Сегодня 20 сентября 2017
18+
Новости Software → Шифрование и защита данных
Главная новость

ExPetr парализовал работу крупной медицинской компании

ExPetr
парализовал
работу крупной медицинской компании

Сеть медицинских клиник «Инвитро» приостановила приём биоматериала для анализов в своих офисах на территории России, Белоруссии и Казахстана, о чём известила клиентов через свой сайт. Как сказано в объявлении, скриншот которого приведён ниже, это связано с процессом восстановления инфраструктуры компании после кибератаки.

Воздействию какого вредоносного ПО подверглась «Инвитро», не уточняется, но двумя днями ранее в официальной группе клиники во «ВКонтакте» появилось сообщение о кибератаке, «которой вчера подверглись крупнейшие компании во всем мире». Иными словами, речь идёт о вирусе-вымогателе, который в обиходе называют Petya, а «Лаборатория Касперского» окрестила его ExPetr, подчеркнув, что с оригинальным Petya, обнаруженном ещё в 2016 году, он имеет мало общего.

Быстрый переход

Компания Maersk потеряла $300 млн из-за ExPetr

В конце июня текущего года датская компания A.P. Moller-Maersk, занимающаяся судоходным и логистическим бизнесом, стала жертвой компьютерного вируса-вымогателя ExPetr. Согласно прогнозу, опубликованному в отчёте за второй квартал, это обойдётся ей в $200–300 млн упущенной выгоды. Уточнённую сумму убытков конгломерат, скорее всего, сообщит уже в итогах третьей четверти, ведь негативные последствия кибератаки он продолжал испытывать на себе на протяжении первых двух недель июля.

Наибольшие масштабы заражения шифровальщиком ExPetr наблюдались в подразделениях Maersk Line (морские грузоперевозки), APM Terminals (контейнерные терминалы) и Damco (логистика). Работа нескольких портов была парализована в течение нескольких дней, что для компании такого уровня не могло не обойтись сотнями миллионов долларов ущерба. Отметим, что представительства Maersk находятся более чем в 135 странах мира, а общее число их сотрудников достигает 90 000 человек. Кроме того, Maersk считается крупнейшим в мире оператором морских контейнерных перевозок.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что ExPetr начал свое распространение 27 июня 2017 года с Украины через скомпрометированное обновление программы документооборота M.E.Doc, а затем проник в Россию и другие страны. Как и его предшественник WannaCry, зловред требовал выкуп в размере $300 в Bitcoin-эквиваленте за якобы расшифровку файлов. Однако, как позже выяснили эксперты «Лаборатории Касперского», на самом деле такая функция в него заложена не была. Кроме того, email-адрес, посредством которого жертвы должны были связываться с хакерами для разблокировки своих компьютеров, был закрыт сервис-провайдером Posteo.

Источник:

Авторы WannaCry вывели награбленные с помощью вируса средства

Прошло двенадцать недель с тех пор, как вирус-вымогатель WannaCry атаковал компьютеры по всему миру, зашифровав на них файлы и потребовав от пользователей выкуп в размере от $300 до $600 в биткоиновом эквиваленте. С его помощью хакерам удалось собрать порядка $140 000, распределённых по трём биткоин-кошелькам, на которые жертвы переводили средства. При этом злоумышленники не спешили обналичивать их, понимая, что счета находятся под наблюдением правоохранительных органов. Однако минувшим вечером на кошельках было зафиксировано движение средств.

12 мая это окно увидели пользователи многих компьютеров по всему миру

12 мая это окно увидели пользователи многих компьютеров по всему миру

Первые транзакции были осуществлены в 11:10 вечера среды по североамериканскому восточному времени (5:10 утра четверга по московскому времени). С первого кошелька было снято 7,34 BTC ($20 055), со второго — 8,73 BTC ($23 856), с третьего — 9,67 BTC ($26 434). То есть в сумме было выведено порядка $70 000. Спустя пять минут были произведены ещё три операции на 7, 10 и 9 биткоинов ($19 318, $27 514 и $24 698 соответственно). По прошествии десяти минут хакеры совершили последнюю транзакцию, выведя со второго кошелька оставшиеся 9,67 биткоина ($26 508).

Скорее всего, переводы осуществлялись через так называемый биткоин-миксер, который не позволяет отследить пути конвертации криптовалюты в валюту реальную. Данный процесс является виртуальным аналогом отмывания денег в реальном финансовом мире.

Источник:

«Лаборатория Касперского»: у жертв ExPetr нет шансов расшифровать файлы

Вирус-шифровальщик, атаковавший 27 июня сначала компьютеры на территории Украины и России, а затем распространившийся в других странах и дошедший даже до не пострадавшей от WannaCry Австралии, изначально причисляли к семейству вымогателей Petya, обнаруженному ещё в 2016 году. Однако позже «Лаборатория Касперского» установила, что вредоносное ПО имеет с уже известными разновидностями лишь несколько общих строк кода, в целом представляя собой новый вирус. Его компания назвала ExPetr, хотя в Интернете он также упоминается как NotPetya.

Фото: Лаборатория Касперского

Фото: Лаборатория Касперского 

Согласно последнему исследованию «Лаборатории Касперского», ExPetr/NotPetya по своей сути не является вымогателем в привычном понимании, так как у пользователей зараженных компьютеров изначально нет шансов вернуть доступ к зашифрованным файлам даже в случае уплаты выкупа в размере $300 в Bitcoin-эквиваленте.

Эксперты обратили внимание на то, что в предыдущих версиях шифровальщиков Petya/Mischa/GoldenEye содержался специальный идентификатор с информацией для дешифрования. Что же касается ExPetr, то показываемый им Installation Key является бессмысленным набором символов, то есть ключ для расшифровки по нему получить нельзя. Напомним также, что email-адрес, на который жертвы должны пересылать сведения о выплате выкупа и другие данные для разблокировки, был закрыт сервис-провайдером Posteo. Таким образом, шансов вернуть свои файлы у пострадавших от активности ExPetr нет, констатировали в «Лаборатории Касперского».

Фото: Group-IB

Фото: Group-IB 

Источники:

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.

Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

thenextweb.com

thenextweb.com 

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30«Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.

Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Обновлено в 14:44.  Корпорация Microsoft заявила информационному агентству RNS, что её антивирус способен защитить пользователей от вредоносного ПО Petya. По данным софтверного гиганта, шифровальщик использует несколько методов распространения, включая тот, который блокируется ранее выпущенным обновлением MS17-010.

Установить данный апдейт, если это ещё не было сделано, рекомендует и «Лаборатория Касперского». Также она советует запретить исполнение файла perfc.dat и запуск утилиты PSExec. В российской антивирусной компании утверждают, что уже работают над дешифратором, который не только сможет вернуть доступ к закодированным файлам, но и будет распознавать будущие модификации вируса.

Тем временем Petya продолжает распространяться по миру и теперь «направляется» в Азию. Как сообщает Bloomberg, из-за атаки уже наблюдались перебои в работе терминала компании A.P. Moller-Maersk в Джавахарлал Неру — крупнейшем контейнерном порту Индии. Из-за вируса управление грузопотоком пришлось перевести в ручной режим, так как автоматизированная система оказалась выведена из строя. Признаки активности вируса замечены и в Китае, но пока крупных сбоев там не обнаружено, сообщили в Qihoo 360 Technology Co.

Обновлено в 16:05.  По высказанному ещё вчера мнению украинской киберполиции, распространение вируса Petya началось именно в этой стране через программу документооборота M.E.Doc после того, как та завершила автоматическое обновление. И хотя разработчики приложения первоначально отрицали такую возможность, Microsoft, проанализировавшая ситуацию, утверждает, что имеет веские доказательства проведения некоторых атак с использованием канала доставки апдейтов M.E.Doc.

Аналогичной точки зрения придерживаются и специалисты из ESET, установившие, что источником эпидемии Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометированное обновление программы M.E.Doc, широко распространённой в украинских компаниях. Последнее обстоятельство послужило ключевой причиной быстрого распространения вируса по организациям страны.

Для защиты от Petya компания ESET рекомендует использовать комплексное антивирусное ПО, обновлённое до последней версии и с актуальными вирусными базами, установить все патчи для Windows и проверить систему на защищённость от эксплойта EternalBlue. Если же заражение уже произошло, то первым делом необходимо отключить инфицированные рабочие станции от корпоративной сети. При этом платить злоумышленникам не следует, тем более, что, как мы писали ранее, адрес электронной почты, с которого хакеры якобы должны прислать ключ для дешифрования файлов, заблокирован.

