Кибератака 24 октября: что это было и какие последствия в Украине

Новая кибератака 24 октября задела несколько украинских предприятий, целенаправленной она не была.

В августе-сентябре вирус, который заразил украинские компьютеры, атаковал США и остальной мир.

Об этом сообщает департамент киберполиции Национальной полиции Украины. Что это был за вирус и как его подцепили в Украине.

Какой вирус атаковал компьютеры 24 октября?

Скорее всего, это были модифицированные вирусы-шифровальщики Locky и Trickbot. Масштабная атака этих вирусов была зафиксирована в США и остальном мире в августе-сентябре этого года.

Отметим, 24 октября вирус атаковал не только украинские субъекты хозяйствования. Он поразил Россию, Турцию, Германию. Больше всего хакерским атакам во вторник подверглись российские компании – там утверждают, что их атаковал вирус-шифровальщик Bad Rabbit. В Украине жертвами вируса стали сайты Мининфраструктуры и Одесского аэропорта, а также банковские системы Киевского метрополитена. Вечером в СБУ заявили, что прекратили дальнейшее распространение компьютерного вируса.

Как работает вирус?

Правоохранители отмечают, что компьютеры пользователей с операционной системой Windows, по одной из версий, были поражены в результате открытия файлов электронных документов с расширением .doc и .rtf, которые направлялись по каналам электронной почты от неустановленных отправителей. После этого выполнялся встроенный в документы вредный алгоритм, в результате которого загружался и выполнялся файл – тело вируса под названием "heropad64.exe".

После отработки указанного вируса диск компьютера зашифровывался, на экране изображалось сообщение с требованием выкупа за расшифровку файлов и ссылкой на сайт в сети ТОR, где можно получить реквизиты для перевода средств в размере 0,05 ВТС.

Как вирус может проникнуть на компьютер?

Для атаки хакеры использовали уязвимость DDE (Dynamic Data Exchange) в Microsoft Office (CVE-2017-11826). Встроенная в приложения Microsoft Office функция DDE позволяет одним приложениям Office загружать данные из других приложений Office, однако злоумышленники научились использовать эту функцию DDE непосредственно для выполнения вредоносного кода.

"Упомянутый функционал не является уязвимостью в полном смысле, поэтому ожидать каких-то обновлений или "заплаток" от Microsoft не стоит. При срабатывании функции DDE пользователю демонстрируются явные предупреждения, вот только не все их читают", – отметил в Facebook глава наблюдательного совета Octava Capital Александр Кардаков.

Специалисты СБУ установили, что доставка вируса происходила с использованием фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической поддержки компании Microsoft. Согласно предварительному анализу киберполиции, указанная атака была осуществлена с использованием бот-сети Necurs.

Что делать, чтобы уберечь свой компьютер?

Удалять письма с вложениями от незнакомых и непроверенных адресов, не открывая их. Пользуйтесь средствами предварительного просмотра содержимого, не открывая файлы непосредственно в приложениях MS Office. Внимательно читайте системные предупреждения и сообщения при возникновении вопросов – сразу обращайтесь к специалистам.