15.05.2017

Эпидемия шифратора WannaCry

Опасный вирус-шифровальщик продолжает атаковать компьютеры по всему миру, включая МВД РФ и минздрав Великобритании.

Эпидемия шифратора WannaCry

Более того, у вредоносной программы, эксплуатирующей уязвимость Microsoft от марта 2017 года, появляются всё более изощрённые модификации, общее число которых до сих пор неизвестно. Утром 12 мая 2017 года началась массовое заражение компьютеров в 150 странах, включая корпоративные сети МВД, РЖД и Сбербанка в России, рабочие станции испанской телекоммуникационной компании. В Германии хакеры атаковали компьютеры железных дорог, в Великобритании – медицинские учреждения, во Франции – завод Renault. Общее количество жертв беспрецедентной кибератаки только за минувшие выходные составило более 200 тыс. физических и юридических лиц.

Зловредная программа WannaCry шифрует базы данных пользователей, почту и ценные файлы, после чего их невозможно использовать. За инструкцию к восстановлению доступа от жертв требуют выкуп от $200 до $600, который следует перевести на указанные счета в биткоинах. Червь атакует все компьютеры в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.

Массовость эпидемии вызвана тем, что на инфицированном компьютере червь самостоятельно пытается заразить другие доступные машины. Авторский декодер, содержащийся в Троянце, удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы, меняя при этом обои Рабочего стола Windows на графический файл.

Среди симптомов заражения WannaCry:

  • наличие системной службы mssecsvc2.0;
  • наличие файла троянца-энкодера C:\WINDOWS\tasksche.exe.

Специалисты аутсорсинговой группы «Лацерта» рекомендуют для минимизации угрозы обновить свою версию Windows, включить защитные решения на всех узлах сети, запустить сканирование критических областей, а в целях страховки сохранять резервные копии информации на отдельных носителях, после чего хранить их отключенными от любых компьютеров.

Если система не была обновлена и WannaCry попал на компьютер – и корпоративные, и домашние решения Eset Nod32 успешно детектируют и блокируют все его модификации. В продуктах Eset Nod32 для Windows предусмотрена функция проверки обновлений операционной системы, включая Windows XP, Windows 8 и Windows Server 2003. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак. Для детектирования ещё неизвестных угроз в продуктах используются поведенческие, эвристические технологии.

Ответственность за глобальную кибератаку вируса-вымогателя WannaCry, по мнению президента Microsoft Брэда Смита, лежит на правительствах и спецслужбах, в частности на ЦРУ и АНБ. По данным газеты Financial Times хакеры использовали разработку разведки под названием Eternal Blue для повышения эффективности распространения вируса. Однако на Западе поддерживают версию о зловредных «российских хакерах».