По всему миру распространяется вирус-вымогательОдной из первых атаке подверглась Испания; там жертвами стали крупнейшая телекоммуникационная компания Telefónica, газовая компания Gas Natural, Iberdrola, занимающаяся поставками электричества, банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения. По всему миру оказались заражены десятки тысяч компьютеров.
Вирус зашифровывает все файлы на компьютере и требует выкуп. Как видно из скриншота, в каждой стране на экраны выводится сообщение на языке этого государства: в Великобритании — на английском, в Испании — на испанском, в России — на русском. Размер выкупа везде одинаковый — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
К настоящему моменту виртуальные разбойники заработали около 12 тыс. долларов, однако их "заработок" может значительно возрасти, учитывая, что пользователи обычно откладывают выкуп на последний день, считают в "Би-би-си".
Отмечается, что речь идет о крупнейшей в истории атаке с использованием программы-вымогателя: от хакерской уловки уже пострадали около 45 тыс. машин в 74 странах по всему миру, сообщает российская "Лаборатория Касперского". Однако, как видно из представленного ниже инфографика, именно против России было сосредоточено около 95 процентов атак. С большим отрывом от нее в этом антирейтинге следуют Украина и Тайвань. Великобритания, где накануне реакция на кибератаку против сети больничных учреждений была особенно острой, оказалась за пределами топ-20.
На территории РФ жертвами атаки кибермошенников стали в том числе системы государственных предприятий, служб и министерств, включая структуры МВД и МЧС, а также частные компании, среди которых — оператор сотовой связи "Мегафон" и "Сбербанк".
В Сети появилась появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Итоговая картина выглядит так, как показано ниже на статичной картинке, а динамическое распространение вируса по земному шару можно увидеть по ссылке.
Как уточняет "Би-би-си", вирус угрожает лишь пользователям операционной системы Windows, в которой он использует уязвимость. Прореха была закрыта компанией Microsoft еще в марте 2017 года, когда был выпущен соответствующий патч, поэтому всем обновившимся системам вирус не угрожает. Для тех же, кто отключил автообновление либо по иной причине упустил шанс модернизировать свою ОС, решения пока не найдено: антивируса против WannaCry еще не выпущено.
Особенности вируса
Компания Group-IB, занимающаяся кибербезопасностью, описывает четыре особенности вируса:
- программа "использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers": именно этот пробел был закрыт для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.
- вторая особенность WannaCry — его способность не только шифровать файлы, но и сканировать сеть на предмет уязвимости: "Если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже — отсюда и лавинообразный характер заражений", — заявили в компании.
- третья особенность вируса — его избирательность: он шифрует лишь наиболее "чувствительные" файлы — документы, базы данных, почту.
- четвертая особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor, обеспечивающий анонимность в интернете, и осуществляет соединение через него.
Способ защиты
Как отметили в Group-IB, наиболее частым способом заражения становится открытие подозрительных вложений через электронную почту. Речь идет о так называемом спаме. Лучшая защита от такого метода — установить решения для проверки всех файлов, приходящих на почту или скачиваемых ими из интернета. В компании указали на недопустимость таких действий, как установка программ из непроверенных источников, пользование неизвестными флэшками и переход по сомнительным ссылкам, а также отказ вовремя обновлять ПО и использовать неподдерживаемое производителем программное обеспечение.
В свою очередь представитель "Лаборатории Касперского" заявил о том, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик. Специалист компании советует "использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях". Отмечается, что в настоящее время эксперты лаборатории анализируют образцы вредоносного ПО для установления возможности расшифровки данных.
Со своей стороны Министерство внутренней безопасности США заявило о готовности оказать техническую поддержку и помощь в борьбе с "программой-вымогателем" WannaCry. Ведомство обещает экспертную помощь критически важным объектам инфраструктуры.
Более "простым" языком рекомендуют следующие способы защиты: "Обновляйте установленные антивирусные программы в строго установленные сроки. Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер. Лучше всего, если вашим компьютером, что на работе, что дома, пользуетесь только вы. Обновляйте все приложения и программы... Установите антивирусы на мобильные устройства. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры. Имейте запасную антивирусную программу, софт которой записан на отдельный — "чистый" и проверенный носитель. Делайте резервные копии важных документов на отдельном носителе".
Пациенты больниц под угрозой
Жертвами атаки вируса стали не только рядовые пользователи. Похоже, что WannaCry угрожает теперь жизням и здоровью пациентов, прием и обслуживание которых зависит в том числе от исправно работающего компьютерного оборудования. В этом смысле особенно пострадавшей страной выглядит Великобритания, где 40 медучреждений по всей стране, включая больницы, поликлиники и фонды здравоохранения заражены вредоносным ПО.
Еще накануне сообщалось, что от нападения киберпреступников пострадали больницы и медицинские учреждения в Лондоне, Ноттингеме и других городах Англии, некоторые из которых рекомендовали жителям временно не обращаться за помощью, если речь не идет об экстренных ситуациях. Среди медицинских центров, работу которых осложнили перебои, оказались две крупнейшие больницы в столице Туманного Альбиона — Royal London Hospital и St Bartholomew's. В то же время медицинская служба Дерби заявила, что была вынуждена отключить всю свою IT-систему из-за "атаки на безопасность системы".
В пострадавших от атаки медучреждениях остановлен прием амбулаторных больных, нарушена работа "скорой помощи" и даже возник сбой в проведении запланированных хирургических операций.
Мировые СМИ сообщают о том, что главными целями киберпреступников стали телекоммуникационные системы и больницы. Накануне сообщалось, что, в частности, кибератаке подверглась испанская телекоммуникационная компания.
Сноуден клянет АНБ
Беглый экс-сотрудник Агентства национальной безопасности (АНБ) Эдвард Сноуден, скрывающийся от американского правосудия в России, заявил о косвенной причастности его бывшего работодателя к глобальной атаке, поскольку, как стало известно из материала Politico, организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло АНБ.
По данным издания, злоумышленники использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers, которые, в свою очередь, утверждали, что получили доступ к программам, разработанным АНБ.
"Решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах, — говорит Сноуден — Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило".
Моральную характеристику лицам, выкравшим программу АНБ, которая предназначалась для обеспечения безопасности США, Сноуден давать не стал.
Вирус остановлен?
По данным "Медузы", распространение вируса-вымогателя WannaCrypt удалось приостановить путем регистрации домена с бессмысленным названием — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Специалист по безопасности с twiiter-аккаунтом @MalwareTechBlog обнаружил, что вирус по неведомой причине обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Позже выяснилось, что в коде вируса говорилось о том, что в случае успешного обращения к домену следует прекратить заражение, если — нет, тогда заражение следует продолжать. В результате сразу после регистрации домена к нему пришли десятки тысяч запросов, поскольку обращение оценивается как неуспешное.
Впрочем, едва ли это остановит злоумышленников: они легко могут переписать код, в том числе путем добавления туда имени указанного выше домена таким образом, чтобы вредоносная программа обходила его.
Источники:
http://newsader.com/35618-globalnyy-vir ... rany-mira/
https://meduza.io/feature/2017/05/12/po ... nshey-mere
