Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют.

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).

Что делать в случае заражения?

Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:

• отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
• вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).

Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент. К тому же если зловред является частью ботнет-сети или содержит компоненты RAT , то он может бездействовать до того момента, как поступит управляющая команда с из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.

INFO

Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.

Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему. 🙂

WARNING

Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.

Поиск процессов и обезвреживание малвари в памяти

Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM - из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь Slammer , поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие скрывать из области видимости штатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать руткит , который будет скрывать его действия в системе.

Итак, к нам на помощь придут утилиты - самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, - это Process Monitor , бесплатная утилитка из набора SysInternals Suite . По сути, она объединяет в себе сразу две другие утилиты - FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:

• show registry activity - просмотр активности реестра (чтение, запись ключей);
• show file system activity - просмотр действия с файлами (чтение, запись);
• show network process activity - аналогично по процессам, использующим сеть;
• show process and thread - просмотр процессов и нитей.

Вторая, более навороченная тулза - это Process Explorer . Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.

• - программы, которые запускаются только один раз, когда пользователь входит в систему;
• - программы, которые запускаются при входе текущего пользователя в систему;
• - программы, которые запускаются только единожды при входе текущего пользователя в систему.

Что у нас есть из тулз для этого случая? Первое - это программа Autoruns , которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости - отключить их.

Скажем пару слов об интерфейсе и вкладках:

• Everything - отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
• Logon - содержит все программы, которые будут запускаться автоматически;
• Explorer - автозапуск всех элементов проводника Windows;
• Internet Explorer - все надстройки и дополнения, которые установлены в Internet Explorer;
• Scheduled Tasks - процессы, которые запускаются автоматически из диспетчера задач;
• Services - файлы служб, автоматически запускаемые при загрузке машины;
• Drivers - все файлы, относящиеся к драйверам.

Восстанавливаем реестр

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой regedit , физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\ . Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

// Создаем резервные копии реестра системы md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak // Удаляем битые файлы из системной директории ОС delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default // Копируем работоспособные файлы реестра из теневой копии copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезагружаем машину и смотрим на результат!

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Пострадали 74 страны. В России вирус пытался атаковать персональные компьютеры МВД, компаний «МегаФон», «ВымпелКом», Сбербанка. С персональными данными, если не делали резервных копий, можно попрощаться, говорят эксперты

Обновлено 16:38

МВД официально подтвердило вирусную атаку на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Всего было заражено около одной тысячи компьютеров (0,1%), которые были оперативно блокированы, говорится в заявлении на сайте ведомства. В МВД утверждают, что их серверные ресурсы не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус», и что утечка служебной информации с информационных ресурсов МВД России полностью исключена.

Участники российского финансового рынка не пострадали от масштабных хакерских атак вечером 12 мая, заявил РБК источник, близкий к FinCERT (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) ЦБ. «Все находится под контролем, все участники рынка предупреждены о совершенной угрозе», — сказал источник РБК .

Позднее Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены. «Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло», — сказано в сообщении Сбербанка, поступившем в РБК.

В нем также подчеркивается, что в связи с сообщениями о вирусных атаках, службы банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности.

Вечером 12 мая появилась информация об атаках хакеров на сети российских телекоммуникационных компаний («МегаФон», «ВымпелКом»), а также силовых ведомств. Компания «МегаФон» пострадала от атаки меньше, чем могла бы, из-за быстрой реакции служб компьютерной безопасности, которые отключили значимую часть компьютеров. И из-за того, что она произошла в пятницу вечером, а не в понедельник утром, сообщил Business FM директор по связям с общественностью «МегаФон» Петр Лидов.

Петр Лидов директор по связям с общественностью «МегаФон» «Сейчас уже нормальная ситуация, тишина. У нас во второй половине дня сегодня повреждены были достаточно большое количество компьютеров. Я это увидел в головном офисе, соответственно, наши сотрудники по IT-безопасности быстро локализовали проблему, отключили сети, вынуждены были отключить некоторые внутренние сети, чтобы не было дальнейшего распространения. Что касается абонентов, до того момента, где они могли это почувствовать, первое — это в точках розничной торговли, потому что там нужен доступ к базам и так далее. И второй момент — это при звонке службы поддержки, потому что там тоже во многих колл-центрах не могли операторы получить доступ к своим компьютерам. Связь работала нормально, все хорошо в этом смысле, личный кабинет тоже работает, на этот момент мы восстановили полностью работу колл-центров, все проверили, и дальше занимаемся с точками розничной торговли, хорошо, что это произошло вечером в пятницу».

Хакерская атака затронула практически весь мир — 74 страны. Однако наиболее сильно пострадала Россия, сообщили «Интерфаксу» в «Лаборатории Касперского». Атака была совершена программой-шифровальщиком WannaCry. Мошенники блокировали компьютеры и вымогали за расшифровку данных от 300 до 600 долларов в криптовалюте — биткоин. Их перевод невозможно отследить.

Помимо ведомств, частных компаний, банков хакерская атака угрожает и обычным пользователям. В опасности оказались только компьютеры или смартфоны тоже? И как избежать заражения своего устройства?

Алексей Раевский гендиректор компании Zecurion «Атаке подвержены только настольные операционные системы от Windows, Microsoft, все остальные — Mac и Linux — не подвержены. Этот вирус использует уязвимость в операционной системе Windows. Этот вирус не опасен для владельцев смартфонов. Насколько я знаю, даже Windows mobile здесь не затронут этой уязвимостью. Есть еще масса других всяких вирусов, которые поражают Android и Mac, другие операционные системы. У кого дома Windows, надо установить все последние обновления, потому что на самом деле эта уязвимость была закрыта еще несколько месяцев назад. Был выпущен патч Microsoft, который эту уязвимость устраняет. Заражению данным вирусом подверглись те компьютеры, на которых не было установлено обновление. В принципе, этого достаточно. Если вы не уверены, что у вас установлено обновление последнее, то надежнее всего отключить компьютер от сети или вообще его выключить, потому что данный вирус распространяется не по электронной почте, а он сканирует все компьютеры, до которых может дотянуться и устанавливается на них. Обычная стандартная рекомендация в данном случае — не открывать подозрительные аттачменты к электронным письмам и не кликать по подозрительным ссылкам, в данном случае этого недостаточно. Самый лучший вариант — это восстановить зашифрованные файлы из резервной копии. То есть это еще один момент, на который я хотел бы обратить внимание: резервное копирование — это очень важный аспект в обеспечении информационной безопасности, и сейчас существует очень много сервисов — и платных, и очень дешевых, если бэкапа нет, то здесь высока вероятность того, что данные будут уничтожены, потому что даже если заплатить выкуп автору или распространителю этого вируса, то совершенно нет никакой гарантии, что они пришлют ключ, и можно будет расшифровать файлы. Может получиться такая ситуация, что деньги вы пошлете, а в ответ ничего не получите. После атаки компьютер не умер. Если почистить операционную систему, уничтожить этот вирус, даже не обязательно Windows переустанавливать, то есть достаточно загрузиться с какого-то носителя внешнего, раньше компакт-диски для этого использовались, сейчас флешки, можно загрузиться, почистить операционную систему и дальше пользоваться. Но с данными можно попрощаться».

Корпорация Microsoft выпустила обновления для операционных систем Windows XP, Windows 8 и Windows Server 2003 для защиты пользователей от атак WannaCry. Об этом «Интерфаксу» сообщила представитель компании Кристина Давыдова. По ее словам, пользователи бесплатного антивируса компании и обновленной версии Windows защищены. В России и по всему миру от хакерских атак пострадали самые разные ведомства, государственные учреждения и частные компании. «Российские железные дороги» сообщила о «вирусной атаке» на свою IT-инфраструктуру. «Вирус в настоящее время локализован, проводятся технические работы по его уничтожению и обновлению антивирусной защиты», — заявили в компании.

В Центробанке заявили, что зафиксировали массовые хакерские атаки на банки, но ресурсы кредитных организаций не скомпрометированы. Атаке подверглись компьютеры внутренней сети МВД. Как утверждают источники «Медиазоны», устройства ведомства заражены в нескольких регионах.

Министерство сначала опровергало вирусную атаку, однако позже официально подтвердило ее. Также стало известно, что в ряде регионов России из-за вирусной атаки на компьютеры МВД не работает система выдачи водительских прав. Об этом сегодня ТАСС сообщил источник в правоохранительных органах.

Хакеры затронули и банковский бизнес. На сайте «Пикабу» появилась фотография, которая, как гласит подпись, сделана в одном из отделений Сбербанка в Санкт-Петербурге. В кадре: сенсорная панель с логотипом и дизайном банка, посередине экрана открыто диалоговое окно ярко-красного цвета, где на русском написано, что компьютер заблокирован. Нужно заплатить 300 долларов в биткойнах, либо данные на нем будут уничтожены через шесть часов. Ранее Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены.

Во Франции несколько заводов Renault встали из-за кибератаки, сообщает в субботу портал France Info. Остановка стала частью мер защиты, которые были приняты, чтобы избежать распространения вируса, уточнили в компании. Одной из первых жертв вируса стали испанские компании — телекоммуникационная компания Telefonica, газовая Gas Natural, Iberdrola, занимающаяся поставками электричества, а также банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения, в Португалии — крупнейшего провайдера телекоммуникационных услуг Portugal Telecom.

Британская The Telegraph намекнула на участие России в масштабной хакерской атаке. По мнению издания, о связи злоумышленников с Россией говорят опубликованные предупреждения группировки Shadow Brokers в отношении президента США после того, как он инициировал ракетные удары по Сирии. Некоторые эксперты считают, что последовательность событий указывает на связь Shadow Brokers с российскими властями. Однако председатель правления Института развития Интернета Герман Клименко считает, что масштабная атака хакеров никак не политизирована.

директор и владелец компании Liveinternet, советник президента РФ по проблемам Интернета «Очень сложно сказать, что мы пострадали больше всех. Дело в том, что атаки проявляются, только когда о них заявляют, многие предпочитают молчать по разным причинам. Сама структура вируса связана с вымогательством, люди не очень охотно рассказывают, особенно когда идут навстречу вымогателям. На мой взгляд, это обычная коммерческая история, вряд ли это как-то связано с уровнем компьютерной грамотности. Нужно вам сказать, что за нами охотятся, но этот вирус, классический вирус-вымогатель, который используют обычные преступники, не надо искать смысла в простых убийствах, например, нет там никакой политической подоплеки. Мне кажется, что просто идет очередная волна вирусных технологий, которые проходят испытания, возможно, эти хакеры предпочитают отрабатывать технологии в одном регионе, и потом его уже отработанным использовать в других регионах. Мне кажется, что здесь политических смыслов особых нет, это классическая демонстрация для нас того, как международное криминальное сообщество хакерское может доставлять неудобства, и главное из этого сделать выводы и серьезнее подходить к вопросам обеспечения безопасности, как государственных структур, так и частных».

О чем говорит тот факт, что от вируса в России в большей степени пострадали госучреждения и ведомства?

Роман Ромачев генеральный директор агентства разведывательных технологий «Р-Техно» «Мне кажется, они действительно плохо защищались, поэтому и пострадали. Тут еще вопрос в том, что чем больше будет таких публикаций о том, что пострадали наши правоохранительные органы, какие-то крупные компании, тем, скорее всего, больше вероятность того, что руководство компании задумается об информационной безопасности, и в будущем они будут более тщательно подходить к этому вопросу. Ведомственные компьютеры очень сильно регулируемы, то есть все программное обеспечение, все обновление жестко регулируется. И вполне возможно, что касается обновлений, действительно, ведомства опоздали, затянули, использовали старое антивирусное обеспечение, возможно, какое-то старое программное обеспечение. Возможно, пользователи скачали где-то с Интернета какое-то не лицензионное программное обеспечение, возможно, где-то опять же серфили по Интернету и подхватили тот самый вирус, в связи с чем они очень сильно пострадали. В первую очередь, это бюрократия, она очень сильно и жестко регулирует программное обеспечение ведомственных компьютеров, то есть то нельзя, второе — нельзя. В то же время пользователи очень слабо образованы в сфере информационной безопасности, это надо откровенно сказать. А во-вторых, программное обеспечение, которое когда-то они купили по контракту, скажем, несколько лет назад, просто-напросто не обновляется. Я думаю, это слепая атака, но это достаточно серьезный вызов для нашей правоохранительной системы, то есть если они не найдут виновников, скорее всего, это будет повторяться впредь».

