"Хочу плакать". По миру ширится глобальная эпидемия вируса-вымогателя
По всему миру распространяется вирус-вымогатель WannaCry, который шифрует данные на компьютере и требует выкуп от 300 дол. Некоторые мировые СМИ уже назвали "крипто-атаку" самой масштабной за всю историю. Основной удар пришелся на Россию, Украину, Китай и Индию.
С 12 мая по всему миру распространяется вирус-вымогатель WannaCry, который шифрует данные на компьютере и требует выкуп от 300 дол. Некоторые мировые СМИ уже назвали "крипто-атаку" самой масштабной за всю историю. Основной удар пришелся на Россию, Украину, Китай и Индию. Заражены сотни тысяч компьютеров, а злоумышленники получили от своих жертв 42 тыс дол.
Следить за распространением WannaCry можно онлайн.
Что произошло
12 мая началась эпидемия трояна-шифровальщика WannaCry. Аналитик компании AVG Avast Якуб Кроастек говорит, что за один день компания зафиксировала 36 тыс зараженных ПК. Kaspersky Lab насчитал 45 тыс заражений. По словам CEO SOC Prime Андрея Безверхого, 7 крупных украинских компаний из числа его клиентов пострадали в результате атаки.
В России заражению подверглись телеком компания "Мегафон", компьютеры МВД и Следственного комитета, оператор Yota и компьютеры РЖД.
По данным специалистов в сфере кибербезопасности из компании MalwareTech, 12 мая в США были заражены 1,6 тыс ПК, в Китае 6,5 тыс.
Что такое WannaCry
WannaCry - это вирус-вымогатель. Он шифрует файлы и за расшифровку требует выкуп в сумме от 300 до 600 долларов в криптовалюте биткойн. В противном случае, вирус угрожает удвоить цену через три дня. Если платежа не будет через неделю, все файлы удалятся. Установить личность владельца биткойн-счета практически невозможно.
WannaCry — это эксплойт (программа, использующее уязвимость в ПО). С его помощью на ПК жертвы попадает шифровальщик. Эксплойт также распространяет шифровальщик по локальной сети.
Обычно, чтобы заразить ПК шифровальщиком, жертва должна совершить ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Главное отличие WannaCry состоит в том, что заразиться можно вообще ничего не делая.
Как происходит заражение
Создатели WannaCry использовали уязвимость Windows известную под названием EternalBlue. Эта уязвимость похожа на ту, что использовало Агентство национальной безопасности (АНБ) США.
По данным Госспецсвязи, в Украине подавляющее большинство заражений произошло из-за открытия вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих структур и государственных учреждений.
Но шанс "подцепить" вымогателя существует даже в процессе чтения новостей на крупном авторитетном сайте. При этом сайт будет совершенно не причастен. Как правило, такие заражения происходят через систему обмена рекламными баннерами, к которой удалось подключиться злоумышленникам. Если оказаться на сайте в момент показа "зараженного" баннера с незакрытой уязвимостью в ОС или браузере и не установленным хорошим антивирусом, шанс заражения будет очень высок.
Каковы последствия заражения
После взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.
WannaCry шифрует файлы различных типов, среди которых,есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.
По словам Безверхого, WannaCry осуществляет высококачественное 2048-битное шифрование. Расшифровать зашифрованные файлы на сегодня невозможно. Существует призрачный шанс на изъятие или кражу у хакеров данных с ключами для дешифровки.
Стоит ли платить выкуп
Безверхий также категорически не рекомендует платить выкуп злоумышленникам. Во-первых, нет никаких гарантий, что они расшифруют данные. Во-вторых, в случаях с аналогичными зловредами, данные просто стирались. В-третьих, полученные деньги будут стимулировать преступников продолжать свою деятельность и развивать вредоносный софт.
Кто в зоне риска
WannaCry угрожает только пользователям ОС Windows. Особенно большой угрозе подвержены пользователи Windows XP и пиратских версий операционной системы, у которых отключена возможность обновлений.
Поскольку вирус очень быстро распространяется по сети, наибольший урон он наносит компаниям с крупными локальными сетями.
Как избежать заражения
- Немедленно установить обновление Microsoft MS17-010 от 14 марта этого года.
- Установить качественный антивирус, хотя бы его бесплатную версию.
- Регулярно делать резервные копии критических данных и хранить их на носителях, которые не подключены к ПК постоянно.
- Не открывать вложений в подозрительных сообщениях (в письмах от отправителей, относительно которых возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).
Почему больше всего пострадали Россия, Украина, Индия и Китай
CEO SOC Prime считает, что постсоветские страны, а также Индия и Китай пострадали больше всех, потому что используют устаревшую версию Windows XP и пиратские ОС. Кроме того, в этих странах в целом низкий уровень грамотности людей в элементарных вопросах компьютерной безопасности.
"В странах Западной Европы вопросы кибербезопасности, в том числе в коммерческом секторе, достаточно строго урегулированы на законодательном уровне. В США этому уделяют еще больше внимания. Более того, в штатах тратят на кибербезопасность на порядок больше денег, чем на Западе", - считает Безверхий.
Когда уровень опасности снизится
Исходя из особенностей распространения вредоносного ПО и действий, которые были совершены для его блокировки можно говорить о том, что, когда пользователи обновят свои операционные системы Windows угроза должна совсем исчезнуть, говорят специалисты антивирусной лаборатории Zillya!.
"По крайней мере, самозапускающаяся её часть не сможет работать и наносить вред как раньше. Соответствующие патчи выпущены даже для Windows XP, которая не поддерживается уже около года", - прокомментировали в Zillya!