Головна » Технології / Статті » Досвід кібератак в Україні та світі – як захиститися від вірусів-вимагачів та вірусів-руйнівників

Експерти надали рекомендації щодо захисту комп’ютерів від атак кібервимагачів та вірусів-винищувачів

27 червня 2017 року в Україні була зафіксована масштабна кібератака, що одночасно вразила та блокувала діяльність десятків, а згодом і тисяч державних і комерційних структур країни. За перші три доби до Національної поліції України звернулося понад 2 тисячі юридичних і фізичних осіб із повідомленнями щодо блокування роботи комп’ютерної техніки в результаті розповсюдження вірусу. З офіційними заявами, станом на 30 червня, до поліції звернулися 309 організацій приватного сектору та 111 організацій державного сектору країни[1]. Хакерська атака здійснювалася з використанням злодіями шкідливої програми-руйнівника під назвою Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особливість дії вірусу полягає в ураженні комп’ютерів і серверів під керуванням ОС Microsoft Windows та передбачає перезапис інформації на жорстких дисках.




У результаті зараження комп’ютерного обладнання вірусом з’являлося повідомлення від кіберзлодіїв з пропозицією сплатити «викуп» за розблокування уражених даних (придбання ключа дешифрування) у розмірі 300 доларів у цифровий валюті – біткоїни. Проте, експерти наголошують, що шкідливе програмне забезпечення (ПЗ) Diskcoder.C не є «шифрувальником» та не належить до категорії «ransomware» (програм-вимагачів). Таким чином, пошкоджені дані неможливо «розшифрувати» та відновити. Є лише можливість відновити інші файли, які не потрапили під дію Diskcoder.C. Ключова мета програми-руйнівника полягала у виведенні комп’ютерного обладнання з ладу та блокуванні роботи компаній. Тож Diskcoder.C є наочним прикладом того, що платити викуп злодіям у жодному разі не можна, Потрапляння до кіберзлодія «на гачок» може обернутися не лише втратою файлів, а й втратою коштів.

Наразі експертами встановлено, що ураження інформаційних систем українських компаній переважно відбувалося через оновлення програмного забезпечення «M.E.Doc»[2], призначеного для звітності та документообігу. За отриманими кіберполіцією даними, які підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у галузі інформаційної безпеки, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення[3].

Спеціалісти зазначають, що атака Diskcoder.C, розпочата 27 червня, мала попередників. Початок системних нападів на «українські комп’ютери» – це перші атаки, які були скоєні у березні-квітні 2017 року (коли відбувалося як зараження комп’ютерів вірусом-шифрувальником за допомогою листів нібито від Державної податкової служби або від банку). Фахівці відзначають низку схожих ознак, які пов’язують весняні атаки, атаку Diskcoder.C, а також кібернапади на об’єкти критичної інфраструктури в Україні, вчинені за останні декілька років.

З кожним роком питання безпеки даних стає дедалі вагомішим як для організацій різних масштабів та галузей, так і для кожного окремого користувача. Експерти Української міжбанківської Асоціації членів платіжних систем ЄМА наголошують на важиливості донесення інформації щодо необхідності вживання превентивних заходів та наслідків сплати «викупу» хакерам-нападникам, беручи до уваги досвід останніх масових кібератак в Україні та світі, що пов’язані із застосуванням злодіями вірусів-руйнівників і вірусів-вимагачів.

Для захисту комп’ютерного обладнання від програм-винищувачів (зокрема шкідливого ПЗ Diskcoder.C) фахівці радять:

  1. Усе те, що може бути причетним до фази ініціації атаки вірусом (зазвичай це: сервер/ПК, «M.E.Doc», контролер домену) необхідно відключити, зробити копії жорстких дисків, перевстановити. До цього підключатися до Інтернету та локальної мережі не можна.
  2. Змінити свої паролі до адміністративних облікових записів на комп’ютерах та файерволах (під час формування паролю використовуйте щонайменш: 10 cимволів, 2 великі літери, 2 малі літери, 2 цифри, 2 символи. Не слід використовувати звичайні слова із словника).
  3. Змінити паролі до електронної пошти та електронні цифрові підписи, у зв’язку з тим, що ці дані могли бути скомпрометовані.
  4. Cкористайтеся рекомендаціями щодо поновлення доступу до враженої вірусом операційної системи, які наведені на сайті Департаменту кіберполіції Національної поліції України.

