Всем привет! Совсем недавно, интернет взволновало событие, от которого пострадали компьютеры многих компаний и частных пользователей. Всему виной появившийся вирус Wanna Cry, который за короткое время молниеносно проник и заразил огромное количество компьютеров в разных странах мира. На данный момент распространение вируса снизилось, но не остановилось полностью. Из-за этого, пользователи периодически попадаются в его ловушку и не знают, что делать, так как не все антивирусные программы способны его обезвредить. По предварительным данным, атаке подверглись более 200 тысяч компьютеров по всему миру. Вирус Wanna Cry по праву можно считать самой серьезной угрозой текущего года, и возможно ваш компьютер будет следующим на его пути. Поэтому, давайте подробно рассмотрим, как данный вредоносный код распространяется и каким образом можно с ним бороться.

«Вона край», так еще называют Российские пользователи данный вирус, относится к виду вредоносного ПО, которое поселяется на компьютере как троян и начинает вымогать деньги у пользователя ПК. Принцип его работы такой: на рабочем столе компьютера появляется баннер, который блокирует всю работу пользователя и предлагает ему отправить платное СМС сообщение, чтобы убрать блокировку. Если пользователь откажется платить деньги, информация на компьютере будет зашифрована без возможности восстановления. Как правило, если не предпринять никаких действий, можно попрощаться со всей информацией, хранящейся на жестком диске.

По сути, вирус Wanna Cry можно отнести к группе вирусов, блокеров-вымогателей, которые периодически треплют нервы многим юзерам.

Как работает новый вредитель?

Попадая на компьютер, вона край быстро шифрует информацию, находящуюся на жестком диске.

После этого, на рабочем столе появляется специальное сообщение, в котором пользователю предлагается заплатить 300 американских долларов, за то, чтобы программа расшифровала файлы. Если пользователь будет долго думать, и деньги не поступят на специальный электронный кошелек Bitcoin, то сумма выкупа удвоится и придется выложить уже 600 долларов, что на наши деньги около 34000 тысяч рублей, приличная сумма, неправда ли?

По прошествии семи дней, если пользователь не отправит вознаграждение для расшифровки файлов, эти файлы будут удалены вымогателем без возможности восстановления.

Вирус Wanna Cry умеет работать практически со всеми современными типами файлов. Вот малый список расширений, которые находятся в зоне риска: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Как видите, в этом небольшом списке, есть все популярные файлы, которые способен зашифровать вирус.

Кто же создатель вируса Wanna Cry?

По информации агентства национальной безопасности Соединенных Штатов Америки ранее был обнаружен программный код под названием «Eternal Blue», правда информация о данном коде была скрыта, для использования в личных интересах. Уже в апреле текущего года, сообщество хакеров обнародовало информацию о данном эксплойте.

Скорее всего, создатель вона край использовал данный код для написания очень эффективного вируса. На данный момент, еще не установлено, кто является главным автором вымогателя.

Как распространяется и попадает на компьютер вирус Wanna Cry?

Если вы еще не попались в ловушку вируса Wanna Cry, то будьте внимательны. Распространяется он, чаще всего, посредством электронных писем с вложениями.

Представим такую ситуацию! Вам приходит электронное сообщение, возможно, даже от известного вам пользователя, которое содержит аудиозапись, видео клип либо фото, открыв письмо пользователь с радостью кликает по вложению, не замечая тот факт, что файл имеет расширение exe. То есть по сути, юзер сам запускает установку программы, в следствии чего происходит инфицирование файлов компьютера и при помощи вредоносного кода происходит загрузка вируса, который шифрует данные.

Обратите внимание! Заразить компьютер блокером «вона край» вы можете и при скачивании файлов с торрент-трекеров или же получив личное сообщение в социальных сетях или мессенджерах.

Как обезопасить компьютер от вируса Wanna Cry?

Наверное, в вашей голове возник резонный вопрос: «Как защититься от вируса Wanna Cry?»

Здесь я вам могу предложить несколько основных способов:

