Атака без границ: организации в десятках стран пострадали от вируса-вымогателя WannaCry

Печать: Шрифт: Абв Абв Абв
danilov 13 Мая 2017 в 11:17:15
Ссылки на обновления системы

В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.



Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.

Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.

«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.

В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.

Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.

Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.

«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.

К вечеру пятницы в ряде СМИ появилась информация, что хакерам удалось заразить компьютерные сети Национальной системы здравоохранения Великобритании, в результате чего была временно нарушена работа 25 медицинских учреждений в Англии и Шотландии. Из Испании сообщения о кибератаках с применением вируса WannaCry поступили от телекоммуникационной компании Telefonica, банка Iberica, энергокомпании Iberdrola и Gas Natural. Об атаках на свои компьютеры сообщил и американский почтовый гигант FedEx.

Инструмент АНБ

Некоторые эксперты указали на метод распространения вируса с помощью «дыры» в безопасности системы Windows. Об этом заявила, в частности, группа The Shadow Brokers, которая также сообщила, что выложила в свободный доступ хакерские программы, украденные у Агентства национальной безопасности США. О том, что данная атака была проведена с помощью программ, разработанных в недрах АНБ, заявил и бывший сотрудник ведомства Эдвард Сноуден.

«Ого: решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал Сноуден в своём Twitter.

Поддержал его и портал WikiLeaks, напомнивший, что ранее не раз предупреждал о бесконтрольном распространении вредоносного программного обеспечения американскими спецслужбами в серии своих публикаций Vault 7.

«Если не можешь сохранить в тайне — не создавай: источник Vault 7 предупреждал об огромном риске распространения кибероружия США среди преступников», — сообщается в Twitter организации.

В России атакам подверглись серверы и компьютерные системы оператора сотовой связи «МегаФон», Сбербанка а также МВД и МЧС. Компании «МегаФон» временно пришлось отключить часть компьютерной системы и приостановить работу кол-центра. Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.

«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства.

«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — говорится в сообщении Сбербанка.

Кроме российских, вирусом были также атакованы ведомства Швеции. Там вирус поразил около 70 компьютеров муниципалитета Тимра к северу от Стокгольма.

Агентство Интерфакс со ссылкой на осведомлённый источник сообщило, что атака на серверы МВД не привела к утечке информации.

Интернациональная группа

В данном случае речь идёт о распространении нового типа вируса ransomware, считает эксперт по информационной безопасности ЗАО «Монитор безопасности» Тарас Татаринов.

«Судя по всему, речь идёт не о таргетированной хакерской атаке, а о распространении какого-то нового типа вируса ransomware», — отметил эксперт в разговоре с RT.

По его мнению, такие программы создают высокопрофессиональные злоумышленники, отследить которых крайне затруднительно, почти невозможно.

«По крайней мере, техническими средствами определить, кто является автором вредоносной программы, нельзя. То, что охвачено такое большое количество стран, свидетельствует о том, что действовала команда преступников, но совсем не обязательно, что они совершили нападение из одного какого-то государства, это могла быть интернациональная группа», — заявил Татаринов.

Генеральный директор компании Zecurion Алексей Раевский заявил в разговоре с RT, что не верит, будто киберпреступники специально выбирали цели для своей масштабной атаки.

Как отметил эксперт, вероятнее всего, они искали любые компании и ведомства с уязвимостями, а потом их использовали.

«Скорее всего, нашли уязвимости и стали сканировать на предмет того, как воспользоваться ими. Что нашли, то и использовали, так сказать. Вряд ли это были таргетированные атаки на определённые организации», — заявил он.

В распоряжение RT поступило официальное заявление от компании «Лаборатория Касперского».

«Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название WannaCry, с которой 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на заражённую систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — говорится в заявлении.

«Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах.


https://russian.rt.com/world/article/388956-hackery-virys-kiberataka



1182x650
( 108.96Кб)

817x433
( 102.74Кб)

600x422
( 37.56Кб)


США готовы помочь в борьбе с вирусом WannaCry

Министерство внутренней безопасности США высказало готовность помочь в борьбе с распространением компьютерного вируса WannaCry как иностранным партнерам США, так и американским организациям, говорится в официальном заявлении ведомства, пишет Хроника.инфо со ссылкой на Телеграф.

"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", - отмечается в документе.

Кроме этого, в министерстве посоветовали американским гражданам во избежание заражения компьютеров WannaCry обновить программное обеспечение, не открывать незнакомые файлы и ссылки в сообщениях, пришедших по электронной почте, и выполнять резервное копирование файлов.

В министерстве также упомянули, что еще в марте компания Microsoft выпустила программу, которая в случае установки позволит убрать ту уязвимость компьютера, которая дает возможность вирусу WannaCry "заражать" его.

Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час.
Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.
Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда.
Комментарии, по рейтингу, по дате
  GaNjUBASSKIN 13.05.2017 в 11:30:25   # 602961
). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем
Они и пишут вирусы! Кто нибудь читал лицензионное соглашение антивируса? Почитайте на досуге))) букаф много, но занятная штука.
  Хитрая жопа 13.05.2017 в 13:08:36   # 602962
Цитата: GaNjUBASSKIN от 13.05.2017 11:30:25
). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем
Они и пишут вирусы! Кто нибудь читал лицензионное соглашение антивируса? Почитайте на досуге))) букаф много, но занятная штука.

Можно отдельные моменты?
  quny 13.05.2017 в 13:18:21   # 602963
Quote:
Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010.

Вот, собственно, корень проблемы. Остальное-все следствие... Хакерский софт-это проги, которые автоматизируют взлом на известной дырке, и на его основе внедряют уже свой зловред. Вымогатель или что другое-не важно.
Почему оперативно не закрываются уязвимости? Почему антивирусы с сетевым экраном оперативно не обновляются, чтобы нивелировать уязвимость? Думаю, потому, что это экономически затратно, а основная цель их деятельности-максимальная прибыль, а не помощь юзерам, на самом деле. И пока их продукт приносит прибыль, никто упираться, работать ночами не будет...
  Author 13.05.2017 в 13:20:06   # 602964
Чей ПК пострадал? Отписываемся
  quny 13.05.2017 в 13:22:56   # 602965
Не, мы тут все оперативно обновляем винду и пользуемся строго лицензионным софтом Нам ничего не угрожает
  Nafis 13.05.2017 в 13:45:25   # 602966
Цитата: quny от 13.05.2017 13:22:56
Не, мы тут все оперативно обновляем винду и пользуемся строго лицензионным софтом Нам ничего не угрожает

А может есть те кто на tereze kz перешли???😁
  Бахыт15 13.05.2017 в 14:31:03   # 602967
много админов щас поувольняют за этот вирус
  kkafp 13.05.2017 в 15:10:21   # 602973
Tereze 8 вирусов не боится
  Zoggyla 13.05.2017 в 17:05:46   # 602988
Баглан давно уже юзает Tereze
  quny 13.05.2017 в 17:47:12   # 602991
Ну что замолчали-то? Надо же обсудить и выдвинуть версию, кто за этим стоит?
Ладно, я начну. Это все штаты. Помните, они обещали достойный ответ России за хакерское влияние на исход выборов в США? Так вот-это оно! Другие страны страдают чисто для маскировки. Гражданам других стран компы расшифруют бесплатно. Гражданам РФ только тогда, когда РФ отдаст назад Крым и выведет бурятов из Украины, даже если биткоины будут уплачены. Инфа из надежных источников!
  Zoggyla 13.05.2017 в 17:49:00   # 602992
Цитата: quny от 13.05.2017 17:47:12
Я настаиваю - на русских хакерах.
  Zoggyla 13.05.2017 в 17:57:16   # 602993
По-существу. Какая крупная страна в последнее время редко упоминается в СМИ и новостях? Я, думаю - Индия. Вот оттуда и прет. Чтобы не забывали
  строитель 13.05.2017 в 21:20:56   # 603000
У меня в конторе на прошлой неделе начали менять почтовый сервер (или хер как там он у вас программистов называется ) и в итоге без того вкривь и в Кось работающая корпоративная Почта в пятницу окончательно наебнулась. Айтишники наши не самые видимо великие специалисты не весь день проходили с кислыми рожами вообще не в состоянии объяснить что происходит. Может не знали ещё
  danilov 13.05.2017 в 22:28:04   # 603001
До ЖД Германии вирус добрался


1182x650
( 108.96Кб)

817x433
( 102.74Кб)

600x422
( 37.56Кб)
  Витал 13.05.2017 в 23:17:00   # 603006
Цитата: строитель от 13.05.2017 21:20:56
У меня в конторе на прошлой неделе начали менять почтовый сервер (или хер как там он у вас программистов называется ) и в итоге без того вкривь и в Кось работающая корпоративная Почта в пятницу окончательно наебнулась. Айтишники наши не самые видимо великие специалисты не весь день проходили с кислыми рожами вообще не в состоянии объяснить что происходит. Может не знали ещё
вообще то программисты пишут программы, а не устанавливают или меняют почтовые сервера)) такая работа выполняется админами, они де и следят за безопасностью в сети но это оффтоп. По делу считаю нужно покопаться в коде вируса найти там внглийский комментарий(а я уверен он там есть) и обвинить сша или англосаксов, бить их же дубинкой по ним
  Рамзес 13.05.2017 в 23:22:42   # 603008
В нашу Казашу вряд ли,свой вирус мощнейший не пустит...:
  VV 14.05.2017 в 02:48:18   # 603042
Мой компьютер заражен .
Что теперь делать? Кого можете порекомендовать в Шымкенте?
  VV 14.05.2017 в 02:53:32   # 603043
Нужен хороший айтишник. В компе был архив семейных фото и видео. Недавно купили внешний хард, но не успели скопировать.
  danilov 14.05.2017 в 09:08:47   # 603056
VV, тут даже хороший айтишник не поможет. Могу предложить законсервировать комп, до решения проблемы
  VV 14.05.2017 в 09:13:28   # 603057
У меня была мысль купить новый хард. Туда установить новую винду с последними обновлениями, антивирус и несколько дешифраторов. Потом подключить старый хард, проверить его, удалить вирус и скопировать те файлы, которые еще уцелели. Как думаете?
  VV 14.05.2017 в 09:46:01   # 603062
Поможет?
  danilov 14.05.2017 в 09:51:51   # 603063
поможет сохранить, потом думаю что нибудь появится для дешифровки
  VV 14.05.2017 в 09:54:52   # 603064
Спасибо
  VV 14.05.2017 в 10:47:28   # 603076
А какой антивирус наиболее актуален при этом вирусе?
  danilov 14.05.2017 в 10:55:05   # 603081
Eset обнаружил атаку, защитил.
Достаточно обновление поставить для ОС из списка
  TEMIPXAH 14.05.2017 в 11:07:09   # 603082
нужно скачать и записать на диск LIVECD - это установленная ОС на диске. потом запускаете его на зараженном ПК и скачиваете все на хард. далее переустанавливаете винду на компе. это самый доступный способ.
  quny 14.05.2017 в 11:22:06   # 603085
danilov

Ссылка на исправления в шапке не работает...

Кстати, рекомендую вот этот LiveDVD от соседа из Узбекистана, есть все необходимое -- http://adminpe.ru/winpe10/
  VV 14.05.2017 в 11:35:29   # 603086
А идея с новым хардом и новой виндой нормальная? Извиняюсь за такие комменты, просто ситуация критическая. Боюсь все потерять. Семейный архив
  bolatbol 14.05.2017 в 12:13:07   # 603089
год назад сработал подобный шифратор Ваулт. Приходил с зараженным письмом из псевдоналоговых органов. Все документы и фото он шифровал. Расшифровать невозможно, по мнению программистов. Только ключом, который у хакера. Если нужен архив - отправляй 600 баксов, которые сэкономишь на новом харде. На будущее обновляй винду, ставь антивирь, и не лезь туда куда собака свой хвост не сует.
  Бахыт15 14.05.2017 в 15:59:03   # 603114
какие обновления надо скачать на XP и 7?
отпишитесь или дайте ссылку пусть все ставять срочно на свои компы
Добавить сообщение
Чтобы добавлять комментарии зарeгиcтрирyйтeсь