Обновлено в 20:26.  Пока в России и Украине — странах, первыми принявших на себя удар вируса Petya, — устраняют последствия его активности, эксперты из Check Point говорят о трендах, которые демонстрирует атака данного зловреда. По словам главы представительства компании в России и СНГ Василия Дягилева, появление Petya показало, насколько быстро могут создаваться и распространяться на глобальном уровне новые версии вредоносного ПО. При этом многие организации сейчас не готовы к превентивной защите для предотвращения подобных угроз. Простое их обнаружение, работавшее раньше, теперь не помогает — блокировать подозрительный контент и трафик нужно ещё до его попадания в сеть.

Тем временем, как и после атаки WannaCry, специалисты в области компьютерной безопасности предупреждают, что подобные вирусы будут встречаться всё чаще. «Больше не стоит вопрос, станет ли та или иная организация жертвой вымогательского ПО. Вопрос в том, как скоро это произойдёт», — заявил гендиректор компании Druva Джасприт Сингх (Jaspreet Singh).

К слову, на данный момент ущерб от Petya ещё не подсчитан. Однако, как написала в своём твиттере компания «Роснефть», в числе первых подвергшаяся атаке 27 июня, её производственные процессы нарушены не были. «Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно», — говорится в сообщении, опубликованном днём в среду, 28 июня.

Обновлено в 22:16. Из различных уголков планеты продолжают поступать новости о «достижениях» вируса-вымогателя Petya. На этот раз сообщается о проблемах у TNT Express — одной из крупнейших международных компаний экспресс-доставки, расположенной в Нидерландах. Сервис продолжает функционировать, но в его работе наблюдаются задержки. «В настоящее время мы не можем оценить финансовые последствия данного сбоя, но они могут быть существенными», — прокомментировали ситуацию в корпорации FedEx, владеющей TNT Express.

Источники:

Эксперты оценили ущерб от WannaCry в $1 млрд

Вирус-вымогатель WannaCry, шифрующий файлы на заражённых компьютерах под управлением операционных систем Windows и требующий выкуп от $300 в биткоиновом эквиваленте, атаковал Интернет две недели назад. Уже тогда многие эксперты предрекали серьёзный ущерб, который несёт с собой данная программа. И вот, наконец, появились предварительные оценки убытков от упомянутой атаки, охватившей, по разным данным, от 200 до 300 тысяч компьютеров по всему миру.

В компании KnowBe4, занимающейся вопросами информационной безопасности, полагают, что ущерб, причинённый WannaCry в первые четыре дня его активности, может превысить $1 млрд. Эта сумма складывается из потерь по причине простоев и снижения производительности, трат на восстановление повреждённых данных и обучение персонала для предотвращения подобных инцидентов в будущем, а также других прямых или косвенных расходов. Не секрет, что от WannaCry наиболее серьёзно пострадали не простые пользователи, а организации — как коммерческие, так и государственные.

При этом сами вымогатели «заработали» на выкупах чуть более 50 биткоинов, что по текущему курсу криптовалюты к доллару США (1 BTC = $2735) эквивалентно сумме, немного превышающей $137 000. По мнению экспертов, это достаточно мало для атаки такого масштаба, а значит не исключено, что финансовый вопрос на данном этапе интересовал хакеров не в первую очередь. В таком случае следует опасаться новых, более разрушительных вирусных эпидемий.

KnowBe4 также приводит данные из отчёта Cybersecurity Ventures, согласно которым суммарный ущерб от вирусов-вымогателей за последние два года вырос в 15 раз и продолжает увеличиваться в среднем на 350 % в год.

Источник:

Дешифратор WannaCry создан, но не всё так просто

Чтобы уберечься от вируса-вымогателя WannaCry, нужно не так уж много — установить необходимые обновления для Windows (или специальный патч для систем, которые более не поддерживаются) и соблюдать простые правила безопасности в Сети. Однако что делать, если компьютер уже пострадал от вредоносной программы, и файлы на нём оказались зашифрованы, а их резервных копий нет? Платить киберпреступникам эксперты по безопасности категорически не советуют — во-первых, эти действия будут только поощрять злоумышленников; во-вторых, нет никакой гарантии, что таким способом можно действительно вернуть доступ к информации, и перечисленная сумма (а это не менее $300) не окажется потраченной зря. Впрочем, на сегодняшний день уже существуют программы, которые позволяют дешифровать закодированные вирусом данные без уплаты выкупа. Одна из них называется WannaKey, но работает она только под Windows XP. Французский исследователь Бенджамин Делпи (Benjamin Delpy) создал на её базе собственный инструмент, который называется WannaKiwi и подходит не только для Windows XP, но также и для Windows Server 2003 и Windows 7. Кроме того, теоретически приложение должно работать на Windows Vista, 2008 и 2008 R2.

