Самыми уязвимыми операционными системами перед вирусами и вредоносными программами являются Windows и Android, значительно реже страдают Linux и OS X. Задачи, которые решают вирусы, достаточно разнообразны, однако в последнее время наблюдается просто вал шифровальщиков, противостоять которым становится все сложнее. И если обычные вирусы можно было вылечить, то против шифровальщика, который уже проник в систему, инструментов для расшифровки не существует.
Мы уже писали, про , который проникая в систему модифицировал загрузочный сектор на накопителе, в результате при загрузке компьютера выходило сообщение о повреждении данных, после чего запускалась утилита CHKDSK. На самом деле вместо работы CHKDSK происходило шифрование данных. По окончании шифрования пользователю выдавалось окно с требованием о выкупе, причем сумма выкупа через неделю удваивалась.
Но то ли автор вируса Petya что-то недоработал, то ли просто допустил ошибку в коде, но некоторым пользователям удалось создать инструменты, позволяющие вылечить зашифрованные данные. Для начала скачиваем вот эту утилиту
(cкачиваний: 253)
.Сразу предупредим, информация только для опытных или достаточно уверенных пользователей, поскольку предполагает знание технической части компьютера. Во всех остальных случаях рекомендуем обратиться к специалистам в мастерскую ремонт компьютеров Киев , где опытные мастера проведут полный комплекс мероприятий по восстановлению работоспособности компьютера.
1. Подключаем зашифрованный Петей жесткий диск к другому компьютеру, запускаем утилиту Petya Sector Extractor, программа определит на каком из дисков Петя и сообщит об этом.
2. Переходим в интернете по адресам https://petya-pay-no-ransom.herokuapp.com или https://petya-pay-no-ransom-mirror1.herokuapp.com/, там будут два текстовых поля называющихся Base64encoded 512 bytes verificationdata и Base64encoded 8 bytes nonce, которые нужно будет заполнить, чтобы получить ключ.
3. Для поля Base64encoded 512 bytes verification data в программе Petya Sector Extractor нужно будет кликнуть по кнопке CopySector в Petya Extractor, для поля Base64 encoded 8 bytes nonce данные получаем нажав по кнопке Copy Nonce. После чего утилиту Petya Sector Extractor можно закрыть. Заполнив поля жмем Submit и ждем пару минут, в результате получаем необходимую комбинацию, которую или запомните, или запишите куда-нибудь.
4. Вставляете злополучный жёсткий диск назад, включаете компьютер, дожидаетесь требования Пети ввести код, если все было сделано правильно, то вирус должен будет начать расшифровку данных на диске и после завершения операции компьютер перезагрузится уже в обычном режиме.
Как видите вылечиться от вируса Petya все-таки можно, но на будущее, чтобы избежать подобных инцидентов, стоит пользоваться антивирусными программами. Тем более, что на днях появился у Пети друг, вирус под названием Misha, еще более изощренный и от которого пока нет никакого лекарства.
Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry . Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».
Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.
Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)
По статистике всех пострадавших, вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt. exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:
В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.
После открытия файла пользователь видит «синий экран смерти».
После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером
После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?
Представьте, что ваш жесткий диск - это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.
Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.
Кто создал вирус Петя?
При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.
Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)
Как удалить вирус Petya?
Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.
Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.
Дешифратор Petya.A
Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.
Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.
Единственный вариант, это если ранее у вас были теневые копии файлов.
Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.
Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)
Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.
Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.
Petya.A и Android, iOS, Mac, Linux
Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.
После небольшого затишья вновь заявила о себе. Злоумышленники вывели все средства со своего кошелька и опубликовали заявление, в котором предлагают универсальный дешифратор в обмен на 100 биткоинов.
Как сообщает ресурс Motherboard, 5 июля специалистами были обнаружены движения средств на биткоин-счете, связанном с вирусом Petya. Сначала злоумышленники перевели незначительные суммы в размере $300 на кошельки сайтов Pastebin и DeepPaste, которые часто используются хакерами для публикаций сообщений. Затем они вывели все средства с кошелька, на который жертвы вируса отправляли деньги за разблокировку - это почти 4 биткоина (около $10 тыс). Однако самое интересное, что практически одновременно с этими транзакциями, хакеры опубликовали сообщения на Pastebin и DeepPaste, в которых предлагалось следующее:
«Пришлите мне 100 биткоинов и получите приватный ключ для расшифровки любого жесткого диска (кроме загрузочных дисков)».На текущий момент 100 биткоинов - это $260 тыс. При этом злоумышленники не дают никаких счетов, на которые следует отправлять деньги, для связи была предоставлена лишь ссылка на чат-сервис в даркнете.
Связаться с авторами вируса поспешили журналисты Motherboard, в первую очередь поинтересовавшиеся, почему такая большая сумма выкупа за расшифровку данных. Создатели Petya ответили, что предлагают универсальный дешифратор для пострадавших пользователей, который подходит для всех компьютеров. Хакеры предложили журналистам предоставить им зашифрованный документ. В качестве доказательства, они успешно расшифровали документ, хотя эксперты ранее отмечали, что Petya на самом деле не шифрует данные, а безвозвратно их повреждает. Несмотря на это, многие специалисты и сейчас утверждают, что злоумышленники блефуют, а расшифровка одного небольшого файла еще ничего не значит.
Напомним, вирус Petya компьютеры в нескольких странах. Больше всего пострадала Украина, где заражения достигли наибольших масштабов. Причиной этому стала бухгалтерская программа M.E.Doc, серверы компании-разработчика которой полицией для дальнейшего расследования.
Представители M.E.Doc, ранее отрицающие причастность компании «Интеллект-сервис» к распространению вируса, признали, что их серверы были взломаны.
«Впервые за историю существования ПО „MEDoc“ произошел беспрецедентный факт взлома, в результате которого в продукт был внесен вредоносный программный код в пакет обновления. По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами», - из сообщения на официальной странице M.E.Doc в Facebook.
Информация которую стоит знать любому пользователю о вирусе Petya.
- Во вторник 27 июня 2017 года в сети появился вирус под названием Petya. Были атакованы компании Роснефть и банк Хоум Кредит. После выполнения эта угроза перезаписывает главную загрузочную запись (MBR) с помощью Ransom: DOS / Petya.A и шифрует сектора системного диска. Происходит это поочередно так: Заставляет ПК пере загрузиться и выводит фальшивое системное сообщение, которое отмечает предполагаемую ошибку на диске и показывает фальшивую проверку целостности: Далее вы получите следующее сообщение, содержащее инструкции по покупке ключа для разблокировании системы.
- Вирус шифрует файлы на всех дисках о кроме папки Windows на диске C: следующие расширение шифруемых файлов:
- Не давно была атака вируса WannaCry который многим похож на вирус Petya о котором говорим в этой статье. Ну для начала схожесть у них что они крипто вирусы, это вирусы которые шифруют файлы пользователя требуя за расшифровку выкуп. Как утверждает Лаборатория Касперский это не тот вирус как раньше Petya а название его ExPetr, то есть этот вирус на много модифицирован скажем так что был раньше. Более подробней вы можете узнать на сайте хотя как говориться некоторые строчки кода схожи.
- Подцепить такой зловред можно в письме по электронной почте файл Петя.apx или с установкой обновления бухгалтерской программы M.E.doc. Ниже есть описание с блога Майкрософт о этой программе налогового уровня M.E.doc. Если в вашей сети дома или на работе появиться зараженная машина, то зловред будет распространяться с помощью все той же уязвимости что и вирус WannaCry по протоколу Smb. Эксплойт который использует уязвимость в Windows-реализации протокола SMB. Корпорация майкрософт как писалось в статье для защиты от WannaCry настоятельно рекомендует установить обновления для всех систем Windows и даже было выпущено обновления для уже давно не поддерживаемых продуктов таких как Windows Xp. Получается защита у вас должна стоят как и для вируса WannaCry так и для Petya одинаково. Более подробней о защите и установке обновлений читайте в статье . Бесплатную защиту от шифровальщиков в довесок к антивирусам и антишпионам можно установить от Касперского. Так же если вы пользуетесь антишпионом то в него уже встроена защита не только от ПНП но и от вымогателей шифровальщиков, на сайте написано на счет шифровальщиков: Не дает злоумышленникам шифровать Ваши файлы с целью получения выкупа. Думаю это самый лучший способ установив MBAM к вашему антивирусу. Вариант от Майкрософт который уже встроен в систему, защитник Windows 8.1 и Windows 10, Microsoft Security Essentials для Windows 7 и Windows Vista. Так же вы можете загрузить для одноразового сканирования на предмет зараженности вашего компьютера всех типов угроз. На сайте Майкрософт есть полное описание вируса откуда взялса и как попадает в систему, более точное описание правда на английском языке. На блоге говориться что первая зараженность точнее вымогательный процесс начался с Украинской компании M.E.Doc которая разрабатывает программное обеспечение налогового учета, MEDoc.
- Точный перевод с использованием Google Translate: Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc.
- Пользователям предлагают написать на указанный почтовый ящик доказательства перечисления средств для получения ключа расшифровки. Если вы соберетесь переводить средства для расшифровки файлов то вы не сможете написать на почту зло вреду что вы отправили выкуп. Адрес электронной почты, на который жертвы должны были сообщать когда перечислили средства заблокирован германским провайдером, на их сервере был почтовый ящик. Так что перевести вы сможете а выслать вам ключ не смогут. Так что скажем официально получить ключ от вымогателей не представиться возможным. Кошелек вымогателей известный на данный момент 1 июля 2017 года, данные по поступлениям обновляются в течении 15 секунд. Чтобы остановить вирус на компьютере жертвы нужно создать пустой файл на диске C:\Windows\ perfc в свойствах указать только для чтения. Именно дешифровальщиков пока еще нет исключение для старых версий вируса на GitHub .
Что это за вирус?
Защита и где можно заразиться?
Расшифровка файлов?
Ряд российских и украинских компаний подверглись атаке вируса-шифровальщика Petya. Сетевое издание сайт пообщалось с экспертами из Лаборатории Касперского, интерактивного агентства AGIMA и выяснило, как защитить корпоративные компьютеры от вируса и чем похож Petya на не менее известный вирус-шифровальщик WannaCry.
Вирус "Петя"
В России компании "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International. Вирус-вымогатель систему радиационного мониторинга Чернобыльской атомной электростанции. Кроме того, атака коснулась компьютеров правительства Украины, "Приватбанка" и операторов связи. Вирус блокирует компьютеры и требует выкуп 300 долларов в биткоинах.
В микроблоге в Twitter пресс-служба "Роснефти" рассказала о хакерской атаке на серверы компании. "На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами. По факту кибератаки компания обратилась в правоохранительные органы", – отмечается в сообщении.
По словам пресс-секретаря компании Михаила Леонтьева, "Роснефть" и ее дочерние сообщества работают в штатном режиме. После атаки компания перешла на резервную систему управления производственными процессами, так что добыча и подготовка нефти не остановлены. Атаке подверглась также система банка Home Credit.
"Петя" не заражает без "Миши"
По словам исполнительного директора AGIMA Евгения Лобанова , на самом деле атака была проведена двумя вирусами-шифровальщиками: Petya и Misha.
"Они работают в связке. "Петя" не заражает без "Миши". Он может заражать, но вчерашняя атака была двумя вирусами: сначала Petya, потом Misha. "Петя" переписывает boot-девайс (откуда идет загрузка компьютера), а Миша – шифрует файлы по определенному алгоритму, – пояснил специалист. – Petya шифрует загрузочный сектор диска (MBR) и заменяет его своим собственным, Misha шифрует уже все файлы на диске (не всегда)".
Он отметил, что вирус-шифровальщик WannaCry, который атаковал крупные мировые компании в мае этого года, не похож на "Петю", это новая версия.
"Petya.A из семейства WannaCry (а точнее WannaCrypt), но главное отличие почему это не тот же вирус, это то, что подменяется MBR собственным загрузочным сектором – это новинка для Ransomware. Вирус Petya появился давно, на GitHab (онлайн-сервис для IT-проектов и совместного программирования – сайт) https://github.com/leo-stone/hack-petya" target="_blank">был дешифратор для этого шифровальщика , однако к новой модификации никакой дешифровальщик не подходит.
Евгений Лобанов подчеркнул, что атака сильнее ударила по Украине, чем по России.
"Мы больше подвержены атакам, чем другие страны Запада. От этой версии вируса мы будем защищены, но от его доработок – нет. У нас интернет небезопасен, на Украине еще менее. В основном, были подвержены атаке транспортные компании, банки, мобильные операторы (Vodafone, Київстар) и медицинские компании, тот же Фарммаг, автозаправки Shell – все очень крупные трансконтинентальные компании", – рассказал он в беседе с сайт.
Исполнительный директор AGIMA отметил, что пока нет никаких фактов, которые указывали бы на географическое положение распространителя вируса. По его мнению, вирус предположительно появилась именно в России. К сожалению, прямых доказательств этого нет.
"Есть предположение, что это наши хакеры, поскольку первая модификация появилась в России, а сам вирус, что ни для кого не секрет, был назван в честь Петра Порошенко. Это была разработка русских хакеров, но кто дальше ее изменял – сложно сказать. Понятно, что находясь даже в России, легко заиметь компьютер с геолокацией в США, например", – пояснил эксперт.
"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер. Если перезагрузитесь, то больше никогда не войдете в систему"
"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер, потому что вирус Petya подменяет MBR – первый загрузочный сектор, из которого грузится операционная системе. Если перезагрузитесь, то больше никогда не войдете в систему. Это отрубаете отходные пути, даже если появится "таблетка" вернуть данные уже будет невозможно. Далее, нужно сразу отключиться от интернета, чтобы компьютер не выходил в сеть. Сейчас уже выпущен официальный патч от Microsoft , он обеспечивает 98 процентов гарантии безопасности. К сожалению пока не 100 процентов. Определенную модификацию вируса (их три штуки) он пока обходит", – рекомендовал Лобанов. – Однако, если вы все-таки перезагрузились и увидели начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными..
Кроме того, эксперт также рассказал, почему чаще всего атакам подвергаются пользователи Microsoft, а не MacOSX (операционная система Apple – сайт) и Unix-систем.
"Тут правильнее говорить не только о MacOSX, но и о всех unix-системах (принцип одинаковый). Вирус распространяется только на компьютеры, без мобильных устройств. Атаке подвержена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003", – сказал эксперт.
"MacOSХ и Unix таким вирусам глобально не подвергаются, потому что многие крупные корпорации используют инфраструктуру Microsoft. MacOSX не подвержена, поскольку не так распространена в госструктурах. Под нее меньше вирусов, их не выгодно делать, потому что сегмент атаки будет меньше, чем, если атаковать Microsoft", – заключил специалист.
"Число атакованных пользователей достигло двух тысяч"
В пресс-службе Лаборатории Касперского , эксперты которой продолжают расследование последней волны заражений, рассказали, что "этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода".
В Лаборатории уверены, что в данном случае речь идет о новом семействе вредоносного программного обеспечения с существенно отличающейся от Petya функциональностью. В Лаборатории Касперского назвали новый шифровальщик ExPetr.
"По данным Лаборатории Касперского, число атакованных пользователей достигло двух тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран. На данный момент наши эксперты предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance", – рассказали в пресс-службе.
Эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные. В Лаборатории также дали рекомендации для всех организаций, чтобы избежать атаки вируса в будущем.
"Мы рекомендуем организациям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010, а также убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы, даже если они были зашифрованы вредоносным ПО", – посоветовали эксперты Лаборатории Касперского.
Своим корпоративным клиентам Лаборатория также рекомендует убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network, в качестве дополнительной меры рекомендуется использовать компонент "Контроль активности программ", чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием "perfc.dat" и т.д.
"Если вы не используете продукты "Лаборатории Касперского", рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС (операционной системы – сайт) Windows", – рекомендовали в Лаборатории.
12 мая 2017 года многие – шифровальщик данных на жестких дисках компьютеров. Он блокирует устройство и требует заплатить выкуп.
Вирус затронул организации и ведомства в десятках стран мира, включая Россию, где атаке подверглись Минздрав, МЧС, МВД, сервера сотовых операторов и несколько крупных банков.
Распространение вируса удалось приостановить случайно и временно: если хакеры изменят всего несколько строчек кода, вредоносное ПО вновь начнет работать. Ущерб от программы оценивают в миллиард долларов. После лингвокриминалистического анализа эксперты установили, что WannaCry создали выходцы из Китая или Сингапура.
Интернет
