Магазин оперативной памяти в Украине - TEM.IN.UA +380 67 937-10-40

Нашумевший вирус WannaCry - шифровальщик

В мае 2017 года от атак шифровальщика WannaCry пострадали около полумиллиона устройств по всему Миру, среди которых были и компьютеры, работающие под управлением Windows XP. К примеру, известно, что многие системы британской Национальной службы здравоохранения до сих пор работают на базе Windows XP. Дошло до того, что из-за опасности WannaCry компания Microsoft выпустила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.


Но все же почти все пострадавшие использовали устройства под управлением Windows 7, а доля Windows XP была крайне невелика.  Оказалось, что WannaCry устанавливается на машины с Windows XP с большим трудом, и шифровальщик чаще провоцирует появление синего экрана смерти, чем делает невозможным свою работу по шифрованию Ваших файлов.

Исследователи протестировали WannaCry на устройствах:

  • Windows XP Service Pack 2
  • Windows XP Service Pack 3
  • Windows 7 x64 Service Pack 1
  • Windows Server 2008 Service Pack 1

И если атаки против Windows 7 оказались успешны, подтверждая данных других специалистов, то с другими операционными системами все оказалось сложнее.

Исследователи вообще не сумели заразить Windows XP Service Pack 2 шифровальщиком, а попытки воспроизвести заражение в Windows XP Service Pack 3 лишь приводили к появлению BSOD. Похожее поведение продемонстрировал и Windows Server 2008 Service Pack 1, тоже уходя в синий экран смерти. Не было счастья, так несчастье помогло.

Все о вирусе WannaCry


12 мая масштабной кибератаке подверглись больницы Великобритании, а вечером в тот же день представитель Avast Якуб Кроустек сообщил, что вирус заблокировал 57 тысяч компьютеров.

Сообщалось также, что российская Лаборатория Касперского зафиксировала около 45 тысяч атак программой-шифровальщиком WannaCry в 74 странах по всему миру.

Среди подвергшихся кибератаке стран:

  • Великобритания,
  • Испания,
  • Италия,
  • Германия,
  • Россия,
  • Португалия,
  • Турция,
  • Казахстан,
  • Индонезия,
  • Тайвань,
  • Вьетнам,
  • Япония,
  • Филиппины,
  • Украина.

Какие объекты атаковал вирус

Все объекты, которые атаковал вирус, на данный момент неизвестны. По данным Politico, хакерская атака, произошедшая 12 мая, началась в Великобритании, Испании и остальной Европе, прежде чем быстро распространиться на Японию, Вьетнам и Филиппины.

Атаке вируса WannaCry подверглись:

  • больницы Великобритании в Лондоне, Блэкберне, Ноттингеме, в графствах Камбрии и Хартфор. При этом многие больницы остались полностью без средств коммуникации, а пациентов, не требующих срочной помощи, попросили не посещать медицинские учреждения.
  • основной железнодорожный оператор Германии - концерн Deutsche Bahn. Под ударом оказался как минимум один из семи региональных диспетчерских центров компании. В Ганновере из строя были выведены все диспетчерские системы управления, часть компьютеров было решено отключить. Отмечалось, что кибератака могла отразиться на режиме движения поездов на северном направлении. Кроме того, на некоторых вокзалах на табло отправления поездов отображалось оповещение программы WannaDecrypt0r 2.0 (полное название вируса - ред.) о зашифровке файлов с требованиями о выплате выкупа.
  • 12 мая сразу несколько российских СМИ со ссылкой на информированные источники сообщили, что были атакованы компьютерные сети Следственного комитета и Министерства внутренних дел РФ. Поначалу в СК и МВД РФ опровергали информацию о хакерских атаках на свои сети. Однако позже официальный представитель МВД РФ Ирина Волк подтвердила факт кибератаки.
  • атаке также подверглись компьютеры телекоммуникационной компании Испании Telefonica и испанские энергетические компании Iberdrola и Gas Natural.

15 мая официальный представитель Министерства национальной безопасности США сообщил, что во время кибератаки на прошлой неделе вирусом были заражены компьютеры небольшого числа операторов объектов критической инфраструктуры. По его словам, существенных сбоев в работе объектов не было. В то же время, о каких именно объектах идет речь, в министерстве не рассказали. Чиновник также добавил, что на данный момент компьютеры в федеральном правительстве США не пострадали.

13 мая в Европоле заявили, что серия кибератак при помощи компьютерного вируса WannaCry по всему миру была проведена на "беспрецедентном уровне". Эксперты полицейской службы ЕС также заявили, что считают необходимым провести "комплексное международное расследование, чтобы установить виновников".

