www.wikidata.uk-ua.nina.az

Хакерські атаки на Україну 2017 Хáкерські гáкерські атáки на Украї ну масштабна хакерська атака з боку Росії проти Украї

Хакерські атаки на Україну (2017)

Хáкерські (гáкерські) атáки на Украї́ну — масштабна хакерська атака з боку Росії проти України, що відбувалась у декілька етапів. Розпочалась щонайменше 14 квітня 2017 року з компрометації системи оновлення програми M.E.Doc. Останній етап, з використанням різновиду вірусу Petya, відбувся 27 червня 2017 року, та спричинив порушення роботи українських державних підприємств, установ, банків, медіа тощо. Внаслідок атаки була заблокована діяльність таких підприємств, як аеропорт «Бориспіль», ЧАЕС, Укртелеком, Укрпошта, Ощадбанк, Укрзалізниця та низки інших великих підприємств. Зараженню піддалися інформаційні системи Міністерства інфраструктури, Кабінету Міністрів, сайти Львівської міської ради, Київської міської державної адміністрації, кіберполіції та Служби спецзв'язку України.

Хакерські атаки на Україну
Монітор комп'ютера, зараженого вірусом
Дата 14 квітня — 27 червня 2017
Місце Спочатку:
 Україна
Пізніше в:
 США
 Росія
 Іспанія
 Індія
Причина компрометація системи оновлення програми M.E.Doc з встановленням бекдору та вірусу NotPetya
Організатори російські спецслужби. угрупування Sandworm (в/ч № 26165 ГУ ГШ ЗС РФ)
Результат заблокована діяльність державних і комерційних підприємств, сайтів органів виконавчої влади
Руйнування майна втрати підприємств по всьому світу склали до $10 млрд
Звинувачені Росія, російські військові підрозділи
(згідно із заявами урядів Австралії, Великої Британії, Данії, Сполучених Штатів, України)

Жертвою вірусу також стали телеканал «Інтер», медіахолдинг ТРК «Люкс», до складу якого входять «24 канал», «Радіо Люкс FM», «Радіо Максимум», різні інтернет-видання, а також сайти Львівської міської ради, Київської міської державної адміністрації. Повідомлялося, що постраждав Кабінет Міністрів України, але пізніше ця інформація була спростована і названа невдалим жартом Павла Розенка. Причиною тимчасової непрацездатності сайта КМУ названі технічні роботи.

Трансляції передач припинили канали «Перший автомобільний» та ТРК «Київ».

28 червня 2017 року Кабінет Міністрів України повідомив, що атака на корпоративні мережі та мережі органів влади була зупинена.

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія, Велика Британія, Канада, Нова Зеландія, Сполучені Штати, а також уряди Данії та України. Адміністрація Президента США назвала цю атаку найбільшою хакерською атакою в історії.

Масштабна деструктивна атака різновидом вірусу Petya (також відомого як NotPetya, Eternal Petya, Petna, ExPetr, тощо) стала можливою завдяки компрометації системи оновлення програми M.E.Doc та встановлення прихованого бекдору. Таким чином, масштабною деструктивною атакою зловмисники закрили собі наявний в них завдяки бекдору доступ до комп'ютерів та комп'ютерних мереж у близько 80 % українських підприємств (в тому числі — представництв закордонних компаній). Є підстави вважати, що зловмисники пішли на такий крок оскільки або здобули надійніший доступ до інформаційних систем важливих для них жертв, або ж вважають, що зможуть доволі просто відновити його.

Перебіг атаки Редагувати

Зараження вірусом відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми для подачі бухгалтерської звітності M.E.Doc. Вірус шифрує файли на комп'ютері, а розповсюджувачі вимагають від користувачів викуп за відновлення доступу до інформації за віртуальні гроші Bitcoin. Сума, яку вимагає автор вірусу за розблокування файлів становить 300$.

Перші атаки з використанням перших версій вірусу Petya стали відомими ще на початку 2016 року. Для перших версій Petya вдалось розробити дешифратори та відновлювачі зашифрованих даних.

Хронологія Редагувати

За відкритими результатами різних розслідувань можливо відтворити хронологію подій, що передували цій атаці. Зокрема:

  • 14 квітня 2017 року: оновлення M.E.Doc 10.01.175-10.01.176 з бекдором.
  • 15 травня 2017 року: оновлення M.E.Doc 10.01.180-10.01.181 з бекдором.
  • 17 травня 2017 року: виходить оновлення M.E.Doc без бекдору.
  • 18 травня 2017 року: хакерська атака з використанням вірусу XData (Win32/Filecoder.AESNI.C). Оскільки попереднього дня багато клієтнів отримали оновлення без бекдору, атака зазнає невдачі.
  • 31 травня 2017 року: на цей день припадає остання дата модифікацій файла з вебшелом medoc_online.php (PHP webshell PAS) — May 31 14:45 2017. Цей вебшел стає доступний за адресою http[:]//www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php.
  • 22 червня 2017 року: оновлення M.E.Doc 10.01.188-10.01.189 з бекдором.
  • 27 червня 2017 року: хакерська атака з використанням вірусу Petya-NotPetya.
    • 8:59:14 UTC: зловмисник використовує вкрадений пароль для здобуття прав адміністратора на сервері оновлень M.E.Doc
    • в проміжку 9:11:59 — 9:14:58 UTC зловмисник міняє налаштування сервера для перенаправлення запитів на сервер з IP-адресою 176.31.182[.]167, яка належить діапазону французького вебхостера OVH[en].
    • 9:14:58 UTC з'являється трафік на сервер OVH.
    • 12:31:12 UTC останнє з'єднання до сервера OVH, завершення активної фази зараження.
    • 12:33:00 UTC відновлення налаштувань сервера M.E.Doc.
    • 14:11:07 UTC від'єднання SSH-терміналу з адреси 159.148.186[.]214 (Латвія).
    • 19:46:26 UTC зловмисник замітає сліди на сервері OVH (176.31.182[.]167) командою dd if=/dev/zero.
  • 4 липня 2017 року: для запобігання подальшим атакам поліція проводить обшуки та вилучення обладнання у компанії-розробника M.E.Doc

Початкове зараження Редагувати

За результатами спільного розслідування Кіберполіції та сторонніх фахівців з комп'ютерної безпеки було встановлено, що ураження інформаційних систем українських компаній відбулось через оновлення програмного забезпечення, призначеного для звітності та документообігу — «M.E.Doc» шляхом внесення змін до бібліотеки ZvitPublishedObjects.dll. Активна та найбільш деструктивна фаза атаки розпочалась з системи автоматичного оновлення програми M.E.doc 27 червня 2017 року близько 10:30 за київським часом. Розробник програми M.E.Doc, компанія «Інтелект-сервіс» розмістила на своєму сайті повідомлення, яким визнавала джерело атаки, але невдовзі його прибрала. Згодом було розміщене нове повідомлення, в якому компанія відкидала будь-яку причетність до поширення вірусу або про злам своїх інформаційних систем.

Також кіберполіція зазначила, що відомі випадки поширення вірусу через фішингові листи від імені відомих компаній або від імені адресатів, з якими до цього велось листування. У цих листах присутні посилання на завантаження шкідливих додатків (документів Microsoft Word, PDF-файлів, таблиць та інших).

Слідство припускає, що зловмисникам вдалось вбудувати в одне із оновлень програми бекдор та приблизно 15 травня 2017 року встановити його на комп'ютери жертв. Є підстави стверджувати, що зловмисникам були доступні вихідні коди програми. Також відомо, що оновлення з вбудованим бекдором відбувались:

  • 01.175-10.01.176, випуск 14 квітня 2017
  • 01.180-10.01.181, випуск 15 травня 2017
  • 01.188-10.01.189, випуск 22 червня 2017

Представники компанії-розробника «M.E.Doc» були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але проігнорували їх. Навіть після атаки 18 травня 2017 року (всього через три дні після випуску 01.180) з хробаком XData (Win32/Filecoder.AESNI.C) компанія-виробник заперечила проблеми з безпекою і назвала це простим «збігом».

Разом з тим з'ясовано: виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній та відправляти їх на віддалений сервер. Крім того, завантажувати файли і збирати інформацію про операційну систему та ідентифікаційні дані користувачів. Зловмисники мали можливість в залежності від кодів ЄДРПОУ віддавати бекдору різні команди, в тому числі — завантажувати й запускати додаткові модулі.

Таким чином, станом на 27 червня 2017 року про існування проблем з безпекою в системі оновлень M.E.Doc вже було відомо. Навіть після атаки фахівцям фірми ESET вдалося знайти бекдор у вигляді зашифрованої PHP програми PAS (webshell PHP PAS) з назвою файла medoc_online.php на цьому сервері. На сервері було встановлене застаріле програмне забезпечення з численними вразливостями, для якого були добре відомі методи атак. Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про це творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування». Крім всього іншого сервер оновлень upd.me-doc.com.ua (IP адреса 92.60.184[.]55) фізично перебував у хостинг-провайдера WNet (ТОВ «Дабл-ю нет Україна»), в якого на початку червня того ж року Служба безпеки України проводила обшуки та вилучала обладнання через надання компанією телекомунікаційних послуг у Криму ФСБ РФ, Воєнтелекому РФ та псевдодержавним підприємствам зв'язку. За інформацією спецслужби, через незаконну маршрутизацію трафіку до анексованого Криму ФСБ РФ планувало отримати доступ та знімати інформацію з українського сегменту мережі провайдера.

Також, на даний момент відомо, що після спрацювання бекдору, зловмисники компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM (KVM-перемикач з можливістю роботи через комп'ютерні мережі) здійснювали завантаження власної операційної системи на базі Tiny Core Linux.

Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп'ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення програмного забезпечення «M.E.Doc» розповсюдили модифікований хробак-здирник Petya.

Видалення та шифрування файлів операційних систем було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору) та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

Атака 27 червня 2017 року розпочалась близько 10:30 за київським часом, коли на комп'ютерах жертв програма EzVit.exe — складова частина M.E.Doc, запустила команду:

4 липня 2017 року з'явилось повідомлення від розробників іншого ПЗ подання бухгалтерської звітності 1С:Звіт про наявність вірусу в бібліотеці ZvitPublishedObjects.dll, виявленого одним з антивірусів з останніми оновленнями. Зазначена бібліотека використовується і у «M.E.Doc», і у 1С: Звіт.

Бекдор Редагувати

Див. також: Бекдор

Хробак Petya потрапив на комп'ютери жертв в першу чергу завдяки бекдору, який був встановлений в оновлення програми M.E.Doc. Таким чином, шкідлива дія атаки не обмежена деструктивними діями хробака, але і включає шкоду, яку зловмисники могли заподіяти бекдором: викрадення системних паролів, ключів, викрадення важливої інформації та документів, встановлення програм-шпигунів, проникнення в інші системи, тощо.

Бекдор був доданий до коду в бібліотеці програми ZvitPublishedObjects.dll у функцію ZvitPublishedObjects.Server.UpdaterUtils.IsNewUpdate. Бекдор створював фоновий потік, який звертався за адресою http[:]//upd.me-doc.com.ua/last.ver?rnd=<GUID>, куди передавав код ЄДРПОУ підприємств та ім'я користувача, від імені якого виконується програма, в очікувані команд. Всього бекдор здатен виконувати шість команд:

Команда з кодом 5 найкраще збігається зі сценарієм зараження вірусом Petya.

XData Редагувати

18 травня 2017 року було виявлено вірус-здирник XData, який став другим за швидкістю поширення та шкідливістю після WannaCry в Україні. Вірус шифрував дані на комп'ютері та вимагав від 0,1 до 1 BTC (станом на травень 2017, один біткоїн коштував понад 1,9 тисяч доларів США). Переважною більшістю жертв вірусу стали бухгалтерські комп'ютери українських підприємств, які використовували систему M.E.Doc на 64-бітних операційних системах Windows XP, Windows 7, Windows Server 2008 та Windows Server 2012. Багато постраждалих стверджували, що шифрування їхніх даних відбулося після оновлення програми M.E.Doc. Однак компанія-виробник ПЗ заперечила проблеми з безпекою і назвала це збігом.

Засіб для дешифрування даних, уражених XData, був опублікований уже 30 травня.

NotPetya Редагувати

Попри зовнішню схожість новий вірус має істотні відмінності від вже відомого Petya, тому отримав нові назви від різних дослідників (NotPetya, Eternal Petya, Petna, тощо). У цілому, він має добре написаний код, який використовує низку шляхів для свого поширення:

  • Вразливості EternalBlue та EternalRomance (CVE-2017-0144 та CVE-2017-0145 відповідно, обидві виправлені в оновлені MS17-010)
  • Виявлення гешів паролів зареєстрованих на комп'ютері користувачів та адміністраторів (алгоритм LSA Dump, схожий на Win32/Mimikatz)
  • Використання стандартних можливостей операційної системи:

Таким чином, заражений цим хробаком комп'ютер здатен, за певних умов, вражати інші комп'ютери в мережі, навіть ті, які отримали останні оновлення операційної системи.

Аби не бути виявленим антивірусними програмами, бінарні коди вірусу застосовують:

  • підроблений цифровий підпис Microsoft,
  • шифрування алгоритмом XOR (для обходу перевірок на сигнатуру).

Проте, попри досить високий рівень реалізації самого вірусу, його розробники скористались вкрай вразливим та ненадійним способом спілкування з жертвами, що створює враження, що здирництво не було основним мотивом:

  • всім жертвам пропонувалося перерахувати криптовалюту біткоїн вартістю 300$ на гаманець автора вірусу;
  • та передати вказаний на екрані довгий код на вказану адресу електронної пошти.

Поштова служба, де була зареєстрована скринька зловмисників, заблокувала її вже через кілька годин після початку атаки і, таким чином, унеможливила спілкування між жертвами та зловмисниками. Тобто, сплата викупу не має сенсу, оскільки гарантовано не дасть бажаного результату. В оприлюдненій заяві компанія-провайдер поштової скриньки повідомила, що не лише заблокувала скриню, а й активно працює з німецькою федеральною службою інформаційної безпеки в розслідуванні цієї події.

Шкідлива дія Редагувати

Див. також: Ransomware
Повідомлення, що показується після завершення шифрування головної таблиці файлів файлової системи NTFS

Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний хеш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії.

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має інший ключ, відмінний від ключа на другому кроці (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників. Проте навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а оскільки сам вірус Petya не містить модуля для відновлення даних, то для цього необхідна іще одна, інша програма.