Принцип, по которому действует WannaKiwi, аналогичен алгоритму WannaKey. Он основан на том, что после активации вредоносной программы простые числа ключа шифрования сохраняются в компьютере, и WannaKiwi может их найти и по ним восстановить сам ключ. Однако, чтобы это сработало, необходимо применить WannaKiwi как можно скорее после заражения, и при этом не перезагружать компьютер. Если данные условия не будут соблюдены, то необходимые для «реконструкции» ключа компоненты, скорее всего, окажутся перезаписаны, и утилита Бенджамина Делпи окажется бессильна.

Впрочем, пока борцы за компьютерную безопасность искали «лекарство» от WannaCry, вирусописатели также не сидели сложа руки. На днях исследователи обнаружили новый «штамм» вредоноса, который использует тот же механизм распространения, что и пресловутый WannaCry, наделавший немало шума больше недели тому назад. Ему дали название EternalRocks, и он также основан на эксплойте EternalBlue, созданным Агентством национальной безопасности США, но попавшим в руки хакеров. При этом EternalRocks использует ещё шесть инструментов, в том числе EternalChampion, EternalRomance и DoublePulsar. Как утверждают источники, все они также были разработаны в АНБ, и благодаря ним новый вирус сможет распространяться быстрее и поражать большее количество компьютеров. Правда, пока найденные образцы не представляют какой-либо угрозы, так как не содержат в своём коде деструктивных элементов, таких как, к примеру, шифровальщик файлов. Однако это не значит, что впоследствии злоумышленники не смогут удалённо запустить данные механизмы на заражённых машинах.

Источники:

Эпидемия WannaCry: как вирус-вымогатель повлиял на мир

В эту пятницу, 12 мая, новостные ленты всего мира захлестнула волна заметок о вирусной атаке на компьютеры программой-вымогателем WannaCry (WanaCrypt0r 2.0), которая стала самой крупной за последнее время. По данным разработчиков антивируса Avast, случаи заражения им были зафиксированы в 99 странах (ранее «Лаборатория Касперского» сообщала о 74 странах), при этом наибольшее число «жертв» оказалось в России, Украине и Тайване.

Twitter

Twitter 

О масштабах «эпидемии» говорит тот факт, что ей оказались подвержены не только отдельные граждане, но также компании, организации и ведомства. В России, к примеру, сообщалось об атаках на «Сбербанк», «МегаФон», РЖД, МВД и МЧС. Однако большая их часть, если верить официальным комментариям, была успешно отражена, в связи с чем экономический ущерб от WannaCry в нашей стране большим не ожидается. Тем не менее, некоторые провайдеры перешли к активным мерам: один из операторов в Санкт-Петербурге запустил предупреждающую страницу-«заглушку», которая отображается каждый раз при открытии в браузере ссылки или нового сайта. Она содержит рекомендации по защите от программы-вымогателя и ссылки на обновления для Windows, препятствующие заражению.

Richie Tongo / EPA

Richie Tongo / EPA

Масштабные инциденты по вине WannaCry зафиксированы и за рубежом. В Великобритании, к примеру, под удар попала система здравоохранения — там была нарушена работа нескольких десятков больниц. Пациенты не могли получить полноценное лечение из-за блокировки их электронных медкарт на компьютерах клиник, также их предупреждали об увеличении времени ожидания приёма. Позже премьер-министр страны Тереза Мэй прокомментировала данную ситуацию, заявив, что сведения о пациентах скомпрометированы не были, так как хакеры не получили доступ к важной медицинской информации. Правда, пока остаётся неясным, все ли зашифрованные вредоносной программой базы данных имели резервные копии. Госпожа Мэй выразила надежду, что бэкапы есть.

