WannaCry – це серйозне крипто-зловмисне програмне забезпечення, яке потрапило в інтернет-спільноту в п’ятницю, 12 травня 2017 року. Спочатку його називали Wana Decrypt0r через внутрішню назву, зазначену на екрані блокування. Однак незабаром експерти з безпеки з’ясували, що у нього є більше варіантів, в т.ч Wana Decrypt0r, WannaCryptor, WannaCrypt, Wcry або WNCRY, і очікується, що варіації з’являтимуться й надалі.
Перша версія WannaCry, Wana Decrypt0r 2.0, була виявлена 12 травня 2017 року після того, як потрапила до іспанських лікарень Telefonica, Portugal Telecom і NHS в Англії.[1] Однак програмне забезпечення-вимагач не обмежувалося організаціями і атакувало домашні комп’ютери, які працюють застарілими Версії Windows, у яких відсутні патчі Microsoft, індексовані як MS17-010, CVE-2017-0146 та CVE-2017-0147.[2] Протягом кількох днів цьому шкідливому програмному забезпеченню вдалося заразити понад 230 000 комп’ютерів, розташованих у 150 країн, і ці цифри роблять WannaCry узгодженою з найвідомішими зараженнями програм-вимагачів подібно до Локі або Cerber.
WannaCryptor проникає в систему через уразливість EternalBlue, яка була виявлена у версіях Windows Vista, 7, 8, 10 і Windows Server. Ця конкретна вразливість була виправлена за допомогою оновлень безпеки MS17-010, CVE-2017-0146 і CVE-2017-0147, але багато ПК пропустили оновлення та залишили вразливість відкритою.
На жаль, якщо програма-вимагач WannaCry шифрує дані (використовує алгоритми AES і RSA), немає можливості безкоштовно розшифрувати файли. Люди можуть заплатити викуп за хакерів, відновити дані за допомогою резервних копій або забути про ці файли.[3]
Оновлення 2018 року
Цей вірус вважався старою загрозою, яка була відносно тихою, але в третьому кварталі 2018 року з’явилися новини про недавню активність WannaCry та інфекції в усьому світі. Цей криптовірус вже вразив більше пристроїв після поточних інцидентів, які почалися в липні 2018 року.
Повідомляється, що загальна кількість заблокованих заявок WannaCry у третьому кварталі 2018 року становить 947 027 517, а діяльність виявлена принаймні в 203 країнах. Дія вказує, що цей криптовірус не мертвий і небезпека реальна. Особливо, коли атаки програм-вимагачів все частіше впливають на великі компанії та служби.[4]
У WannaCry також є дешифратори, розроблені різними дослідниками протягом року цих атак. GitHub випустили інструменти дешифрування для різних версій, і вони можуть працювати для нових і активних варіантів загроз.
Успіх WannaCry дав можливість скопіювати тактику
На жаль, величезний «успіх» WannaCry підштовхнув розробників програм-вимагачів створити та випустити копії зловмисного програмного забезпечення. На момент написання статті експерти з безпеки зареєстрували вісім копій WannaCry, деякі з яких знаходяться на стадії розробки, а інші вже випущені. Тому будьте дуже обережні та забезпечте належний захист свого ПК. Це копії Wana Decrypt0r:
№ 1 DarkoderCrypt0r
DarkoderCrypt0r шифрує файли, розташовані на робочому столі ПК, використовує екран блокування, подібний до програми-вимагача WannaCryptor, необхідний для викупу, і виконує всі інші дії, типові для попередника. Виконуваний файл має назву @[електронна пошта захищена] Усі зашифровані дані мають розширення файлу .DARKCRY, а користувача ПК закликають сплатити викуп у розмірі 300 доларів США. Наразі він використовує код HiddenTear, що означає, що файли, які він шифрує, можна легко розшифрувати.
№ 2 WannaCrypt версії 2.5
Програма-вимагач WannaCrypt версії 2.5 наразі знаходиться на стадії розробки. Якщо він заражає ПК, він не блокує файли, за винятком того, що відображає екран блокування та вимагає сплатити викуп у розмірі 600 доларів США. Це ще не небезпечно, але може налякати людей до смерті.
№ 3 WannaCrypt 4.0
WannaCrypt 4.0 – це ще одна копія вірусу WannaCry, яку ще можна класифікувати як нешкідливу. Він поширюється так само, як і будь-який інший вірус-вимагач, за винятком того, що він не шифрує файли. Записка про викуп, заблокований екран та інша інформація надаються тайською мовою, що означає, що вона буде націлена на користувачів із Таїланду.
№ 4 Генератор Aron WanaCrypt0r 2.0 v1.0
Aron WanaCrypt0r 2.0 Generator v1.0 називається настроюваним генератором програм-вимагачів WannaCry. Це дозволяє людям вибирати текст, кольори, зображення, шрифт та інші налаштування екрана блокування WannaCry. Є припущення, що хакери також використовують виконуваний файл Wana Decrypt0r і поширюють його для отримання викупу. На щастя, ця «послуга» ще не доступна. Люди можуть створювати лише налаштований екран блокування WannaCry, але виконуваний файл програми-вимагача не поширюється.
№ 5 Wana Decrypt0r 2.0
Виконуваним файлом Wana Decrypt0r 2.0 є MS17-010.exe. Екран блокування та записка про викуп схожі на WannaCry. Доступна індонезійська версія вірусу.
№ 6. @kee
@kee ransomware шифрує особисті файли та надає записку про викуп у листі «Привіт! Колега @kee User!.txt“.
№ 7. WannaDecryptOr 2.0
WannaDecryptOr 2.0 ще не повністю розроблений. Він здатний заражати комп’ютери, але не може шифрувати файли. Крім того, це екран блокування, а записка про викуп не містить інформації про вірус та інструкцій щодо сплати викупу. Тим не менш, дуже важливо видалити вірус, оскільки він може бути оновлений незабаром, а потім зашифрувати файли.
№ 8. Хочу підписатися 1.0
Отримано ще не так багато інформації. Це загроза, написана на Java і має сірий колір, як раніше відоме вікно викупу.
Як бачите, вірус WannaCry має багато клонів, деякі з яких уже розповсюджені, а інші знаходяться на стадії розробки. Однак важливо правильно оновити та захистити свій ПК. в це і це у публікаціях ви можете знайти інформацію про те, які запобіжні заходи слід вжити, щоб захистити себе від атаки WannaCry, і які кроки слід вжити, якщо ваш комп’ютер вже заражений. Використовуючи ці профілактичні заходи, ви захистите систему від усіх варіантів WannaCry, включаючи її імітатори.