Оффтоп Andrey Frolov
16 808

«Никакого политического конфликта — это легкий способ монетизации»

Что известно о хакерской атаке, поразившей больницы Англии, компании Испании, сеть «Мегафона» и МВД.

В закладки

С чего всё началось

Масштабная атака началась с Великобритании — днём 12 мая вирус под названием WanaCrypt0r 2.0 (также известный как WCry и WannaCry) заразил компьютеры британских больниц и других учреждений здравоохранения. Также появились сообщения о взломе нескольких компаний в Испании: оператора Telefónica, газовой компании Gas Natural, банка Santander и других организаций.

К вечеру 12 мая заражение достигло России, где поразило сети «Мегафона», МВД и, возможно, других организаций.

На момент написания заметки «Лаборатория Касперского» сообщила о 45 тысячах попыток атак в 74 странах. По данным компании, большая часть нападений приходится на Россию.

Что делает вирус

WannaCry блокирует работу Windows-компьютеров и показывает окно с сообщением о том, что все важные файлы на устройстве зашифрованы. Вирус требует выкуп ($300 в биткоинах) и угрожает увеличить требуемую сумму, если в течение трёх суток выкуп не будет внесён. Спустя неделю после заражения WannaCry обещает удалить заблокированные данные.

Компания Group-IB, которая специализируется на информационной безопасности, утверждает, что заражение обычно происходит по электронной почте, причём антивирусные приложения не замечают письма с вирусами. При этом требования о выкупе отображаются на разных языках, в том числе и на русском.

Кто подвергся атаке

WannaCry заразил часть компьютеров «Мегафона», из-за чего компания отключила несколько внутренних сетей, в том числе в точках продаж. По словам директора по связям с общественностью «Мегафона» Петра Лидова, заражение «выглядит, как в Англии, оформление такое же». «Есть проблемы с обслуживанием в точках продаж и есть проблемы в контакт-центрах из-за отключения компьютеров по соображениям безопасности. На работу сети "Мегафона" инцидент не повлиял», — добавил он.

К 21:30 по московскому времени «Мегафон» отчитался о восстановлении работы колл-центра. По словам Лидова, остальная работа по устранению проблем займёт несколько часов.

По данным Group-IB, вирус заразил сеть МВД. В группе «Подслушано у полиции» пользователи делятся сообщениями о проблемах и скриншотами окон-вымогателей, отмечает TJ.

Представители МВД подтвердили РИА Новости, что их компьютерная сеть подверглась кибератаке. «В настоящее время вирус локализован, проводятся работы по его уничтожению», — сообщили в ведомстве.

Ранее в пресс-службе МВД заявляли, что атак не было, но идут «плановые работы на внутреннем контуре». На сайте МВД вечером 12 мая появилось сообщение о «возможных неудобствах из-за плановых работ».

Источник «Газеты.ру» добавил, что WannaCry также заразил сети СК, но представитель ведомства Светлана Петренко в разговоре с ТАСС опровергла эту информацию. Издание 47news также сообщало о взломе баз данных об автомобилистах МРЭО Санкт-Петербурга и Ленинградской области.

Кроме того, пользователи сообщают о проблемах в сети городских электричек в Германии.

Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware! https://t.co/w0DODySL0p
Только приехал во Франкфурт и увидел это. S-bahn, ты подцепил вымогателя!

Источники BBC говорят, что аналогичные атаки происходят по всему миру. На сайте Malwaretech опубликована интерактивная карта кибератак.

Откуда взялся WannaCry

По словам пользователей на форуме «Лаборатории Касперского», впервые WannaCry появился в феврале 2017 года, однако с тех пор он «был обновлён и теперь выглядит иначе» — теперь его труднее удалить.

Издание Motherboard отмечает «невероятную скорость распространения» вируса. По мнению журналистов, он может быть создан на основе одного из инструментов Агентства национальной безопасности США, который тоже мог шифровать данные на компьютере жертвы.

Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU
Экс-сотрудник АНБ Эдвард Сноуден: «Вау. Решение АНБ создать оружие для взлома американских приложений теперь угрожает жизням пациентов».

Были ли атаки целенаправленными

Вероятнее всего, нет. Запущенный на компьютере вирус заражает все остальные Windows-компьютеры, которые находятся в одной локальной, Wi-Fi или другой сети с устройством жертвы. Microsoft исправила уязвимость, которую использует вирус ещё 14 марта 2017 года, указывает Motherboard.

Таким образом, под угрозой оказались те устройства, на которых в последний раз устанавливались обновления системы до середины марта — вне зависимости от того, к чьей сети они принадлежат. Чтобы не попасть под заражение, некоторые компании (например, «Связной»), просят сотрудников не открывать подозрительные вложения в почте.

По мнению главы Group-IB Илья Сачкова, политической подоплёки в атаках нет. «Это легкий способ монетизации, и он часто используется злоумышленниками в целях обогащения. Никакого политического и другого внешнего конфликта этот тип атаки не подразумевает», — сказал он.

По данным TechCrunch, к вечеру 12 мая на указанный в окнах-вымогателях кошелёк поступило до $500 в биткоинах. «Медуза» проанализировала несколько связанных с вирусом кошельков и обнаружила, что на них было перечислено более $6 тысяч.

