«Лаборатория Касперского» рассказала о ситуации с эпидемией опасного шифровальщика WannaCry по состоянию на начало текущей недели.
Напомним, что в пятницу, 12 мая, пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.
Анализ сетевых журналов, как отмечает «Лаборатория Касперского», даёт основания предполагать, что вымогатель WannaCry начал распространяться в четверг, 11 мая. Установить точное число заражений сложно. Оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (так называемый киллсвитч). В настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч уведомлений о заражении. Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.
Количество попыток атак WannaCry, зарегистрированных «Лабораторией Касперского» в минувший понедельник, 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы. Это позволяет предположить, что контроль над процессом заражения почти установлен. Кроме того, существенно сократилось количество обращений к порту 445, через который троян проникает в систему. Это также говорит в пользу того, что атака идёт на убыль.
Тем не менее, угроза заражения остаётся. Так, 13–14 мая появились как минимум две модификации зловреда. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя — скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.
Источник: 3DNews