Помимо России, серьезно пострадали Украина, Индия и Япония. Атаке подверглись несколько телефонных компаний в Испании и Португалии, а также основной железнодорожный концерн Германии. Кроме того, были атакованы компьютеры госпиталей в Великобритании. Пациент одной из больниц рассказал BBC, что из-за этого у него сорвалась операция на сердце:

«У меня была запланирована операция на сердце. Я ждал ее много-много месяцев. Теперь они смогут сделать ее только в пятницу. Представьте, меня уже побрили, побрили мне руки, мы уже были готовы начать, я с утра себя настраивал, и вдруг перед самым началом хирург мне сказал: «К сожалению, нас взломали! Мы ничего не можем сделать, не можем прооперировать вас сегодня». Их беспокоило, что, если мне понадобится переливание крови, у них не будет возможности определить нужную группу крови. За все это отвечала компьютерная система. Кто-то сказал, что также взломали банки, я не знаю, правда это или нет, но я читал, что много больниц подверглись атаке по всей стране, их взломали. Кому взбрело в голову взламывать больницы?»

Согласно информации The Financial Times , вирус WannaCry был создан хакерами, которые смогли заполучить коды шпионской программы, разработанной Агентством национальной безопасности США. Использовав ее как основу, они создали более опасную разновидность, направленную на вымогательство. Похожую версию выдвинули экс-сотрудник АНБ Эдвард Сноуден и сайт Wikileaks.

По данным анонимного программиста, который ведет

Представляем Вашему вниманию еще одну родительскую категорию, которая называется «Компьютерные вирусы, антивирусы и хакеры». Чему посвящена данная категория?
Как думаю несложно догадаться по названию данной категории, тут Вы найдете статьи, которые посвящены деятельности хакеров и результатам этой деятельности — компьютерным вирусам. Данная категория вбирает в себя три подкатегории, каждый из которых я вкратце Вам представлю:
Вирусы . В данной подкатегории представлены статьи, которые знакомят читателей с особенно выделяющимися и знаменитыми компьютерными вирусами за всю историю существования высоких технологий. Кроме этого, в данной подкатегории можно найти советы по противодействию различным надоедливым вирусам.
Хакеры . Данный раздел посвящен той части деятельности хакеров, которые не вписались в первую категорию. Тут можно будет найти биографию известных хакеров, а так же другие результаты их деятельности, ведь хакеры не только пишут вирусы.
Вот такое короткое резюме получилось про категорию Вирусы и Хакеры.

Tencent QQPCMgr — как удалить вирус с компьютера?

Для тех кто не знает, Tencent — это китайский антивирус(если эта информация действительно имеет под собой корни). Однако его работу мало кому удастся проверить, если не знать китайского языка. Но стоит лишь немного знать принципы…

CrashSafari.com — сайт, вызывающий краш смартфонов IOS и Android

Переход по этой ссылке[потерто] вызовет перезагрузку практически любого смартфона и даже мощные компьютеры отправятся ненадолго в нокаут. Довольно простой скрипт добавляет в строку поиска любого браузера многие тысячи символов каждую секунду, что довольно быстро приводит…

Как удалить вирус SSFK.exe — браузер угонщик

По долгу дружбы и родственных связей пришлось поближе познакомиться с еще одним браузером угонщиком, общее название которому можно дать по одному из вирусных процессов — SSFK.exe. Этот вирус, который мы будем ниже удалять, -контролирует все…

Как скрыто запустить программу на C#?

Приветствую всех юных хакеров и прочих созданий, которым важно сделать свою программу скрытой и невидимой для глаз пользователя. И делать все это мы будем в Visual Studio, используя прекрасный язык C#. Скрытый запуск программы в…

Безопасность в Windows 7

Сегодня мы поговорим о безопасности в последней наиболее популярной клиентской операционной системе. С одной стороны Windows 7 получила сертификацию Evaluation Assurance Level (EAL) 4, с другой стороны популярность ОС привлекает к себе внимание огромного количества…

Windows 7 не подвержена новой уязвимости

Крупнейший мировой производитель программного обеспечения компания Microsoft опровергла слухи о якобы имеющейся в ее новой операционной системе Windows 7 уязвимости, используя которую лицо, проводящую атаку, может управлять операционной системой. Согласно официальному заявлению корпорации, окончательная версия…

Время перебора паролей или почему это бесполезно

Время, необходимое для перебора паролей - каково оно? Если Вы задались вопросом «Как можно перебрать пароли к чужому аккаунту» и получить к нему доступ, то Вы по адресу. Тут я попробую переубедить Вас от этой затеи. Почему? Да потому что нефиг пробовать делать то, что не умеешь. Захотели…

Навигация по статьям

В более, чем 8000 страниц доклада Vault 7 упоминается более 20 антивирусов от известных во всем мире компаний, среди которых Avast, Kaspersky, McAfee, Norton, Microsoft Security Essentials. Кроме того, в отчете содержатся комментарии хакеров ЦРУ об эффективности продуктов от пяти вендоров, которые предназначены для защиты в том числе от шпионажа.

Многие компании моментально отреагировали на публикацию и в подробностях сообщили механизмы взлома смартфонов, компьютеров и смарт-телевизоров средствами ЦРУ, а также выпустили рекомендации по защите от шпионажа. Некоторые вендоры заявили, что для надежной защиты пользователей от попыток эксплуатации уязвимостей требуется тесное сотрудничество компаний.

Руководитель компании Avast Software Винс Стеклер так прокомментировал ситуацию: “Хакеры всегда ищут способ для эксплуатации программных уязвимостей. Последние утечки как никогда привлекают наше внимание к проблемам безопасности целевых платформ”.

“Существует острая необходимость в сотрудничестве с другими представителями антивирусной индустрии и в открытых платформах между поставщиками безопасности и мобильными операционными системами, чтобы всегда оставаться на шаг впереди в этой игре в кошки-мышки”.

Портал Newsweek показал, как ЦРУ поступает с антивирусами, которые мы повседневно используем для защиты компьютеров и устройств. Ниже представлено мнение агентства о пяти антивирусных вендорах.

F-Secure

Финская компания F-Secure предоставляет свои услуги миллионам домашних пользователей и более 100000 корпоративных пользователей. В классификации ЦРУ финский антивирус получил описание как “продукт низкого уровня, которые вызывает минимальные трудности”.

Руководитель исследовательского подразделения F-Secure Микко Хиппонен (Mikko Hypponen) сказал, что нет ничего удивительного, в том, что специализированные техники взлома ЦРУ позволили обойти защитные меры, используемые в F-Secure.

Хиппонен заявил: “F-Secure упоминается в утечке в том контексте, что ЦРУ может беспрепятственно обходить защиту некоторых наших продуктов. Однако, агентство всегда сможет найти способ для обхода наших продуктов. Даже если они могут сделать это прямо сейчас, то многомиллионные инвестиции позволят обнаружить брешь в безопасности”.

Avira

Немецкая компания Avira описывается ЦРУ как “схожая с F-Secure”. Одни и та же уязвимость в обоих продуктах может эксплуатироваться с помощью идентичного хакерского инструмента.

Avira предоставляет услуги защиты для более 100 миллионов пользователей через партнерские отношения с другими компаниями.

По данным ЦРУ, Avira исторически была популярным продуктом среди контртеррористических целей, но “как правило, от ее защиты можно легко уклониться”.

Kaspersky

Российская антивирусная компания “Лаборатория Касперского” также упоминается в докладе Vault 7. Судя по рассекреченным документам, ЦРУ удавалось обходить защитные механизмы продуктов компании.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.

Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.

AVG

AVG стал более серьезным испытанием для ЦРУ. Простые техники взлома были успешно отражены продуктом, но в конечном итоге хакерам удалось обойти защитные механизмы решения.

Обнаруженная уязвимость эксплуатировалась с помощью сложной техники Process Hollowing. В документах ЦРУ используется следующее описание: “Недурно, и под недурно имеется в виду очень мило”.

Comodo

Компания Comodo, которая разрабатывает в том числе корпоративные решения безопасности, получила почетный знак от ЦРУ, который описывается в документах как “невыносимая боль в заднице”.

В документе упоминается, что “Comodo ловит абсолютно все, включая стандартные сервисы Windows, пока вы сами это не остановите”.

Самопровозглашенный “Глобальный лидер в решениях кибербезопасности” оступился в одной из версий антивирусной защиты, которая содержит очень легкие в эксплуатации уязвимости. Хакер ЦРУ описывает атаку на версию Comodo 4-х летней давности.

В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.

Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ. Получить звание “невыносимая боль в заднице” от такой экспертной хакерской организацией с гигантским финансированием, как ЦРУ, является для нас поводом для гордости. Версия Comodo Internet Security 6.x уже давно устарела, а значит устарели и упоминаемые уловки агентства”.

Нашли опечатку? Нажмите Ctrl + Enter