Пользователи Windows в конце прошлой недели подверглись беспрецедентной атаке. Появился вирус, который самостоятельно проникает в компьютер — для заражения обычным зловредом пользователю нужно было скачать из сети файл.
По данным «Лаборатории Касперского», пострадали в основном пользователи из России. Сообщалось об атаках на многие госорганизации, в том числе МВД, Банк России и Минздрав. Кибератаку отражали в РЖД, Сбербанке, «МегаФоне», «ВымпелКоме» и многих других компаниях. Остановить атаку удалось случайно. Судьба пропавших файлов неизвестна
12 мая началось массовое распространение вируса WannaCry.
«Лаборатория Касперского» зафиксировала более 45 тыс. атак в 74 странах.
При попадании в компьютер вирус начинает шифровать многие разновидности файлов — фотографии, музыку, фильмы, текстовые документы, презентации, архиваторы и так далее. После этого пользователю выводится сообщение: если он хочет расшифровать свои файлы, нужно отправить злоумышленникам $300. Если это не сделать за определенное время, цена вырастет вдвое.
Специалисты из антивирусных компаний призывают пользователей не платить злоумышленникам.
— Вымогатели — преступники и законам не подчиняются, — подчеркнул генеральный директор компании Attack Killer (входит в ГК InfoWatch) Рустэм Хайретдинов. — Может быть, придет ключ, а может, и нет. Платить — значит, в любом случае провоцировать новые преступления.
Руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов рассказал, что даже если пользователь заплатит и получит код для расшифровки, то спасти можно будет только один компьютер.
— Для каждого устройства формируется свой уникальный ключ, — пояснил Рустам Миркасымов. — Платить в любом случае нельзя. Таким образом стимулируется нелегальный бизнес.
Можно ли расшифровать файлы, не посылая деньги, — пока неизвестно. По словам специалистов, ключ очень сложный. Но если пользователи применяли сервисы резервного копирования данных, тогда можно откатить систему к предыдущей точке восстановления.
Килька в томате
Говорящая с котами автор темы: для заражения обычным зловредом пользователю нужно было скачать из сети файл.
Это уже не самостоятельно. Не качайте разную незнакомую ерунду и все.
Нужен только включенный компьютер
Быстрому распространению вируса способствовала новая уникальная технология, которая ранее не применялась для кибератак.
— Быстрое распространение вируса связано как раз с технологией его распространения — оно не требовало никаких действий от пользователя — ни открытия каких-то файлов, ни чтения почты, ни нажатия ссылок. Нужен только включенный компьютер с непропатченной Windows, подключенный к интернету ,
— отметил Рустэм Хайретдинов.
По словам Рустама Миркасымова, вирус атаковал компьютеры через 445 порт.
Уязвимыми к атаке оказались пользователи локальных сетей: корпоративных или частных, например, если местный провайдер создал для своих абонентов внутреннюю сеть.
Именно у таких компьютеров порты доступны из интернета для данной атаки. Если хотя бы одно устройство в сети было заражено вирусом, то под ударом оказываются все.
Пользователи, которые выходят в интернет со своего домашнего роутера, такой опасности не подвержены.
Для подключения к своим командным серверам программа устанавливает на устройство жертвы браузер Tor (используется для обеспечения анонимности в интернете).
При попадании на компьютер червь моментально начинает шифровать файлы.
— На шифровку нужно время. Пока это происходит, очень интенсивно работает процессор, — рассказывает Миркасымов. — Если пользователь заметит, что на его устройстве сильно загружен процессор или файлы получают неизвестное расширение или вовсе исчезают, то устройство нужно немедленно обесточить и отнести к специалистам. Тогда часть файлов можно будет спасти.
Разработка АНБ
Основная часть пользователей, пострадавших от атаки вируса, находится в России.
— Атака шла на все уязвимые компьютеры, и российские пользователи оказались наименее подготовленными к ней. Почему — предстоит еще выяснить.
Возможно, это сочетание нескольких факторов. В том числе большое распространение пиратских копий софта среди персональных пользователей,
— объяснил Рустэм Хайретдинов. — Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью через два месяца после выхода патча они себе его не установили.
По его словам, корпоративные пользователи в большинстве случаев имеют легальные копии операционных систем, однако они и обновляются по-другому — через корпоративные центры.
— Принятие решения об установке обновления и его техническая реализация в каждой компании — это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем, — добавил Рустэм Хайретдинов.
По информации СМИ, атаке подверглись многие госорганизации, среди которых МВД, Банк России, Сбербанк, Минздрав, под удар попали и крупные компании — РЖД, «МегаФон», «ВымпелКом» и многие другие.
Для атаки злоумышленники использовали шпионское ПО Агентства национальной безопасности (АНБ) США, которое в сети распространила группа хакеров, выступающая под псевдонимом Shadow Brokers.
«Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», — написал у себя в Twitter бывший агент АНБ Эдвард Сноуден.
К борьбе с критической уязвимостью подключилась корпорация Microsoft. Она выпустила обновления для операционной системы, которые должны устранить угрозу заражения. Патчи были выпущены в том числе и для тех версий Windows, поддержка которых завершена.
— Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы также выпустили обновления для Windows XP, Windows 8 и Windows Server 2003, — заявила официальный представитель московского офиса Microsoft Кристина Давыдова.
Вирус имел «стоп-кран» Массовая атака была остановлена случайно.
Программист, выступающий в Twitter под ником @MalvareTechBlog, и его коллега Дариан Хасс изучали новый вирус и нашли в его программном коде адрес домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Оказалось, что червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, то атака прекращалась. Исследователи зарегистрировали такой домен.
«Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку», — написал @MalvareTechBlog в своем Twitter.
В программном коде нового вируса нашли адрес домена. Червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, атака прекращалась. Исследователи зарегистрировали такой домен.
— К особенностям данной вредоносной программы можно отнести то, что в ней изначально был заложен механизм принудительной остановки — «стоп-кран» , — прокомментировал Рустам Миркасымов. — Вероятно, ее создатели предполагали возможные последствия и хотели иметь возможность остановить атаку, если это понадобится.
По мнению Миркасымова, новый вирус такого типа создать несложно, но он уже не будет так эффективен, как нынешний, ведь пользователи начали активно устанавливать обновления.
Однако если вторая версия появится — она уже может быть без «стоп-крана». И какие могут быть последствия, трудно предсказать.
Говорящая с котами автор темы: Быстрое распространение вируса связано как раз с технологией его распространения — оно не требовало никаких действий от пользователя — ни открытия каких-то файлов, ни чтения почты, ни нажатия ссылок.
Говорящая с котами автор темы:Нужен только включенный компьютер с непропатченной Windows, подключенный к интернету,
ДоброжелателЬ 😊
Говорящая с котами автор темы: Нужен только включенный компьютер с непропатченной Windows, подключенный к интернету,
с ПРЯМЫМ подключением, или с доступом извне к ресурсам компьютера!!!!
ДоброжелателЬ 😊
Neuro_Vatson: выгодопреобретатель - майкрософт
наоборот
эпплы всякие
АноНИМ
ДоброжелателЬ,
Сговор двух.
Аноним 462
его уже в субботу остановили и защиту сделали, а вы только в понедельник испугались
ДоброжелателЬ 😊
FlashMemory: его уже в субботу остановили и защиту сделали, а вы только в понедельник испугались
защиту сделали 2 месяца назад! но кто-то так и не удосужился её применить к СВОИМ компьютерам (по разным соображениям. но - не сделал)
и кто виноват?
в субботу остановили ПЕРВЫЙ вирус, который на АНБ-шных разработках собран... и остановили "случайно", благодаря просчёту вирусописателей. следующая модификация уже будет намного опаснее, в этом плане...
mamaboysekb: Что делать то теперь, кто-нибудь скажет???
если хотите восстановить данные - готовьте 300 баксов (и то, не факт, что ключ для расшифровки вам пришлют)
и в любом случае, переустанавливать операционную систему, и СТАВИТЬ АНТИВИРУС!
mamaboysekb, Касперский не помог бы. В случае с експлоитом ЕнтерналБлю помогло только обновление Windows которое закрыло дырку в ОС.
Присоединяюсь к Максус, а также могу посоветовать сохранить все зашифрованные файлы на другой винчестер/флешку/диск и ждать пока/если выйдет дешифровщик, так как было с ТеслаКрипт например. Но 100% гарантии никто не даст. Шифровальщик серьёзный, ребята из ит-секюрити правы - реально вирус года .
Лицензированная обновленная винда - и nobody cries :) Кстати, антивирус никакой не поможет, это разработки спецслужб США (я не параною, это официальная инфа).
Ториль-ор-Твайн: Кстати, антивирус никакой не поможет,
поможет, с момента, как у него будет в базе описание вируса
помешать проникновению - да, не может, а помешать ЗАПУСКУ и собственно ШИФРОВАНИЮ файлов - может
но установка (своевременная) обновлений - не дала бы проникнуть на компьютер заразе
Ториль-ор-Твайн: это разработки спецслужб США
и что? о чем это говорит-то? спецслужбы использовали его локально, проникая в сети КОНКРЕТНЫХ интересных им персон/организаций, а вирус проникает ПОВСЕМЕСТНО, без разбора! Но - при наличии незакрытых ДЫР в защите (а уж почему они не закрыты, когда 2 месяца о них известно - отдельный вопрос!)
Лалаша: и ждать пока/если выйдет дешифровщик,
можно не ждать :( шифровальщик с несимметричным ключом, ключи везде уникальные, универсального средства НЕ БУДЕТ
Игуана: пошла срочно копироваться
это ВСЕГДА было, есть и будет полезно! все ценные данные нужно хранить минимум в двух местах, желательно, отключенного от "основного" комьютера
https://news.rambler.ru/scitech/36869728-rossiyan-podvel-piratskiy-soft-pri-atake-wannacry/
Пользователи Windows в конце прошлой недели подверглись беспрецедентной атаке. Появился вирус, который самостоятельно проникает в компьютер — для заражения обычным зловредом пользователю нужно было скачать из сети файл.
По данным «Лаборатории Касперского», пострадали в основном пользователи из России. Сообщалось об атаках на многие госорганизации, в том числе МВД, Банк России и Минздрав. Кибератаку отражали в РЖД, Сбербанке, «МегаФоне», «ВымпелКоме» и многих других компаниях. Остановить атаку удалось случайно. Судьба пропавших файлов неизвестна
12 мая началось массовое распространение вируса WannaCry.
«Лаборатория Касперского» зафиксировала более 45 тыс. атак в 74 странах.
При попадании в компьютер вирус начинает шифровать многие разновидности файлов — фотографии, музыку, фильмы, текстовые документы, презентации, архиваторы и так далее. После этого пользователю выводится сообщение: если он хочет расшифровать свои файлы, нужно отправить злоумышленникам $300. Если это не сделать за определенное время, цена вырастет вдвое.
Специалисты из антивирусных компаний призывают пользователей не платить злоумышленникам.
— Вымогатели — преступники и законам не подчиняются, — подчеркнул генеральный директор компании Attack Killer (входит в ГК InfoWatch) Рустэм Хайретдинов. — Может быть, придет ключ, а может, и нет. Платить — значит, в любом случае провоцировать новые преступления.
Руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов рассказал, что даже если пользователь заплатит и получит код для расшифровки, то спасти можно будет только один компьютер.
— Для каждого устройства формируется свой уникальный ключ, — пояснил Рустам Миркасымов. — Платить в любом случае нельзя. Таким образом стимулируется нелегальный бизнес.
Можно ли расшифровать файлы, не посылая деньги, — пока неизвестно. По словам специалистов, ключ очень сложный. Но если пользователи применяли сервисы резервного копирования данных, тогда можно откатить систему к предыдущей точке восстановления.
Это уже не самостоятельно. Не качайте разную незнакомую ерунду и все.
Нужен только включенный компьютер
Быстрому распространению вируса способствовала новая уникальная технология, которая ранее не применялась для кибератак.
— Быстрое распространение вируса связано как раз с технологией его распространения — оно не требовало никаких действий от пользователя — ни открытия каких-то файлов, ни чтения почты, ни нажатия ссылок. Нужен только включенный компьютер с непропатченной Windows, подключенный к интернету ,
— отметил Рустэм Хайретдинов.
По словам Рустама Миркасымова, вирус атаковал компьютеры через 445 порт.
Уязвимыми к атаке оказались пользователи локальных сетей: корпоративных или частных, например, если местный провайдер создал для своих абонентов внутреннюю сеть.
Именно у таких компьютеров порты доступны из интернета для данной атаки. Если хотя бы одно устройство в сети было заражено вирусом, то под ударом оказываются все.
Пользователи, которые выходят в интернет со своего домашнего роутера, такой опасности не подвержены.
Для подключения к своим командным серверам программа устанавливает на устройство жертвы браузер Tor (используется для обеспечения анонимности в интернете).
При попадании на компьютер червь моментально начинает шифровать файлы.
— На шифровку нужно время. Пока это происходит, очень интенсивно работает процессор, — рассказывает Миркасымов. — Если пользователь заметит, что на его устройстве сильно загружен процессор или файлы получают неизвестное расширение или вовсе исчезают, то устройство нужно немедленно обесточить и отнести к специалистам. Тогда часть файлов можно будет спасти.
Разработка АНБ
Основная часть пользователей, пострадавших от атаки вируса, находится в России.
— Атака шла на все уязвимые компьютеры, и российские пользователи оказались наименее подготовленными к ней. Почему — предстоит еще выяснить.
Возможно, это сочетание нескольких факторов. В том числе большое распространение пиратских копий софта среди персональных пользователей,
— объяснил Рустэм Хайретдинов. — Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью через два месяца после выхода патча они себе его не установили.
По его словам, корпоративные пользователи в большинстве случаев имеют легальные копии операционных систем, однако они и обновляются по-другому — через корпоративные центры.
— Принятие решения об установке обновления и его техническая реализация в каждой компании — это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем, — добавил Рустэм Хайретдинов.