Див. також: NTFS та Головний завантажувальний запис

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

  • змінює головний завантажувальний запис (MBR) кодами свого запуску,
  • обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел,
  • обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR,
  • встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та
  • знищує всі записи в системних журналах.

При завантаженні комп'ютера, завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код вірусу, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диску Chkdsk. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому, ключ шифрування після завершення процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем.

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye).

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення.

Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади.

Захист Редагувати

Компанія Symantec стверджує, що для своєї роботи вірус створює файл «C:\Windows\perfc», а якщо він вже існує, то вірус припиняє роботу. Тому якщо користувач сам створить цей файл і зробить його доступним тільки для читання, то це, імовірно, захистить його від вірусу.

Створити порожні та захищені від запису файли

  • C:\Windows\perfc
  • C:\Windows\perfc.dat
  • C:\Program Data\perfc
  • C:\Program Data\perfc.dat

Це захистить від шифрування файлів на комп'ютері, але не захистить від його використання для поширення вірусу.

Аби завадити зараженню та поширенню вірусу, слід, перш за все, виконувати звичайні поради з комп'ютерної безпеки, зокрема: не відкривати вкладені файли від незнайомих осіб або підозрілих листів від знайомих (захист від фішингу), встановити останні оновлення для операційної системи (зокрема, латку MS17-010) та антивірусних програм. Для захисту мережі від поширення вірусу слід також вимкнути підтримку застарілого протоколу SMBv1, вимкнути або обмежити використання систем PowerShell, WMIC та мережевих тек (Windows Share). Також в мережевих екранах слід заблокувати трафік на порти 139 та 445. Виконання цих порад, однак, може порушити звичну роботу інформаційної системи та вимагатиме додаткових зусиль від адміністраторів.

Для ефективного захисту не лише від цього конкретного вірусу-хробака, а подібних інцидентів взагалі, слід ретельно впровадити політики комп'ютерної-інформаційної безпеки, наприклад, Defence-in-Depth.

Пов'язаність із терактом Редагувати

Менш ніж за три години до початку хакерської атаки, 27 червня, о 8:15 ранку в Солом'янському районі стався вибух автомобіля, за кермом якого був командир загону спеціального призначення Головного управління розвідки — полковник Максим Шаповал. Від потужного вибуху він загинув на місці.

Приблизно о 10:30 почалася хвиля завантажень оновлення програми M.E.Doc, яке несло в собі код вірусної програми. За декілька годин вірус вразив низку державних мереж.

Імовірно, ці дві пов'язані між собою події й складали подвійну російську атаку присвячену Дню Конституції України. Цю теорію висунув Секретар РНБО України Олександр Турчинов.

Поширення вірусу та атаки за межами України Редагувати

За даними Нацполіції, понад 1,5 тисяч юридичних і фізичних осіб звернулися до них із заявами про блокування роботи комп'ютерів, які стали жертвами найбільшої хакерської атаки, що розповсюджувала вірус Petya.A. За даними компанії ESET, яка розробляє програмне забезпечення для боротьби зі шкідливими комп'ютерними програмами, на Україну припало найбільше атак вірусу Petya — 75,24 % від усіх атак. Проте атаки не обмежилися Україною.

Також Petya.A атакував Німеччину (9,06 % атак), Польщу (5,81 %), Сербію (2,87 %), Грецію (1,39 %), Румунію (1,02 %), а також менш одного відсотка від всіх атак вірусу припало на Росію й Чехію.

У Російській Федерації майже одночасно з Україною перестали працювати комп'ютери Роснафти, Башнафти, що призвело до зупинки видобутку нафти на декількох ділянках[джерело?].

Проте, великі російські підприємства виявились напрочуд захищеними проти поширення хробака, але начебто недостатньо захищеними від зараження ним (при тому, що вони навряд чи користуються програмою для складання української податкової звітності).

Слідом за Україною та Росією атаки почали здійснюватися на мережі в Іспанії, Індії, Ірландії, Великій Британії та інших країнах і містах ЄС і США. За даними Mcafee, в США було зафіксовано більше інфікованих комп'ютерів, ніж в Україні, проте, статистика антивірусу ESET стверджує, що найбільше зафіксованих інфікувань відбулись саме в Україні.

За даними Німецького федерального агенства з безпеки інформаційних технологій (нім. Bundesamt für Sicherheit in der Informationstechnik, BSI) від атаки хробаком Petya постраждало одне німецьке підприємство, виробництво на якому зупинилось більше, ніж на тиждень. Зупинка виробництва потягнула за собою «мільйонні» збитки.

Розслідування Редагувати

За добу після початку атаки до Департаменту кіберполіції України надійшло понад 1000 повідомлень про втручання в роботу комп'ютерних мереж, що призвело до збоїв у їх роботі. З них офіційно із заявами до поліції звернулось 43 компанії. Станом на 28 червня було розпочато 23 кримінальні провадження за фактами несанкціонованого втручання в електронно-обчислювальні системи як державних, так і приватних установ, організацій, підприємств (стаття 361 Кримінального кодексу). Ще по 47 фактах вирішувалося питання щодо внесення відомостей до Єдиного реєстру досудових розслідувань.

Станом на 29 червня 2017 року до Національної поліції України звернулось 1508 юридичних та фізичних осіб із повідомленнями, щодо блокування роботи комп'ютерної техніки за допомогою вірусу-шифрувальника. Із них — 178 звернулися до поліції із офіційними заявами. Зокрема, 152 організації приватного сектора та 26 звернень від державного сектора країни. 115 таких фактів було зареєстровано в журналі Єдиного обліку про вчинені кримінальні порушення та інші події. Вирішується питання щодо їх правової кваліфікації. За 63 фактами відомості внесено до ЄРДР за статтею 361 КК України.

Крім того, до розслідування були залучені фахівці Департаменту контррозвідувального захисту інтересів держави у галузі інформаційної безпеки Служби безпеки України. Була організована взаємодія з партнерськими правоохоронними органами, спеціальними службами іноземних країн та міжнародними організаціями, що спеціалізуються на кібернетичній безпеці. Спеціалісти СБУ у взаємодії з фахівцями ФБР США, Національною агенцією по боротьбі зі злочинністю (NCA) Великої Британії, Європолу, а також провідних кібербезпекових установ, проводили спільні заходи з локалізації розповсюдження шкідливого програмного забезпечення PetyaA, остаточного з'ясування методів реалізації цієї акції кібертероризму, встановлення джерел атаки, її виконавців, організаторів і замовників. Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб, до якого увійшли представники українських та іноземних компаній з кібербезпеки.

Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про вразливості сервера оновлень програми творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування».

4 липня 2017 року з метою припинення розповсюдження хробака Petya (зафіксовано нові спроби) було прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалось шкідливе програмне забезпечення. Обшуки проведено представниками Департаменту кіберполіції, слідчими та за участю Служби безпеки України. Вилучено робочі комп'ютери персоналу та серверне обладнання, через яке поширювалося програмне забезпечення.

Атрибуція атаки Редагувати

Попри те, що вірус справляє враження звичайного зразка здирницького програмного забезпечення, створеного заради збагачення зловмисників, низка дослідників висловила припущення, що, насправді, цей міф служить прикриттям масштабної кібератаки з боку однієї держави проти іншої. Таким чином, основним призначенням вірусу було не здирництво, а знищення важливих даних та порушення нормальної роботи державних і приватних установ. Але легенда про чергову атаку кіберзлочинців дозволила нападникам створити бажане їм висвітлення у засобах масової інформації, коли досягнувши мети (порушення нормальної роботи великої кількості установ) можна приховати справжній мотив. Зокрема, про це свідчать такі ознаки:

  • Попри досить високий рівень реалізації шкідливої програми було обрано вкрай уразливий спосіб спілкування з жертвами. Поштову скриню, абсолютно очікувано та передбачувано, було заблоковано через кілька годин після початку атаки.
  • Досвід WannaCry показав фінансову непривабливість масштабних та не вибіркових атак подібного роду.
  • Програма шифрувала та зберігала перший сектор на жорсткому диску, але потім безповоротно знищувала наступні 24 сектори, чим робила повне відновлення даних неможливим. За певних умов програма знищувала всі 10 перших секторів на диску, без спроб зберегти їх для подальшого відновлення. Задокументовані випадки, коли програма безповоротно знищувала критично важливу для працездатності операційної системи інформацію і тому може йтися про «замітання слідів».
  • Відсутні докази того, що програма здатна відновити зашифровані файли з кодом викупу. Навпаки, є підстави вважати, що зловмисники не здатні надати код для дешифрування даних.
  • Зловмисники не мали можливості контролювати поширення свого хробака, але обраний ними спосіб початкового зараження був націлений безпосередньо проти України. Були задокументовані випадки, коли зараження сталось вже через місяць після того, як зловмисники спромоглись отримати несанкційований доступ до інформаційних систем великих установ в Україні. Уражені хробаком іноземні фірми могли стати випадковими (наприклад, через свої представництва в Україні), але не основними, жертвами атаки.

Натомість, низка інших експертів висловили припущення, що очевидні вади в роботі вірусу та спосіб спілкування з жертвами можна пояснити недбалістю розробників та бажанням розпочати атаку якомога раніше, без належного тестування й перевірки всіх компонентів шкідливої програми.

30 червня секретар РНБО Олександр Турчинов заявив про можливість використання технологій Tor та VPN зловмисниками. В перших числах липня 2017 року Служба безпеки України встановила причетність спецслужб РФ до атаки із використанням вірусу Petya.

За офіційно не підтвердженими даними, іще в листопаді 2017 року ЦРУ США дійшло остаточного висновку, що за атаками із використанням NotPetya стоять відповідні підрозділи під управлінням ГРУ ГШ РФ. За даними Washington Post, яка оприлюднила цю інформацію, даний підрозділ має назву рос. Главный центр специальных технологий.

15 лютого 2018 року Національний центр кібернетичної безпеки Великої Британії (англ. National Cyber Security Centre, підрозділ GCHQ) оприлюднив результати свого розслідування та поклав відповідальність за атаку на уряд Російської Федерації. За даними Центру найімовірніше за атакою стоять російські військові підрозділи. Рішення про публічну атрибуцію атаки було ухвалене, аби показати нетерпимість Об'єднаного Королівства та союзників до проявів злочинної діяльності в кіберпросторі. Того ж дня до заяви приєдналась решта країн-членів союзу FVEY: Австралія, Канада, Нова Зеландія, та Сполучені Штати. Також відповідальність Кремля за цю атаку підтвердив уряд Данії.

Адміністрація Президента США Дональда Трампа заявила, що ця безвідповідальна хакерська атака невибіркового характеру не залишиться без наслідків з боку міжнародного товариства.

Реакція Редагувати

Посадові особи Редагувати

На думку радника МВС Антона Геращенка проти держави Україна була розпочата масована хакерська атака з використанням модифікованої під Україну версії вірусу WannaCry — «cryptolocker». На його думку така атака готувалася щонайменше місяць. Кінцевою метою атаки була дестабілізація ситуації в економіці України. Пізніше інформація про WannaCry була спростована.

Речниця СБУ Олена Гітлянська припустила, що атаки організовані з території Росії або з окупованих територій Донбасу.

Ліквідація наслідків Редагувати

Голова Департаменту кіберполіції Сергій Демедюк заявив, що представники кіберполіції виїхали до підприємств, які заявили про атаки вірусу. Він також зазначив, що співпраця з ліквідації наслідків вірусних атак може йти на міжнародному рівні.

Власники мереж, які зазнали впливу цієї кібератаки, навіть відновивши комп'ютери після атаки, можуть стати потенційним об'єктом повторної атаки: існує висока ймовірність того, що зловмисникам відома інформація про мережі, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП тощо. Для зниження означених ризиків та попередження повторного ураження вірусом команда CERT-UA рекомендувала, зокрема, змінити паролі облікових записів в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі — схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.

Акредитований центр сертифікації ключів органів юстиції України (АЦСК) разом з командою CERT-UA надали рекомендацію користувачам послуг електронного цифрового підпису (ЕЦП) замінити ключі ЕЦП для подання електронної звітності у зв'язку з можливою їх компрометацією. Для підвищення рівня захисту користувачів послуг ЕЦП та держави в цілому, АЦСК реалізовано придбання та використання захищених носіїв особистих ключів. Однією з переваг використання захищених носіїв особистих ключів є те, що особистий ключ не записується на жорсткий диск комп'ютера, а зберігається безпосередньо у апаратному середовищі захищеного носія. Це забезпечує захист особистого ключа від несанкціонованого доступу зловмисників.

Німецьке федеральне агенство з безпеки інформаційних технологій (нім. Bundesamt für Sicherheit in der Informationstechnik, BSI) наголосила, що жертвами атаки могли стати навіть ті користувачі програми M.E.Doc, які не зназнали деструктивної дії хробака Petya. Оскільки бекдор був встановлений в оновлення програми M.E.Doc щонайменше з 13 квітня 2017 року, то і початок атаки слід віднести на цю дату.

Внаслідок шкідливої дії засобами бекдору могли бути скомпрометовані архівні файли зроблені починаючи з цієї дати. Федеральне агенство припустило, що із допомогою бекдору зловмисники могли приховано встановити шпигунські програми для викрадення даних з комп'ютерних мереж підприємств. Шкода від них може бути не меншою, аніж від відверто деструктивної дії хробака.

З огляду на всі ці обставини BSI радить ізолювати комп'ютери, на яких встановлено M.E.Doc в окремі мережеві сегменти. Вважати всі комп'ютери, на яких встановлено M.E.Doc, та всі комп'ютери, досяжні з них комп'ютерною мережею, потенційно скомпрометованими. Тому слід змінити паролі, бажано — перевстановити операційні системи, обмежити права адміністративних записів, використовувати на різних комп'ютерах різні паролі адміністратора, тощо. Також федеральне агенство радило звернутись по допомогу до фахівців з комп'ютерної безпеки для підвищення захисту й зміцнення інформаційних систем від несанкційованого втручання.

Для запобігання атак та вдосконалення захисту створено «Ситуаційний центр забезпечення кібернетичної безпеки». За даними СБУ, необхідне обладнання та програмне забезпечення для центру надійшло від Трастового фонду з питань кібербезпеки Україна-НАТО.

Результати Редагувати

Викуп Редагувати

Завдяки тому, що всі транзакції Bitcoin є повністю публічними, статистику переказів власнику вірусу може подивитися будь-хто. Нью-йоркський журналіст і програміст Кейт Коллінз створив акаунт [ 29 червня 2017 у Wayback Machine.] у Твіттері, який автоматично оновлюється після кожної з операцій і показує поточний стан рахунку зловмисника.

Станом на 14:00 за Київським часом 28 червня зловмисник отримав більше 10 тис. $.

28 червня 2017 року Кабінет Міністрів України повідомив, що масштабна хакерська атака на корпоративні мережі та мережі органів влади була зупинена.

4 липня 2017 року, об 22:10 UTC з гаманця було знято майже 4 біткоіна вартістю близько $10 тисяч та переведено на інший гаманець. За кілька хвилин перед тим з гаманця були зроблені дрібні платежі в гаманці служб Pastebin та DeepPaste. Але за 11-12 хвилин до переведення коштів на сайтах DeepPaste та Pastebin від імені хакерів було розміщене звернення, в якому за 100 біткоїнів (близько $256 тисяч) хакери обіцяли передати приватний ключ для дешифрування файлів. Таку велику суму автори звернення пояснили тим, що цим ключем можна дешифрувати всі файли.

5 липня 2017 року журналістам видання Vice вдалось вийти на зв'язок із зловмисниками та передати їм на дешифрування один файл розміром не більше 1 мегабайту. Через дві години зловмисники передали журналістам розшифрований файл. Іншим доказом того, що зловмисники стоять за вірусом Petya є те, що звернення на Pastebin та DeepPaste були підписані приватним ключем з пари ключів вірусу Petya.

Втрати Редагувати

Заступник голови адміністрації Президента України Дмитро Шимків, колишній директор представництва фірми Microsoft в Україні, заявив, що внаслідок атаки хробаком NotPetya було виведено з ладу близько 10 % персональних комп'ютерів в Україні (особистих, в державних та не державних установах і підприємствах).

Проте усунення наслідків атаки вірусом-винищувачем NotPetya забрало істотні зусилля та час. Так, наприклад, компанія Reckitt Benckiser заявила, що частина комп'ютерних систем відновить свою нормальну роботу лише у серпні.

За оцінками концерну Maersk втрати компанії, особливо її підрозділів Maersk Line, Damco та APM Terminals разом будуть на рівні $200–300 млн (€170-256 млн за тогочасним курсом). Технічний персонал був вимушений протягом 10 днів заново встановити і налаштувати все програмне забезпечення на 4000 серверах, 45 000 робочих станціях, заново встановити 2500 прикладних застосунків. Робітники були вимушені вручну опрацьовувати інформацію про виробничі процеси, при цьому зменшення обсягів перевезень склало 20 % від звичайного.

У вересні 2017 року американська логістична та поштова компанія FedEx оприлюднила оцінку збитків у своєму дочірньому підприємстві у Нідерландах TNT Express. Так, через порушення нормальних робочих процесів підприємство оцінює свої збитки на рівні до $300 млн за перше півріччя 2017 року.

У фінансовій звітності за третій квартал 2017 року американська фармацевтична компанія Merck заявила про недоотримання виручки на суму до $240 млн, в основному, через тимчасову зупинку виробництва вакцини проти вірусу папіломи людини Гардасил у червні того ж року внаслідок ураження інформаційних систем заводу вірусом NotPetya. Внаслідок браку вакцин на тлі високого попиту компанія була вимушена запозичити певну її кількість у Федерального центру контролю захворювань (англ. U.S. Centers for Disease Control, CDC).

На думку Майкла Шмітта (Michael Schmitt) та Джефрі Білера (Lieutenant Colonel Jeffrey Biller) невибірковий характер поширення вірусу та свідомий вибір цивільних об'єктів для початку атаки свідчать про те, що організатори атаки порушили міжнародне право звичаїв військового конфлікту, тобто, такий вчинок може вважатись воєнним злочином. Оскільки від атаки постраждали треті країни, що не беруть участь у військовому конфлікті між Україною та Росією, то атака іще й порушує міжнародні закони стосовно нейтральності країн.

Експерт із інформаційної безпеки та протидії кіберзагрозам Віталій Якушев оцінив збитки підприємств по всьому світу від хакерської атаки у 8 млрд доларів.

Список атакованих підприємств Редагувати

Банки Редагувати

Компанії Редагувати

Іноземні компанії Редагувати

Примітки Редагувати

  1. Andy Greenberg (22 серпня 2018). . Wired. Архів оригіналу за 22 серпня 2018. Процитовано 23 серпня 2018. 
  2. Anton Cherepanov (4 Jul 2017). . Архів оригіналу за 5 липня 2017. Процитовано 5 липня 2017. 
  3. David Maynor, Aleksandar Nikolic, Matt Olney, and Yves Younan (July 5, 2017). . Cisco Talos. Архів оригіналу за 6 липня 2017. Процитовано 6 липня 2017. 
  4. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  5. . Архів оригіналу за 16 липня 2019. Процитовано 27 червня 2017. 
  6. . Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017. 
  7. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  8. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  9. Rbc.ua. . РБК-Украина (укр.). Архів оригіналу за 13 січня 2018. Процитовано 27 лютого 2018. 
  10. . Архів оригіналу за 13 січня 2018. Процитовано 27 червня 2017. 
  11. . Архів оригіналу за 30 червня 2017. Процитовано 27 червня 2017. 
  12. . 30 червня 2017. Архів оригіналу за 22 липня 2017. Процитовано 23 липня 2017. 
  13. . 29 червня 2017. Архів оригіналу за 21 липня 2017. Процитовано 23 липня 2017. 
  14. . Архів оригіналу за 30 червня 2017. Процитовано 28 червня 2017. 
  15. . The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 16 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018. 
  16. . National Cyber Security Centre. 15 лютого 2018. Архів оригіналу за 15 лютого 2018. Процитовано 15 лютого 2018. 
  17. Greta Bossenmaier (15 лютого 2018). . Communications Security Establishment. Архів оригіналу за 3 липня 2018. Процитовано 16 лютого 2018. 
  18. . Government Communications Security Bureau. 16 лютого 2018. Архів оригіналу за 17 лютого 2018. Процитовано 16 лютого 2018. 
  19. . The White House. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018. 
  20. . Berlingske Business. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018. 
  21. . СБУ. 01-07-2017. Архів оригіналу за 5 липня 2017. Процитовано 4 липня 2017. 
  22. . Українська правда. 27 червня 2017. Архів оригіналу за 1 жовтня 2020. Процитовано 28.06.2016. 
  23. Скільки заробив автор вірусу Petya.A і які країни найбільше постраждали від його дій?. Tokar.ua (uk-UA). 28 червня 2017. Процитовано 28 червня 2017. 
  24. . Архів оригіналу за 28 червня 2017. Процитовано 27 червня 2017. 
  25. . Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017. 
  26. . Департамент кіберполіції Національної поліції України. 05.07.2017. Архів оригіналу за 5 липня 2017. Процитовано 5 липня 2017. 
  27. Олег Дмитренко (28 Червня 2017). . Watcher. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017. 
  28. . CERT-UA. 05 липня 2017. Архів оригіналу за 6 липня 2017. Процитовано 7 липня 2017. 
  29. . Microsoft Malware Protection Center blog. 27 червня 2017 року. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017. 
  30. Dave Lee. . BBC News. Архів оригіналу за 17 серпня 2019. Процитовано 28 червня 2017. 
  31. . Департамент кіберполіції. 28 червня 2017 р. 16:00. Архів оригіналу за 22 грудня 2017. Процитовано 28 червня 2017. 
  32. Помилка цитування: Неправильний виклик тегу <ref>: для виносок під назвою wls.30-2017 не вказано текст
  33. Russell Brandom (July 3, 2017). . The Verge. Архів оригіналу за 3 липня 2017. Процитовано 5 липня 2017. 
  34. Paul McEvatt (30 червня 2017). . Fujitsu Information Security. Архів оригіналу за 3 липня 2017. Процитовано 5 липня 2017. 
  35. . Факти.ICTV. 4 липня 2017. Архів оригіналу за 4 липня 2017. Процитовано 4 липня 2017. 
  36. Raphael Satter (4 липня 2017). . Associated Press. Архів оригіналу за 5 липня 2017. Процитовано 4 липня 2017. 
  37. . Служба безпеки України. 1 червня 2017. Архів оригіналу за 17 червня 2017. Процитовано 5 липня 2017. 
  38. . 5 канал. 1 червня 2017. Архів оригіналу за 13 липня 2017. Процитовано 5 липня 2017. 
  39. Пост на офіційній сторінці 1С:Звіт у Фейсбук щодо наявності вірусу в бібліотеці ZvitPublishedObjects.dll. 
  40. Павел Красномовец. Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать [ 28 червня 2017 у Wayback Machine.] // ain, 24.05.2017. (рос.)
  41. Олександр Мельник. 5 фактів про новий вірус, який атакує український корпоративний сектор — як запобігти [ 27 серпня 2018 у Wayback Machine.] // Na chasi, 20.05.2017.
  42. Будьте пильні: вірусна атака на корпоративний сектор! [ 28 червня 2017 у Wayback Machine.] — M.E.Doc, 22.05.2017.
  43. Максим Давыгора. Вирус-вымогатель XData. «Карантин» для M.E.Doc? [ 2 серпня 2017 у Wayback Machine.] // tucha, 25.05.2017. (рос.)
  44. The Grugq (27 червня 2017). . Medium.com. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017. 
  45. Украина подверглась самой крупной в истории кибератаке вирусом Petya [ 28 червня 2017 у Wayback Machine.], habrahabr.ru, 27 червня 2017
  46. Hern, Alex (28 червня 2017). . The Guardian (en-GB). ISSN 0261-3077. Архів оригіналу за 28 червня 2017. Процитовано 28 червня 2017. 
  47. . CERT-EU. 27 червня 2017. Архів оригіналу за 3 лютого 2019. Процитовано 28 червня 2017. 
  48. . Posteo. 27.Juni 2017. Архів оригіналу за 27 червня 2017. Процитовано 28 червня 2017. 
  49. Andy Patel (29 червня 2017). . F-Secure. Архів оригіналу за 30 червня 2017. Процитовано 30 червня 2017. 
  50. How EternalPetya Encrypts Files In User Mode. F-Secure. 4 липня 2017. 
  51. . Malwarebytes Labs. 29 червня 2017. Архів оригіналу за 1 липня 2017. Процитовано 30 червня 2017. 
  52. . Уніан. 28 червня 2017. Архів оригіналу за 28 червня 2017. Процитовано 29 червня 2017. 
  53. Игорь Шаститко (29 червня 2017). . KO. Архів оригіналу за 1 липня 2017. Процитовано 30 червня 2017. 
  54. . Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017. 
  55. . ESPRESO.TV. Архів оригіналу за 27 червня 2017. Процитовано 28 червня 2017. 
  56. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  57. . Архів оригіналу за 1 липня 2017. Процитовано 1 липня 2017. 
  58. Мощная атака: в серверы «Роснефти» проник клон вируса WannaCry [ 27 червня 2017 у Wayback Machine.](рос.)
  59. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  60. . Архів оригіналу за 21 жовтня 2018. Процитовано 27 червня 2017. 
  61. . Архів оригіналу за 16 січня 2018. Процитовано 27 червня 2017. 
  62. 'Petya' ransomware attack strikes companies across Europe and US. The Guardian. 27 червня 2017. оригіналу за 1 травня 2021. Процитовано 9 червня 2021.  (англ.)
  63. Update: Cyber-Angriffswelle Petya – Bedrohung größer als bekannt. Bundesamt für Sicherheit in der Informationstechnik. 07.07.2017. 
  64. . Департамент кіберполіції. 29 червня 2017. Архів оригіналу за 3 жовтня 2017. Процитовано 29 червня 2017. 
  65. . Служба безпеки України. 29-06-2017. Архів оригіналу за 4 липня 2017. Процитовано 29 червня 2017. 
  66. Russell Brandom (Jun 28, 2017). . The Verge. Архів оригіналу за 29 червня 2017. Процитовано 29 червня 2017. 
  67. Andy Greenberg (28 червня 2017). . The Wired. Архів оригіналу за 29 червня 2017. Процитовано 29 червня 2017. 
  68. Matt Suiche (28 червня 2017). . Comae technologeis. Архів оригіналу за 28 червня 2017. Процитовано 29 червня 2017. 
  69. Anton Ivanov, Orkhan Mamedov (28 червня 2017). . Securelist. Архів оригіналу за 29 червня 2017. Процитовано 29 червня 2017. 
  70. Martijn Grooten (Jun 29, 2017). . Virus Bulletin. Архів оригіналу за 19 грудня 2017. Процитовано 30 червня 2017. 
  71. Andy Patel (30 червня 2017). . F-Secure. Архів оригіналу за 30 червня 2017. Процитовано 30 червня 2017. 
  72. . Архів оригіналу за 29 червня 2017. Процитовано 30 червня 2017. 
  73. . СБУ. 01-07-2017. Архів оригіналу за 5 липня 2017. Процитовано 4 липня 2017. 
  74. Ellen Nakashima (12 січня 2018). . Washington Post. Архів оригіналу за 13 січня 2018. Процитовано 29 січня 2018. 
  75. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  76. Пост на офіційній сторінці АЦСК органів юстиції щодо можливої компрометації ключів ЕЦП. 5 липня 2017. 
  77. Пост на офіційній сторінці Департаменту кіберполіції у Фейсбук з рекомендаціями щодо зміни ключів ЕЦП. 5 липня 2017. 
  78. . CERT-UA. 05 липня 2017. Архів оригіналу за 21 липня 2017. Процитовано 7 липня 2017. 
  79. . Tokar.ua (uk-UA). 9 лютого 2018. Архів оригіналу за 22 лютого 2018. Процитовано 21 лютого 2018. 
  80. Lorenzo Franceschi-Bicchierai (Jul 5 2017). Hackers Connected to NotPetya Ransomware Surface Online, Empty Bitcoin Wallet. Vice Motherboard. 
  81. Joseph Cox, Lorenzo Franceschi-Bicchierai (Jul 5 2017). Hackers Linked to NotPetya Ransomware Decrypted a File for Us. Motherboard Vice. 
  82. Дмитрий Шимкив: «От кибератаки вируса-шифровальщика Petya.A пострадало приблизительно 10% компьютеров в Украине». ITC.ua. 07.07.2017. 
  83. Danny Palmer (24 липня 2017). . ZDnet. Архів оригіналу за 27 липня 2017. Процитовано 2 серпня 2017. 
  84. Fabian A. Scherschel (16.08.2017 ). . Heise Online. Архів оригіналу за 22 вересня 2017. Процитовано 22 вересня 2017. 
  85. Catalin Cimpanu (25 січня 2018). . Bleeping Computer. Архів оригіналу за 30 січня 2018. Процитовано 16 лютого 2018. 
  86. Martin Holland (22.09.2017 ). . Heise Online. Архів оригіналу за 22 вересня 2017. Процитовано 22 вересня 2017. 
  87. . The Security Ledger. 27 жовтня 2017. Архів оригіналу за 28 жовтня 2017. Процитовано 1 листопада 2017. 
  88. Michael Schmitt and Lieutenant Colonel Jeffrey Biller (11 липня 2017). . Blog of the European Journal of International Law. Архів оригіналу за 17 лютого 2018. Процитовано 16 лютого 2018. 
  89. (укр.). Архів оригіналу за 10 квітня 2018. Процитовано 9 квітня 2018. 
  90. . Архів оригіналу за 25 лютого 2022. Процитовано 27 червня 2017. 
  91. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  92. . Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  93. Євген Букет. Вітання Петру О. від “Пєті А.” до Дня Конституції[недоступне посилання з червня 2019]
  94. . Архів оригіналу за 18 лютого 2022. Процитовано 27 червня 2017. 

Див. також Редагувати

Посилання Редагувати

  • . CERT-UA. 27/06/2017. Архів Petya оригіналу за 30 червня 2017. Процитовано 28 червня 2017. 
  • . CERT-EU. 27 червня 2017. Архів оригіналу за 3 лютого 2019. Процитовано 28 червня 2017. 
  • . CERT-UA. 05 липня 2017. Архів оригіналу за 6 липня 2017. Процитовано 7 липня 2017. 
  • . СБУ. 29 червня 2017, 16:00. Архів оригіналу за 3 липня 2017. Процитовано 29 червня 2017. 
  • Michael Schmitt та Lieutenant Colonel Jeffrey Biller (11 липня 2017). The NotPetya Cyber Operation as a Case Study of International Law. Blog of the European Journal of International Law. 
  • Andy Greenberg (22 серпня 2018). . Wired. Архів оригіналу за 22 серпня 2018. Процитовано 23 серпня 2018. 
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Hakerski gakerski ataki na Ukrayi nu masshtabna hakerska ataka z boku Rosiyi proti Ukrayini sho vidbuvalas u dekilka etapiv Rozpochalas shonajmenshe 14 kvitnya 2017 roku z komprometaciyi sistemi onovlennya programi M E Doc 2 3 Ostannij etap z vikoristannyam riznovidu virusu Petya vidbuvsya 27 chervnya 2017 roku 4 5 6 ta sprichiniv porushennya roboti ukrayinskih derzhavnih pidpriyemstv ustanov bankiv media tosho Vnaslidok ataki bula zablokovana diyalnist takih pidpriyemstv yak aeroport Borispil ChAES Ukrtelekom Ukrposhta Oshadbank Ukrzaliznicya ta nizki inshih velikih pidpriyemstv 7 8 Zarazhennyu piddalisya informacijni sistemi Ministerstva infrastrukturi Kabinetu Ministriv sajti Lvivskoyi miskoyi radi Kiyivskoyi miskoyi derzhavnoyi administraciyi kiberpoliciyi ta Sluzhbi speczv yazku Ukrayini 9 Hakerski ataki na UkrayinuMonitor komp yutera zarazhenogo virusomData 14 kvitnya 27 chervnya 2017Misce Spochatku Ukrayina Piznishe v SShA Rosiya Ispaniya IndiyaPrichina komprometaciya sistemi onovlennya programi M E Doc z vstanovlennyam bekdoru ta virusu NotPetyaOrganizatori rosijski specsluzhbi ugrupuvannya Sandworm v ch 26165 GU GSh ZS RF Rezultat zablokovana diyalnist derzhavnih i komercijnih pidpriyemstv sajtiv organiv vikonavchoyi vladiRujnuvannya majna vtrati pidpriyemstv po vsomu svitu sklali do 10 mlrd 1 Zvinuvacheni Rosiya rosijski vijskovi pidrozdili zgidno iz zayavami uryadiv Avstraliyi Velikoyi Britaniyi Daniyi Spoluchenih Shtativ Ukrayini Zhertvoyu virusu takozh stali telekanal Inter mediaholding TRK Lyuks do skladu yakogo vhodyat 24 kanal Radio Lyuks FM Radio Maksimum rizni internet vidannya a takozh sajti Lvivskoyi miskoyi radi Kiyivskoyi miskoyi derzhavnoyi administraciyi 10 Povidomlyalosya sho postrazhdav Kabinet Ministriv Ukrayini 11 ale piznishe cya informaciya bula sprostovana 12 i nazvana nevdalim zhartom Pavla Rozenka Prichinoyu timchasovoyi nepracezdatnosti sajta KMU nazvani tehnichni roboti 13 Translyaciyi peredach pripinili kanali Pershij avtomobilnij ta TRK Kiyiv 28 chervnya 2017 roku Kabinet Ministriv Ukrayini povidomiv sho ataka na korporativni merezhi ta merezhi organiv vladi bula zupinena 14 Vidpovidalnist za ataku na Rosiyu poklali vsi p yat krayin chleniv soyuzu FVEY Avstraliya 15 Velika Britaniya 16 Kanada 17 Nova Zelandiya 18 Spolucheni Shtati 19 a takozh uryadi Daniyi 20 ta Ukrayini 21 Administraciya Prezidenta SShA nazvala cyu ataku najbilshoyu hakerskoyu atakoyu v istoriyi 19 Masshtabna destruktivna ataka riznovidom virusu Petya takozh vidomogo yak NotPetya Eternal Petya Petna ExPetr tosho stala mozhlivoyu zavdyaki komprometaciyi sistemi onovlennya programi M E Doc ta vstanovlennya prihovanogo bekdoru Takim chinom masshtabnoyu destruktivnoyu atakoyu zlovmisniki zakrili sobi nayavnij v nih zavdyaki bekdoru dostup do komp yuteriv ta komp yuternih merezh u blizko 80 ukrayinskih pidpriyemstv v tomu chisli predstavnictv zakordonnih kompanij Ye pidstavi vvazhati sho zlovmisniki pishli na takij krok oskilki abo zdobuli nadijnishij dostup do informacijnih sistem vazhlivih dlya nih zhertv abo zh vvazhayut sho zmozhut dovoli prosto vidnoviti jogo 3 Zmist 1 Perebig ataki 1 1 Hronologiya 1 2 Pochatkove zarazhennya 1 3 Bekdor 1 4 XData 1 5 NotPetya 1 6 Shkidliva diya 1 7 Zahist 2 Pov yazanist iz teraktom 3 Poshirennya virusu ta ataki za mezhami Ukrayini 4 Rozsliduvannya 4 1 Atribuciya ataki 5 Reakciya 5 1 Posadovi osobi 6 Likvidaciya naslidkiv 7 Rezultati 7 1 Vikup 7 2 Vtrati 8 Spisok atakovanih pidpriyemstv 8 1 Banki 8 2 Kompaniyi 8 3 Inozemni kompaniyi 9 Primitki 10 Div takozh 11 PosilannyaPerebig ataki RedaguvatiDokladnishe PetyaZarazhennya virusom vidbuvayetsya cherez fishingove povidomlennya fajl Petya apx abo onovlennya programi dlya podachi buhgalterskoyi zvitnosti M E Doc Virus shifruye fajli na komp yuteri a rozpovsyudzhuvachi vimagayut vid koristuvachiv vikup za vidnovlennya dostupu do informaciyi za virtualni groshi Bitcoin 22 Suma yaku vimagaye avtor virusu za rozblokuvannya fajliv stanovit 300 23 Pershi ataki z vikoristannyam pershih versij virusu Petya stali vidomimi she na pochatku 2016 roku 24 Dlya pershih versij Petya vdalos rozrobiti deshifratori ta vidnovlyuvachi zashifrovanih danih 25 Hronologiya Redaguvati Za vidkritimi rezultatami riznih rozsliduvan mozhlivo vidtvoriti hronologiyu podij sho pereduvali cij ataci Zokrema 2 3 14 kvitnya 2017 roku onovlennya M E Doc 10 01 175 10 01 176 z bekdorom 15 travnya 2017 roku onovlennya M E Doc 10 01 180 10 01 181 z bekdorom 17 travnya 2017 roku vihodit onovlennya M E Doc bez bekdoru 18 travnya 2017 roku hakerska ataka z vikoristannyam virusu XData Win32 Filecoder AESNI C Oskilki poperednogo dnya bagato kliyetniv otrimali onovlennya bez bekdoru ataka zaznaye nevdachi 31 travnya 2017 roku na cej den pripadaye ostannya data modifikacij fajla z vebshelom medoc online php PHP webshell PAS May 31 14 45 2017 Cej vebshel staye dostupnij za adresoyu http www me doc com ua TESTUpdate medoc online php 22 chervnya 2017 roku onovlennya M E Doc 10 01 188 10 01 189 z bekdorom 27 chervnya 2017 roku hakerska ataka z vikoristannyam virusu Petya NotPetya 8 59 14 UTC zlovmisnik vikoristovuye vkradenij parol dlya zdobuttya prav administratora na serveri onovlen M E Doc v promizhku 9 11 59 9 14 58 UTC zlovmisnik minyaye nalashtuvannya servera dlya perenapravlennya zapitiv na server z IP adresoyu 176 31 182 167 yaka nalezhit diapazonu francuzkogo vebhostera OVH en 9 14 58 UTC z yavlyayetsya trafik na server OVH 12 31 12 UTC ostannye z yednannya do servera OVH zavershennya aktivnoyi fazi zarazhennya 12 33 00 UTC vidnovlennya nalashtuvan servera M E Doc 14 11 07 UTC vid yednannya SSH terminalu z adresi 159 148 186 214 Latviya 19 46 26 UTC zlovmisnik zamitaye slidi na serveri OVH 176 31 182 167 komandoyu dd if dev zero 4 lipnya 2017 roku dlya zapobigannya podalshim atakam policiya provodit obshuki ta viluchennya obladnannya u kompaniyi rozrobnika M E Doc 26 Pochatkove zarazhennya Redaguvati Za rezultatami spilnogo rozsliduvannya Kiberpoliciyi ta storonnih fahivciv z komp yuternoyi bezpeki bulo vstanovleno sho urazhennya informacijnih sistem ukrayinskih kompanij vidbulos cherez onovlennya programnogo zabezpechennya priznachenogo dlya zvitnosti ta dokumentoobigu M E Doc 27 26 shlyahom vnesennya zmin do biblioteki ZvitPublishedObjects dll 28 Aktivna ta najbilsh destruktivna faza ataki rozpochalas z sistemi avtomatichnogo onovlennya programi M E doc 27 chervnya 2017 roku blizko 10 30 za kiyivskim chasom 29 Rozrobnik programi M E Doc kompaniya Intelekt servis rozmistila na svoyemu sajti povidomlennya yakim viznavala dzherelo ataki ale nevdovzi jogo pribrala Zgodom bulo rozmishene nove povidomlennya v yakomu kompaniya vidkidala bud yaku prichetnist do poshirennya virusu abo pro zlam svoyih informacijnih sistem 30 Takozh kiberpoliciya zaznachila sho vidomi vipadki poshirennya virusu cherez fishingovi listi vid imeni vidomih kompanij abo vid imeni adresativ z yakimi do cogo velos listuvannya U cih listah prisutni posilannya na zavantazhennya shkidlivih dodatkiv dokumentiv Microsoft Word PDF fajliv tablic ta inshih 31 Slidstvo pripuskaye sho zlovmisnikam vdalos vbuduvati v odne iz onovlen programi bekdor ta priblizno 15 travnya 2017 roku vstanoviti jogo na komp yuteri zhertv 26 Ye pidstavi stverdzhuvati sho zlovmisnikam buli dostupni vihidni kodi programi Takozh vidomo sho onovlennya z vbudovanim bekdorom vidbuvalis 2 01 175 10 01 176 vipusk 14 kvitnya 2017 01 180 10 01 181 vipusk 15 travnya 2017 01 188 10 01 189 vipusk 22 chervnya 2017Predstavniki kompaniyi rozrobnika M E Doc buli proinformovani pro nayavnist vrazlivostej v yih sistemah antivirusnimi kompaniyami ale proignoruvali yih 26 Navit pislya ataki 18 travnya 2017 roku vsogo cherez tri dni pislya vipusku 01 180 z hrobakom XData Win32 Filecoder AESNI C kompaniya virobnik zaperechila problemi z bezpekoyu i nazvala ce prostim zbigom 26 Razom z tim z yasovano viyavlenij bekdor za funkcionalom maye mozhlivist zbirati kodi YeDRPOU urazhenih kompanij ta vidpravlyati yih na viddalenij server Krim togo zavantazhuvati fajli i zbirati informaciyu pro operacijnu sistemu ta identifikacijni dani koristuvachiv 26 Zlovmisniki mali mozhlivist v zalezhnosti vid kodiv YeDRPOU viddavati bekdoru rizni komandi v tomu chisli zavantazhuvati j zapuskati dodatkovi moduli 2 Takim chinom stanom na 27 chervnya 2017 roku pro isnuvannya problem z bezpekoyu v sistemi onovlen M E Doc vzhe bulo vidomo Navit pislya ataki fahivcyam firmi ESET vdalosya znajti bekdor u viglyadi zashifrovanoyi PHP programi PAS webshell PHP PAS z nazvoyu fajla medoc online php na comu serveri 32 Na serveri bulo vstanovlene zastarile programne zabezpechennya z chislennimi vrazlivostyami dlya yakogo buli dobre vidomi metodi atak 33 34 Nachalnik Departamentu kiberpoliciyi Nacionalnoyi policiyi Ukrayini polkovnik Sergij Demedyuk v interv yu zhurnalistam Associated Press zayaviv sho rozrobnikam M E Doc bagato raziv govorili pro ce tvorci antivirusiv Taka nedbalist mozhe posluzhiti prichinoyu pochatku kriminalnogo rozsliduvannya 35 36 Krim vsogo inshogo server onovlen upd me doc com ua IP adresa 92 60 184 55 fizichno perebuvav u hosting provajdera WNet TOV Dabl yu net Ukrayina v yakogo na pochatku chervnya togo zh roku Sluzhba bezpeki Ukrayini provodila obshuki ta viluchala obladnannya cherez nadannya kompaniyeyu telekomunikacijnih poslug u Krimu FSB RF Voyentelekomu RF ta psevdoderzhavnim pidpriyemstvam zv yazku Za informaciyeyu specsluzhbi cherez nezakonnu marshrutizaciyu trafiku do aneksovanogo Krimu FSB RF planuvalo otrimati dostup ta znimati informaciyu z ukrayinskogo segmentu merezhi provajdera 37 38 Takozh na danij moment vidomo sho pislya spracyuvannya bekdoru zlovmisniki komprometuvali oblikovi zapisi koristuvachiv z metoyu otrimannya povnogo dostupu do merezhi Dali otrimuvali dostup do merezhevogo obladnannya z metoyu vivedennya jogo z ladu Za dopomogoyu IP KVM KVM peremikach z mozhlivistyu roboti cherez komp yuterni merezhi zdijsnyuvali zavantazhennya vlasnoyi operacijnoyi sistemi na bazi Tiny Core Linux 26 Zlovmisniki z metoyu prihovuvannya vdaloyi kiberoperaciyi shodo masovogo urazhennya komp yuteriv ta nesankcionovanogo zboru z nih informaciyi tim zhe samim sposobom cherez ostanni onovlennya programnogo zabezpechennya M E Doc rozpovsyudili modifikovanij hrobak zdirnik Petya 26 Vidalennya ta shifruvannya fajliv operacijnih sistem bulo vchineno z metoyu vidalennya slidiv poperednoyi