Вирус WannaCrypt

12 мая 2017 года десятки тысяч компьютеров по всему миру были заражены вирусом WannaCrypt. Данный вирус относится к категории блокировщиков, и блокирует доступ к файлам. Причем он не только блокирует доступ к файлам, но и шифрует их, а также меняет расширение. Чтобы избавиться от назойливого вируса, требуется произвести оплату через Биткоины в эквиваленте 300 долларов США. Если в течении 3 дней сумма не поступает на счет, она удваивается.

В России вирус коснулся таких магнатов, как Мегафон, Связной, СберБанк, а также государственные структуры МВД, СК, ГИБДД. В Великобритании пострадали больницы и госпитали, где компьютеры отвечают за обеспечение жизнедеятельности больных. 

Карта заражения WannaCrypt

Карта заражения WannaCrypt в реальном времени

На следующий день, 13 мая, уязвимость прикрыли, зарегистрировав несуществующий домен, к которому обращался вирус с проверкой.  Но создатели вируса придумали обновление и он продолжил заражать компьютеры пользователей во всех странах, уже не обращаясь к несуществующим доменам. 

Новая волна

15 мая вирус ударил по Китаю. В понедельник было заражено более 40 тысяч компаний, из них 4 тысячи научных организаций. Общее число зараженных компьютеров давно перевалило за сотни тысяч. Также вирус поразил нефтегазовую компанию PetroChina, из-за чего был прекращен прием электронных платежей на автозаправках. 

В Японии заражено более 2 тысяч компьютеров в 600 местах страны, вирус затронул такие компании, как Hitachi и Nissan. В целом по всему миру вирус обнаружен в более 150 странах. Переведено биткоинов на сумму более 50 тысяч долларов. 

Карта заражения вирусом

Карта заражения на данный момент

Кто виноват?

16 мая эксперт Лаборатории Касперского Александр Гостев запостил в Facebook свою версию о том, кто же причастен к разработке WannaCrypt. Александр считает, что создателями вируса является северокорейская хакерская группировка Lazarus. Код, который был обнаружен в вирусе, идентичен с кодами других троянов, созданными хакерами из Lazarus. Этой же версии придерживается и эксперт Symantec. Ранее хакеры из группы Lazarus произвели атаку на платёжную систему SWIFT, известную компанию Sony Pictures и ЦБ Бангладеша.

Логотип хакерской группы Lazarus

Также стоит упомянуть, что данная уязвимость использовалась АНБ (Агентство национальной безопасности) США. И хакеры обнародовали готовые инструменты АНБ в публичный доступ. После чего 14 марта компанией Microsoft и была выпущена заплатка. Но, как можно видеть, далеко не все обновляют свою операционную систему.

Что делать, если "поймали" WannaCrypt?

Если вам не повезло и ваш компьютер оказался зараженным данным вирусом, то первое, что мы можем посоветовать, это не платить злоумышленникам.

Текст на русском WannaCrypt

На данный момент активно идет разработка дешифровщиков и заплаток для операционных систем. Microsoft уже выпустили патчи (Windows MS 17-010), которые закрывают дыры, поэтому настоятельно рекомендуем обновить систему. 

Также и Comodo уже предупреждает о вредоносном файле. 

Предупреждение Comodo о WannaCrypt


Мы уверены, что скоро будет найден действенный способ удалить данный вирус с вашего компьютера. Если у вас имеются резервные копии, рекомендуем восстановить и максимально обновить систему, а также детально проверить ее на наличие вредоносных файлов.

Как не заразиться?

Зараженные компьютеры, скорее всего, входили в состав ботнета и разработчики лишь выжидали момент, наращивая ботнет, чтобы в определенный момент распространить вирус. Этим объясняется, что заражение идет волнами, все новые ботнеты подключают к атаке. Также заражаются компьютеры, которые находятся в одной сети с вашим. Заражение идет через кабель, подключенный напрямую. Если вы пользуетесь роутером, пока беспокоиться не стоит. Но все же дадим вам несколько советов, чтобы обезопасить себя.

Во-первых, не скачивайте файлы с незнакомых ресурсов, а скачанные с известных сайтов проверяйте антивирусом. Желательно не одним, а сразу всеми на этом сайте - https://virustotal.com/ 

Также хочется отметить, что загрузка трояна или кража ваших cookie может произойти в автоматическом режиме при посещении зараженной страницы, поэтому всегда смотрите адрес, на который ведет ссылка, даже если ее вам прислал закадычный друг. Троян может быть даже в изображении, и, открыв присланную фотку, вы станете участником ботнета с последующим заражением или участием в DDoS атаках.

Во-вторых, обязательно установите себе на компьютер связку антивирус + файрволл, либо их симбиоз. Антивирус защитит ваши файлы, а файрволл предотвратит передачу данных с вашего компьютера злоумышленникам. Проведите полную проверку файлов. Настройте фильтрацию в файрволле, а также защитите свои порты, т.к. заражение идет именно через порт. Если это сеть компьютеров, провести проверку надо на всех машинах, предварительно отключив их от сети. И как только будете уверены, что все компьютеры чистые, подключайте их обратно к сети. 

В-третьих, после всех проверок сделайте бэкап вашей системы и храните его на сменном носителе.

Ряд этих простых правил позволит вам избежать заражения не только WannaСrypt, но и другими блокировщиками, троянами и вирусами. 

Ремонт дыр безопасности