Госпиталь в Нортумбрии через соцсети предупредил об увеличении времени ожидания приёма из-за вируса

Госпиталь в Нортумбрии через соцсети предупредил об увеличении времени ожидания приёма из-за вируса

В Германии вирус проник в сеть крупнейшего железнодорожного оператора Deutsche Bahn. Сведений о перебоях в движении поездов не поступало, но на электронных табло ряда станций пассажиры могли видеть характерное окно поверх расписания. Проблемы возникли также у автоконцернов Renault и Nissan, банкоматов в Китае, национальных провайдеров Испании и Португалии и много где ещё в мире, о чём мы писали в нашей подробной хронике.

Twitter / Nick Lange

Twitter / Nick Lange

Перечисленные выше эпизоды — это далеко не полный перечень последствий атаки WannaCry, во многих случаях ущерб ещё не оценён. Что касается самого вируса, то на данный момент он остановлен путём регистрации специального домена, который, как оказалось, служил для него своеобразным «рубильником»: на него постоянно отправлялись запросы, и в случае получения ответа распространение прекращалось. Если верить карте заражений MalwareTech, обновляемой в режиме реального времени, то на момент подготовки этой статьи заражённые хосты отправили около 227 700 обращений, но активны из них чуть более 160.

Однако это не означает, что атаки не возобновятся — хакерам достаточно лишь изменить код, и WannaCry продолжит своё шествие по миру. Но даже пока этого не произошло, полностью прекратить распространение зловреда невозможно: существуют корпоративные прокси-серверы, из-за которых запросы на «выключающий» сайт доходить не будут. Кроме того, как заявил эксперт в области компьютерной безопасности и глава фирмы Trusona Ори Эйсен (Ori Eisen), нынешняя атака — это только начало, и последующие будут только наращивать свою мощь. «Сегодня это случилось с 10 000 компьютеров, но ничто не мешает завтра сделать это со 100 000», — отметил он.

Тем временем, если обратиться к тем трём Bitcoin-кошелькам, которые предлагались жертвам для перевода выкупа, то можно узнать, сколько денег получили преступники. На момент написания данного материала общая сумма составила чуть менее 18 биткоинов, то есть около $32 100. Очевидно, что она продолжит увеличиваться, поскольку в мире остаётся большое число компьютеров, важные данные на которых зашифрованы, а их резервных копий нет. И хотя эксперты в один голос призывают не платить злоумышленникам, в ряде случаев безвозвратная потеря критических файлов грозит большими убытками, чем сумма выкупа. Правда, нет никаких гарантий, что после внесения оплаты данные будут расшифрованы. 

Источники:

WannaCry: как не стать жертвой вируса

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о вирусе WannaCry (WNCRY, Wana Decrypt0r 2.0), относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным Лаборатории Касперского, наибольшее число заражений WannaCry наблюдается в России

По данным «Лаборатории Касперского», наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы.

Окно шифровальщика-вымогателя WannaCry

Окно шифровальщика-вымогателя WannaCry (Wana Decrypt0r 2.0)

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.
Вирус владеет многими языками

Вирус «владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

  • наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
  • некоторые менее популярные типы документов (.sxw, .odt, .hwp).
  • архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
  • базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
  • ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
  • файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

Источники:

Samsung защитит Galaxy S8 и Smart TV антивирусами McAfee

Компании McAfee и Samsung объявили о расширении сотрудничества, что подразумевает предустановку программного обеспечения McAfee VirusScan на все смартфоны Galaxy S8 и S8+. В рамках этой же программы Samsung с начала текущего года продаёт свои компьютеры с пакетом McAfee LiveSafe. При этом пользователям даётся 60-дневный пробный период, по истечении которого они могут оформить платную подписку.

Также антивирусную защиту McAfee получат телевизоры Samsung Smart TV. Они и сейчас поставляются с ней, но пока только на рынки США и Южной Кореи. Однако до конца первого полугодия 2017 года Samsung планирует расширить список регионов, где будет доступна данная опция.

«Защита каждого подключённого к Интернету устройства в доме абсолютно необходима сегодня», — заявил исполнительный вице-президент McAfee Джон Джиаматтео (John Giamatteo). По его словам, это важно потому, что атака даже на один гаджет ставит под угрозу всю домашнюю сеть. Согласно недавнему опросу, проведённому компанией McAfee, порядка 44 % респондентов опасаются за свою конфиденциальную финансовую информацию, а 38 % боятся незаконного использования их персональных данных.

Источник: