WannaCry, эпи­зод вто­рой

... Уяз­ви­мо­стя­ми в Windows, най­ден­ны­ми ви­ру­сом, ста­ли поль­зо­вать­ся вре­до­нос­ные про­грам­мы дру­гих ха­ке­ров

Vedomosti.Piter - - ПЕРВАЯ СТРАНИЦА - Павел Кан­ты­шев Ели­за­ве­та Серь­ги­на ВЕДОМОСТИ

Ви­рус-вы­мо­га­тель WannaCry по все­му ми­ру па­ра­ли­зо­вал на про­шлой неде­ле ком­пью­те­ры, ра­бо­та­ю­щие на опе­ра­ци­он­ной си­сте­ме Windows. Он шиф­ро­вал фай­лы и тре­бо­вал вы­куп в $300 в бит­ко­и­нах. Ата­ку оста­но­ви­ли, но за вы­ход­ные у WannaCry по­яви­лось две мо­ди­фи­ка­ции, со­об­ща­ет «Ла­бо­ра­то­рия Кас­пер­ско­го». По мне­нию ан­ти­ви­рус­ной ком­па­нии, ни од­на из них не со­зда­на ав­то­ра­ми ори­ги­наль­но­го вы­мо­га­те­ля: другие ки­бер­пре­ступ­ни­ки вос­поль­зо­ва­лись си­ту­а­ци­ей.

Экс­пер­ты пре­ду­пре­жда­ли, что воз­мож­на эс­ка­ла­ция в рас­про­стра­не­нии ви­ру­са, но, по дан­ным «Ла­бо­ра­то­рии Кас­пер­ско­го», в по­не­дель­ник бы­ло за­ра­же­но в 6 раз мень­ше ма­шин, чем в пят­ни­цу. Из это­го «Ла­бо­ра­то­рия Кас­пер­ско­го» де­ла­ет вы­вод, что кон­троль над рас­про­стра­не­ни­ем за­ра­же­ния уже уста­нов­лен.

Ру­ко­во­ди­тель ла­бо­ра­то­рии ис­сле­до­ва­ния вре­до­нос­но­го ко­да ком­па­нии Group-IB (рас­сле­до­ва­ние ком­пью­тер­ных пре­ступ­ле­ний) Ва­ле­рий Ба­у­лин так­же по­ла­га­ет, что но­вой вол­ны рас­про­стра­не­ния ви­ру­са нет, но не из­вест­но, по­че­му это про­ис­хо­дит: из-за мас­со­вых об­нов­ле­ний поль­зо­ва­те­лей или про­сто по­то­му, что ха­ке­ры не на­ча­ли но­вой ата­ки. По сло­вам Ба­у­ли­на, ос­нов­ная мас­са по­стра­дав­ших – ком­па­нии и го­сор­га­ни­за­ции, где об­нов­ле­ния уста­нав­ли­ва­ют­ся в ос­нов­ной мас­се вруч­ную. До­маш­ние же поль­зо­ва­те­ли ле­галь­ных Windows-си­стем по­чти не по­стра­да­ли, по­сколь­ку их софт об­нов­ля­ет­ся ав­то­ма­ти­че­ски, счи­та­ет он.

Пер­вый клон WannaCry на­чал рас­про­стра­нять­ся ран­ним утром вос­кре­се­нья, три жерт­вы но­во­го вы­мо­га­те­ля «Ла­бо­ра­то­рия Кас­пер­ско­го» об­на­ру­жи­ла в Рос­сии и Бра­зи­лии. Вто­рая мо­ди­фи­ка­ция, по дан­ным ком­па­нии, на­учи­лась об­хо­дить тот ку­сок ко­да, ко­то­рый по­мог оста­но­вить первую вол­ну ви­ру­са. О ва­ри­а­ции ви­ру­са со­об­ща­ет и Bloomberg со ссыл­кой на ком­па­нию Comae Technologies, по дан­ным ко­то­рой им за­ра­же­но уже 10 000 ком­пью­те­ров.

Ба­у­лин счи­та­ет, что но­вая вер­сия ви­ру­са – слиш­ком громкое на­зва­ние: по­ка что это про­сто файл, кем­то мо­ди­фи­ци­ро­ван­ный и раз­ме­щен­ный на ре­сур­се про­вер­ки фай­лов на на­ли­чие вре­до­нос­но­го ко­да.

Са­ма «Ла­бо­ра­то­рия Кас­пер­ско­го» за­ме­ти­ла бо­лее 45 000 атак на сво­их поль­зо­ва­те­лей по все­му ми­ру, но пре­ду­пре­жда­ет, что это толь­ко часть всех атак: учте­ны лишь поль­зо­ва­те­ли ее про­дук­тов плюс эта циф­ра не вклю­ча­ет за­ра­же­ния внут­ри кор­по­ра­тив­ных се­тей без сво­бод­но­го под­клю­че­ния к ин­тер­не­ту. На сер­ве­ре, со­би­ра­ю­щем об­ра­ще­ния вре­до­нос­но­го ко­да, за­ре­ги­стри­ро­ва­но бо­лее 200 000 уве­дом­ле­ний о за­ра­же­ни­ях, со­об­ща­ет Bloomberg со ссыл­кой на Ев­ро­пол. Ис­сле­до­ва­те­ли Malware Tech, на дан­ные ко­то­рой ссы­ла­ет­ся The Wall Street Journal, в по­не­дель­ник днем об­на­ру­жи­ли сле­ды WannaCry в 153 стра­нах ми­ра. Сре­ди тех, кто ока­зал­ся ата­ко­ван ви­ру­сом, – Renault и Nissan, FedEx, Telefonica и CNPC (Ки­тай­ская на­ци­о­наль­ная неф­те­га­зо­вая кор­по­ра­ция).

Каж­дый день по­яв­ля­ют­ся сот­ни ты­сяч мо­ди­фи­ка­ций из­вест­ных вре­до­нос­ных про­грамм – на­при­мер, ко­гда зло­умыш­лен­ни­кам нуж­но сме­нить ко­манд­ный центр вре­до­нос­ной про­грам­мы, разъ­яс­ня­ет ру­ко­во­ди­тель рос­сий­ско­го ис­сле­до­ва­тель­ско­го цен­тра «Ла­бо­ра­то­рии Кас­пер­ско­го» Юрий На­мест­ни­ков. Зна­ние пер­во­на­чаль­но­го ви­ру­са не все­гда об­лег­ча­ет по­им­ку его мо­ди­фи­ка­ций. По сло­вам На­мест­ни­ко­ва, встре­ча­ют­ся та­кие мо­ди­фи­ка­ции, ко­то­рые спе­ци­аль­но на­це­ле­ны на об­ход ан­ти­ви­рус­ных ре­ше­ний. Но со­вре­мен­ные ан­ти­ви­рус­ные про­из­во­ди­те­ли не сто­ят на ме­сте и уме­ют ло­вить еще неиз­вест­ные, аб­со­лют­но но­вые вре­до­нос­ные про­грам­мы, ука­зы­ва­ет экс­перт.

Вре­до­нос­ная про­грам­ма об­ра­ща­лась к спе­ци­аль­но­му до­ме­ну и, ес­ли тот не был за­ре­ги­стри­ро­ван, ви­рус на­чи­нал дей­ство­вать, го­во­рит­ся в со­об­ще­нии ком­па­нии Group-IB. Ис­сле­до­ва­тель из Ве­ли­ко­бри­та­нии та­кой до­мен за­ре­ги­стри­ро­вал и мас­со­вая атака бы­ла оста­нов­ле­на, объ­яс­ня­ет ком­па­ния. Но вре­до­нос­ная про­грам­ма не смо­жет до­стичь до­ме­на, ес­ли в ор­га­ни­за­ции уста­нов­ле­ны спе­ци­аль­ные прок­си-сер­ве­ры, пре­ду­пре­жда­ет Group-IB.

Ком­па­ния от­ме­ча­ет несколь­ко осо­бен­но­стей WannaCry. Он са­мо­реп­ли­ци­ру­ет­ся на другие ком­пью­те­ры, уме­ет вы­би­рать для шиф­ро­ва­ния наи­бо­лее чув­стви­тель­ные до­ку­мен­ты и фай­лы (элек­трон­ную по­чту, ар­хи­вы, офис­ные фай­лы, вир­ту­аль­ные ма­ши­ны и ба­зы дан­ных), а так­же свя­зы­вать­ся с ко­манд­ны­ми сер­ве­ра­ми ано­ним­ной се­тью Tor.

Без тща­тель­но­го рас­сле­до­ва­ния невоз­мож­но ни под­твер­дить, ни опро­верг­нуть рос­сий­ское про­ис­хож­де­ние на­па­дав­ших, го­во­рит­ся в со­об­ще­нии Group-IB. Со­здан­ные в Рос­сии шиф­ро­валь­щи­ки обыч­но це­лят­ся в фай­лы 1С, но Group-IB не на­шла их сре­ди це­лей WannaCry.-

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.