Более 100 тыс. компьютеров в мире заражены вирусом Wanna Decrypt0r, который шифрует данные пользователей Windows, а затем вымогает выкуп в размере $300. О масштабах инцидента говорит тот факт, что в России, по информации местных СМИ, заражены компьютеры оператора «Мегафон» и МВД. Заразиться может любой компьютер под управлением Windows, подключенный к интернету, на котором нет соответствующего обновления от Microsoft.
Как все начиналось
Судя по сообщениям, пик заражения пришелся на 12 мая 2017 года. В профильном блоге компании Pentestit на Хабрахабре пишут, что авторы вируса Wanna Decrypt0r (его еще называют WCry) используют эксплоит ETERNALBLUE, созданный специалистами АНБ. Вирус шифрует все файлы на компьютере пользователя. Затем требует выкуп в размере $300 в биткоинах. На выплату выкупа дается три дня, затем сумма удваивается.
Эксперты по кибербезопасности из MalwareHunterTeam утверждают, что больше всех пострадали Россия и Тайвань. Но кроме того атаке подверглись компьютеры в Украине, а также в Великобритании, Испании, Италии, Германии, Португалии, Турции, Казахстане, Индонезии, Вьетнаме, Японии и на Филиппинах.
Среди жертв вируса – крупнейшая телекоммуникационная компания Telefonica, газовая компания Gas Natural, Iberdrola, банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения. В России были заражены компьютеры оператора «Мегафон» и МВД.
Неожиданная передышка
Внезапно распространение вируса WannaCrypt удалось приостановить. Специалист по безопасности, который ведет твиттер @MalwareTechBlog, исследовал вирус и обнаружил, что тот зачем-то обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он решил зарегистрировать этот домен, чтобы следить за активностью программы.
Как выяснилось позже, в коде вируса прописано, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена к нему пришли десятки тысяч запросов.
Вместе с тем это не победа над вирусом. Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Как защититься
Уязвимость, которую используют авторы вируса, не нова. Если вы регулярно устанавливаете себе обновления безопасности от Microsoft, то у вас нет проблем. В противном случае нужно срочно установить обновления для вашей операционной системы отсюда.
На сайте Geektimes, пользователь с ником kvaps дает советы, как проверить наличие уязвимости в системе.
- Перейдите по ссылке и проверьте код обновления для вашей системы, например, для Windows 7 или Windows Server 2008 R2 код будет 4012212 или 4012215.
- Откройте cmd.exe (командную строку), напишите: wmic qfe list | findstr 4012212 нажмите Enter.
- Если в ответе вы увидите что-то подобное, это значит, что патч у вас уже установлен, и можно спать спокойно: http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017.
- Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка.
- Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.
