Вирус анб что это
Фото: Marcus Brandt/DPA/ТАСС |
Фото: mskagency.ru |
- Скорее, положительно
- Скорее, отрицательно
17 февраля 2015, 13:32 Фото: Reuters Текст: Иван Чернов |
В отличие от инструментов, цели злоумышленников традиционны – это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.
Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах мира, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии.
Американское АНБ
Вирус Stuxnet в 2010 году разрушил иранские ядерные центрифуги и стал первым компьютерным червем, нанесшим вред физическим объектам. Его изобретение приписывали спецслужбам США (Агентству национальной безопасности США) и Израиля.
Компьютерный червь Flame, поразивший компьютеры под управлением операционной системы Microsoft в 2012 году, также приписывают американцам.
Однозначный вывод о том, что новая шпионская сеть также дело рук АНБ, делают уже зарубежные эксперты. В частности, об этом сообщает Reuters.
Бывший сотрудник АНБ подтвердил агентству соответствующие выводы. А другой бывший сотрудник разведки вспомнил, что АНБ действительно занималось разработкой технологии, позволяющей размещать шпионские программы на жестких дисках.
Между тем сами производители жестких дисков, попавших под подозрение, все отрицают, передает Reuters.
Так, представитель Seagate Клайв Овер заявил, что диски компании производятся так, что, по мнению компании, внедрение внутрь диска становится невозможным. Представитель Micron Дэниел Франциско заявил, что у компании нет данных о чужеродном коде в ее продукции. Сотрудник Western Digital Стив Шэттак заявил, что компания не предоставляла исходный код правительственным учреждениям. Остальные производители отказались от комментариев.
Газете ВЗГЛЯД также не удалось получить комментарии в российских представительствах этих компаний.
Бояться поздно
Напомним, сообщения об обнаружении новых вирусов и глобальных компьютерных угроз поступают регулярно. Так, в конце января эксперты оценили уязвимость российских сайтов знакомств, с одного из которых, по данным СМИ, злоумышленники похитили и выставили на торги личные данные 10 млн россиян.
В том же месяце специалисты предупредили о выявлении вируса WireLurker, атакующего устройства от Apple, включая смартфоны iPhone, планшеты iPad, компьютеры Mac.
Вирус зашифровывает файлы и требует выкуп за расшифровку
Сообщалось также, что российская Лаборатория Касперского зафиксировала около 45 тысяч атак программой-шифровальщиком WannaCry в 74 странах по всему миру.
Среди подвергшихся кибератаке стран - Великобритания, Испания, Италия, Германия, Россия, Португалия, Турция, Казахстан, Индонезия, Тайвань, Вьетнам, Япония, Филиппины, а также Украина.
Какие объекты атаковал вирус
Все объекты, которые атаковал вирус, на данный момент неизвестны. По данным Politico, хакерская атака, произошедшая 12 мая, началась в Великобритании, Испании и остальной Европе, прежде чем быстро распространиться на Японию, Вьетнам и Филиппины.
Атаке вируса WannaCry подверглись:
- больницы Великобритании в Лондоне, Блэкберне, Ноттингеме, в графствах Камбрии и Хартфор. При этом м ногие больницы остались полностью без средств коммуникации, а пациентов, не требующих срочной помощи, попросили не посещать медицинские учреждения.
- основной железнодорожный оператор Германии - концерн Deutsche Bahn. Под ударом оказался как минимум один из семи региональных диспетчерских центров компании. В Ганновере из строя были выведены все диспетчерские системы управления, часть компьютеров было решено отключить. Отмечалось, что кибератака могла отразиться на режиме движения поездов на северном направлении. Кроме того, на некоторых вокзалах на табло отправления поездов отображалось оповещение программы WannaDecrypt0r 2.0 (полное название вируса - ред.) о зашифровке файлов с требованиями о выплате выкупа.
Табло отправления поездов на одном из вокзалов концерна Deutsche Bahn в Германии после кибератаки на диспетчерскую систему управления / Фото: Nick Lange / Twitter
- 12 мая сразу несколько российских СМИ со ссылкой на информированные источники сообщили, что были атакованы компьютерные сети Следственного комитета и Министерства внутренних дел РФ. Поначалу в СК и МВД РФ опровергали информацию о хакерских атаках на свои сети. Однако позже официальный представитель МВД РФ Ирина Волк подтвердила факт кибератаки.
