Опыт кибератак в Украине и мире – как защититься от вирусов-вымогателей и вирусов-разрушителей (ПРЕСС-РЕЛИЗ)
При финансовой поддержке Государственного департамента США
Пресс-релиз
14 июля 2017, Киев
Опыт кибератак в Украине и мире – как защититься от вирусов-вымогателей и вирусов-разрушителей
Эксперты предоставили рекомендации по защите компьютеров от атак кибервымогателей и вирусов-уничтожителей
27 июня 2017 в Украине была зафиксирована масштабная кибератака, которая одновременно поразила и блокировала деятельность десятков, а впоследствии и тысяч государственных и коммерческих структур страны. За первые трое суток в Национальную полицию Украины обратилось более 2 тысяч юридических и физических лиц с сообщениями о блокировании работы компьютерной техники в результате распространения вируса. С официальными заявлениями, по состоянию на 30 июня, в полицию обратились 309 организаций частного сектора и 111 организаций государственного сектора страны. Хакерская атака осуществлялась с использованием злоумышленниками вредоносной программы-разрушителя под названием Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особенность действия вируса заключается в поражении компьютеров и серверов под управлением ОС Microsoft Windows и предусматривает перезапись информации на жестких дисках.
В результате заражения компьютерного оборудования вирусом появлялось сообщение от кибермошенникам с предложением выплаты «выкупа» за разблокировку пораженных данных (приобретение ключа дешифрования) в размере 300 долларов в цифровой валюте – биткоины. Однако эксперты отмечают, что вредоносное программное обеспечение (ПО) Diskcoder.C не является «шифровальщиком» и не относится к категории «ransomware» (программ-вымогателей). Таким образом, поврежденные данные невозможно «расшифровать» и восстановить. Есть только возможность восстановить другие файлы, которые не попали под действие Diskcoder.C. Ключевая цель программы-уничтожителя заключалась в выведении компьютерного оборудования из строя и блокировании работы компаний. Поэтому, Diskcoder.C является наглядным примером того, что платить выкуп преступникам ни в коем случае нельзя. Попадание к кибермошенникам «на крючок» может обернуться не только потерей файлов, но и потерей средств.
Экспертами установлено, что поражение информационных систем украинских компаний преимущественно происходило через обновление программного обеспечения «M.E.Doc», предназначенного для отчетности и документооборота. По полученным киберполицией данным, которые подтверждены правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения.
Специалисты отмечают, что атака Diskcoder.C, начатая 27 июня, имела предшественников. Начало системных нападений на «украинские компьютеры» – это первые атаки, которые были осуществлены в марте-апреле 2017 года (когда происходило как заражение компьютеров вирусом-шифровальщиком с помощью писем, якобы, от Государственной налоговой службы, или от банка). Специалисты отмечают ряд схожих признаков, которые связывают весенние атаки, атаку Diskcoder.C, а также кибернападения на объекты критической инфраструктуры в Украине, совершенные за последние несколько лет.
С каждым годом вопрос безопасности данных становится все более весомым как для организаций различных масштабов и отраслей, так и для каждого отдельного пользователя. Эксперты Украинской межбанковской Ассоциации членов платежных систем ЕМА подчеркивают важность донесения информации о необходимости принятия превентивных мер и последствиях уплаты «выкупа» киберпреступникам, принимая во внимание опыт последних массовых кибератак в Украине и мире, связанных с применением злоумышленниками вирусов-разрушителей и вирусов-вымогателей.
Для защиты компьютерного оборудования от программ-уничтожителей (в частности вредоносного ПО Diskcoder.C) специалисты советуют:
- Все то, что может быть причастно к фазе инициации атаки вирусом (как правило это: сервер/ПК, «M.E.Doc», контроллер домена), необходимо отключить, сделать копии жестких дисков, переустановить. Перед этим подключаться к Интернету и локальной сети нельзя.
- Изменить свои пароли к административным учетным записям на компьютерах и файерволах (при формировании пароля используйте как минимум 10 символов – 2 большие буквы, 2 маленькие буквы, 2 цифры, 2 символа. Не следует использовать обычные слова из словаря).
- Изменить пароли к электронной почте и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.
