Шифровальщик WannaCry, который за последнюю неделю атаковал сотни тысяч компьютеров по всему миру, принес своим создателям на удивление не большую финансовую выгоду, но другая более обширная атака, которая использует те же эксплойты, но ни коим образом себя не проявляет, по-видимому справляется с этой задачей лучше.
Во всяком случае об этом заявляет компания Proofpoint, специализирующаяся на Интернет-безопасности. Вирус, вместо шифрования данных и требования платы, никак себя не проявляя использует вычислительную мощность компьютера, чтобы добывать криптовалюту Monero.
Согласно сведениям Proofpoint вирус использует эксплойты EternalBlue и DoublePulsar, оба из которых недавно были разглашены АНБ, устанавливает на компьютер жертвы программу Adylkuzz, которая добывает Monero и передает криптовалюту хакерам. На момент написания статьи 1 Monero стоит $28,44.
При добыче Monero используются мощности компьютера: его процессор или графическая карта, которые выполняют сложные вычисления и таким образом создают еще больше криптовалюты. Конечно, выполнение этих операций на одном компьютере значительной финансовой выгоды не принесет, но при задействовании тысяч машин прибыль может быть колоссальной.
Proofpoint утверждает, что атака Adylkuzz началась на несколько недель раньше WannaCry и предположительно уже затронула «сотни тысяч компьютеров и серверов по всему миру.»
Adylkuzz не менее вредна, чем нашумевшая WannaCry, ведь в отличие от последней пользователи вообще не знают, что их компьютеры кого-то обогащают. Тем не менее это приводит к замедлению работы множества машин и в перспективе негативно может влиять на некоторые виды бизнеса.
Поскольку Adylkuzz использует те же эксплойты, что и WannaCry, методы борьбы в этом случае идентичны. Необходимо обновить устаревшие версии Windows, патчи для которых экстренно выпустила компания Microsoft.
Если ваш компьютер также оснащен старой версией Windows и вы еще не установили обновление, то рекомендуем вам немедленно перейти по ссылке, загрузить и установить патчи для своей системы или же отключить входящий SMB-трафик, следуя инструкциям, размещенным здесь.
Проблема только в том, что нелицензионные версии обновить не получится, а, следовательно, они останутся уязвимыми. В то же время в таких странах, как Россия, Китай, Индия и Украина процент машин с нелицензионной ОС Windows очень большой.
Proofpoint утверждает, что вирус запрограммирован таким образом, чтобы не переводить большое количество криптовалюты на один адрес, ведь так можно будет вычислить хакеров, но уже известны адреса на которые переводится по $7000, $ 14000 и $22 000. Хотя, вероятно, таких неизвестных адресов гораздо больше.