- атаке также подверглись компьютеры телекоммуникационной компании Испании Telefonica и испанские энергетические компании Iberdrola и Gas Natural.
- 15 мая официальный представитель Министерства национальной безопасности США сообщил, что во время кибератаки на прошлой неделе вирусом были заражены компьютеры небольшого числа операторов объектов критической инфраструктуры. По его словам, существенных сбоев в работе объектов не было. В то же время, о каких именно объектах идет речь, в министерстве не рассказали. Чиновник также добавил, что н а данный момент компьютеры в федеральном правительстве США не пострадали.
13 мая в Европоле заявили, что серия кибератак при помощи компьютерного вируса WannaCry по всему миру была проведена на "беспрецедентном уровне". Эксперты полицейской службы ЕС также заявили, что считают необходимым провести "комплексное международное расследование, чтобы установить виновников".
15 мая с оветник президента США по национальной безопасности Том Боссерт сообщил, что взлому подверглись 300 тысяч компьютеров в 150 странах.
Директор Европола Роб Уэйнрайт заявлял, что жертвами массовой кибератаки 12 мая стали около 200 тысяч физических и юридических лиц в 150 странах. По данным Европола, больше всего от атак пострадали Великобритания и Россия.
Что делает WannaCry
Вирус Wana Decrypt0r 2.0 поразил, в основном, крупные предприятия, но может попасть и на компьютер обычного пользователя.
Он может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом являются отправленные на электронную почту письма.
Одними из первых пострадали от действий хакеров британские больницы
Жертва вируса получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идет о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).
Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и к системным файлам. После этого вирус требует от пользователя выкуп в биткоинах (в сумме эквивалентной $300) за восстановление доступа к информации.
WannaCry угрожает только пользователям компьютеров с операционной системой Windows, в частности р ечь идет о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.
WannaCry - защита
В Microsoft заявили, что пользователи антивируса Windows Defender автоматически защищены от вируса. Если на вашем компьютере установлен другой антивирус, необходимо скачать его последнюю версию и включить компонент Мониторинг системы.
Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM: Trojan.Win64.EquationDrug.gen) - вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.
Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0.
Включите безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.
Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.
После удаления вируса нужно восстановить зашифрованные файлы (если сделать это до удаления вируса, можно нанести ущерб системным файлам и реестрам ).
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Эти способы не гарантируют полного восстановления файлов.
Удалось приостановить
Специалист по безопасности, который ведет Twitter с названием MalwareTechBlog случайно приостановил распространение вируса WannaCry, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Вечером 12 мая он сообщил на своей странице в Twitter, что, обнаружив, что вирус почему-то обращается к этому домену, он решил его зарегистрировать, чтобы следить за активностью вредоносной программы.
В итоге выяснилось, что в коде вируса говорится, что если обращение к этому домену было успешно, заражение следует приостановить, а если нет, то продолжить. Сразу же после регистрации домена, на него пришли десятки тысяч запросов.
Зарегистрировавший домен специалист отметил, что не знал во время регистрации, что это приостановит распространение вируса. Он также посоветовал пользователям интернета как можно быстрее устранить уязвимость, "потому что они попытаются снова".
15 мая зарегистрировавший домен, приостановивший распространение WannaCry, специалист, сообщил, что над этим доменом попытался захватить контроль "кто-то из Китая".
Комментируя данный инцидент, специалист компании Лаборатория Касперского Костин Райю предположил, что злоумышленник преследовал одну из двух целей. Первая — желание посчитать пользователей, подвергшихся атаке. Второй целью могло быть заблокировать домен и тем самым вновь активировать вирус.
Райю предполагал, что 15 мая создатели вируса уже переписали его код, так чтобы он мог функционировать, не обращаясь к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Позже он сообщил, что что код вируса действительно был обновлен за выходные. Однако, судя по всему, в новой версии вируса не содержится возможности обхода временной защиты, таким образом, новая версия вируса, вероятно, "не представляет такую же угрозу для общества".
Кто виноват?
Бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден, комментируя хакерские атаки на больницы Великобритании заявил, что для них могла использоваться программа АНБ.
На своей странице в Twitter он заявил, что решение АНБ о создании инструментов для атаки на программное обеспечение в США теперь “угрожает жизни пациентов”.
