«Вакцина», созданная против мощной кибератаки

В минувший вторник исследователи безопасности обнаружили "вакцину" для мощной кибер-атаки, которая поражает организации по всему миру. Создание единого файла может остановить атаку и заражение машины. Тем не менее, исследователи не смогли найти, так называемый, выключатель, чтобы предотвратить распространение атак вымогателей на другие уязвимые компьютеры.

Эксперты все еще не уверены относительно происхождения нападения или его реальной цели. Учитывая, что сумма выкупа - 300 $, была сравнительно небольшой, некоторые предполагают, что нападение может быть основой для нанесения масштабного удара или для политической пропаганды.

Среди жертв атаки были украинский Центральный банк, российский нефтяной гигант "Роснефть", Британская рекламная фирма WPP и международная юридическая фирма DLA Piper. Также нападению подверглась, по крайней мере, одна из больниц в американском городе Питтсбург.

Решение perfc

Но для тех, кто озабочен возможностью атаки, есть шанс исправить ситуацию, хотя и с ограниченной эффективностью.

Создав файл, только для чтения с именем perfc и поместив его в компьютере в папку "c:\windows", вы остановите нападение.

Объяснение, как это сделать было опубликовано на сайте Bleeping Computer и было подтверждено мнениями нескольких других экспертов по безопасности. Однако, хотя этот метод эффективен, он лишь защищает отдельный компьютер, где размещен файл perfc. Исследователи до сих пор не смогли найти выключатель, чтобы полностью отключить нападения вымогателей.

"Даже если это будет машина с "иммунитетом'", - поясняет профессор Алан Вудворд, "она все-таки является "переносчиком. Она будет по-прежнему выступать в качестве платформы для распространения вируса вымогателей на другие машины в той же сети".

Для подавляющего большинства пользователей актуальной версии Windows работы операционной оболочки будет достаточно, чтобы предотвратить нападение на ПК.

Распространение вируса вымогателей, вероятно, будет происходить гораздо медленнее, чем нападение WannaCry в прошлом месяце, предрекают исследователи, поскольку, как показал анализ кода, новая атака не пытается распространиться за пределы сети. Из-за этого некоторые эксперты прогнозируют, что атака не будет распространяться дальше, чем это было во вторник.

"Существует низкий риск инфицирования более чем через один час после атаки", - предположил блог MalwareTech.

Страх MeDoc

Так как же вирус распространяется? Специалисты из подразделения Talos компании Cisco считают, что акт мог быть осуществлен за счет использования уязвимого бухгалтерского программного обеспечения.

"Мы считаем возможным, что некоторые инфекции могут быть связаны с системами обновления программного обеспечения для пакета украинского налогового учета под названием MeDoc", - сообщает компания в своем блоге.

Во вторник MeDoc сначала опубликовали обновление для своего веб-сайта в России, со словами "Внимание! Наш сервер совершил вирусную атаку" - позже это сообщение было удалено и с тех пор компания отрицает использование своего программного обеспечения.

Как сообщалось, во вторник, метод, с помощью которого жертвы могут заплатить часть выкупа, был бесполезным. Адрес электронной почты, указанный преступниками был закрыт хостинг-провайдером, в то время, как кошелек Bitcoin, где накапливаются выкупы, не трогали.

На момент написания статьи, этот кошелек содержал около 8000 долларов Bitcoin, небольшой заработок на столь значительном и повсеместном нападении.

Эти факторы способствуют развитию ныне общепринятой теории, что это было политически мотивированное нападение на Украину в связи с Днем Конституции.

"Это похоже на сложные атаки, направленные на создание хаоса, а не на денежную выгоду", - сказал профессор Вудворд.