Шифровальщик с аварийной кнопкой Администрации района Матануска-Суситна столицы Аляски Анкориджа пришлось заново перестраивать всю свою цифровую инфраструктуру в результате атаки шифровальщика-вымогателя. В течение недели чиновникам пришлось использовать пишущие машинки: значительная часть цифровых систем была недееспособна. Работникам администрации и частным подрядчикам предстоит восстановить 650 рабочих станций и серверов, пострадавших от шифровальщика. Сама атака произошла 24 июля 2018 г. К 30 июля удалось вернуть к работе 110 рабочих станций. Эрик Уайятт (Eric Wyatt), директор по ИТ Матануски-Суситна, заявил, что сеть была атакована комплексным вредоносом, включавшим функции "троянца, криптолокера", "бомбы замедленного действия" и "аварийной кнопки". Вредоносная программма, которую Уайятт назвал "вирусом", также пыталась добраться до резервных копий, но этого ей сделать не удалось. Уайятт утверждает, что на инфраструктуру боро была совершена "очень коварная, хорошо организованная атака", которую не под силу было бы произвести "детишкам из маминого подвала". Впоследствии он опубликовал технический отчёт, в котором дал название этого вируса - BitPaymer. Этот шифровальщик, также известный как FriedEx, был впервые замечен в июле 2017 г. К августу 2017 г. его жертвой стали несколько больниц в Шотландии. По данным компании ESET, есть основания полагать, что его разработала та же криминальная группировка, что и ботнет Necurs и банковский троянец Necurs. В отчёте Уайятт указал, что вредоносная программа попала в инфраструктуру Матануски-Суситны ещё в начале мая и до 24 июля пребывала в неактивном режиме. Антивирус McAfee, по словам Уайятта, 17 июля начал выявлять "троянский компонент" BitPaymer, - но только его и только на компьютерах под управлением Windows 7. Все остальные компоненты, включая шифровальщик, остались незамеченными. "Мы написали скрипт, который должен был удалить все выявленные компоненты, пропущенные McAfee, со всех машин, и планировали запустить его вечером в понедельник 23 июля. Мы также аннулировали все пользовательские пароли, запустили принудительную смену паролей и заменили пароли на всех администраторских и сервисных аккаунтах", - заявил Уайятт. - "По-видимому, наша контратака спровоцировала вирус на запуск шифровального компонента. Не исключено, что этот запуск был автоматизирован, - то есть, сработала "аварийная кнопка", или же за нашими действиями наблюдал кто-то посторонний, который и дал команду контрольному серверу на начало атаки". В результате 500 рабочих станций и 120 из 150 серверов боро Матануска-Суситна были захвачены шифровальщиком. Уайятту ничего не оставалось, как отключить сети, обратиться к ФБР и начать восстановительные работы. Часть данных удалось извлечь из бэкапов. От ответа на вопрос, выплачивали ли злоумышленникам какой-либо выкуп, Уаятт уклонился. Жертва номер 210 Эксперты, занимающиеся расследованием атаки, заявили, что администрация Матануски-Суситны стала 210 жертвой шифровальщика. Помимо Матануски-Суситны, пострадала администрация города Валдес; по всей видимости там тоже орудовал BitPaymer. "Этот шифровальщик прославился в прошлом году размерами требуемого выкупа - до $242 тыс. в биткоинах; уже тогда было ясно, что BitPaymer разрабатывался специально для атак на крупный бизнес, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Информационные системы административных образований едва ли можно считать крупным бизнесом, но, скорее всего, их атаковали целенаправленно, не без оснований предполагая, что такая инфраструктура будет довольно слабо защищена и что госструктуры даже охотнее, чем бизнес, заплатят выкуп, чтобы спасти свои данные". Полный отчёт Уайятта доступен по ссылке.