Petya.A-вимагач. Все про найбільшу кібератаку в Україні

Що за вірус і що він робить

За даними фахівців, вірус називається DOS/Petya.A. Вірус поєднує в собі функції блокувальника і шифрувальника. На відміну від схожого вірусу WannaCry, епідемія якого пройшла також недавно, Petya.A блокує доступ не до окремих файлів, а до диска комп'ютера в цілому.

Вірус підкидають за допомогою того ж фішингу - пересилаючи поштою, або при скачуванні з неблагонадійного сайту. Після скачування, вірусу потрібен запуск і розширення повноважень. Швидше за все неуважний користувач не звертає увагу або приймає її за іншу програму, і запускає шкідливий додаток.

Petya.A найчастіше поширюється через повідомлення електронної пошти зі спамом, які містять посилання на завантаження файлів з Dropbox під назвою "додаток folder-gepackt.exe". Коли файл завантажується та відкривається, активується вірус.

Після запуску Petya.A комп'ютер випадає в BSOD (або як його ще називають "Екран смерті", "Синька"). Після перезавантаження комп'ютера користувач бачить імітацію перевірки диска. Насправді, в цей момент орудує вже не система комп'ютера, а вірус, який шифрує всі дані.

Коли пристрій завантажується, на екрані з'являється повідомлення: "НЕ ВИМИКАЙТЕ ВАШ ПК! ЯКЩО ВИ ЗУПИНИТЕ ЦЕЙ ПРОЦЕС, ВИ МОЖЕТЕ ЗНИЩИТИ ВСІ ВАШІ ДАНІ! БУДЬ ЛАСКА, ПЕРЕВІРТЕ, ЧИ ВАШ КОМП'ЮТЕР ПІД'ЄДНАНО ДО ЗАРЯДКИ!"

Спочатку такий напис виглядає як системна помилка, однак саме в цей момент вірус виконує шифрування даних. Якщо користувач намагається зупинити процес чи перезавантажити систему, на екрані з'являється червоний скелет разом з текстом "НАТИСНІТЬ БУДЬ-ЯКУ КЛАВІШУ!".

Потім з'являється екран на якому вимагають викуп. Для того щоб повернути працездатність комп'ютера, вірус-вимагач вимагає перевести $300 в біткоіни.

Читайте також: Як врятуватися від хакерів. 8 порад від Українського кіберальянсу

Поки що відомо про зараження вірусом систем Windows. Так що, якщо у вас MacOS, то швидше за все Petya.A не дістанеться до вашого комп'ютера.

Кого вже атакував вірус

Атаковані були не тільки підприємства, а й приватні комп'ютери користувачів.

Найпершими оголосили про атаку "Київенерго". Співробітники підприємства сиділи з вимкненими комп'ютерами, доки служба безпеки не вирішить проблему. "Укренерго" також виявилися атаковані хакерами, проте зізналися, що їм вдалося уникнути кризової ситуації і зараз все під контролем. Також заблокований сайт ДТЕК.

Атака зачепила і аеропорт "Бориспіль". Заступник генерального директора аеропорту Євген Діхнов попередив, що можливі затримки в рейсах. Офіційний сайт і табло аеропорту не працюють.

Працівники "Укртелекому" також борються з вірусом-здирником. У цьому їм допомагають колеги з компанії Microsoft.

Читайте також: Кого атакував вірус-вимагач Petya.A. Список усіх компаній

Серед інших потерпілих "Нова Пошта", яка припинила свою роботу, медійні холдинги Korrespondent, ТРК "Люкс", StarLightMedia. Також перестали працювати комп'ютери в Кабінеті міністрів, "Запоріжжяобленерго", "Дніпроенерго".

"Ощадбанк" припинив обслуговувати своїх клієнтів і заморозив деякі функції рахунків, щоб підвищити свою безпеку.

Київський метрополітен також піддався атаці, але продовжив свою роботу з деякими обмеженнями: не можна оплатити проїзд безконтактними або кредитними картами.

У департаменті кіберполіції НПУ заявили, що отримали вже 22 повідомлення про вірусну атаку.

Британське видання The Independent пише, що найбільша в історії хакерська атака на Україну поширюється вже по всьому світу, зокрема, комп'ютерні мережі виходять з ладу в Іспанії та Індії. Також вірус зачепив російські компанії та державні концерни.

Чому саме сьогодні

Згідно із заявою народного депутата Антона Геращенко, атака почалася близько 11 години 27 червня. Хакери влаштували масову розсилку заражених поштою листів. За словами Геращенко, зловмисники добре обізнані зі специфікою розсилок в українському діловому сегменті. Саме під виглядом ділових листів вірус поширювався. Листи були як російською, так і на українською мовами.

Розсилка приходила за кілька днів або навіть тижнів до сьогоднішнього дня і швидше за все, була підготовкою до українського Дня Конституції.

"Кібератака що має своєю кінцевою метою спробу дестабілізації ситуації в економіці і суспільній свідомості України, була замаскована під спробу вимагання грошей у власників комп'ютерів", - пише у себе в Facebook Геращенко.

Зараз СБУ працює над усуненням вірусу. Потім буде розпочато кримінальне провадження, в якому буде розгляд кожен випадок зараження.

Також Геращенко наголосив, що це наймасштабніша кібератака, але не остання. В умовах гібридної війни між Україною і Россіію такі випадки будуть повторюватися.