Компания Group-IB, которая занимается предотвращением и расследованием киберпреступлений, установила особенности вируса-шифровальщика, используемому хакерами для массовой кибератаки на компьютеры всего мира, которая имела место 12 мая.
Отмечено, что у вируса, который назвали WannaCry (Wanna Decryptor), найдены две особенности. Первая состоит в том, что программа использует эксплоит ETERNALBLUE, выложенный в открытый доступ хакерами Shadow Brokers.
Указанная уязвимость закрыта для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в частности Windows XP и Windows server 2003) не будет, поскольку их вывели из-под поддержки.
Второй особенностью WannaCry названа способность не только шифровать файлы, но и сканировать Интернет на наличие уязвимых хостов. Если зараженный компьютер попал в другую Сеть, вредоносное программное обеспечение распространится и в ней тоже.
Замечена и его избирательность вируса при выборе файлов - он шифрует не все файлы, отличая наиболее «чувствительные» (почту, базы данных, документы).
WannaCry для подключения к командным серверам устанавливает браузер Tor, который обеспечивает анонимность в Сети, и производит соединение через него.
Напомним, программисту удалось остановить указанный вирус благодаря внимательности. Ранее также сообщалось, что Microsoft решила обезопасить пользователей старых версий продуктов от нового вируса.
Фото: из открытых источников