15.05.2017

12 мая 2017 года хакеры провели массированную кибератаку на крупные корпорации, бюджетные организации и госструктуры в 150 странах мира. По данным «Лаборатории Касперского» и Avast, наибольшее число попыток заражения компьютеров новоявленным вирусом-шифровальщиком WanaCrypt0r 2.0 зафиксировано в России.

Атаке вредоноса, парализующего работу компьютерных сетей и требующего выкуп за восстановление доступа к ним, в нашей стране подверглись силовые ведомства, телекоммуникационные компании, крупные больницы и корпорации. В их числе: МВД России, Министерство здравоохранения, РЖД, «Сбербанк», «Мегафон», «ВымпелКом», МТС. Большинству государственных и финансовых организаций удалось благополучно отразить кибератаки, не допустив проникновения к базам данных. Исключение составляет разве что ГИБДД, в которой была на время заблокирована система выдачи водительских прав. Среди коммерческих организаций серьёзнее всего пострадал «Мегафон». Вирус-вымогатель атаковал офисы сотового оператора в различных регионах страны. Чтобы сдержать распространение зловреда, часть офисов пришлось на время отрезать от единой информационной сети.

Среди других стран, подвергшихся атаке WanaCrypt0r 2.0, значатся: Великобритания, Испания, Италия, США, Китай, Тайвань. В Испании вирус зашифровал данные телекоммуникационной компании Telefonica, в Великобритании — Государственной службы здравоохранения (NHS).

5 советов по защите от вирусов-шифровальщиков

Суть вирусной атаки

Несмотря на то что зловред был новым, не знакомым антивирусам, по принципу действия он ничем не отличался от типичных вирусов-шифровальщиков. Сценарий атаки был классическим:

  • На почтовые сервисы организаций хакеры разослали заражённые письма.
  • При открытии этих писем автоматически запускалась программа, шифрующая данные на жёстком диске и рабочем столе компьютера.
  • Компьютеры самопроизвольно отправлялись на перезагрузку.
  • После перезагрузки на мониторах высвечивались окна с текстом примерно следующего содержания: «Значительная доля ваших документов, фото, видеофайлов, баз данных и прочих файлов зашифрована. Вы не имеете к ней доступа. Открыть поражённые файлы собственными силами вам не удастся — даже не пытайтесь. Восстановить доступ без нашего сервиса дешифровки невозможно. Если хотите, чтобы мы разблокировали ваши данные, отправьте $300 на наш биткоин-кошелёк».
  • Через объединённую корпоративную сеть вирус с заражённых компьютеров перекидывался на остальные ПК.

Памятуя о многочисленных случаях, когда данные после внесения выкупа так и не восстанавливались, большинство организаций на уступки вымогателям не пошли. И правильно сделали!

Рекомендации по защите от вирусов-шифровальщиков

По прогнозам исследовательской компании PricewaterhouseCoopers (PwC), в ближайшее время можно ожидать появления нового штамма вируса-вымогателя и повторной волны атак. Во избежание потери доступа к стратегически важным данным и парализации деятельности компании эксперты рынка рекомендуют воспользоваться следующими защитными мерами:

  1. Установка последних обновлений Windows (от 14 марта 2017 года). Все 200 000 компьютеров, пострадавших от хакерской атаки 12 мая, работали на устаревшей версии популярнейшей операционной системы от Microsoft.
  2. Заблокировать все взаимодействия по порту 445 (и на рабочих компьютерах, и на сетевом оборудовании).
  3. Провести полное сканирование всех хостов с помощью современных и надёжных антивирусных программ.
  4. Использовать системы резервного копирования данных, минимизирующих ущерб в случае поражения корпоративной системы вирусом-шифровальщиком.
  5. Оповестить штат сотрудников о существовании криптовымогателей, способах их распространения и возможных атаках.

Несколько поучительных историй из прошлого

Если при чтении данной статьи у вас сложилось впечатление, что вирусы типа WanaCrypt0r 2.0 создаются для поражения особо крупных сетевых корпораций, вы заблуждаетесь. Хакеры рассылают заражённые письма во все организации, деятельность которых можно парализовать путём блокировки ценных данных. Так, в феврале 2016 года в США частный медицинский центр Hollywood Presbyterian Medical Center выложил хакерам-вымогателям $17 000 за восстановление доступа к электронной системе амбулаторных карт. В июне 2016 года канадский государственный исследовательский университет Калгари по той же причине распрощался с $20 000. В марте 2016 года Бангладешский Центробанк за расшифровку данных заплатил хакерам $81 000 000.

В России наиболее масштабная из предыдущих атак была зафиксирована в марте 2016 года, когда хакеры разослали вредоносные письма десяткам банков с пометкой «От ЦБ РФ». «Лаборатории Касперского» известно немало случаев, когда атаке вирусов-шифровальщиков подвергались относительно небольшие компании: агентства недвижимости, бухгалтерские организации.

Слайд из презентации Ульяны Стёпиной («Лаборатория Касперского») для семинара «СофтЭксперт» 02.11.2016

Полный комплекс средств защиты от вирусов-шифровальщиков в ЦФО

Приобрести всё необходимое для обеспечения надёжной зашиты корпоративных данных от вирусов-вымогателей вы можете в ГК «СофтЭксперт». Мы предлагаем:

Атаки вирусов-блокировщиков могут проводиться не только с целью блокировки важных данных для запроса выкупа, но и с целью похищения информации для дальнейшего шантажа. Не пренебрегайте современными средствами кибербезопасности!

По вопросам приобретения средств защиты от вирусов-шифровальщиков в Москве, Туле, Калуге и других городах Центрального региона России обращайтесь по нижеуказанным контактным данным.

Контактная информация:
  • Телефон (многоканальный): (4872) 70-02-70; доб. 121. Моб.: +7 (930) 791-29-50
    Серегин Юрий Викторович
    Должность: руководитель отдела
    E-mail: 121@sfx-tula.ru