Крупнейшая атака программы-вымогателя WanaCrypt0r

WannaCrypt

Вредоносная программа, относящаяся к классу криптовымогателей, нанесла ущерб уже многим организациям по всему мире. Она шифрует информацию на компьютере и требует заплатить выкуп биткоинами за расшифровку.

Сообщается, что в  число пострадавших уже попали испанская телекоммуникационная компания Telefonica, медицинские центры в Великобритании, американская компания доставки FedEx, французский автопроизводитель Renault. Вредоносная программа, относящаяся к классу криптовымогателей, получила название WanaCrypt0r 2.0. Другие известные названия вируса — WCry и WannaCry.

В России первое сообщение о WanaCrypt0r появилось на портале «Пикабу»: автор утверждал, что зловред поразил сеть МВД. В министерстве слухи не подтвердили, заявив, что ведутся некие регламентные работы, а затем признали факт атаки, но опровергнув факт заражение своих серверов. Сообщается, что жертвой атаки вируса-вымогателя стал российский мобильный оператор «Мегафон».

Эксперты по кибербезопасности из MalwareHunterTeam утверждают, что, помимо России, под ударом оказались Тайвань, Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины. При этом новый вирус WanaCrypt0r распространяется с огромной скоростью.

На карте показаны страны, наиболее пострадавшие от вспышки Wannacryptor. (Источник: Avast)

Зловред использует, как предполагается, набор утилит «eternal blue», которые ранее были похищены во время атаки на сервера АНБ США.

Как действует вирус WanaCrypt0r

Зловред WanaCrypt0r — это так называемый Ransomware — специализированный софт для получения выкупа.

Первоначальное заражение происходит, как правило, после скачивания вредоносного программного обеспечения, которое либо приходит как вложение или ссылка на скачивание в электронной почте, либо открыв окно с поддельным обновлением и скачав ложные файлы установки.

После заражения компьютера, зловред зашифровывает файлы определенных расширений, а затем блокирует работу системы, выводя на экран окно с угрозами и требуя деньги за инструкцию и пароль для расшифровки. Сообщение с требованием выкупа содержит требование о перечислении суммы, эквивалентной 300 долларам, на  биткоин-кошелек злоумышленника. Жертве дается 3 дня на оплату, после них сумма выкупа увеличивается до $600. Если пользователь откажется платить в течение недели, зашифрованные файлы будут удалены безвозвратно. Надо понимать, что гарантий расшифрования никто не дает даже после перечисления выкупа.

Атака зловреда WanaCrypt0r происходит на машины под управлением Microsoft Windows через известную сетевую уязвимость, описанную Microsoft Security Bulletin MS17-010: зловред WanaCrypt0r умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты.

После успешной атаки на зараженную систему устанавливается специализированный набор скриптов, с помощью которого запускается программа-шифровальщик.

Шифрованию WanaCrypt0r подвергает файлы со следующими расширениями:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Как защититься от вируса WanaCrypt0r

Следует придерживаться следующих рекомендаций, как противостоять заражению WanaCrypt0r (WannaCry):

  • всем организациям рекомендуется убедиться, что на их компьютерах, работающих под управлением современных ОС Microsoft Windows, установлены последние обновления безопасности, как минимум Security Update for Microsoft Windows SMB Server (4013389)
  • для компьютеров под управлением Windows XP и других неподдерживаемых ОС, в том числе серверных, Microsoft выпустила обновление безопасности KB4012598
  • необходимо убедиться, что  порты 139, 445 и 3389 закрыты для внешнего доступа посредством firewall

 

Услуги связи: телефонная связь и интернет в Москве и Московской области
Понравилась статья? Подпишитесь на электронную подписку - это абсолютно бесплатно! Все самые свежие ИТ Новости и интересные материалы будут приходить вам на почту, вы сможете читать новости с экрана компьютера, планшета или телефона.

1 Коммент

  1. Зазимко Сергей

    15.05.2017 at 11:05

    Распространение вируса-вымогателя WCry (Wanna Cry), который накануне заразил более 70 тысяч компьютеров по всему миру, удалось приостановить, сообщается в твиттере MalwareTechBlog, который ведет специалист по безопасности.

    Пользователь обратил внимание, что WCry по неясной причине обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Автор блога MalwareTechBlog зарегистрировал домен с таким именем, чтобы проследить за активностью вируса.

You must be logged in to post a comment Логин

%d такие блоггеры, как: