IC-2017
( )
15/05/2017 23:34:45
Re: про корпоративную безопасность

Цитата:

Цитата:


Это уже известный вирус




Как он распространяется и почему так много пострадавших?



Как и многие вирусы - исключительно потому, что люди не патчатся вовремя:


"Атака стала возможной через известную уязвимость ОС Microsoft Windows, описываемую в Microsoft Security Bulletin MS17-010 (использовался эксплоит EternalBlue[en])[5]. Компания Microsoft, производитель ОС Microsoft Windows, рекомендовала обновить ОС. Ранние версии WannaCrypt были известны ещё в феврале 2017 года. Microsoft 14 марта выпустила обновление, которое нейтрализует уязвимость. Сама уязвимость использовалась Агентством национальной безопасности США. Хакеры опубликовали несколько готовых инструментов АНБ в свободном доступе. Microsoft пошла на нестандартный шаг и решила выпустить патч для Windows XP, Windows 8 и Windows Server 2003, которые уже не поддерживаются компанией и поэтому не получали обновлений безопасности[6][7]. По состоянию на 13 мая 2017 г. патч есть для следующих версий: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10 и Windows Server 2016, также доступны обновления ядер для других версий ОС этой компании[8].

Вирус меняет расширения инфицированного файла на «.WNCRY». А зашифрованные файлы также содержат строку в начале файла с выражением «WANACRY!»[9].

В Великобритании инфицирование компьютеров в больницах стало возможным из-за того, что множество персональных компьютеров до сих пор используют старую версию Windows XP.

Ход событий Править

Страны, подвергшиеся атаке WannaCry
12 мая 2017 года вирус распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — в России, на Украине, в Индии, Тайване[10][11][12].

Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG.

В Великобритании были инфицированы компьютеры в больницах (NHS trusts)[13], а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвертая по размеру количества абонентов). В России пострадали министерства (МВД России[14]), Сбербанк и МегаФон[15]. В Германии были инфицированы компьютеры Deutsche Bahn.

Вечером 13 мая издание Meduza сообщило, что злоумышленники успели заработать около 6 тыс. долларов США[16].

По состоянию на 13:20 13 мая, по данным сайта MalwareTech botnet tracker[17], инфицированы 131 233 компьютеров во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК[18].

МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“»[19]. Количество зараженных ПК составило около 1 тыс., что составляет около 1 % всего компьютерного парка.[19] В некоторых областях РФ сеть МВД временно не работала."