- Воспользуйтесь рекомендациями по восстановлению доступа к пораженной вирусом операционной системе, которые приведены на сайте Департамента киберполиции Национальной полиции Украины.
Сегодня вирусы-разрушители и программы-вымогатели являются проблемой международного масштаба, которая требует безотлагательного разрешения. По результатам первого квартала 2017 года, 6 из 10 вредоносных ПО составляли именно вирусы-вымогатели, По данным специалистов «Лаборатории Касперского», каждые 40 секунд коммерческие и государственные учреждения по всему миру подвергаются атакам вирусами-вымогателями, при этом индивидуальные атаки происходят каждые 10 секунд. Согласно прогнозам исследовательской компании Cybersecurity Ventures, ожидается, что в 2017 году глобальные потери в результате действий кибервымогателей будут превышать 5 млрд. долларов, по сравнению с суммой убытков в размере 325 млн. долларов в 2015 году.
Среди общих рекомендаций по защите данных на компьютере от вирусов-уничтожителей и вирусов-вымогателей:
- Установить обновление ОС Windows MS17-010.
- Отключить устаревшую версию сетевого протокола (Server Message Block) – SMB1.
- Следует внимательно относиться ко всей электронной корреспонденции: не следует загружать и открывать приложения и переходить по ссылкам в письмах, которые отправлены с неизвестных адресов или выглядят подозрительно (например, автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и т.д.), а также в письмах с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или к открытию подозрительных файлов (архивов, исполняемых файлов и т.д.). В случае получения письма с известного адреса, но такого, которое вызывает подозрение относительно своего содержания, – следует связаться с отправителем и подтвердить факт отправки письма.
- Заблокировать возможность открытия JS файлов, полученных по электронной почте.
- Всегда создавайте резервные копии файлов на отдельных носителях или в облачном хранилище. Выключайте связь с облачным хранилищем, как только загрузили туда данные.
- Включите в настройках Windows на компьютере функцию «Показывать расширение файлов»: это поможет заметить потенциально вредные файлы (файлы с расширением «.exe», «.vbs» и «.scr» – потенциально опасны!). Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл под якобы видео, фото или документ (например, hot-chics.avi.exe или doc.scr).
- Если на вашем компьютере запущен вредоносный процесс, немедленно отключите связь с сетью Интернет и локальной сетью. Это может приостановить процесс заражения вирусом.
В случае, если вредоносное программное обеспечение все же заблокировало компьютер, специалисты категорически не рекомендуют реагировать на сообщения с требованием уплаты выкупа для возвращения доступа к файлам.
«Платить выкуп злоумышленникам ни в коем случае нельзя. Во-первых, нет никаких гарантий, что доступ к компьютеру будет восстановлен, а файлы спасены. Во-вторых, осуществление какого-либо платежа – это вклад в «бюджет» мошенника и финансирование его дальнейшей киберпреступной деятельности», – отмечает Алексей Красюк, заместитель директора по операционным вопросам и информационной безопасности Украинской межбанковской Ассоциации членов платежных систем ЕМА.
Также эксперты отмечают, что сегодня у каждого украинца есть возможность бесплатно воспользоваться инструментом для дешифрования зараженных вирусом файлов на компьютере или мобильном устройстве, если оно было атаковано вредоносным шифровальным программным обеспечением (вирусом-вымогателем). В апреле 2017 года, в рамках глобальной инициативы No More Ransom, целью которой является борьба с кибервымогательством, была запущена Интернет-страница на украинском языке, где доступны специальные ключи и приложения для возвращения доступа к «инфицированным» вирусом файлам. Доступ граждан к такому функционалу стал возможен благодаря присоединению к глобальной инициативе по противодействию кибервымогателям Департамента киберполиции Украины и Ассоциации ЕМА.
Международный проект No More Ransom, который был запущен в июле 2016 года совместными усилиями Европола, полиции Нидерландов, «Лаборатории Касперского» и компании Intel Security, сегодня поддержали уже 89 организаций. Сейчас на сайте проекта No More Ransom доступны уже 50 эффективных инструментов для дешифрования данных. Кроме украинского, платформа www.nomoreransom.org работает еще на 14 разных языках. За год работы проекта, с помощью разработанных специалистами инструментов, уже более 29 000 пользователей по всему миру смогли расшифровать зараженные вирусом данные без платежей преступникам.
В случае, когда компьютер был заблокирован ПО-вымогателем или ПО-разрушителем, необходимо немедленно сообщить об инциденте в киберполицию, самый простой способ – через сайт Департамента киберполиции Национальной полиции Украины.
Справка
[1] https://cyberpolice.gov.ua/news/policziya-otrymala-vzhe-ponad-dvi-tysyachi-povidomlen-pro-kryptoloker-shho-shyryvsya-ukrayinoyu-2149/
[2] Перечень версий обновлений, через которые осуществлялось заражения:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017
[3] https://cyberpolice.gov.ua/news/policziya-otrymala-vzhe-ponad-dvi-tysyachi-povidomlen-pro-kryptoloker-shho-shyryvsya-ukrayinoyu-2149/
[4] Barkly. Ransomware Growth by the Numbers: Ransomware Statistics 2017. Jun 2017.
https://blog.barkly.com/ransomware-statistics-2017
[5] Kaspersky Security Bulletin 2016. The ransomware revolution.
https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
[6] The Ransomware Damage Report is published by Cybersecurity Ventures, – 2017 Edition. http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
Safe Card: Национальная программа содействия безопасности электронных платежей и карточных расчетов
Проект стартовал в Украине 1 октября 2016 года и продлится до 30 сентября 2017 года.
Программа предусматривает комплекс мероприятий и активностей Ассоциации ЕМА, медиа, участников платежного рынка и государственных органов по пяти направлениям противодействия:
- повышение осведомленности граждан Украины об эффективных способах защиты собственной информации и правилах безопасного использования платежных карточек, электронных платежей и банкоматов;
- усовершенствование уголовного законодательства Украины у сфере неправомерного оборота средств платежа и приведение его в соответствие с мировыми стандартами с учетом актуальных видов карточных и платежных преступлений;
- усовершенствование системы оперативного получения и проверки правоохранительными органами информации о преступлениях с платежными карточками, электронными платежами и в банкоматах;
- усовершенствование взаимодействия между банками, патрульной полицией, киберполицией и следствием при расследовании и противодействии преступлениям с платежными карточками, электронными платежами и в банкоматах;
- повышение информированности судей и прокуроров о схемах совершения преступлений с платежными карточками, интернет-платежами и в банкоматах, анализ судебной практики и формирование рекомендаций по квалификации карточных и платежных преступлений.
В рамках Программы проводятся социологические исследования, разрабатываются информационные материалы, создаются межведомственные рабочие группы и другое.
Проект внедряется при поддержке Государственного департамента США и координируется Украинской межбанковской ассоциацией членов платежных систем ЕМА.
ЕМА
Украинская межбанковская ассоциация членов платежных систем ЕМА (www.ema.com.ua) основана в 1999 году для того, чтобы сделать использование безналичных платежных инструментов и технологий при расчетах и кредитовании в Украине неотъемлемым элементом финансовой культуры, таким же удобным, как и в странах Большой семерки и Европейского союза.
Ассоциация передает накопленный опыт использования безналичных платежных инструментов, экспертную статистическую и аналитическую информацию клиентам банков и СМИ, формируя уверенность в удобстве и безопасности безналичных расчетов.
Вместе с регуляторами рынка Ассоциация ЕМА формирует законодательную и нормативную основу работы платежного рынка. В течение 15 лет создана и администрируется единственная в Украине межотраслевая онлайн-система обмена информацией о платежном и кибермошенничестве, налажено сотрудничество с правоохранительными органами.
С 1 октября 2016 года по 30 сентября 2017 года Ассоциация ЕМА является координатором Национальной программы содействия безопасности электронных платежей и карточных расчетов SAFE CARD, которая реализовывается в Украине при поддержке Государственного департамента США.
Для получения дополнительной информации обращайтесь к:
Марине Куземко (e-mail: [email protected], тел. (050) 387-63-89)
Анне Дзюбе (e-mail: [email protected], тел. (050) 412-47-21)