Наразі віруси-руйнівники та програми-вимагачі є проблемою міжнародного масштабу, яка потребує невідкладного вирішення. За результатами першого кварталу 2017 року 6 з 10 шкідливих ПЗ складали саме віруси-вимагачі[4]. За даними спеціалістів «Лабораторії Касперського», кожні 40 секунд комерційні та державні установи по всьому світу зазнають атак вірусами-вимагачами, при цьому індивідуальні атаки відбуваються кожні 10 секунд[5]. Відповідно до прогнозів дослідлідницької компаніїї Cybersecurity Ventures, очікується, що у 2017 році глобальні втрати у результаті дій кібервимагачів перевищуватимуть 5 млрд. доларів, порівняно із сумою збитків у розмірі 325 млн. доларів у 2015 році.[6]

Серед загальних рекомендацій щодо захисту даних на комп’ютері від вірусів-руйнівників та вірусів-вимагачів:

  1. Установити оновлення ОС Windows MS17-010.
  2. Відключити застарілу версію мережевого протоколу (Server Message Block) – SMB1.
  3. Слід уважно ставитися до всієї електронної кореспонденції: не слід завантажувати та відкривати додатки й переходити за посиланнями у листах, які надіслані з невідомих адрес або виглядають підозріло (наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо), а також у листах з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів (архівів, виконуваних файлів тощо). У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – слід зв’язатися з відправником та підтвердити факт відправки листа.
  4. Заблокувати можливість відкриття JS файлів, отриманих електронною поштою.
  5. Завжди створюйте резервні копії файлів на окремих носіях або в хмарному сховищі. Вимикайте зв’язок із хмарним сховищем, щойно завантажили туди дані.
  6. Включіть у налаштуваннях Windows на комп’ютері функцію «Показувати розширення файлів»: це допоможе помітити потенційно шкідливі файли (файли з розширенням «.exe», «.vbs» і «.scr» – потенційно небезпечні!). Шахраї можуть використовувати кілька розширень, щоб замаскувати шкідливий файл під нібито відео, фото чи документ (наприклад, hot-chics.avi.exe або doc.scr).
  7. Якщо на вашому комп’ютері запущено шкідливий процес, негайно вимкніть зв’язок з мережею Інтернет та локальною мережею. Це може зупинити процес зараження вірусом.

У разі, якщо шкідливе програмне забезпечення все ж заблокувало комп’ютер, спеціалісти категорично не рекомендують реагувати на повідомлення з вимогою сплати викупу для повернення доступу до файлів.

«Сплачувати викуп нападникам у жодному разі не можна. По-перше, немає жодних гарантій, що доступ до комп’ютера буде відновлено, а файли врятовані. По-друге, здійснення будь-якого платежу – це вклад до “бюджету шахрая та фінансування його подальшої кіберзлочинної діяльності», – зазначає Олексій Красюк, заступник директора з операційних питань та  інформаційної безпеки Української міжбанківської Асоціації членів платіжних систем ЄМА.

Також експерти наголошують, що сьогодні у кожного українця є можливість безкоштовно скористатися інструментом для дешифрування заражених вірусом файлів на своєму комп’ютері чи мобільному пристрої, якщо він був атакований шкідливим шифрувальним програмним забезпеченням (вірусом-вимагачем). У квітні 2017 року, у рамках глобальної ініціативи No More Ransom, метою якої є боротьба з кібервимаганням, було запущено Інтернет-сторінку українською мовою, де доступні спеціальні ключі та додатки для повернення доступу до «інфікованих» вірусом файлів. Доступ громадян до такого функціоналу став можливим завдяки долученню до глобальної ініціативи з протидії кібервимагачам Департаменту кіберполіції України та Асоціації ЄМА.

Міжнародний проект No More Ransom, який був запущений у липні 2016 року спільними зусиллями Європолу, поліції Нідерландів, «Лабораторії Касперського» та компанії Intel Security, наразі підтримали вже 89 організацій. Зараз на сайті проекту No More Ransom доступні вже 50 ефективних інструментів для дешифрування даних. Крім української, платформа www.nomoreransom.org працює ще на 14 різних мовах. За рік роботи проекту за допомогою розроблених спеціалістами інструментів уже понад 29 000 користувачів по всьому світу змогли розшифрувати заражені вірусом дані без платежів нападникам.

У випадку, коли роботу комп’ютера було заблоковано вимагацьким ПЗ або ПЗ-руйнівником, необхідно негайно повідомити про інцидент у кіберполіцію, найпростіший спосіб – через сайт Департаменту кіберполіції Національної поліції України.


[1] https://cyberpolice.gov.ua/news/policziya-otrymala-vzhe-ponad-dvi-tysyachi-povidomlen-pro-kryptoloker-shho-shyryvsya-ukrayinoyu-2149/
[2] Перелік версій оновлень, через які здійснювалося зараження:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017
[3] https://cyberpolice.gov.ua/news/policziya-otrymala-vzhe-ponad-dvi-tysyachi-povidomlen-pro-kryptoloker-shho-shyryvsya-ukrayinoyu-2149/
[4] Barkly. Ransomware Growth by the Numbers: Ransomware Statistics 2017. Jun 2017.
https://blog.barkly.com/ransomware-statistics-2017
[5] Kaspersky Security Bulletin 2016. The ransomware revolution.
https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
[6] The Ransomware Damage Report is published by Cybersecurity Ventures, – 2017 Edition. http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Яка тема новин вас цікавить найбільше?

Переглянути результати

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Останні статті

Статті

Топ 50 найцінніших світових брендів 2020 року

Для багатьох брендів, та що вже казати, і людей також цей рік був, м’яко кажучи, руйнівним. В якийсь момент все довкола змінилося і нам довелося підлаштовуватися під нову реальність. Компанії чимало втратили через тотальний карантин, суворі обмеження й тимчасові закриття магазинів. Але у деяких в цей період становище тільки зміцнилося. Ця візуалізація демонструє 50 найцінніших світових […]


Статті

Telegram vs Viber: плюси та мінуси месенджерів

Як відомо, Viber – це найпопулярніший месенджер в Україні. Та й у світі він також дуже відомий. Telegram не менш популярний, але користується попитом, переважно, серед молоді. Є така категорія людей, яка вимушена користуватись програмою, у нашому випадку месенджером, через ряд причин. І я, на жаль, належу до цієї категорії. Сьогодні я хочу підняти одвічне […]


Останні новини

Новини ІТ

Компанія vivo представила в Україні бюджетний vivo Y31 з Android 11

Компанія vivo представила в Україні новий смартфон під назвою vivo Y31 2021. Це один із перших бюджетних смартфонів на ринку, які поставляються з останньою, на даний момент, операційною системою Android 11. До речі, пристрій працює на фірмовій прошивці Funtouch OS 11. Підписуйтесь на наш Telegram-канал vivo V20 SE: огляд смартфона з NFC, 33 Вт зарядкою […]


Новини ІТ

Названа найкраща Android-прошивка 2020 року

На основі даних Master Lu був опублікований рейтинг найплавніших прошивок, які працюють на базі ОС Android. Всього у переліку 10 популярних прошивок від відомих брендів. Цілком ймовірно, що найкраща Android-прошивка може вас здивувати. Підписуйтесь на наш Telegram-канал Назвали найпродуктивніший Android-смартфон 2020 року Компанія realme планує стати лідером мобільного ринку Apple тестує складаний iPhone та підекранний […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: