Вымогатель WannaCry атакует пользователей в 150-ти странах мира

Ко всем зашифрованным файлам добавляется расширение .WCRY. Именно из-за этого вредонос получил свое название WannaCry.

Для осуществления атаки эксплуатируется уязвимость в SMBv2 и инструмент EternalBlue. По информации некоторых источников, в разработке данного эксплоита подозреваются хакеры Equation Group. Агентство национальной безопасности США может иметь связь с этой группировкой, но, конечно же, пока подтверждений этому нет. Информацию по эксплоиту появилась в Интернете еще в апреле. Добыть информацию и выложить ее в Сеть удалось хакерам из The Shadow Brokers. Сама же уязвимость была исправлена компанией Microsoft в мартовских патчах. Однако очень многие организации несерьезно относятся к обновлению ПО и выходу регулярных патчей, поэтому до сих пор компьютеры даже некоторых самых крупных организаций остаются уязвимыми из-за неустановленных обновлений безопасности.

Только за 12 мая «Лаборатории Касперского» удалось зафиксировать более 45 000 атак с использованием WannaCry. Больше всего жертв этого вымогательского ПО оказалось в России, чуть меньше атак пришлось на Украину, Индию и Тайвань. Но на самом деле масштабы атак могут быть гораздо больше и реальное число жертв может превысить названные цифры в несколько раз.

Вирус действует следующим образом. После попадания на компьютер жертвы он приступает к шифрованию имеющихся на нем файлов. Как только этот процесс завершен, пользователю показывается уведомление. В нем указано, что для расшифровки файлов требуется заплатить выкуп в размере 600 долларов в биткоинах. Изначально размер выкупа составлял 300 долларов в биткоинах, а через время уже был увеличен в 2 раза.

Пока остановить распространение вируса не удалось. Ранее было известно, что вирус атаковал пользователей в 74-х странах мира. Потом число жертв выросло и волна атак охватила уже 150 стран. По состоянию на сегодняшний день уже известно, что WannaCry продолжает свое распространение. На этот раз он атакует пользователей в азиатских странах. Уже известно, что вымогатель обошел стороной правительственные организации Японии, но зато затронул очень крупные компании такие, как Hitachi и Nissan Motor. По заявлению официальных представителей, большого урона вирусное ПО не нанесло.

Южнокорейские компании тоже стали жертвами вымогательского программного обеспечения. По крайней мере 5 крупных компаний обнаружили в своих системах вирус WannaCry. В Китае вирус атаковал компьютеры образовательных учреждений, торговых центров, офисов, вокзалов, почты, заправок, больниц и даже правительственных организаций. Всего в КНР оказались заражены несколько сотен тысяч компьютеров.

Согласно предварительным подсчетам, хакеры уже умудрились заработать более 42 тысяч долларов. Всего осуществлено более 110 денежных переводов. Пока никто из хакеров не попытался снять эти денежные средства, так как их все еще можно отследить.

Пока вирус продолжает распространяться по миру, эксперты пытаются найти эффективный способ противостояния этой кибератаке. Пока все попытки не приносят желаемого успеха. Зато аналитикам удалось определить основные особенности WannaCry.

Первая из них заключается в использовании эксплоита EternalBlue.

Вторая заключается в сканировании всей системы, в которую он проникает, на наличие уязвимых устройств.

Третья особенность заключается в избирательном шифровании файлов. Вирус находит самые места на компьютере. К ним относятся разные документы, электронная почта, базы данных и пр.

Ну и наконец четвертой особенностью является то, что для подключения к удаленным серверам, с которых поступают команды, WannaCry загружает и устанавливает на компьютер жертвы браузер Tor, обеспечивающий анонимное соединение, которое невозможно отследить.