Wannacry Ransomware Attack: 3 важных вещи, которые нужно знать

В пятницу эксперты по кибербезопасности сообщили о всемирных атаках злоумышленников, названных WannaCry, и было выпущено несколько предупреждений, подразумевающих усиление мер безопасности для подключенных к сети устройств, поскольку на этой неделе ожидается вторая волна атак.

Атаки вымогателей - десятилетний хакерский трюк - в основном поразили Россию, Украину, Испанию, Великобританию и Индию.

Другие страны, включая США, Бразилию, Китай и другие страны Северной Америки, Латинской Америки, Европы и Азии, пострадали от атаки вымогателей.

Программа-вымогатель шифрует файлы на устройстве с использованием расширения «.wcry» и запускается с помощью удаленного выполнения кода SMBv2 (Server Message Block Version 2).

Также Читайте: Что такое Ransomware и как защититься от него? и являются ли смартфоны уязвимыми для атаки WannaCry Ransomware?

Группа «Лаборатории Касперского» по глобальным исследованиям и анализу указала, что «незащищенные компьютеры Windows, предоставляющие свои SMB-сервисы, могут быть атакованы удаленно», и «эта уязвимость является наиболее значимым фактором, вызвавшим вспышку».

Сообщается, что хакерская группа Shadow Brokers отвечает за то, чтобы вредоносное программное обеспечение для проведения этой атаки было доступно в Интернете 14 апреля.

Насколько широко распространена атака?

Полное влияние этой атаки до сих пор неизвестно, так как эксперты по кибербезопасности ожидают, что дополнительные волны атаки поразят больше систем.

Согласно сообщению в New York Times, атака захватила более 200 000 компьютеров в более чем 150 странах.

Пострадали компании и правительственные учреждения, включая российские министерства, FedEx, Deutsche Bahn (Германия), Telefonica (Испания), Renault (французский), Qihoo (Китай) и Национальная служба здравоохранения Великобритании.

Испанская группа реагирования на компьютерные инциденты (CCN-CERT) также призвала к активному оповещению в стране, так как сообщает, что вымогатели могли пострадать от организаций.

«Вредоносное программное обеспечение WannaCrypt быстро распространяется по всему миру и извлекается из эксплойтов, похищенных из АНБ в США. Microsoft выпустила обновление для системы безопасности, чтобы исправить эту уязвимость, но многие компьютеры остались не исправленными в глобальном масштабе », - заявили в Microsoft.

До сих пор были затронуты следующие программы:

• Windows Server 2008 для 32-битных систем
• Windows Server 2008 для 32-разрядных систем с пакетом обновления 2
• Windows Server 2008 для систем на базе Itanium
• Windows Server 2008 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)
• Windows Server 2008 для 64-разрядных систем
• Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)
• Виндоус виста
• Windows Vista с пакетом обновления 1
• Windows Vista с пакетом обновления 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition, пакет обновления 1
• Windows Vista x64 Edition, пакет обновления 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 и R2
• Windows 10
• Windows Server 2016

Как это влияет на системы?

Вредоносная программа шифрует файлы, содержащие служебные расширения, архивы, мультимедийные файлы, базы данных электронной почты и электронные письма, исходный код разработчика и файлы проекта, графические файлы и файлы изображений и многое другое.

Вместе с вредоносным ПО также устанавливается инструмент дешифрования, который помогает получить выкуп в 300 долларов, требуемый в биткойнах, а также расшифровывает файлы после совершения платежа.

Инструмент расшифровки запускает два таймера обратного отсчета - 3-дневный таймер, после которого указывается, что выкуп увеличится, и 7-дневный таймер, который показывает количество времени, оставшееся до того, как файлы будут потеряны навсегда.

Учитывая, что программный инструмент имеет возможность переводить свой текст на несколько языков, очевидно, что атака направлена ​​на глобальном уровне.

Чтобы гарантировать, что инструмент расшифровки найден пользователем, вредоносная программа также меняет обои на зараженном ПК.

Как оставаться в безопасности?

• Убедитесь, что база данных вашего антивирусного программного обеспечения обновлена ​​и защищает вашу систему в режиме реального времени, и запустите сканирование.
• Если обнаружено вредоносное ПО: Trojan.Win64.EquationDrug.gen, убедитесь, что оно помещено на карантин и удалено, и перезапустите систему.
• Если вы этого еще не сделали, рекомендуется установить официальный патч Microsoft - MS17-010, который устраняет уязвимость SMB, используемую при атаке.
• Вы также можете отключить SMB на своем компьютере, используя это руководство от Microsoft.
• Организации могут изолировать коммуникационные порты 137 и 138 UDP и порты 139 и 445 TCP.

Американские системы были защищены случайно

22-летний британский исследователь в области безопасности случайно остановил распространение вредоносного ПО в сети в США, когда купил домен выключателя вредоносного ПО, который еще не был зарегистрирован.

Как только сайт стал живым, атака была прекращена. Вы можете прочитать его полный отчет здесь о том, как он представил переключатель уничтожения для вредоносной программы и в конечном итоге выключил его.

Читайте также: Этот критический недостаток безопасности Android остается нефиксированным Google.

«Уже был другой вариант вымогателя, который не имеет переключателя уничтожения, что затрудняет его локализацию. Он уже начал заражать европейские страны », - сказала Шарда Тику, технический директор Trend Micro в Индии.

До сих пор неясно, кто несет ответственность за атаку, и предположения указывают на Shadow Brokers, которые также несут ответственность за выпуск вредоносного ПО в Интернете, или на несколько хакерских организаций.

Посмотрите видео GT Hindi для Wannacry / Wannacrypt Ransomware ниже.