Глобальная хакерская атака: вирус парализовал компьютеры по всему миру. Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют. Время перебора паролей или почему это бесполезно

В более, чем 8000 страниц доклада Vault 7 упоминается более 20 антивирусов от известных во всем мире компаний, среди которых Avast, Kaspersky, McAfee, Norton, Microsoft Security Essentials. Кроме того, в отчете содержатся комментарии хакеров ЦРУ об эффективности продуктов от пяти вендоров, которые предназначены для защиты в том числе от шпионажа.

Многие компании моментально отреагировали на публикацию и в подробностях сообщили механизмы взлома смартфонов, компьютеров и смарт-телевизоров средствами ЦРУ, а также выпустили рекомендации по защите от шпионажа. Некоторые вендоры заявили, что для надежной защиты пользователей от попыток эксплуатации уязвимостей требуется тесное сотрудничество компаний.

Руководитель компании Avast Software Винс Стеклер так прокомментировал ситуацию: “Хакеры всегда ищут способ для эксплуатации программных уязвимостей. Последние утечки как никогда привлекают наше внимание к проблемам безопасности целевых платформ”.

“Существует острая необходимость в сотрудничестве с другими представителями антивирусной индустрии и в открытых платформах между поставщиками безопасности и мобильными операционными системами, чтобы всегда оставаться на шаг впереди в этой игре в кошки-мышки”.

Портал Newsweek показал, как ЦРУ поступает с антивирусами, которые мы повседневно используем для защиты компьютеров и устройств. Ниже представлено мнение агентства о пяти антивирусных вендорах.

F-Secure

Финская компания F-Secure предоставляет свои услуги миллионам домашних пользователей и более 100000 корпоративных пользователей. В классификации ЦРУ финский антивирус получил описание как “продукт низкого уровня, которые вызывает минимальные трудности”.

Руководитель исследовательского подразделения F-Secure Микко Хиппонен (Mikko Hypponen) сказал, что нет ничего удивительного, в том, что специализированные техники взлома ЦРУ позволили обойти защитные меры, используемые в F-Secure.

Хиппонен заявил: “F-Secure упоминается в утечке в том контексте, что ЦРУ может беспрепятственно обходить защиту некоторых наших продуктов. Однако, агентство всегда сможет найти способ для обхода наших продуктов. Даже если они могут сделать это прямо сейчас, то многомиллионные инвестиции позволят обнаружить брешь в безопасности”.

Avira

Немецкая компания Avira описывается ЦРУ как “схожая с F-Secure”. Одни и та же уязвимость в обоих продуктах может эксплуатироваться с помощью идентичного хакерского инструмента.

Avira предоставляет услуги защиты для более 100 миллионов пользователей через партнерские отношения с другими компаниями.

По данным ЦРУ, Avira исторически была популярным продуктом среди контртеррористических целей, но “как правило, от ее защиты можно легко уклониться”.

Kaspersky

Российская антивирусная компания “Лаборатория Касперского” также упоминается в докладе Vault 7. Судя по рассекреченным документам, ЦРУ удавалось обходить защитные механизмы продуктов компании.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.

Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.

AVG

AVG стал более серьезным испытанием для ЦРУ. Простые техники взлома были успешно отражены продуктом, но в конечном итоге хакерам удалось обойти защитные механизмы решения.

Обнаруженная уязвимость эксплуатировалась с помощью сложной техники Process Hollowing. В документах ЦРУ используется следующее описание: “Недурно, и под недурно имеется в виду очень мило”.

Comodo

Компания Comodo, которая разрабатывает в том числе корпоративные решения безопасности, получила почетный знак от ЦРУ, который описывается в документах как “невыносимая боль в заднице”.

В документе упоминается, что “Comodo ловит абсолютно все, включая стандартные сервисы Windows, пока вы сами это не остановите”.

Самопровозглашенный “Глобальный лидер в решениях кибербезопасности” оступился в одной из версий антивирусной защиты, которая содержит очень легкие в эксплуатации уязвимости. Хакер ЦРУ описывает атаку на версию Comodo 4-х летней давности.

В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.

Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ. Получить звание “невыносимая боль в заднице” от такой экспертной хакерской организацией с гигантским финансированием, как ЦРУ, является для нас поводом для гордости. Версия Comodo Internet Security 6.x уже давно устарела, а значит устарели и упоминаемые уловки агентства”.

Нашли опечатку? Нажмите Ctrl + Enter

«Лаборатория Касперского» обнаружила новую возможность для кибератак на Telegram для Windows. Уязвимость позволяет хакерам получить доступ к файлам пользователя и майнить криптовалюту, с помощью вычислительных мощностей компьютера. Жертвами мошенников могли стать около тысячи россиян. «360» разбирался, как вирус‐майнер проникал в ноутбуки, планшеты и персональные компьютеры граждан.

Следующая новость

Специалисты лаборатории нашли уязвимость в мессенджере Telegram. Брешь в защите использовалась хакерами для заражения пользователей версии приложения для Windows и распространения ПО для майнинга. Об этом говорится на страницах официального блога «Лаборатории Касперского». По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносные программы. В данный момент уязвимость уже закрыта, утверждают создатели мессенджера.

«Популярность мессенджеров сегодня невероятно высока. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода „криптовалютного бума“. Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — приводит РИА «Новости» комментарий антивирусного эксперта компании Алексея Фирша.

Запуская вирус, хакеры преследовали несколько целей. Во-первых, используя уязвимость, преступники устанавливали бэкдор, который позволяет получить удаленный доступ к зараженному ноутбуку или планшету. После установки бэкдор работал в скрытом режиме, а пользователь не мог его засечь. При этом он выполнял различные команды хакеров, такие как установка шпионского оборудования и сбор персональных данных владельца компьютера.

Помимо копирования файлов вирус занимался и майнингом криптовалют, используя вычислительные мощности компьютера. С помощью скрытого вируса-майнера злоумышленники добывали такие популярные монеты, как Monero, Zcash и Fantomcoin. Жертвами кибератаки могли стать около тысячи россиян, подсчитали специалисты «Лаборатории Касперского».

Примечательно, что случай с Telegram не первый в истории майнинговых кибератак. Накануне основатель сайта securityheaders.io и исследователь в области кибербезопасности Скотт Хельм опубликовал расследование на тему того, как хакеры майнят, используя мощности правительств различных стран. Согласно этому отчету, в течение всего 2017 года более четырех тысяч правительственных сайтов США, Австралии и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.

Вирус вместо картинки

Для отправки вируса через Telegram киберпреступники использовали так называемую атаку right-to-left override (RLO). RLO представляет собой особый печатный символ кодировки Unicode. Этот механизм кодировки зеркально отражает направление знаков. Он используется программистами в текстах, воспроизводимых справа налево, например, на арабском или иврите.

Хакеры использовали RLO, чтобы поменять порядок символов в названии файла и его расширение, объясняет в разговоре с «360» заместитель руководителя лаборатории по компьютерной криминалистике Group IB Сергей Никитин. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения или картинки. Затем пользователи сами запускали его, не подозревая, что впустили в компьютер шпионский вирус. «Атака подобного типа не нова — она используется хакерами уже на протяжении десяти лет. Она заключается в том, что мошенники переименовывают файл, зеркально меняя название для того, чтобы Telegram принял вирус за картинку. При этом пользователь сам может понять, что скачал вирус, так как вместо картинки там появится диалоговое окно, которое попросит запустить дополнительные файлы», — рассказывает собеседник «360».

Для приложения, которое позиционирует себя в качестве самого безопасного в мире мессенждера, такие ошибки непростительны, считает основатель компании DriverPack Solution Артур Кузяков. «Сегодня не существует на 100% защищенных от вирусов приложений, но в случае с Telegram пользователи были уверены, что все их данные зашифрованы и конфиденциальны. Из-за ошибок разработчиков приложения вся персональная информация и личная переписка россиян, чьи компьютеры были взломаны, оказалась в руках хакеров, что для мессенджера такого уровня неприемлемо», — заявил Кузяков «360».

Внимательность и обновление антивируса

Для того чтобы обезопасить себя от кибератак пользователь должен внимательно ко всем сообщениям не только в мессенджерах, но и в электронной почте и SMS-оповещениях, отметил в беседе с редакцией «360» руководитель аналитического центра компании Zecurion Владимир Ульянов.

Если вам приходит сообщение от неизвестного пользователя, то не стоит его читать. Также категорически запрещено переходить по ссылкам от незнакомого отправителя, запускать исполняемые файлы и мультимедийные приложения. Нужно помнить, что антивирус не защищает на 100% от всех опасностей

— Владимир Ульянов.

Эксперт подчеркнул, что скачивать обновление антивируса и другие приложения на компьютер и другие устройства нужно только с официальных сайтов-разработчиков программ. «Массовые прошлогодние атаки вирусов-вымогателей Wanna Cry и Petya показали, что вирус попадал только в те компьютеры, в которых стояли старые антивирусы, а система давно не обновлялась», — замечает Ульянов.

С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).

человек поделились статьей

Следующая новость

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).

Что делать в случае заражения?

Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:

• отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
• вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).

Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент. К тому же если зловред является частью ботнет-сети или содержит компоненты RAT , то он может бездействовать до того момента, как поступит управляющая команда с из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.

INFO

Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.

Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему. 🙂

WARNING

Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.

Поиск процессов и обезвреживание малвари в памяти

Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM - из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь Slammer , поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие скрывать из области видимости штатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать руткит , который будет скрывать его действия в системе.

Итак, к нам на помощь придут утилиты - самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, - это Process Monitor , бесплатная утилитка из набора SysInternals Suite . По сути, она объединяет в себе сразу две другие утилиты - FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:

• show registry activity - просмотр активности реестра (чтение, запись ключей);
• show file system activity - просмотр действия с файлами (чтение, запись);
• show network process activity - аналогично по процессам, использующим сеть;
• show process and thread - просмотр процессов и нитей.

Вторая, более навороченная тулза - это Process Explorer . Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.

• - программы, которые запускаются только один раз, когда пользователь входит в систему;
• - программы, которые запускаются при входе текущего пользователя в систему;
• - программы, которые запускаются только единожды при входе текущего пользователя в систему.

Что у нас есть из тулз для этого случая? Первое - это программа Autoruns , которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости - отключить их.

Скажем пару слов об интерфейсе и вкладках:

• Everything - отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
• Logon - содержит все программы, которые будут запускаться автоматически;
• Explorer - автозапуск всех элементов проводника Windows;
• Internet Explorer - все надстройки и дополнения, которые установлены в Internet Explorer;
• Scheduled Tasks - процессы, которые запускаются автоматически из диспетчера задач;
• Services - файлы служб, автоматически запускаемые при загрузке машины;
• Drivers - все файлы, относящиеся к драйверам.

Восстанавливаем реестр

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой regedit , физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\ . Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

// Создаем резервные копии реестра системы md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak // Удаляем битые файлы из системной директории ОС delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default // Копируем работоспособные файлы реестра из теневой копии copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезагружаем машину и смотрим на результат!

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.

Вирус поразил внутреннюю компьютерную систему МВД России, поражены оказались компьютеры сразу в нескольких регионах страны, сообщили «Варламов.ру» несколько источников, знакомых с ситуацией.

Чуть ранее информация о возможном заражении появилась, в частности, на «Пикабу» и форуме «Касперского . Некоторые пользователи пишут, что, возможно, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor) – он шифрует файлы пользователя, изменяет их расширение (предположительно на.WNCRY) и просит купить специальный расшифровщик за биткоины, иначе файлы будут удалены.

«Впервые появился в феврале 2017 года, но был обновлен и теперь выглядит иначе, чем предыдущие версии», – пишет один из пользователей на форуме «Касперского».

Началось массовое заражение криптовирусом сети МВД по стране. Точно уже есть в Липецкой, Пензенской, Калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая. Кто что еще слышал – делимся.

Сегодня в 22:04

Скорее всего, о целенаправленной атаке речи не идет. Вирус работает только на Windows - он использует уязвимость в операционной системе и распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен. Microsoft закрыл эту уязвимость еще в марте: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. В некоторых организациях обновления устанавливаются не автоматически, а с одобрения людей, отвечающих за безопасность. Видимо, с проблемами столкнулись те ведомства и компании, в которых обновление не установили.

Сегодня в 22:04

Час назад, если верить экспертам, атака выглядела так.

Сегодня в 22:02

Организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло Агентство национальной безопасности США (АНБ). Об этом сообщила американская газета Politico.

По ее данным, злоумышленники, требующие выкуп за восстановление работы компьютерных сетей, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к якобы разработанным АНБ программам. ПО, согласно заверениям Shadow Brokers, нацелено на взлом компьютеров, работающих под управлением операционной системы (ОС) Windows производства Microsoft. С помощью них любой пользователь, обладающий достаточными техническими знаниями, может нанести ущерб миллионам пользователей этой ОС, утверждают хакеры. Программы также позволяют взламывать межсетевые экраны и похищать электронные данные.

Сегодня в 22:01

Электронная система Регионального суда бразильского штата Сан-Паулу была выведена из строя в результате кибератаки. Об этом сообщила в пятницу на своем сайте газета Folha di Sao Paolo.

