Вирус-вымогатель WannaCry поразил компьютеры по всему миру

Речь идёт о трояне-декрипторе «Wana decrypt0r 2.0» (WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCry). В данном глобальном вирусе присутствует код удаления файлов на заражённом компьютере.

При заражении вирисом WannaCry на экране компьютера появляется окно с требованием перечислить сумму в биткоинах (экивалент $300) до истечения определённого срока, иначе данные на компьютере будут уничтожены. Окно с сообщением вируса невозможно закрыть, соответственно работать на компьютере невозможно. Также нет способа скопировать ценную информацию с заражённого компьютера.

Создатели вируса не зря требуют оплату в биткоинах: установить владельца биткоин-кошелька практически невозможно. Именно по этой причине в последнее время криптовалюты всё чаще используются киберпреступниками.

Целью вируса являются все версии операционной системы Windows вплоть до Windows 10. Все ОС уязвимы, если не заплачены для MS-17-010. Для распространения он использует эксплойт EternalBlue MS17-010, созданный специалистами АНБ (Агентства Национальной Безопасности США) для уязвимости в протоколе SMBv1 (сетевой протокол для удалённого доступа к файлам, принтерам и другим ресурсам сети).

Интерактиваная карта распространения вируса WannaCry

Учитывая использование эксплойта EternalBlue, весьма вероятным становится вывод о том, что события последних дней — это последствия последнего набора эксплойтов FuzzBunch, украденных группой хакеров Shadow Brokers у Equation Group (хакеров из АНБ).

WannaCry был обнаружен еще в феврале 2017 года, однако специалисты по неизвестной причине не уделили ему особого внимания. До событий последних дней вирус был практически неактивен, однако теперь его модифицировали до версии 2.0, он «научился» использовать SMB-эксплойт из инструментария АНБ.

Microsoft по-тихому, как говорится, «без шума и пыли» прикрыла дыры в своих «продуктах» обновлением MS 17-010.

Самое интересное в данной ситуации, что набор эксплойтов вместе с обучающими видео уже более месяца лежит в открытом доступе. Ссылка.

В этом наборе есть опасный инструмент DoublePulsar. Если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar прослушивает этот порт, делает перехваты системных вызовов и внедряет вредоносный код в память устройства.

Быстрый фикс, чтобы точно не поймать вирус, смотрите на скриншоте. Нужно убрать «птички» с клиента и службы доступа сетей Microsoft. Правда, после этого будет закрыт доступ к ресурсам собственной локальной сети, если она существует.

За несколько часов Wana Decrypt0r заразил десятки тысяч компьютеров. По данным Avast, их количество уже превышает 57 000, а главными целями операторов вируса являются Россия, Украина и Тайвань.

Информационное агентство «Интерфакс» сообщает, что официальные представители МВД России, несмотря на предыдущие заявления, всё же подтвердили факт атаки на свои серверы:

«12 мая Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. В настоящий момент вирус локализован. Проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты…»

Главный вопрос — почему в госструктурах России, тем более таких, как МВД, до сих пор используют операционные системы американской компании Microsoft, уже много лет выпускающей самые «дырявые» ОС в мире? И это несмотря на то, что существуют российские разработки на базе Linux. Да, полностью российских разработок нет — все они являются сборками Linux, переработанными для специальных задач. Однако это — прекрасно работающие сборки, с большей долей вероятности предохраняющие от утечек или уничтожения данных, нежели ПО от западных партнёров.

Знаменитые глобальные вирусы

Данный вирус по оценкам специалистов не несёт в себе большой угрозы безопасности. До вируса WannaCry появлялись и другие, последствия распространения которых были более значительными. Например, знаменитый «Чернобыль», написанный тайваньским студентом Чэнь Инхао специально для ОС Windows 95/98/ME. 26 апреля 1999 года, в годовщину Чернобыльской аварии вирус активизировался и уничтожил данные на жёстких дисках инфицированных компьютеров. По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру.

Иной глобальный вирус с названием Nimda — червь, поразил компьютеры, работающие под Windows 95, 98, Me, NT, 2000 или XP, и серверы, работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево. Это вирус знаменит тем, что стал самым быстрораспространяемым вирусом. Для того, чтобы заразить миллионы компьютеров, ему понадобилось всего 22 минуты!

Вирус Slammer в 2003-м году уничтожил данные с 75 000 компьютеров всего за 10 минут!

Вирус-червь Conficker впервые появился в сети 21 ноября 2008. Он атаковал операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). К январю 2009 вирус успел поразить 12 млн. компьютеров во всём мире. 12 февраля 2009 Microsoft обещала $250 тыс. за информацию о создателях вируса.

Ну, и наконец, вирус ILoveYou. При открытии вложения электронного письма вирус рассылал копию самого себя всем контактам в адресной книге, а также на адрес, указанный как адрес отправителя. Он также совершал ряд вредоносных изменений в системе Windows конкретного пользователя. Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». Расширение «.vbs» было по умолчанию скрыто, что наводило несведущих пользователей на мысль, что это был простой текстовый файл.

В общей сложности этот вирус поразил более 3 млн. компьютеров по всему миру. Предполагаемый ущерб, нанесённый мировой экономике, оценивается в размере $10 – 15 млрд., за что ILoveYou вошел в Книгу рекордов Гиннесса как самый разрушительный компьютерный вирус в мире.

Как защититься от вируса WannaCry — читайте в нашей следующей статье.