Вирус-вымогатель WannaCrypt случайно приостановили. Все что известно о кибер-вымогателе
Вирус-вымогатель активно заражают компьютеры по всему миру. WannaCrypt шифрует файлы и требует перевести на счет злоумышленников "выкуп" 300 долларов.
Временная остановка
При этом распространение компьютерного вируса-вымогателя WannaCrypt уже удалось приостановить. Это вышло случайно, и сделал это специалист по безопасности, который ведет твиттер @MalwareTechBlog, пишет The Guardian. Остановить распространение вируса удалось с помощью регистрации домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Программист выяснил, что вирус обращается к этому несуществующему домену, и решил зарегистрировать его, чтобы следить за активностью программы. Выяснилось, что в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Когда эксперт регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
Однако это не значит, что распространение остановилось совсем: для того, чтобы снова начать заражение, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Чем грозят злоумышленники
Хакеры обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают "бесплатные мероприятия" для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.
Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов. Меньше чем за сутки пострадавшие перевели на них около $12 тысяч. Учитывая, что пользователи обычно откладывают выкуп на последний день, эта сумма может увеличиться в разы.
Кто пострадал
В нескольких российских регионах в ГИБДД прекращена выдача водительских прав и госномеров после масштабных хакерских атак, которые затронули серверы МВД, сообщает Газета.ru. Получить желаемые документы не смогли водители в Санкт-Петербурге, Татарстане, Новосибирске и Карелии, перебои в работе серверов ГИБДД наблюдаются и в других городах. Предположительно, хакеры могли скачивать базу данных по регистрационным действиям, которая может использоваться в дальнейшем профессиональными угонщиками. При этом злоумышленники могли получить доступ не только к регистрационным данным граждан и автотранспорта, но и к базе судебных приставов, которая подгружена в ФИСМ.
Несколько заводов Renault во Франции приостановили свою работу после того, как компьютерные системы автопроизводителя подверглись массированной кибератаке. Об этом сообщило агентство AFP со ссылкой на источник в компании. "Это часть мер по защите, которые были приняты для того, чтобы избежать распространения вируса", - проинформировали в Renault.
Какие именно промышленные объекты автогиганта затронула данная мера, в компании не уточняют. По данным источников в профсоюзах, производство остановлено на заводе в городе Сандувиль в Нормандии.
В Великобритании из-за действий хакеров была нарушена работа 40 учреждений здравоохранения, сообщает РИА Новости. Отменены плановые осмотры и операции, а машины скорой, в которой компьютеры еще продолжили работать, пришлось направить в больницы.
В Германии, по данным пользователей соцсетей, атаке подверглась главная немецкая железнодорожная компания Deutsche Bahn.
Защита от Microsoft
Вирус WannaCrypt использует уязвимость в операционной системе Windows, которую корпорация Microsoft устранила в новой версии операционной системы (Windows 10). Всем, у кого система обновилась, вирус не угрожает. Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.
"Наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети", — заявили в Microsoft.
На Западе заподозрили Россию, а Россия заподозрила Запад
К распространению вируса-вымогателя WannaCrypt может быть причастна группа киберпреступников, связанная с Россией. Предполагается, что масштабная вирусная атака является местью за недавний ракетный удар США по Сирии, пишет издание The Telegraph.
8 апреля 2017 года, на следующий день после нанесения США ракетного удара по сирийской авиабазе, “загадочная организация“ под названием Shadow Brokers обнародовала “предупреждение“ президенту Дональду Трампу. В заявлении группа на ломаном английском языке обвинила хозяина Белого дома в том, что он “отказывается от людей, которые его избрали“, и заявила, что “теряет веру“ в него. По мнению некоторых экспертов, есть основания полагать, что Shadow Brokers связаны с российскими властями.
Впрочем, в самой России считают, что так как страна подверглась в наибольшей степени атаке вируса, то против нее эта атака и шла. В числе подозреваемых - западные спецслужбы.
Ранее "Страна" писала о том, что известно и как спастись от взбесившегося вируса американских спецслужб, который атакует компьютеры.