? Чем опасен атакующий весь мир вирус WannaCrypt0r и откуда он взялся

Артём Баусов avatar | 53
FavoriteLoading В закладки
Чем опасен атакующий весь мир вирус WannaCrypt0r и откуда он взялся

12 мая Сеть поразил новый опасный вирус WCry, который блокировал доступ к ПК всех пользователей. Но откуда он взялся и чем так опасен?

Что это за зверь такой?

Специалисты по информационной безопасности идентифицировали угрозу как WanaCrypt0r 2.0. Он шифрует некоторые типы файлов и меняет их расширение на .WNCRY. Соответственно, доступа к ним у вас не будет.

Компьютеры, попавшие под атаку вируса, оказываются заблокированы окном с сообщением «У вас есть 3 дня на выплату выкупа — $300 (в биткоинах)». По истечению срока стоимость разблокировки удваивается. Если не заплатить через 7 дней, то файлы якобы нельзя будет восстановить.

Под угрозой заражения WanaCrypt0r оказались компьютеры под управлением Windows, коих большинство. Он использует уязвимость, которая была закрыта Microsoft в марте этого года. Тем не менее, не все пользователи успели обновиться. В первую очередь пострадали крупные компании, которые скептически относятся к обновлениям операционной системы и пытаются устранить «дырки» своими силами.

Как вирус попадает на ПК пользователей и откуда он взялся?

WanaCrypt0r попадает на компьютер через уязвимость в ОС с помощью удаленной атаки. Специальный код активируется на заражённой машине и получает доступ к центральному серверу.

Опасность его заключается в том, что он может восстановиться после полного форматирования жёсткого диска. Следовательно, он записывается в некую область HDD, недоступную системе и пользователям соответственно.

Разработчики вируса все ещё остаются неизвестными и не факт, что именно они стоят за атаками на пользователей и крупные компании. Есть мнение, что вредоносное ПО было продано определенным людям, которые и занимаются вымогательством.

Как защитить себя?

Поскольку Microsoft устранила брешь в безопасности, вам необходимо скачать последний патч для своей операционной системы.

Вирус работает как под Windows 7, 8.1, так и под «десяткой». Обновление доступно для всех версий, поэтому тянуть с его установкой нет уже никакого смысла.

Кроме того, если вы всё ещё не «словили» вирус, это не значит, что он до вас не доберётся. Сохраните на всякий случай все важные файлы в облачном хранилище One Drive. Там они будут надёжно защищены.

Также не будет лишним проверить свой компьютер на наличие вируса под названием MEM:Trojan.Win64.EquationDrug.gen.

Решения Лаборатории Касперского детектируют следующие программы-шифровальщики:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Fury.fr
  • PDM:Trojan.Win32.Generic
  • После успешного распознавания вируса необходимо перезагрузить компьютер. В дальнейшем для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

    1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
    undefined
    iPhones.ru
    Рассмотрели все нюансы и возможности защиты ваших данных.
    Прокомментировать

    🙈 Комментарии 53

    1. Midstory avatar
      Midstory13 мая 2017
      14

      Сочувствую пользователям Windows во всех смыслах :)

      somebodythatiusedtoknow avatar
      2

      @Midstory, Собственно ситуация проще некуда. Вирусы шифрующие диск, на понятном только самому создателю языке , существовали и юзались ещё в далёких 2010.
      Естественно только сейчас это сорвало хайпа из-за мусорскиx ПК.
      Ответы на возникающие вопросы.

      Что делать?
      -Только платить за расшифровку, этому самому “вымогателю”

      Почему?
      -Потому что диск зашифрован с помощью специального ключа. Ключ знает только творец этого ПО. Без ключа диск вам не расшифрует даже исус..

      Как не попасться?
      -Ответ такой же как и в нашем случае. Не качать бесплатный сыр в интернете. Не посещать не проверенные сайты, обновлять вовремя , а лучше отключать flash java и сторонние плагины браузеров.

    2. Maximusumus avatar
      Maximusumus13 мая 2017
      3

      К сожалению, не могу от мелкомягкого избавиться, 1С уже есть на МАК, а вот с банк клиентом сложно, он только под експлоером работает…… по этому на VM виндовс так и существует.

      ifthenelse avatar
      ifthenelse13 мая 2017
      2

      @Maximusumus, поменять банк на нормальный, как вариант. Да и от 1С реально избавиться.

      Maximusumus avatar
      Maximusumus13 мая 2017
      2

      @ifthenelse, ждал таких комментов, Вы реально думаете, что я не посмотрел обслуживание в других банках и таких смешных разводил на деньги как точка, тинькофф и остальные, так вот, стоимость обслуживания перевешивает держать VM, для банк клиента, банка в котором обслуживаюсь.

      ifthenelse avatar
      ifthenelse13 мая 2017
      1

      @Maximusumus, плохо смотрели :) Помимо тех, что типа “банки-разводилы”, (по вашему мнению) есть ещё варианты.

      ferrum avatar
      ferrum14 мая 2017
      0

      @Maximusumus, а почему точка разводилы? не, про тинькоф я, конечно, верю и поддерживаю, это конченые вообще, но точка? Это же дочка вполне себе серьезного открытия, не?

      CIA_agent avatar
      CIA_agent13 мая 2017
      3

      @Maximusumus, смените банк. На дворе 2017, а еще есть банки, которые работают только через IE. Ржу.

      Хороший человек avatar
      0

      @Maximusumus, Как вариант, перейти в другой банк, с более адекватным банк-клиентом. Тот же Модульбанк или Точка..

      Maximusumus avatar
      Maximusumus13 мая 2017
      1

      @Хороший человек, ждал таких комментов, Вы реально думаете, что я не посмотрел обслуживание в других банках и таких смешных разводил на деньги как точка, тинькофф и остальные, так вот, стоимость обслуживания перевешивает держать VM, для банк клиента, банка в котором обслуживаюсь.

      westlights avatar
      westlights13 мая 2017
      2

      @Maximusumus, Ну зачем такие крайности?
      Я спокойно живу с маком без IE в двух крупных и приличных банках (Альфа и ВТБ). Что мешает вам?

      Smolny avatar
      Smolny13 мая 2017
      0

      >приличные банки
      >альфа и ВТБ
      На ноль поделили

      Хороший человек avatar
      1

      @Maximusumus, а Вы в каком банке?
      Интересно просто, какой банк и тариф Вам подошёл.

      Maximusumus avatar
      Maximusumus13 мая 2017
      0

      @Хороший человек, Совсем не секрет, МСКБ.

      Хороший человек avatar
      0

      @Maximusumus, Нашёл, изучил тарифы.
      Рад, что Вам нравится.
      Сам для себя когда-то нашёл Модульбанк. Уже там года два – очень нравится (и удобство интернет-банка, и работа приложения с банком, и тарифы).

      Maximusumus avatar
      Maximusumus13 мая 2017
      0

      @Хороший человек, Нравиться….. ну если только по деньгам и офис банка надо мной :) (да и знакомый управляющий, если ЦБ захочет лицензию отобрать, хоть деньги успею вывести :)), все банки с сильными именами, дорого, кажется, что фигня, а за год получается нормально. виртуальные банки не рассматриваю вообще, так как случись что, и найти никого не найдешь!

      di3x avatar
      di3x17 мая 2017
      0

      @Maximusumus, Нравиться? Зачем мягкий знак?

      Maximusumus avatar
      Maximusumus17 мая 2017
      0

      @di3x, что бы Вы, хоть что то могли сдесь написать :)

    3. DenSen avatar
      DenSen13 мая 2017
      8

      Всё же по-настоящему уникальной надо признать операционную систему, которая в 2017 году может позволить удаленно запустить произвольный код без пароля администратора и каких-либо сознательных действий со стороны пользователя.

      toivan avatar
      toivan13 мая 2017
      3

      @DenSen, согласен, гениальная система

      axinfernis avatar
      axinfernis13 мая 2017
      0

      @DenSen, Наличие пароля администратора не преграда для действия хакера.

      DenSen avatar
      DenSen13 мая 2017
      6

      @axinfernis, тогда на кой чёрт (существо, запрещенное на территории РФ) все эти политики разграничения прав, разрешения на запись в те или иные папки, пароли администраторов, если какой-то удаленный хрен (растение, запрещенное на территории РФ) может выполнить в твоей взлееянной операционной системе любое действие без какого-либо предварительного уведомления? У меня на MacOS программы пукнуть не могут без ввода пароля.

      axinfernis avatar
      axinfernis13 мая 2017
      1

      @DenSen, “У меня на MacOS программы пукнуть не могут без ввода пароля”
      Это вам так кажется.
      Наивный вы и не верьте в безопасность MacOS, нет не одной операционной которую нельзя взломать хотя фряха считается самой безопасной, но от фряхи на MacOS мало чего осталось.

      mlserg avatar
      mlserg13 мая 2017
      4

      @DenSen, это называется – уязвимость, она эксплуатируется эксплоитом. Уязвимостям подвержены все ОС, винда, линукс, мак. Вспомните сколько было выпущено джейлов на ios, все они были осуществлены из-за уязвимостей.

      DenSen avatar
      DenSen13 мая 2017
      1

      @mlserg, я помню, сколько было джейлбрейков, так как шесть лет был в стане поклонников Сидии. Только не припомню ни одного случая, чтобы он оказался джейлбрейкнутым без моей инициативы. Можно сколько угодно говорить, что iOS является дырявой и подверженной взломам, но для конечного пользователя эти страшилки – пустой звук.

      mlserg avatar
      mlserg13 мая 2017
      0

      @DenSen, но факт остается фактом, уязвимости есть везде. И пароли тут не всегда имеют значение. На винде уязвимость приводит к заражению в массовом порядке из-за ее распространенности. На ios была такая уязвимость, которая позволяла сделать джейл, зайдя по ссылке через сафари.

      ironDrew avatar
      ironDrew13 мая 2017
      2

      @DenSen, пароль админа – защита от ленивых в любой ОС.

      vugi avatar
      vugi13 мая 2017
      1

      @DenSen, trident делал то же самое год назад для iOS. Так что ничего особенного. Все системы уязвимы.

      debil avatar
      debil13 мая 2017
      4

      @DenSen, CVE после каждого обновления macOS/iOS читайте, чтобы в следующий раз не голословно кукарекать, там RCE уязвимостей ВНЕЗАПНО побольше виндовых будет.

      DenSen avatar
      DenSen13 мая 2017
      1

      @debil, судя по тому, что не реже раза в год на экранах айфонов и компьютерах под управлением MacOS выскакивает кровавого цвета окно с устрашающей надписью “Вилкой в глаз или в жопу раз”, а тебе всё ещё удается оставлять комменты на сайтах, ты каждый раз принимаешь бескомпромиссное решение.

      debil avatar
      debil13 мая 2017
      1

      @DenSen, ну не знаю. На моем экране раз в год выскакивает окно с трансляцией WWDC, там больше про тренды в яблочной экосистеме на следующий год говорится. Про жопы и вилки это вы видимо спутали меня с эпизодами из своего прошлого.

    4. Astus avatar
      Astus13 мая 2017
      3

      > Опасность его заключается в том, что он может восстановиться после полного форматирования жёсткого диска. Следовательно, он записывается в некую область HDD, недоступную системе и пользователям соответственно.

      Откуда “следовательно”, откуда такая информация? Сколько начитал статей/новостей, такое первый раз слышу. “Восстанавливается” как и цепляется зловред по дырке в SMB-протоколе (о котором, кстати, в статье ни слова), соответственно пока дырка открыта – хоть форматируй, хоть на виртуалку ставь, всё одно открыт для заразы.

    5. unknown avatar
      unknown13 мая 2017
      6

      По-настоящему уникальными надо признать людей, которые в 2017 году думают что в osx нету уязвимостей. Ребята, даже в ядре линукс каждый день находят подобные уязвимости, к счастью, по распространённости, osx это даже не линукс.

      debil avatar
      debil13 мая 2017
      0

      @unknown, “даже в ядре линукс”, можно подумать, этот кусок говна когда-то считался безопасным, он так же как и OSX, никогда, никому не был нужен, поэтому там и не искали дыры.

      alexmaru avatar
      alexmaru13 мая 2017
      4

      @debil, хренасе, дыры не искали. Постоянно ищут и за огромные деньги – 90% серверов на них, хотя в этих случаях делают руткмты более целенаправленно, под одну цель.

      Ну и андроид – ядро линукса там нетронутое, графическая система только не X.

      debil avatar
      debil13 мая 2017
      6

      @alexmaru,
      Ну давайте смотреть на все это дело с точки зрения злоумышленника.
      Нет интереса взломать очередной сервер с nginx/apache, где не будет никакого доступа к информации пользователей, потому что тем, кто делают прямой доступ от FE к BE с информации о картах, почте и другими sensitive данными пользователей, нужно сразу харкать в еб*о, а потом еще нассать на него.
      Ну а во-вторых, это просто не рентабельно, так как из 3.000.000.000 компьютеров в сети, 95% их них будет приходиться на конечных пользователей с виндой и проще сосредоточиться на этом сегменте, чем вкладываться в атаки с сомнительной выгодой.

      Archie avatar
      Archie13 мая 2017
      0

      @debil, о да, спасибо, нам так важно мнение человека с вашим ником)

      debil avatar
      debil13 мая 2017
      0

      @Archie, спасибо, ведь именно с такими проницательными людьми как вы, я им и делюсь)

      unknown avatar
      unknown13 мая 2017
      0

      @debil, ну я это и имел ввиду, приятно что есть разбирающиеся люди, надоела профанация на этой теме. Пик бред рекламма эппла где комп под виндой постоянно зависал, учитывая что под маком частенько даже нельзя вырубить комп если какая-нибудь прога повисла в системном вызове, еще и эта их “борьба” с установкой других осей на макбуки :/

      alexmaru avatar
      alexmaru13 мая 2017
      0

      @unknown, тот софт, что без GUI крутится – он и на линуксе, и на маке почти всегда тот же, собранный тем же gcc и с теми же библиотеками. Так что когда дырявый был opessl, страдали все.

      debil avatar
      debil13 мая 2017
      0

      @alexmaru, под osx софт собирается clang’ом

      alexmaru avatar
      alexmaru13 мая 2017
      0

      @debil, тот что в портах/brew? мне казалось, там gcc тащат.

      debil avatar
      debil13 мая 2017
      0

      @alexmaru, в зависимости от пакетов и их мэнтейниров. Сложные пакеты вроде gnuradio на пару гб исходников будут собраны с gcc, а относительно легкие с clang — все зависит от лени этих самых мэнтейнеров. Система собрана clang’ом.

    6. dem2812 avatar
      dem281213 мая 2017
      0

      Ребят, помогите плиз. Не могу вирус удалить Троян LNK gen кажется так называется. Ярлыки на флешке странные стали и ссылку на них вин 32 показывает на всех файлах. Антивира 5 перепробовал не один не берет его.

    7. b avatar
      b13 мая 2017
      3

      не качайте порнушку и все будет нормально

      unknown avatar
      unknown13 мая 2017
      1

      @b, и даже фотки голой эммы вотсон?! Зачем такая жизнь тогда :(

    8. Vladim avatar
      Vladim13 мая 2017
      3

      Сноуден: АНБ виновата в кибератаке, поразившей компьютеры в 74 странах

    9. 3net avatar
      3net13 мая 2017
      1

      Почему не подают в суд на антивирусники?

      debil avatar
      debil13 мая 2017
      2

      @3net, потому что в любой eula антивирусной компании написано, что компания не несет ответственности за заражение компьютеров, там только речь о гарантиях со стороны антивируса в том, что он защитит пользователя от _известных_ угроз.

    10. andriandri avatar
      andriandri13 мая 2017
      1

      А как one drive поможет? Вирус не может зашифровать файл находищийся там? Или имеется ввиду сохраните и отключите, заходите через браузер бррр :)

      debil avatar
      debil13 мая 2017
      0

      @andriandri, шифровщики используют для поиска файлов FindFirstFile/FindNextFile, AFAIK, эти функции не умеют делать листинг в one drive.

      unknown avatar
      unknown13 мая 2017
      1

      @debil, думаю onedrive подключается через webdav драйвер как обычно, для winapi это все равно что диск

    11. b avatar
      b13 мая 2017
      0

      хайп

    Вы должны авторизоваться или зарегистрироваться для комментирования.

    Нашли орфографическую ошибку в новости?

    Выделите ее мышью и нажмите Ctrl+Enter.

    Как установить аватар в комментариях?

    Ответ вот здесь