Киберсыщики рассказали об особенностях вируса WannaCry

Отличительных черт у WannaCry четыре. Во-первых, программа использует инструмент американской разведки, известный как eternal blue, выложенный в открытый доступ хакерами Shadow Brokers. Второй особенностью WannaCry является способность не только шифровать файлы, но и сканировать интернет на предмет уязвимых хостов — отсюда и лавинообразный характер заражений.

В-третьих, вирус довольно избирателен — он шифрует не все файлы, а только наиболее «чувствительные» (документы, базы данных, почту). Кроме того, для подключения к командным серверам программа устанавливает браузер-анонимайзер Tor и осуществляет соединение через него.

Подтверждено, что #WannaCry использует #ETERNALBLUE. Проверяйте свои системы на предмет апдейта MS17–010. #ShadowBrokers #expoit

— Group-IB (@GroupIB) 12 мая 2017 г.

Вредонос не только криптует файлы, но и сам осуществляет сканирование интернета на предмет уязвимых хостов (тысячи IP адресов) #WannaCry pic.twitter.com/AJ3UXdChAH

— Group-IB (@GroupIB) 12 мая 2017 г.

#WannaCry шифрует только чувствительные файлы: док-ты Office, базы данных, почту, сертификаты, ключи шифрования, образы вирт. машин, архивы

— Group-IB (@GroupIB) 12 мая 2017 г.

В Group-IB рекомендовали защищаться от WannaCry, используя решения класса «песочница»: они устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые из интернета. Эксперты отметили, что чаще всего заражение устройства происходит через электронную почту, то есть пользователь сам предоставляет доступ к своему компьютеры, кликая по замаскированным вредоносным файлам, передает ТАСС.

В пятницу вирус-вымогатель атаковал компьютеры по всему миру, наибольшее число попыток заражений наблюдается в России. Об успешном отражении атак заявили в МЧС РФ, Минздраве и МВД.

Сообщаю, что @MINZDRAV_RF оперативно отразил начавшиеся атаки и закрыл уязвимости. https://t.co/zUg401FicC

— Никита Одинцов (@NikitaOdintsov) 12 мая 2017 г.