zlochinnoyi diyalnosti bekdoru ta vidvernennya uvagi shlyahom imitaciyi vimagannya groshovih koshtiv vid poterpilih 26 Ataka 27 chervnya 2017 roku rozpochalas blizko 10 30 za kiyivskim chasom koli na komp yuterah zhertv programa EzVit exe skladova chastina M E Doc zapustila komandu 29 C Windows system32 rundll32 exe C ProgramData perfc dat 1 304 lipnya 2017 roku z yavilos povidomlennya vid rozrobnikiv inshogo PZ podannya buhgalterskoyi zvitnosti 1S Zvit pro nayavnist virusu v biblioteci ZvitPublishedObjects dll viyavlenogo odnim z antivirusiv z ostannimi onovlennyami 39 Zaznachena biblioteka vikoristovuyetsya i u M E Doc i u 1S Zvit 28 Bekdor Redaguvati Div takozh Bekdor Hrobak Petya potrapiv na komp yuteri zhertv v pershu chergu zavdyaki bekdoru yakij buv vstanovlenij v onovlennya programi M E Doc Takim chinom shkidliva diya ataki ne obmezhena destruktivnimi diyami hrobaka ale i vklyuchaye shkodu yaku zlovmisniki mogli zapodiyati bekdorom vikradennya sistemnih paroliv klyuchiv vikradennya vazhlivoyi informaciyi ta dokumentiv vstanovlennya program shpiguniv proniknennya v inshi sistemi tosho Bekdor buv dodanij do kodu v biblioteci programi ZvitPublishedObjects dll u funkciyu ZvitPublishedObjects Server UpdaterUtils IsNewUpdate Bekdor stvoryuvav fonovij potik yakij zvertavsya za adresoyu http upd me doc com ua last ver rnd lt GUID gt kudi peredavav kod YeDRPOU pidpriyemstv ta im ya koristuvacha vid imeni yakogo vikonuyetsya programa v ochikuvani komand Vsogo bekdor zdaten vikonuvati shist komand 2 3 0 RunCmd zapustiti peredanu komandu v obolonci shell 1 DumpData otrimati dani v koduvanni Base64 rozkoduvati yih ta zberegti na zhorstkomu disku 2 MinInfo zibrati ta nadislati informaciyu pro versiyu operacijnoyi sistemi arhitekturu 32 abo 64 biti privileyi koristuvacha nalashtuvannya UAC proksi servera elektronnoyi poshti zokrema login ta parol 3 GetFile zchitati ta peredati vkazanij fajl z zhorstkogo disku zhertvi 4 Payload otrimati dani v koduvanni Base64 dekoduvati yih zberegti na disku ta zapustiti cej fajl yak programu 5 AutoPayload analogichno do komandi z kodom 4 ale dlya bibliotek DLL Zapustiti otrimanu biblioteku iz dopomogoyu rundll32 exe takozh sprobuvati perepisati ta znishiti otrimanij fajl Komanda z kodom 5 najkrashe zbigayetsya zi scenariyem zarazhennya virusom Petya XData Redaguvati 18 travnya 2017 roku bulo viyavleno virus zdirnik XData yakij stav drugim za shvidkistyu poshirennya ta shkidlivistyu pislya WannaCry v Ukrayini 40 Virus shifruvav dani na komp yuteri ta vimagav vid 0 1 do 1 BTC stanom na traven 2017 odin bitkoyin koshtuvav ponad 1 9 tisyach dolariv SShA 41 Perevazhnoyu bilshistyu zhertv virusu stali buhgalterski komp yuteri ukrayinskih pidpriyemstv yaki vikoristovuvali sistemu M E Doc na 64 bitnih operacijnih sistemah Windows XP Windows 7 Windows Server 2008 ta Windows Server 2012 Bagato postrazhdalih stverdzhuvali sho shifruvannya yihnih danih vidbulosya pislya onovlennya programi M E Doc 40 Odnak kompaniya virobnik PZ zaperechila problemi z bezpekoyu i nazvala ce zbigom 42 Zasib dlya deshifruvannya danih urazhenih XData buv opublikovanij uzhe 30 travnya 43 NotPetya Redaguvati Popri zovnishnyu shozhist novij virus maye istotni vidminnosti vid vzhe vidomogo Petya tomu otrimav novi nazvi vid riznih doslidnikiv NotPetya Eternal Petya Petna tosho U cilomu vin maye dobre napisanij kod yakij vikoristovuye nizku shlyahiv dlya svogo poshirennya 44 Vrazlivosti EternalBlue ta EternalRomance CVE 2017 0144 ta CVE 2017 0145 vidpovidno obidvi vipravleni v onovleni MS17 010 29 Viyavlennya geshiv paroliv zareyestrovanih na komp yuteri koristuvachiv ta administratoriv 45 algoritm LSA Dump shozhij na Win32 Mimikatz 29 Vikoristannya standartnih mozhlivostej operacijnoyi sistemi 29 Spochatku peredaye svoyi fajli ustanovki cherez merezhevi diski Windows Share a potim namagayetsya yih zapustiti abo viddalenim vikonannyam komand PowerShell psexec abo zh cherez sistemu WMIC Windows Management Instrumentation Command line Takim chinom zarazhenij cim hrobakom komp yuter zdaten za pevnih umov vrazhati inshi komp yuteri v merezhi navit ti yaki otrimali ostanni onovlennya operacijnoyi sistemi Abi ne buti viyavlenim antivirusnimi programami binarni kodi virusu zastosovuyut 44 pidroblenij cifrovij pidpis Microsoft shifruvannya algoritmom XOR dlya obhodu perevirok na signaturu Prote popri dosit visokij riven realizaciyi samogo virusu jogo rozrobniki skoristalis vkraj vrazlivim ta nenadijnim sposobom spilkuvannya z zhertvami sho stvoryuye vrazhennya sho zdirnictvo ne bulo osnovnim motivom 44 46 vsim zhertvam proponuvalosya pererahuvati kriptovalyutu bitkoyin vartistyu 300 na gamanec avtora virusu ta peredati vkazanij na ekrani dovgij kod na vkazanu adresu elektronnoyi poshti Poshtova sluzhba de bula zareyestrovana skrinka zlovmisnikiv zablokuvala yiyi vzhe cherez kilka godin pislya pochatku ataki i takim chinom unemozhlivila spilkuvannya mizh zhertvami ta zlovmisnikami 44 Tobto splata vikupu ne maye sensu oskilki garantovano ne dast bazhanogo rezultatu 47 V oprilyudnenij zayavi kompaniya provajder poshtovoyi skrinki povidomila sho ne lishe zablokuvala skrinyu a j aktivno pracyuye z nimeckoyu federalnoyu sluzhboyu informacijnoyi bezpeki v rozsliduvanni ciyeyi podiyi 48 Shkidliva diya Redaguvati Div takozh Ransomware nbsp Povidomlennya sho pokazuyetsya pislya zavershennya shifruvannya golovnoyi tablici fajliv fajlovoyi sistemi NTFSShifruvannya fajlivShkidliva diya virusu skladayetsya z dvoh chastin ta zalezhit vid prav yakij maye jogo proces ta vid togo yaki procesi pracyuyut v operacijnij sistemi Virus obchislyuye neskladnij hesh nazv zapushenih procesiv i yaksho bude znajdeno napered zadani kodi mozhe abo pripiniti svoye poshirennya abo zh navit vidmovitis vid shkidlivoyi diyi 29 Pershim krokom virus shifruye fajli z napered zadanogo pereliku tipiv yih ponad 60 z vikoristannyam algoritmu AES 128 Dlya kozhnogo komp yutera virus obchislyuye novij klyuch simetrichnogo algoritmu shifruvannya AES 128 yakij shifruye 800 bitnim vidkritim klyuchem RSA z pari klyuchiv zlovmisnikiv ta zberigaye na zhorstkomu disku 29 Povidomlennya z vimogoyu vikupu dlya deshifruvannya fajliv zalishayetsya na zhorstkomu disku Ce povidomlennya maye inshij klyuch vidminnij vid klyucha na drugomu kroci tak zvanij identifikator zhertvi ta dovedena mozhlivist vidnovlennya vtrachenih fajliv za umovi otrimannya pravilnogo kodu vid zlovmisnikiv 49 Prote navit tut zlovmisniki pripustilis pomilok vnaslidok yakih vidnovlennya danih istotno uskladnene a oskilki sam virus Petya ne mistit modulya dlya vidnovlennya danih to dlya cogo neobhidna ishe odna insha programa 50 Znishennya fajlovoyi sistemiDiv takozh NTFS ta Golovnij zavantazhuvalnij zapis Pislya zavershennya pershogo kroku shifruvannya fajliv yaksho virus maye dostatno sistemnih prav ta za pevnih inshih umov vin perehodit do drugogo kroku znishennya fajlovoyi sistemi Drugim krokom virus zminyuye golovnij zavantazhuvalnij zapis MBR kodami svogo zapusku obchislyuye identifikator zhertvi angl Victim ID iz zastosuvannyam vipadkovih chisel obchislyuye klyuchi shifruvannya iz vikoristannyam kriptografichno stijkogo generatora psevdovipadkovih chisel zberigaye jogo u MBR vstanovlyuye vipadkovij tajmer ne menshe 10 ale ne bilshe 60 hvilin na perezavantazhennya komp yutera ta znishuye vsi zapisi v sistemnih zhurnalah Pri zavantazhenni komp yutera zavdyaki zminam v golovnomu zavantazhuvalnomu zapisi MBR zamist operacijnoyi sistemi bude zavantazheno shkidlivij kod virusu yakij malyuye na ekrani pidrobku pid interfejs programi perevirki cilisnosti zhorstkogo disku Chkdsk 29 Osnovna shkidliva diya na comu kroci polyagaye v shifruvanni tablici fajliv angl Master File Table MFT fajlovoyi sistemi NTFS algoritmom shifruvannya Salsa20 Pri comu klyuch shifruvannya pislya zavershennya procesu bezpovorotno stirayetsya a zhertvi proponuyetsya vidpraviti zlovmisnikam dlya otrimannya klyucha deshifruvannya identifikator zhertvi angl Victim ID yakij zhodnim chinom ne pov yazanij z tim klyuchem 51 Taka povedinka vidriznyayetsya vid povedinki originalnogo hrobaka Petya Mischa Originalnij virus Petya zberigav klyuch shifruvannya Salsa20 j tim samim zberigav mozhlivist dlya vidnovlennya danih Hocha cherez pomilku v realizaciyi vidnoviti dani viyavilos mozhlivim navit bez splati vikupu poki cya pomilka ne bula vipravlena u tretij versiyi ta virusi Goldeneye 51 Slid zaznachiti sho shkidliva diya virusu cim ne obmezhena cherez vadu v realizaciyi virus zdaten povtorno vrazhati odnu j tu samu sistemu Todi zashifrovani na pershomu kroci fajli budut zashifrovani vdruge a neobhidnij dlya yihnogo deshifruvannya klyuch bude zatertij novim chim unemozhlivit yihnye vidnovlennya 49 Vikoristannya virusom odnogo yedinogo vidkritogo klyucha RSA oznachaye sho rozkrivshi za vikup bodaj odin kod dlya vidnovlennya danih zhertvi faktichno privatnij klyuch v pari RSA zlovmisniki vodnochas vidkrili b mozhlivist usim inshim vidnoviti vtracheni dani za dopomogoyu cogo klyucha Ce razom z inshimi oznakami mozhe svidchiti sho zdirnictvo ne bulo osnovnim motivom ataki a navpaki pid zdirnictvo bula zamaskovana masshtabna kiberataka na informacijni sistemi ukrayinskih pidpriyemstv vid najbilshih do najmenshih ta organiv derzhavnoyi vladi 47 Zahist Redaguvati Kompaniya Symantec stverdzhuye sho dlya svoyeyi roboti virus stvoryuye fajl C Windows perfc a yaksho vin vzhe isnuye to virus pripinyaye robotu Tomu yaksho koristuvach sam stvorit cej fajl i zrobit jogo dostupnim tilki dlya chitannya to ce imovirno zahistit jogo vid virusu 52 Stvoriti porozhni ta zahisheni vid zapisu fajli C Windows perfc C Windows perfc dat C Program Data perfc C Program Data perfc datCe zahistit vid shifruvannya fajliv na komp yuteri ale ne zahistit vid jogo vikoristannya dlya poshirennya virusu Abi zavaditi zarazhennyu ta poshirennyu virusu slid persh za vse vikonuvati zvichajni poradi z komp yuternoyi bezpeki zokrema ne vidkrivati vkladeni fajli vid neznajomih osib abo pidozrilih listiv vid znajomih zahist vid fishingu vstanoviti ostanni onovlennya dlya operacijnoyi sistemi zokrema latku MS17 010 ta antivirusnih program Dlya zahistu merezhi vid poshirennya virusu slid takozh vimknuti pidtrimku zastarilogo protokolu SMBv1 vimknuti abo obmezhiti vikoristannya sistem PowerShell WMIC ta merezhevih tek Windows Share Takozh v merezhevih ekranah slid zablokuvati trafik na porti 139 ta 445 Vikonannya cih porad odnak mozhe porushiti zvichnu robotu informacijnoyi sistemi ta vimagatime dodatkovih zusil vid administratoriv 29 Dlya efektivnogo zahistu ne lishe vid cogo konkretnogo virusu hrobaka a podibnih incidentiv vzagali slid retelno vprovaditi politiki komp yuternoyi informacijnoyi bezpeki napriklad Defence in Depth 53 Pov yazanist iz teraktom RedaguvatiMensh nizh za tri godini do pochatku hakerskoyi ataki 27 chervnya o 8 15 ranku v Solom yanskomu rajoni stavsya vibuh avtomobilya za kermom yakogo buv komandir zagonu specialnogo priznachennya Golovnogo upravlinnya rozvidki polkovnik Maksim Shapoval Vid potuzhnogo vibuhu vin zaginuv na misci 54 Priblizno o 10 30 pochalasya hvilya zavantazhen onovlennya programi M E Doc yake neslo v sobi kod virusnoyi programi Za dekilka godin virus vraziv