У вируса-вымогателя WannaCry появились клоны
Но его активность снижаетсяНа прошлой неделе вирус-вымогатель WannaCry парализовал работу Windows-компьютеров по всему миру. Он шифровал файлы на зараженных компьютерах и требовал выкуп в $300 в биткоинах. Атаку остановили, но за выходные у программы-вымогателя WannaCry появились две модификации, сообщает «Лаборатория Касперского». По мнению компании, ни один из них не был создан авторами оригинального вымогателя. Они были созданы другими киберпреступниками, которые решили воспользоваться ситуацией. Первый клон начал распространяться ранним утром воскресенья, три жертвы этого вымогателя «Лаборатория Касперского» обнаружила в России и Бразилии. Вторая модификация, по данным компании, научилась обходить тот кусок кода, который помог остановить первую волну вируса. О вариации вируса сообщает и Bloomberg со ссылкой на компанию Comae Technologies, по данным которой, им заражено уже 10 000 компьютеров.
Сама «Лаборатория Касперского» заметила более 45 000 атак на пользователей во всем мире, но компания отмечает, что это лишь часть всех атак: учтены лишь пользователи ее продуктов, плюс эта цифра не включает в себя заражения внутри корпоративных сетей без свободного подключения к интернету. На сервере, собирающем обращения вредоносного кода, зарегистрировано более 200 000 уведомлений о заражениях, сообщает Bloomberg со ссылкой на Европол. Исследователи Malaware Tech, на данные которых ссылается The Wall Street Journal, в понедельник днем обнаружили следы WannaCry в 153 странах мира. Среди тех, кто оказался атакован вирусом, – Renault и Nissan, FedEx, Telefonica, Китайская национальная нефтегазовая корпорация.
Эксперты предупреждали о возможной эскалации вируса, но, по данным «Лаборатории Касперского», в понедельник было заражено в шесть раз меньше машин, чем в пятницу. Из этого «Лаборатория Касперского» делает вывод, что контроль над заражением уже установлен.
Вредоносная программа обращалась к специальному домену, и если тот не был зарегистрирован, то вирус начинал действовать, говоритcя в сообщении компании Group-IB. Исследователь из Великобритании такой домен зарегистрировал и массовая атака была остановлена, объясняет компания. Но вредоносная программа не сможет достичь домена, если в организации установлены специальные прокси-серверы, предупреждает Group-IB. Компания отмечает несколько его особенностей. Он самореплицируется на другие компьютеры, он умеет выбирать для шифрования наиболее чувствительные документы и файлы (электронную почту, архивы, офисные файлы, виртуальные машины и базы данных), а также связываться с командными серверами анонимной сетью Tor.