Киберпреступники атаковали компьютерную сеть Министерства внутренних дел России — ИСОД, или Единую систему информационно-аналитического обеспечения деятельности. Все подключённые к ней компьютеры, до последнего отдела, оказались заблокированными. На рабочем столе отразилось послание: "Упс!".
Недавно стало известно, что злоумышленники взломали систему информационно-аналитического обеспечения деятельности (ИСОД) МВД. В результате кибератаки были поражены компьютеры сразу в нескольких регионах страны, включая столицу. Вероятнее всего, серверы полицейских, которые защищал антивирус "Касперский", заразил вирус под названием WCry.
Как выяснил Лайф, в последний раз МВД объявляло крупный тендер на закупку антивируса в 2013-м. Цена вопроса — 100 млн рублей. В конкурсе победила компания НПП "Системные ресурсы", которая предложила антивирус Kaspersky Total Security с возобновляемой лицензией на три года.

Компания НПП "Системные ресурсы", согласно СПАРК, напрямую не связана с Евгением Касперским и его фирмами. Ею владеет столичное акционерное общество "Инфрасервис груп". Совладелец "Инфрасервиса" — некий Дмитрий Есин. Возможно, это совпадение, но человек с таким же именем и фамилией в 2014 году входил в штат тестировщиков одного из продуктов "Лаборатории Касперского".
Кстати, тот тендер сопровождался небольшим скандалом. МВД не допустило до конкурса одну из столичных фирм, распространяющих ПО. Фирма обиделась и пожаловалась на полицейских в специальную комиссию Федеральной службы по оборонному заказу. Однако комиссия признала правоту МВД.
ДОПОЛНЕНИЕ (12.05.2017 20:32)
Хакеры атаковали компьютеры, подключенные к внутренним сетям СК и МВД, утверждает источник «Газеты.Ru» в силовых структурах.
«Атаке подверглись компьютеры по всей России. Вирус блокирует экран компьютера и шифрует файлы на жестком диске», — рассказал собеседник.
По его словам, за восстановление работы каждого компьютера хакеры требуют перевести им сумму, эквивалентную $300 в биткоинах.
Об атаке на компьютеры полицейских в разных районах Калужской области 12 мая сообщил местный сайт «НГ-Регион».
«Хакеры вывели из строя компьютеры МВД во всех районах области. В тех компьютерах, что были подключены к сети, произошла зашифровка файлов. Работа правоохранительных органов встала. За расшифровку файлов хакеры потребовали денег», — говорится в сообщении.
ДОПОЛНЕНИЕ 2. (не знаю, связано ли оно с этой новостью). Только что пришло письмо от RU-CENTER (но обычно проводят плановые работы и предупреждают за неделю):
Уважаемый клиент!
Уведомляем Вас, что в ночь с 12 на 13 мая с 01:00 до 04:00 на площадке хостинга RU-CENTER будут проводиться внеплановые технические работы. На это время намечена перезагрузка веб-сервера, на котором размещена ваша услуга хостинга...
И сразу по всем семи договорам(аккаунтам) хостинга. Только по VDS пока нет.
ДОПОЛНЕНИЕ 3 (12.05.2017 г. 21:34)
Румынская спецслужба сообщила об отражении атаки хакеров
В пятницу, 12 мая, румынская служба информации (РСИ) сообщила об отражении кибернападения на некое румынское правительственное учреждение. По версии спецслужбы, атака была предпринята «организацией, ассоциированной с группировкой кибернетической преступности APT28/Fancy Bear».
Как выяснили местные СМИ, ранее в МИД Румынии пришло электронное письмо с вложением, при открытии которого на компьютере получателя устанавливалась шпионская программа.
ДОПОЛНЕНИЕ 4
Илья Коршунов, технический директор KP.RU:
- Сам "шифровальщик" вирусом в классическом его понимании не является. Он не размножается, не маскируется, не модифицирует системные файлы - просто шифрует (весьма быстро) текстовые файлы и документы на локальном диске и подключенным к нему сетевым дискам. Размножается чаще всего посредством электронной почты - приходит письмо с вложением, а там что-то вроде "Налоговая задолженность, квитанция для оплаты в приложенном файле (или по ссылке)".