15 мая советник президента США по национальной безопасности Том Боссерт сообщил, что взлому подверглись 300 тысяч компьютеров в 150 странах.

Директор Европола Роб Уэйнрайт заявлял, что жертвами массовой кибератаки 12 мая стали около 200 тысяч физических и юридических лиц в 150 странах. По данным Европола, больше всего от атак пострадали Великобритания и Россия.

Что делает WannaCry

Вирус Wana Decrypt0r 2.0 поразил, в основном, крупные предприятия, но может попасть и на компьютер обычного пользователя.

Он может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом являются отправленные на электронную почту письма.

Жертва вируса получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идет о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).

Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и к системным файлам. После этого вирус требует от пользователя выкуп в биткоинах (в сумме эквивалентной $300) за восстановление доступа к информации.

WannaCry угрожает только пользователям компьютеров с операционной системой Windows, в частности речь идет о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.

WannaCry - защита

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. Соответствующее обновление можно скачать на сайте Microsoft и установить, после чего следует перезагрузить компьютер.

В Microsoft заявили, что пользователи антивируса Windows Defender автоматически защищены от вируса. Если на вашем компьютере установлен другой антивирус, необходимо скачать его последнюю версию и включить компонент Мониторинг системы.

После удаления вируса нужно восстановить зашифрованные файлы (если сделать это до удаления вируса, можно нанести ущерб системным файлам и реестрам).

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Эти способы не гарантируют полного восстановления файлов.

Удалось замедлить распространение

Специалист по безопасности, который ведет Twitter с названием MalwareTechBlog случайно приостановил распространение вируса WannaCry, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Вечером 12 мая он сообщил на своей странице в Twitter, что, обнаружив, что вирус почему-то обращается к этому домену, он решил его зарегистрировать, чтобы следить за активностью вредоносной программы.

 В итоге выяснилось, что в коде вируса говорится, что если обращение к этому домену было успешно, заражение следует приостановить, а если нет, то продолжить. Сразу же после регистрации домена, на него пришли десятки тысяч запросов.

Зарегистрировавший домен специалист отметил, что не знал во время регистрации, что это приостановит распространение вируса. Он также посоветовал пользователям интернета как можно быстрее устранить уязвимость, "потому что они попытаются снова".

15 мая зарегистрировавший домен, приостановивший распространение WannaCry, специалист, сообщил, что над этим доменом попытался захватить контроль "кто-то из Китая".

Комментируя данный инцидент, специалист компании Лаборатория Касперского Костин Райю предположил, что злоумышленник преследовал одну из двух целей. Первая — желание посчитать пользователей, подвергшихся атаке. Второй целью могло быть заблокировать домен и тем самым вновь активировать вирус.

По словам Райю, скорее всего злоумышленник не имеет отношение к хакерам, устроившим кибератаку, поскольку в данном случае создателям вируса WanaCrypt0r 2.0 проще всего было бы создать его новую версию без уязвимости (kill switch), которая позволяет владельцу домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com остановить распространение программы.

Райю предполагал, что 15 мая создатели вируса уже переписали его код, так чтобы он мог функционировать, не обращаясь к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Позже он сообщил, что что код вируса действительно был обновлен за выходные. Однако, судя по всему, в новой версии вируса не содержится возможности обхода временной защиты, таким образом, новая версия вируса, вероятно, "не представляет такую же угрозу для общества".

Сколько денег получили хакеры, запустившие WannaCry

15 мая СМИ, ссылаясь на данные платежей, писали, что создатели вируса WannaCry получили 42 тыс. долларов от своих жертв через систему Bitcoin.

Эту информацию сообщила организация Elliptic, отслеживающая биткоин-платежи. По ее данным, в результате 110 переводов на счету хакеров 23,5 биткоина.

Отмечалось, что злоумышленники не пытались снять деньги, оказавшиеся в их распоряжении.

Позже в тот же день советник президента США по национальной безопасности Том Боссерт сообщил, что жертвы кибератак с помощью вируса WannaCry выплатили хакерам менее 70 тысяч долларов. Он также отметил, что ни разу выплата денег не привела к разблокированию компьютера.

Пик атаки пройден

15 мая в Европоле заявили, что рост числа жертв глобальной хакерской атаки вирусом WannaCry в Европе приостановился.

"Очевидно, что количество пострадавших не увеличивается. Ситуация в Европе, как кажется, стабилизировалась. Это - успех", - заявил представитель этой организации.

