Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye, Diskcoder.C, как бы его не называли – существует установленный факт: 27 июня 2017 года Украина пострадала от самой крупной в ее истории кибератаки. Вирус заражал компьютеры, шифровал абсолютно все данные и требовал выкуп в 300 долларов в биткойнах.
На кошелек мошенников поступило около 10 000 долларов США, а следовательно есть те, кто успел им заплатить. Одна проблема – ключ для расшифровки данных так никому и не был прислан («кинули»).
Уязвимости и пробелы в антивирусной защите
Вирус распространялся из-за пробела в защите программного обеспечения для представления бухгалтерской отчетности "M.E.Doc". Как оказалось, целью кибератаки было совсем не вымогательство средств. Далее извлечение из заявления Департамента киберполиции Национальной полиции Украины:
"... обновление программного обеспечения (заражение вирусом) вероятно произошло еще 15.05.2017 года ... выяснено, что выявленный бекдор (вирус) по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей ... атакеры компрометировали учетные записи пользователей с целью получения полного доступа к сети ... с целью сокрытия удачной кибероперации относительно массового поражения компьютеров и несанкционированного сбора с них информации, тем же способом, через последние обновления ПО "M.E.Doc" распространили модифицированный ransomware Petya".
В результате вышеуказанных действий пострадали и приостановили свою работу банковская система Украины, а также ряд государственных и частных предприятий.
Ценный подарок: является ли кибератака форс-мажором?
Приостановление предприятий, в свою очередь, повлекло довольно значительное количество убытков, начиная с невозможности выполнить взятые на себя обязательства или простоев и заканчивая просрочкой даты представления налоговой отчетности. На решении этих вопросов мы и остановимся.
Согласно Налоговому кодексу Украины (далее – НКУ) непредставление финансовой отчетности карается штрафом. Пострадавшие компании (а их около 1500) не могли подать финансовую отчетность физически, поскольку все файлы были зашифрованы. Государственная фискальная служба Украины признает этот факт и пообещала не налагать штраф на пораженные компании, однако норма НКУ прописана жестко и не содержит оснований для отмены штрафа. Министерство юстиции Украины инициировало законопроект, в соответствии с которым на компании, не подавшие налоговую отчетность, составленную с 1 до 15 июня 2017 года, штраф налагаться не будет. Однако будет ли принят законопроект, а соответствующие изменения внесены – вопрос довольно спорный.
Сейчас Торгово-промышленная палата Украины по заявлению пострадавших компаний выдает справки о признании заражения компьютера вирусом-шифровальщиком форс-мажорными обстоятельствами (обстоятельствами непреодолимой силы). Для подтверждения блокировки корпоративных сетей необходимо иметь справку об обращении от Департамента киберполиции Нацполиции или выписки об открытии уголовного производства. Следовательно, справка ТПП дает основания для отмены штрафа в судебном порядке.
По моему мнению, ТПП и органы государственной власти сделали ценный подарок предпринимателям, но, наверное, только потому, что пострадали от вируса сами.
Проклятие "Веселого Роджера"
В свою очередь, вирус Petya.A заражал не все компьютеры. Во-первых, были заражены только компьютеры на операционной системе Windows. Во-вторых, некоторые компьютеры на операционной системе Windows распознавали вирус-шифровальщик именно как вирус и, соответственно, блокировали его. Это касается компьютеров, программное обеспечение которых было обновлено до последней версии.
Как хорошо известно, в нашей стране принято за норму устанавливать незаконное/нелицензионное программное обеспечение. Если коротко, то заражение вирусом компьютеров или серверов можно считать халатностью, а никак не форс-мажором. При достаточном уровне компетентности системного администратора и наличии лицензионного программного обеспечения заражения, а соответственно и убытков, можно было бы избежать. Можно предположить, что государство признает заражение компьютера вирусом форс-мажором только из-за того, что сами государственные органы попали под эту атаку, из-за своей же халатности.
Не следует забывать, что были заражены компьютеры Кабинета Министров Украины, и так же не следует забывать, что в соответствии с заявлением киберполиции и независимых компаний по вопросам кибербезопасности злоумышленники до запуска вируса уже некоторое время получали доступ к зараженным компьютерам. Возможно, что признанием вируса форс-мажором, хотя и по решению ТПП, государство от нас откупается за свою халатность относительно кибербезопасности в государственных структурах и безразличие к использованию почти всеми пользователями нелицензионного программного обеспечения.
Интересно то, что за два месяца до кибератаки в Конгрессе США подготовили законопроект о кибербезопасности Украины. США, в свою очередь, ежегодно тратит миллиарды долларов на то, чем в Украине до 27 июня было принято пренебрегать, – кибербезопасность.
Защиты себя сам. Рекомендации по защите от вирусных атак
Что же касается обвинений в сторону разработчиков программного обеспечения "M.E.Doс", то необходимо обратить внимание на лицензионные условия пользования программным обеспечением (End User License Agreement), которые устанавливаются на компьютер. Почти в 100 % случаев разработчики в лицензионных условиях снимают с себя ответственность за любые потери, которые связаны с использованием этого программного обеспечения.
Для раскрытия масштаба проблемы приведем нижеследующий пример. Недавно провайдер публичного Wi-Fi "Purple" добавил к условиям использования сети 1000 часов выполнения публичных работ (уборка туалетов, мусора и т. п.), и 22000 человек приняли эти условия, даже не поинтересовавшись, что они принимают, и только один внимательный гражданин прочитал условия использования. Один из двадцати двух тысяч, Карл!
Так вот, чтобы сохранить свои файлы и избежать "карусели" по ТПП и судам, советуем соблюдать следующие требования:
• используйте только официальное программное обеспечение;
• читайте условия пользования программным обеспечением (или наймите того, кто будет читать);
• наймите системного администратора, который будет следить за состоянием и безопасностью вашей корпоративной сети.