Кибератака 24 октября: что это было и какие последствия в Украине

Автор
Кибератака 24 октября: что это было и какие последствия в Украине

Новая кибератака 24 октября задела несколько украинских предприятий, целенаправленной она не была.

В августе-сентябре вирус, который заразил украинские компьютеры, атаковал США и остальной мир.

Об этом сообщает департамент киберполиции Национальной полиции Украины. Что это был за вирус и как его подцепили в Украине.

Какой вирус атаковал компьютеры 24 октября?

Скорее всего, это были модифицированные вирусы-шифровальщики Locky и Trickbot. Масштабная атака этих вирусов была зафиксирована в США и остальном мире в августе-сентябре этого года.

Отметим, 24 октября вирус атаковал не только украинские субъекты хозяйствования. Он поразил Россию, Турцию, Германию. Больше всего хакерским атакам во вторник подверглись российские компании – там утверждают, что их атаковал вирус-шифровальщик Bad Rabbit. В Украине жертвами вируса стали сайты Мининфраструктуры и Одесского аэропорта, а также банковские системы Киевского метрополитена. Вечером в СБУ заявили, что прекратили дальнейшее распространение компьютерного вируса.

Как работает вирус?

Правоохранители отмечают, что компьютеры пользователей с операционной системой Windows, по одной из версий, были поражены в результате открытия файлов электронных документов с расширением .doc и .rtf, которые направлялись по каналам электронной почты от неустановленных отправителей. После этого выполнялся встроенный в документы вредный алгоритм, в результате которого загружался и выполнялся файл – тело вируса под названием "heropad64.exe".

После отработки указанного вируса диск компьютера зашифровывался, на экране изображалось сообщение с требованием выкупа за расшифровку файлов и ссылкой на сайт в сети ТОR, где можно получить реквизиты для перевода средств в размере 0,05 ВТС.

Как вирус может проникнуть на компьютер?

Для атаки хакеры использовали уязвимость DDE (Dynamic Data Exchange) в Microsoft Office (CVE-2017-11826). Встроенная в приложения Microsoft Office функция DDE позволяет одним приложениям Office загружать данные из других приложений Office, однако злоумышленники научились использовать эту функцию DDE непосредственно для выполнения вредоносного кода.

Хакерская атака в Украине: киберполиция раскрыла детали

"Упомянутый функционал не является уязвимостью в полном смысле, поэтому ожидать каких-то обновлений или "заплаток" от Microsoft не стоит. При срабатывании функции DDE пользователю демонстрируются явные предупреждения, вот только не все их читают", – отметил в Facebook глава наблюдательного совета Octava Capital Александр Кардаков.

Специалисты СБУ установили, что доставка вируса происходила с использованием фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической поддержки компании Microsoft. Согласно предварительному анализу киберполиции, указанная атака была осуществлена с использованием бот-сети Necurs.

Что делать, чтобы уберечь свой компьютер?

Удалять письма с вложениями от незнакомых и непроверенных адресов, не открывая их. Пользуйтесь средствами предварительного просмотра содержимого, не открывая файлы непосредственно в приложениях MS Office. Внимательно читайте системные предупреждения и сообщения при возникновении вопросов – сразу обращайтесь к специалистам.