13/05/2017
В настоящий момент продолжает распространяться вирус-шифровщик WannaCry decrypt0r.
Атака началась 12.05.2017 и за сутки поразила более 150 000 компьютеров по всему миру (более 100 стран). Больше всего атак пришлось на Россию, Украину и Тайвань.
Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
Уязвимость распространяется на ОС Windows — он использует уязвимость в операционной системе и распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен.
"Новый вирус распространяется с адской скоростью", - сообщают исследователи MalwareHunterTeam.
Защитные меры.
В качестве начальных средств защиты рекомендуем:
1. Установить последние обновления на ОС
2. Скачать и установить патч MS17-010 с сайта Microsoft, который закрывает уязвимость:
a) https://technet.microsoft.com/en-us/library/security/ms17-010
b) для старых ОС (Windows XP, Winows Server 2003R2) - https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
c) уязвимость также можно закрыть отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Установить патч и обновления при этом все равно рекомендуется
3. Закрыть доступ в сеть на маршрутизаторе по порту 445
4. Не открывать подозрительные файлы, полученные даже от знакомых людей. Если файл вызывает подозрение, перед его открытием узнайте у отправителя пересылал ли он вам его на самом деле, или это возможный вирус.
5. Рекомендуем важные данные регулярно резервировать на удаленных хранилищах с проверкой выполнения бекапов.
Майкрософт говорит, что патч, который закрывает уязвимость был выпущен в марте 2017г., но по нашим наблюдениям он не всегда ставится со всеми обновлениями системы и лучше проверять и ставить его отдельно.
Сейчас вирус продолжает распространяться так же активно, порядка 100 ПК каждую минуту инфицируются по всему миру.
Основные особенности программы-шифровальщика WannaCry:
1. Она использует эксплоит ETERNALBLUE из арсенала шпионских инструментов Агентства национальной безопасности США (спасибо вам большое), который был выложен в открытый доступ хакерами Shadow Brokers. Патч ("заплатка"), закрывающий эту уязвимость, для ОС Windows Vista и старше стал доступен 9 марта в составе обновления MS17-010 (но в разных версиях обновлений он ставится в разные периоды). При этом патча для старых ОС вроде Windows XP и Windows server 2003 изначально не было, но со временем "умельцы" написали защиту и для них.
2. Помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже – отсюда и лавинообразный характер заражений. В отличии от прошлых подобных шифровальщиков, сейчас заражение совсем не зависит от действий пользователя. Ранее люди по незнанию сами устанавливали на свои ПК вредоносное ПО, сейчас же достаточно быть подключенным к сети интернет и вирус придет к вам сам.
3. Файлы шифруются не все, а избирательно - выбирают наиболее "чувствительные", т.е. документы, базы данных, почту.
По уже известной официальной информации от действия вируса пострадали:
- Национальная служба здравоохранения Англии (более 40 госпиталей)
- Nissan и Renault
- Испанская телекоммуникационная компания Telefonica
- FedEx
- Россия: МВД, Мегафон, ВТБ Банк, РЖД, Сбербанк
- Крупнейший провайдер телекоммуникационных услуг в Португалии Portugal Telecom
- Пакистанская Shaheen Airlines
- Немецкий основной железнодорожный оператор Deutsche Bahn
- школы и университеты в Великобритании, Франции, Италии
- банкоматы в Китае
