«Лаборатория Касперского» 12 мая зафиксировала 45 тыс. попыток хакеров атаковать компьютеры по всему миру с помощью вируса-шифровальщика, получившего название WannaCry (Wanna Decryptor).
По информации «Лаборатории Касперского» хакеры пытались атаковать компьютеры в 74 странах, наибольшее число попыток заражений наблюдалось в России.
За расшифровку данных взломщики требовали заплатить от 200 до 600 долл. в биткойнах. В частности, СМИ сообщают о взломе Национальной системы здравоохранения Великобритании, испанской телекоммуникационной компании Telefonica, суда штата Сан-Паулу.
Кибератаке подвергся и российский оператор «МегаФон». В свою очередь, представители Следственного комитета и МВД РФ опровергли информацию об атаках. Позже в МВД заявили, что компьютеры ведомства подверглись вирусной атаке.
Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит — набор вредоносных приложений, который позволяет получить административные права к компьютеру. Используя его, злоумышленники запускали программу-шифровальщик. Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Microsoft обновила операционную систему Windows и бесплатную антивирусную систему компании, обеспечив защиту от вируса.
Чтобы защититься от вируса, в «Лаборатории Касперского» советуют выполнить несколько действий.
- Установить официальную заплату от Microsoft, который закрывает используемую в атаке уязвимость.
- Убедиться, что включены защитные решения на всех узлах сети.
- Если используется защита от «Лаборатории Касперского», то следует проверить наличие компонента System Watcher («Мониторинг системы») и включить его, а также запустить задачу сканирования критических областей.
- Если обозначенный выше руткит будет найден, то нужно перезагрузить компьютер.
- Чтобы избежать подобных инцидентов в будущем, рекомендуется использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.
Позже появилась информация, что специалисту по информационной безопасности, который ведет Twitter-аккаунт @MalwareTechBlog, удалось приостановить распространение вируса-вымогателя WannaCrypt, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он заметил в коде вируса обращение к этому домену и решил его зарегистрировать, сообщает «КоммерсантЪ».