Фото: zillya.ua
27-го червня 2017-го року в Україні відбулась масштабна кібератака, що одночасно вразила та блокувала діяльність десятків, а згодом і тисяч державних і комерційних структур країни. Станом на 30-те червня, до поліції звернулися 309 організацій приватного та 111 організацій державного сектору країни.
Злодії використали шкідливу програму-руйнівника під назвою Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особливість дії вірусу в ураженні комп’ютерів і серверів під керуванням ОС Microsoft Windows та передбачає перезапис інформації на жорстких дисках.
Для захисту комп'ютерів від програм-винищувачів експерти Української міжбанківської Асоціації членів платіжних систем ЄМА радять:
1. Усе те, що може бути причетним до фази ініціації атаки вірусом (зазвичай це: сервер/ПК, «M.E.Doc», контролер домену) необхідно вимкнути, зробити копії жорстких дисків, перевстановити. До цього підключатися до Інтернету та локальної мережі не можна.
2. Змінити свої паролі до адміністративних облікових записів на комп’ютерах та файерволах (під час формування паролю використовуйте щонайменш: 10 cимволів, 2 великі літери, 2 малі літери, 2 цифри, 2 символи. Не слід використовувати звичайні слова із словника).
3. Змінити паролі до електронної пошти та електронні цифрові підписи, у зв’язку з тим, що ці дані могли бути скомпрометовані.
4. Cкористайтеся рекомендаціями щодо поновлення доступу до враженої вірусом операційної системи, які наведені на сайті Департаменту кіберполіції Національної поліції України.
Загальні рекомендації:
1. Установити оновлення ОС Windows MS17-010.
2. Відключити застарілу версію мережевого протоколу (Server Message Block) – SMB1.
3. Слід уважно ставитися до всієї електронної кореспонденції: не слід завантажувати та відкривати додатки й переходити за посиланнями у листах, які надіслані з невідомих адрес або виглядають підозріло (наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо), а також у листах з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів (архівів, виконуваних файлів тощо). У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – слід зв’язатися з відправником та підтвердити факт відправки листа.
4. Заблокувати можливість відкриття JS файлів, отриманих електронною поштою.
5. Завжди створюйте резервні копії файлів на окремих носіях або в хмарному сховищі. Вимикайте зв'язок із хмарним сховищем, щойно завантажили туди дані.
6. Включіть у налаштуваннях Windows на комп'ютері функцію «Показувати розширення файлів»: це допоможе помітити потенційно шкідливі файли (файли з розширенням «.exe», «.vbs» і «.scr» – потенційно небезпечні!). Шахраї можуть використовувати кілька розширень, щоб замаскувати шкідливий файл під нібито відео, фото чи документ (наприклад, hot-chics.avi.exe або doc.scr).
7. Якщо на вашому комп'ютері запущено шкідливий процес, негайно вимкніть зв'язок з мережею Інтернет та локальною мережею. Це може зупинити процес зараження вірусом.
У разі, якщо шкідливе програмне забезпечення все ж заблокувало комп’ютер, спеціалісти категорично не рекомендують реагувати на повідомлення з вимогою сплати викупу для повернення доступу до файлів.
«Сплачувати викуп нападникам у жодному разі не можна. По-перше, немає жодних гарантій, що доступ до комп’ютера буде відновлено, а файли врятовані. По-друге, здійснення будь-якого платежу – це вклад до “бюджету” шахрая та фінансування його подальшої кіберзлочинної діяльності», – зазначає Олексій Красюк, заступник директора з операційних питань та інформаційної безпеки Української міжбанківської Асоціації членів платіжних систем ЄМА.
Також експерти наголошують, що сьогодні у кожного українця є можливість безкоштовно скористатися інструментом для дешифрування заражених вірусом файлів на своєму комп’ютері чи мобільному пристрої, якщо він був атакований шкідливим шифрувальним програмним забезпеченням (вірусом-вимагачем). У квітні 2017 року, у рамках глобальної ініціативи No More Ransom, метою якої є боротьба з кібервимаганням, було запущено інтернет-сторінку українською мовою, де доступні спеціальні ключі та додатки для повернення доступу до «інфікованих» вірусом файлів.
У випадку, коли роботу комп’ютера було заблоковано вимагацьким ПЗ або ПЗ-руйнівником, необхідно негайно повідомити про інцидент у кіберполіцію, найпростіший спосіб – через сайт Департаменту кіберполіції Національної поліції України.
