Что за новый вирус появился в интернете. Самые масштабные и значимые атаки компьютерных вирусов в мире. Досье. Атака на нефть

По информации компании Group-IB (борьба с киберпреступностью), днем пострадало более 100 компаний в СНГ, а к вечеру «Лаборатория Касперского» объявила, что счет жертв во всем мире идет на тысячи. Вирус распространяется в Windows-системах, но точный механизм его работы пока не известен, сообщил представитель «Доктора Веба». Microsoft известно о ситуации и корпорация проводит расследование, заявил представитель компании.

Атака на нефть

Днем крупнейшая российская нефтяная компания «Роснефть» в своем твиттер-аккаунте сообщила о мощной хакерской атаке на серверы компании, не уточнив подробностей. Один из сотрудников «Башнефти» (подконтрольна «Роснефти») на условиях анонимности рассказал «Ведомостям» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange – значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. Умер жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, сотрудники получили распоряжение выключить компьютеры. Информацию о том, что вирус поразил именно «Башнефть», подтвердили два источника, близких к компании. Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены, сообщил представитель «Роснефти».

Как избежать заражения

Чтобы не заразить компьютер вирусом, представитель «Доктора Веба» советует не открывать подозрительные письма, создавать резервные копии важных данных, устанавливать обновления безопасности для программного обеспечения и пользоваться антивирусом. Представитель «Лаборатории Касперского» также напоминает своим пользователям, чтобы они проверили, включен ли антивирус. Также с помощью программы AppLocker нужно заблокировать файл с названием perfc.dat, советует «Лаборатория Касперского». Чтобы остановить распространение вируса, компаниям необходимо закрыть TCP-порты (протокол распространения данных по сети) 1024-1035, 135 и 445, сообщили в Group-IB.

Новые жертвы

О заражении нескольких российских банков ближе к вечеру сообщил Банк России. Нарушение работы из-за кибератаки подтвердил российский «Хоум кредит банк» (ХКФ-банк). Банк подчеркнул, что заметил признаки нестабильности и решил провести проверку всех систем безопасности. Отделения ХКФ-банка были открыты, но работали в консультационном режиме, банкоматы и колл-центры продолжали работу. Сайт ХКФ-банка был недоступен. Корреспондент «Ведомостей» дважды оплатил услуги одного из сотовых операторов через интернет с карты ХКФ-банка.

Платежи прошли, протокол 3-D Secure не сработал – клиент банка не получил sms с кодом подтверждения операции. В российском офисе Royal Canin (подразделение компании Mars) возникли трудности с IT-системами, сообщил представитель компании. Хакерской атаке подвергся и Evraz, но основные производства продолжали работать и угрозы сотрудникам и предприятиям не было, сообщил представитель компании. Вирусная атака затронула офисы в Европе (включая Россию и Украину), подтвердила представитель компании – производителя кондитерских изделий Mondelez.

Мировое турне

Хотя в России и на Украине зафиксировано больше всего инцидентов, вирус действует и в других странах, сообщил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Вряд ли можно настроить самораспространяющийся вирус так, чтобы он затронул только отдельные страны, солидарен представитель «Доктора Веба».

Кибератаки были совершены одновременно в разных странах Европы, а с началом рабочего дня в США поступило несколько сообщений и оттуда, написало около 18.00 мск издание The Wall Street Journal. Датская судоходная компания A.P. Moller-Maersk, владелец крупнейшего в мире морского контейнерного перевозчика Maersk Line, сообщила, что перестали работать компьютерные системы во многих ее подразделениях и регионах. Кибератаке подверглись IT-системы нескольких компаний, входящих в британский рекламный конгломерат WPP Group. О нападении также сообщили крупная юридическая фирма DLA Piper и французская строительная компания Saint Gobain, представитель которой сказал Financial Times, что она «изолировала свои компьютерные системы с целью защиты данных».

Вирус пожелал остаться неизвестным

Это уже второй случай глобальной атаки вируса-вымогателя за последние два месяца. В середине мая по всему миру прошла волна заражений шифровальщиком WannaCry. Вирус заражал компьютеры, не установившие обновление операционной системы Windows. В ходе хакерской атаки WannaCry поразил до 300 000 компьютеров более чем в 70 странах мира и зашифровал информацию на них, сделав ее недоступной для использования. В России были атакованы, в частности, «Мегафон» и МВД.

Одна из причин «популярности» шифровальщиков заключается в простоте бизнес-модели, объяснял главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, если вирусу удается проникнуть в систему, то шансов избавиться от него, не потеряв при этом личные данные, практически нет. Выкуп в биткоинах также играет мошенникам на руку: оплата происходит анонимно и ее почти невозможно отследить, объясняет он. Причем разблокировка компьютера после выплаты выкупа вовсе не гарантирована, отмечает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Изначально вирус идентифицировали как уже известный шифровальщик Petya, но вскоре эксперты разошлись в диагнозе. «Лаборатория Касперского» выделила его в отдельный штамм, представитель «Доктора Веба» вчера вечером считал его либо модификацией Petya, либо чем-то иным. Никитин думает, что речь идет о модификации Petya, которая распространяется в почтовой рассылке и для ее активации достаточно открыть вложение в пришедшем на почту письме. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет автор телеграм-канала «Сайберсекьюрити» Александр Литреев. Но способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы, отмечает представитель «Доктора Веба». К нашумевшему вирусу WannaCry новый вирус отношения не имеет, солидарны Никитин и Закоржевский. Однако самостоятельно расшифровать приглянувшиеся вымогателю файлы невозможно.

В подготовке статьи участвовали Дарья Борисяк, Екатерина Бурлакова, Иван Песчинский и Полина Трифонова

Вчера началась эпидемия нового компьютерного вируса-шифровальщика. Главным образом он поразил работу российских и украинских организаций, но затронул и компании из других стран мира. Вирус предупреждает пользователей, что все их файлы зашифрованы, а попытки самостоятельного восстановления бесполезны. Вирус-вымогатель требует перевести $300 в криптовалюте биткоин в обмен за разблокировку доступа.

Атака на нефть

Новые жертвы

Вирус пожелал остаться неизвестным

Как избежать заражения

Павел КАНТЫШЕВ, Виталий ПЕТЛЕВОЙ, Елизавета СЕРЬГИНА, Михаил ОВЕРЧЕНКО

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.