Новости

06:21 МСК
Все новости

Petya в Татарстане: вирус отключил компьютеры на «Казанькомпрессормаше»

«Кибервымогатель» оправил в каменный век всю «Группу ГМС», но в «Лаборатории Касперского» уверены, что виноваты сами админы

Petya в Татарстане: вирус отключил компьютеры на «Казанькомпрессормаше» Фото: Александр Казаков (iz.ru)

Petya уже в Казани. ИТ-беда не миновала предприятие «Казанькомпрессормаш» — третий день там не могут справиться с вирусом-шифровальщиком. Работа парализована и в головном офисе группы компании ГМС, в которую входит предприятие. Хакерская атака буквально отправила их в каменный век: вместо запроса по электронной почте там предлагают воспользоваться традиционной, а соединить по внутренней связи не могут из-за того, что все номера телефонов хранились в компьютере. Интересно, что жертвы кибератаки пользовались продуктами одной из ведущих лабораторий по компьютерной безопасности. Подробности — в материале «Реального времени».

Письмецо в конверте: вирус-вымогатель отправил предприятия в прошлый век

Вирус-вымогатель Petya, 27 июня атаковавший «Укрэнерго», ДТЭК и «Киевэнерго», «Роснефть», «Хоум кредит» (всего более 80 предприятий в России, на Украине и в Европе), не пощадил и машиностроителей из Казани. «Казанькомпрессормаш» третий день не может восстановить работу из-за хакерской атаки. Производство не пострадало, но работа офиса оказалась парализована. Ни один компьютер не работает. Ситуация доведена до абсурда — «Реальное время» не смогло получить официальный комментарий об ущербе, который нанес вирус «Казанькомпрессормашу» из-за того, что отдел писем физически не может принять запрос. Электронная почта не работает, направить письмо секретарь предприятия предложила традиционной почтой.

В прошлый век вирус-вымогатель отправил и АО «НИИтурбокомпрессор». Секретарь посетовала, что компьютеры не работают «уже несколько дней», в связи с этим здесь вспомнили о существовании факса.

— Мы обесточили все электронные системы, сейчас наши инженеры проверяют насколько глубоким было поражение. Если нужно, они и в выходные поработают, чтобы в понедельник мы смогли начать работу, говорит Александр Харитонов, главный конструктор АО «НИИтурбокомпрессор».

По его словам, вирусная атака не парализовала деятельность НИИ, но притормозила и усложнила работу.

«Петя» добрался и до телефонной книжки

«Казанькомпрессормаш» и «НИИтурбокомпрессор» стали жертвами кибер атаки вместе с другими предприятиями входящими в АО «Группа ГМС» — всего 18 организаций, расположенных в России, Белоруссии, Германии и на Украине. Компьютеры были отключены 27 июня во второй половине дня.

«Группа ГМС была частично затронута глобальной хакерской атакой. Мы продолжаем оценивать ситуацию и предпринимаем все необходимые действия для минимизации вышеупомянутого негативного влияния», — говорится в сообщении на официальном сайте компании.

Выяснить объемы поражения и другие подробности хакерской атаки не представилось возможным по той же причине — компьютеры не работают. Более того, даже соединить корреспондента «Реального времени» по внутренней связи с сооветствующим отделом или специалистом, который мог бы прокомментировать ситуацию не смогли.

«Я не помню номеров внутренних телефонов», — робко ответила секретарь компании. На предложение посмотреть номера последовал тяжелый вздох и объяснение, что все данные хранятся в компьютере, который не работает.

«Лаборатория Касперского»: «Если этот модуль защиты был отключен администраторами, то происходило заражение»

Как стало известно «Реальному времени» пострадавшие «Казанькомпрессормаш» и «НИИтурбокомпрессор» мерами безопасности не пренебрегали, предприятие пользовалось продуктами «Лаборатории Касперского». Там отмечают, что «в большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher), но, видимо, защитить 100% пользователей не удалось.

— Современные антивирусы являются сложной, многокомпонентной системой защиты. В момент появления вируса его ловил компонент, отвечающий за блокировку по поведению программ. Если этот модуль защиты был отключен администраторами, то происходило заражение. Аналогичная ситуация с очень старыми версиями продуктов, которые просто не имеют этого компонента, — прокомментировал ситуацию «Реальному времени» руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.

По данным на 28 июня «Лаборатория Касперского» зафиксировала более 2 000 атак. В блогпосте компании говорится, что «вымогатель использует стандартную, надежную схему шифрования, поэтому расшифровка представляется маловероятной, если только не допущена какая-то мелкая ошибка в имплементации». По данным «Лаборатории Касперского» в биткойн-кошелек вымогателей за сутки в результате 24 транзакций поступило порядка 2,54 биткойна, это чуть меньше $6000.

Чтобы не стать жертвой кибермошенников в компании советуют использовать надежное антивирусное решение со встроенной защитой от программ-вымогателей, обновить Microsoft Windows и все стороннее ПО, крайне важно сразу же установить обновление MS17-010, не открывать вложения, полученные из сомнительных источников, создавать резервные копии ценных данных на внешних носителях и хранить их оффлайн.

Татнефть «жива», в полицию пострадавшие не обращались

Ранее СМИ сообщали о том, что вирус напал на еще одно татарстанское предприятие — на «Татнефть», однако в компании «Реальному времени» информацию опровергли. В МВД по РТ корреспонденту «Реального времени» сообщили: официальных жалоб на виртуального вымогателя «Петю» от предприятий республики и граждан пока не поступало. На всякий случай в полиции напоминают, что пострадавшим делать нельзя: ни в коем случае нельзя платить.

Напомним, что Petya распространяется через файлы, вложенные в сообщения электронной почты. Принцип действия вируса основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска. Эта запись — первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07. В итоге информация на диске компьютера заменятся данными вируса, сообщают специалисты Positive Technologies.

Petya распространяется через файлы, вложенные в сообщения электронной почты. Валентина Огиренко / Reuters (meduza.io)

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1—2 часа. В случае, если диск оказался успешно зашифрован после перезагрузки, на экран выводится сообщение с требованием заплатить выкуп 300 долларов (или отдать криптовалютой) для получения ключа разблокировки файлов. К слову, почтовый адрес, который использовали вымогатели, уже заблокирован, что делает перевод денег бесполезным.

Дарья Турцева, Ирина Плотникова
комментарии 12

комментарии

  • Анонимно 29 июня
    вот бы в нашей компании вырубились компы!)) отдохнули б. Петя, давай к нам
    Ответить
  • Анонимно 29 июня
    Ужас. И до нас добрался
    Ответить
  • Анонимно 29 июня
    Петруха, и к нам давай!
    Ответить
  • Анонимно 29 июня
    Петя прям на расхват)) Вот проперло кому то))
    Ответить
  • Анонимно 29 июня
    Вот вам и цивилизация хваленная.Один вирус и половина предприятий мертва....
    Ответить
    Анонимно 29 июня
    Один дождь и полгорода стоит. Один снегопад и все замерзло и так далее....
    Ответить
    Анонимно 29 июня
    Щас все предприятия побегут обновлять антивирус за огромные доплаты. Молодцы касперский. Удачно подзарабатывают.
    Ответить
    Анонимно 30 июня
    Кому то выгодно просто.
    Ответить
    Анонимно 30 июня
    300 тугриков за разблокировку))
    Ответить
  • Анонимно 29 июня
    Петя до Казани добрался)
    Ответить
  • Анонимно 30 июня
    А у нас петя не сможет снести мозги, компов нет. Мы в каменном веке до сих пор живем)
    Ответить
  • Анонимно 30 июня
    Мы ещё после wannacry не восстановились, а тут уже Петю подхватили. Эх, пойду возьму заявление на увольнение...
    Казанькомпрессормашу ещё повезло!
    Ответить
Войти через соцсети
Свернуть комментарии