Петъчната атака на рансъмуера WannaCry (WannaCrypt) порази над 200 000 компютъра в 150 държави, каза ръководителят на Европол Роб Уейнрайт (Rob Wainwright). Атаката се оказа „безпрецедентна по своя размер“, а цялостният мащаб на заразата все още е неизвестен. Според Уейнрайт, този понеделник мнозина ще намерят компютрите си заразени.

Вече знаем, че WannaCry (WannaCrypt) съчетава функционалността на рансъмуер и червей, разпространяващ се чрез случайни IP адреси след заразяване на компютърна система, използвайки критична уязвимост във всички версии на ОС Windows плюс експлойт на АНС. По щастлива случайност, глобалното заразяване бе спряно в същия ден, когато започна. Британски специалист успя да открие авариен стопиращ механизъм в този рансъмуер, предназначен да скрие вируса от стартиране и изследване във виртуална среда.

След появата на информацията за стоп-механизма, експертите посъветваха всички да не се отпускат, понеже е напълно реална възможността да се появи нова версия на вируса без стопиращ механизъм.

Повечето експерти считаха, че новата версия ще се появи след около седмица, но реалността се оказа много по-страшна от прогнозите. Само преди няколко часа хакерът Матю Суиш (Matthieu Suiche) съобщи в Twitter за нова версия на WannaCry (WannaCrypt) с променен стопиращ механизъм, проверяващ преди стартирането, вече друг домейн – ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, а не домейнното име iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, предложено от британския експерт.

Хакерът моментално подаде заявка за регистрирането на този домейн, за да спре втората вълна от атаки.

Начинът на работа е същият – при успешно изпълнена заявка към домейнното име, работата на вируса се прекратява. Но сега се използват няколко варианта на рансъмуера, с различни домейнни имена в кода.

Суиш публикува своя анализ на новите варианти на WannaCry, за да помогне на всички в борбата срещу този коварен вирус. Той съобщи, че е открил две нови версии на WannaCry. Матю е блокирал първия чрез регистрация на въпросното домейнно име, докато втората версия не криптира файловете поради повреден архиватор.

Матю Суиш заедно с колегата си от @MalwareTechBlog, изпратиха информацията от регистрирания домейн към общ sinkhole сървър, който натрупва информацията чрез ботове и съставя и обновява интерактивна карта на заразените компютри.

Третата версия на WannaCry бе разкрита и от Kaspersky Lab. Той също няма стоп-механизъм. Този вирус е още по-особен. Той не може да криптира файловете поради грешка в кода на криптиращия-архивиращ алгоритъм, но този червей вече скрито се разпространи в Глобалната мрежа и вече е заразил огромен брой компютри.

Да обобщим:
Досега са известни три версии на червея-рансъмуер WannaCry (WannaCrypt):

Name : 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
LastWriteTime : 5/14/2017 5:56:00 PM
MD5 : D724D8CC6420F06E8A48752F0DA11C66
SHA2 : 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
Length : 3723264
Name : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
LastWriteTime : 5/13/2017 7:26:44 AM
MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
SHA2 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
Length : 3723264
Name : 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
LastWriteTime : 5/14/2017 4:11:45 PM
MD5 : D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA2 : 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
Length : 3723264

Естествено, нищо още не е приключило. Масовата зараза с този рансъмуер едва сега започва. Със сигурност ще има нови версии на WannaCry (WannaCrypt), без никакви логически грешки в стоп-механизма и криптирането, както и с допълнителни още по-коварни възможности. Почти всички експерти по сигурността считат, че това досега бе временно облекчение. Малка почивка.

Да напомним още веднъж, че Microsoft спешно публикува обновявания, дори и за Windows XP, за отстраняване на тази уязвимост:

Уязвимостта може да бъде запушена в ОС Windows 8.1 и по-новите версии чрез изключване поддръжката на SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Не бива да забравяме и препоръките на ГДБОП за предпазване от опасния вирус-изнудвач.

3
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Светльо
Светльо

Мали, фана ме страх да си заредя уиндолса.

dism /online /norestart /disable-feature /featurename:SMB1Protocol

– това достатъчно ли е да се предпази компютъра специално от тая гад или трябва да се прави и още нещо?!?

Филипов
Филипов

Тъпите журналя плещят глупости и си запълват мястото. Досега не са казали нищо смислено. Какво да се знае: 1. Има дупка във всички ОС, която е ползвана за шпионаж от разни трибуквени, основно в USA. 2. Инфорнацията за това е изтекла из хакерските среди. Касае асе за  SMB1 3. Някои са си купили въпросното „хакче“ и са му закачили криптошитня за да изкарат кинти. 4. Засегнати са всички версии на Win без последните на Windows 10. Не се засягат: — версия 1703, всички — версия 1607, билд 14393.953 или по-нови — версия 1511, билд 105867.839 или по-нови — версия 1507… Виж още »

ggg
ggg

Нормален рутер го спира, но като си вземе някой лаптопа от службата и после ползва мобилен интернет например, вземе, че го хване и после го занесе обратно и го включи в мрежата и ето ти всичко омазано.