Заказать звонок
Вход в Личный кабинет

“Лаборатория Касперского” о шифровальщике “WannaCry”

Специалисты “Лаборатории Касперского” проанализировали информацию о заражениях программой-шифровальщиком, получившей название “WannaCry”, с которыми 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик.

Все решения “Лаборатории Касперского” детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения “Лаборатории Касперского” также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)

За расшифровку данных злоумышленники требуют заплатить выкуп в размере 300-600 долларов США в криптовалюте Bitcoin. На данный момент “Лаборатория Касперского” зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России.

Мы рекомендуем компаниям предпринять ряд мер для снижения рисков заражения:

  1. Установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость;
  2. Убедиться, что включены защитные решения на всех узлах сети;
  3. Если используется защитное решение “Лаборатории Касперского”, убедиться, что оно включает в себя компонент System Watcher (“Мониторинг Системы”) и он включен;
  4. Запустить задачу сканирования критических областей в защитном решении “Лаборатории Касперского”, чтобы обнаружить возможное заражение как можно раньше (в противном случае детектирование произойдет автоматически в течение 24 часов);
  5. После детектирования MEM:Trojan.Win64.EquationDrug.gen, произвести перезагрузку системы;
  6. В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

Эксперты “Лаборатории Касперского” анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

Более подробную информацию об атаках “WannaCry” можно найти в отчете “Лаборатории Касперского” https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

 

Источник: “Лаборатория Касперского“.