Из-за хакерской атаки в Чернигове приостановили работу "ВЕНА" и "Эпицентр" (обновляется)

Вівторок, 27 червня 2017 16:38 | Переглядів: 6437 | Обновлено 29 червня 2017 19:31

Как стало известно, около 15.00 по всей Украине прошла массированая хакерская атака, из-за которой пострадали крупные компании, Ощадбанк и даже несколько государственных финансовых учреждений. Так, на своей официальной странице в Facebook "Новая почта" сообщила: "Через массированную атаку вируса Petya. A на наши информационные системы отделения и контакт-центр" Новая почта "временно не могут обслуживать клиентов".

В Чернигове похожая ситуация произошла со строительными гипермаркетами – «ВЕНА» и «Эпицентр».
Наш источник из «ВЕНЫ» сообщил, что около 15.00, у всех сотрудников по очереди на экранах мониторов появилась заставка синего цвета с «иегроглифами». Начальство обратилось в в IT-отдел, там сказали, что сейчас будут разбираться, но лучше распустить людей по домам, так как систему магазина поразил некий вирус, из-за хакерской атаки.

Магазины в ТРЦ «Голливуд» частично работают. В «Эпицентре» происходит тоже самое – товар не отпускается. Сотрудникам «ВЕНЫ» сказали, что проблема, возможно, решится до завтра.

Как сообщил наш корреспондент, который прибыл к "ВЕНЕ" - действительно висит табличка закрыто, не работает сама "ВЕНА" и ее магазин "Дискаунт", в Голливуде около 17.00 начали проблемы у магазина техники Comfy. Персонал выключил компьютеры. Продажи только по наличному расчету. Безнал не будет работать ближайшие два дня. Также на территоррии "Голивуда" не работают терминалы "Приватбанка".

В магазине "Сильпо", между тем, покупатели расплачиваются карточкам без проблем, не вышел из строя и сервис "Приват24".

Сайту Gorod.cn.ua свое видение ситуации прокомментировал сетевой администратор одного из черниговских банков:

- Когда в нашем банке узнали о вирусе, первое, что мы сделали, - отключились от сети Интернет. Сейчас вопросом вируса занимаются интернет-провайдеры, которые предоставляют услуги по подключению к Интернету украинским компаниям. У нас в банке – 2 провайдера «ТЕРРА» (дочернее предприятие «ОСНОВЫ») и «Синет», мы их кабели отключили от связи. Учитывая, что завтра выходной – день Конституции Украины, то, возможно, все это продлится до послезавтра.

- Каким образом вирус поразил компьютеры?

- Скорее всего, кто-то обратился на зараженный ресурс, при том, что у него была дыра в безопасности, нет антивируса или он плохой. После того, как вирус с зараженного сайта попадает на один компьютер он начинает распространятся по сети, уже в самой организации.

- Это была проблема с безопасностью у всех этих компаний, или проблема интернет-провайдеров?

- Думаю, что это в принципе новый вирус, который еще не понимают антивирусы. Вот сейчас они усиленно разрабатывают обновления, после которых безопасность пользователей значительно усилится. Завтра, по идее, выйдут обновления, как Касперского, так и других популярных антивирусов. В тоже время, правильно настроенный файрвол, тоже в немалой степени способствует тому, чтобы на компьютеры не проникали вирусы, но в большей степени безопасность зависит от работы антивируса.

- Один из моих коллег говорил, что этот вирус полностью вывел из строя его компьютер, то есть ему придется переустанавливать систему.

- Считаю, что обычным пользователям боятся нечего в данном случае, так как, на лицо пример именно хакерской атаки, направленной на определенные ресурсы и IP-адреса.

Информация с сайта Вести.ру

По данным специалистов атака произошла около 14.00. Способ распространения в Интернете аналогичен вирусу WannaCry.

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор[9].

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткоинах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются[10]. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров[11][12].

То есть чтобы не заразится нужно закрыть порт 445 в брандмауэре Windows или в брандмауэре антивируса и еще ) антивирус Avast блокирует эту атаку - а вот Касперский - не видит его (выйдет обновление и увидит).

Проверить открыт ли этот порт можно так:

зайдите по ссылке: http://127.0.0.1/

1. Запускаем cmd

2. набираем команду telnet

3. Если не пишет ошибки - то открыт

Появились к этому часу и сообщение из Пресс-службы Приватбанка:

ПриватБанк, його електронні комплекси та найпопулярніший в Україні цифровий банк Приват24 не зафіксували жодних хакерських атак або спроб втручання в роботу систем. Як повідомила прес-служба банку, онлайн-моніторинг безпеки ПриватБанку за останню добу не зафіксував нових загроз або сплеску активності з боку потенційних хакерів.

«Ми уважно стежимо за повідомленнями про можливі атаки або зломи банківських комплексів наших колег і в разі необхідності готові надати комплексну підтримку банкам і держкомпаніям, – зазначає прес-служба ПриватБанку. – Для наших програмних комплексів і систем на сьогодні не має таких загроз, багато в чому завдяки конфігурації систем і роботі департаменту електронної безпеки».

Наголошуємо, що усі банкомати та термінали ПриватБанку працюють у штатному режіми.

Фахівці банку попереджають, що можуть спостерігатися певні перебої зі зв'язком в окремих торгівельних мережах, які потрапили під хакерську атаку.

ПриватБанк також попереджає клієнтів при отриманні підозрілих розсилок із вкладеннями або будь-яких інших сумнівних повідомлень бути максимально уважними та обачливими, не піддаватися на провокації і ігнорувати підозрілі розсилки.

Поступило и собщение из пресс-служба Александра Турчинова:

У зв’язку із кібератакою Національний координаційний центр кібербезпеки працює за протоколом швидкого реагування

У зв’язку із потужною кібератакою на інформаційні системи широкого спектру, Національний координаційний центр кібербезпеки працює за протоколом швидкого реагування. Про це повідомив Секретар РНБО Олександр Турчинов у своєму коментарі.

За його словами, всі державні установи, які виконували рекомендації Національного координаційного центру кібербезпеки та були включені до захищеного контуру (захищений вузол інтернет-доступу) не постраждали.

«Зараз фахівці з питань кібербезпеки в оперативному режимі надають допомогу держустановам, які з суб’єктивних причин не увійшли до захищеного контуру об’єктам критичної інфраструктури, а також банківському сектору», - сказав О. Турчинов, додавши, що вже зараз, первинно проаналізувавши вірус, можна говорити про російський слід.

Разом з тим, Секретар РНБО наголосив, що наполягає на тому, що рішення Національного координаційного центр кібербезпеки – «це не факультатив, а є обов’язковими для виконання всіма державними установами». «Мова йде про необхідність всім держустановам увійти до захищеного контуру інтернету та виконували всі вимоги фахівців з кібербезпеки. Також рекомендуємо зробити це і банківським установам, в першу чергу, державним», - наголосив він.

ГУНП в Чернігівській області повідомляє:

Сьогодні в мережі інтернет з'явилось шкідливе програмне забезпечення, яке може знищити будь-яку інформацію на комп’ютерах українців.

Якщо ви помітили підозрілу активність на вашому комп’ютері, то насамперед негайно відімкніть його від інтернету та внутрішньої мережі. Якщо ж ви хочете уберегти свій комп’ютер від кібератаки, то встановлюйте програмне забезпечення виключно з офіційного ресурсу компанії Microsoft. Переконайтеся, що на ваших гаджетах встановлені робочі антивірусні програми. Не відкривайте електронні листи, які надійшли з невідомих електронних скриньок та заздалегідь робіть резервні копії усієї важливої для вас інформації.

Поліція Чернігівщини звертає увагу! У разі кібератаки на ваші комп’ютери звертайтеся до поліції для негайного реагування на кіберінцидент.

По информации сайта https://112.ua

Из строя компьютеры на следующих предприятиях:

Банки ТАСС, Ощадбанк, Пивденный, ОТП, Приватбанк

Укрзализныця

Аэропорт "Борисполь"

Укрпочта

Киевский метрополитен

Эпицентр

Новая почта

ДТЭК

Укрэнерго

Киевэнерго

Lifecell

Vodafone Украина

Сеть заправок ТНК

ПCГ "Ковальская"

ТРК "Люкс" (24 канал, радио "Люкс" и др.)

Канал ATR

Сайт "Корреспондент"

ГП "Антонов"

ГП "Документ"

Киевводоканал

Сайт Львовского горсовета

Сайт Кабмина

Похоже, что компании атаковал один вирус. Об этом говорят схожие симптомы.

Как удалось выяснить 112.ua, вирус mbr locker 256 относится к вирусам-вымогателям.

MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много.

Атака началась практически одновременно, около 11:30 утра. Вирус распространяется очень быстро. Проявляется в отказе работы компьютеров на платформе Windows. Перегружается и зашифровывается.

Сайты ряда компаний не работают из-за атаки, в других офисах отключили все компьютеры после первых признаков атаки.

Согласно сообщению НБУ, на данный момент пораженные банки испытывают сложности с обслуживанием клиентов и осуществлением банковских операций. При этом в Ощадбанке утверждают, что веб- и мобайл-банкинг Ощад 24/7, а также операции с карточками работают в нормальном режиме.

В Укртелекоме уверяют, что компания продолжает предоставлять услуги доступа в Интернет и телефонии, а вот компьютерные системы, сопровождающие колл-центр и центры обслуживания абонентов не работают. "Вероятность что вирус атакует сервисы оказания услуг, очень мала. Они работают на Unix платформе", - говорит источник в "Укртелекоме".

Аэропорт "Борисполь предупреждает, что "в связи с внештатной ситуацией возможны задержки рейсов".

"Киевский метрополитен" заявляет, что в результате атаки была заблокирована функция оплаты банковскими карточками. "Бесконтактные карты метро работают в обычном режиме", - говорится в обнародованном около 15:00 на странице Киевского метрополитена в соцсети "Фейсбук" сообщении.

Источник в "Укрэнерго" сообщил нам, что в компании проводят расследование по этому делу. "Но что касается офисной техники, компьютеров, они не работают. При этом с энергосистемой, с энергообеспечением никаких проблем нет. Это коснулось только офисных компьютеров (работают на платформе Windows). Нам дали команду отключить компьютеры", - сообщили в компании.

В ГП "Документ" сервисы по выдаче паспортов работают, и их проблема не зацепила, потому что там защищенные каналы связи.

Из-за технических сбоев на неопределенный срок приостановлена работа информационных систем Львовского городского совета. Сейчас приостановлен документооборот и работа центров предоставления административных услуг города Львова.

Киевстар сообщает, что на данный момент все системы у них работают в штатном режиме. Специалисты компании делают все возможное, чтобы абоненты не почувствовали на себе проявлений этой атаки.

Как сообщил 112.ua источник, знакомый с ситуацией, такой масштаб поражения связан с несвоевременным обновлении антивирусных баз и неправильно настроенной политике безопасности на почтовых серверах.

Gorod.cn.ua

Хочете отримувати головне в месенджер? Підписуйтеся на наш Telegram.

Додати в:

Версія для друку