Атака шифровальщика WannaCry: что произошло и как этого избежать?
В середине мая пользователи в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry). Как работает шифровальщик? Он шифрует все данные на вашем компьютере, а за восстановление данных требует выкуп.
Обычно для того, чтобы заразить компьютер, пользователь совершает ошибочное действие: открывает файл или кликает на подозрительную ссылку. Однако в случае с WannaCry все обстоит не так: заражение компьютера происходит с помощью эксплойта (программа, содержащая код, который может воспользоваться уязвимостями в программном обеспечении). После заражения компьютера скачивается шифровальщик.
Попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, которые в ней присутствуют, распространяясь как червь. Именно поэтому при атаке так сильно пострадали именно организации - им досталось больше всего. WannaCry шифровал файлы различных типов, после этого менял обои рабочего стола на обои с сообщением о заражении и требовании выкупа.
Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Еще в марте Microsoft выпустила обновление, которое исправляло данную уязвимость. Однако за 2 месяца не все установили данное обновление, что и привело к массовому характеру атаки.
На данный момент массовое заражение удалось предотвратить - это удалось сделать с помощью регистрации доменного имени. Один из исследователей обнаружил, что WannaCry в процессе «работы» обращался к домену со странным именем и в случае отсутствия положительного ответа, устанавливал шифровальщик на компьютер. Обнаружив отсылку к домену в коде трояна, исследователь зарегистрировал домен, таким образом приостановив атаку. К сожалению, данное решение является временным - достаточно изменить доменное имя, чтобы шифровальщик продолжил свою «миссию».
Как защититься от шифровальщиков?
Откажитесь от использования версий Microsoft Windows, которые не поддерживаются производителем, своевременно устанавливайте обновления ПО и пользуйтесь надежными антивирусами.
Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже версиям шифровальщиков, которые еще не попали в антивирусные базы.
Антивирус Avast успешно обнаруживает и блокирует все известные виды вируса WanaCryptоr. Экран поведения анализирует нетипичное поведение всех программ на предмет скрытого вредоносного кода. А функция CyberCapture способна обнаруживать еще новые неизвестные киберугрозы.
Антивирусные продукты ESET распознают угрозу на нескольких этапах атаки. Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue.
Dr.Web - это решение для обеспечения комплексной и всесторонней защиты от интернет-угроз. В решениях Dr.Web присуствует функционал «Защита от потери данных» в качестве решения проблемы по сохранности данных от повреждений троянцами-шифровальщиками.