All'improvviso, sullo schermo di un computer con Windows viene visualizzata una finestra con le informazioni che i file degli utenti sono crittografati e possono essere decrittografati solo pagando agli hacker un riscatto di $ 300. Questo deve essere fatto entro tre giorni, altrimenti il \u200b\u200bprezzo raddoppierà e dopo settimana i dati verranno cancellati definitivamente. Piuttosto, fisicamente, rimarranno sul disco, ma sarà impossibile decrittarli. Per dimostrare che i dati possono essere effettivamente decifrati, si suggerisce di utilizzare la "versione demo gratuita".
Esempio di un messaggio su un computer compromesso
Cos'è la crittografia
Puoi crittografare tutti i dati sul tuo computer. Poiché sono tutti file, cioè sequenze di zeri e uno, è possibile scrivere gli stessi zeri e uno in una sequenza diversa. Ad esempio, se concordiamo che al posto di ogni sequenza "11001100" scriveremo "00001111", quindi dopo aver visto "00001111" nel file crittografato, sapremo che in realtà è "11001100", e potremo facilmente decrittografare i dati. Informazioni su ciò che cambia in quella che viene chiamata chiave di cifratura e, ahimè, solo gli hacker hanno la chiave in questo caso. È individuale per ogni vittima e viene inviato solo dopo il pagamento dei "servizi".
Gli hacker possono essere catturati
In questo caso, il riscatto deve essere pagato utilizzando bitcoin, una criptovaluta elettronica. L'essenza dell'utilizzo dei bitcoin, in breve, è che i dati di pagamento vengono trasmessi attraverso una catena di server in modo tale che ogni server intermedio non sappia chi sia il mittente e il destinatario originario del pagamento. Quindi, in primo luogo, il "beneficiario" finale è sempre completamente anonimo, e in secondo luogo, il trasferimento di denaro non può essere contestato o annullato, cioè un hacker, ricevendo un riscatto, non rischia nulla. La capacità di ricevere ingenti somme di denaro rapidamente e impunemente motiva gli hacker a cercare nuovi modi per hackerare.
Come proteggersi dall'hacking
In generale, il ransomware esiste da dieci anni - di regola, erano cavalli di Troia. Cioè, il programma ransomware è stato installato per sua stessa stupidità dall'utente stesso, ad esempio, con il pretesto di un "crack" per hackerare una costosa suite per ufficio o una serie di nuovi livelli per un gioco popolare, scaricati dal nulla. L'igiene di base del computer protegge da tali Trojan.
Tuttavia, ora stiamo parlando di un attacco di virus (virus Wanna Decrypt0r 2.0) che sfrutta le vulnerabilità nei sistemi operativi Windows e nei protocolli di trasferimento file di rete (SMB), che rende infetti tutti i computer della rete locale. Gli antivirus tacciono, i loro sviluppatori non sanno ancora cosa fare e stanno solo studiando la situazione. Quindi l'unico modo per proteggersi è eseguire regolarmente il backup dei file importanti e archiviarli su dischi rigidi esterni scollegati dalla rete. Puoi anche utilizzare sistemi operativi meno vulnerabili: Linux o Mac OS.
"Oggi i nostri specialisti hanno aggiunto un aggiornamento: rilevamento e protezione contro un nuovo malware noto come Ransom: Win32.WannaCrypt. A marzo abbiamo anche aggiunto un aggiornamento di sicurezza che fornisce una protezione aggiuntiva contro un potenziale attacco. Gli utenti del nostro antivirus gratuito e di Windows aggiornato sono protetti. Stiamo collaborando con gli utenti per fornire ulteriore assistenza ".
Christina Davydova
addetto stampa per Microsoft Russia
Come salvare i file
Se i file sono già crittografati, ma non esiste una copia di backup, ahimè, dovrai pagare. Tuttavia, non vi è alcuna garanzia che gli hacker non li crittograferanno di nuovo.
Gli hack non porteranno a cataclismi globali: senza atti o rapporti contabili locali, ovviamente, è difficile, ma i treni funzionano e la rete MegaFon funziona senza errori: nessuno si fida dei dati critici sui normali PC da ufficio basati su Windows e sui server dispongono di una protezione multistadio contro l'hacking (fino all'hardware a livello di router), o completamente isolati da Internet e dalle reti locali a cui sono collegati i computer dei dipendenti. A proposito, solo in caso di attacchi informatici, i dati importanti delle agenzie governative vengono archiviati su server in esecuzione su speciali assembly Linux resistenti alla crittografia che hanno la certificazione appropriata, e il Ministero degli affari interni gestisce anche questi server su processori Elbrus russi, per l'architettura di cui gli aggressori sicuramente non hanno compilato il codice del virus ...
Cosa succederà dopo
Più persone sono colpite dal virus, paradossalmente sarà meglio: sarà una bella lezione di cybersecurity e ti ricorderà la necessità di backup costanti dei dati. Dopotutto, non solo possono essere distrutti dagli hacker (un altro 1000 e 1 modo), ma anche persi con la perdita fisica del supporto su cui sono stati archiviati, e quindi solo se stessi saranno da incolpare. Sarai felice di pagare sia $ 300 che $ 600 per le fatiche di tutta la tua vita, che non ci sia nessuno!
- 12 maggio 2017, 19:43 I sistemi informatici del Ministero degli affari interni e Megafon hanno subito un attacco di virus
Il sistema informatico interno del Ministero degli affari interni della Russia è stato colpito da un virus, riferisce "Varlamov.ru" con riferimento a diverse fonti che hanno familiarità con la situazione.
La fonte di Mediazona al ministero dell'Interno ha confermato l'infezione dei computer dipartimentali. Secondo lui, stiamo parlando di dipartimenti in diverse regioni.
In precedenza, le informazioni su una possibile infezione da virus apparivano sul sito Web di Pikabu e sul forum di Kaspersky. Secondo alcuni utenti, questo è un virus WCry (conosciuto anche come Voglio piangere o WannaCryptor) - crittografa i file degli utenti, cambia la loro estensione e richiede l'acquisto di uno speciale decryptor per bitcoin; in caso contrario, i file verranno eliminati.
Secondo gli utenti del forum Kaspersky, il virus è apparso per la prima volta nel febbraio 2017, ma "è stato aggiornato e ora ha un aspetto diverso rispetto alle versioni precedenti".
Il servizio stampa di "Kaspersky" non ha potuto prontamente commentare l'incidente, ma ha promesso di rilasciare una dichiarazione nel prossimo futuro.
Membro dell'azienda Avast Jakub Kroustek segnalato ha twittato che almeno 36.000 computer sono stati infettati in Russia, Ucraina e Taiwan.
Il sito web di Varlamov rileva che sono apparse anche informazioni sull'infezione di computer negli ospedali pubblici in diverse regioni del Regno Unito e su un attacco a una società di telecomunicazioni spagnola. Telefonica... In entrambi i casi, il virus chiede anche il pagamento.
La società ha notato che nell'aggiornamento di marzo era già stata fornita una protezione aggiuntiva contro tali virus.
“Gli utenti del nostro antivirus gratuito e di Windows aggiornato sono protetti. Stiamo lavorando con gli utenti per fornire ulteriore assistenza ", ha aggiunto la società.
In precedenza, Kaspersky Lab "Mediazone" che il virus WannaCrypt sfrutta una vulnerabilità di rete di Windows, chiusa dagli specialisti Microsoft a marzo.
Il ministero dell'Interno ha confermato gli attacchi degli hacker ai propri computer
Il Ministero degli Affari Interni ha confermato gli attacchi degli hacker ai propri computer, riferisce RIA Novosti.
Secondo la segretaria stampa del ministero dell'Interno Irina Volk, il dipartimento di informatica, comunicazioni e protezione delle informazioni del ministero ha registrato un attacco di virus sui computer del ministero degli Interni con sistema operativo Windows.
"Grazie alle misure tempestive adottate, sono stati bloccati circa un migliaio di computer infetti, meno dell'1%", ha detto Volk, aggiungendo che le risorse del server del Ministero degli affari interni non sono state infettate, poiché funzionano su altri sistemi operativi.
"Al momento, il virus è stato localizzato, sono in corso lavori tecnici per distruggerlo e aggiornare la protezione anti-virus", ha detto una portavoce del ministero.
Più di seimila dollari trasferiti ai portafogli bitcoin degli hacker che hanno diffuso il virus WannaCry
Almeno 3,5 bitcoin sono stati trasferiti agli hacker che hanno diffuso il virus ransomware WannaCry, scrive Meduza. Secondo il tasso di $ 1.740 per bitcoin alle 22:00, ora di Mosca, questo importo è di $ 6090.
Meduza è giunta a questa conclusione basandosi sulla cronologia delle transazioni sui portafogli bitcoin, a cui il virus ha chiesto di trasferire denaro. Gli indirizzi del portafoglio sono stati pubblicati in un rapporto di Kaspersky Lab.
Su tre wallet, il 12 maggio sono state effettuate 20 transazioni. Fondamentalmente, hanno trasferito loro 0,16-0,17 bitcoin, che equivalgono a circa $ 300. Gli hacker hanno chiesto di pagare questo importo in una finestra pop-up sui computer infetti.
Avast contati 75mila attacchi in 99 paesi
Azienda IT Avast ha riferito che il virus WanaCrypt0r 2.0 ha infettato 75mila computer in 99 paesi, secondo il sito web dell'organizzazione.
La maggior parte dei computer in Russia, Ucraina e Taiwan sono infetti.
13 ore fa, il blog dello specialista della sicurezza informatica Brian Krebs ha pubblicato un record di trasferimento di bitcoin agli hacker per un importo totale di 26mila dollari USA.
Europol: 200mila computer in 150 paesi hanno subito un attacco di virus
Infezione da virus Voglio piangere in tre giorni, più di 200mila computer in 150 stati sono già stati sottoposti, ha detto in un'intervista a un canale televisivo britannico ITV Direttore del servizio di polizia europeo Europol Rob Wainwright. Le sue parole sono citate Sky News.
“La diffusione del virus in tutto il mondo è senza precedenti. Secondo le ultime stime, ci sono 200.000 vittime in almeno 150 paesi, comprese le imprese, comprese le grandi società ", ha detto Wainwright.
Ha suggerito che il numero di computer infetti potrebbe aumentare in modo significativo quando le persone torneranno a lavorare sui loro computer lunedì. Allo stesso tempo, Wainwright ha notato che finora le persone hanno trasferito "sorprendentemente poco" denaro ai distributori del virus.
In Cina il virus ha attaccato i computer di 29mila istituzioni
Virus Voglio piangere computer attaccati di oltre 29mila istituzioni, il numero dei computer colpiti arriva a centinaia di migliaia, l'agenzia di stampa Xinhua cita i dati del centro di valutazione delle minacce informatiche Qihoo 360.
Secondo i ricercatori, i computer di oltre 4.340 università e altre istituzioni educative sono stati attaccati. Inoltre, sono state rilevate infezioni sui computer di stazioni ferroviarie, organizzazioni postali, ospedali, centri commerciali e agenzie governative.
"Non ci sono stati danni significativi per noi, per le nostre istituzioni - né per le banche, né per il sistema sanitario, né per altri", ha detto.
“Per quanto riguarda la fonte di queste minacce, quindi, secondo me, la leadership di Microsoft lo ha dichiarato direttamente, ha detto che la fonte primaria di questo virus sono i servizi segreti degli Stati Uniti, la Russia non ha assolutamente nulla a che fare con esso. È strano per me sentire qualcosa di diverso in queste condizioni ”, ha aggiunto il presidente.
Putin ha anche chiesto di discutere il problema della sicurezza informatica "a un serio livello politico" con altri paesi. Ha sottolineato che è necessario "sviluppare un sistema di protezione contro tali manifestazioni".
