Новая кибератака. Насколько навредил Украине "плохой кролик"
Новая кибератака в Украине задела инфраструктурные объекты: аэропорт "Одесса", Мининфраструктуры, сайт Госавиационной службы и киевское метро - в последнем случае киевляне не могли расплатиться за проезд банковской картой. Вирус достал Россию (там была парализована работа информагентства "Интерфакс" и сайта "Фонтанка") и Германию. Киберспециалисты говорят, что вирус отличается от напугавшего украинцев Petya, но принципы работы шифровальщика Badrabbit для обычных пользователей схожи: оба вируса шифровали и блокировали доступ к компьютерам, требуя выкуп за разблокировку. Цена вопроса от "плохого кролика"- 0,05 биткоина (около 7100 грн на данный момент). В Украине, по данным правоохранителей, денег за разблокировку никто не перечислил. Доставка "кролика" может происходить с использованием электронных писем - адреса мимикрируют под техподдержку Microsoft.
Команда быстрого реагирования CERT.UA при Госслужбе спецсвязи о возможной атаке предупреждала. Благодаря этому потерь аэропорту, метро и Министерству инфраструктуры хакеры не нанесли - ведомства сами отключили сайты и переждали атаку, параллельно выполняя рекомендации киберполиции и частных компаний. "Мы создаем надежный щит по кибербезопасности вместе со специалистами", - заверяет министр Владимир Омелян.
В Госспецсвязи, тем не менее, не исключают новую волну атак, потому стоит разобраться, в чем суть работы вируса и как от него уберечься.
Опасные ссылки и непривычные письма
Специалисты выяснили, что один из способов распространения вируса связан с применением программного обеспечения "M.E.doc." (так же было и с вирусом Petya), предназначенного для электронного документооборота. Пользователям этой системы рекомендуют временно прекратить работать с ней либо же при необходимости отключить там функцию автоматического обновления.
Более подробные технические советы дает команда CERT-UA: спецы объясняют, что в результате активации гиперссылки из электронного письма или программы по документообороту активируется скрипт, который и запускает работу вируса. Этот скрипт вешает на систему пользователя закодированные алгоритмом данные, которые и не позволяют ему продолжить работу. Командно-контрольный центр шифровальщика находился по адресу hxxp: //gdiscoun.org. Пользователям необходимо заблокировать доступ к компрометирующим ссылкам:
hxxp: //urcho.com/JHGGsdsw6
hxxp: //tatianadecastelbajac.fr/kjhgFG
hxxp: //video.rb-webdev.de/kjhgFG
hxxp: //themclarenfamily.com/kjhgFG
hxxp: //webhotell.enivest.no/cuYT39.enc
hxxp: //gdiscoun.org
Также специалисты просят пользователей установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office.
В число более простых советов входит не открывать вложения в подозрительных сообщениях. Подозрение может вызвать целый ряд вещей: автор неожиданно сменил язык общения, стиль общения, пишет на нетипичную тему, неожиданно для себя предлагает открыть приложение. Лучше всего в случае с письмом со ссылкой запросить подтверждения отправки письма через СМС.
Важные файлы можно прогнать через онлайн-программу virustotal для проверки на вирусы. Сисадминам в организациях советуют обратить внимание на фильтрование почтового веб-трафика и не работать на компьютере под профилем администратора. Последний совет касается всех: гостевой профиль вынуждает компьютер спрашивать о любом действии, которое вмешивается в работу системы. Кроме того, на компьютерах пользователей нужно на период опасности атаки ограничить возможность запуска исполняемых файлов (* .exe).
Карантин и удаление писем
В СБУ, помимо этого, рекомендуют обеспечить ежедневное обновление системного программного обеспечения всех без исключения версий OS Windows (iOS и Mac OS вирус не атаковал) и обязательно установить обновление KB3213630 (Windows 10). В настройках сетевой безопасности пользователям советуют заблокировать доступ к домену x90DOTim, с которого загружается вредоносное программное обеспечение. В браузере этот домен открывать нельзя (!). Кроме того, не помешает снова сделать резервные копии всех данных на компьютере.
Председатель наблюдательного совета в Octava Capital Александр Кардаков дополнительно советует сразу удалять письма с вложениями с непроверенных адресов, пользоваться средствами предварительного просмотра содержимого и внимательно читать все системные предупреждения. А сисадмины могут дополнительно настроить почтовую систему на карантин, запретив доступ в интернет для процессов wscript.exe, cscript.exe, powershell.exe, а также - чтение и запись в каталогах %appdata% и %temp% для файлов *.js*, *.vb*, *.ws*, *.exe.
Напомним, предыдущая крупная атака на Украину и другие страны была вызвана вирусом Petya.A, который атаковал банки, государственные и коммерческие офисы, мобильных операторов и индивидуальных пользователей. Так что точно сказать, что кто-то может избежать угрозы, нельзя.