Приблизно з осені 2016 року в Мережі поширюється вірус-вимагач no_more_ransom. Ця назва вірус отримав по розширенню, яке він ставить на файли після шифрування.

Кілька днів тому наша компанія також піддалася атаці цього вірусу. Завдяки швидкій реакції системного адміністратора нам вдалося уникнути втрат, однак ми вважаємо за необхідне попередити вас про механізм його роботи.

За даними ресурсів spyware-ru і serveradmin.ru , Відбувається це так:

1. На пошту приходить лист нейтрального змісту, яке багато хто сприймає за робочу переписку. У нашому випадку це було спам-лист «від податкової». Погодьтеся, такі адресанти вселяють довіру.

2. У доданому файлі електронного листа знаходиться приєднаний файл - архів (zip), який в свою чергу містить виконуваний файл (exe). Саме при спробі його відкриття відбувається активізація вірусу. Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві і хмарні сховища, для визначення файлів які будуть зашифровані. Далі вірус зашифровує файли різноманітних типів (документи, картинки, бази даних, включаючи бази 1С) на комп'ютері жертви.

На цьому етапі наша колега зауважила, що деякі файли зникли. Запобігти зараженню інших офісних комп'ютерів вдалося завдяки тому, що комп'ютер (за порадою сисадміна) миттєво відключили від живлення. Простіше кажучи - висмикнули з розетки.

3. Після закінчення процесу шифрування, всі знайомі файли зникають, а в папках, де зберігалися документи, з'являються нові файли з дивними іменами і розширенням .no_more_ransom. Після цього вірус створює на всіх дисках і Робочому столі текстові документи з іменами README.txt, README1.txt, README2.txt ..., які містять інструкцію по розшифровці зашифрованих файлів:

Через те, що імена файлів також зміняться, вибірково розшифрувати файли не вийде.

«Вам пощастить, якщо будуть зашифровані тільки локальні файли. Гірше, коли вірус пройдеться і по мережевих дисків. Це взагалі може паралізувати роботу всієї організації. Навіть якщо є бекапи, відновлення може зайняти значний час. А якщо бекапов немає, то біда », - попереджають фахівці. Отримати додаткову інформацію про те, як визначити і видалити вірус, а також розшифрувати дані ви можете на зазначених вище ресурсах.

Нам не відомі масштаби наслідків цих атак в межах України. Однак уповноважена відомство Австралії порахувало, що за період з серпня по грудень 2015 року близько 16 тисяч осіб, компаній і органів державної влади заплатили загалом $ 7 млн США після завантажень одного з таких вірусів-вимагачів. Але навіть оплата негарантувала постраждалим, що їм повернуть дані.

Як запобігти зараженню? Защіть від вірусів-шифрувальників здатні деякі сучасні антивірусні і спеціалізовані програми, однак нехтувати очевидними заходами безпеки - не варто.

НТЦ «Психея» вже 20 років щодня працює з величезними масивами даних і про важливість інформаційної безпеки в нашій компанії годі й казати. Незважаючи на те, що у нас діє регламент роботи з інформацією, ми знову сповістили співробітників і хочемо нагадати вам: «Не відкривайте вкладені архіви в листах пошти з невідомих адрес для виключення вірусних атак».

На жаль, сьогодні відсутня об'єктивна статистика по кібератак на критично важливі об'єкти , До числа яких слід, в першу чергу, віднести енергетичні. Вперше кібератака на об'єкт енергетики України була зафіксована 23 грудня 2013 р . Тоді українську енергосистему врятувало застаріле обладнання, яке виявилося несприйнятливим до досягнень новітніх технологій.

Варто відзначити, що розуміння цієї проблеми існує на рівні уряду - 15 березня Кабмін затвердив план заходів на 2017 рік щодо реалізації Стратегії кібербезпеки України. Основна місія - забезпечення і контроль безпеки інформаційних систем держвідомств і об'єктів критичної інфраструктури.