Вирус-вымогатель под названием WanaCrypt0r 2.0 или WCry заразил около 70 тысяч компьютеров по всему миру, больше всего атак зафиксировали в России. Kloop.kg разобрался, что это за вирус и узнал, какова угроза вашему компьютеру.
Что такое WanaCrypt0r 2.0?
Это компьютерный вирус, шифрующий данные пользователя и меняющий расширение зараженных файлов. К примеру, формат обычного ярлыка на Windows — exe. Если файл завирусован, то вы это заметите, расширение exe изменится на WNCRY.
Вирус назвали вымогателем, потому что за расшифровку файлов он требует выкуп в сумме от 300 до 600 долларов в криптовалюте биткойн.
В противном случае, вирус угрожает удвоить цену через три дня. Если платежа не будет через неделю, все файлы удалятся.
Как он распространяется?
Вредоносная программа может проникнуть в компьютер через электронную почту. Поэтому, если вы боитесь киберугрозы, можете отключить интернет.
Через почту жертвам отправляется зашифрованный сжатый файл, заражающий устройство при загрузке.
«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит (программы-вирусы, которые позволяют удаленно контролировать компьютер — прим.), используя который, злоумышленники запустили программу-шифровальщик», — сообщают в «Лаборатории Касперского».
Вирус атакует только компьютеры с операционной системой Windows, пользователям Linux или Mac OS можно не волноваться.
Также WCry автоматически может находить уязвимые компьютеры в локальных сетях.
Мой компьютер заражен, что делать?
Некоторые пользователи заплатили хакерам. Например, на 12 мая разработчики WCry заработали 3.5 биткойна или чуть больше шести тысяч долларов.
Это разблокирует файлы, однако британское издание «Гардиан» сообщило, что платеж может не помочь и советует не пополнять кошелек злоумышленников
Специалисты советуют заранее создать резервную копию данных. Если ее нет, то вы рискуете потерять все файлы.
Когда и откуда появился вирус-вымогатель?
Разработчик антивирусов Avast предполагает, что за созданием вируса стоит группировка The Equation Group. По мнению разработчика антивируса, они используют инструменты уязвимости, созданные Агентством национальной безопасности США.
О связи Equation Group с Агентством национальной безопасности отмечали в WikiLeaks. Специалисты из «Лабаратории Касперского» заметили схожесть WCry со Stixnet — компьютерным червем, который США и Израиль использовали для атаки на иранскую ядерную программу.
Представители компании добавили, что первая версия вируса появилась в сети в феврале 2017 года, но массовые атаки начались 12 мая.
Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что Агентство национальной безопасности косвенно связано с кибератакой. Само агентство пока не прокомментировало ситуацию.
Кого успели заразить?
Сотрудники «Лаборатории Касперского» говорят, что жертвами WCry стали как минимум 45 тысяч пользователей из 74 стран мира. Причем 70% из них приходится на Россию.
36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge. pic.twitter.com/EaZcaxPta4
— Jakub Kroustek (@JakubKroustek) May 12, 2017
Вирус заблокировал компьютеры в госпиталях Великобритании, остановив работу всей системы здравоохранения. «Нью-Йорк Таймс» сообщает, что как минимум 25 больниц уже заражены.
По данным агенства «Рейтер», сотрудники британской Национальной службы здравоохранения были предупреждены об угрозе кибератаки в пятницу, однако было слишком поздно.
Одним из первых WCry атаковал компьютеры испанского сотового оператора «Телефо́ника». Среди наиболее пострадавших — сервера, расположенные на территории России и Тайваня. Кроме того, вирусом оказались затронуты компьютеры в Великобритании, Испании, Италии, Германии, Португалии, Турции, Украине, Казахстане, Индонезии, Вьетнаме, Японии и Филиппинах.
Кого вирус заразил в России?
Атаку официально подтвердило Министерство внутренних дел России. По сообщению пресс-службы МВД России департамент информационных технологий, связи и защиты информации министерства зафиксировал вирусную атаку на компьютеры МВД с операционной системой Windows.
В ведомстве подчеркнули, что благодаря принятым мерам, вирус успел заразить менее 1% всех компьютеров министерства.
Также, некоторые СМИ сообщали об атаке вируса на компьютеры Следственного комитета России. Однако там эту информацию опровергли.
О кибератаке заявили и в сотовой компании «Мегафон». «Мегафон» отключил часть компьютерной сети из-за кибератаки на свои компьютеры, рассказал ТАСС директор компании по связям с общественностью Петр Лидов.
«Масштаб довольно большой, затронуло большую часть регионов нашей страны. Но мы справляемся, сейчас вместе с «Лабораторией Касперского» решаем этот вопрос», — сказал директор.
Он добавил, что это не отразилось на качестве мобильной связи.
Вирус уже появился в Кыргызстане?
Возможно он есть и в Кыргызстане, однако пока никаких сообщений о заражении не поступало. Кыргызстан больше подвержен риску, так как пользователи компьютеров в основном используют пиратскую версию Windows.
Разве Microsoft не может ничего предпринять?
Предприняли. Причем давно. Вирус использует уязвимость в операционной системе и распространяется вслепую: он не выбирает жертв, а заражает тех, кто не защищен.
Microsoft закрыл эту уязвимость еще в марте 2017 года: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. С проблемами столкнулись те, кто не обновил Windows.
Возможно ли остановить вирус-вымогатель?
Удалось ее приостановить. Эксперт по информационной безопасности, который ведет блог в твиттере, сделал это зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Он обнаружил, что вирус ведет к этому домену и зарегистрировал его.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) May 12, 2017
В коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
По теме:
