Сeргeй Кaрaсёв
12 мaя кoмпьютeры пo всeму миру пoдвeрглись мaссирoвaннoй кибeрaтaкe — сaмoй мaсштaбнoй зa пoслeднee врeмя. Цeлью злoумышлeнникoв являeтся пoлучeниe выкупa зa вoсстaнoвлeниe дoступa к зaшифрoвaнным в xoдe нaпaдeния фaйлaм.
В xoдe aтaки примeнeнa врeдoнoснaя прoгрaммa WannaCry. Для прoникнoвeния в систeму oнa испoльзуeт oдну из уязвимoстeй в Windows (MS17-010). Кoрпoрaция Microsoft ужe выпустилa пaтч для этой «дыры», но, как показали последние события, компьютеры по всему миру остаются незащищёнными, поскольку их владельцы или администраторы до сих пор не установили апдейт.
Как сообщает «Лаборатория Касперского», на текущий момент атаки WannaCry зафиксированы в 74 странах, при этом общее количество нападений превышает 45 тыс. Причём «Лаборатория Касперского» подчёркивает, что истинное число атак может быть намного больше.
Проникнув в систему, зловред приступает к шифрованию файлов с десятками различных расширений. Это документы, изображения, музыка, видеоматериалы, архивы, файлы баз данных и многое-многое другое.
Далее вредоносная программа выводит сообщение (на разных языках, в зависимости от региона) с требование выкупа: жертве предлагается перечислить от $300 до $600 в биткоинах за восстановление доступа к файлам. При этом киберпреступники предупреждают, что в дальнейшем сумма возрастёт, а по истечении определённого времени восстановить информацию будет невозможно.
По оценкам «Лаборатории Касперского», больше всего атак пришлось на компьютеры в России. В частности, пострадали системы Министерства внутренних дел Российской Федерации. Вот что пишет ведомство в официальном сообщении: «12 мая Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи заражённых компьютеров, что составляет менее 1 %. Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус». В настоящее время выявленная активность вируса локализована. Утечка служебной информации с информационных ресурсов МВД России полностью исключена».
По имеющейся информации, для атаки злоумышленники использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США.
«Противоядие для компьютеров, заражённых WannaCry, пока не выпущено», — добавляет Би-би-си.
Обновление (11:55)
Avast сообщает, что было зафиксировано более 57 тысяч атак в 99 странах. По данным компании, больше всего инцидентов произошло на территории России, Украины и Тайваня. По сообщениям СМИ, в России атакам подверглись сети и системы МВД, Следственного комитета, «Мегафона», «Билайна», «Связного», РЖД, Минздрава, Сбербанка.
Впервые один из образцов данного зловреда был замечен ещё в феврале. В марте Microsoft выпустила обновление, закрывающее уязвимость, которая позволяет зловреду попасть в систему. Для пользователей Windows Defender вчера выпустили дополнительное обновление баз. Заметный рост активности зловреда начался в пятницу, в 10 утра по московскому времени, а к полудню он стал лавинообразным. Это связано с тем, что после заражения одного компьютера сразу же начинается поиск других незащищённых систем во всех доступных этому ПК сетях, так что всё это похоже на цепную реакцию. Атака ведётся на открытые SMB-порты 139 и 445. NYT подготовила анимированную карту заражений по всему миру.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
В Talos (принадлежит Cisco) отметили, что в коде программы один из управляющих хостов, к которому вирус постоянно пытается обратиться. Если обращение происходит успешно, то дальнейшие попытки заражения прекращаются. К счастью, автор блога @MalwareTechBlog вместе с сотрудником Proofpoint зарегистрировали этот домен и стали отслеживать активность вируса — сразу после делегирования к нему были зафиксированы тысячи одновременных обращений. Для прекращения глобальной эпидемии понадобилось всего-то $10,69 и немного времени. Тем не менее, зловред имеет модульную структуру, то есть после проникновения могут быть загружены дополнительные инструменты для различных атак.
Исследователи MalwareTech подготовили карту заражений, которая обновляется в режиме реального времени. На текущий момент ими было зарегистрировано более 125 тысяч обращений от заражённых хостов, однако почти все они уже неактивны. Тем не менее, всем пользователям Windows рекомендуется установить последние обновления безопасности! Кроме того, Microsoft выпустила патчи и для старых систем (ссылки в конце записи в блоге): Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64.
Обновление 2 (15:30)
Со всего мира продолжают приходить известия о последствиях атаки. Renault была вынуждена приостановить работу одного из заводов на северо-западе Франции. Британское предприятие Nissan пошло на аналогичный шаг, персонал отпущен домой до устранения неполадок. Британское правительство созвало экстренный комитет для оценки ситуации. Жители Германии жалуются на то, что информационно табло и терминалы железных дорог тоже оказались заражены. Есть сообщения о том, что пострадали табло в аэропортах. Среди жертв указаны энергетическая компания и поставщик газа в Испании, национальные провайдеры Испании и Португалии, пакистанская авиакомпания, полицейские участки в Китае, школы и университеты по всему миру, а также сеть банкоматов в Китае. Сообщается, что на испанской фабрике Renault также замечен вирус.
My collection of hacked infoscreens at German train stations, still counting . 45000 attacks in 74 countries so far. #wannacry #ransomsware pic.twitter.com/2RiRlOHn8W
— ???? ??? ??? (@henkvaness) May 13, 2017
В России в нескольких регионах пострадали компьютеры ГИБДД — не работает система выдачи прав. ФСБ с помощью системы ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) разослала предупреждение о вирусе и рекомендации по защите. Однако эксперты предупреждают, что пока удалось остановить только первую волну заражений (см. выше), а в Интернете уже замечены новые модификации вируса.
Аааааааа #WannaCry добрался до Сбера! pic.twitter.com/OTsXQywO8G
— dmitriy blinnikov (@discojournalist) May 12, 2017
Кроме того, на Bitcoin-кошельки преступников продолжают поступать средства. На текущий момент они собрали чуть больше 13,5 биткойнов, что эквивалентно 23,4 тыс. долларов США.
Источники: