Компания Group-IB установила особенности вируса, примененного злоумышленниками для глобальной кибератаки 12 мая. Злоумышленники использовали эксплоит ETERNALBLUE. Вирусная программа способна шифровать файлы и сканировать интернет с целью выявления уязвимостей.
По информации Group-IB, вирус WannaCry, имеет несколько особенностей, в частности он использует эксплоит ETERNALBLUE, выложенный в открытый доступ хакерами Shadow Brokers. Специалисты компании подчеркнули, что эта уязвимость была устранена для ОС Windows Vista и старше еще 9 марта.
Следующей особенностью WannaCry названо шифрование файлов и сканирование на предмет уязвимых хостов. При этом шифрование файлов ведется избирательно: шифруются базы данных, почта, различные документы.
Еще одна особенность программы – для подключения к командным серверам WannaCry устанавливает браузер Tor, который обеспечивает хакерам анонимность.
Чтобы защититься от подобных кибератак, Group-IB рекомендует использовать решения класса «песочница», с помощью которых проверяются все файлы, поступающие из Сети. Также напоминается о «цифровой гигиене»: не допускать установку программ из непроверенных источников, своевременно обновлять ПО.