WannaCry (також WannaCrypt або Wana) - вірус-вимагач, набув широкого поширення у 2017 році. Він є модифікованою версією шкідливої програми Агентства національної безпеки США Eternal Blue. Як працює?
WannaCry поширюється через протоколи обміну файлами,
встановлених на комп'ютерах компаній та державних установ. Програма-шифрувальник пошкоджує комп'ютери на базі Windows. Після проникнення в папку з документами та іншими файлами, вірус шифрує їх, змінюючи розширення на .WNCRY. Потім шкідлива програма вимагає купити спеціальний ключ, вартість якого становить від 300 до 600 доларів, погрожуючи в іншому випадку видалити файли. Для того, щоб заразити свій комп'ютер, звичайним шифрувальником, користувач повинен зробити якусь помилку - натиснути на підозріле посилання, дозволити виконувати макрос в Word, завантажити сумнівне вкладення з листа. Заразитися WannaCry можна взагалі нічого не роблячи. Автори WannaCry використовували експлойт для Windows, відомий під назвою EternalBlue. За допомогою цього експлойта зловмисники могли отримувати віддалений доступ до комп'ютера та встановлювати на нього власне шифрувальник. Після успішного зламування комп'ютера WannaCry намагається поширюватися по локальній мережі інші комп'ютери, як черв'як. Він сканує інші комп'ютери щодо наявності тієї самої вразливості, яку можна експлуатувати за допомогою EternalBlue, і якщо знаходить, то атакує і шифрує і їх теж. Саме тому найсерйозніше від WannaCry дісталося великим компаніям - чим більше комп'ютерів у мережі, тим більше збитків. «Можливі збитки, завдані WannaCry за Карта перші чотири дні, перевищили $1 млрд, розповсюдження враховуючи викликані цим масштабні простої великих організацій по всьому та збитки від світу», — заявив глава KnowBe4 Стью WannaCry Сьюверман. Помилки у коді WannaCry Аналіз WannaCry, проведений дослідниками зі спеціалізується на безпеці "Лабораторії Касперського", виявив, що більшість помилок означає, що файли можуть бути відновлені за допомогою загальнодоступних програмних інструментів або навіть простих команд[19].В одному випадку помилка WannaCry у механізмі обробки файлів лише для читання означає, що він взагалі не може шифрувати такі файли. Натомість здирник створює зашифровані копії файлів жертви. При цьому оригінальні файли залишаються недоторканними, але позначаються як приховані. Це означає, що файли легко повернути, просто знявши атрибут "прихований". Дякую за увагу!