Нова кібератака. Наскільки нашкодив Україні "поганий кролик"
Нова кібератака в Україні зачепила інфраструктурні об'єкти: аеропорт "Одеса", Мінінфраструктури, сайт Госавиационной служби і київське метро - в останньому випадку кияни не могли розплатитися за проїзд банківською картою. Вірус дістав Росію (там була паралізована робота інформагентства "Інтерфакс" і сайту "Фонтанка") та Німеччини. Киберспециалисты кажуть, що вірус відрізняється від налякав українців Petya, але принципи роботи шифровальщика Badrabbit для звичайних користувачів схожі: обидва вірусу шифрували і блокували доступ до комп'ютерів, вимагаючи викуп за розблокування. Ціна питання від "поганого кролика"- 0,05 биткоина (близько 7100 грн на даний момент). В Україні, за даними правоохоронців, грошей за розблокування ніхто не перерахував. Доставка "кролика" може відбуватися з використанням електронних листів - адреси мімікрують під техпідтримку Microsoft.
Команда швидкого реагування CERT.UA при Держслужбі спецзв'язку про можливу атаку попереджала. Завдяки цьому втрат аеропорту, метро і Міністерству інфраструктури хакери не нанесли - відомства самі відключили сайти і перечекали атаку, паралельно виконуючи рекомендації кіберполіції і приватних компаній. "Ми створюємо надійний щит з кібербезпеки разом з фахівцями", - запевняє міністр Володимир Омелян.
У Держспецзв'язку, тим не менш, не виключають нову хвилю атак, тому варто розібратися, в чому суть роботи вірусу і як від нього вберегтися.
Небезпечні посилання і незвичні листи
Фахівці з'ясували, що один із способів поширення вірусу пов'язаний із застосуванням програмного забезпечення "M.E.doc." (так само було і з вірусом Petya), призначеного для електронного документообігу. Користувачам цієї системи рекомендують тимчасово припинити працювати з нею або ж при необхідності відключити там функцію автоматичного оновлення.
Більш докладні технічні поради дає команда CERT-UA: специ пояснюють, що в результаті активації гіперпосилання з електронного листа або програми з документообігу активується скрипт, який і запускає роботу вірусу. Цей скрипт вішає на систему користувача закодовані алгоритмом дані, які і не дозволяють йому продовжити роботу. Командно-контрольний центр шифровальщика знаходився за адресою hxxp: //gdiscoun.org. Користувачам необхідно заблокувати доступ до компрометуючих посиланнями:
hxxp: //urcho.com/JHGGsdsw6
hxxp: //tatianadecastelbajac.fr/kjhgFG
hxxp: //video.rb-webdev.de/kjhgFG
hxxp: //themclarenfamily.com/kjhgFG
hxxp: //webhotell.enivest.no/cuYT39.enc
hxxp: //gdiscoun.org
Також фахівці просять користувачів встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office.
У число більш простих порад входить не відкривати вкладення в підозрілих повідомленнях. Підозра може викликати цілий ряд речей: автор несподівано змінив мову спілкування, стиль спілкування, пише на нетипову тему, несподівано для себе пропонує відкрити програму. Найкраще у випадку з листом з посиланням запросити підтвердження відправки листа через СМС.
Важливі файли можна прогнати через онлайн-програму virustotal для перевірки на віруси. Сисадмінам в організаціях радять звернути увагу на фільтрування поштового веб-трафіку і не працювати на комп'ютері під профілем адміністратора. Остання порада стосується всіх: гостьовий профіль змушує комп'ютер питати про будь-якій дії, яка втручається в роботу системи. Крім того, на комп'ютерах користувачів потрібно на період небезпеки атаки обмежити можливість запуску виконуваних файлів (* .exe).
Карантин і видалення листів
В СБУ, крім цього, рекомендують забезпечити щоденне оновлення системного програмного забезпечення всіх без винятку версій OS Windows (iOS і Mac OS вірус не атакував) і обов'язково встановити оновлення KB3213630 (Windows 10). У налаштуваннях мережевої безпеки користувачам радять заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення. У браузері цей домен відкривати не можна (!). Крім того, не завадить знову зробити резервні копії всіх даних на комп'ютері.
Голова наглядової ради Octava Capital Олександр Кардаков додатково радить відразу видаляти листи з вкладеннями з неперевірених адрес, користуватися засобами попереднього перегляду вмісту і уважно читати всі системні попередження. А сисадміни можуть додатково налаштувати поштову систему на карантин, заборонивши доступ в інтернет для процесів wscript.exe, cscript.exe, powershell.exe, а також - читання і запис в каталогах %appdata% і %temp% для файлів *.js*, *.vb*, *.ws*, *.exe.
Нагадаємо, попередня крупна атака на Україну та інші країни була викликана вірусом Petya.A, який атакував банки, державні і комерційні офіси, мобільних операторів і індивідуальних користувачів. Так що точно сказати, що хтось може уникнути загрози, не можна.