Прошло уже 18 месяцев с момента обнаружения трояна-шифровальщика WannaCry. Массовая атака началась 12 мая 2017 года и в течение первых 4 дней было заражено около 300 000 пользователей. Как оказалось, вирус до сих пор блуждает в интернете… Как защититься и что с ним делать?
По данным одной из лидирующих компаний, занимающейся кибербезопасностью, было обнаружено 5195 новых модификаций шифровальщиков в период с июля по сентябрь 2018 года. Эта цифра гораздо ниже показателей предыдущего квартала. Среди них найдены:
- Rakhni – в новых модификациях злоумышленники загружали не шифровальщик, а майнер, используя мощность компьютера жертвы в своих целях,
- KeyPass – создатели распространяли вредоносный код через спам, эксплоит-паки и брутфорс паролей от удаленного доступа,
- CoinVault – старый шифровальщик, в сторону создателей которого было возбуждено уголовное дело. В процессе заседание вынесен обвинительный приговор,
- 2 новые версии GandCrab.
Возглавляет топ шифровальщиков WannaCry c 29 % от общего числа атак. Всего было зарегистрировано 260 000 угроз в период с июля по сентябрь 2018 года, соответственно 75 400 принадлежат WannaCry.
Определимся с тем, что такое WannaCry. Это эксплойт – вредоносный код, использующий уязвимость в системе и шифровальщик. Главная проблема с этим шифровальщиком – если для заражения обычно требовалось перейти по непроверенной ссылки, разрешить выполнение программы или другие действия пользователя, то с WannaCry вы могли ничего не делать и заразиться.
Уязвимостью, которую использовали мошенники, стала EternalBlue для Windows. Воспользовавшись ею, киберпреступники получали удаленный доступ для дальнейшей установки шифровальщика. После успешного взлома вирус передавался по локальной сети на другие ПК. Особенно пострадали от него крупные корпорации, где по локальной сети соединялось множество компьютеров.
За 2 месяца до массовой атаки, 14 марта 2017 года, Microsoft выпустила обновление безопасности MS17-010, закрывающая эту уязвимость. На обновленных компьютерах эксплойт не мог получить удаленный доступ. Но, стоит отметить, что обновление никак не предотвращало работу шифровальщика. Это значит, что пользователи, установившие патч после заражения также получали зашифрованные файлы.
Обсудив методы заражения, перейдем к результатам работы WannaCry. Как понятно из названия – ршифровальщик шифрует файлы (текстовые документы, архивы, изображения, файлы виртуальных машин и многие другие). Обработанные фалы получают расширение .WCRY, из-за которого вирус и получил своё название.
После шифрования программа требовала выкуп в размере 300$, а в следующих версиях цену подняли в 2 раза. В сообщениях они указывали, что размер выкупа через 3 дня станет заметно больше, а через 7 дней все личные данные пользователя будут уничтожены. Эти угрозы нацелены на запугивание пользователей, чтобы они не успели тщательно подумать над ситуацией, а сразу же перевели деньги. Но что с ним делать, как спасти свои файлы?
Первое, что стоит запомнить – никогда не отсылайте денег преступникам! Как показывает практика, нет никакой гарантии, что файлы вам расшифруют. Шифровальщики могут не оставлять физической возможности расшифровки и вымогать при этом деньги. Если ваш компьютер уже заражен, то сфотографируйте меню вымогателя, отключите его от сети, не вставляете флешки и диски и не включайте компьютер. На другом устройстве, постарайтесь найти информацию о вашем вирусе. Один из вариантов – искать по базам данных известных вирусов. Их можно найти на сайтах ведущих компаний в сфере интернет безопасности.
Как было написано выше, установка обновления от Microsoft ликвидировала уязвимость, поэтому устанавливайте важные патчи системы. Для полной безопасности обязательно устанавливайте антивирусные программы. Мы советуем Bitdefender Total Security 2019, обеспечивающий защиту личных данных и платежной информации. При обнаружении вредоносных программ, к примеру шифровальщиков, антивирус блокирует ее, останавливая подозрительные действия.