По информации издания, сотрудники суда получили от специалистов рекомендацию немедленно выключить свои компьютеры. В 14:45 по местному времени (20:45 мск) сайт учреждения не функционировал.

Сегодня в 21:53

Оператору «Мегафон» пришлось отключить часть компьютерной сети в связи с тем, что компьютеры сотрудников компании подверглись хакерской атаке. Как сказал ТАСС директор «Мегафона» по связям с общественностью Петр Лидов, оператор уже восстановил работу колл-центра, а в ближайшие несколько часов планирует полностью устранить проблемы, возникшие из-за кибератаки.

«Масштаб довольно большой, затронуло большую часть регионов нашей страны. Но мы справляемся, сейчас вместе с «Лабораторией Касперского» (решения которой «Мегафон» использует для защиты) решаем этот вопрос», - сказал Лидов.

По словам Лидова, компьютеры сотрудников стали внезапно перезагружаться, а после перезагрузки появлялось окно с требованием заплатить $300, которое не позволяло продолжить работу. Все компьютеры «Мегафона», подвергшиеся атаке хакеров, работают на операционной системе Windows и объединены в сеть, отметил представитель оператора.

Чтобы предотвратить распространение вируса, «пришлось отключить часть внутренних сетей», отметил Лидов. «Сейчас мы полностью восстановили работу колл-центра. Важно, что на качестве связи это (кибератака) никак не сказалось», - сказал он. Конкретное число компьютеров, которые были отключены, он не уточнил.

Сегодня в 21:48

В настоящее время эксперты «Лаборатории Касперского» анализируют образцы вредоносного ПО для установления возможности расшифровки данных, отметил представитель компании.

Он пояснил, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)», - отметил он.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», - подчеркнул представитель «Лаборатории Касперского».

(«Интерфакс»)

Сегодня в 21:44

Премьер-министр Великобритании Тереза Мэй: «Мы осведомлены о том, что многие организации Национальной системы здравоохранения (NHS) сообщили о том, что они пострадали от атаки вируса-вымогателя. Но ее целью не была NHS, это – международная атака, от которой пострадали многие страны и организации».

Сегодня в 21:43

Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден, скрывающийся от американских властей, отметил у себя в твиттере, что из-за разработанных АНБ инструментов теперь страдают пациенты клиник. (а страдают сейчас, как нам известно, не только они)

Сегодня в 21:27

Хакеры, атаковавшие в пятницу медицинские учреждения Великобритании, а также испанскую телекоммуникационную компани Telefónica, использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США, пишет издание Financial Times со ссылкой на аналитиков в области кибербезопасности.

По словам экспертов, инструмент американских разведслужб, известный как eternal blue («неисчерпаемая синева») был совмещен с «программой-вымогателем» WannaCry.

Программа, разработанная АНБ позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций.

С этой оценкой согласны несколько чиновников в органах безопасности западных стран, отмечает газета.

(РИА «Новости»)

Сегодня в 21:20

По данным влиятельной группы экспертов по кибербезопасности MalwareHunterTeam, больше всех в результате атаки вируса пострадали серверы на территории России и Тайваня.

Под сильным ударом оказались также компьютерные системы Великобритании, Испании, Италии, Германии, Португалии, Турции, Украины, Казахстана, Индонезии, Вьетнама, Японии и Филиппин.

«Новый вирус распространяется с адской скоростью», - сообщают исследователи MalwareHunterTeam.

Сегодня в 21:19

Специалисты «Лаборатории Касперского» установили, что активно распространяющийся вирус-шифровальщик WannaCry использует известную сетевую уязвимость ОС Windows, закрытую специалистами Microsoft в марте. Об этом говорится в заявлении, поступившем в редакцию «Медиазоны».

«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», - говорится в документе.

«На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России», - отмечают в компании.

Сегодня в 21:17

В «Лаборатории Касперского» зафиксировали более 45 тысяч атак, почти все они – на Россию.

Сегодня в 21:15

Совет от «Варламов.ру»:

Как вы знаете, сейчас идет массовая атака на компьютеры по всему миру. Если вы работаете на Windows - вы находитесь в потенциальной группе риска. Но не паникуйте и не пытайтесь перезагрузить компьютер! Лучше сохраните важные данные на внешний диск или в облако, пока все работает. И идите отдыхать. Если потом обнаружится, что ваш компьютер все-таки заражен, вы просто переустановите систему и восстановите данные из бэкапа.

Сегодня в 21:13