Так, давайте по-порядку.
Успешная атака вируса WannaCry поразила множество компьютеров по всему миру. Получилась это благодаря спецслужбам, которые не захотели своевременно закрыть уязвимости, так как сами взламывали через них компьютеры по всему миру.
В августе 2016 года с серверов АНБ было похищено кибероружие, открывающее большие возможности. Многие утверждали, что именно эти программы использовались для взлома ядерной системы Ирана в 2010 году.
В середине апреля они появились в свободном доступе с обучающим видео.
Майкрософт закрыла эти уязвимости обновлением MS 17-010, выпущенным еще 14 марта 2017.
После атаки вируса WannaCry президент Microsoft Брэд Смит заявил, что за его распространение ответственность лежит на ЦРУ и АНБ. Он сравнил кражу кибероружия с кражей нескольких ракет «Томагавк».
По идее, после утечки спецслужбы должны были сообщить разработчикам об угрозе, но они этого не сделали, так как сами бы остались без мощнейшего инструмента для кибершпионажа.
Обратите внимание, что кибероружие было выложено в открытый доступ вместе с обучающим видео. Сделано это для того, чтобы дилетанты тоже могли подключиться к распространению своих вредоносных программ. Сделано это было после того, как Майкрософт закрыла уязвимость.
Другими словами, ущерб от этого слива кибероружия был контролируемым. Тот, кто его затеял, достиг своей цели и вышел сухим из воды. Гениально!
Выходит, что атака нового вируса это не только удар по множеству компьютеров во всем мире, но и серьезный удар по техническим возможностям и репутации спецслужб (в частности АНБ).
Как распространялся вирус?
Если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Как себя обезопасить?
Нет никаких гарантий, что атака не повторится, поэтому необходимо скачать и установить мартовское обновление. Майкрософт выпустила обновление даже для Windows XP, поддержкой которого уже не занимается.
Если компьютер уже заражен, то есть способ попробовать восстановить файлы самостоятельно.
Интерактивная карта заражения вирусом
Актуальную карту посмотреть можно здесь.
The Times пишет, что за выходные хакеры получили 42 000 долларов. Деньги со счетов, пока никуда не переводились.
Оценили 34 человека
41 кармы