WannaCry все ще присутній на сотнях тисяч комп'ютерів через 1,5 роки після атаки
WannaCry все ще присутня на сотнях тисяч комп'ютерів через 1,5 роки після атаки
Стало відомо, що через 18 місяців після масштабної епідемії здирницького ПО WannaCry, від якого постраждало безліч користувачів у більш ніж 100 країнах світу, шкідливість все ще присутні на сотнях тисяч комп'ютерів, свідчать дані компанії Kryptos Logic.
За інформацією Kryptos Logic, щотижня фіксується понад 17 млн спроб підключення до домену-«вимикача», що виходять від більш ніж 630 тис. унікальних IP-адрес у 194 країнах. За кількістю спроб підключення лідирують Китай, Індонезія, В'єтнам, Індія. Як і слід було очікувати, у робочі дні кількість спроб зростає порівняно з вихідними.
Присутність здирника на такій великій кількості комп'ютерів може обернутися серйозною проблемою – для його активації достатньо одного масштабного збою в Мережі, наголошують фахівці.
Раніше Kryptos Logic представила безкоштовний сервіс TellTale, що дозволяє організаціям проводити моніторинг щодо зараження WannaCry або іншими відомими загрозами
WannaCry поширюється через протоколи обміну файлами, встановлених на комп'ютерах компаній та державних установ. Програма-шифрувальник пошкоджує комп'ютери на базі Windows.
Понад 98% випадків інфікування здирницьким ПЗ WannaCry припадають на комп'ютери під керуванням Windows 7, причому більше 60% заражень зачіпають 64-розрядну версію ОС. Такі дані оприлюднили аналітики Лабораторії Касперського. Згідно зі статистикою, менше 1% заражених комп'ютерів працюють на базі версій Windows Server 2008 R2 та Windows 10 (0,03%).
Після проникнення в папку з документами та іншими файлами вірус шифрує їх, змінюючи розширення на .WNCRY. Потім шкідлива програма вимагає купити спеціальний ключ, вартість якого становить від 300 до 600 доларів, погрожуючи в іншому випадку видалити файли.
Загалом WannaCry — це експлойт, за допомогою якого відбувається зараження та поширення плюс шифрувальник, який скачується на комп'ютер після того, як зараження відбулося.
У цьому полягає важлива відмінність WannaCry від більшості інших шифрувальників. Для того, щоб заразити свій комп'ютер, звичайним, скажімо так, шифрувальником, користувач повинен зробити помилку - клікнути на підозріле посилання, дозволити виконувати макрос в Word, завантажити сумнівне вкладення з листа. Заразитися WannaCry можна взагалі нічого не роблячи.
Творці WannaCry використовували експлойт для Windows, відомий під назвою EternalBlue. Він експлуатує вразливість, яку Microsoft закрила у оновленні безпеки MS17-010 від 14 березня цього року. За допомогою цього експлойта зловмисники могли отримувати віддалений доступ до комп'ютера та встановлювати на нього власне шифрувальник.
