13.05.17 14:29
Файлы на десятках тысяч компьютеров были заблокированы вирусом-вымогателем WannaCry. Среди пострадавших - как обычные пользователи, так и крупные компании, а также государственные структуры.Что такое WannaCry
Программа WannaCry — это так называемый Ransomware — софт, предназначенный для вымогания. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу систему, выводя на экран окно с угрозами. WannaCry делает и то, и другое: шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести сумму выкупа на биткоин-кошелек злоумышленника.
В "Лаборатории Касперского" пояснили, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.
Суммы выкупа разнятся: хакеры требуют от $200 до $600. Если в течение двух дней жертва не оплатит выкуп, его сумма будет увеличена. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся. Судя по тому, что на одном из таких кошельков (сообщается, что их несколько) уже лежит 4 биткоина (более $6700), кто-то испугался угроз: 22 транзакции датируются 13 мая.
Атаку 12 мая специалисты уже называют крупнейшим Ransomware-взломом с самой высокой эффективностью в первые 8 часов работы.
I think we should wait some days before saying this.
— MalwareHunterTeam (@malwrhunterteam) 12 мая 2017 г.
But, for sure: there was no RW campaign w/ success like this within the first 8 hours. https://t.co/G4RuOPlVU3
Кто пострадал
Первым громким случаем появления WannaCry стала атака на часть компьютерной сети компании Telefonica, парализовавшая ее. Тех ее сотрудников, кто не пострадал от атаки, предупредили о необходимости выключить компьютеры, в том числе компьютеры внешних работников, подключенных через VPN.
Затем WannaCry появился компьютерах Национальной службы здравоохранения Великобритании (NHS). Атака коснулась медицинских учреждений в Лондоне, а также английских городах Блэкберн, Ноттингем и графствах Камбрия и Хартфордшир. Из-за атаки некоторые медучреждения предупредили, что будут принимать только экстренных пациентов.
Позже премьер-министр Великобритании Тереза Мэй отдельно отметила, что никакие данные пациентов больниц не попали в руки злоумышленников.
Всего, по данным российской "Лаборатории Касперского", было совершено около 45 тысяч атак программы-шифровальщика WannaCry в 74 странах по всему миру. Посмотреть, как распространялся вирус, можно на инфографике газеты The New York Times.
Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29
— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.
WannaCry в России
Одновременно с новостями в Великобритании о WannaCry сообщили в России: в СМИ появилась информация об атаке на сотовых операторов, МВД и СК.
Представитель компании "Мегафон" сообщил, что никакого влияния на качество связи это не оказало. "IT-специалисты "Мегафона" продолжают работу над устранением последствий атаки. К 21:00 была восстановлена работоспособность центров поддержки абонентов, в работе которой в течение нескольких часов были сбои из-за проблем с компьютерами сотрудников. Ситуация под контролем, правоохранительные органы были проинформированы в установленном порядке", - заявили в компании.
Официальный представитель СК Светлана Петренко заявила, что сообщения о хакерской атаке не соответствуют действительности, а все ресурсы ведомства работают в штатном режиме. В МВД факт появления WannaCry признали - заразились около тысячи компьютеров, — но отчитались об успешной локализации вируса. Зараженные машины отключили от сети, на остальных обновили антивирусную защиту. Источник "Интерфакса", а затем и официальный представитель ведомства Ирина Волк отметили, что во время атаки удалось избежать утечки информации.
Российский Минздрав после новостей о британских коллегах оперативно отразил начавшиеся атаки и закрыл уязвимости. Об этом в твиттере сообщил помощник министра здравоохранения Никита Одинцов.
Пресс-служба Сбербанка России привела службы, отвечающие за кибербезопасность в повышенную готовность и также выдержала атаку. "Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло", - отметил представитель "Сбербанка".
WannaCry и американские спецслужбы
Эдвард Сноуден, бывший сотрудник Агентства национальной безопасности обвинил спецслужбы в том, что они не предотвратили глобальную кибератаку. По его словам, АНБ, чьи разработки были украдены и использованы хакерами, знало об опасности данных программ.
Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE
— Edward Snowden (@Snowden) 12 мая 2017 г.
Он также призвал АНБ рассказать о вероятности уязвимости американского ПО, чтобы не повторился британский сценарий.
In light of todays attack, Congress needs to be asking @NSAgov if it knows of any other vulnerabilities in software used in our hospitals.
— Edward Snowden (@Snowden) 12 мая 2017 г.
О связи программы-вымогателя и спецслужб США заявили также в твиттере Wikileaks.
NOTE: The current hospital ransom ware directly relates to computer viruses produced by the NSA. Not to WikiLeaks CIA #Vault7 series.
— WikiLeaks (@wikileaks) 12 мая 2017 г.
В свою очередь, в министерстве внутренней безопасности США предложили помощь в борьбе с WannaCry как внутри страны, так и за рубежом.
"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", — говорится в официальном заявлении ведомства.
Как уберечься от WannaCry
Вирус использует уязвимость в ОС Windows. Однако компания Microsoft закрыла ее еще в марте. Если на вашем компьютере включена автоматическая установка обновлений, "вымогатель" вам не грозит. Если вы обновляете систему вручную, вам нужно выполнить эту инструкцию.
