученных по электронной почте.
5. Всегда создавайте резервные копии файлов на отдельных носителях или в облачном хранилище. Выключайте связь с облачным хранилищем, как только загрузили туда данные.
6. Включите в настройках Windows на компьютере функцию «Показывать расширение файлов»: это поможет заметить потенциально вредные файлы (файлы с расширением «.exe», «.vbs» и «.scr» – потенциально опасны!). Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл под якобы видео, фото или документ (например, hot-chics.avi.exe или doc.scr).
7. Если на вашем компьютере запущен вредоносный процесс, немедленно отключите связь с сетью Интернет и локальной сетью. Это может приостановить процесс заражения вирусом.
В случае, если вредоносное программное обеспечение все же заблокировало компьютер, специалисты категорически не рекомендуют реагировать на сообщения с требованием уплаты выкупа для возвращения доступа к файлам.
«Платить выкуп злоумышленникам ни в коем случае нельзя. Во-первых, нет никаких гарантий, что доступ к компьютеру будет восстановлен, а файлы спасены. Во-вторых, осуществление какого-либо платежа – это вклад в «бюджет» мошенника и финансирование его дальнейшей киберпреступной деятельности», – отмечает Алексей Красюк, заместитель директора по операционным вопросам и информационной безопасности Украинской межбанковской Ассоциации членов платежных систем ЕМА.
Также эксперты отмечают, что сегодня у каждого украинца есть возможность бесплатно воспользоваться инструментом для дешифрования зараженных вирусом файлов на компьютере или мобильном устройстве, если оно было атаковано вредоносным шифровальным программным обеспечением (вирусом-вымогателем). В апреле 2017 года, в рамках глобальной инициативы No More Ransom, целью которой является борьба с кибервымогательством, была запущена Интернет-страница на украинском языке, где доступны специальные ключи и приложения для возвращения доступа к «инфицированным» вирусом файлам. Доступ граждан к такому функционалу стал возможен благодаря присоединению к глобальной инициативе по противодействию кибервымогателям Департамента киберполиции Украины и Ассоциации ЕМА.
Международный проект No More Ransom, который был запущен в июле 2016 года совместными усилиями Европола, полиции Нидерландов, «Лаборатории Касперского» и компании Intel Security, сегодня поддержали уже 89 организаций. Сейчас на сайте проекта No More Ransom доступны уже 50 эффективных инструментов для дешифрования данных. Кроме украинского, платформа www.nomoreransom.org работает еще на 14 разных языках. За год работы проекта, с помощью разработанных специалистами инструментов, уже более 29 000 пользователей по всему миру смогли расшифровать зараженные вирусом данные без платежей преступникам.
В случае, когда компьютер был заблокирован ПО-вымогателем или ПО-разрушителем, необходимо немедленно сообщить об инциденте в киберполицию, самый простой способ – через сайт Департамента киберполиции Национальной полиции Украины.
[1] https://cyberpolice.gov.ua/news/policziya-otrymala-vzhe-ponad-dvi-tysyachi-povidomlen-pro-kryptoloker-shho-shyryvsya-ukrayinoyu-2149/
[2] Перечень версий обновлений, через которые осуществлялось заражения:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017
[3] https://cyberpolice.gov.ua/news/policziya–otrymala–vzhe–ponad–dvi–tysyachi–povidomlen–pro–kryptoloker–shho–shyryvsya–ukrayinoyu-2149/
[4] Barkly. Ransomware Growth by the Numbers: Ransomware Statistics 2017. Jun 2017.
[5] Kaspersky Security Bulletin 2016. The ransomware revolution.
https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
[6] The Ransomware Damage Report is published by Cybersecurity Ventures, – 2017 Edition. http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/