Мы уже сообщали, что с 12 мая 2017 года сотни компаний и тысячи простых пользователей по всему миру пострадали от атаки шифровальщика Wana Decrypt0r известного так же, как WCry, WannaCry, WannaCrypt0r и WannaCrypt.
Проникнув в систему малварь заменяет разрешение файлов на .WNCRY и за разблокировку требует заплатить вымогателям 300$ в Bitcoin.
Шифровальщик использует уязвимость в SMBv1 и еще несколько эксплойтов, информацию о которых ранее опубликовала хакерская группа под названием The Shadow Brokers.
Первыми от атак вымогателей пострадали 16 больниц в Великобритании, но далее малварь со скоростью лесного пожара распространилась по всему миру! На сегодняшний день известно о 150 странах, где она была замечена и сотнях тысяч пострадавших, в число которых вошли даже телекоммуникационные гиганты и крупные банки.
Эксперты считают, что целью вымогателей были Россия, Украина и Тайвань. Последние данные подтверждают эту информацию: в России об атаке шифровальщика сообщили «Мегафон», РЖД, Минздрав России, МВД, Сбербанк, МЧС и другие.
На диаграмме ниже, видна двадцатка наиболее пострадавших от малвари стран.
Компания Microsoft даже экстренно выпустила патчи для старых версий ОС, которые уже давно не поддерживаются: Windows XP, Windows 8, и Windows Server 2003, ведь больницы Великобритании пострадали именно из-за того, что большинство их компьютеров оснащены именно ОС Windows XP.
Если ваш компьютер также оснащен старой версией Windows и вы еще не установили обновление, то рекомендуем вам немедленно перейти по ссылке, загрузить и установить патчи для своей системы или же отключить входящий SMB-трафик, следуя инструкциям, размещенным здесь.
На сегодня распространение Wana Decrypt0r удалось остановить, однако эксперты прогнозируют вторую волну малвари.
Независимый эксперт в сфере Интернет-безопасности известный, как MalwareTech случайно, по его словам, обнаружил, что перед началом шифрования малварь обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя существует ли он, и если нет, то начинает шифровать файлы. Адрес домена использовался всегда один, поэтому, потратив всего $10,69 MalwareTech зарегистрировал домен и таким образом остановил распространение малвари.
Сам эксперт считает, что такая привязка к одному домену, использовалась вымогателями, как запасной план, если они сами захотят остановить распространение WannaCrypt.
Конечно, хакеры, начавшие распространять малварь, могут изменить домен или вообще убрать любую привязку к какому-либо домену, что как полагают эксперты, вскоре и произойдет. Но в любом случае, время, пока это будет выполнено, даст возможность пользователям установить необходимые патчи.
Как ни странно, но в результате самой массивной из зарегистрированных в последнее время хакерских атак вымогатели получили всего чуть более $26000, хотя опять же в результате следующей волны Wana Decrypt0r, которая возможно начнется уже сегодня, эта сумма может значительно вырасти.
Правительства многих стран мира предупреждают об опасности повторения пятничной ситуации и призывают компании и отдельных пользователей срочно обновить свои операционные системы от Microsoft, чтобы не стать жертвами новой усовершенствованной версии WannaCry.