WannaCry взяла в заложники компьютеры по всему миру

13.05.17 14:29

Информационные пузыри

Файлы на десятках тысяч компьютеров были заблокированы вирусом-вымогателем WannaCry. Среди пострадавших - как обычные пользователи, так и крупные компании, а также государственные структуры.

Что такое WannaCry

Программа WannaCry — это так называемый Ransomware — софт, предназначенный для вымогания. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу систему, выводя на экран окно с угрозами. WannaCry делает и то, и другое: шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести сумму выкупа на биткоин-кошелек злоумышленника.

В "Лаборатории Касперского" пояснили, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

Суммы выкупа разнятся: хакеры требуют от $200 до $600. Если в течение двух дней жертва не оплатит выкуп, его сумма будет увеличена. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся. Судя по тому, что на одном из таких кошельков (сообщается, что их несколько) уже лежит 4 биткоина (более $6700), кто-то испугался угроз: 22 транзакции датируются 13 мая.

Атаку 12 мая специалисты уже называют крупнейшим Ransomware-взломом с самой высокой эффективностью в первые 8 часов работы.

I think we should wait some days before saying this.
But, for sure: there was no RW campaign w/ success like this within the first 8 hours. https://t.co/G4RuOPlVU3

— MalwareHunterTeam (@malwrhunterteam) 12 мая 2017 г.

Кто пострадал

Первым громким случаем появления WannaCry стала атака на часть компьютерной сети компании Telefonica, парализовавшая ее. Тех ее сотрудников, кто не пострадал от атаки, предупредили о необходимости выключить компьютеры, в том числе компьютеры внешних работников, подключенных через VPN.

Затем WannaCry появился компьютерах Национальной службы здравоохранения Великобритании (NHS). Атака коснулась медицинских учреждений в Лондоне, а также английских городах Блэкберн, Ноттингем и графствах Камбрия и Хартфордшир. Из-за атаки некоторые медучреждения предупредили, что будут принимать только экстренных пациентов.

Позже премьер-министр Великобритании Тереза Мэй отдельно отметила, что никакие данные пациентов больниц не попали в руки злоумышленников.

Всего, по данным российской "Лаборатории Касперского", было совершено около 45 тысяч атак программы-шифровальщика WannaCry в 74 странах по всему миру. Посмотреть, как распространялся вирус, можно на инфографике газеты The New York Times.

Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29

— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

WannaCry в России

Одновременно с новостями в Великобритании о WannaCry сообщили в России: в СМИ появилась информация об атаке на сотовых операторов, МВД и СК.

Представитель компании "Мегафон" сообщил, что никакого влияния на качество связи это не оказало. "IT-специалисты "Мегафона" продолжают работу над устранением последствий атаки. К 21:00 была восстановлена работоспособность центров поддержки абонентов, в работе которой в течение нескольких часов были сбои из-за проблем с компьютерами сотрудников. Ситуация под контролем, правоохранительные органы были проинформированы в установленном порядке", - заявили в компании.

Официальный представитель СК Светлана Петренко заявила, что сообщения о хакерской атаке не соответствуют действительности, а все ресурсы ведомства работают в штатном режиме. В МВД факт появления WannaCry признали - заразились около тысячи компьютеров, — но отчитались об успешной локализации вируса. Зараженные машины отключили от сети, на остальных обновили антивирусную защиту. Источник "Интерфакса", а затем и официальный представитель ведомства Ирина Волк отметили, что во время атаки удалось избежать утечки информации.

Российский Минздрав после новостей о британских коллегах оперативно отразил начавшиеся атаки и закрыл уязвимости. Об этом в твиттере сообщил помощник министра здравоохранения Никита Одинцов.

Пресс-служба Сбербанка России привела службы, отвечающие за кибербезопасность в повышенную готовность и также выдержала атаку. "Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло", - отметил представитель "Сбербанка".

WannaCry и американские спецслужбы

Эдвард Сноуден, бывший сотрудник Агентства национальной безопасности обвинил спецслужбы в том, что они не предотвратили глобальную кибератаку. По его словам, АНБ, чьи разработки были украдены и использованы хакерами, знало об опасности данных программ.

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE

— Edward Snowden (@Snowden) 12 мая 2017 г.

Он также призвал АНБ рассказать о вероятности уязвимости американского ПО, чтобы не повторился британский сценарий.

In light of todays attack, Congress needs to be asking @NSAgov if it knows of any other vulnerabilities in software used in our hospitals.

— Edward Snowden (@Snowden) 12 мая 2017 г.

О связи программы-вымогателя и спецслужб США заявили также в твиттере Wikileaks.

NOTE: The current hospital ransom ware directly relates to computer viruses produced by the NSA. Not to WikiLeaks CIA #Vault7 series.

— WikiLeaks (@wikileaks) 12 мая 2017 г.

В свою очередь, в министерстве внутренней безопасности США предложили помощь в борьбе с WannaCry как внутри страны, так и за рубежом.

"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", — говорится в официальном заявлении ведомства.

Как уберечься от WannaCry

Вирус использует уязвимость в ОС Windows. Однако компания Microsoft закрыла ее еще в марте. Если на вашем компьютере включена автоматическая установка обновлений, "вымогатель" вам не грозит. Если вы обновляете систему вручную, вам нужно выполнить эту инструкцию.

Источник: Интерфакс

Редактор: Фыва


Программист заявил, что случайно остановил распространение вируса WannaCry

Вирус-вымогатель Wanna Cry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, пишет The Guardian.

Программист @MalvareTechBlog вместе с коллегой Дарианом Хассом выснили, что вирус обращается по такому адресу и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить.

"Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку", — написал он.

Таким образом, атаку удалось остановить, но только временно. Как только хакеры изменят адрес в вирусе, кибератака продолжится.

Вечером 12 мая со всего мира начали поступать сообщения о массовом заражении компьютеров программой-шифровальщиком. За снятие блокировки злоумышленники требовали выкуп в биткоинах.

Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.

Источник: РИА "Новости"

Редактор: Bred

 


Эксперт рассказал, как защититься от вируса-вымогателя

Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков рассказал, как минимизировать риски заражения от вирусов-шифровальщиков, один из которых в пятницу распространился во многих странах мира.

"Лаборатория Касперского" 12 мая зафиксировала около 45 тысяч попыток заражения программой-шифровальщиком в 74 странах по всему миру, при этом наибольшее число попыток заражений наблюдается в России.

Ранее в СМИ сообщалось, что хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США. Издание Financial Times со ссылкой на аналитиков в области кибербезопасности сообщило, что инструмент американских разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с "программой-вымогателем" WannaCry.

По словам Сачкова, главное – делать резервные копии. Также он советует своевременно обновлять операционную систему. "Не используйте ОС, которые не поддерживаются обновлениями компании-производителя. Для конкретного случая с WannaCry MicrosoftMSFT сделала исключение и выпустила обновление, закрывающее уязвимость, которую эксплуатирует этот вирус. Использовать версии ОС более чем 10-летней давности, давно выведенные из-под защиты, - прямой путь к заражению", - сказал эксперт.

Кроме того, не стоит открывать вложения в сообщениях электронной почты от незнакомых лиц. В сети компании желательно установить решение класса "песочница", которое проверяют все файлы, приходящие на почту или скачиваемые сотрудниками из интернета, запуская их в специальной, изолированной среде. "В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение", - пояснил он.

Для обнаружения потенциально вредоносных файлов нужно включить опцию "Показывать расширения файлов" в настройках Windows. "Держитесь подальше от расширений файлов, таких как .exe, .vbs и .scr. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe или doc.scr)", - отметил Сачков.

При обнаружении подозрительного процесса на устройстве нужно немедленно отключить его от интернета или домашнего Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Сачков рекомендует никогда не платить выкуп, поскольку нет никакой гарантии, что злоумышленники отправят ключ дешифрования.

Источник: Prime

Редактор: Bred

 


Feather

13.05.17 17:14

Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.


МВД! Сбербанка!
Компетенция админов - это дааа.


BaxLi2012

13.05.17 19:11

Атака - это просто внешнее воздействие, успешная атака - это да, тут можно и о компетенции админов заикнуться.

Ferr

13.05.17 20:49

Я не админ, дома интернет со статичным ip адресом, стоит под роутером (логин/пароль для управления роутером сменил конечно)). Все работает, проблем нет

Ferr

13.05.17 20:52

По первости, когда только подключил статичный ip адрес, конечно словил батхерт. Как то не подумал, что роутер стал извне доступен, буквально через пару дней после подключения статики прихожу домой, а в яндексе шлюхи пляшут)

Мороз

13.05.17 21:08

Использовать версии ОС более чем 10-летней давности, давно выведенные из-под защиты, - прямой путь к заражению", - сказал эксперт.
----
Все быстренько покупаем новый виндовс, и включаем автоапдейт. Старый виндовс то уже все, не поддерживается.
Даешь всевидящее око!
Как вовремя улетели коды на фриББС в сети. Конечно теперь кодами АНБ воспользуются безымянные хакеры.
--
Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств.
--
Первоочередные цели. У бритов бабла попутно рубануть. Корпорации (огрызок и мелких) приподнять.. Хакеры, да. Случайно коды уязвимостей утащили.
При этом крупные ИТ корпорации пендостана не пострадали.
Мистика.


Ferr

13.05.17 21:12

Нет батенька, не спалился. В роутер прописался сниффер, который анализировал траффик и дописывал в html код всего то ссылку на javascript скрипт и все, все достаточно безобидно. ну а этот скрипт уже грузился на любой html странице и мог полностью изменять DOM структуру документа, поскольку браузер его считал родным для этого сайта (в ответе пришел жеж).
Так что поверьте, шлюхи могут скакать и на яндексе, если есть где перехватить траффик, и это совсем не зависит от вашей чистоплотности.

Я вам секрет открою, они скакали на всех сайтах, даже на этом) Выглядело довольно эффектно, надо отдать должное разработчикам, в какой то момент, у вас "отклеивался" правй верхний угол сайта и из него к вам заглядывали весьма симпотичные особы.


Ferr

13.05.17 21:21

Именно поэтому раньше яндекс работал по http протоколу, а сейчас работает по https протоколу, вот как раз для того, чтобы не случалось вот таких казусов, делов то)

artyom

13.05.17 21:22

> BaxLi2012 Атака - это просто внешнее воздействие, успешная атака - это да, тут можно и о компетенции админов заикнуться.
Так жто как раз про МВД, с его 1000 заражённых компьютеров. Причём проблема не решена, а только локализована!


Ril

13.05.17 21:55

> Feather

МВД! Сбербанка!
Компетенция админов - это дааа.

Боюсь что админы не причем.
Как я понял поражались компьютеры являющиеся часть локальных сетей. Т.е в них во всех стояли антивирусы, фаерволы, НО был включен "Общий доступ к папкам и принтерам" что в общем само собой разумеется в локальной сети и собственно именно из-за этой опции все и юзают Виндоус. Так как такие сетевые дела у них проще настраивать в сетевой среде чем у линуксов и т.д.
Мало того, значительная часть компьюетров работала НЕ ПОД админом и была задейтована UAC, стояли фаерволы и антивирусы.
Так что тут могли сделать простые смертные админы? Судя по всему данная уязвимость утекла из рассекреченных примочек АНБ.


Ril

13.05.17 21:59

> argus98


Народ! Используйте виндовсы 20-летней давности (98, ХРsp2) - и никаких шлюх вы не увидите... Если вы, конечно, не любители шлюх.
ps > Ferr - никакой httpS не помог Сберу в прошлом году. Лежал 3 дня. Если бы оставался на обычном http - скорее всего ничего не было бы
HTTPS слабоватая защита от DDOSa :-)

Насчет XP и уж тем более 98 - совет не очень. Есть у меня один такой комп. Не мог понять откуда черви на нем берутся. Оказалось через NetBios. Бувально каждый час заливаются из инета. Отключил. Но сколько там еще таких диких дыр.


Nimnool

13.05.17 22:07

> Ril
> Feather
МВД! Сбербанка!
Компетенция админов - это дааа.
Мало того, значительная часть компьюетров работала НЕ ПОД админом и была задейтована UAC, стояли фаерволы и антивирусы.
Так что тут могли сделать простые смертные админы?
Админы могли поставить Windows Server Update Services (WSUS) и раздавать обновления на все компы по локалке (юзеры жалеют интернет трафик на обновления и стараются его выключить) могли поставить System Center Configuration Manager (ранее Systems Management Server, SMS
) и ставить обновления принудительно - уцелели бы вcе кроме XP.


Ril

13.05.17 22:10

> Nimnool
юзеры жалеют интернет трафик
Да перестаньте. Широкополосный безлимит давно уже практически в каждом доме и в госконторах. А юзеры локалки, где живут админы, вообще не должны за обновлениями следить.
Да мы и не знаем точно, когда началось заражение, толи с марта 14, 2017 как значится у Майкрософт или гораздо раньше, а активация вируса началась недавно. Так что вероятно не помогло бы обновление.

Наболее вероятная версия, что скрытой заражение компьютеров шло не один месяц. Майкрософт его обнаружило только 14 марта сего года и выпустило обновление, которое ВНИМАНИЕ, предотвращает заражение, а не активацию уже прижившегося вируса к определенной дате.


Ferr

13.05.17 22:48

Эй эй рбята, полехче. Я привел https лишь в контексте того, что примитивные снифферы уже не могут инжектится в проходящий траффик и все, имейте голову але). Я нигде не говорил про то, что https протокол панацея от всех бед, но этот протокол позволяет избежать определенный ряд угроз, не более того. Я привел пример, где это может работать, все).

Ferr

13.05.17 23:12

Если тупо, https шифрует тело ответа, ну контент, ну то есть, то чо вы хотите, оно зашифровано.

Ril
"HTTPS слабоватая защита от DDOSa :-)"

Ой бл.., не позорьтесь и сотрите свой коммент.
Если перефразировать ваш комментарий на более понятный людям язык, то это будет звучать приблизительно.. "красное пальто не защитит вас от получения писем на почтовый ящик", да что вы говорите? Ой пипес..





AndreyGoose

13.05.17 23:27

> Ferr

Нет батенька, не спалился. В роутер прописался сниффер, который анализировал траффик и дописывал в html код всего то ссылку на javascript скрипт и все, все достаточно безобидно. ну а этот скрипт уже грузился на любой html странице и мог полностью изменять DOM структуру документа, поскольку браузер его считал родным для этого сайта (в ответе пришел жеж).
Так что поверьте, шлюхи могут скакать и на яндексе, если есть где перехватить траффик, и это совсем не зависит от вашей чистоплотности.

Я вам секрет открою, они скакали на всех сайтах, даже на этом) Выглядело довольно эффектно, надо отдать должное разработчикам, в какой то момент, у вас "отклеивался" правй верхний угол сайта и из него к вам заглядывали весьма симпотичные особы.
так я в порядке юмора)
дома ничего не настраивал. антивирь стоит вроде китайская бесплатная 360 Тотал Секурити. Обновлялки винды отключил. винда у меня 7ка лицензия. косяков не было с ней. в игрушки уже год не играю. но был генералом CallOfDuty4 по сетке, пулеметчиком бегал с РПК.


astill07

14.05.17 07:35

Ничем вся эта "информация" не отличается от "атак русских
хакеров", чуть ли не сокрушивших "избирательную систему"
США и прочих. Ничем. Ни стилем, ни полным отсутствием
фактического материала (только "сообщения о") с указанием
конкретных компьютеров (не дай бог, еще проверят, или
попробуют проверить).
Разница только в том, что теперь и наши все "верят" сразу
и (почти) во все "сообщаемое".


Ril

14.05.17 09:32

> Ferr


Ой бл.., не позорьтесь и сотрите свой коммент.
Если перефразировать ваш комментарий на более понятный людям язык, то это будет звучать приблизительно.. "красное пальто не защитит вас от получения писем на почтовый ящик", да что вы говорите? Ой пипес..



Товарисч, перечитайте снова кому и на какую фразу я отвечал. А то строите из себя умника, даже не понимая кто о чем говорит...


Амиго

15.05.17 08:18

Таких вирусов будет всё больше и больше. А тем временем всякие гуглы будут всё активнее и активнее предлагать облако для хранения персональных данных. Так сказать, добро пожаловать в бездисковое будущее.

kotik

15.05.17 08:25

Эх обмельчали вирусописатели, все им бабки подавай. Вот помню раньше без всяких там вымогательст просто грохали винт 26 апреля и все.
Админ бегает сейчас обновления включает...


Nimnool

15.05.17 09:02

MS как минимум в феврале выпустило патчик от вируса ...

X86-ru-windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe - ЦП 11 февраля 2017 г. 23:24:22
X86-ru-windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df.exe - ЦП 12 февраля 2017 г. 4:15:50

Как видите, сначала SFX собрали для обычной XP, а через пять часов для XPe, а вот их INFы написаны/изменены почти в одно и то же время, для XPe на пять минут раньше создан.

Предлагается WU, как майское (05.05.2017). Но если вы сходите на catalog.update.microsoft.com, то увидите, что мартовское KB4012598 стало от 13.05.2017.



ti-robot

15.05.17 13:29

В новости указано "самое большое количество атак в России", так как источник новости Касперский - данные они получают от установленных копий антивируса.
Была бы новость от Аваста или Weba - география была бы другой.


Размещение комментариев доступно только зарегистрированным пользователям