Как защитить себя от вируса

Microsoft выпустила специальный патч для систем Windows Vista и старше (7, 8.1 и 10, а также Server 2008/2012/2016) — он повторно закрывает уязвимость, которую использует WannaCry. Для систем Windows XP, Windows 8 и Windows Server 2003, поддержка который официально прекращена, компания выпустила отдельные патчи.

В Microsoft заверили, что пользователи антивируса Windows Defender защищены от взлома.

Для удаления вируса можно попробовать включить безопасный режим с загрузкой сетевых драйверов и провести сканирование системы с помощью антивируса, рекомендует TJ. Для восстановления файлов можно использовать программы- декрипторы, а также приложения вроде Shadow Explorer (для возвращения теневых копий файлов и исходного состояния зашифрованных файлов) или Stellar Phoenix Windows Data Recovery, но они не гарантируют полное восстановление данных.

#microsoft #вирусы #мегафон #WannaCry

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u043c\u0435\u0433\u0430\u0444\u043e\u043d","\u0432\u0438\u0440\u0443\u0441\u044b","wannacry","microsoft"], "comments": 27, "likes": 33, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 23762, "is_wide": false, "is_ugc": false, "date": "Fri, 12 May 2017 22:14:04 +0300" }
{ "id": 23762, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/23762\/get","add":"\/comments\/23762\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/23762"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

27 комментариев 27 комм.

Популярные

По порядку

Написать комментарий...
11

Стартап месяца

Ответить
8

ПОДНИМАЮ ОТ 6000$$ В МЕСЯЦ НУЖНО ЛИШЬ СКАЧАТЬ...

Ответить
0

скачать блокировщик?

Ответить
2

Смотреть сколько перевели им можно здесь:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Ответить
1

Конечно же нет. У них миллион таких кошельков, скорее всего они создаются один на билд.

Ответить
12

Нужно было еще добавить скидку в данное предложение и оно было бы идеальным. Интересно, какая у ребят конверсия в перевод.

Ответить
2

Старая тема, на самом деле. Больше похоже на раскрутку битков. Китайский след прослеживается в переводе.

Ответить
12

Ну вы там в безопасном режиме винду антивирусом проверьте, мож пропадет и файлы сами дешифруются - рекомендует TJ.

Ответить
0

святой водой еще окрапить

Ответить

16

об обычных работягах на vc не пишут

Ответить

0

Достаточно не слать вирус на бесплатные почтовые сервера. С корпоративных клиентов все равно конверсия выше.

Ответить
4

Там не только конверсия, но ещё и ARPU ))

Ответить
1

Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе c обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Ответить
0

В нормальных малых компаниях давно запрещен запуск пользователями неизвестных программ. Это помогает :)

Ответить
–2

Казалось бы - нафига в госучреждения ставить свою ОС? Винда же хорошо работает и со всем справляется! Oh, wait...

Ответить
1

Чью ос? Для каждого сайта контроля электричек писать свою ос? Справедливости ради, если поставить условный линукс, но вовремя не апдейтить, он будет не менее уязвим.

Ответить
3

Он будет менее уязвимым. Из-за разных патчей к ядру довольно часто получается так, что даже среди минорных версий ядер уязвимость в разных дистрибутивах не воспроизводится.

Ответить
6

Малое количество вирусни под макось и линукс обусловлено только низкой популярностью этих ОС. Это я вам как фанат макоси и хейтеры винды говорю. У макоси всего 10% рынка, у десктопного линукса ещё меньше. А в ядре дыр находят много, стоит всего лишь поискать по базе CVE.

Ответить
0

Эти рассказы о популярности ОС идут с тех пор как я пересел на Linux. Почему-то люди забывают, что Linux используется на миллионах серверов и это гораздо прибыльнее зашифровать данные хотя бы 1/3 Amazon AWS, чем домашние файлы обычных пользователей. Мы получаем информацию об уязвимостях до офф. релизов и каждая третья CVE просто не воспроизводится, а каждая вторая только при определенной фазе луны. За последние 5 лет я видел всего две уязвимости из-за которых пришлось обновлять кластеры по 10к машин. Все остальное не могло привести к каким-то утечкам данных или шифрованию.

Ответить
2

На серверах редко сидят дурачки, которые могут запустить непонятный аттач из почты, и обновляются они часто. Сервер намного сложнее атаковать.

Но всякие локальные повышения привилегий до рута находятся несколько раз в год.

Ответить

–1

видно, что новички. подняли такой кипишь из-за 6к$.

Ответить

0

Красиво

Ответить
0

Сэкономили 100 руб. на безопасности - потеряли миллионы.
Заражение вирусом-шифровальщиком - это результат неразумной экономии Работодателей на зарплатах компетентных Работников, а также результат неразумной экономии на ИТ-службах, роль которых в современных условиях значительно возросла.

Ответить
0

Мне одному кажется, что хайп по этому поводу и ЦА атак иделаьно ложаться в предложения наших законодателей перевести всех на отечественное ПО, бабло переводит на своих платежных системах и т.д. и т.п.?

Ответить
0

Зачем тогда заокеанским медиа тему так хайпить?

Ответить
0

Их взяли для маскировки фактических целей, плюс тренинг хороший. А тема-то горячая для всех,чтобы хайпить

Ответить

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления
{ "page_type": "default" }