Через атаку віруса-шифрувальника у Полтаві не працюють «Ощадбанк», «Нова Пошта» та «Укртелеком»

Низка комп’ютерів підприємств енергетичної, банківської та поштової сфери в Україні зазнали атак комп’ютерним вірусом — аналогом WannaCry. Через це їхні відділення у Полтаві частково або повністю паралізовані.

Вірус-шифрувальник отримав назву Win32/Diskcoder.Petya.C. Його охрестили аналогом активного у травні вірусу WannaCry, бо діє він схожим чином. На перший інфікований комп’ютер установи вірус потрапляв з електронної пошти. Співробітник відкривав лист із шкідливим додатком (документом Word або PDF-файлом), після чого запускався процес шифрування файлів. Після перезавантаження системи користувач бачив повідомлення з пропозицією здійснити оплату ключа дешифрування у біткоінах в еквіваленті суми $300 (~0.1278 BTC) для розблокування даних. Після інфікування першого комп’ютера організації, подальше розповсюдження вірусу відбувалося локальною мережею — використовувалася вразливість системи Windows, для якої Microsoft випустила оновлення ще у березні.

Для захисту від вірусу спеціалісти радять превентивно створити файл з назвою perfc у директорії C:\Windows\. Під час ураження комп’ютера Petya шукає файл з такою назвою і якщо знаходить — припиняє роботу.

Для досвідчених користувачів в разі перших ознак зараження (ураження MBR, самовільне  перезавантаження) спеціалісти радять:

• повністю (примусово) вимкнути комп'ютер;
• завантажитися за допомогою LiveCD будь-якого Linux-дистрибутива або витягти жорсткий диск і підключити його до іншого комп'ютера.
• скопіювати всі дані в безпечне місце (хмарне сховище, зовнішній HDD)

Для звичайних користувачів залишаються актуальними такі поради:

• примусово оновіть базу антивіруса та встановіть останні оновлення операційної системи й офісного пакету, якщо з якоїсь причини автоматичне оновлення вимкнене;
• не відкривайте підозрілі листи і особливо вкладення в них;
• якщо є найменша підозра щодо вмісту листа, перед відкриттям вкладення перевірте його антивірусом і видаліть, за необхідності, а потім очистіть «Кошик»;
• перевіряйте адресу відправника листа та веб-сторінки, особливо якщо на ній пропонують ввести логін і пароль;
• не відкривайте посилання на веб-сторінки, отримані в підозрілих листах або СМС;
• не встановлюйте на комп’ютерах і мобільних пристроях програми з неофіційних джерел;
• встановлюйте пароль на блокування мобільного пристрою;
• використовуйте складні паролі;
• ніколи не користуйтеся однаковим паролем на різних сервісах;
• де це можливо, використовуйте двофакторну аутентифікацію (коли додатковий одноразовий пароль надходить СМСкою або генерується мобільним додатком);
• систематично робіть копії важливих даних на зовнішні носії або в хмарне сховище Google Drive, Dropbox тощо.

Про атаку вірусу на офіційних сайтах або сторінках у Facebook та Twitter повідомили:

• Нацбанк України (попередження для банків);
• Ощадбанк (обмежений функціонал послуг, що надаються клієнтам);
• Нова Пошта (інформаційні системи відділення та контакт-центр тимчасово не обслуговують клієнтів);
• Укртелеком (не працює контакт-центр та комп’ютерні системи центру обслуговування абонентів, обслуговування у ручному режимі).

Банкомат «Ощадбанку» у Києві

Банкомат «Ощадбанку» у Полтаві в 18:45

Крім того, «Полтавщині» відомо, що атак зазнали і комп’ютери у редакції «Зорі Полтавщини».

Нижче ми будемо доповнювати перелік устав, які зазнали атаки. Якщо вам відома інформація про припинення роботи установ чи підприємств через кібер-атаку, просимо повідомляти у коментарях або на пошту чи за редакційними телефонами (0532) 656-254, (095) 794-29-25, (098) 385-07-22.

UPD 19:30. Відомо, що відсутній або був відсутній доступ до офіційних сайтів:

• Полтавської ОДА та районних державних адміністрацій (відключили задля запобігання ураження вірусом);
• Полтавської міськради (відключили у профілактичних цілях, бо сайт почав працювати із перебоями);
• ПАТ «Полтавагаз» (разом з абонентським кабінетом).
• ГУ НП в Полтавській області та інші регіональні сайти поліці;
• Департаменту Кіберполіції України;

Відомо про збої у роботі таких організацій, як:

• КП «Полтававодоканал» (о 16:15 через вірусну небезпеку від’єдналися від мережі усі ком’ютери підприємства)
• аптечна мережа «МедСервіс» (повністю «лягла» система);
• аптечна мережа «Триоль» (співробітникам заборонили користуватися деякими програмами);
• Лубенський лісгосп;
• Укрпошта;
• Запоріжжяобленерго;
• Дніпроенерго;
• Дніпровська електроенергетична система;
• Харківгаз;
• Чорнобильська АЕС;
• мережа ОККО;
• мережа WOG;
• мережа Shell;
• мережа Klo;
• мережа ТНК;
• Укрзалізниця;
• Київенерго;
• метрополітен Києва;
• аеропорт «Бориспіль»;
• банк «Південний»;
• банк «ПУМБ»;
• банк «Сбербанк»;
• банк «ТАСКомерцбанк»;
• банк «Укргазбанк»
• банк «OTP банк»;
• банк «Кредобанк»;
• банк «Укрсоцбанк»;
• мережа супермаркетів «Foxtrot»;
• мережа будівельних гіпермаркетів «Епіцентр»;
• торгова мережа «Novus»;
• торгова мережа «Fozzy».

UPD 20:45. На данний момент у біткоін-гаманці, який фігурує у повідомленнях заблокованих комп’ютерів, міститься $5626 (~2.3981 BTC).

Дарина СИНИЦЬКА, «Полтавщина»