• Так как разработчики Майкрософт всерьез взволновались от действий вируса, то незамедлительно выпустили обновление для всех версий операционной системы Windows. Поэтому, чтобы обезопасить свой ПК от данного вредителя, необходимо в срочном порядке скачать и установить заплатку системы безопасности;
• Внимательно следите за тем, какие письма вам приходят на email. Если вам пришло письмо с вложением, даже от знакомого вам адресата, то обратите внимание на расширение файла. Ни при каких обстоятельствах, не открывайте скаченные файлы с расширением вида: .exe; .vbs; .scr . Так же расширение может быть замаскировано и иметь такой вид: avi.exe; doc.scr ;
• Чтобы не попасться в лапы вируса, в настройках операционной системы включите показ расширений файлов. Это позволит вам видеть, какой тип файлов вы пытаетесь запустить. Так же будет хорошо видно, тип замаскированных файлов;
• Установка, даже самого л скорее всего не спасет ситуацию, так как вирус использует уязвимости операционной системы для доступа к файлам. Поэтому, первым делом, установите все обновления для Windows, а уже после ставьте ;
• Если есть возможность, перенесите все важные данные на внешний жесткий диск. Это обезопасит вас от потери информации;
• Если фортуна повернулась к вам пятой точкой, и вы попали под действие вируса Wanna Cry, то для того, чтобы от него избавиться переустановите операционную систему;
• Держите вирусные базы ваших установленных антивирусов в актуальном состоянии;
• Рекомендую скачать и установить бесплатную утилиту Kaspersky Anti-Ransom ware. Данная утилита позволяет в режиме реального времени, защитить компьютер от различных блокеров-вымогателей.

Патч Windows от Wanna Cry, чтобы компьютер не болел.

Если на ваш компьютер установлена операционная система:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Установите данный патч, скачать вы его можете по ссылке на официальном сайте Майкрософт.

Для всех остальных версий операционной системы Windows, достаточно будет установить все доступные обновления. Как раз с этими обновлениями вы закроете дыры в системе безопасности Windows.

Удаляем вирус Wanna Cry.

Для того, чтобы удалить вымогатель «вона край», попробуйте воспользоваться одной из самых лучших утилит удаления вредоносных программ.

Обратите внимание! После работы антивирусной программы, зашифрованные файлы не будут дешифрованы. И скорее всего вам придется их удалить.

Есть ли возможность самостоятельно расшифровать файлы после Wanna Cry.

Как правило, блокеры-вымогатели, к которым относится наш «вона край» шифруют файлы с применением ключей 128 и 256 бит. При этом, ключ для каждого компьютера уникален и не повторяется нигде. Поэтому, если попытаться расшифровать такие данные в домашних условиях, то вам понадобится не одна сотня лет.

На данный момент, в природе не существует ни одного дешифратора Wanna Cry. Следовательно, ни один пользователь не сможет расшифровать файлы после работы вируса. Поэтому, если вы еще не стали его жертвой, рекомендую позаботиться о безопасности своего компьютера, если же вам не повезло, то есть несколько вариантов решения проблемы:

• Заплатить выкуп. Здесь вы отдаете деньги на свой страх и риск. Так как вам никто не гарантирует, что после того как вы отправите деньги, программа сможет обратно расшифровать все файлы;
• Если вирус не обошел стороной ваш компьютер, то можно просто отключить жесткий диск и положить его на дальнюю полку до лучших времен, когда появится дешифратор. На данный момент, его не существует, но вероятнее всего, он появится в скором будущем. Хочу вам сказать по секрету, что дешифраторы разрабатывает Лаборатория Касперского и выкладывает на сайт No Ramsom;
• Для пользователей лицензионного антивируса Касперского, существует возможность подать заявку на расшифровку файлов, которые зашифровал вирус Wanna Cry;
• Если на жестком диске ПК нет ничего важного, то смело его форматируйте и устанавливайте чистую операционную систему;

Вирус Wanna Cry в России.

Представляю график, на котором отлично видно, что самое большое количество компьютеров попало под действие вируса на территории Российской Федерации.

Вероятнее всего, это произошло от того, что российские пользователи не особо любят покупать лицензионное ПО и чаще всего используют пиратские копии операционной системы Windows. Из-за этого, система не обновляется, и остается очень уязвимой для вирусов.

Не обошел стороной такие компьютеры и вирус Wanna Cry. Рекомендую устанавливать лицензионную версию операционной системы, а также не выключать автоматическое обновление.

Кстати, не только компьютеры частных пользователей пострадали от блокера «вона край», но и государственные организации такие как: МВД, МЧС, Центробанк, а также крупные частные компании такие как: оператор сотовой связи «Мегафон», «Сбербанк России» и «РЖД».

Как я уже говорил выше, от проникновения вируса, можно было уберечься. Так еще в марте текущего года, компания Майкрософт выпустила обновления системы безопасности Windows. Правда не все пользователи его установили, из-за чего и попали в ловушку.

Если вы используете старую версию операционной системы, то непременно скачайте и установите патч, о котором я вам писал в пункте выше.

Подведем итоги.

В сегодняшней статье мы с вами поговорили о новом вирусе Wanna Cry. Я постарался максимально подробно рассказать, что из себя представляет данный вредитель и как можно от него уберечься. Так же теперь вы знаете где можно скачать патч, который закроет дыры в системе безопасности Windows.

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о , относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным « Лаборатории Касперского» , наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы .

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Вирус « владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

• наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
• некоторые менее популярные типы документов (.sxw, .odt, .hwp).
• архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
• базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
• ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
• файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

WannaCry распространяется через протоколы обмена файлами, установленных на компьютерах компаний и государственных учреждений. Программа-шифровальщик повреждает компьютеры на базе Windows .

Свыше 98% случаев инфицирования вымогательским ПО WannaCry приходятся на компьютеры под управлением Windows 7 , причем более 60% заражений затрагивают 64-разрядную версию ОС. Такие данные обнародовали аналитики «Лаборатории Касперского ». Согласно статистике, менее 1% зараженных компьютеров работают на базе версий Windows Server 2008 R2 и Windows 10 (0,03%).

После проникновения в папку с документами и другими файлами вирус шифрует их, меняя расширения на.WNCRY. Затем вредоносная программа требует купить специальный ключ, стоимость которого составляет от 300 до 600 долларов , угрожая в противном случае удалить файлы.

В целом WannaCry - это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку - кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая .

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям - чем больше компьютеров в сети, тем больше ущерб.

Кроме того, вирусом оказались затронуты компьютеры в , Испании , Италии, Германии , Португалии, Турции, Украине, Казахстане, Индонезии, Вьетнаме, Японии и Филиппинах.

Анализ показал, что практически все сообщения о выкупе были переведены через Google Translate , и только английская и две китайские версии (упрощенная и классическая), вероятно, были написаны носителями языка.

Несмотря на то, что сообщение на английском языке было написано человеком, хорошо владеющим языком, грубая грамматическая ошибка указывает на то, что это не родной язык автора. Flashpoint выяснила, что именно текст на английском стал первоисточником, который впоследствии перевели на остальные языки.

Сообщения о требовании выкупа на китайском языке отличаются от других по содержанию и тону. Кроме того, большое количество уникальных иероглифов свидетельствует о том, что их писал человек, свободно владеющий китайским.

Спустя три месяца после начала атак с использованием вымогательского ПО WannaCry его создатели вывели все имеющиеся в биткойн-кошельках средства - более $142 тыс. Транзакции были замечены ботом издания Quartz. Шифровальщик требовал у своих жертв выкуп в размере $300-$600 в биткойнах. Все полученные деньги распределялись по трем кошелькам. В ночь на 3 августа 2017 года были зафиксированы семь переводов средств, которые были проведены в течение 15 минут. Вероятнее всего, деньги пройдут через цепочку других биткойн-кошельков, чтобы скрыть конечного получателя.

Кто виноват

В.Путин: Спецслужбы США

«Атака без разбору распространялась по всему миру в мае. Оно (вредоносное ПО WannaCry – ред.) шифровало и делало бесполезным сотни тысяч компьютеров в больницах, школах, компаниях и домах. Это было подло, небрежно и причинило большой материальный ущерб. Атака была широко распространенной и стоила миллиарды. Ответственность за нее лежит непосредственно на Северной Корее»,- завил Боссерт .

Как пояснил советник, его заявление не является голословным и основывается на полученных в ходе расследования доказательствах. К выводам о причастности КНДР к атакам WannaCry также пришли спецслужбы и специалисты ряда частных компаний, отметил Боссерт.

По мере того, как цифровые технологии становятся повсеместными, злоумышленники начинают использовать их в своих целях. Атаки в киберпространстве позволяют им оставаться анонимными и заметать свои следы. С помощью кибератак преступники похищают интеллектуальную собственность и причиняют ущерб в каждом секторе, отметил советник.

Распространение в мире

Присутствие на сотнях тысяч компьютеров по всему миру

26 декабря 2018 года стало известно, что спустя 18 месяцев после масштабной эпидемии вымогательского ПО WannaCry, от которого пострадало множество пользователей в более чем 100 странах мира, вредонос все еще присутствует на сотнях тысяч компьютеров , свидетельствуют данные компании Kryptos Logic.

По информации Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю», исходящих от более чем 630 тыс. уникальных -адресов в 194 странах. По числу попыток подключения лидируют Китай , Индонезия , Вьетнам , Индия и Россия . Как и следовало ожидать, в рабочие дни количество попыток возрастает по сравнению с выходными.

Присутствие вымогателя на столь большом количестве компьютеров может обернуться серьезной проблемой – для его активации достаточно одного масштабного сбоя в Сети, подчеркивают специалисты.

Ранее Kryptos Logic представила бесплатный сервис TellTale, позволяющий организациям проводить мониторинг на предмет заражения WannaCry или другими известными угрозами .

Атака на TSMC

Крупнейший в мире производитель чипов TSMC потерял $85 млн из-за вируса WannaCry. Об этом компания сообщила в финансовом отчете, направленном Тайваньской фондовой бирже (Taiwan Stock Exchange, TSE). Подробнее .

Атака на Boeing

Как сообщил пресс-секретарь LG Electronics изданию Korea Herald, попытка вымогателя атаковать компанию провалилась. Незамедлительное отключение сетей сервисных центров позволило избежать шифрования данных и требования выкупа. По данным KISA, киоски были инфицированы WannaCry, однако, каким образом вредонос попал на системы, неизвестно. Возможно, кто-то целенаправленно установил программу на устройства. Не исключено также, что злоумышленники обманным путем заставили кого-то из сотрудников загрузить вредонос.

Атаки на автопроизводителей

Заражение дорожных камер

В июне 2017 года создатели печально-известного вируса-вымогателя WannaCry невольно помогли австралийским водителям избежать штрафов за превышение скорости, сообщает BBC News.

В результате инцидента полиция австралийского штата Виктория отменила 590 штрафов за превышение скорости и проезды на красный сигнал светофора, хотя правоохранители уверяют, что все штрафы были назначены верно.

Исполняющий обязанности заместителя комиссара Росс Гюнтер (Ross Guenther) пояснил, что общественность должна быть полностью уверена в правильности работы системы, поэтому в полиции и приняли такое решение.

Хотя основная волна атак WannaCry пришлась на середину мая 2017 года, шифровальщик продолжает причинять беды еще около двух месяцев. Ранее в американской ИБ-компании KnowBe4 подсчитали, что ущерб от WannaCry лишь за первые четыре дня распространения составил более $1 млрд, включая потери в результате утраты данных, снижения производительности, сбоев в работе бизнеса, а также репутационный вред и другие факторы.

Первая атака на медоборудование

WannaCry стал первым вирусом-шифровальщиком, который атаковал не только персональные компьютеры лечебных учреждений, но и непосредственно медицинскую аппаратуру.

Касперский призывает ввести государственную сертификацию софта для медицинских учреждений

В ходе недавней выставки CeBIT Australia глава производителя антивирусного ПО KasperskyLab Евгений Касперский поделился некоторыми размышлениями, касающимися вируса-вымогателя WannaCry. От действий последнего пострадали сотни тысяч пользователей из 150 стран, пишет издание ZDNet .

Учитывая, что в первую очередь WannaCry поразил сеть медицинских учреждений, их защита является делом первостепенной важности, считает глава антивирусной компании и требует вмешательства государства. «Меня не покидает мысль, что правительствам стоит уделять больше внимания регулированию киберпространства, по крайней мере, это касается критически важной инфраструктуры здравоохранения», - сказал Евгений.

По его мнению, сертификация медицинских учреждений должна включать определённые требования, которые гарантируют защиту ценных данных. Одним из них является получение специальных разрешений, которые удостоверяют, что та или иная клиника обязуется делать резервное копирование данных по графику, а также своевременно производить обновления ОС . Помимо этого государство должно составить перечень обязательных к использованию в секторе здравоохранения систем и приложений (вместе со спецификациями, которые требуются им для безопасного интернет-подключения).

Евгений Касперский считает, что поставляемая производителями медицинского оборудования техника также должна подчиняться требованиям государственных органов. «Производители медтехники выпускают сертифицированную продукцию, которую по условиям контракта нельзя модифицировать. Во многих случаях эти требования не позволяют заменить или обновить ПО в таком оборудовании. Неудивительно, что Windows XP может оставаться непропатченной многие годы, если не навсегда», - говорит эксперт.

Карта распространения и ущерб от вымогателя WannaCry

Американские эксперты оценили ущерб от масштабной хакерской атаки, которая в начале мая 2017 года обрушилась на компьютерные системы госорганов, крупных корпораций и других учреждений в 150 странах мира. Этот ущерб, уверены оценщики KnowBe4, составил $1 млрд. По этим данным, всего WannaCry поразил от 200 тыс. до 300 тыс. компьютеров.

«Предполагаемый ущерб, нанесенный WannaCry за первые четыре дня, превысил $1 млрд, учитывая вызванные этим масштабные простои крупных организаций по всему миру», - заявил глава KnowBe4 Стью Сьюверман. В общую оценку ущерба вошли потеря данных, снижение производительности, простои в работе, судебные издержки, репутационные ущербы и другие факторы.

Данные на 18.05.2017

Распространение в России

Россия вошла в тройку стран по распространению вируса

В конце мая 2017 года компания Kryptos Logic, разрабатывающая решения для обеспечения кибербезопасности, опубликовала исследование, которое показало, что Россия вошла в тройку стран с наибольшим количеством хакерских атак с использованием вируса-вымогателя WannaCry.

Выводы Kryptos Logic основаны на числе запросов к аварийному домену (kill switch), который предотвращает заражение. В период с 12 по 26 мая 2017 года эксперты зафиксировали порядка 14-16 млн запросов.

Диаграмма, отражающая страны с наибольшим распространением вируса WannaCry в первые две недели, данные Kryptos Logic

В первые дни массового распространения WannaCry антивирусные компании сообщали, что большая часть (от 50% до 75%) кибернападений при помощи этого вируса пришлась на Россию . Однако, по данным Kryptos Logic, лидером в этом отношении стал Китай , со стороны которого зафиксировано 6,2 млн запросов к аварийному домену. Показатель по США составил 1,1 млн, по России - 1 млн.

В десятку государств с наибольшей активностью WannaCry также вошли Индия (0,54 млн), Тайвань (0,375 млн), Мексика (0,3 млн), Украина (0,238 млн), Филиппины (0,231 млн), Гонконг (0,192 млн) и Бразилии (0,191 млн).

Глава Минсвязи: WannaCry не поражал российское ПО

Вирус WannaCry не поражал российское программное обеспечение, а находил слабые места в зарубежном ПО, заявил министр связи и массовых коммуникаций РФ Николай Никифоров в программе "Мнение" "Вести.Экономика" в мае 2017 года.

Он признал, что в некоторых госпредприятиях были проблемы из-за этого вируса. Поэтому информационные технологии, работающие в России , должны быть "наши технологии, российские", подчеркнул Никифоров.

"Более того, у нас есть научно-технический потенциал. Мы одна из немногих стран, которая при некоторых усилиях, организационных, финансовых, технических, способна создать весь стек технологий, позволяющих чувствовать себя уверенно", - заявил министр.

"Вирус не поражал отечественное ПО, вирус поражал зарубежное ПО, которое мы массово используем", - подчеркнул он.

Совбез РФ: WannaCry не нанес серьезного ущерба России

В Совбезе РФ оценили ущерб, который вирус WannaCry нанес объектам инфраструктуры России . Как заявил заместитель секретаря Совбеза РФ Олег Храмов, вирус WannaCry не нанес серьезного ущерба объектам критической информационной инфраструктуры России.

К данным объектам относятся информационные системы в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике и других.

Храмов напомнил, что для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента Российской Федерации последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

«Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять масштабному распространению этого вируса», - заявил Олег Храмов .

При этом заместитель секретаря СБ РФ подчеркнул, что подобные угрозы информационной безопасности становятся все более изощренными и масштабными.

Атака на МВД

12 мая 2017 года стало известно об атаке вируса WannaCry на компьютеры Министерства внутренних дел (МВД) России . Зараженными оказались 1% систем ведомства.

Как сообщило РИА Новости со ссылкой на официального представителя МВД РФ Ирину Волк, Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России зафиксировал вирусную атаку на персональные компьютеры ведомства, на которых установлена операционная система Windows .

Министерство внутренних дел России сообщило, что 12 мая его серверы подверглись хакерской атаке

Она также отметила, что WannaCry не смог заразить серверные ресурсы МВД, поскольку они используются другие операционные системы и серверы на российских процессорах «Эльбрус» .

Ряд персональных компьютеров сотрудников ведомства подвергся заражению WannaCry вследствие нарушения сотрудниками правил пользования информационными системами. Причиной инфицирования стали попытки работников МВД подключить служебные компьютеры к интернету «посредством того или иного механизма». Зараженными оказались исключительно персональные компьютеры сотрудников, внутренняя сеть министерства внутренних дел защищена от внешнего воздействия.

Атака на «большую тройку»

В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 - в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization - «рандомизация размещения адресного пространства»).

Вирусы Adylkuzz и Uiwix

Исследователи отмечают, что Adylkuzz начал атаки раньше WannaCry - как минимум 2 мая, а возможно и 24 апреля. Вирус не привлек к себе так много внимания, потому что заметить его гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как вирус оттягивает на себя ресурсы системы.

При этом Adylkuzz защитил пострадавших от него пользователей от атак WannaCry, так как закрыл собой брешь в Windows и не позволил другому вирусу ей воспользоваться.

Кроме того, после WannaCry появился еще один шифровальщик - Uiwix, который также использует нашумевшую уязвимость в Windows. Об этом заявили специалисты компании Heimdal Security.

Uiwix, в отличи от многочисленных подражателей WannaCry, действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», поэтому невозможно остановить его распространение, зарегистрировав определенный домен.

Данный вирус шифрует данные жертв и требует выкуп в размере 0.11943 биткоина (порядка 215 долларов по текущему курсу).

Попытки наживаться на WannaCry от создателей других вирусов

В июне 2017 года исследователи из компании RiskIQ обнаружили сотни мобильных приложений, выдающих себя за средства защиты от шифровальщика WannaCry, на деле оказываясь в лучшем случае бесполезными, в худшем - вредоносными. Подобные приложения являются частью более масштабной проблемы - фальшивых мобильных антивирусов. Подробнее .

Ошибки в коде WannaCry

Код WannaCry был полон ошибок и имел очень низкое качество. До такой степени низкое, что некоторые жертвы могут восстановить доступ к своим оригинальным файлам даже после того, как те были зашифрованы.

Анализ WannaCry, проведенный исследователями из специализирующейся на безопасности «Лаборатории Касперского », выявил, что большинство ошибок означает, что файлы могут быть восстановлены с помощью общедоступных программных инструментов или даже простых команд .

В одном случае ошибка WannaCry в механизме обработки файлов только для чтения означает, что он вообще не может шифровать такие файлы. Вместо этого вымогатель создает зашифрованные копии файлов жертвы. При этом оригинальные файлы остаются неприкосновенными, но помечаются как скрытые. Это означает, что файлы легко вернуть, просто сняв атрибут «скрытый».

Это не единственный пример плохого кодирования WannaCry. Если вымогатель проникает в систему, файлы, которые его разработчики не считают важными, перемещаются во временную папку. В этих файлах содержатся оригинальные данные, которые не перезаписываются, а лишь удаляются с диска. Это означает, что их можно вернуть, используя ПО для восстановления данных. К сожалению, если файлы находятся в «важной» папке, такой как Документы или Рабочий стол, WannaCry запишет поверх оригинальных файлов случайные данные, и в этом случае их восстановление будет невозможным.

Тем не менее, множество ошибок в коде дает надежду пострадавшим, поскольку любительский характер вымогателя предоставляет широкие возможности для восстановления, по крайней мере, файлов.

«Если вы были заражены вымогателем WannaCry, велика вероятность, что вы сможете восстановить многие файлы на своем пострадавшем компьютере. Мы рекомендуем частным лицам и организациям использовать утилиты восстановления файлов на пострадавших машинах в своей сети», - сказал Антон Иванов, исследователь безопасности из «Лаборатории Касперского».

Уже не первый раз WannaCry характеризуется как некая любительская форма вымогателя. А тот факт, что за три недели после атаки лишь мизерная доля зараженных жертв выплатила в общей сложности 120 тыс. долл. в биткоинах в виде выкупа, позволяет утверждать, что вымогатель, хотя и вызвал массовый переполох, не сумел получить больших денег, что является конечной целью программ-вымогателей.

Инструмент для удаления WannaCry

Как обезопасить свой компьютер от заражения?

• Установите все обновления Microsoft Windows .
• Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
• Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP , Windows 8 и Windows Server 2003 .
• Используйте сервисы для доступа к информации о новейших угрозах.
• При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

Начало мая этого года было ознаменовано огромной кибер-атакой, под которую попали государственные и частные компьютеры и компьютерные сети во всем мире. Для выполнения этой атаки злоумышленниками был использован неизвестный ранее вирус вымогатель Wanna Cry. О заражении своей техники сообщили представители 150-ти стран. В их число входят Россия, Индия, Украина, Италия, Великобритания, Германия, Испания, Япония, Португалия, Тайвань, и др.

Действие вируса Wanna Cry 2017 было ориентировано на то, чтобы, попав на компьютер, зашифровать имеющиеся на нем файлы, и вымогать за их дешифрацию выкуп. В противном случае пользователи могли навсегда лишиться своей информации.

В основном эпидемия вируса Wanna Cry распространилась на большие государственные структуры и учреждения. Например, такие как госструктуру России, лечебные заведения в Англии, железнодорожные перевозчики в Германии, информационные системы и энергетические объекты в Испании и Италии, пр. По статистическим дынным, которые были озвучены представителями национальной безопасности США, взлому были подвергнуты более 300 тыс. компьютеров во всем мире.

Что такое вирус WannaCry?

Компьютерный вирус Wanna Cry представляет собой своего рода плагин-криптор, который, внедряясь в систему компьютера, производит шифрование пользовательских файлов с помощью специального криптоустойчивого алгоритма. После таких действий вируса чтение файлов и операции с ними становятся невозможными. Среди наиболее распространенных файлов, которые шифрует интернет вирус Wanna Cry, относятся:

• файлы, созданные с помощью программного пакета Microsoft Office;
• файлы различных архивов;
• видео- фото- и аудиофайлы.

Вирус реализован в виде программы WanaCrypt0r 2.0, которая может распространяться с помощью e-mail или социальных сетей. Атака вируса Wanna Cry была ориентирована на компьютерные системы, которые управляются с помощью операционной системы Windows.

За дешифрацию закодированных файлов вирус шифровальщик Wanna Cry вымогает у пользователя ПК денежное вознаграждение, которое составляет 300…600 долларов. Оплату за разблокировку предлагалось оплатить с помощью, набирающей сейчас популярность, криптовалюты биткоин.

Кто создал вирус WannaCry?

Тот, кто запустил вирус Wanna Cry, использовал уязвимость операционной системы MSB-MS17-010, о которой многим было известно и ранее. В компании Microsoft было подтверждена информация о том, что вирусом действительно использовалась уязвимость их системы, информация о которой была выкрадена у комиссии нацбезопасности США (АНБ).

АНБ действительно владела информацией об этой уязвимости, которая была реализована в виде инструмента для реализации кибер-атаки EternalBlue. Позже алгоритмы этого инструмента попали в руки хакерской команды The Shadow Brokers, которая опубликовала их в общедоступный доступ в апреле этого года.

Специалисты компании Лаборатория Касперского, а также их коллеги из Symantec обратили внимание на то, что код вируса Wanna Cry очень похож на сигнатуры вируса, применяемого хакерской группировкой Lazarus Group в начале 2015 года, которая была замечена в связях с правительством КНДР. Подобное утверждение было подтверждено и представителями корейской компании Hauri Labs, которые также заметили сходство алгоритма вируса вымогателя с вредоносными кодами, используемыми северокорейскими хакерами. Возможно тот, кто создал вирус и имеет отношение к Lazarus Group, но пока это только догадки.

На сегодняшний день все же остается загадкой, как проявился вирус Wanna Cry, которую предстоит разгадать спецслужбам разных стран.

Принцип работы вируса

Создатели вируса Wanna Cry ориентировались прежде всего на крупные предприятия, где имеется много важной и ценной информации, за которую можно получить существенный выкуп. Но, не исключением стали и пользователи обычных домашних компьютеров, подключенных к глобальной сети Интернет.

Основным способом заражения вирусом является рассылка писем по электронной почте. В таком письме пользователю оправляется некая информация и ссылка, при переходе через которую, на компьютер происходит загрузка вредоносной программы WanaCrypt0r 2.0. Также заразить свой компьютер можно при неосторожном скачивании файлов с торрентов, файлообменников или при попытке открыть картинку, прослушать песню, к файлу которой прикреплен вирус.

После того, как программа WanaCrypt0r v2.0 была скачана на компьютер и запущена произойдет загрузка непосредственно и самого вируса. Далее он производит сканирование накопителей компьютера и выполняет шифрование имеющейся на них информации. Кодированию подвержены как системные файлы операционной системы, так и рабочие файлы пользователя, включая документы, фото, видео и пр. После того, как проявился вирус Wanna Cry, зашифрованные файлы на ПК будут иметь расширение WNCRY, а доступ к ним будет запрещен. При попытке использовать такие файлы на экране компьютера появится предупреждение о необходимости оплаты выкупа в биткоинах за то, чтобы произвести раскодировку файлов.

На сегодня вирус Wanna Cry остановлен, но не исключено, что атака со стороны хакеров может повториться снова, чтобы инфицировать еще большее число компьютеров.

Модифицировался ли вирус после заражения первой версией?

Перед тем, как заражению были подвергнуты компьютеры с помощью программы WanaCrypt0r v2.0, была еще первая версия этой программы WanaCrypt0r, которая отличалась только способом распространения. Все другие симптомы вирусы Wanna Cry имели одинаковые.

Используя описанную выше уязвимость, вирус Wanna Cry первой и второй модификации распаковывает свой инсталлятор, извлекает из архива сообщение о выкупе, которое выдается пользователю на том языке, который используется системой его компьютера (вирусом поддерживается 30 различных языков).

Следующим что делает вирус Wanna Cry – это закачивание TOR-браузера, посредством которого происходит поддержка связи с серверной системой, управляющей вирусом-шифровальщиком. После этой процедуры вирусом открывается полный доступ к файлам и каталогам, хранимым на накопителе компьютера. Таким образом расширяется число файлов, которые могут быть зашифрованы.

Признаки вируса Wanna Cry могут проявиться еще до того, как пользователь увидит сообщение о необходимости оплаты выкупа. Дело в том, что программа WanaCrypt0r v2.0 прописывает себя в автозагрузку и загружает впоследствии процессор компьютера и жесткий диск. Уже по этим признакам пользователь должен обратить внимание на систему своего компьютера и проверить ее на наличие вредоносных программ, среди которых может быть одна из версий Wanna Cry.

Последний из этапов действия вирусной программы является удаление всех резервных и теневых копий файлов, из которых их можно восстановить. Для реализации этой процедуры потребуется получение полных прав администратора операционной системы. В таком случае ОС может выдавать предупреждение от встроенной службы UAC. По неопытности пользователь может подтвердить получение доступа вирусу шифровальщику Wanna Cry, что делать категорически запрещается. Если пользователем будет сделан отказ, то эти файлы останутся, что существенно увеличит вероятность восстановления зашифрованной информации.

