Число кибератак за три года выросло в шесть раз. «Всего с 2014 года пользователи заплатили разработчикам вирусов-вымогателей $25 млн», — говорится в исследовании Google, подготовленном совместно с Политехническим институтом Нью-Йорского университета. За 2017 год уже трижды на сервера российских компаний и на компьютеры рядовых пользователей была совершена кибератака вирусов-шифровальщиков, которая еще раз подтвердила, что от заражения никто не застрахован. Новый вирус Bad Rabbit, также как и предыдущие, кодирует информацию на жестком диске и требует выкуп за ее разблокировку. «Журналист. Online» решил выяснить, что это за вирус, как он распространяется в Сети и какой ущерб успел нанести за неделю существования.
©Виктория Гаджиева / Журналист Online
24 октября вирус-шифровальшик Bad Rabbit атаковал серверы Киевского метрополитена, аэропорта Одессы, а также предприятий в Турции, Болгарии, Японии и Германии. Согласно данным антивирусной лаборатории Eset, около 65% атак вируса пришлось на Россию. От вируса пострадали крупные федеральные СМИ – информационное агентство «Интерфакс», интернет-газета «Фонтанка», сетевое издание «Суть событий», сайты газет «Аргументы недели» и «Новая газета. Санкт- Петербург». Также некоторое время не работал сайт информационного агентства ТАСС. Злоумышленники планировали нарушить работу систем банков из топ-20 и заразить десятки тысяч компьютеров обычных пользователей.
«Лаборатория Касперского» утверждает, что вирус распространялся через зараженные сайты других СМИ. Каждому, кто заходил на эти порталы, предлагалось обновить плагин для просмотра видео Adobe Flash, после согласия программа зашифровывала файлы на компьютере. Продвигаться по локальной сети вирусу помогали пароли и логины, сохраненные в системе. Компании, специализирующиеся на компьютерной безопасности, сообщают, что вирус распространяется вручную самими пользователями, а не внедряется в системы самостоятельно.
После перезагрузки компьютера на мониторе появляется надпись красными буквами с индивидуальным номером устройства и адрес сайта. По ссылке запускается автоматический таймер, в течение 48 часов на счет злоумышленников нужно перевести электронную валюту – 0,05 биткоина, что по текущему курсу составляет около $283 или 16 тысяч рублей. Если за это время человек так и не отправляет деньги, то сумма выкупа увеличивается. На сегодняшний день, не имея на руках ключа шифрования, невозможно вернуть файлы. Работа серверов, с которых первоначально началось заражение, была остановлена 25 октября.
©Виктория Гаджиева / Журналист Online
По информации компании по разработке программного обеспечения в области информационной безопасности Symantec, вирус принадлежит к типу троянских червей и имеет низкий уровень угрозы. Работает он лишь на операционной системе Windows. Новый вирус схож с еще одним шифровальщиком, NotPetya, который заразил компьютеры крупных компаний в июне этого года. Тогда от вируса пострадали пользователи в Испании, Индии, Украине, России и в еще 150 странах.
«По нашим данным, часть кода, использованная в Bad Rabbit, в свое время засветилась и в NotPetya. Совпадают и техники распространения», – говорится в исследовании международной компании по предотвращению и расследованию киберпреступлений Group-IB. В компании считают, что за этими двумя атаками стоит одна и та же группировка, а подготовка к распространению Bad Rabbit планировалась с июля 2017 года. С другим шифровальщиком – Locky, который стал известен после атаки на американские больницы в 2016 году, этот вирус роднят отсылки в коде к сериалу «Игра Престолов». Например, там тоже можно найти имена трех драконов из фильма: Дорогона, Рейгаля и Визероина.
Через час после распространения вируса по сетям украинских компаний перестали работать сайты и внутренние сервисы «Интерфакса» и «Фонтанки». Петербургское онлайн-издание смогло восстановиться через 12 часов после атаки, главный сайт «Интерфакса» начал работу лишь спустя сутки. Внутренние сервисы агентства заработали через четыре дня, но не в полном объеме. Для пользователей осталась недоступной информационная база «СПАРК-Интерфакс», которая помогает быстро найти информацию о любой фирме, узнать ее финансовые показатели, имена собственников и контакты. Перестал работать и «сервер раскрытия информации», где публикуются корпоративные сведения и отчетность компаний. Центральный банк начал проверку в отношении нового вируса, а «Интерфакс» обратился в правоохранительные органы.
