Злоумышленник испортил около 70 тысяч рабочих файлов «Милы» и потребовал выкуп

24 июня 2014 года сервер уральского дистрибьютора подвергся вирусной атаке. Распространение вредоносной программы началось с открытия с виду безобидного файла в сообщении на электронной почте одного из менеджеров компании. Антивирус не смог распознать угрозу из-за ее новизны.

Поражение коснулось документов в форматах «Word» и «Exel», содержимое которых было полностью перекодировано и стало недоступным для чтения. Благодаря оперативным действиям системного администратора «Милы» удалось предотвратить распространение угрозы на другие файлы. Попытки самостоятельно декодировать испорченные документы оказались безуспешными. Обращение к разработчикам антвирусных программ, кроме информации о факте массовой атаки, так же не дали ничего.

Следом за зараженным письмом на электронный адрес «Милы» пришло сообщение от неизвестного с предложением о восстановлении всех испорченных документов взамен на выкуп в размере пяти тысяч рублей. Серьезность своих намерений злоумышленник подтвердил, декодировав в качестве примера один из файлов.

«Мы заплатили указанную сумму, получили дешифратор и в течение нескольких часов восстановили, казалось бы потерянную навсегда, информацию. Безусловно, потери от испорченных файлов стоили бы для нашей компании намного больше, поэтому мы даже порадовались столь быстрому решению внезапной проблемы. Однако сам факт информационного терроризма оставил осадок и мы незамедлительно написали заявление в полицию с обвинением в вымогательстве. Второй мерой стала выработка алгоритма по недопущению подобных ситуаций в работе: запрет всем работникам компании открывать файлы с явными признаками непонятной адресации, уточнение данных у отправителей о содержании вложенных документов и прочие меры предосторожности. Учитывая, что из зараженных 70 тысяч файлов действительно важными было всего несколько тысяч - сотрудникам поставлена задача создавать резервные копии важных файлов вне своего компьютера. Перечень защитных мер продолжает дорабатываться», - прокомментировал управляющий «Мила» - обувь оптом» Александр Бородин.

«Нами было зафиксировано проникновение троянской программы, которая произвела шифрование данных на жестких дисках сервера и предложила купить дешифратор посредством перечисления указанной суммы в виртуальной валюте «биткоен». Особенностью таких зловредных программ является незащищенность пользователей в момент ее появления, пока данных об угрозе не содержится в базах вирусных лабораторий. Теперь информация передана в лабораторию «Доктор Web», которая уже на следующий день выпустила соответствующий антивирус. Аналогичные действия выполнили и остальные создатели антивирусных программ, которые получили аналогичные данные от других пострадавших пользователей. Проверка показала, что на следующий день после массовой атаки ранее неизвестная вредоносная программа стала блокироваться антивирусом», - сообщил системный администратор «Мила» - обувь оптом» Артур Некрасов (ИП Некрасов).