 Он связал эту тенденцию с тем, что владельцы компьютеров и системные администраторы установили программные обновления, позволяющие защититься от вредоносной программы WannaCry.

Представитель Европола отметил, что ведомство работает над тем, чтобы создать инструмент, который позволит вычислить преступников, использующих вредоносную программу.

Заявление президента Microsoft


14 мая президент Microsoft Брэд Смит в сообщении на сайте компании заявил, что масштабная хакерская атака, начатая при помощи вируса-шифровальщика WannaCry, служит подтверждением "необходимости неотложных коллективных действий" в целях обеспечения безопасности пользователей интернета.

По его мнению, значительная доля ответственности за кибератаки, подобные атаке вируса WannaCry, лежит на правительствах, которые собирают данные об уязвимостях в программном обеспечении ради своих интересов.

По мнению Смита, из этой кибератаки нужно извлечь уроки, чтобы избежать подобного в будущем.

Президент Microsoft считает, что все страны должны "сформировать другой подход и применять в киберпространстве такие же строгие правила, как и к оружию в физическом мире".

Он считает, что для предотвращения подобной угрозы нужно разработать цифровой аналог Женевской конвенции по контролю над вооружениями. Смит также отметил, что данные об уязвимостях не должны собираться правительствами для использования в собственных интересах. Такие данные должны передаваться разработчикам напрямую.

"Правительства всего мира должны воспринять эту угрозу как призыв к пробуждению", - заключил он.

Товары, на которые стоит обратить внимание

Kingston DDR2 1GB 800 MHz (KVR800D2N6/1G) PC2-6400

Kingston DDR2 1GB 800 MHz (KVR800D2N6/1G) PC2-6400

Оперативная память Kingston DDR2 1GB 800 MHz (KVR800D2N6/1G) PC2-6400 применяется для расши..

195 Грн.

SODIMM Kingston DDR3 4GB 1333 MHz (KVR1333D3S9/4G) PC3-10600

SODIMM Kingston DDR3 4GB 1333 MHz (KVR1333D3S9/4G) PC3-10600

Оперативная память ОЗУ Kingston DDR3 4GB 1333 MHz (KVR1333D3S9/4G) PC3-10600 применяется для рас..

 нет оценки

845 Грн.

Kingston DDR3 4GB 1333 MHz (KVR1333D3N9/4G) PC3-10600

Kingston DDR3 4GB 1333 MHz (KVR1333D3N9/4G) PC3-10600

Оперативная память Kingston DDR3 4GB 1333 MHz (KVR1333D3N9/4G) PC3-10600 применяется для ра..

 нет оценки

950 Грн.

Hynix DDR2 2GB 800 MHz (HYMP125U64CP8-S6) PC2-6400

Hynix DDR2 2GB 800 MHz (HYMP125U64CP8-S6) PC2-6400

Оперативная память Hynix DDR2 2GB 800 MHz (HYMP125U64CP8-S6) PC2-6400 применяется для расши..

 нет оценки

390 Грн.

Kingston DDR 1GB 400 MHz (KVR400X64C3A/1G) PC 3200

Kingston DDR 1GB 400 MHz (KVR400X64C3A/1G) PC 3200

Оперативная память Kingston DDR 1GB 400 MHz (KVR400X64C3A/1G) PC 3200 применяется для расширения..

215 Грн.

SODIMM DDR2 2GB Kingston 667 MHz (KVR667D2S5/2G) PC2-5300

SODIMM DDR2 2GB Kingston 667 MHz (KVR667D2S5/2G) PC2-5300

Оперативная память ОЗУ SODIMM Kingston DDR2 2GB 667 MHz (KVR667D2S5/2G) PC2-5300 применяетс..

 нет оценки

420 Грн.

Nanya DDR2 2GB 800 MHz (NT2GT64U8HD0BY-AD) PC2-6400

Nanya DDR2 2GB 800 MHz (NT2GT64U8HD0BY-AD) PC2-6400

Оперативная память Nanya DDR2 2GB 800 MHz (NT2GT64U8HD0BY-AD) PC2-6400 применяется для расш..

 нет оценки

485 Грн.

Corsair DDR2 2GB 800 MHz (VS2GB800D2) PC2-6400

Corsair DDR2 2GB 800 MHz (VS2GB800D2) PC2-6400

Оперативная память Corsair DDR2 2GB 800 MHz (VS2GB800D2) PC2-6400 применяется для расширения оп..

 нет оценки

850 Грн.