Эпидемия вымогателя WannaCry: обновлённая информация

0
23

«Лаборатория Касперского» рассказала о ситуации с эпидемией опасного шифровальщика WannaCry по состоянию на начало текущей недели.

Напомним, что в пятницу, 12 мая, пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Анализ сетевых журналов, как отмечает «Лаборатория Касперского», даёт основания предполагать, что вымогатель WannaCry начал распространяться в четверг, 11 мая. Установить точное число заражений сложно. Оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (так называемый киллсвитч). В настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч уведомлений о заражении. Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.

Количество попыток атак WannaCry, зарегистрированных «Лабораторией Касперского» в минувший понедельник, 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы. Это позволяет предположить, что контроль над процессом заражения почти установлен. Кроме того, существенно сократилось количество обращений к порту 445, через который троян проникает в систему. Это также говорит в пользу того, что атака идёт на убыль.

Тем не менее, угроза заражения остаётся. Так, 13–14 мая появились как минимум две модификации зловреда. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя — скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах. 

Между тем технический центр «Интернет» сообщает, что за кибератакой WannaCry могут стоять хакеры из Северной Кореи. Инженер корпорации Google Нил Мехта провёл анализ кода зловреда и пришёл к выводу, что некоторые его фрагменты имеют много общего с кодом инструментов, использованных ранее в атаках кибершпионской группировки Lazarus, которая, предположительно, связана с правительством КНДР. Впрочем, другие эксперты пока не спешат с выводами о происхождении WannaCry.

Источник: 3dnews.ru

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here