Какие ОС больше всего затронул вирус?

Многие пользователи ПК озадачены вопросом, какие версии Windows поражает вирус Wanna Cry. После такой мощной атаки каждый теперь старается защитить свою информацию как можно лучше. Вирус, который распространялся в майской кибер-атаке, был нацелен на операционные системы Windows, которые имели перечисленную выше уязвимость. Среди компьютеров, которые были заражены, оказались те, на которых была установлена ОС Windows Vista//7//8//10, а также Windows Server модификаций 2008//2012 и 2016.

Исследуя статистические данные о зараженных компьютерах, выяснилось что 98% из общего числа зараженных ПК поразил вирус Wanna Cry с Windows 7 . Именно эта операционная система оказалась менее всего защищенной от кибер-атаки. При этом, 60% из зараженных ПК использовали 64-разрядную версию операционки.

Чтобы защитить своих клиентов в будущем, выпущена заплатка Microsoft от вируса Wanna Cry. Для пользователей, которые используют уже неподдерживаемые операционные системы, с целью защиты Windows от вируса Wanna Cry Microsoft выпустила специальный патч, исключающий заражение файлов.

Что касается владельцев ПК с ОС Linux, вирус Wanna Cry их не затронул, как и владельцев техники с Mac OS. Также не распространился вирус Wanna Cry и на андроид устройства.

В каких странах наиболее распространен вирус?

Исследуя карту заражения вирусом Wanna Cry, можно сделать выводы, что эта кибер-атака была направлена на информационную систему России. Около 75% атак было направлено на компьютеры РФ. Второе и третье место в «рейтинге атакованных» занимают Украина и Индия. Но в отличие от Российской Федерации, Украина вирусом Wanna Cry, как и Индия были инфицированы менее 10%.

В перечень тех, кто пострадал от вируса Wanna Cry входят также пользователи Тайваня, Таджикистана, Казахстана, Люксембурка, Китая, Румынии, Италии, Испании. Такие страны, как Германия и Великобритания, в которых шла атака на их государственные объекты по числу заражений не попали в 20-ку этого «рейтинга».

Как уберечься от заражения?

На сегодняшний день вирус шифровальщик 2017 Wanna Cry остановлен – это удало сделать специалисту из Великобритании, который зарегистрировал доменное имя, к которому обращалась программа WanaCrypt0r. Благодаря этому удалось приостановить распространение вредоносного плагина через всемирную информационную сеть. Вопрос остается в другом – на долго ли? Поэтому каждый пользователей должен знать несколько правил, чтобы исключить заражение:

Следует загрузить последние обновления для своей ОС Windows (заплатка от Wanna Cry есть даже под уже устаревшую Windows XP);

• важно пользоваться антивирусными программами и постоянно обновлять их;
• чтобы вовремя обнаружить потенциально опасные файлы, которые могут быть признаками вируса Wanna Cry, следует в настройках Windows активировать опцию отображения расширения файлов;
• специалисты также рекомендуют произвести блокирование 445-го порта межсетевого экрана, посредством которого и осуществлялось заражение;
• следует быть внимательным к письмам, которые приходят на e-mail, не открывать подозрительные файлы, ссылки, быть аккуратным в соцсетях при просмотре фотографий и видео.

Что делать если заражение произошло?

Если избежать попадания вируса-шифровальщика на ПК избежать не удалось, важно не паниковать. Конечно, можно попробовать и заплатить выкуп, если есть лишние деньги, но где гарантия, что злоумышленники действительно расшифруют все файлы?

1. Если Вы стали жертвой вымогателя Wanna Cry следует обратиться на технический форум «Лаборатории Касперского» , где работают профессионалы компании и волонтеры-программисты, которые помогают решить эту проблему.
2. Сейчас ведется активная работа по разработке дешифровальщика информации, которая была обработана WanaCrypt0r и в ближайшем будущем он будет предложен пользователям.
3. Если вирус шифровальщик Wanna Cry заразил компьютер, на котором нет ценной информации, и пользователь может легко с ней расстаться, то избавиться от вредоносного кода можно и самостоятельно. Для этого достаточно произвести форматирование диска с полным удалением всей информации и последующей остановкой новой ОС.

Заключение

Кибер-атака Wanna Cry является не первым и не последним таким случаем, хотя и малоприятным. Чтобы защитить себя и свою информацию важно соблюдать давно установившиеся правила использования сетевых ресурсов. Нужно своевременно обновлять свою операционную систему, использовать встроенные инструменты безопасности, а также различные антивирусы. И что самое главное, быть аккуратным и внимательным при использовании информационных ресурсов. Ведь зачастую пользователи сами приносят беду на свой компьютер, пользуясь ресурсами с плохой репутацией, а также скачивая и используя неизвестные и непроверенные файлы.