Перейти к содержимому


Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry, НБУ предупредил банки об опасности


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 Владимир Чернуха

Владимир Чернуха
  • Пользователи
  • 549 сообщений

27 Июнь 2017 - 14:48

Сети «Укрэнерго» и ДТЭК, крупнейших энергетических компаний Украины, оказались заражены новой формой вируса-шифровальщика, напоминающего WannaCry. Об этом рассказал источник внутри одной из компаний, непосредственно столкнувшийся с атакой вируса, сообщает tjournal.

По словам источника, днём 27 июня его компьютер на работе перезагрузился, после чего система якобы начала проверку жёсткого диска. После этого он увидел, что аналогичное происходит на всех компьютерах в офисе:

В сообщении, появившемся на экране компьютеров (везде одинаковом), говорится, что файлы на жёстком диске зашифрованы, а для их расшифровки требуется отправить 300 долларов на адрес Bitcoin-кошелька. На момент написания материала этот кошелёк был пуст.

«Я понял, что идёт атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги».

В компании распорядились отключить все компьютеры до конца дня. По данным источника, атака также затронула ДТЭК, в которых входит «Киевэнерго»: там якобы распорядились выключить сеть, чтобы остановить заражение. В пресс-службе компании подтвердили факт атаки. На момент подготовки материала сайт ДТЭК был недоступным, некоторые сервисы сайта «Киевоблэнерго» не работали.

Источник утверждает, что главный офис «Укрэнерго» тоже успел выключить сеть и избежать заражения, однако его подразделения полностью заражены. Подразделения «Укргидроэнерго», например, Киевские ГЭС и ГАЭС, не затронуты, говорит источник.

Нацбанк Украины также предупредил банки и другие компании финансового сектора о проводимой атаке: «В результате таких кибератак эти банки испытывают сложности с обслуживанием клиентов и осуществлением банковских операций».

С утра наблюдаются сбои в работе «Ощадбанка», но в банке опровергли сообщения о хакерской атаке и сообщают о проведении регламентных работ из-за которых сотрудникам и клиентам банка недоступны отдельные функции, передает «Экономическая правда». В банке сообщили, что регламентные работы будут продолжаться «несколько часов».

Источник: tjournal

  • «Укрэнерго» — государственная компания, подконтрольная министерству топлива Украины. ДТЭК — частная компания, основанная бизнесменом Ринатом Ахметовым. Обе являются крупнейшими поставщиками электроэнергии в электросети страны.
  •  
  • Вирус-вымогатель под названием WannaCry стал активно распространяться по всему миру 12 мая 2017 года. Сперва он поразил сеть учреждений здравоохранения Великобритании, а затем перекинулся на организации в других странах, включая Украину.
  •  
  • Вирус блокирует доступ к файлам на компьютере, шифрует их и требует выкуп в размере $300 в биткоинах за их расшифровку.
  •  
  • Согласно подсчётам на конец мая 2017 года, вирус-вымогатель WannaCry нанес ущерб более чем на $1 млрд и принёс создателям доход в сумме $116,5 тыс.

В украинской логистической компании «Новая почта» приостановили деятельность из-за атаки вируса. По словам её представителей, речь идёт о вирусе Petya.A: он шифрует главную таблицу файлов жёсткого диска и требует деньги за расшифровку, пояснил IT-эксперт Александр Литреев.

В декабре 2016 года «Укрэнерго» атаковали при помощи другого вируса, известного как Industroyer. В результате одна пятая населения Киева временно осталась без электричества.

Всего около часа назад стало известно о массированном заражении компьютеров энергетических компаний и банков Украины новой разновидностью вируса-шифровальщика. Вирус шифрует данные на накопителе и перезагружает компьютер, после чего требует отправить выкуп в сумме $300 на определённый Bitcoin-кошелёк. Лишь после получения выкупа злоумышленники обещают предоставить ключ, с помощью которого можно расшифровать файлы.

«Мы подверглись хакерской атаке. Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности», — заявили в компании «Киевэнерго».

