Что известно и как спастись от нового вируса американских спецслужб, который атакует компьютеры
Мир накрыла одна из крупнейших хакерских атак. Вирус блокирует компьютер и требует выкуп в биткоинах в обмен на дешифровку файлов. "Страна" попыталась разобраться, что это за вирус, откуда появился и каким образом он атакует компьютеры по всему миру.
Как пишет сотрудник компании Avast (разрабатывает одноименный антивирус) Якуб Кроустек, компьютерным вирусом, который требует выкуп в биткоинах, заражены как минимум 36 тысяч компьютеров.
Какой вирус атакует компьютеры по всему миру?
Программное обеспечение, согласно заверениям Shadow Brokers, нацелено на взлом компьютеров, работающих под управлением операционной системы (ОС) Windows производства Microsoft. С помощью них любой пользователь, обладающий достаточными техническими знаниями, может нанести ущерб миллионам пользователей этой ОС.
Вирус получил название WannaCrypt (WCry). Он зашифровывает все файлы на компьютере.
Что именно атакует вирус и как действует?
Российская "Лаборатория Касперского" в свою очередь зафиксировала около 45 тыс. атак программой-шифровальщиком "WannaCry" в 74 странах по всему миру; в наибольшей степени заражению подверглась Россия.
По словам представителя лаборатории, за расшифровку данных злоумышленники требуют заплатить выкуп в размере $600 в криптовалюте Bitcoin.
Специалист лаборатории пояснил, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.
"Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)", - отметил он.
География атак нового вируса
El Mundo сообщила, что кибератака затронула множество государств. По ее информации, ряд объектов Национальной системы здравоохранения (NHS) Великобритании подверглись хакерской атаке, которая также на разных уровнях затронула Россию, США, Канаду, Китай, Италию.
Эксперты не исключают, что в списке может значиться до 75 государств, в том числе и Украина.
Между тем, в российском Следкоме опровергли информации о заражении своих сервером, а в МВД РФ заявили, что хакерским атакам подверглись не более 1% серверов и в настоящее время вирус локализован.
В социальных сетях сотрудники российского "Мегафона" начали жаловаться, что их компьютеры не работают, и они не могут обслуживать клиентов. В компании сначала говорили, что у них все в порядке, но затем подтвердили факт атаки. Позже в социальных сетях появлялись сообщения об атаках на другие российские операторы - "Связной" и "Билайн".
Откуда началась атака и как распространяется?
По неподтвержденным данным, атака исходит из Китая. Как заражаются компьютеры, в прямом эфире можно посмотреть на этой карте. По всему миру заражены уже тысячи компьютеров.
Во всех случаях появляется одинаковое красное окно.
Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден подтвердил, что данный вирус исходит от АНБ. "Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц", - написал он, комментируя хакерскую атаку на серверы больниц в Великобритании.
Кого выбирает вирус?
О ранней версии вируса WannaCrypt стало известно еще в феврале 2017 года. Он работает только на операционной системе Windows. Как пишет Motherboard, уязвимость, которую использует вирус, похожа на ту, что использовалась Агентством национальной безопасности США.
Microsoft закрыла уязвимость, которую использует вирус, еще в марте. На сайте производителя Windows опубликовано сообщение с призывом обновиться. Все, кто оказался заражен, по всей видимости, не обновились.
Как спастись от вируса?
Для снижения рисков заражения программисты рекомендуют компаниям установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.
Сам "шифровальщик" вирусом в классическом его понимании не является. Он не размножается, не маскируется, не модифицирует системные файлы - просто шифрует (весьма быстро) текстовые файлы и документы на локальном диске и подключенным к нему сетевым дискам. Размножается чаще всего посредством электронной почты - приходит письмо с вложением, а там что-то вроде "Налоговая задолженность, квитанция для оплаты в приложенном файле (или по ссылке).
"Пользователь открывает файл или грузит его по ссылке и все - шифрование пошло. Единственный способ спасти оставшиеся данные, если у вас нет бэкапа, - немедленно выключить компьютер", утверждает технический директор KP.ru.
"После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях", -заявил представитель "Лаборатории Касперского".