13.05.17 15:55
Программист заявил, что случайно остановил распространение вируса WannaCryВирус-вымогатель Wanna Cry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, пишет The Guardian.
Программист @MalvareTechBlog вместе с коллегой Дарианом Хассом выснили, что вирус обращается по такому адресу и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить.
"Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку", — написал он.
Таким образом, атаку удалось остановить, но только временно. Как только хакеры изменят адрес в вирусе, кибератака продолжится.
Вечером 12 мая со всего мира начали поступать сообщения о массовом заражении компьютеров программой-шифровальщиком. За снятие блокировки злоумышленники требовали выкуп в биткоинах.
Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.
13.05.17 18:22
Эксперт рассказал, как защититься от вируса-вымогателяГендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков рассказал, как минимизировать риски заражения от вирусов-шифровальщиков, один из которых в пятницу распространился во многих странах мира.
"Лаборатория Касперского" 12 мая зафиксировала около 45 тысяч попыток заражения программой-шифровальщиком в 74 странах по всему миру, при этом наибольшее число попыток заражений наблюдается в России.
Ранее в СМИ сообщалось, что хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США. Издание Financial Times со ссылкой на аналитиков в области кибербезопасности сообщило, что инструмент американских разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с "программой-вымогателем" WannaCry.
По словам Сачкова, главное – делать резервные копии. Также он советует своевременно обновлять операционную систему. "Не используйте ОС, которые не поддерживаются обновлениями компании-производителя. Для конкретного случая с WannaCry MicrosoftMSFT сделала исключение и выпустила обновление, закрывающее уязвимость, которую эксплуатирует этот вирус. Использовать версии ОС более чем 10-летней давности, давно выведенные из-под защиты, - прямой путь к заражению", - сказал эксперт.
Кроме того, не стоит открывать вложения в сообщениях электронной почты от незнакомых лиц. В сети компании желательно установить решение класса "песочница", которое проверяют все файлы, приходящие на почту или скачиваемые сотрудниками из интернета, запуская их в специальной, изолированной среде. "В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение", - пояснил он.
Для обнаружения потенциально вредоносных файлов нужно включить опцию "Показывать расширения файлов" в настройках Windows. "Держитесь подальше от расширений файлов, таких как .exe, .vbs и .scr. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe или doc.scr)", - отметил Сачков.
При обнаружении подозрительного процесса на устройстве нужно немедленно отключить его от интернета или домашнего Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Сачков рекомендует никогда не платить выкуп, поскольку нет никакой гарантии, что злоумышленники отправят ключ дешифрования.
Feather
13.05.17 17:14
Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.BaxLi2012
13.05.17 19:11
Атака - это просто внешнее воздействие, успешная атака - это да, тут можно и о компетенции админов заикнуться.Ferr
13.05.17 20:49
Я не админ, дома интернет со статичным ip адресом, стоит под роутером (логин/пароль для управления роутером сменил конечно)). Все работает, проблем нетFerr
13.05.17 20:52
По первости, когда только подключил статичный ip адрес, конечно словил батхерт. Как то не подумал, что роутер стал извне доступен, буквально через пару дней после подключения статики прихожу домой, а в яндексе шлюхи пляшут)Мороз
13.05.17 21:08
Использовать версии ОС более чем 10-летней давности, давно выведенные из-под защиты, - прямой путь к заражению", - сказал эксперт.Ferr
13.05.17 21:12
Нет батенька, не спалился. В роутер прописался сниффер, который анализировал траффик и дописывал в html код всего то ссылку на javascript скрипт и все, все достаточно безобидно. ну а этот скрипт уже грузился на любой html странице и мог полностью изменять DOM структуру документа, поскольку браузер его считал родным для этого сайта (в ответе пришел жеж).Ferr
13.05.17 21:21
Именно поэтому раньше яндекс работал по http протоколу, а сейчас работает по https протоколу, вот как раз для того, чтобы не случалось вот таких казусов, делов то)artyom
13.05.17 21:22
Ril
13.05.17 21:55
Ril
13.05.17 21:59
Nimnool
13.05.17 22:07
Ril
13.05.17 22:10
Ferr
13.05.17 22:48
Эй эй рбята, полехче. Я привел https лишь в контексте того, что примитивные снифферы уже не могут инжектится в проходящий траффик и все, имейте голову але). Я нигде не говорил про то, что https протокол панацея от всех бед, но этот протокол позволяет избежать определенный ряд угроз, не более того. Я привел пример, где это может работать, все).Ferr
13.05.17 23:12
Если тупо, https шифрует тело ответа, ну контент, ну то есть, то чо вы хотите, оно зашифровано.AndreyGoose
13.05.17 23:27
astill07
14.05.17 07:35
Ничем вся эта "информация" не отличается от "атак русскихRil
14.05.17 09:32
Амиго
15.05.17 08:18
Таких вирусов будет всё больше и больше. А тем временем всякие гуглы будут всё активнее и активнее предлагать облако для хранения персональных данных. Так сказать, добро пожаловать в бездисковое будущее.kotik
15.05.17 08:25
Эх обмельчали вирусописатели, все им бабки подавай. Вот помню раньше без всяких там вымогательст просто грохали винт 26 апреля и все.Nimnool
15.05.17 09:02
ti-robot
15.05.17 13:29