14.05.2019 08:23
pomd 5 3000 Источник

Минувшее воскресенье отметилось второй годовщиной эпидемии шифровальщика WannaCry, охватившей 150 стран по всему миру. Эксперты по информационной безопасности, которые продолжают следить за активностью зловреда, предупреждают — угроза остаётся актуальной, а счёт жертвам растёт по сей день.

12 мая 2017 года мир узнал, почему нельзя откладывать обновления Windows — всего за несколько часов вымогатели заблокировали сотни тысяч компьютеров по всему миру, используя уязвимость Windows, патч к которой вышел двумя месяцами ранее. От злоумышленников пострадали частные пользователи и крупные предприятия, государственные организации и телекоммуникационные компании. Даже Министерство внутренних дел РФ сообщило о поражении 1000 компьютеров в своём парке.

Произошедшее стало испытанием для ИТ-служб, которым пришлось отвечать на множество неприятных вопросов. Почему не поставили патч? Когда в последний раз делали резервную копию данных? Есть ли способ не платить выкуп? Ещё раз, почему не поставили патч?

Казалось бы, атака WannaCry должна была разделить историю на «до» и «после», стать назиданием для всех пользователей, которые раз за разом закрывают уведомление об очередном апдейте. Тем не менее, по оценкам Malwarebytes, только в 2019 году WannaCry поразил по 90 тыс. компьютеров в Индии и Малайзии, ещё 95 тыс. жертв — в Индонезии. Развитые страны также не до конца устранили угрозу, например, в США с начала года шифровальщик атаковал 3,3 тыс. пользователей.

На сотнях тысяч машин WannaCry остаётся в дремлющем виде — об этом говорит анализ обращений к домену-блокировщику, который был зарегистрирован вскоре после первых атак. В конце 2018 года эксперты сообщали, что за неделю этот сайт получает по 17 млн запросов с более чем 630 тыс. IP-адресов, распределённых почти по 200 странам. Количество обращений увеличивается в рабочие часы, когда пользователи включают заражённые компьютеры.

Это не единственное наследие 2017 года, с которым приходится бороться ИБ-специалистам. Бреши EternalBlue и EternalRomance используют в своих атаках банковские трояны Emotet и TrickBot, криптомайнеры Adylkuzz, WannaMine и Smominru, DDoS-ботнеты и прочие опасные зловреды. В Интернете можно найти 1,7 млн хостов с уязвимым SMB-подключением, а реальное количество непропатченных машин ещё больше, поскольку далеко не все из них доступны для онлайн-сканирования.

Комментарии (5)


  1. Suveren
    14.05.2019 12:09
    #20150464

    Хм… Только вчера тестировал данный вирус в Virtualbox. Может быть, немалая часть заражений производится в виртуальной среде ради удовлетворения интереса или изучения?


    1. ksbes
      14.05.2019 12:25
      #20150636

      Лично знаю одно предприятие, где спокойно живёт в локалке где-то три-четыре вируса массово гуляют, о которых всем известно, но удалить нельзя: поражены ключевые исполняемые файлы, для которых нет бэкапов и исходников (производителя нет уже лет 15). Идёт, конечно защита на уровне сети/пакетов/портов/помеченных флешек, но кто-то время от времени всё равно проносит за контур.


  1. teecat
    14.05.2019 12:33
    #20150704

    вчера прислали ссылку на вирусный конструктор на основе Wanna Cry на всем известном хранилище. И никакого даркнета, создавай троян кто хочешь


    1. Anton23
      14.05.2019 14:21
      #20151444

      Что? Это как конструктор винлокеров лет 10 назад? Можно мне тоже ссылку? Кстати, нужно еще доказать, что сам конструктор не заражает компьютер.


      1. teecat
        14.05.2019 14:31
        #20151516

        Не тот конечно. На основе.
        А что такого? Берем старый код, делаем сервис перешифрования и впариваем желающим заработать. Не распознается же в зашифрованном виде