Атака коснулась компаний сразу во всех отраслях - банки, инфраструктура, заводы, небольшие предприятия, транспорт. О хакерской атаке сообщают жители всех регионов страны - Киев, Одесса, Житомир и т.д.

Этот вирус сравнивают с WCry, который атаковал компьютеры по всему миру в мае этого года. Судя по информации от пострадавших компаний, мошенники требуют выкуп в размере $300 долларов.

Компьютерные сети энергокомпании «Киевэнерго» пострадали от хакерской атаки. Также пострадали сети «Укртелекома», «Ощадбанка», «Новой пошты», «Фармака» и многих других крупных компаний. Страдают и сети более мелких компаний — чтобы обезопаситься, владельцы отключают интернет и связанные с ним сервисы.

Вот такая картинка сегодня типична для многих пользователей в Украине и в мире.

Фото сделано в офисе Киевэнерго, фото рабочего компьютера, который сегодня днем перегрузился, затем выдал такое сообщение. После этого сотрудник увидел, что аналогичное происходит на всех компьютерах в офисе: «Я понял, что идет атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги». В компании отключили компьютеры до конца дня.

Также, на данный момент известно о поражении систем судоходной компании Maersk и британской рекламной компании WPP, Роснефть и ряд других крупных компаний.

Сотрудники "Запорожьеоблэнерго" и "Запорожстали" отключили все компьютеры, чтобы уберечься от кибератаки. После обнаружения первых попыток вмешательства посторонних лиц в работу предприятия, было принято решение выключить все компьютеры во всех подразделениях.

Сотрудники предприятия сделали вывод, что компьютерная сеть "Запорожьеоблэнерго" и металлургического комбината "Запорожсталь" также были объектами хакеров.
На предприятии отмечают, что отключение компьютеров позволило минимизировать вероятный ущерб.
Вмешательство злоумышленников в компьютерную систему "Запорожьеоблэнерго" было прекращено тем же способом - отключением всех компьютеров предприятия.

К настоящему времени все непрерывные металлургические производства комбината работают в нормальном режиме.


Ряд банкоматов перестал работать. Отделения "Ощадбанка" закрыли раньше времени. Ряд других банков также подверглись атаке.



Жертвами атаки также стали украинские медиа, среди которых медиахолдинг ТРК «Люкс», куда входит «24 канал», «Комсомольская правда» и «Корреспондент».

Из-за атаки не работают магазины «Эпицентр», сети супермаркетов Рост, Класс, Восторг, Дигма. В АТБ все в порядке, можно выдыхать.



Так же под раздачу попала Новая Почта:
"Из-за массированной атаки вируса Petya.A на наши информационные системы отделения и контакт-центр "Новая почта" временно не могут обслуживать клиентов. Мы прилагаем все усилия, чтобы восстановить работу в ближайшее время. Благодарные вам за понимание, обещаем информировать о ходе событий", - говорится в сообщении "Новой почты".

Вот далеко не полный список компаний, которые подверглись атаке:
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк, возможно Приватбанк (на dou.ua сообщают, что по состоянию на сейчас (19:30) висят банкоматы и терминалы)
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Антонов»,
«Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»,
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Супермаркеты: Рост, Класс, Восторг, Дигма,
Автозаправки: Shell, WOG, Klo, ТНК
Госорганы: сайт КМУ, сайт Львовского горсовета, сайт (ТАДААААМ!) Киберполиции Украины

По ссылке можно посмотреть "улов" => My Webpage

Варианты решения проблемы:
Vitaliy Fedoriv (dou.ua)


Mypka2


Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача на офиційному сайті СБУ
My Webpage (тут есть ссылки на патчи для всех версий винды)

Евгений Письменный Java Developer в ПриватБанк


Ky4myGetb
Линк на пикабу

ГикТаймс
My Webpage

В качестве защиты еще не зараженных машин, стоит заблокировать TCP-порты 1024-1035, 135, 139 и 445.
Через командную строку (cmd от имени администратора) єто можно сделать так:

Если все получилось должно быть сообщение "OK"


Еще один способ защиты, очень смешной, когда читаешь, но метод работает, подтверждается (by россо леванто)


Ну и конечно же


UPDATE:


Так же читал про то, что это может быть МеДОК на одном из форумов. На сайте медка, само собой, все отрицают My Webpage
My Webpage


UPDATE:
Хакерская атака на Украину осуществлялась через программу для документооборота M.E.doc, об этом говорится в сообщении киберполиции.

В сообщении отмечается: "На данный момент предварительно известно, что вирусная атака на украинские компании возникла из-за программы "M.E.doc." (Программное обеспечение для отчетности и документооборота)

Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Подробнее здесь Link
Кто пользуется этой программой обратите внимание на рекомендации в статье (если, конечно, вы еще не обновились)



UPDATE:
Microsoft в своем блоге описывают метод заражения и официально подтверждают - в Украине атака началась с софта "M.E.doc.". Все красиво расписано Здесь

Полная информация по вирусу доступна по ссылке (англ.)

UPDATE:
расшифровать зашифрованные ей файлы нельзя, т.к. ключ генерируется на самой же станции чисто рандомом и никуда не передается.
Более подробно с исходниками:
My Webpage (англ.)

Так что нет смысла ни платить, ни ждать дешифровки. Что пропало — то пропало с концами, если нет бекапа.

UPDATE:
интересные отчеты от issp.ua по алгоритму работы пети
раз (pdf, рус., 10 листов)
два (pdf, рус., 1 лист)