Пользователь открывает файл или грузит его по ссылке и все - шифрование пошло. Единственный способ спасти данные, если у вас нет бэкапа, - немедленно выключить компьютер.
Антивирусы, как правило, через несколько часов после начала почтовых рассылок начинают определять файл как вирус и все заканчивается. Достаточно обновлять антивирусные базы (как правило, антивирус делает это раз в несколько часов самостоятельно).
ДОПОЛНЕНИЕ 5
Карта распространения вируса (из Комсомольской правды)
Как с цепи сорвались.
Вообще-то можно было ожидать. Так долго кричали о "русских хакерах", точно планировали пакость в этой сфере.
Еще одна иллюстрация кибер-ХАОСА по мотивам Анклавов.
Комментарии
абсолютно точно видно что вирус из гренландии
Это с чего такой вывод дурацкий? :)
сами вы ... :)
гляньте на карту - это ж очевидно, гренландия совсем не подвержена атакам. к тому же на весь мир знаменитые гренландские хакеры.
там ещё Испания и кусок восточной Европы (в районе Польши, РБ плюс минус лапоть ). Тоже не понятно. Сначала подумалось, что Украина, но присмотрелся и убедился, что нет не она.
Да вы издеваетесь все? :)
Наши это сделали конечно
Я видел карты, где Россия чёрным пятном незаражённым ) и наоборот таблички, где рф до 70% от заражённых.
Непроверяемые данные и предположения..
Былинный срач! Распечатки обсуждения разосланы по Госдепу США и внимательно изучаются. Сим повелеваю - внести запись в реестр самых обсуждаемых за неделю.
Похоже кто-то из авторов атаки читает АШ и устроил "пятничное" на свой вкус.
Во-первых дыра закрыта месяц назад. Обновляться надо, если легальная винда.
Во-вторых, что в МВД и К делает винда? Где Национальная Операционная Система, где Заря, где МСВС, где нескучные обои от Астра и Альта? Что они делают в общей сети (без VPN), порнуху качают в рабочее время? В соцсетях недовольных ловят, мужественно и героически?
В-третьих, что за паранойя про "злоумышленники-МВД"? Вирус одинаково разносится и поражает все что в Сети.
В-четвертых, если уж попались на паленой винде без обновлений - можно просто заплатить, а не искать очередной образ Врага, который специально для МВД РФ...
Если стоит хр - то не обновиться - и обновления не было )
Мс только пообещал выпустить на волне заражений.
Реклама доставляет )
Мужик из Вымпелкома просовывает деньги через экран ) видимо вонакрая словил )
Запись, растолкав других достойных претендентов, ворвалась в лидеры по читаемости. Сим повелеваю - внести запись в реестр самых читаемых за неделю.
ыыы, уж сколько можно говорить, что от вирусов спасают не антивирусы, а отсутствие кривых рук
лет 5 назад пришел к выводу, что антивирусы только жрут ресурсы, а помощи от них никакой.
Рецепт простой - не открывать неизвестные файлы от неизвестных источников, особенно нужно обращать внимание на электронные адреса, не может письмо из Ростелекома приходить c адреса jerivjkdjfk@mail.ru
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389) Published: March 14, 2017 Version: 1.0
С этой записью стоит ознакомиться под роспись всем читателям АфтерШок! Сим повелеваю - внести запись в реестр самых читаемых за месяц.
Подозрительно настойчиво рекомендуют ставить мартовский патчик. Не готовит ли он врата широкие ко дню и часу, когда амеры официально объявят нам войну?
"Широкие врата" - это все платформы от интел новее ~2011 г. (c management engine и мегабайтами шифрованного кода) и AMD года так с 2012. Таким аппаратным "закладкам" безразличен тип операционной системы и антивируса, они и в отключенном состоянии CPU сами работают от 5V SB напряжения (в ждущем режиме) со своим x86 процессором, имея доступ к жёстким дискам и сетевой карте.
https://habrahabr.ru/post/328232/
Страницы