“Вопреки предупреждениям, АНБ создала опасные инструменты для атак, которым может подвергнуться западное программное обеспечение. Теперь мы видим цену этого решения”, — написал Сноуден.
О том, что нынешняя хакерская атака на больницы Великобритании непосредственно связана с вирусами, созданными АНБ, также указывает организация WikiLeaks на своей странице в Twitter.
Сноуден опубликовал ссылку на статью Politico, в которой идет речь о том, что за кибератакой с помощью вируса WannaCry стоит утечка информации о методах взлома, разработанных АНБ.
Как пишет издание, предположительно вирус является версией программного обеспечения АНБ, которое в апреле опубликовала в Сети группа, называющая себя Shadow Brokers.
Politico отмечает, что о группе Shadow Brokers стало известно во время выборов президента США в прошлом году. А то, что им удалось опубликовать средства, разработанные АНБ для слежения, может говорить о том, что компьютеры Агентства могли быть взломаны, что привело к утечке секретной информации.
Издание отмечает, что хотя некоторые предполагают, что Shadow Brokers связаны с Москвой, никаких доказательств этого не было обнародовано.
Кроме того Politico пишет, что директор New America’sOpen Technology Institute Кевин Бэнкстон выразил мнение, что Конгресс США должен провести слушания по вопросу использования разведывательными агентствами недостатков кода и того, в каких случаях они должны предупреждать производителей о существующей опасности.
"Если бы АНБ раскрыло, а не накопило эти (уязвимые места - ред.), когда оно нашло их, большее количеству больниц было бы в большей безопасности от этой атаки", - считает Бэнкстон.
Аналогичное мнение выразил юрист Патрик Туми.
"Эти атаки подчеркивают тот факт, что уязвимости будут эксплуатироваться не только нашими службами безопасности, но и хакерами и преступниками по всему миру", - передает его слова Bloomberg.
Сноуден также считает, что теперь конгресс США должен запросить у АНБ сведения о других возможных уязвимостях в системах, которые используются в больницах.
В свою очередь, The Telegraph сообщает, что инструмент слежки Eternal Blue, украденный хакерами у АНБ был разработан, чтобы получить доступ к компьютерам, используемым террористами и вражескими государствами. Shadow Brokers опубликовали его 14 апреля - через неделю после приказа Трампа о ракетном ударе по авиабазе в Сирии.
"Некоторые эксперты считают, что эти сроки важны и указывают на то, что Shadow Brokers имеют связи с российским правительством", - отмечает издание и напоминает, что год назад о связи этой группировки с Кремлем заявлял Эдвард Сноуден.
The Telegraph также пишет, что, вероятно, обнародованный Shadow Brokers инструмент доступа к компьютерам с уязвимостью, использовала другая группа, решившая его монетизировать.
15 мая президент России Владимир Путин заявил, что источником вируса-вымогателя являются США, а РФ тут совершенно ни при чем.
"Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило, сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое", - сказал президент РФ.
Путин также отметил, что российские учреждения не понесли существенного ущерба от глобальной атаки.
16 мая с пециалисты по кибербезопасности заявили, что вирус WannaCry может быть связан с Северной Кореей.
В частности, в компаниях Symantec и Kaspersky Lab отметили, что часть этого вируса имеет такой же код, как и вредоносные программы, которые в 2014 году использовались во время атаки на корпорацию Sony.
В том нападении специалисты обвиняли злоумышленников из КНДР.
"Это самый лучший ключ, который мы видели до сих пор к источникам WannaCry. Но возможно, что код был просто скопирован без любой другой прямой связи", – отметили в компании Kaspersky Lab.
В Symantec также отметили, что продолжают изучать вирус, чтобы выявить более очевидные связи.
Сколько денег получили хакеры, запустившие WannaCry
15 мая СМИ, ссылаясь на данные платежей, писали, что с оздатели вируса WannaCry получили 42 тыс. долларов от своих жертв через систему Bitcoin.
Эту информацию сообщила о рганизация Elliptic, отслеживающая биткоин-платежи. По ее данным, в результате 110 переводов на счету хакеров 23,5 биткоина.
Отмечалось, что злоумышленники не пытались снять деньги, оказавшиеся в их распоряжении.
Позже в тот же день с оветник президента США по национальной безопасности Том Боссерт сообщил, что жертвы кибератак с помощью вируса WannaCry выплатили хакерам менее 70 тысяч долларов. Он также отметил, что ни разу выплата денег не привела к разблокированию компьютера.
Пик атаки пройден
15 мая в Европоле заявили, что рост числа жертв глобальной хакерской атаки вирусом WannaCry в Европе приостановился.
"Очевидно, что количество пострадавших не увеличивается. Ситуация в Европе, как кажется, стабилизировалась. Это - успех", - заявил представитель этой организации.
Он связал эту тенденцию с тем, что владельцы компьютеров и системные администраторы установили программные обновления, позволяющие защититься от вредоносной программы WannaCry.
Представитель Европола отметил, что ведомство работает над тем, чтобы создать инструмент, который позволит вычислить преступников, использующих вредоносную программу.
Заявление президента Microsoft
Президент Microsoft Брэд Смит
По его мнению, значительная доля ответственности за кибератаки, подобные атаке вируса WannaCry, лежит на правительствах, которые собирают данные об уязвимостях в программном обеспечении ради своих интересов.
По мнению Смита, из этой кибератаки нужно извлечь уроки, чтобы избежать подобного в будущем.
Президент Microsoft считает, что все страны должны "сформировать другой подход и применять в киберпространстве такие же строгие правила, как и к оружию в физическом мире".
Он считает, что для предотвращения подобной угрозы нужно разработать цифровой аналог Женевской конвенции по контролю над вооружениями. Смит также отметил, что данные об уязвимостях не должны собираться правительствами для использования в собственных интересах. Такие данные должны передаваться разработчикам напрямую.
"Правительства всего мира должны воспринять эту угрозу как призыв к пробуждению", - заключил он.
Если вы нашли ошибку в тексте, выделите её мышью и нажмите Ctrl + Enter
Вирус-шифровальщик охватил 99 стран. Способ атаки был описан в архивах Агентства национальной безопасности
Фото: Mark Schiefelbein / AP / TASS
Компьютеры по всему миру накрыла масштабная хакерская атака: Испания, Великобритания, США, Китай, Тайвань, Украина. Но едва ли не больше всего заражений, как отмечают специалисты, наблюдается в России. Компьютеры заражаются вирусом-шифровальщиком WanaCrypt0r 2.0 (другие названия WCry и WannaCry): программа зашифровывает файлы на компьютере и требует выкуп за расшифровку. Жертвам предлагается перевести $300 в биткоинах на счет злоумышленников. Подобная атака достаточно стандартна, хакеры уже давно зарабатывают на шифровальщиках. Но впечатляет масштаб и скорость распространения вируса. О первых заражениях стало известно в пятницу днем, а к утру субботы появились сообщения о жертвах в 99 странах.
Хотя в России от вируса пострадало много крупных компаний и госведомств, специалисты не считают, что это целенаправленная атака. Страдают и системы в других странах – банки, аэропорты, больницы, телеком-операторы. Кто уже пострадал от атаки, как это стало возможным и что делать для своей защиты?
Модель пропаганды — теория Эдварда Хермана и Ноама Хомского, утверждающая наличие систематических перекосов в средствах массовой информации и объясняющая их экономическими причинами.
С точки зрения модели пропаганды, СМИ рассматриваются как предприятия, продающие товар — читателей и аудиторию (а не новости) — другим предприятиям (рекламодателям, правительствам).
То есть, если вы не заплатили за то, что читаете, значит кто-то другой заплатил за то, чтобы вы это прочитали.
Зарплата авторов и редакторов Republic формируется только за счет денег подписчиков.
Евреи для России важнее, чем грузины. Чем? Чем грузины
Самоизоляция без парада. Как Владимир Путин столкнулся с реальностью общественного мнения
Диссиденты во власти. Чем руководствуются политики, которые решили не вводить всеобщий карантин
Сколько в России заразившихся SARS-CoV-2? Официальная статистика стремительно теряет смысл
Заметили ошибку?
Выделите ее и нажмите +Enter
Следите за нашими обновлениями, где вам удобно
Орфографическая ошибка
Как оформить подписку для юридических лиц
Стоимость подписки на Republic на год для юридических лиц составляет 14 800,00 руб. НДС не облагается в связи с применением УСН, ст.346.11 НК РФ. Пакетное предложение Republic+Дождь и подписка на Republic с ежемесячной оплатой для юридических лиц недоступны.
