Киберпреступники атаковали компьютерную сеть Министерства внутренних дел России — ИСОД, или Единую систему информационно-аналитического обеспечения деятельности. Все подключённые к ней компьютеры, до последнего отдела, оказались заблокированными. На рабочем столе отразилось послание: "Упс!".
Недавно стало известно, что злоумышленники взломали систему информационно-аналитического обеспечения деятельности (ИСОД) МВД. В результате кибератаки были поражены компьютеры сразу в нескольких регионах страны, включая столицу. Вероятнее всего, серверы полицейских, которые защищал антивирус "Касперский", заразил вирус под названием WCry.
Как выяснил Лайф, в последний раз МВД объявляло крупный тендер на закупку антивируса в 2013-м. Цена вопроса — 100 млн рублей. В конкурсе победила компания НПП "Системные ресурсы", которая предложила антивирус Kaspersky Total Security с возобновляемой лицензией на три года.

Компания НПП "Системные ресурсы", согласно СПАРК, напрямую не связана с Евгением Касперским и его фирмами. Ею владеет столичное акционерное общество "Инфрасервис груп". Совладелец "Инфрасервиса" — некий Дмитрий Есин. Возможно, это совпадение, но человек с таким же именем и фамилией в 2014 году входил в штат тестировщиков одного из продуктов "Лаборатории Касперского".
Кстати, тот тендер сопровождался небольшим скандалом. МВД не допустило до конкурса одну из столичных фирм, распространяющих ПО. Фирма обиделась и пожаловалась на полицейских в специальную комиссию Федеральной службы по оборонному заказу. Однако комиссия признала правоту МВД.
ДОПОЛНЕНИЕ (12.05.2017 20:32)
Хакеры атаковали компьютеры, подключенные к внутренним сетям СК и МВД, утверждает источник «Газеты.Ru» в силовых структурах.
«Атаке подверглись компьютеры по всей России. Вирус блокирует экран компьютера и шифрует файлы на жестком диске», — рассказал собеседник.
По его словам, за восстановление работы каждого компьютера хакеры требуют перевести им сумму, эквивалентную $300 в биткоинах.
Об атаке на компьютеры полицейских в разных районах Калужской области 12 мая сообщил местный сайт «НГ-Регион».
«Хакеры вывели из строя компьютеры МВД во всех районах области. В тех компьютерах, что были подключены к сети, произошла зашифровка файлов. Работа правоохранительных органов встала. За расшифровку файлов хакеры потребовали денег», — говорится в сообщении.
ДОПОЛНЕНИЕ 2. (не знаю, связано ли оно с этой новостью). Только что пришло письмо от RU-CENTER (но обычно проводят плановые работы и предупреждают за неделю):
Уважаемый клиент!
Уведомляем Вас, что в ночь с 12 на 13 мая с 01:00 до 04:00 на площадке хостинга RU-CENTER будут проводиться внеплановые технические работы. На это время намечена перезагрузка веб-сервера, на котором размещена ваша услуга хостинга...
И сразу по всем семи договорам(аккаунтам) хостинга. Только по VDS пока нет.
ДОПОЛНЕНИЕ 3 (12.05.2017 г. 21:34)
Румынская спецслужба сообщила об отражении атаки хакеров
В пятницу, 12 мая, румынская служба информации (РСИ) сообщила об отражении кибернападения на некое румынское правительственное учреждение. По версии спецслужбы, атака была предпринята «организацией, ассоциированной с группировкой кибернетической преступности APT28/Fancy Bear».
Как выяснили местные СМИ, ранее в МИД Румынии пришло электронное письмо с вложением, при открытии которого на компьютере получателя устанавливалась шпионская программа.
ДОПОЛНЕНИЕ 4
Илья Коршунов, технический директор KP.RU:
- Сам "шифровальщик" вирусом в классическом его понимании не является. Он не размножается, не маскируется, не модифицирует системные файлы - просто шифрует (весьма быстро) текстовые файлы и документы на локальном диске и подключенным к нему сетевым дискам. Размножается чаще всего посредством электронной почты - приходит письмо с вложением, а там что-то вроде "Налоговая задолженность, квитанция для оплаты в приложенном файле (или по ссылке)".
Пользователь открывает файл или грузит его по ссылке и все - шифрование пошло. Единственный способ спасти данные, если у вас нет бэкапа, - немедленно выключить компьютер.
Антивирусы, как правило, через несколько часов после начала почтовых рассылок начинают определять файл как вирус и все заканчивается. Достаточно обновлять антивирусные базы (как правило, антивирус делает это раз в несколько часов самостоятельно).
ДОПОЛНЕНИЕ 5
Карта распространения вируса (из Комсомольской правды)
Как с цепи сорвались.
Вообще-то можно было ожидать. Так долго кричали о "русских хакерах", точно планировали пакость в этой сфере.
Еще одна иллюстрация кибер-ХАОСА по мотивам Анклавов.
Комментарии
каспера обновлять надо
иначе это пустышка
а вообще ИСОД имеет шлюз наружу и за дырку в нем надо драть не каспера а айтишников в погонах
если они там есть
А чё, каспер уже и дыры в аппаратуре умеет маскировать? Может быть лучше саму ОС исправить, раз каспер все дыры знает как латать? И аппаратуру заодно не интел покупать.
дык вроде и пишу что каспер особо не при чем
В последние дни правления Абама сказал - США нанесло по России кибер удар, я отдал приказ!
МS под козырёк, выпускают очередной Кхххххххх, делают дыру... усё так просто. В марте очередным Кхххххх2 типа её закрывают, а далее по плану... итог ;)
System Watcher (Системный наблюдатель) от Касперского может спокойно откатывать изменения, сделанные вирусом-шифровальщиком.
Не статья, а бред с. кобылы
Сколько антивирусов не использовал, только у Каспера есть модуль АнтиХакер, который как раз отлавливает попытки сетевого взлома по типу wannacry и блокирует атакующий компьютер. Не раз АнтиХакер срабатывал.
Этточно. И контролировать периферийные устройства. И драть за нарушения...
Так что "прекратить истерику"
Хм, если данные действительно зашифровали, то налицо реальный ущерб для МВД. Тут нужно не "прекратить истерику", а сразу разбираться и "драть за нарушения".
Может хоть теперь задумаются о безопасности? Ждем тендер на безопасную ОС (по-другому пока не умеют))
СК и МВД опровергли информацию о хакерских атаках на свои серверы
По реже читайте "Газету.Вру"....
Уже многие подтвердили, что атака - реальность. И не только на МВД. Многие пострадали, в частности, сотовые операторы.
Самое приятное для меня, что криптор не переписвывет оригинальные файлы, а удаляет их и создаёт шифрованные с другим именем. Значит на работу в субботу можно не ехать - "если вдруг" всё можно будет восстановить из архивов, поскольку сам архив по SMB у меня недоступен и сервера не виндовые. Те, кто вопреки всему хранили служебные файлы на локальных машинах ... ну, это их проблемы.
Как неудачно переживший двойную атаку на рабочий сервер, приучил сотрудников делать бэкап базы каждый день. На съесный носитель. Другой защиты нет. Каспер нипричем подтверждаю.
Вам удалось невозможное. Приучать пользователей бэкапить, имхо, глухой номер. Я приучил пользователей держать локально только фотки с кошечками, а остальное - на сервере. А у же с сервера ежевечерне делается бэкап на другой сервер. Поскольку пользователей немного, то бэкапится rsinc'ом в виде "как есть" причём, удалённые файл не удаляются их бэкапа. Вот если бы троян перезаписывал оригинальные файлы, не меняя их имя - тогда капут. Остался бы только недельный пакованный архив.
Оба сервера под линухом, причём под разными - центос и федора (так получилось). Не спорю, можно и до линуха докопаться, но это отдельных усилий требует и улов невелик. А с виндой рыбка сама в сети идёт - только карман подставляй.
Рекомендую не просто делать зеркальную копию, но сохранять измененные файлы в отдельной папке. Для этого надо использовать ключи --delete, --backup --backup-dir
Подробности в документации, или в статье https://serveradmin.ru/rsync-nastroyka-bekapa-na-centos-debian-ubuntu/
В таком случае, если шифровальщик не делает видимых изменений в имени и расширении файла, вы все равно сможете восстановить в случае чего данные. Я встречал как шифровальщиков, которые меняют имя файла, так и тех, кто этого не делает и шифруется до последнего.
Там много весёлого можно придумать.
Под виндой cscript, vssadmin, powershell не должны работать. Переименовываем экзешники - сразу js/vbs вирусопускатели перестают работать. И не смогут "теневые копии" прибить. Видел драйвер системный - отключающий на уровне ядра запуск исполняемых файлов со сменных носителей и папки temp.
По rsync ставлю на рабочих станциях cygwin ssh сервер+rsa login. Сервер коннектится на станции и делает снимок, изменённые файлы (старые) кладутся в бекап-папку с текущей датой. чтобы клиенты не имели доступа к своим бекапам.
тут лукавинка небольшая. На сервера, понятное дело, врагу не пробиться. А офисные ПК вполне могли пострадать тысячами.
Изрядное преувеличение.
Видели мы как администрируются сервера под управлением самой распространённой ОС.
И как в фрюникс-серверах ковыряются дырки для удобства профессионалов, сопровождающих рабочие станции под ней же.
Ну способы проникновения обычно другие. И последствия.
Официальное сообщение МВД России
Сегодня 22:40
«12 мая Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows.
Благодаря своевременно принятым мерам было блокировано порядка тысячи заражённых компьютеров, что составляет менее 1%.
Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».
В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», - сообщила официальный представитель МВД России Ирина Волк.
секретарши по ссылкам кликали - главное сервера не пострадали
Так в тексте так и написано - обновление на три года. Значит в 2016 закончилась.
Ну а потом IT отделу сказали: Денег нет, но вы держитесь!
там речь о трехгодичной лицензии
Ну так лицуха кончилась и все касперский офф.
По окончании лицензии Каспер просто перестает обновляться. Но в свете выхода новых вирусов, это, разумеется, значительно снижает защиту.
ага, и тендер был в 2013г. По-любому, даже если срок услуги начался с 2014г., три года уже истекло. Так что статья - попытка перевесить ответственность с больной головы на здоровую (на Касперского), да ещё и намекнуть на то, что, дескать, тендер был нечистый.
Тендер этот - прошлогодний снег. Срок прошёл, завяли помидоры.
Сегодня заказчик облажался сам, на свой страх и риск.
Изготовление вируса который не палится касперским - от 10 долларов. Никакие обновления не помогут
+100. Защита антивирем - это как иконки на торпеде в а/м.
Православизатор трафика нужен! Без него никакой антивирус не поможет!
а "Питание" куда подводить то ?
А дык, святым духом питается. От встроенных артефактов.
Мощей нет, не взлетит(
а, яс. Ну а проводки вокруг тогда под давлением, получается?
ЗЫ. Ну вообще, смехуечки-смехуечками, но всеобщая компьютерная безграмотность просто удручает. Как вообще можно добиваться адекватной реакции от пользователя в случае, когда ты ему пытаешься донести эти простые истины - не открывай, все что попало, не тыкай на все ссылки подряд и т.п. Речь даже не идет об атаках хакеров, а просто об обычных вещах, если провести параллель, наш организм испытывает каждый день.
Ну вообще, народ сейчас пошёл грамотнее и осторожнее. Это я как бытовой эникейщик говорю. Если раньше на меня через знакомых как минимум, пару-тройку раз в месяц выходили, с просьбой убрать порнобаннер, говно@мыло.сру и прочую поипотину, то теперь число обращений уменьшилось раза в три. Последняя волна была, когда форточки на десятку насильно обновлялись, а после как отрезало: только всякие нетривиальные случаи.
Эх, а в старые, добрые времена я починкой винды мог в месяц до пятёрика приварка срубить! На бухло и цветы юным девам :)
Наблюдение интересное :) Я все же давно покинул стезю сапорта поэтому могу оценивать глубину падения нравов только лишь по оценкам своих коллег.
ПС. разгоряченные юные девы - это клево...Обьясняешь, бывало, таким как мышью пользоваться, а они зыркают глазами на тебя. Пришлось жениться :)
Настолько глубоко отношения с клиентками у меня не заходили, но вот классический сюжет порнофильма мы с одной барышней как-то воссоздали. Пригласили родители мастера дочкин ноутбук посмотреть, хехе :)
Вот поэтому в Linux (кроме пары дистрибутивов типа Убунты) чтобы что-то запустить скачанное из Интернета, надо сделать несколько осмысленных действий (сохранить, установить права на выполнение, запустить вручную).
Сложно "не открывать всё. что попало" на рабочих местах, где это основная функция (например, отдел кадров, принимающий резюме во вложениях почты). В Windows отличить бинарник от документа обычному пользователю достаточно сложно.
Как то в начале нулевых на ЛОР-е выложили rm -rf / в виде регэкспа, сказать что дальше произошло? =)
В прошлом году в комплекте с Trojan-Ransom.Win32.Scatter в письмах шли подробные инструкции как сохранить, как запустить, что нажать в окошке про запуск подозрительного файла.
Так что пустое, пользователь завсегда себе говна натянет.
Это уже анекдот
Хотя пользователи, конечно, бывают всякие. Можно сделать защиту от дурака, но только от неизобретательного.
Да какие тут анекдоты, будущее наступило, таргетированные письма, корректно указаны фио, должности, тема совпадает с служебными обязанностями.
Ведутся на раз, делают все что в письме указано.
Это пассивная панель для оптики, там где электричество одними святыми не обойтись.
давно вирусы иконами лечат, клоун?
больше тысячи лет
Камрад, зачем палить контору ? Достаточно для начала рассказать человеку про "сарказм" и "юмор".
я про компьтерные
А в чём разница? В основе всё равно человек.
+1000 аааа :)))))
Зачот! :)
Картинка зачётная!
Типун вам на язык, ещё обяжут закупить в обязательном порядке.
Страницы