«Лаборатория Касперского» о шифровальщике “WannaCry”

14.05.2017



Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17–010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик.


Все решения «Лаборатории Касперского» детектируют данный вредоносное ПО, которые использовались в этой атаке, следующими вердиктами:


  • Trojan-Ransom.Win32.Scatter.uf

  • Trojan-Ransom.Win32.Scatter.tr

  • Trojan-Ransom.Win32.Fury.fr

  • Trojan-Ransom.Win32.Gen.djd

  • Trojan-Ransom.Win32.Wanna.b

  • Trojan-Ransom.Win32.Wanna.c

  • Trojan-Ransom.Win32.Wanna.d

  • Trojan-Ransom.Win32.Wanna.f

  • Trojan-Ransom.Win32.Zapchast.i

  • Trojan.Win64.EquationDrug.gen

  • Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)

За расшифровку данных злоумышленники требуют заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin. На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России.


В случае если Ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети Интернет или полученные в электронных письмах средства расшифровки. Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а утилиты, загруженные вами, могут нанести еще больший вред как вашему компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.


Если вы обнаружили, что ваш компьютер подвергся заражению, следует выключить его и обратиться в отдел информационной безопасности для получения последующих инструкций.


Мы рекомендуем компаниям предпринять ряд мер для снижения рисков заражения:


  • Установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость (в частности уже доступны обновления для версий Windows XP b Windows 2003);

  • Убедиться, что включены защитные решения на всех узлах сети;

  • Если используется защитное решение «Лаборатории Касперского», убедиться, что его версия включает в себя компонент «Мониторинг Системы» и он включен;

  • Запустить задачу сканирования критических областей в защитном решении «Лаборатории Касперского», чтобы обнаружить возможное заражение как можно раньше (в противном случае детектирование произойдет автоматически в течение 24 часов);

  • После детектирования Trojan.Win64.EquationDrug.gen, произвести перезагрузку системы;

  • В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

Более подробную информацию об атаках «WannaCry» можно найти в отчете «Лаборатории Касперского» https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/



Источник: Лаборатория Касперского