Если у вас есть вопросы по приобретению подписки для юридического лица, отправляйте свой запрос на buh@republic.ru.
30% доходов от подписки мы тратим на административные нужды: сайту нужны сервера, персоналу — офис, а еще нужно оплатить несколько сервисов, содержать бухгалтера и юристов.
Весной на продажу выставили ноутбук Samsung NC10-14GB, выпущенный в 2008 году, с установленной на нем Windows XP SP3. Однако интерес вызывал не сам компьютер, а то, что у него внутри — шесть вирусов: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila и BlackEnergy, которые нанесли прямой и косвенный ущерб почти на $100 млрд.
Содержание
ILOVEYOU
ILOVEYOU начал свой путь с Филиппин, вирус рассылал свои копии по адресным книгам, поэтому единственный пользователь с обширной базой адресатов заражал огромное количество машин.
Предполагается, что авторы вируса, Онел Де Гузман и Реонэл Рамонес с Филиппин, которые якобы хотели проверить гипотезы дипломной работы, не ожидали случившейся бури. Позже молодых людей задержали (помог анализ кода оригинальной версии ILOVEYOU), но после расследования отпустили.
Вирус использовал уязвимость в операционной системе Windows и программе Outlook в частности, которая по умолчанию разрешала обработку скриптов. Причиной эпидемии называют то, что разработчики из MS в то время не считали скриптовые языки угрозой, поэтому эффективной защиты от нее не предусмотрели. Кроме того, авторы ILOVEYOU намеренно или по незнанию выпустили в мир не только инструмент для уничтожения — они предоставили конструктор, который можно изменять под свои нужды. Это привело к появлению десятков модификаций вредоноса.
Как следует из рассказов представителей компаний, которые занимались обеспечением информационной безопасности, вокруг творилась истерика, телефоны звонили безостановочно. Распространению вируса способствовала социальная инженерия: модифицированные его версии поступали от имени друзей, предлагающих встретиться, письма якобы содержали информацию о том, как получить подарок, предлагали почитать анекдоты и так далее. Знакомая классика.
Все было так плохо, что некоторые крупные военные ведомства (тот же Пентагон) и компании были вынуждены полностью остановить почтовые сервисы. Позже источники называли разные цифры, отражающие количество зараженных компьютеров, — от сотен тысяч до десятков миллионов.
Что делал ILOVEYOU? Червь, получив доступ к системе после своего запуска (куда уж без участия пользователя), всего-то изменял и уничтожал файлы. А бэкапов тогда практически никто не делал.
Sobig
Вирус Sobig впервые заметили в 2002 году. Считается, что он заразил миллионы компьютеров по всему миру, действуя вначале под другим названием. По некоторым данным, экономический ущерб от его действий превысил $35 млрд, однако, как и в остальных случаях, подсчеты носят приблизительный и отчасти гипотетический характер.
Ну а дальше дело за вложениями с двойными (например, .mpeg.pif) или обычными расширениями (просто .pif или .scr) — пользователь сам инфицировал систему.
Microsoft пыталась бороться с вирусом, выпустив патч, позволяющий блокировать некоторые типы файлов, но .zip среди них не было, чем и воспользовались хакеры. Потом софтверная корпорация предложила награду в четверть миллиона долларов за голову автора (не за голову, за имя, конечно), но его так и не нашли. По одной из гипотез, автором червя является программист Руслан Ибрагимов, но он с этим не согласен.
Mydoom
Mydoom, который появился в 2004 году, побил рекорды ILOVEYOU и Sobig по скорости распространения. А также рекорд Sobig по нанесенному экономическому ущербу — якобы более $38 млрд.
По данным Symantec, в ней было реализовано два триггера. Один был ответственным за организацию DoS-атак начиная с 1 февраля 2004 года, второй останавливал распространение вируса 12 февраля того же года, но бэкдоры оставались активными. Правда, это касалось одной из версий, последующие имели более поздние сроки запуска и отключения. Так что никаких совестливых хакеров.
Основной целью вируса, вероятно, была организация DoS-атак, а также рассылка нежелательной почты. Побочным эффектом стало повсеместное снижение скорости доступа в интернет, рост объемов спама, ограничение доступа к некоторым ресурсам и блокировка работы антивирусного ПО.
Читайте также: