Ден на рансъмуер масова инфекция Wana Decrypt0r

wana

Повече от 60 000 компютъра са били атакувани и заразени с рансъмуер Wana Decrypt0r. Авторите на Wana Decrypt0r използват експлойта ETERNALBLUE, създаден от NSA за уязвимостта SMBv1 (MS17-010), за да доставят злонамерен код на Windows системи. Вирусът криптира всички файлове на компютъра и изисква откуп от 300 долара в биткойни. Дават се три дни за плащане, след което сумата се удвоява.

MalwareHunterTeam, група от експерти по киберсигурност, казва, че сървърите в България и Тайван са пострадали най-много в резултат на атаката. Други държави също бяха атакувани: Великобритания, Испания, Италия, Германия, Португалия, Турция, Украйна, Казахстан, Индонезия, Виетнам, Япония и Филипините.

decrypt0r

Защитни мерки

Като средство за защита се препоръчва спешно да актуализирате Windows на системата (ако не сте го направили по някаква причина), да използвате инструментите за откриване и блокиране на атаки - защитна стена и др.

Например, това може да стане със следните команди:

В ядрото на Linux е открита опасна 0-дневна уязвимост Dirty COW (CVE-2016-5195)

Защита на сайта от хакерски атаки - Nemes > +17 28.3k 144 19

Windows Local Elevation Exploit Намерен CVE-2013-3660

Коментари 48

Компютрите на МВР са били атакувани от вирус ransomware, съобщи за RNS основателят и ръководител на Group-IB Иля Сачков. По същото време вирусът удари и офис компютрите на българския телеком оператор Мегафон.

Моля, преформатирайте командите в края на статията като код:

И сега там например се появява автоматична замяна на кавички с "", малко вероятно е да сте имали предвид това.

И защо трябва да определят кой е платилкой не е? Само не казвайте, че дешифрират нещо на тези, които са платили.

Разпространението на вируса рансъмуер WannaCrypt беше спряно чрез регистриране на домейна iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалистът по сигурността, който туитва @MalwareTechBlog, откри, че вирусът има достъп до този домейн по някаква причина и реши да го регистрира, за да наблюдава активността на програмата.

Както се оказа по-късно, кодът на вируса каза, че ако достъпът до този домейн е успешен, тогава инфекцията трябва да бъде спряна; ако не, продължете. Веднага след регистрацията на домейна към него дойдоха десетки хиляди заявки.

Полезният товар за разпространение на #WannaCry съдържа нерегистриран преди това домейн, изпълнението е неуспешно сега, когато домейнът е потопен pic.twitter.com/z2ClEnZAD2 — Дариен Хъс (@darienhuss) 12 май 2017 г.

Както @MalwareTechBlog написа, когато регистрира домейна, той не знаеше, че това ще забави разпространението на вируса.

Ще си призная, че не знаех, че регистрирането на домейна ще спре злонамерения софтуер, докато не го регистрирам, така че първоначално беше случайно. — MalwareTech (@MalwareTechBlog) 13 май 2017 г