1270
"Хочу плакати". Світом поширюється глобальна епідемія вірусу-здирника
— Кримінал
По всьому світу поширюється вірус-здирник WannaCry, який шифрує дані на комп’ютері й вимагає викуп від 300 дол. Деякі світові ЗМІ вже назвали “крипто-атаку” наймасштабнішою за всю історію. Основний удар припав на Росію, Україну, Китай та Індію.
З 12 травня по всьому світу поширюється вірус-вимагач WannaCry, який шифрує дані на комп’ютері, і вимагає викуп від 300 дол. Деякі світові ЗМІ вже назвали “крипто-атаку” наймасштабнішою за всю історію. Основний удар припав на Росію, Україну, Китай та Індію. Заражені сотні тисяч комп’ютерів, а зловмисники отримали від своїх жертв 42 тис. дол.
12 травня почалася епідемія трояна-шифрувальника WannaCry. Аналітик компанії AVG Avast Якуб Кроастек каже, що за один день компанія зафіксувала 36 тис заражених ПК. Kaspersky Lab нарахував 45 тис заражень. За словами CEO SOC Prime Андрія Безверхого, 7 великих українських компаній з числа його клієнтів постраждали в результаті атаки.
У Росії зараженню піддалися телеком-компанія “Мегафон”, комп’ютери МВС і Слідчого комітету, оператор Yota і комп’ютери РЖД.
За даними фахівців у сфері кібербезпеки з компанії MalwareTech, 12 травня в США були заражені 1,6 тис ПК, в Китаї 6,5 тис.
Що таке WannaCry
WannaCry – це вірус-здирник. Він шифрує файли і за розшифровку вимагає викуп у сумі від 300 до 600 доларів у криптовалюті біткоїн. В іншому випадку, вірус загрожує подвоїти ціну через три дні. Якщо платежу не буде через тиждень, всі файли буде видалено. Встановити особу власника біткоїн-рахунку практично неможливо.
WannaCry — це експлойт (програма, що використовує уразливість в ПЗ). З його допомогою на ПК жертви потрапляє шифрувальник. Експлойт також поширює шифрувальник по локальній мережі.
Зазвичай, щоб заразити ПК шифрувальником, жертва повинна зробити помилку — клікнути на підозрілі посилання, дозволити виконувати макрос у Word, скачати сумнівне вкладення з листа. Головна відмінність WannaCry полягає в тому, що заразитися можна, взагалі нічого не роблячи.
Як відбувається зараження
Творці WannaCry використовували вразливість Windows відому під назвою EternalBlue. Ця вразливість схожа на ту, що використало Агентство національної безпеки (АНБ) США.
За даними Держспецзв’язку, в Україні переважна більшість заражень відбулося через відкриття шкідливих додатків (Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних структур та державних установ.
Але шанс “підчепити” вимагача існує навіть у процесі читання новин на великому авторитетному сайті. При цьому сайт буде зовсім не причетний. Як правило, такі зараження відбуваються через систему обміну рекламними банерами, до якої вдалося підключитися зловмисникам. Якщо опинитися на сайті в момент показу “зараженого” банера з незакритою уразливістю в ОС або браузері і не встановленим хорошим антивірусом, шанс зараження буде дуже високий.
Які наслідки зараження
Після злому комп’ютера WannaCry намагається розповсюджуватися по локальній мережі на інші комп’ютери. Він сканує інші комп’ютери на предмет наявності тієї самої уразливості, яку можна експлуатувати з допомогою EternalBlue, і якщо знаходить, то атакує і шифрує і їх теж.
WannaCry шифрує файли різних типів, серед яких є офісні документи, фотографії, фільми, архіви та інші формати файлів, в яких може міститися потенційно важлива для користувача інформація. Зашифровані файли отримують розширення .WCRY (звідси і назва шифрувальника) і стають повністю такими, що їх не можна читати.
За словами Безверхого, WannaCry здійснює високоякісне 2048-бітове шифрування. Розшифрувати зашифровані файли на сьогодні неможливо. Існує примарний шанс на вилучення або крадіжку у хакерів даних з ключами для дешифрування.
Чи варто платити викуп
Безверхий також категорично не рекомендує платити викуп зловмисникам. По-перше, немає ніяких гарантій, що вони розшифрують дані. По-друге, у випадках з аналогічними шкідниками, дані просто стиралися. По-третє, отримані гроші будуть стимулювати злочинців продовжувати свою діяльність і розвивати шкідливий софт.
Хто в зоні ризику
WannaCry загрожує тільки користувачам ОС Windows. Особливо велику загрозу схильні користувачі Windows XP і піратських версій операційної системи, у яких відключена можливість оновлення.
Оскільки вірус дуже швидко поширюється по мережі, найбільшої шкоди він завдає компаніям з великими локальними мережами.
Як уникнути зараження
Негайно встановити оновлення Microsoft MS17-010 від 14 березня цього року.
Встановити якісний антивірус, хоча б його безкоштовну версію.
Регулярно робити резервні копії критичних даних і зберігати їх на носіях, які не підключені до ПК постійно.
Не відкривати вкладень у підозрілих повідомленнях (у листах від відправників, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора, те, як автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, файлів і т. д.).
Чому найбільше постраждали Росія, Україна, Індія і Китай
CEO SOC Prime вважає, що пострадянські країни, а також Індія і Китай постраждали найбільше, тому що використовують застарілу версію Windows XP і піратські ОС. Крім того, в цих країнах в цілому низький рівень грамотності людей в елементарних питаннях комп’ютерної безпеки.
“У країнах Західної Європи питання кібербезпеки, в тому числі в комерційному секторі, досить суворо врегульовані на законодавчому рівні. В США цьому приділяють ще більше уваги. Більше того, в штатах витрачають на кібербезпеку на порядок більше грошей, ніж на Заході”, – вважає Безверхий.
Коли рівень небезпеки знизиться
Виходячи з особливостей поширення шкідливого ПЗ і дій, які були здійснені для його блокування, можна говорити про те, що, коли користувачі оновлять свої операційні системи Windows, загроза повинна зовсім зникнути, кажуть фахівці антивірусної лабораторії Zillya!.
“Принаймні, її частина, яка сама запускається, не зможе працювати і завдавати шкоди як раніше. Відповідні патчі випущені навіть для Windows XP, яка не підтримується вже близько року”, – прокоментували в Zillya!
Всеволод Некрасов
За матеріалами: Економічна Правда
Поділитися новиною
