Сегодня, 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

Версия 2.0

Одним из первых появление новой версии шифровальщика заметил французский эксперт, известный под псевдонимом Kafeine. Он обратил внимание, что Wana Decrypt0r обновился и взял на вооружение эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1. Выводы исследователя вскоре подтвердили специалисты испанского CERT и эксперт MalwareTech.

В настоящее время известно, что за несколько часов Wana Decrypt0r заразил десятки тысяч машин. Так, по данным специалистов Avast, их количество уже превышает 57 000, а главными целями операторов малвари являются Россия, Украина и Тайвань.

Карта заражений

Среди пострадавших от атак вымогателя уже значатся крупная телекоммуникационная компания Telefonica, газовая компания Gas Natural, поставщик электроэнергии Iberdrola, банк Santander, консультационная фирма KPMG, а также множество медицинских учреждений в Великобритании, из-за чего Национальная служба здравоохранения страны даже выпустила соответствующее предупреждение.

Кроме того журналисты «Медузы» сообщают, что в России шифровальщик атаковал компанию «Мегафон». Издание цитирует Петра Лидова, директора компании по связям с общественностью:

«Проблема есть, она локализуется. У нас все это выглядит, как Англии. Компьютеры шифровались и просили выкуп. Оформление такое же.

Есть сбои в доступе к данным, но офисы сейчас уже закрыты, поэтому больших проблем нет. Наша связь работает нормально, на абонентах это никак не сказывается. Это повлияло на работу в обслуживании: то есть, если абонент позвонит оператору, то он сможет подключить какие-то услуги с помощью голосовых команд, но не сможет зайти в ваш аккаунт, потому что его компьютер отключен по соображениям безопасности.

У нас есть компьютеры, зараженные вирусом. Их довольно много. Количество трудно оценить, у нас огромная компания. Мы отключали сети, чтобы это все не распространялось.

Не могу сказать, когда именно началась атака на нас. Примерно во второй половине дня. Затрудняюсь сказать, в каких регионах».

Также издание сообщает, что Wana Decrypt0r атаковал МВД и СК РФ, однако официальные представители ведомств отрицают данную информацию и утверждают, что «идут плановые работы на внутреннем контуре».

Стоит отметить, что еще в марте 2017 года компания Microsoft представила исправление для проблемы ETERNALBLUE в бюллетене MS17-010, однако, как это всегда и бывает, многие компании и пользователи не спешат устанавливать апдейты. По сути, сейчас мы наблюдаем последствия повсеместного халатного отношения к безопасности.

В настоящее время уже была создана карта, на которой можно наблюдать за распространением Wana Decrypt0r в режиме реального времени.

UPD. 22:45

«Интерфакс» сообщает, что официальные представители МВД все же подтвердили факт атаки на свои серверы.

«12 мая Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. В настоящий момент вирус локализован. Проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», — говорит Ирина Волк, официальный представитель МВД.

Также «Интерфакс» пишет, что специалисты «Лаборатории Касперского» зафиксировали уже порядка 45 000 атак Wana Decrypt0r, которые пришлись на 74 страны по всему миру, и в наибольшей степени заражению подверглась Россия.



9 комментариев

  1. _Assm_

    12.05.2017 at 23:37

    Вот так новость, забавно))

  2. Themistocles

    13.05.2017 at 00:02

    Жесть какая то. Не буду комп сегодня включать сегодня))

  3. Int

    13.05.2017 at 03:11

    На гиктаймсе пишут, что пробивает даже NAT, это правда? Как он мог бы это делать?

  4. AgentJordan

    13.05.2017 at 05:08

    О, какая красота. Очень надеюсь что дешифровщика не будет. С другой стороны, $300 — очень низкая цена за невежество.

    • Int

      14.05.2017 at 01:03

      Почему ты считаешь справедливым, что за невежество программистов из MS расплачиваются простые пользователи системы? Они отдали свои деньги за покупку этого продукта, а теперь должны отдать ещё? Или ты «вежество» приравнял к сидению на солярке или фряхе?

      • AgentJordan

        14.05.2017 at 04:19

        Вот это мне нравиться! «Невежды» из M$ выпустили патч ещё в Марте. А 12.05 они добавили исправление и для XP, который был похоронен в 2014 со словами «There will be no more security updates or technical support for the Windows XP operating system». Держи: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

        Из того что я видел, в основном, пострадали организации, у которых системы не патчились и не обновлялись с момента установки. Фильтровать 445 порт? — Зачем? И так сойдет. Это всё ладно, заразились, бывает. А бэкапчики где, ребятушечки? — Нет? Сорри бабушка, получили что заслужили.

        Не видел ни одного пострадавшего из домашних пользователей, сидящих за роутером. Разве что кулхацкеры c настроенной DMZ для своего компутера.

  5. ismayil112

    13.05.2017 at 10:37

    ктото нужно Экасплоит: https://github.com/misterch0c/shadowbroker/ — скачайте это…
    потом найдите это — ETERNALBLUE is a SMBv2 exploit for Windows 7 SP1 (MS17-010),
    потом хрен вы знаете как исспользовать =)

  6. mt32

    15.05.2017 at 19:02

    Здравствуйте, я простой пользователь и тонкостях ПК ничего не понимаю. Мой компьютер также был заражен этим вирусом wana decrypt0r 2.0 и все файлы зашифрованы. Я заплатил 300 долларов мошенникам, но никакой расшифровки не последовало. Обратной связи с ними нет. Своим сообщением хочу предостеречь других пострадавших от подобной ошибки. Оплата не поможет. Зашифрованные файлы, к сожалению, можно считать утраченными.

    • ismayil112

      16.05.2017 at 09:58

      Друг мой, не нкокой файлы не потрочен! ВСЕГО один ключ! Думаю через неделия будут ключи… если они даем вам, и вы дадите другим… это повреждиет биснес =)

Оставить мнение