Вирус wannacry проник в систему одного из заводов apple

От кофемашины до любовных писем: как вирусы проникают в ваш компьютер

Европейский нефтехимический завод  пострадал от компьютерного вируса WannaCry, который  распространился через кофемашину, подключенную к Wi-Fi.

Самой сильной атаке подверглись пользователи в России, Индии и на Украине. Атаковано было даже Министерство внутренних дел РФ.

Действует программа как классический вымогатель: сначала генерирует ключи ассиметричного алгоритма RSA-2048 для каждого инфицированного компьютера, а затем сканирует систему в поисках пользовательских файлов, не трогая те, которые критичны для ее дальнейшего функционирования. То есть, вирус практически не оставляет возможности для своего уничтожения.

В результате на экране вы видите сообщение о том, что необходимо перевести на электронный кошелек денежную сумму в биткойнах, эквивалентную 300 долларам.  В случае если вы проигнорируете требование, то сумма увеличится втрое. Через семь дней, если вирус все еще не удален, все зараженные файлы исчезнут с ПК.

Общий ущерб от WannaСry  уже оценивается в один миллион долларов.

С каждым днем стать жертвой компьютерных вирусов становится все проще из-за повсеместного использования Wi-Fi и bluetooth и применения все более изощренных способов распространения вредоносных программ. Корреспондент «МИР 24» узнала о самых необычных компьютерных вирусах,  которые уже поразили человечество. 

STORM

Вирус, впервые поразивший компьютеры по всему миру, в 2007 году. Пользователи получали сообщения, в которых говорилось, что «230 человек погибли от шторма в Европе». После клика на ссылку ниже, компьютеры моментально заражались.

До сегодняшнего дня Storm  не удалось победить, так как он постоянно мутирует  и становится все хитрее. Например, рассылает сообщения от имени техподдержки, предлагая перейти на сайт для обновления ПО. После перехода вирус  моментально распространяется, направляя вас на порносайты.

Banbra.FXT

Вирус-вор рассылал сообщения, в которых говорилось, что получатель находится под следствием бразильского суда и для того, чтобы просмотреть материалы дела, необходимо было перейти на детализированный отчет. По факту – это троянский вирус, который, проникая в ПК, крал пароли банковских карт, данные со счетов и осуществлял другие финансовые махинации.

NIMDA

Вирус интересен тем, что осуществил массовую атаку сразу на следующий день после теракта в США 11 сентября 2001 года. Из-за этого многие были уверены, что это первая волна кибертерроризма «Аль-Каиды». Однако предположения оказались ложными. Nimda стал самым распространенным вирусом в интернете всего за 22 минуты.

Он распространяется по электронной  почте в виде сообщений, состоящих из двух частей. Первая содержит HTML–скрипты, вторая – файлы readme.exe.

Nimda создает закодированные копии себя, но использует файлы с расширениями .eml и.

nws в перезаписываемых справочниках, к которым у пользователя есть доступ, поэтому если поврежденные файлы будут запущены с другого устройства, то и оно будет заражено.

ILOVEYOU

Один из самых «романтичных» вирусов распространился в 2000 году. Происходило это просто: он отправлял пользователям сердца с пометкой, что внутри находится любовное письмо.

Как ни странно, многие верили, кликали и получили на ПК вирус, который заражал устройство и рассылал свою копию по всем контактам пользователя в Microsoft Outlook.

  Казалось бы, такой элементарный вирус, а в начале 2000-х он нанес ущерб мировой экономике, оценивающийся в 10-15 миллиардов долларов, из-за чего даже вошел в Книгу рекордов Гиннеса как самый разрушительный вирус в мире. 10% пользователей по всему миру, подключенных к интернету, стали жертвами «любовной» программы.

P2PShared.U

В 2008 году пострадали доверчивые любители фастфуда. Компьютерный вирус с не вполне читаемым названием P2PShared.

U рассылал купоны на бесплатные обеды в ресторанах быстрого питания следующего содержания: «McDonald's рад представить Вам свое последнее меню с огромными скидками.

Просто распечатайте купон из этого сообщения и отправляйтесь в ближайший McDonald's за БЕСПЛАТНЫМИ подарками и ФАНТАСТИЧЕСКИМИ скидками». Конечно, вместо обеда пользователи получали вирус.

Кстати неудивительно, что пользователи верили, ведь в строке отправителя указывался сайт Mcdonalds.сom. Эксперты советуют как можно реже переходить по вложенным ссылкам.

 Sinowal.VTJ

Этот вирус передавался через электронные сообщения от якобы неизвестных пользователей, которые жаловались, что с вашего адреса к ним пришел спам.

За это «рассерженные жертвы» обещали подать на вас заявление в полицию, так как даже есть доказательства вашей вины. И вот как раз, чтобы их увидеть, необходимо сначала скачать приложение.

В результате этот вирус тоже совершал финансовые махинации.

 Banker.LGC

Атаке этого вируса подверглись любители «Формулы -1». Пользователи получали на почту сообщения, в которых говорилось, что произошла большая авария, в которой серьезно пострадал гонщик Фернандо Алонсо. Чтобы узнать подробности предлагалось запустить видео. На самом  деле, файл содержал троянский вирус, который воровал деньги с банковских карт.

Turkojan.I

Жертвами этого вируса стали многочисленные  поклонники мультфильма «Симпсоны». Turkojan.I  предлагал бесплатно посмотреть новый эпизод «Симпсонов», но при скачивании просто заражал компьютер, вредоносным ПО , которое могло привести к очень серьезным проблемам в последующем использовании устройства.

Tixcet.A

Это ПО маскируется под Microsoft Word. После открытия файла, вирус распространяется по системе, удаляя на своем пути все файлы, содержащие .DOC, .MP3, .MOV, .ZIP, .JPG и др. Восстановить утерянные фотографии, видео  и музыку – нереально.

Из-за вируса TSMC приостановила производство. Эта компания делает процессоры A12 для Apple

Ночью с 4 на 5 августа у TSMC начались проблемы с вирусной атакой. Из-за этого встало производство, а ожидаемая прибыль чипмейкера за 3 квартал 2018 года может снизиться. Рассказываем, что там произошло и на что эта атака может повлиять.

Что за TSMC?

TSMC — крупнейший в мире производитель полупроводников. Эта компания поставляет свои чипы для AMD, Nvidia, Qualcomm и Intel. Apple тоже в числе клиентов TSMC: она была контрактным производителем процессоров А11, а сейчас делает A12 для будущих моделей iPhone.

Что там произошло?

TSMC атаковал вирус, когда устанавливалось новое программное обеспечение на новое оборудование. После этого во внутреннюю сеть компании проник вирус и моментально заразил компьютеры на нескольких заводах. Из-за этого производство встало на 2 дня.

Кто виноват — неизвестно. Но это напоминает вспышку заражения вирусом WannaCry в 2017 году, когда многие корпорации по всему миру были вынуждены приостановить свою деятельность. К счастью, тогда этот вирус приостановил Маркус Хатчинс, а Microsoft выпустила обновление, чтобы защитить всех своих пользователей.

Одна из фабрик TSMC. Когда она остановилась, компания потеряла много денег

Финансовый директор TSMC Лора Хо сказала Bloomberg, что такие атаки бывали и раньше, но они никогда не влияли на производство. О подробностях последствий она решила промолчать:

На что это повлияло?

Остановка производства крупной компании с крутыми заказчиками — катастрофа. Из-за этого выручка TSMC в июле–сентябре может снизиться на 3 % — $253 млн. До вируса в этот период компания планировала заработать 8,45 млрд. Впрочем, TSMC сдаваться не собирается и планирует наверстать отставание в четвёртом квартале 2018 года.

Последствия для Apple пока неизвестны. Напомним, что недавно её капитализация превысила триллион долларов в основном благодаря продажам iPhone X.

Возможно, в этом году на старте продаж дефицит новых Айфонов будет ещё круче, но это далеко не факт — TSMC подготовлена к таким атакам, и последствия будут не очень большие. Впрочем, аналитик Sanford C.

Bernstein Марк Ли сказал, что это коснётся всех клиентов чипмейкера.

Проблему уже решили?

Да, проблему решили. 80 % заражённых заводов снова заработали 5 августа, а 6 все производство вновь заработало в полную силу. Эту проблему решали так долго потому, что степень заражения на заводах была разная.

Главное — TSMC не потеряла никаких данных о своих исследованиях. Кроме того, слабое место системы уже устранили, и подобных ошибок больше повторяться не должно.

Как защитить компьютер от вируса WannaCry и расшифровать файлы при заражении

В пятницу 12 мая сотни тысяч компьютеров по всему миру поразил вирус WannaCry (известный также под названиями WCry и WanaCrypt0r 2.0).

Он «атаковал» компьютеры под управлением операционной системы Windows, при этом за несколько часов распространился по всему миру. Новый вирус поразил, как компьютеры частных лиц, так и PC государственных учреждений и крупных компаний.

Больше всего от вируса пострадала Россия, где были поражены компьютеры многих правительственных учреждений.

Интересный факт: После распространения вируса WannaCry в России, стали поступать сообщения о приостановке выдачи водительских удостоверений из-за поражений компьютеров МВД. Помимо этого, заражению подверглись PC Следственного комитета и многих крупных компаний, в том числе компании Мегафон.

Что собой представляет вирус WannaCry

Вирус WannaCry является типичным «шифровщиком данных». Данный тип вирусов один из наиболее опасных и сложных с точки зрения противодействия. Подобные вирусы, чаще всего, направлены на вымогательство денег у пользователей, компьютеры которых попадают под заражение, и WannaCry не исключение.

Интересный факт: В данный момент точно неизвестно, кто является создателем вируса WannaCry. При этом предположения высказывают не только в сети, но и на государственном уровне. В частности, президент Российской Федерации Владимир Путин обвинил спецслужбы США в распространении угрозы.

При попадании на компьютер пользователя, вирус WannaCry шифрует данные на нем. Файлы, которые подверглись шифрования, получают расширение «.WNCRY».

В начале имени зашифрованных файлов появляется надпись «WANACRY!».

Расшифровать данные файлы при помощи стандартных антивирусов и дешифраторов, которые используются для борьбы с другими подобными зловредами, практически невозможно.

После шифровки данных пользователя на компьютере, вирус WannaCry выводит на экране окошко с сообщением «Ooops, your files have been encrypted!». Далее следует информация о том, что собой представляет вирус, можно ли восстановить файлы и так далее.

Интересный факт: Создатели вируса WannaCry позаботились о пользователях в различных регионах, локализовав для них информационное сообщение. В России вирус на русском языке объясняет пользователям, каким образом им разблокировать файлы, зараженные WannaCry.

Как разблокировать файлы зараженные WannaCry

Создатели вируса WannaCry предусмотрели возможность разблокировки файлов пользователей, но только за деньги и в течение ограниченного времени:

• В течение 3 дней после заражения компьютера вы можете отправить на указанный BitCoin-кошелек создателей вируса эквивалент $300, чтобы разблокировать файлы;
• Если в течение 3 дней деньги вымогатели не получат, цена разблокировки возрастет до эквивалента $600 в биткоинах;
• Если на седьмой день заражения вирусом WannaCry компьютера пользователь не перечислит  деньги вымогателям, его файлы будут уничтожены.

Стоит отметить, что в информационном окне вируса WannaCry имеются счетчики, которые отсчитывают время до повышения стоимости разблокировки и уничтожения данных.

Интересный факт: Несмотря на то что вирус WannaCry поразил сотни тысяч компьютеров в первый же день, согласно ресурсу The Guardian, всего около сотни человек согласились заплатить вымогателям за разблокировку данных по $300.

Какие компьютеры подвергаются заражению вирусом WannaCry

Вирус WannaCry поражает исключительно компьютеры на операционной системе Windows. При этом он атакует компьютеры, использующие старые версии Windows – XP, Server 2003, 8.

Интересный факт: Еще в марте компания Microsoft выпустила обновление, которое позволяет защитить компьютеры от поражения вирусом WannaCry. Но данный патч вышел только для операционных систем, которые поддерживаются компанией – это Windows 7 и Windows 10 в различных редакциях.

Что касается пользователей с другими версиями Windows, они оказались под угрозой и были поражены.

Буквально на следующий день после того как стало о массовом заражении компьютеров вирусом WannaCry, корпорация Microsoft выпустила обновление для Windows XP и других старых систем, поддержка которых официально прекращена.

Вирус WannaCry поражает компьютеры через скрипты, рассылаемые по почте и через различные сайты.

Важно: Если вы видите на почте сообщение (особенно от неизвестного отправителя) с вложениями файлов (в расширении .exe или .js), не загружайте их к себе на компьютер, даже если встроенный в браузер антивирус не видит проблем с файлами!

Как защититься свой компьютер от вируса WannaCry

Помимо того что не нужно посещать непроверенные сайты и загружать с почты сомнительные файлы, есть еще несколько рекомендаций, которые позволят избежать заражения компьютера вирусом WannaCry:

• Для соединения компьютера с интернетом, лучше используйте Wi-Fi приемник и роутер. При прямом подключении компьютера к сети через провод RJ-45, риск заражения гораздо больше;
• Обновите компьютер до последней версии Windows, если у вас Windows 7 или Windows 10. Если вы используете одну из версий операционной системы, потенциально находящуюся в риске заражения (XP, Server 2003, 8), перейдите на официальный сайт Microsoft и скачайте последнее обновление;
• Относитесь внимательно к данным, которые вам отправляют. Рекомендуем в Skype отключить функцию автоматической загрузки файлов, если у вас такая установлена, чтобы избежать вероятности заражения через программу.

Стоит отметить: Существует несколько форм вируса WannaCry.

Некоторые из них можно устранить, если загрузить компьютер в безопасном режиме с сетевыми драйверами, после чего проверить компьютер антивирусами SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla, а далее подобрать декриптор для расшифровки данных. Но этот способ действителен, только если ваш компьютер подвергся заражению ранними версиями вируса WannaCry.

(410

“Случайный герой” рассказал, как он остановил вирус WannaCry

Крис Фокс, обозреватель Би-би-си

Правообладатель иллюстрации EPA

Британский исследователь в области кибербезопасности рассказал Би-би-си, как он, по его словам, “отчасти случайно” приостановил распространение программы-вымогателя, которая 12 мая заблокировала десятки тысяч компьютеров по всему миру.

Двадцатидвухлетний блогер, известный в интернете как MalwareTech, сделал свое открытие в пятницу вечером, когда анализировал код вредоносной программы.

Он заметил, что программное обеспечение пытается связаться с необычным веб-адресом – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – но этот адрес не был связан с вебсайтом, потому что ни за кем не числился.

Всякий раз, когда вредоносная программа пыталась установить связь с загадочным вебсайтом, возникала ошибка и вирус начинал действовать, нанося ущерб.

В качестве эксперимента MalwareTech решил потратить 10 долларов 69 центов и зарегистрировал на себя указанный вебадрес. На правах владельца веб-адреса он обрел доступ к аналитическим данным и получил представление о масштабах сетевого вымогательства.

Но это открытие оказалось не единственным – вскоре он обнаружил, что после регистрации веб-адреса распространение вредоносной программы прекратилось.

Правообладатель иллюстрации Getty ImagesImage caption Менее чем за сутки вредоносная программа WannaCry заразила десятки тысяч компьютеров по всему миру

“Отчасти это была случайность”, – рассказал MalwareTech в интервью Би-би-си после продолжавшегося всю ночь расследования, за время которого он, по его словам, “глаз не сомкнул.

Что случилось?

Сначала эксперт предположил, что создатель вредоносной программы дал ей команду на самоуничтожение – это один из способов остановить распространение вируса, если что-то вдруг пошло не так. В данном случае нештатной ситуацией могла стать регистрация таинственного веб-адреса.

Но теперь MalwareTech считает, что вредоносная программа не самоуничтожилась, а “испугалась” так называемой виртуальной машины – защищенной платформы, используемой в том числе для обнаружения вирусов и считывания их программного кода.

https://www.youtube.com/watch?v=x3Yyba1bC-A

Реальный компьютер не может получить доступ к бессмысленному адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, – в отличие от виртуальной машины, которая способна имитировать подключение к нему как к подлинному вебсайту.

В последнее время создатели вредоносных программ встраивают в них специальный код проверки – не является ли машина, в которую они попали, виртуальной. Если да, то вирус не активируется, чтобы не быть уничтоженным.

“Вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ, – пишет MalwareTech в своем блоге. – Из-за моей регистрации все эти вирусы решили, что попали в виртуальную машину, и вышли из системы. […] Таким образом, мы непреднамеренно предотвратили распространение программы-вымогателя”.

Исследователя, который замедлил распространение вредоносной программы, назвали “случайным героем”.

“По-моему, это правильное определение”, – сказал он в разговоре с Би-би-си.

Конец ли это вымогательству?

Хотя регистрация веб-адреса, по-видимому, остановила распространение одного штамма вируса, это не значит, что с источником вымогательства покончено.

Все файлы, которые были зашифрованы с помощью WannaCry, по-прежнему остаются “в заложниках”.

Эксперты также предупреждают о возможном появлении новых, более совершенных модификаций WannaCry.

“Этот вариант вируса вряд ли будет распространяться дальше, однако почти наверняка появятся его копии”, – считает исследователь по кибербезопасности Трой Хант.

“Мы остановили этот вирус, но придет еще один, и так просто мы его уже не остановим”, – пишет MalwareTech.

“Тут крутятся большие деньги, им [хакерам] нет причин останавливаться. Не так уж много усилий надо, чтобы изменить код и начать все заново”, – добавляет “случайный герой”.

WannaCry: Всё, что нужно знать об атаке вируса-вымогателя

Рассказываем, как и кого атаковал червь-шантажист и что делать, чтобы не стать его жертвой.

Правоохранительные органы предупреждают: с началом рабочей недели кибератака, которая несколько дней назад поразила интернет и парализовала больницы, правительственные учреждения и коммерческие компании как минимум в 150 странах, вероятно, станет только масштабнее.

Самая обширная вирусная эпидемия продолжается, и, пока следователи пытаются выйти на след злоумышленников, организации всего мира спешно латают дыры в защите и пытаются справиться с последствиями атаки.

По оценкам Европола, жертвами нападения стали не меньше 200 тыс. компьютеров, а китайские власти оценивают число жертв в 1 млн машин. Директор Европола Роб Уэйнрайт в интервью британскому телеканалу ITV заявил:

Одной из самых заметных жертв в мире бизнеса стали французский автопроизводитель Renault (EURONEXT: RNO), который был вынужден остановить работу по всей Европе.

Когда в субботу сотрудники пришли на завод компании в городе Сандувиль на севере Франции, на экранах, куда обычно транслируются производственные показатели, была надпись на французском с требованием заплатить $300 выкупа.

Там же был обратный отсчет до удаления файлов, если требования преступников не будут выполнены.

Ключевой элемент кибератаки — червь-шантажист, получивший название WannaCry. После заражения компьютера он быстро распространяется по всей локальной сети, в которой оказывается, шифрует файлы на зараженных компьютерах и предлагает заплатить выкуп за расшифровку биткоинами (Bitcoin).

Пока никаких повреждений оборудования вирус не вызывал, и, если у пользователя есть резервная копия всех данных, ущерб не так уж велик. Но в некоторых организациях для остановки распространения вируса пришлось отключить все системы.

Среди зараженных, в частности, оказались затронуты компьютеры десятков британских больниц и других медицинских учреждений, но, судя по заявлениям официальных лиц, серьезной опасности для жизни пациентов из-за этого пока не возникло, и их данные не были украдены.

Пострадал также немецкий железнодорожный оператор Deutsche Bahn, но, хотя компьютерные системы компании оказалось сложно привести в рабочее состояние, поезда ходили по расписанию. Также жертвой атаки стала американская компания FedEx (NYSE: FDX).

В понедельник появилось сообщение, что вирус затронул почтовую систему компании Hitachi — она сообщает о проблемах как в Японии, так и за рубежом.

Полицейские китайского города Яньчэн, расположенного в 300 км к северу от Шанхая, извинились за то, что из-за вируса не смогли предоставить населению определенные услуги. Также из-за атаки закрылась часть китайской сети заправочных станций компании China National Petroleum.

Банк России сообщил, что российские банки подверглись кибератаке. В пятницу вечером Сбербанк (MICEX: SBER) заявил, что ему удалось защитить свои сети, а МВД сообщает, что пострадали около тысячи компьютеров, но проблему удалось локализовать.

https://www.youtube.com/watch?v=4QEDFFowSZo

Британский Национальный центр кибербезопасности заявил в воскресенье, что новых атак, подобных пятничной, не было, но уже инфицированные компьютеры продолжают распространять вирус по локальным сетям. В ведомстве добавили, что это означает возможность новой волны заражения с началом рабочей недели.

Компьютерные эксперты отмечают, что распространение вируса удалось замедлить, поскольку в его коде нашли аварийный выключатель, который удалось использовать.

Впрочем, мало кто верит, что таким образом его удастся полностью остановить, а вечером воскресенья один из специалистов по безопасности сообщил об обнаружении как минимум одного нового штамма без «выключателя».

Ситуация в США выглядит благополучной по сравнению Европой и Азией, но ФБР, АНБ и Министерство внутренней безопасности были задействованы в борьбе с угрозой. В пятницу вечером и субботу утром советник президента Дональда Трампа по вопросам внутренней безопасности и борьбы с терроризмом провел чрезвычайные встречи с членами правительства в Белом доме.

Государственные агентства разных стран ищут преступников — это сложный международный проект, требующий координации и обмена данными, как при борьбе с крупной террористической угрозой.

Эксперты по безопасности смогли отследить небольшое число биткоин-транзакций, связанных с атакой. Сказать, сколько компаний заплатили выкуп и кому — невозможно. В отличие от банковских счетов, счета в системе биткоин теоретически нельзя отследить до владельцев.

Вирус использовал уязвимость в старых или не обновленных вовремя системах Microsoft (NASDAQ: MSFT). В воскресенье компания заявила, что инструмент, используемый при атаке, был украден из АНБ. Пострадали, в частности, следующие компании:

• Национальная служба здравоохранения Великобритании (до 48 организаций, входящих в систему)
• Renault SA
• Nissan Motor Co.
• China National Petroleum Corp.
• Министерство внутренних дел России
• Корпорация FedEx
• Deutsche Bahn
• Telef?nica SA
• Индонезийские больницы Румах Сакит Харапан Кита и Румах Сакит Дхармай
• North Caspian Operating Co. (Казахстан)
• Отделение полиции Яньчэн (Китай)
• Сбербанк (и другие российские банки)
• Бразильское агентство социального страхования

Microsoft еще 14 марта выпустила обновление, которое закрывало уязвимость, но на зараженных компьютерах оно установлено не было — либо потому, что было отключено автообновление, либо использовалась старая версия Windows, к которой обновления не выходят.

Вот несколько простых способов избежать заражения:

1. Обновления и еще раз обновления

Если ваш компьютер работает под управлением Windows, убедитесь, что все обновления установлены. Нужная «заплатка» вышла в марте, так что, если вы не обновлялись с тех пор, вы в опасности. Если такая опция есть, просто включите автоматическую установку обновлений, если же нет — придется одобрять их вручную.

2. Резервное копирование данных

Атакующий весь мир вирус WannaCry: откуда он взялся, как работает и чем опасен?

12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были атакованы вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на .WNCRY.

Компьютеры, заражённые WannaCry, оказываются заблокированы окном с сообщением, где говорится, что у пользователя есть 3 дня на выплату выкупа (обычно эквивалент 300 долларов США в биткоинах), после чего цена будет удвоена. Если не заплатить деньги в течение 7 дней, файлы якобы будет невозможно восстановить.

WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности.

Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.

WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены.

Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран.

Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.

По данным сайта The Intercept, WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.

Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область. Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу).

WanaCrypt0r — усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.

Известно, что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно.

Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.

12 мая Microsoft выпустила патч безопасности для обнаружения и обезвреживания вируса Ransom:Win32/Wannacrypt. Его можно установить через «Центр обновления Windows».

Чтобы обезопасить свой компьютер от WannaCry, необходимо установить все обновления Windows и убедиться, что работает встроенный антивирус Windows Defender. Кроме того, будет не лишним скопировать все ценные данные в облако.

Даже если они зашифруются на вашем компьютере, вы всё равно сможете восстановить их из облачного хранилища или его корзины, куда попадают удалённые файлы.

Как защититься от вируса-шифровальщика WannaCry в 2017

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.

0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы.

Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать.

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

• Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.  
• Поменяйте драйвера.
• Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
• Обновите операционную систему и все остальное ПО.
• Обновите и запустите антивирусник.
• Повторно подключитесь к сети.
• Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус.

Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.   

Защита информации от уничтожения

Но NCA настойчиво призывает не платить деньги. Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

• Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
• Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
• В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось,  либо скачал вредоносное вложение.

В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года.

Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается.

К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами.

Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.  

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать здесь.

2. Сделать резервные копии важной информации

Рекомендуется хранить копии важных файлов в надежном месте на съемных носителях информации либо использовать специализированные средства резервного копирования.

3. Быть внимательными при работе с почтой и сетью интернет

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Предотвратим потерю информации

Узнать больше

Опасный вымогатель атаковал компьютерные системы по всему миру, включая Россию

12 мая компьютеры по всему миру подверглись массированной кибератаке — самой масштабной за последнее время. Целью злоумышленников является получение выкупа за восстановление доступа к зашифрованным в ходе нападения файлам.

Изображения «Лаборатории Касперского»

В ходе атаки применена вредоносная программа WannaCry. Для проникновения в систему она использует одну из уязвимостей в Windows (MS17-010). Корпорация Microsoft уже выпустила патч для этой «дыры», но, как показали последние события, компьютеры по всему миру остаются незащищёнными, поскольку их владельцы или администраторы до сих пор не установили апдейт.

Как сообщает «Лаборатория Касперского», на текущий момент атаки WannaCry зафиксированы в 74 странах, при этом общее количество нападений превышает 45 тыс. Причём «Лаборатория Касперского» подчёркивает, что истинное число атак может быть намного больше.

Проникнув в систему, зловред приступает к шифрованию файлов с десятками различных расширений. Это документы, изображения, музыка, видеоматериалы, архивы, файлы баз данных и многое-многое другое.

Далее вредоносная программа выводит сообщение (на разных языках, в зависимости от региона) с требование выкупа: жертве предлагается перечислить от $300 до $600 в биткоинах за восстановление доступа к файлам. При этом киберпреступники предупреждают, что в дальнейшем сумма возрастёт, а по истечении определённого времени восстановить информацию будет невозможно.

По оценкам «Лаборатории Касперского», больше всего атак пришлось на компьютеры в России. В частности, пострадали системы Министерства внутренних дел Российской Федерации.

Вот что пишет ведомство в официальном сообщении: «12 мая Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows.

Благодаря своевременно принятым мерам было блокировано порядка тысячи заражённых компьютеров, что составляет менее 1 %. Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором “Эльбрус”.

В настоящее время выявленная активность вируса локализована. Утечка служебной информации с информационных ресурсов МВД России полностью исключена».

По имеющейся информации, для атаки злоумышленники использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США.

«Противоядие для компьютеров, заражённых WannaCry, пока не выпущено», — добавляет Би-би-си. 

Обновление (11:55)

Avast сообщает, что было зафиксировано более 57 тысяч атак в 99 странах. По данным компании, больше всего инцидентов произошло на территории России, Украины и Тайваня. По сообщениям СМИ, в России атакам подверглись сети и системы МВД, Следственного комитета, «Мегафона», «Билайна», «Связного», РЖД, Минздрава, Сбербанка.

Впервые один из образцов данного зловреда был замечен ещё в феврале. В марте Microsoft выпустила обновление, закрывающее уязвимость, которая позволяет зловреду попасть в систему. Для пользователей Windows Defender вчера выпустили дополнительное обновление баз.

 Заметный рост активности зловреда начался в пятницу, в 10 утра по московскому времени, а к полудню он стал лавинообразным. Это связано с тем, что после заражения одного компьютера сразу же начинается поиск других незащищённых систем во всех доступных этому ПК сетях, так что всё это похоже на цепную реакцию.

Атака ведётся на открытые SMB-порты 139 и 445. NYT подготовила анимированную карту заражений по всему миру.

В Talos (принадлежит Cisco) отметили, что в коде программы один из управляющих хостов, к которому вирус постоянно пытается обратиться. Если обращение происходит успешно, то дальнейшие попытки заражения прекращаются.

К счастью, автор блога @MalwareTechBlog вместе с сотрудником Proofpoint зарегистрировали этот домен и стали отслеживать активность вируса — сразу после делегирования к нему были зафиксированы тысячи одновременных обращений. Для прекращения глобальной эпидемии понадобилось всего-то $10,69 и немного времени.

Тем не менее, зловред имеет модульную структуру, то есть после проникновения могут быть загружены дополнительные инструменты для различных атак. 

Исследователи MalwareTech подготовили карту заражений, которая обновляется в режиме реального времени. На текущий момент ими было зарегистрировано более 125 тысяч обращений от заражённых хостов, однако почти все они уже неактивны.

  Тем не менее, всем пользователям Windows рекомендуется установить последние обновления безопасности! Кроме того, Microsoft выпустила патчи и для старых систем (ссылки в конце записи в блоге): Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64.

Обновление 2 (15:30)

Со всего мира продолжают приходить известия о последствиях атаки. Renault была вынуждена приостановить работу одного из заводов на северо-западе Франции. Британское предприятие Nissan пошло на аналогичный шаг, персонал отпущен домой до устранения неполадок.

 Британское правительство созвало экстренный комитет для оценки ситуации. Жители Германии жалуются на то, что информационно табло и терминалы железных дорог тоже оказались заражены. Есть сообщения о том, что пострадали табло в аэропортах.

Среди жертв указаны энергетическая компания и поставщик газа в Испании, национальные провайдеры Испании и Португалии, пакистанская авиакомпания, полицейские участки в Китае, школы и университеты по всему миру, а также сеть банкоматов в Китае.

Сообщается, что на испанской фабрике Renault также замечен вирус.

Хроника эпидемии WannaCry. Как защититься от вируса-вымогателя?

Мир захлестнула глобальная атака программы-вымогателя WanaCrypt0r 2.0 (WannaCry). Наибольший удар пришелся на Россию. Подробнее о том, как защититься от вируса.

Обновлено в 4:23 CET: Мы зафиксировали более 213 000 случаев атак вируса-вымогателя WanaCrypt0r 2.0 в 112 странах мира.

В пятницу 12 мая мы заметили сильнейший рост числа атак программы-вымогателя WanaCrypt0r 2.0 (так называемой WannaCry), которая поразила компьютеры пользователей и нарушила работу организаций по всему миру.

По нашим данным, вирус начал распространятся с 8 утра по центральноевропейскому времени. Только за первый день мы насчитали более 57 тысяч попыток атак. Основной удар пришелся на Россию, Украину и Тайвань.

Первые данные СМИ о заражении пришли из Англии, где вирус парализовал работу больниц, а также Португалии и Испании, где вредоносное ПО проникло в телеком-компании. Французский Renault после кибератаки остановил свои заводы.

В России в числе прочего атаке подверглись Yota, Билайн и Мегафон, а также структуры МЧС, РЖД, МВД и ГИБДД. В некоторых регионах наблюдаются случаи отмены экзаменов по вождению и задержки в выдаче водительских удостоверений. Случаи заражения фиксируются в прямом эфире на интерактивной карте. Судя по ней вирус активно распространяется и в азиатских регионах.

В выходные энтузиастам удалось приостановить эпидемию, благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Выяснилось, что при атаке вирус обращался к этому адресу. В коде вымогателя указывалось, что если обращение к этому домену прошло успешно (то есть, если он зарегистрирован), то действие следует прекратить.

Однако, создатели вируса обошли эту защиту, выпустив новую версию, в которой отсутствует код для обращения к данному домену.

Что такое WannaCry?

WannaCry — программа-вымогатель, которая шифрует все файлы на компьютере, присваивая им расширения .WNCRY. В итоге все файлы оказываются заблокированы, а для возвращения доступа к информации, вирус требует выкуп в размере 300$ за ключ расшифровки. Как правило, жертвы видят одно из следующих сообщений.

Первая версия вируса была обнаружена нами еще в феврале. Сейчас программа-вымогатель, заботливо переведенная на 28 языков, распространяется огромными темпами. Уже к воскресенью вирус был обнаружен в 104 странах, большая часть атак (57%) пришлась на Россию.

Опасность WanaCryptor состоит в том, что заразиться им можно, не выполняя никаких потенциально опасных действий. Если вы не открываете подозрительные вложения, не переходите неизвестным ссылкам, не устанавливаете пиратское ПО или не предоставляете те либо иные права сторонним файлам, вы все равно рискуете стать жертвой этого вируса.

Как распространяется WannaCry?

Глобальное распространение осуществляется при помощи эксплойта EternalBlue (MS17-010), использующего уязвимость в службе SMB операционной системы Windows.

Данный эксплойт был разработан Агентством национальной безопасности США и месяцем ранее опубликован в открытом доступе группировкой ShadowBrokers, которая украла его у хакеров из Equation Group, подозревающихся в связях с АНБ.

