З 12 травня 2017 року почав поширюватия новий варіант Ransom.CryptXXX сім'ї (детектується як Ransom.Wannacry ), широко впливаючи на велику кількість організацій, особливо в Європі.

Що таке WannaCry?

WannaCry шифрує файли даних і просить користувачів заплатити викуп $300 в Bitcoins. Примітка вказує на те, що сума платежу після закінчення трьох днів буде подвоєно. Якщо оплата не буде зроблена після семи днів, зашифровані файли будуть видалені.

На екрані відображається попередження WannaCry Trojan

Він також створює файл з ім'ям! Будь ласка Read Me! .txt, який містить записку з вимогою викупу.

WannaCry шифрує файли з розширеннями, додавання .WCRY в кінці імені файлу:

• .123
• .3dm
• .3ds
• .3g2
• .3gp
• .602
• .7z
• .ARC
• .PAQ
• .accdb
• .aes
• .ai
• .asc
• .asf
• особи
• .asp
• .avi
• .backup
• .bak
• .bat
• .bmp
• .brd
• .bz2
• .cgm
• .class
• .cmd
• CPP
• cpt
• .cs
• .csr
• .csv
• .db
• .dbf
• .dch
• .the
• .dif
• .dip
• .djvu
• .doc
• .docb
• .docm
• .docx
• .крапка
• .dotm
• .dotx
• .dwg
• EDB
• .eml
• .fla
• .flv
• .frm
• .gif
• .gpg
• .gz
• .hwp
• .ibd
• .iso
• .jar
• .java
• .jpeg
• .jpg
• JS
• .jsp
• .key
• .lay
• .lay6
• .ldf
• .m3u
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .msg
• .MYD
• .MYI
• .NEF
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .ost
• .otg
• .otp
• .ots
• .ott
• .p12
• .pas
• .pdf
• .pem
• .pfx
• .php
• .pl
• .png
• .pot
• .pot
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .ppt
• .pptx
• .ps1
• .psd
• .pst
• .rar
• .raw
• .rb
• .rtf
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sln
• .snt
• .sql
• .sqlite3
• .sqlitedb
• .stc
• .std
• .sti
• .stw
• .suo
• .svg
• .swf
• .sxc
• SXD
• .sxi
• .sxm
• .sxw
• дьоготь
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .vbr
• .vbs
• .vcd
• .vdi
• .vmdk
• .vmx
• .vob
• .vsd
• .vsdx
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• XLC
• .xlm
• .xls
• .xls
• .xls
• .xlsx
• .xlt
• XLTM
• xltx
• .xlw
• .zip

Він поширюється на інші комп'ютери, експлуатуючи відомe SMB-вразливість віддаленого виконання коду в комп'ютерах Microsoft Windows. ( MS17-010 )

Чи захищений я від цієї загрози?

Blue Coat Global Intelligence Network (GIN) забезпечує автоматичне виявлення всіх дозволених продуктів для веб-спроб зараження.

Symantec і Norton клієнти захищені від WannaCry, використовуючи комбінацію технологій.

антивірус

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8! Cloud
• Trojan.Gen.2

Клієнти повинні запускати LiveUpdate і переконуватися, що вони мають наступні або більш пізні версії визначень для того, щоб гарантувати максимальний захист:

• 20170512.009

захист SONAR

• Технологія виявлення поведінки SONAR також виявляє варіанти Wannacry.

  Attack OS: Microsoft SMB MS17-010 Disclosure Attack Attack: Shellcode Download Activity

Захист на основі мережі

Symantec також має наступний захист IPS, який виявився досить ефективним в проактивному блокуванні спроб використання уразливості MS17-010:

• Attack OS: Microsoft SMB MS17-010 Disclosure Attack
• Attack: Shellcode Download Activity

Наступний IPS підпис також блокує діяльність, пов'язану з Ransom.Wannacry:

• System Infected: Ransom.Ransom32 activity

На кого вплинуло?

Ряд організацій по всьому світу постраждали, більшість з яких знаходяться в Європі.

Чи є це цілеспрямованим нападом?

Ні, це не вважається цілеспрямованою атака в цей час.

Чому це викликає так багато проблем для організацій?

WannaCry має можливість поширювати себе в корпоративних мережах, без взаємодії з користувачем, експлуатуючи відому уразливість в Microsoft Windows. Комп'ютери, які не мають останні оновлення для системи безпеки Windows, піддаються ризику зараження.

Чи можу я відновити зашифровані файли?

Дешифрування не доступний в даний момент, але Symantec розслідує таку можливість. Symantec не рекомендує платити викуп. Зашифровані файли повинні бути відновлені з резервних копій, де це можливо.