«Никакого политического конфликта — это легкий способ монетизации» Статьи редакции
Что известно о хакерской атаке, поразившей больницы Англии, компании Испании, сеть «Мегафона» и МВД.
С чего всё началось
Масштабная атака началась с Великобритании — днём 12 мая вирус под названием WanaCrypt0r 2.0 (также известный как WCry и WannaCry) заразил компьютеры британских больниц и других учреждений здравоохранения. Также появились сообщения о взломе нескольких компаний в Испании: оператора Telefónica, газовой компании Gas Natural, банка Santander и других организаций.
К вечеру 12 мая заражение достигло России, где поразило сети «Мегафона», МВД и, возможно, других организаций.
На момент написания заметки «Лаборатория Касперского» сообщила о 45 тысячах попыток атак в 74 странах. По данным компании, большая часть нападений приходится на Россию.
Что делает вирус
WannaCry блокирует работу Windows-компьютеров и показывает окно с сообщением о том, что все важные файлы на устройстве зашифрованы. Вирус требует выкуп ($300 в биткоинах) и угрожает увеличить требуемую сумму, если в течение трёх суток выкуп не будет внесён. Спустя неделю после заражения WannaCry обещает удалить заблокированные данные.
Компания Group-IB, которая специализируется на информационной безопасности, утверждает, что заражение обычно происходит по электронной почте, причём антивирусные приложения не замечают письма с вирусами. При этом требования о выкупе отображаются на разных языках, в том числе и на русском.
Кто подвергся атаке
WannaCry заразил часть компьютеров «Мегафона», из-за чего компания отключила несколько внутренних сетей, в том числе в точках продаж. По словам директора по связям с общественностью «Мегафона» Петра Лидова, заражение «выглядит, как в Англии, оформление такое же». «Есть проблемы с обслуживанием в точках продаж и есть проблемы в контакт-центрах из-за отключения компьютеров по соображениям безопасности. На работу сети "Мегафона" инцидент не повлиял», — добавил он.
К 21:30 по московскому времени «Мегафон» отчитался о восстановлении работы колл-центра. По словам Лидова, остальная работа по устранению проблем займёт несколько часов.
По данным Group-IB, вирус заразил сеть МВД. В группе «Подслушано у полиции» пользователи делятся сообщениями о проблемах и скриншотами окон-вымогателей, отмечает TJ.
Представители МВД подтвердили РИА Новости, что их компьютерная сеть подверглась кибератаке. «В настоящее время вирус локализован, проводятся работы по его уничтожению», — сообщили в ведомстве.
Ранее в пресс-службе МВД заявляли, что атак не было, но идут «плановые работы на внутреннем контуре». На сайте МВД вечером 12 мая появилось сообщение о «возможных неудобствах из-за плановых работ».
Источник «Газеты.ру» добавил, что WannaCry также заразил сети СК, но представитель ведомства Светлана Петренко в разговоре с ТАСС опровергла эту информацию. Издание 47news также сообщало о взломе баз данных об автомобилистах МРЭО Санкт-Петербурга и Ленинградской области.
Кроме того, пользователи сообщают о проблемах в сети городских электричек в Германии.
Источники BBC говорят, что аналогичные атаки происходят по всему миру. На сайте Malwaretech опубликована интерактивная карта кибератак.
Откуда взялся WannaCry
По словам пользователей на форуме «Лаборатории Касперского», впервые WannaCry появился в феврале 2017 года, однако с тех пор он «был обновлён и теперь выглядит иначе» — теперь его труднее удалить.
Издание Motherboard отмечает «невероятную скорость распространения» вируса. По мнению журналистов, он может быть создан на основе одного из инструментов Агентства национальной безопасности США, который тоже мог шифровать данные на компьютере жертвы.
Были ли атаки целенаправленными
Вероятнее всего, нет. Запущенный на компьютере вирус заражает все остальные Windows-компьютеры, которые находятся в одной локальной, Wi-Fi или другой сети с устройством жертвы. Microsoft исправила уязвимость, которую использует вирус ещё 14 марта 2017 года, указывает Motherboard.
Таким образом, под угрозой оказались те устройства, на которых в последний раз устанавливались обновления системы до середины марта — вне зависимости от того, к чьей сети они принадлежат. Чтобы не попасть под заражение, некоторые компании (например, «Связной»), просят сотрудников не открывать подозрительные вложения в почте.
По мнению главы Group-IB Илья Сачкова, политической подоплёки в атаках нет. «Это легкий способ монетизации, и он часто используется злоумышленниками в целях обогащения. Никакого политического и другого внешнего конфликта этот тип атаки не подразумевает», — сказал он.
По данным TechCrunch, к вечеру 12 мая на указанный в окнах-вымогателях кошелёк поступило до $500 в биткоинах. «Медуза» проанализировала несколько связанных с вирусом кошельков и обнаружила, что на них было перечислено более $6 тысяч.
Как защитить себя от вируса
Microsoft выпустила специальный патч для систем Windows Vista и старше (7, 8.1 и 10, а также Server 2008/2012/2016) — он повторно закрывает уязвимость, которую использует WannaCry. Для систем Windows XP, Windows 8 и Windows Server 2003, поддержка который официально прекращена, компания выпустила отдельные патчи.
В Microsoft заверили, что пользователи антивируса Windows Defender защищены от взлома.
Для удаления вируса можно попробовать включить безопасный режим с загрузкой сетевых драйверов и провести сканирование системы с помощью антивируса, рекомендует TJ. Для восстановления файлов можно использовать программы- декрипторы, а также приложения вроде Shadow Explorer (для возвращения теневых копий файлов и исходного состояния зашифрованных файлов) или Stellar Phoenix Windows Data Recovery, но они не гарантируют полное восстановление данных.
Стартап месяца
Комментарий недоступен
скачать блокировщик?
Смотреть сколько перевели им можно здесь:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Конечно же нет. У них миллион таких кошельков, скорее всего они создаются один на билд.
Нужно было еще добавить скидку в данное предложение и оно было бы идеальным. Интересно, какая у ребят конверсия в перевод.
Старая тема, на самом деле. Больше похоже на раскрутку битков. Китайский след прослеживается в переводе.
Больше 6 тыс. баксов уже заработано: https://meduza.io/news/2017/05/12/na-bitkoin-koshelki-avtorov-virusa-wcry-perechislili-bolshe-shesti-tysyach-dollarov
святой водой еще окрапить
Комментарий удален модератором
об обычных работягах на vc не пишут
Комментарий удален модератором
Достаточно не слать вирус на бесплатные почтовые сервера. С корпоративных клиентов все равно конверсия выше.
Там не только конверсия, но ещё и ARPU ))
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе c обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
В нормальных малых компаниях давно запрещен запуск пользователями неизвестных программ. Это помогает :)
Казалось бы - нафига в госучреждения ставить свою ОС? Винда же хорошо работает и со всем справляется! Oh, wait...
Чью ос? Для каждого сайта контроля электричек писать свою ос? Справедливости ради, если поставить условный линукс, но вовремя не апдейтить, он будет не менее уязвим.
Он будет менее уязвимым. Из-за разных патчей к ядру довольно часто получается так, что даже среди минорных версий ядер уязвимость в разных дистрибутивах не воспроизводится.
Малое количество вирусни под макось и линукс обусловлено только низкой популярностью этих ОС. Это я вам как фанат макоси и хейтеры винды говорю. У макоси всего 10% рынка, у десктопного линукса ещё меньше. А в ядре дыр находят много, стоит всего лишь поискать по базе CVE.
Эти рассказы о популярности ОС идут с тех пор как я пересел на Linux. Почему-то люди забывают, что Linux используется на миллионах серверов и это гораздо прибыльнее зашифровать данные хотя бы 1/3 Amazon AWS, чем домашние файлы обычных пользователей. Мы получаем информацию об уязвимостях до офф. релизов и каждая третья CVE просто не воспроизводится, а каждая вторая только при определенной фазе луны. За последние 5 лет я видел всего две уязвимости из-за которых пришлось обновлять кластеры по 10к машин. Все остальное не могло привести к каким-то утечкам данных или шифрованию.
На серверах редко сидят дурачки, которые могут запустить непонятный аттач из почты, и обновляются они часто. Сервер намного сложнее атаковать.
Но всякие локальные повышения привилегий до рута находятся несколько раз в год.
Комментарий удален модератором
Комментарий удален модератором
видно, что новички. подняли такой кипишь из-за 6к$.
Комментарий удален модератором
Красиво
Сэкономили 100 руб. на безопасности - потеряли миллионы.
Заражение вирусом-шифровальщиком - это результат неразумной экономии Работодателей на зарплатах компетентных Работников, а также результат неразумной экономии на ИТ-службах, роль которых в современных условиях значительно возросла.
Мне одному кажется, что хайп по этому поводу и ЦА атак иделаьно ложаться в предложения наших законодателей перевести всех на отечественное ПО, бабло переводит на своих платежных системах и т.д. и т.п.?
Зачем тогда заокеанским медиа тему так хайпить?
Их взяли для маскировки фактических целей, плюс тренинг хороший. А тема-то горячая для всех,чтобы хайпить
Комментарий удален модератором