Однако, как свидетельствуют различные источники, атака вируса-шифровальщика не ограничилась лишь упомянутыми сферами. В частности, редакция ITC получает сообщения о том, что атакованы банки ПУМБ, «ОТП Банк», «Укргазбанк», «Ощадбанк» (и некоторые другие), а также «Украпошта», «Нова Пошта» и «Укртелеком».

В пресс-службе «Укртелекома» подтвердили изданию AIN факт атаки.

«Атака была, определенные сложности в работе есть, сейчас разбираемся в ситуации», — рассказали в компании, пообещав предоставить детали по ситуации позже.

Также в соцсети Facebook можно встретить множество сообщений и фотографий, указывающийх на массовое заражение вирусом. При этом сообщается о проблемах у крупных торговых сетей «Новус» и «Фоззи», операторов сотовой связи «Киевстар» и «Астелит», компании «Датагруп».

Вместе с тем, не работают многие сайты компаний, что может свидетельствовать об атаках и на хостинг-компании.

Кроме того, вирус атаковал не только крупные украинские компании, но и небольшие фирмы, в которых насчитывается до 10 компьютеров.

Как отмечают в комментариях пользователи ITC, в офисах компаний страдают компьютеры с ОС Windows 7, в то время как устройства с Windows 10 сохранили работоспособность.

В Microsoft сообщили ITC.UA, что команда безопасности работает с клиентами и определяет характер атаки, но пока никаких подробностей нет.

По предварительным данным, Украинские компании атаковал вирус mbr locker 256.


  • 0

#2 Гаврилин Сергей

Гаврилин Сергей
  • Пользователи
  • 345 сообщений

27 Июнь 2017 - 14:57

Масштабная вирусная атака на Украину: Новая почта, ДТЭК, Укртелеком, Эпицентр, УЗ и другие "компании-жертвы"

Сообщение отредактировал Гаврилин Сергей: 27 Июнь 2017 - 14:58

  • 0

#3 Владимир Чернуха

Владимир Чернуха
  • Пользователи
  • 549 сообщений

28 Июнь 2017 - 08:40

Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».

По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».

Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:

  • создан файл rundll32.exe;
  • обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
  • создан файл perfc.bat;
  • запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
  • создан файл dllhost.dat.

В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.

Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.

Также украинские киберкопы отметили, что заражение через M.E.doc не стало единственным вектором атаки, среди способов распространения зловреда также фиксировался фишинг.

На сайте M.E.doc пока присутствует только предупреждение о том, что на сервера сервиса осуществляется вирусная атака, в связи с чем администрация просит у своих пользователей прощения за временные неудобства.

2017-06-28_003652.png

Обновлено:

Департамент киберполиции Национальной полиции Украины выложил еще одну запись на своей Facebook-странице, где указал, что «не обвиняет, а констатирует факты»:

«Обращаем внимание, что мы не обвиняем компанию «M.E.doc», лишь констатируем выявленные факты, которые следует детально проверить.

Поэтому на период проверки мы не рекомендуем осуществлять соответствующие обновления. Мы должны были об этом предупредить пользователей.»

Источник: Киберполиция Украины


  • 0

#4 Igor

Igor
  • Пользователи
  • 6 713 сообщений

28 Июнь 2017 - 11:03

Вирус называется Петя и он просит денег... "У меня закрались смутные подозрения" (с)


  • 4

#5 Дмитрий Федоренко

Дмитрий Федоренко
  • Администрация
  • 20 949 сообщений

28 Июнь 2017 - 21:34

Вирус называется Петя и он просит денег... "У меня закрались смутные подозрения" (с)

Вот-вот...


  • 0

#6 Irtik

Irtik
  • Пользователи
  • 9 сообщений

05 Июль 2017 - 19:24

Был у друга в Киеве в гостях. Попросил с ним в Эпицентр съездить, так как к ремонту готовиться. Набрали полную телегу, подошли к кассе и тут вирус Петя пришел) Облом


  • 0