nizku derzhavnih merezh Imovirno ci dvi pov yazani mizh soboyu podiyi j skladali podvijnu rosijsku ataku prisvyachenu Dnyu Konstituciyi Ukrayini 55 Cyu teoriyu visunuv Sekretar RNBO Ukrayini Oleksandr Turchinov 56 Poshirennya virusu ta ataki za mezhami Ukrayini RedaguvatiZa danimi Nacpoliciyi ponad 1 5 tisyach yuridichnih i fizichnih osib zvernulisya do nih iz zayavami pro blokuvannya roboti komp yuteriv yaki stali zhertvami najbilshoyi hakerskoyi ataki sho rozpovsyudzhuvala virus Petya A Za danimi kompaniyi ESET yaka rozroblyaye programne zabezpechennya dlya borotbi zi shkidlivimi komp yuternimi programami na Ukrayinu pripalo najbilshe atak virusu Petya 75 24 vid usih atak Prote ataki ne obmezhilisya Ukrayinoyu Takozh Petya A atakuvav Nimechchinu 9 06 atak Polshu 5 81 Serbiyu 2 87 Greciyu 1 39 Rumuniyu 1 02 a takozh mensh odnogo vidsotka vid vsih atak virusu pripalo na Rosiyu j Chehiyu 57 U Rosijskij Federaciyi majzhe odnochasno z Ukrayinoyu perestali pracyuvati komp yuteri Rosnafti 58 Bashnafti 59 sho prizvelo do zupinki vidobutku nafti na dekilkoh dilyankah dzherelo Prote veliki rosijski pidpriyemstva viyavilis naprochud zahishenimi proti poshirennya hrobaka ale nachebto nedostatno zahishenimi vid zarazhennya nim pri tomu sho voni navryad chi koristuyutsya programoyu dlya skladannya ukrayinskoyi podatkovoyi zvitnosti 44 Slidom za Ukrayinoyu ta Rosiyeyu ataki pochali zdijsnyuvatisya na merezhi v Ispaniyi Indiyi 60 Irlandiyi Velikij Britaniyi 61 ta inshih krayinah i mistah YeS i SShA 62 Za danimi Mcafee v SShA bulo zafiksovano bilshe infikovanih komp yuteriv nizh v Ukrayini prote statistika antivirusu ESET stverdzhuye sho najbilshe zafiksovanih infikuvan vidbulis same v Ukrayini 23 Za danimi Nimeckogo federalnogo agenstva z bezpeki informacijnih tehnologij nim Bundesamt fur Sicherheit in der Informationstechnik BSI vid ataki hrobakom Petya postrazhdalo odne nimecke pidpriyemstvo virobnictvo na yakomu zupinilos bilshe nizh na tizhden Zupinka virobnictva potyagnula za soboyu miljonni zbitki 63 Rozsliduvannya RedaguvatiZa dobu pislya pochatku ataki do Departamentu kiberpoliciyi Ukrayini nadijshlo ponad 1000 povidomlen pro vtruchannya v robotu komp yuternih merezh sho prizvelo do zboyiv u yih roboti Z nih oficijno iz zayavami do policiyi zvernulos 43 kompaniyi Stanom na 28 chervnya bulo rozpochato 23 kriminalni provadzhennya za faktami nesankcionovanogo vtruchannya v elektronno obchislyuvalni sistemi yak derzhavnih tak i privatnih ustanov organizacij pidpriyemstv stattya 361 Kriminalnogo kodeksu She po 47 faktah virishuvalosya pitannya shodo vnesennya vidomostej do Yedinogo reyestru dosudovih rozsliduvan 31 Stanom na 29 chervnya 2017 roku do Nacionalnoyi policiyi Ukrayini zvernulos 1508 yuridichnih ta fizichnih osib iz povidomlennyami shodo blokuvannya roboti komp yuternoyi tehniki za dopomogoyu virusu shifruvalnika Iz nih 178 zvernulisya do policiyi iz oficijnimi zayavami Zokrema 152 organizaciyi privatnogo sektora ta 26 zvernen vid derzhavnogo sektora krayini 115 takih faktiv bulo zareyestrovano v zhurnali Yedinogo obliku pro vchineni kriminalni porushennya ta inshi podiyi Virishuyetsya pitannya shodo yih pravovoyi kvalifikaciyi Za 63 faktami vidomosti vneseno do YeRDR za statteyu 361 KK Ukrayini 64 Krim togo do rozsliduvannya buli zalucheni fahivci Departamentu kontrrozviduvalnogo zahistu interesiv derzhavi u galuzi informacijnoyi bezpeki Sluzhbi bezpeki Ukrayini Bula organizovana vzayemodiya z partnerskimi pravoohoronnimi organami specialnimi sluzhbami inozemnih krayin ta mizhnarodnimi organizaciyami sho specializuyutsya na kibernetichnij bezpeci Specialisti SBU u vzayemodiyi z fahivcyami FBR SShA Nacionalnoyu agenciyeyu po borotbi zi zlochinnistyu NCA Velikoyi Britaniyi Yevropolu a takozh providnih kiberbezpekovih ustanov provodili spilni zahodi z lokalizaciyi rozpovsyudzhennya shkidlivogo programnogo zabezpechennya PetyaA ostatochnogo z yasuvannya metodiv realizaciyi ciyeyi akciyi kiberterorizmu vstanovlennya dzherel ataki yiyi vikonavciv organizatoriv i zamovnikiv 65 Dlya lokalizaciyi masshtabnoyi kiberzagrozi Nacionalnoyu policiyeyu Ukrayini ta Sluzhboyu bezpeki Ukrayini bulo stvoreno operativno tehnichnij shtab do yakogo uvijshli predstavniki ukrayinskih ta inozemnih kompanij z kiberbezpeki 26 Nachalnik Departamentu kiberpoliciyi Nacionalnoyi policiyi Ukrayini polkovnik Sergij Demedyuk v interv yu zhurnalistam Associated Press zayaviv sho rozrobnikam M E Doc bagato raziv govorili pro vrazlivosti servera onovlen programi tvorci antivirusiv Taka nedbalist mozhe posluzhiti prichinoyu pochatku kriminalnogo rozsliduvannya 35 36 nbsp Zovnishni videofajli nbsp Obshuki ta viluchennya tehniki v ofisi rozrobnika M E Doc4 lipnya 2017 roku z metoyu pripinennya rozpovsyudzhennya hrobaka Petya zafiksovano novi sprobi bulo prijnyato rishennya pro provedennya obshukiv i viluchennya programnogo ta aparatnogo zabezpechennya kompaniyi za dopomogoyu yakogo rozpovsyudzhuvalos shkidlive programne zabezpechennya Obshuki provedeno predstavnikami Departamentu kiberpoliciyi slidchimi ta za uchastyu Sluzhbi bezpeki Ukrayini Vilucheno robochi komp yuteri personalu ta serverne obladnannya cherez yake poshiryuvalosya programne zabezpechennya 26 Atribuciya ataki Redaguvati Popri te sho virus spravlyaye vrazhennya zvichajnogo zrazka zdirnickogo programnogo zabezpechennya stvorenogo zaradi zbagachennya zlovmisnikiv nizka doslidnikiv vislovila pripushennya sho naspravdi cej mif sluzhit prikrittyam masshtabnoyi kiberataki z boku odniyeyi derzhavi proti inshoyi Takim chinom osnovnim priznachennyam virusu bulo ne zdirnictvo a znishennya vazhlivih danih ta porushennya normalnoyi roboti derzhavnih i privatnih ustanov 66 67 Ale legenda pro chergovu ataku kiberzlochinciv dozvolila napadnikam stvoriti bazhane yim visvitlennya u zasobah masovoyi informaciyi koli dosyagnuvshi meti porushennya normalnoyi roboti velikoyi kilkosti ustanov mozhna prihovati spravzhnij motiv Zokrema pro ce svidchat taki oznaki Popri dosit visokij riven realizaciyi shkidlivoyi programi bulo obrano vkraj urazlivij sposib spilkuvannya z zhertvami Poshtovu skrinyu absolyutno ochikuvano ta peredbachuvano bulo zablokovano cherez kilka godin pislya pochatku ataki 44 Dosvid WannaCry pokazav finansovu neprivablivist masshtabnih ta ne vibirkovih atak podibnogo rodu 68 Programa shifruvala ta zberigala pershij sektor na zhorstkomu disku ale potim bezpovorotno znishuvala nastupni 24 sektori chim robila povne vidnovlennya danih nemozhlivim Za pevnih umov programa znishuvala vsi 10 pershih sektoriv na disku bez sprob zberegti yih dlya podalshogo vidnovlennya 68 Zadokumentovani vipadki koli programa bezpovorotno znishuvala kritichno vazhlivu dlya pracezdatnosti operacijnoyi sistemi informaciyu i tomu mozhe jtisya pro zamitannya slidiv 67 Vidsutni dokazi togo sho programa zdatna vidnoviti zashifrovani fajli z kodom vikupu Navpaki ye pidstavi vvazhati sho zlovmisniki ne zdatni nadati kod dlya deshifruvannya danih 68 69 Zlovmisniki ne mali mozhlivosti kontrolyuvati poshirennya svogo hrobaka ale obranij nimi sposib pochatkovogo zarazhennya buv nacilenij bezposeredno proti Ukrayini 67 Buli zadokumentovani vipadki koli zarazhennya stalos vzhe cherez misyac pislya togo yak zlovmisniki spromoglis otrimati nesankcijovanij dostup do informacijnih sistem velikih ustanov v Ukrayini Urazheni hrobakom inozemni firmi mogli stati vipadkovimi napriklad cherez svoyi predstavnictva v Ukrayini ale ne osnovnimi zhertvami ataki 67 Natomist nizka inshih ekspertiv vislovili pripushennya sho ochevidni vadi v roboti virusu ta sposib spilkuvannya z zhertvami mozhna poyasniti nedbalistyu rozrobnikiv ta bazhannyam rozpochati ataku yakomoga ranishe bez nalezhnogo testuvannya j perevirki vsih komponentiv shkidlivoyi programi 70 71 30 chervnya sekretar RNBO Oleksandr Turchinov zayaviv pro mozhlivist vikoristannya tehnologij Tor ta VPN zlovmisnikami 72 V pershih chislah lipnya 2017 roku Sluzhba bezpeki Ukrayini vstanovila prichetnist specsluzhb RF do ataki iz vikoristannyam virusu Petya 73 Za oficijno ne pidtverdzhenimi danimi ishe v listopadi 2017 roku CRU SShA dijshlo ostatochnogo visnovku sho za atakami iz vikoristannyam NotPetya stoyat vidpovidni pidrozdili pid upravlinnyam GRU GSh RF Za danimi Washington Post yaka oprilyudnila cyu informaciyu danij pidrozdil maye nazvu ros Glavnyj centr specialnyh tehnologij 74 15 lyutogo 2018 roku Nacionalnij centr kibernetichnoyi bezpeki Velikoyi Britaniyi angl National Cyber Security Centre pidrozdil GCHQ oprilyudniv rezultati svogo rozsliduvannya ta poklav vidpovidalnist za ataku na uryad Rosijskoyi Federaciyi Za danimi Centru najimovirnishe za atakoyu stoyat rosijski vijskovi pidrozdili Rishennya pro publichnu atribuciyu ataki bulo uhvalene abi pokazati neterpimist Ob yednanogo Korolivstva ta soyuznikiv do proyaviv zlochinnoyi diyalnosti v kiberprostori 16 Togo zh dnya do zayavi priyednalas reshta krayin chleniv soyuzu FVEY Avstraliya 15 Kanada 17 Nova Zelandiya 18 ta Spolucheni Shtati 19 Takozh vidpovidalnist Kremlya za cyu ataku pidtverdiv uryad Daniyi 20 Administraciya Prezidenta SShA Donalda Trampa zayavila sho cya bezvidpovidalna hakerska ataka nevibirkovogo harakteru ne zalishitsya bez naslidkiv z boku mizhnarodnogo tovaristva 19 Reakciya RedaguvatiPosadovi osobi Redaguvati Na dumku radnika MVS Antona Gerashenka proti derzhavi Ukrayina bula rozpochata masovana hakerska ataka z vikoristannyam modifikovanoyi pid Ukrayinu versiyi virusu WannaCry cryptolocker Na jogo dumku taka ataka gotuvalasya shonajmenshe misyac Kincevoyu metoyu ataki bula destabilizaciya situaciyi v ekonomici Ukrayini 55 Piznishe informaciya pro WannaCry bula sprostovana Rechnicya SBU Olena Gitlyanska pripustila sho ataki organizovani z teritoriyi Rosiyi abo z okupovanih teritorij Donbasu 75 Likvidaciya naslidkiv RedaguvatiGolova Departamentu kiberpoliciyi Sergij Demedyuk zayaviv sho predstavniki kiberpoliciyi viyihali do pidpriyemstv yaki zayavili pro ataki virusu Vin takozh zaznachiv sho spivpracya z likvidaciyi naslidkiv virusnih atak mozhe jti na mizhnarodnomu rivni Vlasniki merezh yaki zaznali vplivu ciyeyi kiberataki navit vidnovivshi komp yuteri pislya ataki mozhut stati potencijnim ob yektom povtornoyi ataki isnuye visoka jmovirnist togo sho zlovmisnikam vidoma informaciya pro merezhi paroli do oblikovih zapisiv koristuvachiv administratorski paroli priblizni shemi merezh paroli do elektronnih poshtovih skrinok ECP tosho Dlya znizhennya oznachenih rizikiv ta poperedzhennya povtornogo urazhennya virusom komanda CERT UA rekomenduvala zokrema zminiti paroli oblikovih zapisiv v merezhi ta inshi identifikacijni dani yaki mogli buti skomprometovani Docilno zminiti pul vnutrishnih IR adres ta strukturu merezhi shema merezhi mozhe buti vidoma zlovmisnikam sho polegshuye realizaciyu nastupnoyi ataki 28 Akreditovanij centr sertifikaciyi klyuchiv organiv yusticiyi Ukrayini ACSK razom z komandoyu CERT UA nadali rekomendaciyu koristuvacham poslug elektronnogo cifrovogo pidpisu ECP zaminiti klyuchi ECP dlya podannya elektronnoyi zvitnosti u zv yazku z mozhlivoyu yih komprometaciyeyu 76 77 Dlya pidvishennya rivnya zahistu koristuvachiv poslug ECP ta derzhavi v cilomu ACSK realizovano pridbannya ta vikoristannya zahishenih nosiyiv osobistih klyuchiv Odniyeyu z perevag vikoristannya zahishenih nosiyiv osobistih klyuchiv ye te sho osobistij klyuch ne zapisuyetsya na zhorstkij disk komp yutera a zberigayetsya bezposeredno u aparatnomu seredovishi zahishenogo nosiya Ce zabezpechuye zahist osobistogo klyucha vid nesankcionovanogo dostupu zlovmisnikiv 78 Nimecke federalne agenstvo z bezpeki informacijnih tehnologij nim Bundesamt fur Sicherheit in der Informationstechnik BSI nagolosila sho zhertvami ataki mogli stati navit ti koristuvachi programi M E Doc yaki ne znaznali destruktivnoyi diyi hrobaka Petya Oskilki bekdor buv vstanovlenij v onovlennya programi M E Doc shonajmenshe z 13 kvitnya 2017 roku to i pochatok ataki slid vidnesti na cyu datu 63 Vnaslidok shkidlivoyi diyi zasobami bekdoru mogli buti skomprometovani arhivni fajli zrobleni pochinayuchi z ciyeyi dati Federalne agenstvo pripustilo sho iz dopomogoyu bekdoru zlovmisniki mogli prihovano vstanoviti shpigunski programi dlya vikradennya danih z komp yuternih merezh pidpriyemstv Shkoda vid nih mozhe buti ne menshoyu anizh vid vidverto destruktivnoyi diyi hrobaka 63 Z oglyadu na vsi ci obstavini BSI radit izolyuvati komp yuteri na yakih vstanovleno M E Doc v okremi merezhevi segmenti Vvazhati vsi komp yuteri na yakih vstanovleno M E Doc ta vsi komp yuteri dosyazhni z nih komp yuternoyu merezheyu potencijno skomprometovanimi Tomu slid zminiti paroli bazhano perevstanoviti operacijni sistemi obmezhiti prava administrativnih zapisiv vikoristovuvati na riznih komp yuterah rizni paroli administratora tosho Takozh federalne agenstvo radilo zvernutis po dopomogu do fahivciv z komp yuternoyi bezpeki dlya pidvishennya zahistu j zmicnennya informacijnih sistem vid nesankcijovanogo vtruchannya 63 Dlya zapobigannya atak ta vdoskonalennya zahistu stvoreno Situacijnij centr zabezpechennya kibernetichnoyi bezpeki Za danimi SBU neobhidne obladnannya ta programne zabezpechennya dlya centru nadijshlo vid Trastovogo fondu z pitan kiberbezpeki Ukrayina NATO 79 Rezultati RedaguvatiVikup Redaguvati Zavdyaki tomu sho vsi tranzakciyi Bitcoin ye povnistyu publichnimi statistiku perekaziv vlasniku virusu mozhe podivitisya bud hto Nyu jorkskij zhurnalist i programist Kejt Kollinz stvoriv akaunt Arhivovano 29 chervnya 2017 u Wayback Machine u Tvitteri yakij avtomatichno onovlyuyetsya pislya kozhnoyi z operacij i pokazuye potochnij stan rahunku zlovmisnika Stanom na 14 00 za Kiyivskim chasom 28 chervnya zlovmisnik otrimav bilshe 10 tis 23 28 chervnya 2017 roku Kabinet Ministriv Ukrayini povidomiv sho masshtabna hakerska ataka na korporativni merezhi ta merezhi organiv vladi bula zupinena 14 4 lipnya 2017 roku ob 22 10 UTC z gamancya bulo znyato majzhe 4 bitkoina vartistyu blizko 10 tisyach ta perevedeno na inshij gamanec Za kilka hvilin pered tim z gamancya buli zrobleni dribni platezhi v gamanci sluzhb Pastebin ta DeepPaste Ale za 11 12 hvilin do perevedennya koshtiv na sajtah DeepPaste ta Pastebin vid imeni hakeriv bulo rozmishene zvernennya v yakomu za 100 bitkoyiniv blizko 256 tisyach hakeri obicyali peredati privatnij klyuch dlya deshifruvannya fajliv Taku veliku sumu avtori zvernennya poyasnili tim sho cim klyuchem mozhna deshifruvati vsi fajli 80 5 lipnya 2017 roku zhurnalistam vidannya Vice vdalos vijti na zv yazok iz zlovmisnikami ta peredati yim na deshifruvannya odin fajl rozmirom ne bilshe 1 megabajtu Cherez dvi godini zlovmisniki peredali zhurnalistam rozshifrovanij fajl Inshim dokazom togo sho zlovmisniki stoyat za virusom Petya ye te sho zvernennya na Pastebin ta DeepPaste buli pidpisani privatnim klyuchem z pari klyuchiv virusu Petya 81 Vtrati Redaguvati Zastupnik golovi administraciyi Prezidenta Ukrayini Dmitro Shimkiv kolishnij direktor predstavnictva firmi Microsoft v Ukrayini zayaviv sho vnaslidok ataki hrobakom NotPetya bulo vivedeno z ladu blizko 10 personalnih komp yuteriv v Ukrayini osobistih v derzhavnih ta ne derzhavnih ustanovah i pidpriyemstvah 82 Prote usunennya naslidkiv ataki virusom vinishuvachem NotPetya zabralo istotni zusillya ta chas Tak napriklad kompaniya Reckitt Benckiser zayavila sho chastina komp yuternih sistem vidnovit svoyu normalnu robotu lishe u serpni 83 Za ocinkami koncernu Maersk vtrati kompaniyi osoblivo yiyi pidrozdiliv Maersk Line Damco ta APM Terminals razom budut na rivni 200 300 mln 170 256 mln za togochasnim kursom 84 Tehnichnij personal buv vimushenij protyagom 10 dniv zanovo vstanoviti i nalashtuvati vse programne zabezpechennya na 4000 serverah 45 000 robochih stanciyah zanovo vstanoviti 2500 prikladnih zastosunkiv Robitniki buli vimusheni vruchnu opracovuvati informaciyu pro virobnichi procesi pri comu zmenshennya obsyagiv perevezen sklalo 20 vid zvichajnogo 85 U veresni 2017 roku amerikanska logistichna ta poshtova kompaniya FedEx oprilyudnila ocinku zbitkiv u svoyemu dochirnomu pidpriyemstvi u Niderlandah TNT Express Tak cherez porushennya normalnih robochih procesiv pidpriyemstvo ocinyuye svoyi zbitki na rivni do 300 mln za pershe pivrichchya 2017 roku 86 U finansovij zvitnosti za tretij kvartal 2017 roku amerikanska farmacevtichna kompaniya Merck zayavila pro nedootrimannya viruchki na sumu do 240 mln v osnovnomu cherez timchasovu zupinku virobnictva vakcini proti virusu papilomi lyudini Gardasil u chervni togo zh roku vnaslidok urazhennya informacijnih sistem zavodu virusom NotPetya Vnaslidok braku vakcin na tli visokogo popitu kompaniya bula vimushena zapozichiti pevnu yiyi kilkist u Federalnogo centru kontrolyu zahvoryuvan angl U S Centers for Disease Control CDC 87 Na dumku Majkla Shmitta Michael Schmitt ta Dzhefri Bilera Lieutenant Colonel Jeffrey Biller nevibirkovij harakter poshirennya virusu ta svidomij vibir civilnih ob yektiv dlya pochatku ataki svidchat pro te sho organizatori ataki porushili mizhnarodne pravo zvichayiv vijskovogo konfliktu tobto takij vchinok mozhe vvazhatis voyennim zlochinom Oskilki vid ataki postrazhdali treti krayini sho ne berut uchast u vijskovomu konflikti mizh Ukrayinoyu ta Rosiyeyu to ataka ishe j porushuye mizhnarodni zakoni stosovno nejtralnosti krayin 88 Ekspert iz informacijnoyi bezpeki ta protidiyi kiberzagrozam Vitalij Yakushev ociniv zbitki pidpriyemstv po vsomu svitu vid hakerskoyi ataki u 8 mlrd dolariv 89 Spisok atakovanih pidpriyemstv RedaguvatiBanki Redaguvati Oshadbank Bank Pivdennij OTP Bank Kredobank Ukrgazbank 90 Ukrsocbank 90 Prominvestbank 90 Kompaniyi Redaguvati Ukrzaliznicya Mizhnarodnij aeroport Borispil Mizhnarodnij aeroport Kiyiv merezha magaziniv Epicentr merezha magaziniv Nova liniya Ukrposhta Nova poshta DTEK Ukrenergo Kiyivenergo merezha zapravok TNK PBG Kovalska TRK Lyuks Kiyivvodokanal Rozetka merezha avtozapravok WOG Ukrgazvidobuvannya Kiyivskij metropoliten telekanal ATR telekanal ICTV 91 telekanal STB Avangard 92 supermarket Rost 45 UkrLandFarming 92 Concert ua Lifecell Vodafone Ukrayina Kiyivstar DP Dokument DP Antonov DP Nacionalne gazetno zhurnalne vidavnictvo 93 Inozemni kompaniyi Redaguvati Maersk 94 Sen Goben 94 WPP 94 Yevraz 94 Rosnafta Bashnafta FedEx Corporation 86 Merck 87 Primitki Redaguvati Andy Greenberg 22 serpnya 2018 THE UNTOLD STORY OF NOTPETYA THE MOST DEVASTATING CYBERATTACK IN HISTORY Wired Arhiv originalu za 22 serpnya 2018 Procitovano 23 serpnya 2018 a b v g d Anton Cherepanov 4 Jul 2017 Analysis of TeleBots cunning backdoor Arhiv originalu za 5 lipnya 2017 Procitovano 5 lipnya 2017 a b v g David Maynor Aleksandar Nikolic Matt Olney and Yves Younan July 5 2017 The MeDoc Connection Cisco Talos Arhiv originalu za 6 lipnya 2017 Procitovano 6 lipnya 2017 Ukraine cyber attack Chaos as national bank state power provider and airport hit by hackers Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Ukrainian banks electricity firm hit by fresh cyber attack Arhiv originalu za 16 lipnya 2019 Procitovano 27 chervnya 2017 Cherez masshtabnu virusnu ataku ne pracyuyut banki media servisi Arhiv originalu za 29 chervnya 2017 Procitovano 27 chervnya 2017 Ukrayinoyu poshiryuyetsya komp yuternij virus atakovano desyatki kompanij ta ustanov Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Virus Petya A Hakeri atakuvali banki Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Rbc ua Hakerska ataka na Ukrayinu podrobici RBK Ukraina ukr Arhiv originalu za 13 sichnya 2018 Procitovano 27 lyutogo 2018 Hakerska ataka na Ukrayinu Arhiv originalu za 13 sichnya 2018 Procitovano 27 chervnya 2017 Virus Petya paralizuvav robotu Kabminu Arhiv originalu za 30 chervnya 2017 Procitovano 27 chervnya 2017 Stalo vidomo chim naspravdi viyavilas kiberataka na Kabmin 30 chervnya 2017 Arhiv originalu za 22 lipnya 2017 Procitovano 23 lipnya 2017 Kiberataki ne bulo u Kabmini poyasnili chomu ne pracyuvav yihnij sajt 29 chervnya 2017 Arhiv originalu za 21 lipnya 2017 Procitovano 23 lipnya 2017 a b Kiberataku na korporativni merezhi ta merezhi organiv vladi zupineno Arhiv originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 a b Australian Government attribution of the NotPetya cyber incident to Russia The Hon Angus Taylor MP Minister for Law Enforcement and Cybersecurity 16 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 a b Russian military almost certainly responsible for destructive 2017 cyber attack National Cyber Security Centre 15 lyutogo 2018 Arhiv originalu za 15 lyutogo 2018 Procitovano 15 lyutogo 2018 a b Greta Bossenmaier 15 lyutogo 2018 CSE Statement on the NotPetya Malware Communications Security Establishment Arhiv originalu za 3 lipnya 2018 Procitovano 16 lyutogo 2018 a b New Zealand joins international condemnation of NotPetya cyber attack Government Communications Security Bureau 16 lyutogo 2018 Arhiv originalu za 17 lyutogo 2018 Procitovano 16 lyutogo 2018 a b v g Statement from the Press Secretary The White House 15 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 a b Claus Hjort Rusland stod bag cyberangreb mod Maersk Berlingske Business 15 lyutogo 2018 Arhiv originalu za 16 lyutogo 2018 Procitovano 16 lyutogo 2018 SBU vstanovila prichetnist specsluzhb RF do ataki virusu vimagacha Petya A SBU 01 07 2017 Arhiv originalu za 5 lipnya 2017 Procitovano 4 lipnya 2017 Virus Petya Yak vberegtisya vid kiber ataki Ukrayinska pravda 27 chervnya 2017 Arhiv originalu za 1 zhovtnya 2020 Procitovano 28 06 2016 a b v Skilki zarobiv avtor virusu Petya A i yaki krayini najbilshe postrazhdali vid jogo dij Tokar ua uk UA 28 chervnya 2017 Procitovano 28 chervnya 2017 Demonstraciya Arhiv originalu za 28 chervnya 2017 Procitovano 27 chervnya 2017 Yak vidnoviti dani Arhiv originalu za 29 chervnya 2017 Procitovano 27 chervnya 2017 a b v g d e zh i k l m Prikrittyam najmasshtabnishoyi kiberataki v istoriyi Ukrayini stav virus Diskcoder C kiberpoliciya Departament kiberpoliciyi Nacionalnoyi policiyi Ukrayini 05 07 2017 Arhiv originalu za 5 lipnya 2017 Procitovano 5 lipnya 2017 Oleg Dmitrenko 28 Chervnya 2017 Kiberpoliciya virusna ataka poshiryuvalas cherez M E doc Watcher Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 a b v Novi podrobici shodo kiberataki 27 06 2017 z vikoristannyam Petya ransomware CERT UA 05 lipnya 2017 Arhiv originalu za 6 lipnya 2017 Procitovano 7 lipnya 2017 a b v g d e zh i k New ransomware old techniques Petya adds worm capabilities Microsoft Malware Protection Center blog 27 chervnya 2017 roku Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 Dave Lee Vaccine created for huge cyber attack BBC News Arhiv originalu za 17 serpnya 2019 Procitovano 28 chervnya 2017 a b U POLICIYi VIDKRITO 23 KRIMINALNIH PROVADZhENNYa ZA FAKTAMI VTRUChANNYa V ROBOTU KOMP YuTERNIH MEREZh Departament kiberpoliciyi 28 chervnya 2017 r 16 00 Arhiv originalu za 22 grudnya 2017 Procitovano 28 chervnya 2017 Pomilka cituvannya Nepravilnij viklik tegu lt ref gt dlya vinosok pid nazvoyu wls 30 2017 ne vkazano tekst Russell Brandom July 3 2017 Ukranian company that spread Petya could face criminal charges for vulnerability The hack was easier than we thought The Verge Arhiv originalu za 3 lipnya 2017 Procitovano 5 lipnya 2017 Paul McEvatt 30 chervnya 2017 Petya Medoc and the delivery of malicious software Fujitsu Information Security Arhiv originalu za 3 lipnya 2017 Procitovano 5 lipnya 2017 a b Virus Petya kompaniyi M E Doc zagrozhuye kriminalna sprava Fakti ICTV 4 lipnya 2017 Arhiv originalu za 4 lipnya 2017 Procitovano 4 lipnya 2017 a b Raphael Satter 4 lipnya 2017 Official firm at center of cyberattack knew of problems Associated Press Arhiv originalu za 5 lipnya 2017 Procitovano 4 lipnya 2017 SBU vikrila ukrayinskogo Internet provajdera na nezakonnij marshrutizaciyi trafiku do Krimu v interesah rosijskih specsluzhb video Sluzhba bezpeki Ukrayini 1 chervnya 2017 Arhiv originalu za 17 chervnya 2017 Procitovano 5 lipnya 2017 Internet dlya FSB shpigunstvo ta ignoruvannya ukazu Prezidenta SBU poyasnili obshuki v Wnet 5 kanal 1 chervnya 2017 Arhiv originalu za 13 lipnya 2017 Procitovano 5 lipnya 2017 Post na oficijnij storinci 1S Zvit u Fejsbuk shodo nayavnosti virusu v biblioteci ZvitPublishedObjects dll a b Pavel Krasnomovec Vse chto izvestno pro virus vymogatel XData kto pod ugrozoj i chto delat Arhivovano 28 chervnya 2017 u Wayback Machine ain 24 05 2017 ros Oleksandr Melnik 5 faktiv pro novij virus yakij atakuye ukrayinskij korporativnij sektor yak zapobigti Arhivovano 27 serpnya 2018 u Wayback Machine Na chasi 20 05 2017 Budte pilni virusna ataka na korporativnij sektor Arhivovano 28 chervnya 2017 u Wayback Machine M E Doc 22 05 2017 Maksim Davygora Virus vymogatel XData Karantin dlya M E Doc Arhivovano 2 serpnya 2017 u Wayback Machine tucha 25 05 2017 ros a b v g d e The Grugq 27 chervnya 2017 Pnyetya Yet Another Ransomware Outbreak Medium com Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 a b Ukraina podverglas samoj krupnoj v istorii kiberatake virusom Petya Arhivovano 28 chervnya 2017 u Wayback Machine habrahabr ru 27 chervnya 2017 Hern Alex 28 chervnya 2017 Ransomware attack not designed to make money researchers claim The Guardian en GB ISSN 0261 3077 Arhiv originalu za 28 chervnya 2017 Procitovano 28 chervnya 2017 a b CERT EU SA2017 014 Petya Like Malware Campaign CERT EU 27 chervnya 2017 Arhiv originalu za 3 lyutogo 2019 Procitovano 28 chervnya 2017 Info zur Ransomware PetrWrap Petya Betroffenes Postfach bereits seit Mittag gesperrt Posteo 27 Juni 2017 Arhiv originalu za 27 chervnya 2017 Procitovano 28 chervnya 2017 a b Andy Patel 29 chervnya 2017 Petya I Want To Believe F Secure Arhiv originalu za 30 chervnya 2017 Procitovano 30 chervnya 2017 How EternalPetya Encrypts Files In User Mode F Secure 4 lipnya 2017 a b EternalPetya and the lost Salsa20 key Malwarebytes Labs 29 chervnya 2017 Arhiv originalu za 1 lipnya 2017 Procitovano 30 chervnya 2017 Symantec pokazala prostij sposib zahistu vid virusu zdirnika Petya Unian 28 chervnya 2017 Arhiv originalu za 28 chervnya 2017 Procitovano 29 chervnya 2017 Igor Shastitko 29 chervnya 2017 Virus Petya i pravilnaya kompleksnaya zashita ot nego i podobnyh sleduyushih virusov KO Arhiv originalu za 1 lipnya 2017 Procitovano 30 chervnya 2017 Minoboroni pidtverdilo vid vibuhu zaginuv polkovnik GUR Arhiv originalu za 29 chervnya 2017 Procitovano 27 chervnya 2017 a b Virus vimagach modifikovanij pid Ukrayinu V MVS rozpovili podrobici najbilshoyi kiberataki ESPRESO TV Arhiv originalu za 27 chervnya 2017 Procitovano 28 chervnya 2017 Zbig kiberataki i vbivstva polkovnika Shapovala ne ye vipadkovim Turchinov Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Vidnoviti fajli pislya ataki virusu Petya nemozhlivo eksperti Arhiv originalu za 1 lipnya 2017 Procitovano 1 lipnya 2017 Moshnaya ataka v servery Rosnefti pronik klon virusa WannaCry Arhivovano 27 chervnya 2017 u Wayback Machine ros Rosiyu atakuvav takij zhe komp yuternij virus yak i Ukrayinu Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Hakerskaya ataka na Ukrainu rasprostranyaetsya po vsemu miru Arhiv originalu za 21 zhovtnya 2018 Procitovano 27 chervnya 2017 Global cyber attack hits IT systems in Ireland and the UK Arhiv originalu za 16 sichnya 2018 Procitovano 27 chervnya 2017 Petya ransomware attack strikes companies across Europe and US The Guardian 27 chervnya 2017 Arhiv originalu za 1 travnya 2021 Procitovano 9 chervnya 2021 angl a b v g Update Cyber Angriffswelle Petya Bedrohung grosser als bekannt Bundesamt fur Sicherheit in der Informationstechnik 07 07 2017 Za dvi dobi do policiyi nadijshlo 1 5 tisyachi povidomlen pro virusne zarazhennya komp yuternih merezh Departament kiberpoliciyi 29 chervnya 2017 Arhiv originalu za 3 zhovtnya 2017 Procitovano 29 chervnya 2017 SBU spilno z inozemnimi partnerami prodovzhuye robotu z lokalizaciyi rozpovsyudzhennya shkidlivogo programnogo zabezpechennya PetyaA Sluzhba bezpeki Ukrayini 29 06 2017 Arhiv originalu za 4 lipnya 2017 Procitovano 29 chervnya 2017 Russell Brandom Jun 28 2017 The Petya ransomware is starting to look like a cyberattack in disguise The Verge Arhiv originalu za 29 chervnya 2017 Procitovano 29 chervnya 2017 a b v g Andy Greenberg 28 chervnya 2017 Ukrainians Say Petya Ransomware Hides State Sponsored Attacks The Wired Arhiv originalu za 29 chervnya 2017 Procitovano 29 chervnya 2017 a b v Matt Suiche 28 chervnya 2017 Petya 2017 is a wiper not a ransomware Comae technologeis Arhiv originalu za 28 chervnya 2017 Procitovano 29 chervnya 2017 Anton Ivanov Orkhan Mamedov 28 chervnya 2017 ExPetr Petya NotPetya is a Wiper Not Ransomware Securelist Arhiv originalu za 29 chervnya 2017 Procitovano 29 chervnya 2017 Martijn Grooten Jun 29 2017 48 hours after initial reports many mysteries remain around the latest ransomware wiper threat Virus Bulletin Arhiv originalu za 19 grudnya 2017 Procitovano 30 chervnya 2017 Andy Patel 30 chervnya 2017 Eternal Petya From A Developer s Perspective F Secure Arhiv originalu za 30 chervnya 2017 Procitovano 30 chervnya 2017 Turchinov virus Petya proviv cherez VPN ukrayinskij provajder Arhiv originalu za 29 chervnya 2017 Procitovano 30 chervnya 2017 SBU vstanovila prichetnist specsluzhb RF do ataki virusu vimagacha Petya A SBU 01 07 2017 Arhiv originalu za 5 lipnya 2017 Procitovano 4 lipnya 2017 Ellen Nakashima 12 sichnya 2018 Russian military was behind NotPetya cyberattack in Ukraine CIA concludes Washington Post Arhiv originalu za 13 sichnya 2018 Procitovano 29 sichnya 2018 Masovi hakerski ataki mozhut buti organizovani z Rosiyi Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Post na oficijnij storinci ACSK organiv yusticiyi shodo mozhlivoyi komprometaciyi klyuchiv ECP 5 lipnya 2017 Post na oficijnij storinci Departamentu kiberpoliciyi u Fejsbuk z rekomendaciyami shodo zmini klyuchiv ECP 5 lipnya 2017 ACSK organiv yusticiyi Ukrayini nadav rekomendaciyi shodo zamini ECP CERT UA 05 lipnya 2017 Arhiv originalu za 21 lipnya 2017 Procitovano 7 lipnya 2017 SBU razom z NATO vidkrili u Kiyevi Centr kibernetichnoyi bezpeki Tokar ua uk UA 9 lyutogo 2018 Arhiv originalu za 22 lyutogo 2018 Procitovano 21 lyutogo 2018 Lorenzo Franceschi Bicchierai Jul 5 2017 Hackers Connected to NotPetya Ransomware Surface Online Empty Bitcoin Wallet Vice Motherboard Joseph Cox Lorenzo Franceschi Bicchierai Jul 5 2017 Hackers Linked to NotPetya Ransomware Decrypted a File for Us Motherboard Vice Dmitrij Shimkiv Ot kiberataki virusa shifrovalshika Petya A postradalo priblizitelno 10 kompyuterov v Ukraine ITC ua 07 07 2017 Danny Palmer 24 lipnya 2017 Petya ransomware Companies are still dealing with aftermath of global cyberattack ZDnet Arhiv originalu za 27 lipnya 2017 Procitovano 2 serpnya 2017 Fabian A Scherschel 16 08 2017 NotPetya Maersk erwartet bis zu 300 Millionen Dollar Verlust Heise Online Arhiv originalu za 22 veresnya 2017 Procitovano 22 veresnya 2017 Catalin Cimpanu 25 sichnya 2018 Maersk Reinstalled 45 000 PCs and 4 000 Servers to Recover From NotPetya Attack Bleeping Computer Arhiv originalu za 30 sichnya 2018 Procitovano 16 lyutogo 2018 a b Martin Holland 22 09 2017 NotPetya Auch Fedex kostet die Cyber Attacke 300 Millionen US Dollar Heise Online Arhiv originalu za 22 veresnya 2017 Procitovano 22 veresnya 2017 a b NotPetya Infection Left Merck Short of Key HPV Vaccine The Security Ledger 27 zhovtnya 2017 Arhiv originalu za 28 zhovtnya 2017 Procitovano 1 listopada 2017 Michael Schmitt and Lieutenant Colonel Jeffrey Biller 11 lipnya 2017 The NotPetya Cyber Operation as a Case Study of International Law Blog of the European Journal of International Law Arhiv originalu za 17 lyutogo 2018 Procitovano 16 lyutogo 2018 Zbitki vid ataki virusu Petya A u sviti syagayut 8 milyardiv dolariv ekspert ukr Arhiv originalu za 10 kvitnya 2018 Procitovano 9 kvitnya 2018 a b v Postradavshie ot kiberataki banki i kompanii perechen Arhiv originalu za 25 lyutogo 2022 Procitovano 27 chervnya 2017 Telekanal ICTV zaznav hakerskoyi ataki Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 a b Ukrlendfarming i Avangard Bahmatyuka zaznali hakerskoyi ataki Arhiv originalu za 27 chervnya 2017 Procitovano 27 chervnya 2017 Yevgen Buket Vitannya Petru O vid Pyeti A do Dnya Konstituciyi nedostupne posilannya z chervnya 2019 a b v g Virus Petya rasprostranilsya po vsej Evrope The Guardian Arhiv originalu za 18 lyutogo 2022 Procitovano 27 chervnya 2017 Div takozh RedaguvatiKiberataka na energetichni kompaniyi Ukrayini gruden 2015 roku ta Kiberataka na Ukrenergo gruden 2016 roku Rosijsko ukrayinska kibervijna WannaCry mimikatzPosilannya RedaguvatiRansomware Poperednij Analiz CVE 2017 0199 MS17 010 CERT UA 27 06 2017 Arhiv Petya originalu za 30 chervnya 2017 Procitovano 28 chervnya 2017 CERT EU SA2017 014 Petya Like Malware Campaign CERT EU 27 chervnya 2017 Arhiv originalu za 3 lyutogo 2019 Procitovano 28 chervnya 2017 Novi podrobici shodo kiberataki 27 06 2017 z vikoristannyam Petya ransomware CERT UA 05 lipnya 2017 Arhiv originalu za 6 lipnya 2017 Procitovano 7 lipnya 2017 Rekomendaciyi shodo zahistu komp yuteriv vid kiberataki virusu vimagacha onovleno SBU 29 chervnya 2017 16 00 Arhiv originalu za 3 lipnya 2017 Procitovano 29 chervnya 2017 Michael Schmitt ta Lieutenant Colonel Jeffrey Biller 11 lipnya 2017 The NotPetya Cyber Operation as a Case Study of International Law Blog of the European Journal of International Law Andy Greenberg 22 serpnya 2018 The Untold Story of NotPetya the Most Devastating Cyberattack in History Wired Arhiv originalu za 22 serpnya 2018 Procitovano 23 serpnya 2018 Otrimano z https uk wikipedia org w index php title Hakerski ataki na Ukrayinu 2017 amp oldid 37613276