Свыше 100 тыс. компьютеров в мире заражены вирусом Wana Decrypt0r (WannaCry), который шифрует данные пользователей Windows, а затем требует выкуп в размере $300.
О серьезности инцидента говорит тот факт, что в мире, по информации СМИ, заражены компьютеры крупнейших промышленных производителей, коммуникационных гигантов, системы здравоохранения. Заразиться WannaCry может любой компьютер под управлением Windows, подключенный к интернету, на котором нет соответствующего обновления от Microsoft.
WannaCry: как все начиналось
Судя по сообщениям, пик заражения пришелся на 12 мая 2017 года. В профильном блоге компании Pentestit на Хабрахабр пишут, что авторы вируса Wana Decrypt0r (его еще называют WCry) используют эксплоит ETERNALBLUE, созданный специалистами АНБ. Вирус шифрует все файлы на компьютере пользователя. Затем требует выкуп в размере $300 в биткоинах. На выплату выкупа дается три дня, потом сумма удваивается. Через пять дней без оплаты, вирус обещает уничтожить все файлы на компьютере.
Скриншот Wana Decrypt0r
Эксперты по кибербезопасности из MalwareHunterTeam утверждают, что больше всего пострадали Россия и Тайвань. Но, кроме того, атаке подверглись компьютеры в Украине, а также в Великобритании, Испании, Италии, Германии, Португалии, Турции, Казахстане, Индонезии, Вьетнаме, Японии и на Филиппинах.
Среди жертв вируса – крупнейшая телекоммуникационная компания Telefonica, газовая компания Gas Natural, Iberdrola, банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения. В России были заражены компьютеры оператора «Мегафон» и МВД.
Распространение вируса WannaCrypt удалось приостановить. Специалист по безопасности, который ведет твиттер @MalwareTechBlog, исследовал вирус и обнаружил, что тот по каким-то причинам обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он решил зарегистрировать этот домен, чтобы следить за активностью программы.
Как выяснилось позже, в коде вируса прописано, что если обращение к этому домену успешное, то заражения следует прекратить; если нет, то продолжать. Сразу после регистрации домена к нему пришли десятки тысяч запросов.
Вместе с тем это не победа над вирусом. Чтобы снова начать заражение, злоумышленникам достаточно изменить несколько строк кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Как защититься от WannaCry (Wana Decrypt0r)
Уязвимость, которую используют авторы вируса, не новая. Если вы регулярно устанавливаете обновления безопасности от Microsoft, то у вас нет проблем. В противном случае нужно срочно установить обновления для вашей операционной системы.
На сайте Geektimes, пользователь с ником kvaps дает советы, как проверить наличие уязвимости в системе.
- Перейдите по ссылке (на сайт Microsoft) и проверьте код обновления для вашей системы, например, Windows 7 или Windows Server 2008 R2 код будет 4012212 или 4012215
- Откройте cmd.exe (командная строка).
- Напишите: wmic qfe list | команда findstr имя_драйвера 4012212 и нажмите Enter.
- Если в ответе вы увидите нечто подобное, это означает, что патч у вас уже установлен, и можно спать спокойно: P2 Security Update KB4012212 NT AUTHORITY \ система 3/18/2017
- Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка.
- Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.
