У Мережі набирає обертів масштабна вірусна епідемія. В результаті атаки вірусом-здирником виявилися заражені десятки тисяч Windows-комп'ютерів по всьому світу. Троянець блокує доступ до файлів до тих пір, поки жертва не заплатить викуп.

Експерти по IT-безпеки пов'язують атаку з троянцем WanaCrypt0r 2.0 (WCry). Проникнувши в систему, шкідлива програма шифрує файли користувача (документи Office, архіви zip і rar, зображення Photoshop і так далі) і змінює розширення на .WNCRY, що робить їх нечитабельним. Зняти блокування можна за допомогою расшифровщика - його творці WCry вимагають купити за певну суму в біткоіни.

Відомості про заражених вірусом-здирником приходять з усього світу. Як повідомляється в блозі антивірусної компанії Avast, атаці WCry піддалися як мінімум 50 тисяч комп'ютерів. Лідери за кількістю заражень - Росія, Україна, Великобританія, США, Іспанія, Італія і В'єтнам.

Як повідомляє РБК, в Росії WCry паралізував сервери МВС, Слідчого комітету і "Мегафона". "У нас на ряді комп'ютерів з'явилися попередження з [вимогою викупу в] $ 300, охоплення був досить великий. Це ніяк не вплинуло на зв'язок і абонентів, так як вірус атакував тільки наші комп'ютери", - сказали виданню в прес-службі оператора зв'язку. Атака на комп'ютери МВС і СК поки офіційно не підтверджена.

Карта заражень

В Європі троянець встиг вразити одну з найбільших телекомунікаційних компаній Telefonica, іспанського виробника електроенергії Iberdrola, постачальника газу Gas Natural, службу експрес-доставки FedEx, а також комп'ютери системи охорони здоров'я Великобританії.

"На екрані з'являється повідомлення з вимогою перерахувати еквівалент $ 300 в біткоіни на Bitcoin-гаманець. Пропустити цей екран не можна", - сказала співробітниця однієї з англійських лікарень. За її словами, WCry дає три доби, щоб заплатити викуп, після чого сума буде подвоєна. А якщо користувач не виконає умови вимагачів протягом семи днів, файли будуть втрачені назавжди.

У Avast кажуть, що вперше WCry був помічений в лютому. WanaCrypt0r 2.0 - це його поліпшена версія, яка переведена на 28 мов, включаючи російську, болгарську та в'єтнамський. Мабуть, троянець потрапляє на Windows-комп'ютери за допомогою експлойта ETERNALBLUE (MS17-010), створеного кібер-угруповання Equation Group. Цій організації, пишуть в Avast, приписують тісний зв'язок з американським Агентством національної безпеки (NSA).

Інструменти для злому, розроблені Equation, раніше викрала інша хакерська група - ShadowBrokers, і виклала їх у відкритий доступ. За даними фахівців, саме цими інструментами і скористалися зловмисники, які стоять за WCry. Також ними була задіяна вразливість в Server Message Block (SMB) - протоколі Windows, що відповідає за спільний доступ до файлів в мережі.

Як захиститися?

Троянець розпізнається такими антивірусами, як Avast і "Лабораторія Касперського" (там повинен бути включений компонент "Моніторинг системи"), проте утиліта, яка могла б зняти блокування з зашифрованих WCry файлів, поки не випущена.

По-перше, експерти "ЛК" рекомендують оновити Windows до самої останньої версії, а також встановити з "Центру поновлення" всі актуальні "заплатки" і патчі.

По-друге, переконайтеся, що у вас встановлений офіційний патч (MS17-010) від Microsoft, що закриває "дірку" в сервері SMB. Завантажити його можна за цим посиланням .

По-третє, проскануйте антивірусом всю систему. Якщо буде виявлено шкідлива атака (наприклад, MEM: Trojan.Win64.EquationDrug.gen), перезавантажте комп'ютер.

Крім того, до появи "таблетки" не слід відвідувати потенційно шкідливі веб-сайти і запускати виконувані файли, викачані в Мережі.

джерела: BBC , блог Avast , The Guardian , РБК , ЛК

Поділіться новиною: