Скажений кролик в Україні: Хто запустив терориста у мережу, і як від нього вберегтися

Жертвами в Україні став сайт Міністерства інфраструктури, аеропорт "Одеса", де квитки пасажирам виписували від руки і Київський метрополітен, де пасажири не змогли розраховуватися картками.

Щоправда, як розповів голова Мінінфраструктури Володимир Омелян в ефірі 5 каналу, сайти відомства були вимкнуті на випередження.

"У першій половині дня ми отримали інформацію від спецслужб України, що планується кібератака, і прийняли рішення на деякий час вимкнути сайти", - розповів Омелян.

Вчора ввечері СБУ повідомила про блокування поширення вірусу.

Зазначалося, що вірус поширюється здебільшого через поштові повідомлення, замасковані під листи від служби підтримки Microsoft. Також вірус можна запустити із фейковим оновленням Adobe Flash Player.

При зараженні користувачу видається табличка: мовляв, відновити дані можна, лише заплативши 0,05 біткойна.

За рядом версій, "кролика", як і раніше Petya запустили російські спецслужби.

Самі IT-шники вказують на зв'язок між двома атаками.

Наприклад, у російській компанії Kaspersky стверджують, що серед атакованих Petya (або у деяких варіантах - NotPetya) ресурсів деякі були зламані ще влітку, але активовані лише зараз. Таких сайтів у компанії нарахували близько 30. Тож вочевидь, запускаючи літнього терориста, хакери вже планували наступну атаку. Схожі риси є і в "біології" обох вірусів. Наприклад, обидва є вірусами-шифрувальниками і запускаються через один і той самий протокол.

Втім, деякі експерти зазначають на те, що атака росіян навряд чи була б спрямована проти власних ЗМІ. Адже серед інших, постраждало, наприклад, російське інформагентство "Інтерфакс". До того ж, за даними розробників антивірусників ESET, серед жертв атаки 65% були саме росіянами, 12% випадків припало на українців, 10% на болгарів, 6% турків і 4% японців.

До того ж атака була організована не надто професійно. Тож деякі схиляються до версії, що завдяки "кролику" хакери просто намагалися заробити на довірливих юзерах.

Наразі вже з'ясовано домен, з якого почалася кроляча експансія. Так, за даними компанії Group-IB , яка розслідує кіберзлочини, завантаження шкідливого софту йшло з домену 1dnscontrol.com.

"Доменне ім'я 1dnscontrol.com має IP 5.61.37.209. Воно зареєстровано 22 березня 2016 року і до сих пір пролонгується", - йдеться в повідомленні компанії.

ПРАВИЛА БЕЗПЕКИ

Згідно з рекомендаціями СБУ, зміцнити "імунітет" системи можна, регулярно оновлюючи програмне забезпечення; для Windows 10 необхідно встановити оновлення KB3213630 . Подбати про те, щоб антивірусник оновлювався регулярно. Звісно ж, поводитися обачно і файлів з незнайомих джерел не відкривати.

У налаштуваннях мережевої безпеки рекоментують заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення. Не відкривати в браузері! DOT змінити на точку.

Інші експерти нагадують про необхідність робити бекап - резервне копіювання.