WannaCry он же WannaCrypt - специальная программа, которая блокирует все данные в системе и оставляет пользователю только два файла: инструкцию о том, что делать дальше, и саму программу Wanna Decryptor — инструмент для разблокировки данных. Вирус-вымогатель, который попадает на устройство через съемные носители или через открытие вредных аттачментов (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
Напомним, что компьютеры под управлением операционных систем Windows по всему миру 12 мая 2017 года подверглись самой масштабной атаке за последнее время.
КАК ДЕЙСТВУЕТ ВИРУС?Кибератака преследует цель вымогать у жертв деньги - 300 долларов США, но в цифровой валюте, биткоинах. Для этого вирус-вымогатель шифрует данные компьютера пользователя, требуя выкуп за расшифровку.
Требования WannaCry чрезмерно опасны: если в течение трех дней пользователь не заплатит выкуп, требуемая сумма увеличивается до 600 долларов. После семи дней восстановить данные будет невозможно, угрожают нападающие. Атака считается опасной, потому что вирус копирует сам себя до бесконечности, если находит другие компьютеры, в которых есть аналогичная дыра в системе безопасности.
КТО МОЖЕТ ЗАРАЗИТЬСЯ?Вирус распространяется только на компьютеры, как передает DW, на которых установлена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003.
КТО СТАЛ ЖЕРТВОЙ WannaCry В МАЕ?По информации главы Европола Роба Уэйнрайта, жертвами WannaCry стали более 200 тысяч компьютеров в 150 странах, причем многие пострадавшие – это представители бизнеса, включая огромные корпорации. В частности, вирус поразил ряд компьютерных систем немецкого железнодорожного концерна Deutsche Bahn. В Великобритании были заражены компьютерные системы многих больниц, а в Российской Федерации жертвами стали компьютеры Следственного комитета, МВД и "Мегафон". также и Украина была в эмицентре хакерсой атаки.
Так, антивирус Avast зафиксировал в пятницу 57 тысяч хакерских атак вирусом WanaCrypt0r 2. 0, сообщается в блоге компании. В первую очередь вирус распространяется в России, Украине и на Тайване.
КАК ЗАЩИТИТЬСЯ?Уже известно, хакеры успели обновить свою программу-вымогателя. У антивирусников "лекарства" от WannaCry пока нет. Поэтому глава европейского правоохранительного ведомства настоятельно рекомендует всем компаниям загрузить необходимые патчи от Windows. Пока только так можно обезопасить компьютер от заражения. Подробнее об этом здесь.
НОВАЯ ХАКЕРСКАЯ АТАКА в УКРАИНЕ ОТ WannaCry: Petya. AВ Украине ряд стратегических компаний подверглись хакерской атаке 27 июня. До сих пор не работают некоторые официальные ресурсы. От кибератак пострадали "Новая почта", чей сайт недоступен, "Укрпочта", клиника "Борис". В сети "Ашан" не функционируют терминалы. Есть проблемы у "Ощабданка", как сообщает корреспондент "Вестей", зафиксированно несколько случаев невозврата кредитной карты банкоматом "Привата". Также на момент написания новости был зафиксирован отказ биллинговых систем оплаты коммуникатора Life.
Эксперты по кибербезопасности заявили "Вестям" - атакует системы новая модификация вируса-шифровальщика WannaCry, первая вспышка которого была месяц назад. Модифицированный вирус называется Petya. A.
Так, специалист по кибербезопасности Владимир Стыран рассказал в социальной сети о вирусе Petya, атаковавшем Украину.
"Начальная инфекция происходит через фишинговое сообщение (файл Петя. apx) или обновления программы M. E. doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry" — написал Стыран.
Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики, передает Xakep. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что вирус использует "военный алгоритм шифрования" и шифрует весь жесткий диск сразу.
КОГО БОЛЬШЕ ВСЕГО АТАКУЕТ Petya. A?Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность.
К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed. exe (в переводе с немецкого).
ЧТО ПРОИСХОДИТ С ЖЕРТВАМИ ПОСЛЕ ЗАРАЖЕНИЯ?Запуск . exe файла приводит к падению системы в синий экран и последующей перезагрузке. После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya.
Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи "военного алгоритма шифрования", и восстановить их невозможно.
Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне . onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. "Купить" у атакующего предлагается специальный "код расшифровки", вводить который нужно прямо на экране локера.
Позже рганизаторы кибератаки Petya. A сообщили и другие свои требования, выводя их на экраны пользователей после заражения.
Как видно на снимке, хакеры требуют от владельца заражённого компьютера переслать $300 в биткоинах, и предоставить информацию о своих электронных кошельках. Инструкции написаны на английском языке. Объявление напоминает то, которое распространяли хакеры WannaCry.
КАК УДАЛИТЬ ПЕТЮ?Инфорезист, со ссылкой на экспертов также отмечает, что вирус Petya очень похож на Wncry. Раньше боролись с Wncry так (возможно это поможет):
1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
КАК РАСШИФРОВАТЬ ФАЙЛЫ ПОСЛЕ ПЕТИ?После удаления данного вируса вам нужно будет восстановить зашифрованные файлы. В противном случае можно нанести ущерб системным файлам и реестрам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R. saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.
АНТИВИРУСЫ МОГУТ ВЫЛЕЧИТЬСпециалист по кибербезопасности Владимир Стыран рассказал, что некоторые антивирусы могут вылечить компьютер.
"Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya. A. Symantec будто поймал (прим. — только последняя версия АВ) McAfee во всех известных случаях облажался. Eset не реагирует", -написал Стыран.Читайте также
Вирус Petya. A атаковал Укрпочту
Вирус "Петя" победил сайт киберполиции Украины
Хакеры атаковали несколько облэнерго, под угрозой передачи электроэнергии