С пятницы 12 мая 2017 года в мире распространился компьютерный вирус WannaCry
- 15 мая 2017
Европол: кибератака может повториться в понедельник, 15 мая 2017 года
Европол рекомендует загрузить необходимые патчи до начала работы из-за угрозы хакерской атаки
Директор Европола Роб Уэйнрайт порекомендовал всем компаниям загрузить необходимые патчи до начала рабочего дня. Глава европейского полицейского агентства предупредил, что глобальная хакерская атака, может повториться в понедельник, 15 мая.
"Аргументы недели" писали, что Роб Уэйнрайт заявил в телеинтервью: новую волну кибератак на компьютеры по всему миру со стороны вируса WannaCry можно ждать утром в понедельник.
Напомним, гендиректор компании по предотвращению киберпреступлений Group-IB Илья Сачков в интервью РИА Новости дал советы, как избежать хакерской атаки.
Программа-вымогатель работает в паре с вирусом WannaCry и позволяет "через один зараженный компьютер распространяться по сетям". В США в связи с глобальной кибератакой в Белом доме прошли экстренные совещания.
Исполнители кибератаки, затронувшей десятки стран мира, получили более 42 тысяч долларов, однако присланные жертвами деньги до сих пор не были сняты со счетов, пишет издание Times.
Как ранее заявил директор Европола Роб Уэйнрайт, серия кибератак может продолжиться в понедельник утром. По его данным, масштабная кибератака уже затронула 200 тысяч пользователей в 150 странах мира.
Силовые структуры продолжают осуществлять наблюдение за тремя онлайн-счетами, куда жертвы хакерской атаки отправили деньги в виде биткоинов. Соучредитель компании Elliptic, которая распознает незаконную деятельность с использованием биткойнов, Том Робинсон сообщил о 110 случаях уплаты выкупа в общей сложности в размере 23,5 биткойнов.
Газета Guardian отмечает, что выкуп может увеличиться, поскольку вредоносная программа-вымогатель угрожает вдвое повысить требуемые в виде биткойнов 300 долларов, если пользователи компьютеров не заплатят в течение трех дней. Если жертвы хакерской атаки не заплатят в течение семи дней, вирус угрожает удалить все файлы.
Разработчики антивируса Avast сообщали о 57 тысячах хакерских атак с использованием вируса WanaCrypt0r 2.0. По данным компании, в первую очередь вирус распространяется в России, на Украине и Тайване. В "Лаборатории Касперского" сообщали о 45 тысячах попыток хакерских атак в 74 странах по всему миру в пятницу, наибольшее число попыток заражений наблюдалось в России.
Как стало известно ранее, хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США. Издание Financial Times со ссылкой на аналитиков в области кибербезопасности сообщило, что инструмент американских разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с "программой-вымогателем" WannaCry.
Атака стала возможной через известную уязвимость ОС Microsoft Windows под названием Microsoft Security Bulletin MS17-010 (используя эксплоит EternalBlue[en]). Компания Microsoft, производитель ОС Microsoft Windows, рекомендовала обновить ОС. Ранние версии WannaCrypt были известны ещё в феврале 2017 года. Microsoft 14 марта выпустила обновление, которое нейтрализует уязвимость. Сама уязвимость использовалась Агентством национальной безопасности США. Хакеры опубликовали несколько готовых инструментов АНБ в свободном доступе. Microsoft пошла на нестандартный шаг и решила выпустить патч для Windows XP, Windows 8 и Windows Server 2003, которые уже не поддерживаются компанией и поэтому не получали обновлений безопасности. По состоянию на 13 мая 2017 г. патч есть для следующих версий: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10 и Windows Server 2016, также доступны обновления ядер для других версий ОС этой компании.
Вирус меняет расширения инфицированного файла на «.WNCRY». А зашифрованные файлы также содержат строку в начале файла с выражением «WANACRY!».
По сообщению компании AVAST Software, её антивирус Avast! ловит все модификации вируса, однако они также советуют обновить Windows.
В Великобритании инфицирование компьютеров в больницах стало возможным из-за того, что около 1000 ПК до сих пор используют старую версию Windows XP.
Ход событий вируса отражает Википедия
12 мая 2017 года вирус распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах - в России, на Украине, в Индии, Тайване.
Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG.
В Великобритании были инфицированы компьютеры в больницах (NHS trusts), а в Испании - испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвертая по размеру количества абонентов). В России пострадали министерства (МВД России), Сбербанк и МегаФон. В Германии были инфицированы компьютеры Deutsche Bahn.
Вечером 13 мая издание Meduza сообщило, что злоумышленники успели заработать около 6 тыс. долларов США.
По состоянию на 13:20 13 мая, по данным сайта MalwareTech botnet tracker, инфицированы 131233 компьютеров во всем мире, из них онлайн - 1,145.
Renault остановил работу своих заводов, чтобы проверить свои ПК.
МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“». Количество зараженных ПК составило около 1 тыс., что составляет около 1 % всего компьютерного парка. В некоторых областях РФ сеть МВД временно не работала.
Днем 13 мая английский вирусный аналитик, пишущий в Twitter’е под ником @MalwareTechBlog, зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и таким образом временно заблокировал работу некоторых модификаций вируса.
Но обнаруженный способ остановить распространение вируса-вымогателя WannaCry уже не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы
Хакеры, запустившие вирус-вымогатель WannaCry, обновили программу и обошли блокировку, с помощью которой было остановлено его распространение, сообщает издание Motherboard.
Как поясняет издание, ранее распространение удалось блокировать британскому специалисту по кибербезопасности, который ведет Twitter MalwareTechBlog. Он зарегистрировал домен с именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, название которого содержалось в коде вируса. Вирус обращался по этому адресу и, если не получал ответа, продолжал заражать другие компьютеры. Как только британский специалист зарегистрировал этот домен и он стал доступен в Сети, вирус стал получать от него отклик, а согласно заложенному в него алгоритму, если ответ получен — распространение прекращалось.
Создатели WannaCry переписали код вредоносной программы, узнало издание Motherboard, и теперь она функционирует без обращения к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Motherboard предупредила, что теперь вирус вновь может заражать компьютеры. Пик заражений ожидается в понедельник, 15 мая, в связи с началом рабочей недели.
Информация о глобальной вирусной атаке, которой подверглись компьютеры c операционной системой Windows в более 70 странах мира, появилась в пятницу, 12 мая. По оценкам «Лаборатории Касперского» большая часть попыток взлома пришлась на Россию.
Вирус блокирует доступ данным зараженных компьютеров и требует заплатить $300 или 600 в биткоинах за получение доступа к ним. В противном случае вирус обещает удалить файлы в течение трех дней.
Как ранее писал РБК, атаке подверглись компьютеры телекоммуникационных компаний («МегаФон», «ВымпелКом»), а также компьютеры МВД и Следственного комитета, МЧС, Минздрава, РЖД, и ряда российских банков. Официальный представитель СК опровергла эту информацию.
Как подтвердили в «Лаборатории Касперского», атака происходила через «известную сетевую уязвимость Microsoft Security Bulletin MS17-010». После этого «на зараженную систему» устанавливался «руткит», используя который, злоумышленники «запускали программу-шифровальщик», отмечали в компании.