Latvijā par Eiropas mēroga izspiedējvīrusa «NotPetya» upuriem krituši trīs uzņēmumi un kāda privātpersona, žurnālistiem trešdien pastāstīja Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas «Cert.lv» vadītāja Baiba Kaškina. Speciālisti pieļauj, ka upuru skaits varētu palielināties.
Kopš otrdienas, 27. jūnija, visā pasaulē un arī Latvijā izplatās šifrējošais izspiedējvīruss NotPetya. Pašlaik Latvijā ir zināms par trim upuriem privātajā sektorā. ««Cert.lv» ir zināms par četriem upuriem. Trīs no tiem ir uzņēmumi, viena ir privātpersona. Mēs jau kopš vakardienas esam sākuši cītīgu sadarbību ar citiem «Cert.lv» gan Eiropā, gan pasaulē. Kopīgiem spēkiem «Cert» kopienai ir izdevies saprast gan šā vīrusa izplatīšanās mehānismus, gan šifrēšanas mehānismus. Situācija nepārtraukti attīstās un papildinās,» stāstīja Kaškina.
«Cert.lv» vadītāja vietnieks Varis Teivāns tikmēr norādīja, ka Ukrainā uzbrukums sācies ar atšķirīgām metodēm, nekā tiek lietotas Eiropā, tostarp Latvijā. Ukrainā ir izplatīta dokumentu un finanšu vadības sistēma «M.E.Doc». To uzbrucēji kompromitēja, un caur to kā platformu uzbrukums izplatījās tālāk,» stāstīja Teivāns.
Eksperts skaidroja, ka Latvijas analoģijā tā varētu būt kāda cita dokumentu vai vadības sistēma, kas ir izplatīta, un tad kiberuzbrukuma sekas būtu stipri graujošākas. «Pietiek ar vienu upuri uzņēmumā, un no šā upura viņš izplatās tālāk pa uzņēmuma tīklu. Tas noticis šajos trijos uzņēmumos Latvijā,» teica Teivāns. Uzņēmumiem, kuri Latvijā krituši par upuri kiberuzbrukumam, bijušas filiāles Ukrainā.
Runājot par uzbrukuma ietekmi uz cietušajiem uzņēmumiem, Teivāns sacīja, ka to darbība ievērojami traucēta. Vienā no uzņēmumiem biznesa procesi tiekot pilnībā vadīti pa telefonu. Eksperti pieļauj, ka upuru skaits trešdien varētu arī turpināt palielināties.
TVNET jau vēstīja, ka hakeri otrdien izvērsuši kārtējo Eiropas mēroga kiberuzbrukumu, kurā līdz šim īpaši smagi cietusi Ukraina. Uzbrukums sākās ap plkst.14 pēc Latvijas laika, un sākotnēji tam bija pakļauti Ukrainas un Krievijas uzņēmumi, bet pēc tam tas sāka izplatīties arī Rietumeiropā.
«Cert.lv» informē, ka vīruss tiek izplatīts ar inficētiem e-pasta pielikumiem, saitēm uz inficētiem dokumentiem. Ja vīruss nonāk organizācijas tīklā, kurā izmanto failu apmaiņas protokolu SMB, tas tālāk izplatās, izmantojot ievainojamību EternalBlue (CVE-2017-014), kas izlabota ar Microsoft atjauninājumu MS17-010. Vīruss izmanto arī speciālus rīkus, lai iegūtu no datora atmiņas domēna administratora paroli, ko izmanto citu domēnā esošu datoru inficēšanai.
Lai sevi pasargātu, «Cert.lv» iesaka atjaunināt Windows datorus; atjaunināt antivīrusu programmatūru; būt ļoti uzmanīgiem ar pielikumiem un linkiem e-pastos; izveidot failu rezerves kopijas, ja tas vēl nav izdarīts.
Ja tiek konstatēts, ka dators ir inficēts (vai ir aizdomas par to), dators jāatslēdz no barošanas, portatīvajam datoram jāizņem baterija, ja iespējams. Pēc datora atvienošanas no barošanas, jāsazinās ar savu datorspeciālistu vai «Cert.lv». Ja inficētais dators ir pieslēgts uzņēmuma tīklam, tas var inficēt arī citus tīkla datorus un serverus, tāpēc jāveic visu pārējo tīklā esošo Microsoft Windows operētājsistēmu izmantojošo datoru pārbaude.
Maksāt prasīto izpirkuma maksu nekādā gadījumā nevajag, tas nepalīdzēs atgūt nošifrētos failus, jo e-pasta konti, kurus izmantoja uzbrucēji, ir bloķēti, un saziņa ar uzbrucējiem, kā arī atbloķēšanas atslēgas saņemšana nav iespējama, uzsver Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas.