По информации СМИ, атаке подверглись многие госорганизации, среди которых МВД, Банк России, Сбербанк, Минздрав, под удар попали и крупные компании — РЖД, «МегаФон», «ВымпелКом» и многие другие.
Для атаки злоумышленники использовали шпионское ПО Агентства национальной безопасности (АНБ) США, которое в сети распространила группа хакеров, выступающая под псевдонимом Shadow Brokers.
«Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», — написал у себя в Twitter бывший агент АНБ Эдвард Сноуден.
К борьбе с критической уязвимостью подключилась корпорация Microsoft. Она выпустила обновления для операционной системы, которые должны устранить угрозу заражения. Патчи были выпущены в том числе и для тех версий Windows, поддержка которых завершена.
— Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы также выпустили обновления для Windows XP, Windows 8 и Windows Server 2003, — заявила официальный представитель московского офиса Microsoft Кристина Давыдова.
Вирус имел «стоп-кран» Массовая атака была остановлена случайно.
Программист, выступающий в Twitter под ником @MalvareTechBlog, и его коллега Дариан Хасс изучали новый вирус и нашли в его программном коде адрес домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Оказалось, что червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, то атака прекращалась. Исследователи зарегистрировали такой домен.
«Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку», — написал @MalvareTechBlog в своем Twitter.
В программном коде нового вируса нашли адрес домена. Червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, атака прекращалась. Исследователи зарегистрировали такой домен.
— К особенностям данной вредоносной программы можно отнести то, что в ней изначально был заложен механизм принудительной остановки — «стоп-кран» , — прокомментировал Рустам Миркасымов. — Вероятно, ее создатели предполагали возможные последствия и хотели иметь возможность остановить атаку, если это понадобится.
По мнению Миркасымова, новый вирус такого типа создать несложно, но он уже не будет так эффективен, как нынешний, ведь пользователи начали активно устанавливать обновления.
Однако если вторая версия появится — она уже может быть без «стоп-крана». И какие могут быть последствия, трудно предсказать.
аноним,
с ПРЯМЫМ подключением, или с доступом извне к ресурсам компьютера!!!!
наоборот
эпплы всякие
ДоброжелателЬ,
Сговор двух.
его уже в субботу остановили и защиту сделали, а вы только в понедельник испугались
защиту сделали 2 месяца назад! но кто-то так и не удосужился её применить к СВОИМ компьютерам (по разным соображениям. но - не сделал)
и кто виноват?
в субботу остановили ПЕРВЫЙ вирус, который на АНБ-шных разработках собран... и остановили "случайно", благодаря просчёту вирусописателей. следующая модификация уже будет намного опаснее, в этом плане...
У меня комп заразился, сама, конечно, виновата!!! На Касперском экономила! Что делать то теперь, кто-нибудь скажет???
Сегодня не смогла нигде сделать подтверждение личности для операций через портал госуслуг. Система не работает. Намекнули, что из-за этого
если хотите восстановить данные - готовьте 300 баксов (и то, не факт, что ключ для расшифровки вам пришлют)
и в любом случае, переустанавливать операционную систему, и СТАВИТЬ АНТИВИРУС!
mamaboysekb, Касперский не помог бы. В случае с експлоитом ЕнтерналБлю помогло только обновление Windows которое закрыло дырку в ОС.
Присоединяюсь к Максус, а также могу посоветовать сохранить все зашифрованные файлы на другой винчестер/флешку/диск и ждать пока/если выйдет дешифровщик, так как было с ТеслаКрипт например. Но 100% гарантии никто не даст. Шифровальщик серьёзный, ребята из ит-секюрити правы - реально вирус года .
ничего не скачивали, но компьютер заразился.
Лицензированная обновленная винда - и nobody cries :) Кстати, антивирус никакой не поможет, это разработки спецслужб США (я не параною, это официальная инфа).
от кого?
спасибо, пошла срочно копироваться
поможет, с момента, как у него будет в базе описание вируса
помешать проникновению - да, не может, а помешать ЗАПУСКУ и собственно ШИФРОВАНИЮ файлов - может
но установка (своевременная) обновлений - не дала бы проникнуть на компьютер заразе
и что? о чем это говорит-то? спецслужбы использовали его локально, проникая в сети КОНКРЕТНЫХ интересных им персон/организаций, а вирус проникает ПОВСЕМЕСТНО, без разбора! Но - при наличии незакрытых ДЫР в защите (а уж почему они не закрыты, когда 2 месяца о них известно - отдельный вопрос!)
можно не ждать :( шифровальщик с несимметричным ключом, ключи везде уникальные, универсального средства НЕ БУДЕТ
это ВСЕГДА было, есть и будет полезно! все ценные данные нужно хранить минимум в двух местах, желательно, отключенного от "основного" комьютера
От Сноудена :)