Изначально уязвимость, которая затем стала EternalBlue (WannaCry), была открыта и активно использовалась Агентством Национальной Безопасности США, которые тщательно скрывали то, что нашли уязвимость нулевого дня (уязвимость, против которой ещё не разработаны методы защиты) в ОС Windows. Затем «дыра» утекла в публичный доступ на некоторое время, чем успели воспользоваться ушлые хакеры (ууух!!!) и создали вирус WannaCry. За подобное сокрытие информации АНБ были подвергнуты жёсткой критике как со стороны граждан США и других стран, так и со стороны самой Microsoft.
Теперь вирус возвращается в новом обличии и был прозван WannaMine. На первый взгляд может показаться, что это незначительная угроза, так как это не блокировщик, он не шифрует никаких данных, компьютером можно пользоваться, но проблема сидит гораздо глубже. Из-за вируса некоторые компании не могут функционировать днями или даже неделями.
Новый криптомайнер очень сложно определяется пока что, по той простой причине, что он ничего не загружает на заражённый компьютер. Впервые малварь (от англ. malware — вредоносное программное обеспечение) была обнаружена в испанской фирме в октябре 2017 года. На прошлой же неделе, ИБ компания доложила, что инстансы (от англ. instance — образец) WannaMine активизировались на огромном количестве компьютеров, а вирус сильно разросся как в количестве заражённых единиц, так и в географии.
Есть множество способов, которыми можно «подхватить» вирусню, но все они стандартные — фишинг, вредоносные сайты по ссылкам в письмах и прочие стандартные методы. Как только вирус попал на компьютер, он активно начинает использовать абсолютно стандартные средства Windows — PowerShell и Инструменты Администрирования Windows — для того, чтобы выполнить свою грязную работу.
WannaMine не пытается использовать уязвимость EternalBlue при первой попытке. Для начала он использует софт Mimikatz, чтобы забрать все логины и пароли из памяти компьютера. Если это не удаётся, что в этом случае уже используется EternalBlue. А если компьютер находится в локальной сети с другими — вирус распространится на них всех, например, по всему офису.
После проникновения на компьютер, WannaMine начинает использовать ресурсы процессора для добычи криптовалюты Monero — эту криптовалюту чуть ли не единственную можно добывать, используя лишь мощности процессора. Это не убивает компьютер жертвы, но замедляет скорость работы на нём в несколько раз. Подобное поведение для вирусных криптомайнеров довольно обычно — ведь почти все они майнят именно Monero, как в случае с самым популярным веб-майнером — Coinhive.
Для офисов и компаний использование процессоров на всех компьютерах может быть смертельно — все сервисы компании могут просто перестать функционировать из-за отсутствия процессорных ресурсов, что приведёт к большим убыткам.
Данный вирус не даёт вам выбор «Платить или Не платить», а просто ставит перед фактом: «Ваш процессор теперь мой». Так что постарайтесь не ловить этот вирус. Особенно в своём офисе (если вы такой же большой начальник как и я) или в офисе, где вы работаете.
Берегите себя и свои процессорные ресурсы!
Хотите больше похожих статей в своей ленте? Ставьте LIKE
Хотите меньше похожих статей в своей ленте? Ставьте DISLIKE
Понравилось читать меня? Просто подпишитесь на Дзен-канал:)
Хотите смотреть видео-версии или голос легче воспринимать? Просто подпишитесь на YouTube-канал