Инцидент, как полагают в учреждении, станет причиной убытков, так как атака случилась на неделе, когда в США празднуют День благодарения и ездят по городу, занимаясь предпраздничным шопингом. Показать связанные сообщения За год британцы потеряли 4,5 млн фунтов из-за вымогателей 29 ноября 2016 , 10:48 В дикой природе попался Cerber 5.0 28 ноября 2016 , 11:25 Костромича обвиняют во взломе серверов на продажу 25 ноября 2016 , 16:50
Злоумышленники использовали вариацию вымогателя HDDCryptor, который инфицировал 2112 систем, включая ПК администраторов, рабочие станции CAD, сервера электронной почты и печати, компьютеры в киосках продажи билетов, рабочие станции сотрудников, терминалы в отделе потерянных вещей, SQL-базы, системы оплаты.
Проникнув в сеть организации и используя свои возможности червя, HDDCryptor добрался до контроллера домена организации и заразил жесткий диск у части подключенных к сети Windows-систем (всего в сети организации имеется около 8,5 тыс. систем). Когда дело было сделано, зараженные системы вместо Windows загрузили сообщение: «Вас взломали, ВСЕ данные зашифрованы, свяжитесь по поводу ключа с (cryptom27yandex.com) ID:601».
HDDCryptor и ряд похожих на него зловредов атакуют главную загрузочную запись Windows-компьютера (MBR). При модификации MBR компьютер не находит сектор, в котором расположена ОС, и пользователь, таким образом, не может воспользоваться компьютером и получить доступ к своим файлам. Эту функциональность имеют несколько других опасных зловредов, в частности Petya и Satana. Скорее всего, зловред попал в систему после того, как сотрудник открыл вредоносный исполняемый файл в электронной почте.
Пока биткойн-кошелек, который преступники приготовили для выкупа, пуст, а молчание со стороны жертвы заставляет вымогателей жаловаться на отсутствие инициативы со стороны агентства. Злоумышленники предложили расшифровать один компьютер за 1 биткойн, чтобы доказать наличие ключа. На ломаном английском они рассказали, что «программа работает в автоматическом режиме и это не была целевая атака». Вымогатели пригрозили закрыть email-адрес, предназначенный для общения с жертвой, если не получат своевременного ответа от агентства. По словам вымогателей, сеть организации была плохо защищена.
Пока идет расследование инцидента, представители агентства воздерживаются от комментариев.
Это не первая масштабная атака вымогателей на учреждения. Шифровальщик Locky поразил несколько больниц в США, и Пресвитерианскому госпиталю в Голливуде пришлось уплатить выкуп, чтобы восстановить работу. Однако правоохранители и ИБ-компании не советуют потакать требованиям преступников и призывают воздержаться от уплаты выкупа. Кроме того, исследователи Cisco Talos разработали открытый инструмент для защиты MBR от вымогателей и других зловредов.
источники
https://threatpost.ru/kiberataka-na-metro-v-san-frantsisko-paralizovala-2100-sistem/19361/
http://www.theregister.co.uk/2016/11/27/san_francisco_muni_ransomware/