Присоединяйтесь к нашим группам

Group-IB идентифицировала вирус, атаковавший компьютеры по всему миру

Group-IB идентифицировала вирус, атаковавший компьютеры по всему миру
Программа "использует эксплоит ETERNALBLUE, который был выложен в открытый доступ", также вирус способен не только шифровать файлы, но и сканировать интернет на предмет уязвимых хостов.
13 05 2017
07:05

Компания Group-IB (занимается предотвращением и расследованием киберпреступлений) определила особенности вируса-шифровальщика, который использовали хакеры для массовой кибератаки на компьютеры по всему миру 12 мая.

В сообщении компании говорится, что у вируса, получившего название WannaCry (Wanna Decryptor), есть две особенности. Первая заключается в том, что программа "использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers", рассказали в Group-IB. Там отметили, что эта уязвимость была закрыта для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.

По данным Group-IB, второй особенностью WannaCry является способность не только шифровать файлы, но и сканировать интернет на предмет уязвимых хостов. "То есть если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже - отсюда и лавинообразный характер заражений", - объяснили в компании.

Еще одной особенностью активно обсуждаемого вируса является его избирательность при выборе файлов - он шифрует не все файлы, а только наиболее "чувствительные" (документы, базы данных, почту).

Четвертая особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor (обеспечивает анонимность в интернете) и осуществляет соединение через него.

Что нужно для защиты

В Group-IB рассказали, что защититься от подобных атак можно, используя решения класса "песочница": такие решения устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. "Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены - недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам, вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем", - резюмировали в компании.

Хакеры используют программы-шифровальщики для атак все чаще, отметили в Group-IB. "В 2016 году количество таких атак увеличилось более, чем в сто раз по сравнению с предыдущим годом", - привели статистику эксперты, добавив, что под ударом могут находиться совершенно различные компании и организации - даже некоммерческие.

Чаще всего заражение устройства происходит через электронную почту. "Пользователь сам скачивает и открывает вредоносный файл, умело представленный злоумышленниками, как письмо от контакта, которому он доверяет (так называемая социальная инженерия). Либо это действительно может быть ящик его знакомого или партнера, заранее скомпрометированный преступниками", - отметили в Group-IB.

При этом вредоносное ПО может быть запаковано злоумышленниками, и антивирусы часто бессильны.


Источник: http://tass.ru/