Il virus Voglio piangere sono apparsi i cloni
Il virus Voglio piangeresono apparse due modifiche, scrive Vedomosti riferendosi a Kaspersky Lab. L'azienda ritiene che entrambi i cloni siano stati creati non dagli autori del ransomware originale, ma da altri hacker che stanno cercando di trarre vantaggio dalla situazione.
La prima modifica del virus ha iniziato a diffondersi la mattina del 14 maggio. Kaspersky Lab ha rilevato tre computer infetti in Russia e Brasile. Il secondo clone ha imparato a bypassare il pezzo di codice che ha fermato la prima ondata di infezioni, ha osservato la società.
Scrive anche di cloni di virus Bloomberg... Fondatore dell'azienda Comae TechnologiesLo specialista della sicurezza informatica Matt Suish ha affermato che circa 10mila computer sono stati infettati dalla seconda modifica del virus.
Secondo Kaspersky Lab, oggi sono stati infettati sei volte meno computer rispetto a venerdì 12 maggio.
Virus Voglio piangere potrebbe essere stato creato da un gruppo di hacker nordcoreano Lazzaro
Virus ransomware Voglio piangere potrebbe essere stato creato da hacker del gruppo nordcoreano Lazarus, secondo un sito web specializzato di "Kaspersky Lab".
Gli specialisti dell'azienda hanno attirato l'attenzione sul tweet dell'analista Google Neil Mehta. Come concluso a Kaspersky Lab, il messaggio indica una somiglianza tra i due campioni: hanno un codice comune. Il tweet presenta un campione crittografico Voglio piangere da febbraio 2017 e gruppo campione Lazzaro datato febbraio 2015.
"Il detective sta girando sempre di più e ora lo stesso codice si trova in # Voglio piangere e nei Troiani da Lazzaro», —
Software dannoso è il nome di tutti i prodotti software noti per danneggiare l'utente finale.
I criminali informatici continuano a escogitare modi nuovi e intelligenti per distribuire malware, la maggior parte dei quali sono progettati per il sistema operativo Android. In questo caso, il virus può essere "catturato" non solo su qualche sito dubbio, ma anche ricevendo un messaggio con un link da una persona che conosci (amico, parente, collega).
Una delle modifiche del software dannoso per smartphone e tablet basato sul sistema operativo Android, una volta che colpisce il tuo dispositivo mobile, invierà prima un collegamento con un messaggio amichevole "Controlla il collegamento!" o "La mia foto per te" per l'intero elenco dei contatti. Tutti coloro che seguono il collegamento riceveranno il virus sul proprio smartphone.
Ma il più delle volte, i criminali spacciano i trojan come applicazioni utili.
Qual è la minaccia del virus?
Il cavallo di Troia risultante può non solo inviare SMS ai tuoi amici, ma anche svuotare il tuo account. I trojan bancari sono tra i più pericolosi. Tutti i proprietari di gadget che utilizzano applicazioni bancarie possono soffrirne. Gli utenti di smartphone Android sono i più a rischio: il 98% dei Trojan bancari mobili è progettato per questo sistema operativo.
Quando viene avviata un'applicazione bancaria, il Trojan mostra la propria interfaccia sull'interfaccia di una vera banca mobile. E ruba così tutti i dati che l'utente inserisce. Il malware più avanzato può falsificare le interfacce di dozzine di diverse banche mobili, sistemi di pagamento e persino sistemi di messaggistica.
Un altro passo importante nel furto di denaro è l'intercettazione di SMS con password monouso per effettuare pagamenti e trasferimenti. Pertanto, i trojan di solito necessitano dei diritti di accesso agli SMS, motivo per cui dovresti prestare particolare attenzione alle applicazioni che richiedono tali diritti.
Segni che il tuo telefono è infetto
Esistono diversi segnali che indicano che il tuo telefono è stato infettato da malware:
- Invio di SMS nascosti all'elenco dei contatti: amici, conoscenti e colleghi che hanno ricevuto messaggi dubbi iniziano a contattarti;
- Spesa rapida dei fondi: i fondi dal conto personale vengono addebitati più velocemente del solito;
- Addebiti non autorizzati da una carta bancaria;
- Assenza di SMS dalla banca - quando il servizio di “Informazione SMS” è connesso, non ricevi più notifiche SMS sul prelievo di fondi dal conto;
- La batteria si scarica più velocemente.
come ti proteggi?
- Monitorare regolarmente il rilascio degli aggiornamenti di sicurezza per il sistema operativo del proprio dispositivo mobile e installarli in modo tempestivo;
- Installa il software antivirus sul tuo smartphone, tablet, dopo l'installazione, aggiornalo e controlla il tuo dispositivo mobile;
- Utilizzare un software antivirus in linea e aggiornarlo regolarmente;
- Scarica ed esegui applicazioni solo dagli store ufficiali: Play Store, App Store, Google Play e così via;
- Fare attenzione quando si concedono i diritti alle applicazioni: i programmi che richiedono diritti di accesso per elaborare i messaggi SMS meritano un atteggiamento particolarmente sospetto;
- Pensa prima di seguire un collegamento. Non perdere la vigilanza, non aprire collegamenti da lettere o SMS, o messaggi sui social network, se non sei sicuro che il messaggio provenga da un destinatario noto e sia sicuro;
- Se hai ricevuto un SMS sospetto con un link dal tuo amico, chiamalo per sapere se ha inviato il messaggio. In caso contrario, avvisa che il suo smartphone o tablet è infetto da un virus;
- Fai attenzione alle reti Wi-Fi pubbliche e, quando ti connetti a una rete, assicurati che sia legittima;
- Usa password complesse;
- Nel menu "Impostazioni", fai clic su "Utilizzo dati", nella sezione "Wireless e reti", puoi vedere quanti dati utilizza ciascuna applicazione e impostare un limite per lavorare con i dati;
- Attiva "SMS-informing" sull'addebito di fondi dal conto - non tutti i trojan intercettano gli SMS.
Cosa fare se i soldi vengono rubati?
La prima cosa da fare è contattare la banca il prima possibile.
Il direttore delle pubbliche relazioni di MegaFon, Pyotr Lidov, ha detto a Kommersant che l'ufficio del capitale della società era stato violato. "I computer sono andati fuori servizio - su di loro è apparsa una schermata di blocco, dove hanno chiesto $ 300 per sbloccarli", ha detto. Poi è arrivata l'informazione che la stessa cosa è successa con gli abbonati di Telefonica e Vodafone in Spagna.
Secondo Petr Lidov, gli specialisti hanno dovuto disattivare le reti a un certo punto in modo che il virus non si diffondesse ulteriormente. “Diverse regioni sono state colpite, le altre hanno dovuto essere temporaneamente disattivate preventivamente. Ciò ha influito sull'assistenza al dettaglio e al cliente, perché gli operatori utilizzano naturalmente un PC per accedere ai propri database. I call center sono stati riparati. Ciò non ha influito sulle comunicazioni e sugli account personali ", ha affermato Lidov.
Come ha detto a Kommersant un ricercatore del Digital Security Boris Ryutin, gli esperti di MalwareHunterTeam e altri ricercatori indipendenti concordano sul fatto che si tratta di un malware di tipo ransomware, cioè un virus ransomware. "Il pericolo di infezione è che, a seconda dell'implementazione, i file dell'utente potrebbero andare irrimediabilmente persi", ha affermato.
"Vediamo un attacco e il virus è molto complesso", ha dichiarato Solar Security a Kommersant. "Al momento stiamo sviluppando raccomandazioni sulle contromisure". “Il virus è molto complesso e finora non si può escludere che sia qualcosa di più pericoloso di un semplice ransomware. È già ovvio che la velocità della sua distribuzione è senza precedenti ", ha aggiunto la società.
La portavoce di Microsoft Kristina Davydova ha detto a Kommersant che gli specialisti hanno aggiunto il rilevamento e la protezione contro un nuovo programma dannoso noto come Ransom: Win32.WannaCrypt. "A marzo, abbiamo anche introdotto una protezione aggiuntiva contro questo tipo di malware, insieme a un aggiornamento di sicurezza che impedisce la diffusione del malware sulla rete", ha affermato.
Gli utenti di Mosca, Nizhny Novgorod, Penza, Saratov, Samara, Ryazan, Ufa e altre città russe hanno annunciato che era impossibile effettuare una chiamata: la rete non era disponibile.
In primo luogo, nel Twitter ufficiale dell'azienda, c'era un consiglio per impostare il tipo di rete "solo 3G" e riavviare il telefono, e ora a tutti i clienti interessati viene inviata una risposta standard: “Al momento ci sono enormi difficoltà di comunicazione. Lo stiamo già aggiustando. Ci scusiamo per qualsiasi inconveniente causato". La società ha aggiunto di non disporre di dati su un periodo di tempo specifico per la risoluzione del problema.
Composizione non riuscita
Megafon ha affermato che il successo delle chiamate a Mosca e in molte altre città è diminuito del 30%, rilevando che le chiamate sono ancora possibili utilizzando la messaggistica istantanea. Sfortunatamente, questo non ha soddisfatto molti dei clienti dell'azienda che non possono utilizzare la messaggistica istantanea senza accesso al Wi-Fi.
Secondo il servizio stampa di Megafon nel suo canale Telegram, la causa del guasto è stata un incidente su uno degli elementi delle apparecchiature di rete.
Inoltre, in uno degli uffici della società hanno anche detto di aver avuto un incidente, ma non si conosce ancora il momento in cui è stata eliminata la conseguenza. Ai dipendenti che desiderano ricevere un compenso viene offerto di scrivere una domanda presso l'ufficio dell'azienda. Alla domanda sui motivi dell'errore, viene segnalato che è possibile un attacco hacker.
Qualche tempo dopo, dopo la notizia dei fallimenti di Megafon, i media hanno riferito che anche altri operatori di telefonia mobile, come Beeline, avevano riscontrato problemi di comunicazione. In una conversazione con Gazeta.Ru, una portavoce dell'azienda ha affermato che la rete funziona normalmente senza grossi guasti e la diffusione di falsi messaggi sui problemi con la rete dell'operatore è dovuta alla risposta di un addetto del supporto tecnico sul funzionamento di una stazione base dell'azienda.
L'addetto stampa ha anche informato Gazeta.Ru del lavoro stabile: "La rete MTS funziona normalmente".
In una conversazione telefonica con un corrispondente, Lidov ha detto che il giorno dell'attacco, molti dei computer dell'ufficio di Megafon hanno iniziato a riavviarsi ed emettere un messaggio chiedendo un riscatto per la decrittografia dei dati, e non solo Mosca ma anche altre città russe ne hanno sofferto.
Fortunatamente la diffusione dell'attacco è stata rallentata e, letteralmente un paio d'ore dopo, il lavoro dell'intero call center Megafon è stato ripristinato in modo che gli abbonati potessero comunicare con il servizio di supporto. Il rappresentante dell'azienda ha sottolineato che il virus WannaCry non ha influenzato in alcun modo i servizi di comunicazione e che i dati personali dei clienti dell'operatore sono rimasti al sicuro.
Nel gennaio 2017, gli utenti di Megafon hanno anche lamentato l'inaccessibilità di alcuni servizi - "Multifon", "Megafon TV", nonché problemi con il sito. L'azienda ha spiegato il guasto come un incidente nel centro di elaborazione dati (DPC) causato da gelate anormali nella regione.
Dopo un po 'di tempo, i servizi hanno iniziato a funzionare normalmente. Quindi il rappresentante dell'operatore di telefonia mobile ha detto a Gazeta.Ru che l'ordine nel sistema non è misurato dalla presenza di guasti, ma dalla capacità di eliminarli rapidamente. “Ciò è stato fatto dagli specialisti dell'azienda nel più breve tempo possibile. E di notte in vacanza ”, ha aggiunto Dorokhina.
