3 решаващи неща, които трябва да знаете за атаката на WannaCry Ransomware Attack

Раншоувър атаки, идващи от името на WannaCry, бяха Отчетените в петък в световен мащаб от експерти по киберсигурност и бяха издадени множество предупреждения, които предполагат засилени мерки за сигурност на свързани с уеб устройства устройства, тъй като тази седмица се очаква втора вълна от атаки.




Атаките с откупуващ софтуер - десетилетен хакерски трик - засегнаха основно Русия, Украйна, Испания, Великобритания и Индия.



Други страни, включително САЩ, Бразилия, Китай, наред с други от Северна Америка, Латинска Америка, Европа и Азия, бяха засегнати от нападението за износ.



Ransomware криптира файлове на устройство, използвайки разширението '.wcry' и се инициира чрез отдалечено изпълнение на SMBv2 (сървърно блокиране на съобщението версия 2).

Прочетете също: Какво е Ransomware и как да се защитим срещу него? и Смартфонът е уязвим за атаката на WannaCry Ransomware Attack?

Лабораторията на Касперски Екипът на глобалните изследвания и анализи посочи откриваме, че „незападналите компютри с Windows, излагащи SMB услугите си, могат да бъдат атакувани дистанционно“ и „тази уязвимост изглежда е най-значимият фактор, причинил епидемията“.

Съобщава се, че хакерската група Shadow Brokers е отговорна за предоставянето на злонамерения софтуер за извършване на тази атака в интернет на 14 април.





Колко широко разпространена е атаката?

Пълното въздействие на тази атака все още не е известно, тъй като експертите по киберсигурност очакват допълнителни вълни от атаката да засегнат още системи.

Според доклад в New York Times атаката пое контрола над над 200 000 компютъра в над 150 държави.

Засегнати са компании и правителствени агенции, включително руските министерства, FedEx, Deutsche Bahn (Германия), Telefonica (Испания), Renault (френски), Qihoo (Китай) и Националната здравна служба на Великобритания.

Испански екип за аварийно реагиране на компютър (CCN-CERT) също призова за висок сигнал в страната, тъй като казва, че организациите може да са били засегнати от извличането на софтуер.

„Зловредният софтуер WannaCrypt бързо се разпространява в световен мащаб и се черпи от подвизите, откраднати от NSA в САЩ. Microsoft пусна актуализация на защитата, за да закърпи тази уязвимост, но много компютри останаха незакрепени в световен мащаб “, Microsoft посочен,

Следният софтуер е засегнат досега:

  • Windows Server 2008 за 32-битови системи
  • Windows Server 2008 за 32-битов системен пакет 2
  • Windows Server 2008 за базирани на Itanium системи
  • Windows Server 2008 за системен пакет 2, базиран на Itanium
  • Windows Server 2008 за базирани на x64 системи
  • Windows Server 2008 за x64 базирани системни сервизни пакети 2
  • Windows Vista
  • Сервизен пакет за Windows Vista 1
  • Сервизен пакет 2 за Windows Vista
  • Windows Vista x64 Edition
  • Сервизен пакет 1 за Windows Vista x64 Edition
  • Сервизен пакет 2 за Windows Vista x64 Edition
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 и R2
  • Windows 10
  • Windows Server 2016




Как се отразява на системите?

Зловредният софтуер криптира файлове, съдържащи разширения за офиси, архиви, медийни файлове, бази данни за електронна поща и имейли, изходен код на програмисти и файлове на проекти, графични файлове и файлове с изображения и много други.

Източник: Касперски

Инструментът за дешифриране също е инсталиран заедно със зловредния софтуер, който помага да се направи откупът на стойност 300 долара, поискан в биткойните, както и да се декриптира файловете, след като плащането се извърши.

Източник: Касперски

Инструментът за дешифриране изпълнява два таймера за обратно отброяване - 3-дневен таймер, след което е указано, че откупът ще се увеличи и 7-дневен таймер, който показва времето, останало преди файловете да бъдат загубени завинаги.

Като се има предвид, че софтуерният инструмент има възможност да превежда текста си на няколко езика, очевидно е, че атаката е насочена в световен мащаб.

Източник: Касперски

За да се гарантира, че декрипторният инструмент е намерен от потребителя, зловредният софтуер също променя тапета на засегнатия компютър.

Източник: Касперски




Как да останете в безопасност?

  • Уверете се, че базата данни на вашия антивирусен софтуер е актуализирана и защитава системата ви в реално време и извършете сканиране.
  • Ако злонамереният софтуер: Trojan.Win64.EquationDrug.gen бъде открит, уверете се, че той е поставен под карантина и изтрит и рестартирайте системата.
  • Ако още не сте, се препоръчва да инсталирате официалния кръпка на Microsoft - MS17-010 - което смекчава уязвимостта на SMB, която се използва при атаката.
  • Можете също да деактивирате SMB на вашия компютър, като използвате това ръководство от Microsoft.
  • Организациите могат да изолират комуникационни портове 137 и 138 UDP и портове 139 и 445 TCP.




Системите, базирани в САЩ, бяха защитени случайно

22-годишен британски изследовател по сигурността случайно изключи злонамерения софтуер да се разпространи в мрежите в САЩ, когато купи домейна за превключване на злонамерен софтуер, който все още не е регистриран.

В момента, в който сайтът станал на живо, атаката била изключена. Можеш да четеш пълния му доклад тук за това как той разкри ключа за убийство на злонамерения софтуер и в крайна сметка го изключи.

Прочетете също: Този критичен пропуск в сигурността на Android остава нефиксиран от Google,

„Вече има друг вариант на отбора на софтуер, който няма ключ за убийство, което го затруднява. Той вече е започнал да заразява страни в Европа “, заяви Шарда Тикоо, технически ръководител, Trend Micro India.

Все още не е ясно кой е отговорен за атаката и спекулациите са посочили Shadow Brokers - които също са отговорни за пускането на злонамерен софтуер онлайн - или множество хакерски организации.

Гледайте видеоклипа на GT Hindi за Wannacry / Wannacrypt Ransomware по-долу.