74 страны захлестнула волна атак с использованием вымогателя WannaCry

В пятницу, 12 мая, экспертами «Лаборатории Касперского» была зафиксирована волна кибератак с использованием вымогательского ПО. Вредонос шифрует файлы на системах жертв, добавляя к ним расширение .WCRY, из-за чего получил название WannaCry.

Атака осуществляется путем эксплуатации уязвимости в SMBv2 с помощью инструмента EternalBlue. Данный эксплоит из арсенала Equation Group (хакерской группировки, связываемой с Агентством национальной безопасности США) в прошлом месяце был опубликован в интернете киберпреступниками из The Shadow Brokers. Сама уязвимость была исправлена компанией Microsoft 14 марта текущего года. К сожалению, многие организации до сих пор не установили обновление и по-прежнему остаются уязвимыми.

В общей сложности 12 мая эксперты ЛК зафиксировали порядка 45 тыс. атак с применением WannaCry в 74 странах мира. Наибольшее число атак пришлось на Россию, затем с большим отрывом следуют Украина, Индия и Тайвань. Как отмечают эксперты, реальное количество атак может превышать указанные цифры.

Инфицировав систему, WannaCry шифрует файлы и отображает уведомление с требованием уплатить $600 в биткойнах за их восстановление. Примечательно, первые платежи на указанный биткойн-кошелек составляли $300, а значит, злоумышленники увеличили размер выкупа.

Аналитики Group-IB отмечают у вымогательской программы WannaCry четыре основные особенности:

1) Она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers, а ранее использовался Агентством национальной безопасности США (АНБ). Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет - они выведены из-под поддержки;
2) помимо шифрования файлов, она осуществляет сканирование сети на предмет уязвимых хостов и распространяется на все непатченные машины. Вирус работает не по конкретным целям, а ищет незащищенные устройства – отсюда и лавинообразный характер заражений;
3) файлы шифруются не все, а избирательно – вирус выбирает наиболее "чувствительные", т.е. документы, базы данных, почту;
4) для подключения к командным серверам она устанавливает браузер TOR, через который и осуществляется соединение.