После инфицирования компьютера вирус распространяется на другие уязвимые устройства в локальной сети, тем самым представляя огромную опасность для крупных предприятий.

Windows устранила уязвимость в службе SMB еще 14 марта этого года, выпустив обновление безопасности для актуальных ОС.

А в выходные корпорация экстренно выпустила патчи даже для Windows XP, которая не поддерживается компаний уже около трех лет.

Если обновление безопасности установлено, удаленно получить доступ к компьютеру и установить вирус не получится, однако, патч не спасет вас от программы-вымогателя, если вы сами запустите ее.

Как не стать жертвой вируса-вымогателя WannaCry?

Вирус WannaCry: главное – PLUSworld.ru – банковская розница, финансовое обслуживание и платежный рынок

В пятницу, 12 мая, организации по всему миру пострадали от масштабной атаки программы-вымогателя WannaCry. Теперь вы можете отследить ключевые события кибератаки на временной шкале PLUSworld.ru.

Как вирус вымогает деньги?

Вирус активируется на компьютерах под управлением ОС Microsoft Windows, шифрует файлы пользователя, после чего выводит сообщение о преобразовании файлов с предложением в ограниченный срок осуществить оплату ключа дешифрования биткоинами в эквиваленте суммы 300 долларов для разблокировки данных в течение 3 дней. Если нужная сумма не поступит, то сумма автоматически будет увеличена вдвое. На 7 день вирус уничтожит данные.

Вирус WannaCry — что происходит? Мнения специалистов

Лаборатория Касперского:  Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.

Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации.

«Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.

Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая. Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

Виталий Земских, руководитель поддержки продаж ESET Russia: В атаке используется сетевая уязвимость в Microsoft Windows MS17-010, закрытая производителем в марте 2017 года.

Что может означать успешная эксплуатация уязвимости, пропатченной два месяца назад? Очевидно, информационной безопасности в мире уделяют недостаточно внимания, а осведомленность некоторых ИТ и ИБ специалистов оставляет желать лучшего.

Более того, даже если бы злоумышленники использовали уязвимость нулевого дня, для которой еще не выпущены обновления безопасности, правильный подход и набор средств ИБ мог бы отбить атаку.

Простой пример – облачная система ESET LiveGrid детектировала WannaCryptor в первый день эпидемии еще до обновления вирусных баз.

Эвристика и технологии на ее основе позволяют предотвратить заражение даже на необновленных Windows.

В данный момент мы не можем представить исчерпывающие доказательства начального вектора атаки, который используют операторами WannaCryptor.

Пока в центре внимания два возможных сценария, которые могли бы прояснить ситуацию: «классический» фишинг и инфицирование через SMB-уязвимость. Худший вариант сложнее стандартных схем и затрагивает безопасность крупнейших интернет-компаний.

 В любом случае, все встанет на свои места после завершения детальных исследований, которые ведут вирусные лаборатории мира.

Кибератаки различной мощности будут производиться до тех пор, финансовая выгода злоумышленников превышает затраты на реализацию.

Либо, пока нет возможности установить исполнителей со стопроцентной точностью.

Усложнить задачу атакующих позволит комплексный подход к ИБ: программные и аппаратные средства защиты всех узлов сети, доступ ИТ и ИБ-специалистов к актуальной информации об угрозах, обучение персонала.

Алексей Тюрин, директор департамента аудита защищенности Digital Security: 

Вообще, такие вирусные эпидемии уже происходили, так что это не что-то особенно новое. Вирусы-шифровальщики — это в целом актуальная проблема.
Основой вируса является эксплойт, созданный ЦРУ, и который недавно был выложен на WikiLeaks. Так что можно винить ЦРУ, что они не озаботились в полной мере безопасностью своего «кибероружия».

Вирус распространяется по сети, при этом от пользователя не требуется посещать ссылки, скачивать или запускать файлы — достаточно подключения к сети и использовать уязвимую версию ОС. При этом патч под актуальные версии Windows существовал еще до начала вспышки эпидемии. Т.е. оперативная установка обновлений ОС спасла бы.

Отдельной проблемой является то, что уязвимость так же присутствует в Windows XP и 2003, но официальная поддержка которых уже не осуществляется (хотя патч для них тоже есть). Т.е. по большей части заразились те организации, которое либо используют устаревшие версии ОС, либо не оперативно обновляют ОС.

Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ:

Виновником атак, которые начались в конце прошлой недели по всему миру,  является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте.

Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии.

Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Команда Check Point начала фиксировать масштабное распространение вируса WannaCryptor 12 мая. Для ее распространения использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.

Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы.

Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой.

Но не в случае с WannaCry.  Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Как обезопасить свой компьютер от заражения?

Для предотвращения заражения ESET рекомендуеn принять следующие меры:

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

Похожие записи:

Инструкция как правильно снять кондиционер или сплит-систему своими руками

Как почистить кондиционер и сплит-систему своими руками в квартире или офисе

Как подключить apple tv к телевизору