Вирус wannacry проник в систему одного из заводов apple
Centr86.ru

Ремонт бытовой техники

Вирус wannacry проник в систему одного из заводов apple

Шифровальщик WannaCry все еще заражает компьютеры

Первая волна массового заражения компьютеров сетевым червем WannaCry прокатилась по всему миру в мае 2017 года. За короткое время от WannaCry пострадали десятки банков, аэропортов, заводов и больниц по всему миру. По общему числу заражений лидировали Россия и Украина. С тех пор прошло два года, но вредоносная программа и сейчас заражает компьютеры.

Как это было

Для начала ненадолго вернемся в 2017 год. В первые дни распространения WannaCry вирус проник почти на 300 тысяч компьютеров по всему миру. Заражение происходило с помощью корпоративных сетей, поэтому в числе первых пострадавших оказались больницы, крупные промышленные компании, государственные организации. WannaCry шифровал пользовательские файлы, требуя за восстановление доступа к данным выкуп в криптовалюте.

Уже через несколько дней после обнаружения сетевого червя специалисты по информационной безопасности начали разрабатывать методы борьбы с WannaCry. Первую волну эпидемии помогло сдержать решение Маркуса Хатчинса. Специалист заметил, что сетевой червь пытается обращаться к несуществующему домену. Домен был зарегистрирован Хатчинсом, после чего WannaCry прекратил шифровать файлы, хотя и не удалился из зараженных систем. По всей видимости, разработчики вируса планировали активировать механизм самоуничтожения программы после получения ожидаемой прибыли.

Несколько позже компания Microsoft выпустила патчи для всех распространенных версий Windows, в том числе и тех, которые официально уже не поддерживались, — случай исключительно редкий. Довольно быстро свои средства защиты от сетевого червя представили все основные компании, производящие антивирусные продукты. Последовавший анализ активности червя показал, что, вероятнее всего, распространившаяся версия вредоносной программы была незаконченной: шифрование при обращении к несуществующим доменам отсутствовало, а некоторые функции в исходном коде программы так и не были задействованы.

Тем не менее, даже недоработанная версия WannaCry причинила очень серьезный ущерб. В первые дни атаки пострадали организации и пользователи в 150 странах мира. В США и Германии была на время парализована работа крупных промышленных предприятий, в Великобритании значительно пострадали медицинские учреждения: из-за неработоспособности компьютеров и медицинской техники врачам пришлось перенести операции и назначенные процедуры. В России от WannaCry пострадали и рядовые пользователи, и сотрудники МВД в разных регионах: в отдельных областях страны подразделения МВД не работали в течение двух-трех дней.

Меры предосторожности и текущая ситуация

Уже в 2017 году стало понятно, что с WannaCry можно успешно бороться.

Для защиты от сетевого червя домашним пользователям достаточно обычных действий: необходимо загрузить доступные обновления ОС Windows, обновить сигнатуры используемой антивирусной программы до актуальных. Также, как и всегда, не повредит регулярное резервное копирование всех важных файлов на отдельные устройства, не подсоединенные постоянно к используемому компьютеру.

Кроме того, производители антивирусных программ выпустили и специальные утилиты для борьбы с шифровальщиками, например, Kaspersky Anti-Ransomware. Механизмы защиты от шифровальщиков были доработаны практически во всех популярных антивирусных продуктах. Таким образом, защититься от WannaCry стало намного проще.

Несколько иначе ситуация обстоит в корпоративном секторе — крупные компании для защиты от шифровальщиков создавали защиту на базе собственных прокси. Но и в корпоративном секторе достаточно быстро нашли эффективные способы защиты от WannaCry.

Анализ специалистов показывает, что и в 2019 году этот сетевой червь все еще «живет», хотя многие модификации уже не шифруют файлы пользователей. Во всем мире сотни тысяч систем еще остаются зараженными.

По состоянию на декабрь 2018 года к домену, зарегистрированному Маркусом Хатчинсом, было зарегистрировано 17 миллионов обращений с более чем 600 тысяч уникальных IP-адресов. К весне 2019 года это количество несколько сократилось, но и сейчас вирусом WannaCry заражены не менее 400 тысяч компьютеров в Индии, Вьетнаме, США, России, Китае, Индонезии.

Почему вирус из 2017-го еще не ушел в историю?

WannaCry сейчас гораздо менее опасен, а методы избавления от сетевого червя уже широко известны. Почему же вредоносная программа до сих пор не ушла в историю?

К сожалению, даже в корпоративном сегменте повсеместно наблюдаются случаи полного пренебрежения принципами информационной безопасности. Операционные системы не получают обновлений годами — причем даже на компьютерах, подключенных к интернету. Кроме того, на сотнях тысяч рабочих станций просто отсутствуют антивирусные программы — это делает компьютеры уязвимыми перед большинством угроз. К тому же нередко операционные системы настраиваются без учета требований безопасности: не отключается автозапуск, используются учетные записи с правами администратора, групповые политики не обновляются своевременно. Все это создает благоприятные условия для троянов, шифровальщиков и прочего вредоносного ПО, хотя нередко даже обычное получение обновлений операционных систем и использование любого популярного антивируса уже могут помочь избежать заражения.

Клон вируса WannaCry парализовал компьютеры «Башнефти»

Компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-добыча» и управлении «Башнефти») заражены вирусом-шифровальщиком, рассказали «Ведомостям» два источника, близких к «Башнефти». Шифровальщик предупредил пользователей, что все их файлы заражены, а попытки самостоятельного восстановления – бесполезны. Шифровальщик предлагает перевести $300 в криптовалюте биткоин в обмен за разблокировку доступа.

В своем Twitter-аккаунте «Роснефть» сообщила о мощной хакерской атаке на серверы компании. Представитель «Роснефти» не уточнил «Ведомостям», касается ли это сообщение атаки на «Башнефть». Позже компания сообщила, что «⁠распространители лживых панических сообщений будут рассматриваться как сообщники организаторов хакерской атаки и вместе с ними нести ответственность».

Авторы вируса WannaCry заработали $66 000

Один из сотрудников «Башнефти» на условиях анонимности рассказал «Ведомостям» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. “Умер” жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, все сотрудники получили распоряжение выключить компьютеры.

⁠⁠⁠Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены, сообщил представитель «Роснефти».

Помимо Башнефти атаке подверглись и другие крупные компании, утверждает автор telegram-канала «Сайберсекьюрити» Александр Литреев. По его словам, об аналогичных проблемах ему сообщили люди, работающие в Mondelēz International, Ощадбанке, Mars, Новой почте, Nivea, TESA и других.

Сейчас речь идет не об известном вирусе WannaCry, а о подобной по своему поведению вредоносной программе, сообщил Литреев. По его словам, вирус является модификацией известного вируса Petya.A, он поражает жесткий диск и распространяется при помощи ссылок в письмах. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет он.

По данным криминалистической лаборатории Group-IB, жертвами атаки вируса Petya.A стали более 80 российских и украинских компаний. Чтобы остановить распространение вируса, необходимо закрыть TCP-порты 1024-1035, 135 и 445, подчеркнули в Group-IB. Руководитель лаборатории Валерий Баулин в разговоре с RNS также подчеркнул, что атака не имеет отношения к WannaCry.

«Среди жертв кибератаки оказались сети “Башнефти”, “Роснефти”, украинских компаний “Запорожьеоблэнерго”, “Днепроэнерго” и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, “Новая почта”, Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке», – указывает Group-IB. Также вирус проник на компьютеры правительства Украины, операторов страны (Киевстар, LifeCell, Укртелеком) и Приватбанка. «Аэропорт “Борисполь”, предположительно, также подвергся хакерской атаке», — добавляют в лаборатории.

Читать еще:  Как пользоваться кофеваркой

Украина подверглась масштабной хакерской атаке

Что такое WannaCry

Волна заражений вирусом шифровальщиком WannaCry месяц назад прошла по всему миру. Вирус заражал компьютеры, не установившие обновление операционной системы. В ходе хакерской атаки вирус WannaCry заразил до 300 000 компьютеров по всему миру и зашифровал информацию на них, сделав ее недоступной для использования. В России были атакованы «Мегафон» и МВД.

Жертвам предлагалось заплатить за разблокирование данных, переслав на онлайн-счет биткоины на сумму, эквивалентную $300. К утру 25 мая хакеры получили всего 302 платежа на общую сумму $126 742.

Атаку WannaCry удалось быстро остановить, но, как предупреждали эксперты «Лаборатории Касперского», у вируса довольно быстро появились модификации, причем ни одна из них не была создана авторами оригинального вымогателя: ситуацией воспользовались другие киберпреступники.

Хотите скрыть рекламу? Оформите подписку и читайте, не отвлекаясь

Наши проекты

Контакты

Рассылки «Ведомостей» — получайте главные деловые новости на почту

Электронное периодическое издание «Ведомости» (Vedomosti) зарегистрировано в Федеральной службе по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия 22 декабря 2006 г. Свидетельство о регистрации Эл № ФС77–26576.

Рекламно-информационное приложение к газете «Ведомости». Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) за номером ПИ № ФС 77 – 77720 от 17 января 2020 г.

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

Электронное периодическое издание «Ведомости» (Vedomosti) зарегистрировано в Федеральной службе по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия 22 декабря 2006 г. Свидетельство о регистрации Эл № ФС77–26576.

Рекламно-информационное приложение к газете «Ведомости». Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) за номером ПИ № ФС 77 – 77720 от 17 января 2020 г.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

WannaCry: как не стать жертвой вируса

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о вирусе WannaCry (WNCRY, Wana Decrypt0r 2.0), относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным «Лаборатории Касперского», наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы.

Окно шифровальщика-вымогателя WannaCry (Wana Decrypt0r 2.0)

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.

Вирус «владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

  • наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
  • некоторые менее популярные типы документов (.sxw, .odt, .hwp).
  • архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
  • базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
  • ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
  • файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

WannaCry: кто виноват и что делать

Содержание статьи

Шифровальщики – это не новость

Начнем с того, что ни WannaCry в частности, ни вымогательское ПО в целом – это вовсе не новое явление. Программы блокирующие или затрудняющие работу с операционной системой появились более десяти лет назад, и за прошедшие годы они не претерпели никаких революционных изменений. Шифровальщики и локеры всех мастей всегда стремились к одному — сделать нормальную работу с ОС невозможной (шифруя файлы пользователя, блокируя экран смартфона, не позволяя загрузить операционную систему и так далее), а за разблокировку зараженного компьютера или мобильного устройства всегда требовали выкуп.

WannaCry версия 2.0

Xakep #252. Чемоданчик хакера

WannaCry, также известный под названиями Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt, был обнаружен отнюдь не в середине мая 2017 года, когда начались атаки, взбудоражившие весь мир. Впервые вирус был замечен специалистами еще в феврале 2017 года, но не произвел на них большого впечатления, по сути, являясь совершенно заурядным вымогателем, каких в настоящее время насчитываются десятки, если не сотни.

Читать еще:  Как работает увлажнитель воздуха в комнате

Хакерские инструменты АНБ

Почему началась эпидемия, если WannaCry – это рядовой вымогатель? Дело в том, что в середине мая 2017 года разработчики WannaCry выпустили вторую версию вредоноса, после чего тот стал распространяться со скоростью лесного пожара и посеял в сети настоящую панику.

Такой эффективности авторам WannaCry удалось добиться благодаря тому, что они в буквальном смысле взяли на вооружение эксплоиты из арсенала спецслужб.

Еще летом 2016 года группа хакеров, называющих себя The Shadow Brokers, сумела похитить хакерский инструментарий у специалистов АНБ. Долгое время хакеры тщетно пытались продать попавшее в их руки «кибероружие», но им не удалось провести аукцион или найти прямого покупателя, после чего, в апреле 2017 года, группировка опубликовала украденные данные совершенно бесплатно, в открытом доступе.

Именно готовыми инструментами из арсенала АНБ (а точнее эксплоитами ETERNALBLUE и DOUBLEPULSAR) и воспользовались создатели WannaCry, превратив заурядного с технической точки зрения шифровальщика в SMB-червя, от которого на данный момент пострадали уже более 400 000 устройств и сотни организаций по всему миру.

Количество зараженных устройств уже превышает 400 000

Уязвимость в протоколе SMB

Инструменты ETERNALBLUE и DOUBLEPULSAR никак не улучшали функциональность самого шифровальщика, но они позволили WannaCry распространяться через уязвимость в протоколе SMB (Server Message Block).

О том, что в SMB были обнаружены большие проблемы, ][ предупреждал еще в январе и феврале 2017 года. Более того, в марте 2017 года, задолго до того, как WannaCry начал эксплуатировать уязвимости в SMB, компания Microsoft выпустила исправление, представив бюллетень безопасности MS17-010, который полностью устранял проблему. Отметим, что ][ сообщал о выходе этих важных патчей еще в марте, а в апреле текущего года еще раз заострил внимание на том, что Microsoft закрыла большинство брешей, которые эксплуатировало АНБ.

Наряду с другими изданиями и специалистами мы неоднократно предупреждали о том, что вскоре «киберарсенал» АНБ могут начать использовать хакеры. Однако зачастую компании и пользователи не спешат устанавливать обновления, применяют давно устаревшее ПО и мало тревожатся о собственной безопасности.

Халатное отношение к безопасности

Паника, которую породили атаки WannaCry – это прямое следствие повсеместного халатного отношения к безопасности. Пользователи искреннее полагают, что не открывая подозрительные письма и не переходя по подозрительным ссылкам, они не могут заразиться вирусом. WannaCry напомнил всему миру, что это не так.

Благодаря тому, что шифровальщик использует ETERNALBLUE и DOUBLEPULSAR, достаточно просто включить уязвимый компьютер, подключенный к интернету. Жертве не придется посещать вредоносные сайты, открывать подозрительные почтовые вложения и вообще что-либо делать. Заражение произойдет автоматически, через эксплуатацию уязвимости в SMB.

К сожалению, ошибочное мнение, которое можно описать словами «зачем я нужен каким-то хакерам, зачем им вообще меня ломать?», очень популярно даже в наши дни. Чтобы понять все глубину этого заблуждения, достаточно осознать, что практически любая информация – это деньги. И речь идет не только о секретах крупных компаний и предприятий, или средней стоимости ворованной банковской карты на черном рынке.

Хакеров интересуют все

Как показала практика, пользователи готовы откупаться от злоумышленников, которые зашифровали все файлы на их жестком диске, и платить за «спасение» своих фотографий, рабочих документов, коллекций любимой музыки и других «никому не нужных» вещей.

Также никто не отменял и того факта, что практически любое зараженное устройство, будь то компьютер, роутер, мобильный гаджет или нечто иное, может стать частью крупного ботнета, после чего будет «работать» на преступников. Монетизировать таких ботов можно множеством способов: без ведома владельца устройство может участвовать в DDoS-атаках; пропускать через себя чужой трафик, выступая в роли прокси-сервера; «копать» криптовалюту; скликивать или «просматривать» рекламу и так далее. Таким образом, хакерам нужны и интересны абсолютно все, без исключений, и логика «у меня нечего брать, я никого не интересую» здесь не работает.

Бизнес, в свою очередь, находится в еще более невыгодном положении. Специалисты IT-подразделений вынуждены иметь дело не только с сотрудниками собственных компаний, которые зачастую не имеют даже базовых представлений о «гигиене безопасности», но также должны следить за появлением новых угроз, отражать атаки, поддерживать стабильную работу систем и актуальность ПО.

Современные киберпреступники не только воруют корпоративные секреты, они устраивают DDoS-атаки на предприятия и шантажом заставляют компании заплатить за их прекращение (ведь в противном случае пострадавшие сервисы могут оставаться недоступными на протяжении многих часов или даже дней). Из-за халатности сотрудников в сети компаний то и дело проникают трояны, шифровальщики и другие «бытовые» угрозы, что может привести к самым печальным последствиям.

К примеру, в конце 2016 года из-за атаки обыкновенного шифровальщика HDDCryptor на несколько дней была практически парализована работа San Francisco Municipal Railway (буквально: муниципальная железная дорога Сан-Франциско, сокращено Muni) — организации-оператора общественного транспорта города и округа Сан-Франциско. Тогда 2 112 систем организации из 8 656 оказались заражены HDDCryptor. Пострадали платежные системы, системы, отвечающие за расписание движения, а также почтовая система Muni.

Отказ систем Muni. Фото Colin Heilbut‏

Система, которая включает в себя пять видов общественного транспорта (автобус, троллейбус, скоростной трамвай, исторический электрический трамвай и исторический кабельный трамвай), была вынуждена работать бесплатно, ведь иначе движение общественного транспорта в Сан-Франциско пришлось бы останавливать, и город ждал бы неминуемый транспортный коллапс.

Кто виноват?

С одной стороны, косвенно «поблагодарить» за «вымогательский апокалипсис», развернувшийся по всему миру, можно хакерскую группировку The Shadow Brokers. Ведь именно The Shadow Brokers сделала достоянием общественности опасные киберинструменты АНБ.

Однако с тем же успехом обвинить в случившемся можно и сами спецслужбы, которые создали эксплоиты ETERNALBLUE и DOUBLEPULSAR, и долгое время умалчивали о критической уязвимости в SMB. Именно так уже поступил главный юрисконсульт компании Microsoft Брэд Смит (Brad Smith).

Также можно возложить ответственность на компанию Microsoft, которая исправила уязвимости еще в марте 2017 года, подготовила патчи для устаревших, неподдерживаемых ОС в феврале 2017 года, но предпочла не привлекать к проблеме внимания, а также «придерживала» патчи для Windows XP, Windows 8 и Windows Server 2003 до тех пор, пока катастрофа не разразилась в полной мере.

И конечно не стоит забывать о самих создателях WannaCry. До сих пор доподлинно неизвестно, на ком именно лежит ответственность за происшедшее. Как утверждают специалисты компании Symantec и «Лаборатории Касперского», с большой долей вероятности шифровальщика разработали северокорейские хакеры из небезызвестной группировки Lazarus, за которой эксперты наблюдают уже много лет. Специалисты компании Flashpoint, в свою очередь, провели лингвистический анализ WannaCry и обнаружили “китайский след”.

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR

Тем не менее, как уже было сказано выше, настоящий корень проблемы – это халатность и повсеместное невнимание к вопросам информационной безопасности. Патч, защищающий от WannaCry стал доступен еще в марте 2017 года, за два месяца до начала атак. А первые предупреждения об уязвимостях в протоколе SMB появились еще раньше. По сути, все пострадавшие от атак WannaCry поплатились за свою беспечность, так как за два месяца они не сумели найти времени на установку критических обновлений, о выходе которых было широко известно.

Читать еще:  Какой отпариватель лучше

Как защититься и быть готовым

Если говорить о защите от WannaCry, всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно. Также, учитывая серьезность ситуации, компания Microsoft выпустила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003, поэтому пользователям этих систем так же следует озаботиться обновлением.

У тех, кто уже пострадал от деятельности вымогателя, есть шанс восстановить свои файлы, не выплачивая выкуп злоумышленникам. Хотя полноценного дешифровщика для WannaCry все еще нет, эксперты создали несколько инструментов, которые работают с Windows XP и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. При соблюдении рядя условий, эти утилиты помогут расшифровать пострадавшую информацию.

Однако нужно понимать, что проблема уже не ограничивается одним только WannaCry. Шифровальщик практически сразу породил множество подражателей, а уязвимость в SMB и инструменты спецслужб уже активно примеряют другие хакеры. Сейчас специалисты сходятся во мнении, что в будущем подобных атак будет становиться только больше, и если WannaCry был достаточно примитивной угрозой, то в дальнейшем атаки станут более комплексными и изощренными.

Эксплоиты АНБ начали использовать задолго до WannaCry и продолжат после. Иллюстрация Secdo

Все вышеописанное подводит нас к очень простому выводу: зачастую, чтобы защитить себя, достаточно соблюдать самые базовые и общеизвестные правила безопасности. В частности, нужно вовремя устанавливать патчи, пользоваться актуальными версиями ПО, не пренебрегать антивирусами и другими защитными решениями. Организациям, в свою очередь, следует чаще проводить для своих сотрудников тренинги и другие мероприятия, посвященные информационной безопасности, со всей серьезностью подходить к соблюдению ИБ-политики, а также не забывать следить за развитием угроз, появлением новых уязвимостей, методик и техник атак.

Хотя эти советы могут показаться слишком уж очевидными, не будем забывать о более чем 400 000 пострадавших от атак WannaCry, которые пренебрегали даже этими банальными правилами.

WannaCry: как защититься от вируса-шифровальщика

Краткое руководство для обычных пользователей и представителей малого бизнеса, которые хотят минимизировать вероятность заражения вирусом WannaCry и другими типами вредоносных программ.

WannaCry: как распространяется и чем опасен?

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать.

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

  • Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
  • Поменяйте драйвера.
  • Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
  • Обновите операционную систему и все остальное ПО.
  • Обновите и запустите антивирусник.
  • Повторно подключитесь к сети.
  • Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус. Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Защита информации от уничтожения

Но NCA настойчиво призывает не платить деньги. Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

  • Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
  • Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
  • В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать здесь.

2. Сделать резервные копии важной информации.

Рекомендуется хранить копии важных файлов в надежном месте на съемных носителях информации либо использовать специализированные средства резервного копирования.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Ссылка на основную публикацию
Adblock
detector