Понад 100 тис. комп’ютерів у світі заражені вірусом Wanna Decrypt0r, який шифрує дані користувачів Windows, а потім вимагає викуп у розмірі $300. Про масштаби інциденту говорить той факт, що в Росії, за інформацією місцевих ЗМІ, заражені комп’ютери оператора «Мегафон» і МВС. Заразитися може будь-який комп’ютер під управлінням Windows, підключений до інтернету, на якому немає відповідного оновлення від Microsoft.
Як усе починалося
Судячи з повідомлень, пік зараження припав на 12 травня 2017 року. У профільному блозі компанії Pentestit на Хабрахабр пишуть, що автори вірусу Wanna Decrypt0r (його ще називають WCry) використовують експлоїт ETERNALBLUE, створений фахівцями АНБ. Вірус шифрує всі файли на комп’ютері користувача. Потім вимагає викуп у розмірі $300 у біткоінах. На виплату викупу дається три дні, потім сума подвоюється.
Експерти з кібербезпеки з MalwareHunterTeam стверджують, що найбільше постраждали Росія і Тайвань. Але крім того атаці піддалися комп’ютери в Україні, а також у Великобританії, Іспанії, Італії, Німеччині, Португалії, Туреччині, Казахстані, Індонезії, В’єтнамі, Японії і на Філіппінах.
Серед жертв вірусу – найбільша телекомунікаційна компанія Telefonica, газова компанія Gas Natural, Iberdrola, банк Santander і філія консалтингової компанії KPMG. У Великобританії хакери атакували комп’ютери системи охорони здоров’я. У Росії були заражені комп’ютери оператора «Мегафон» і МВС.
Несподіваний перепочинок
Раптово поширення вірусу WannaCrypt вдалося призупинити. Спеціаліст з безпеки, який веде твіттер @MalwareTechBlog, досліджував вірус і виявив, що той з якихось причин звертається до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Він вирішив зареєструвати цей домен, щоб стежити за активністю програми.
Як з’ясувалося пізніше, у коді вірусу прописано, що якщо звернення до цього домену успішне, то зараження слід припинити; якщо немає, то продовжувати. Відразу після реєстрації домену до нього прийшли десятки тисяч запитів.
Разом з тим це не перемога над вірусом. Щоб знову почати зараження, зловмисникам досить змінити кілька рядків коду, де згадується домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Як захиститися
Уразливість, яку використовують автори вірусу, не нова. Якщо ви регулярно встановлюєте собі оновлення безпеки від Microsoft, то у вас немає проблем. В іншому випадку потрібно терміново встановити оновлення для вашої операційної системи звідси.
На сайті Geektimes, користувач з ніком kvaps дає поради, як перевірити наявність уразливості в системі.
- Перейдіть за посиланням і перевірте код оновлення для вашої системи, наприклад, для Windows 7 або Windows Server 2008 R2 код буде 4012212 або 4012215
Відкрийте cmd.exe (командний рядок). - Напишіть: wmic qfe list | findstr 4012212 та натисніть Enter.
- Якщо у відповіді ви побачите щось подібне, це означає, що патч у вас уже встановлений, і можна спати спокійно: http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY \ система 3/18/2017
- Якщо ж відповідь поверне вам порожній рядок, спробуйте перевірити наступний патч зі списку.
- Якщо жоден патч не знаходиться, рекомендується негайно встановити оновлення за посиланням вище.
