Selon des sources de RBC, outre les entreprises de télécommunications, ainsi que Gazeta.Ru et Mediazona, les forces de l'ordre russes - le ministère de l'Intérieur et la commission d'enquête - ont été victimes d'attaques de pirates.

Interlocuteur de RBC dans MIA parlé de l'attaque des réseaux internes du ministère. Selon lui, ce sont principalement les directions régionales du ministère qui ont été attaquées. Il a précisé que le virus affectait les ordinateurs d'au moins trois régions de la partie européenne de la Russie. La source a ajouté que cette attaque ne devrait pas affecter le travail du ministère de l'Intérieur. Un autre interlocuteur de RBC au ministère a déclaré que des pirates pourraient accéder aux bases de données du ministère de l'Intérieur, mais on ne sait pas s'ils ont réussi à télécharger des informations à partir de là. L'attaque contre le ministère de l'Intérieur n'a touché que les ordinateurs dont le système d'exploitation n'avait pas été mis à jour depuis longtemps, a indiqué une source du département. Le travail du ministère n'est pas paralysé par les pirates, mais il est très difficile.

À Allemagne Les pirates sont les services de la Deutsche Bahn, qui est le principal opérateur ferroviaire du pays. Cela a été rapporté par la chaîne de télévision ZDF en référence au ministère de l'Intérieur du pays.

Le département américain de la Sécurité intérieure s'associe au support technique et à l'assistance dans la lutte contre le rançongiciel WannaCry.

Qu'est-ce qu'un virus ?

D'après le poste "Kaspersky Lab" , le virus en question est le rançongiciel WannaCry. "Selon l'analyse, l'attaque a eu lieu via la vulnérabilité réseau bien connue Microsoft Security Bulletin MS17-010. Ensuite, un rootkit a été installé sur le système infecté, à l'aide duquel les attaquants ont lancé le programme de cryptage », a déclaré la société.

« Toutes les solutions de Kaspersky Lab détectent ce rootkit comme MEM : Trojan.Win64.EquationDrug.gen. Nos solutions détectent également les ransomwares utilisés dans cette attaque avec les verdicts suivants : Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM : Trojan.Win32.Generic (pour détecter ce malware, le System Watcher doit être activé) », a noté la société.

Pour réduire les risques d'infection, les experts de Kaspersky Lab conseillent aux utilisateurs d'installer un correctif officiel de Microsoft qui ferme la vulnérabilité utilisée dans l'attaque, et pour prévenir de tels incidents, utilisez les services de rapport sur les menaces afin de recevoir des données en temps opportun sur les attaques les plus dangereuses et infections possibles.

L'attaque du hacker a été commentée dans Microsoft . "Aujourd'hui, nos experts ont ajouté la détection et la protection contre un nouveau malware connu sous le nom de Ransom : Win32.WannaCrypt. En mars, nous avons également introduit une protection supplémentaire contre les logiciels malveillants de cette nature, ainsi qu'une mise à jour de sécurité qui empêche les logiciels malveillants de se propager sur le réseau. Les utilisateurs de notre antivirus gratuit et de la version mise à jour de Windows sont protégés. Nous travaillons avec les utilisateurs pour fournir une assistance supplémentaire », a déclaré le représentant de Microsoft en Russie dans un communiqué reçu par RBC.

Représentant sécurité solaire RBC a déclaré à RBC que la société avait vu l'attaque et enquêtait actuellement sur un échantillon du virus. « Maintenant, nous ne sommes pas prêts à partager les détails, mais le malware est clairement écrit par des professionnels. Pour l'instant, on ne peut pas exclure qu'il s'agisse de quelque chose de plus dangereux qu'un cryptographe. Il est déjà évident que la vitesse de sa propagation est sans précédent », a déclaré la source. Selon lui, les dégâts du virus sont "énormes", il a touché de grandes organisations dans 40 pays du monde, mais il n'est pas encore possible de donner une évaluation exacte, car les capacités du malware n'ont pas encore été pleinement étudiées et l'attaque est maintenant en développement.

PDG GroupeIB Ilya Sachkov a déclaré à RBC que les logiciels de cryptage, similaires à celui utilisé dans l'attaque actuelle, sont une tendance croissante. En 2016, le nombre de ces attaques a été multiplié par plus de cent par rapport à l'année précédente, a-t-il déclaré.

Sachkov a noté qu'en règle générale, l'infection de l'appareil se produit dans ce cas par courrier électronique. Parlant de WannaCry, l'expert a noté que ce programme de cryptage a deux caractéristiques. "Tout d'abord, il utilise l'exploit ETERNALBLUE, qui a été rendu public par les pirates de Shadow Brokers. Un correctif pour cette vulnérabilité pour Windows Vista et versions antérieures a été mis à disposition le 9 mars dans le cadre du bulletin MS17-010. Dans le même temps, il n'y aura pas de correctif pour les anciens systèmes d'exploitation comme Windows XP et Windows Server 2003, car ils ne sont plus pris en charge », a-t-il déclaré.

« Deuxièmement, en plus du cryptage des fichiers, il analyse Internet à la recherche d'hôtes vulnérables. Autrement dit, si un ordinateur infecté pénètre dans un autre réseau, des logiciels malveillants s'y propageront également, d'où la nature avalancheuse des infections », a ajouté Sachkov.

Selon Sachkov, la protection contre de telles attaques peut être assurée à l'aide de solutions de la classe "sandbox", qui sont installées sur le réseau de l'organisation et vérifient tous les fichiers envoyés au courrier des employés ou téléchargés sur Internet. De plus, a rappelé l'expert, il est important de mener des conversations explicatives avec les employés sur les bases de "l'hygiène numérique" - n'installez pas de programmes provenant de sources non vérifiées, n'insérez pas de clés USB inconnues dans l'ordinateur et ne suivez pas de liens douteux, comme ainsi que mettre à jour le logiciel à temps et ne pas utiliser de systèmes d'exploitation qui ne sont pas pris en charge par le fabricant.

Qui est coupable

Qui est derrière la cyberattaque à grande échelle n'est pas encore clair. Edward Snowden, ancien employé de la NSA, a déclaré qu'une attaque de pirate informatique mondiale survenue le 12 mai aurait pu utiliser un virus développé par la NSA. Cette possibilité avait été précédemment annoncée par WikiLeaks.

À leur tour, les autorités roumaines, qu'une organisation "associée au groupe cybercriminel APT28/Fancy Bear", qui est traditionnellement appelé "hackers russes", pourraient être à l'origine de la tentative d'attaque.

Le Telegraph spécule que des courtiers fantômes liés à la Russie pourraient être à l'origine de l'attaque. Ils attribuent cela aux affirmations des pirates en avril selon lesquelles ils auraient volé une « cyber-arme » à la communauté du renseignement américain qui leur donne accès à tous les ordinateurs Windows.

Le directeur des relations publiques de MegaFon, Pyotr Lidov, a déclaré à Kommersant que le siège social de la société avait été piraté. "Les ordinateurs étaient en panne - ils avaient un écran de verrouillage où ils ont demandé 300 $ pour le déverrouiller", a-t-il déclaré. Ensuite, des informations sont venues selon lesquelles la même chose est arrivée aux abonnés des opérateurs Telefonica et Vodafone en Espagne.

Selon Petr Lidov, les spécialistes ont dû éteindre les réseaux à un moment donné pour empêcher le virus de se propager davantage. « Un certain nombre de régions ont été touchées, les autres ont dû être temporairement désactivées à titre préventif. Cela a affecté la vente au détail et le support client, car les opérateurs utilisent bien sûr un PC pour accéder aux bases de données. Centres d'appels réparés. Cela n'a pas affecté la communication et les comptes personnels », a déclaré M. Lidov.

Comme Boris Ryutin, un chercheur de Digital Security, l'a dit à Kommersant, les experts de MalwareHunterTeam et d'autres chercheurs indépendants conviennent qu'il s'agit d'un malware de type ransomware, c'est-à-dire un virus ransomware. "Le danger d'infection est que, selon l'implémentation, les fichiers de l'utilisateur peuvent être irrémédiablement perdus", a-t-il déclaré.

"Nous voyons une attaque, et le virus est très complexe", a déclaré Solar Security à Kommersant. "Pour le moment, nous élaborons des recommandations de contre-mesures." "Le virus est très complexe, et jusqu'à présent, il ne peut pas être exclu qu'il soit quelque chose de plus dangereux qu'un simple rançongiciel. Il est déjà évident que la vitesse de sa distribution est sans précédent », a ajouté la société.

La porte-parole de Microsoft, Kristina Davydova, a déclaré à Kommersant que les experts avaient ajouté la détection et la protection contre un nouveau malware connu sous le nom de Ransom:Win32.WannaCrypt. "En mars, nous avons également introduit une protection supplémentaire contre les logiciels malveillants de cette nature, ainsi qu'une mise à jour de sécurité qui empêche les logiciels malveillants de se propager sur le réseau", a-t-elle déclaré.

• 12 mai 2017

Le système informatique interne du ministère de l'Intérieur de la Russie a été frappé par un virus, rapporte Varlamov.ru, citant plusieurs sources proches de la situation.

La source de Mediazona au ministère de l'Intérieur a confirmé l'infection des ordinateurs du département. Selon lui, on parle de départements dans plusieurs régions.

Auparavant, des informations sur une éventuelle infection par un virus étaient apparues sur le site Web Peekaboo et le forum Kaspersky. Selon certains utilisateurs, on parle d'un virus pleurer(aussi connu sous le nom Vouloir pleurer ou WannaCryptor) - il crypte les fichiers de l'utilisateur, modifie leur extension et vous oblige à acheter un décrypteur spécial pour les bitcoins ; sinon, les fichiers seront supprimés.

Selon les utilisateurs du forum Kaspersky, le virus est apparu pour la première fois en février 2017, mais "a été mis à jour et semble maintenant différent des versions précédentes".

Le service de presse de "Kaspersky" n'a pas pu commenter rapidement l'incident, mais a promis de publier une déclaration dans un proche avenir.

Membre de l'entreprise Avast Jakub Croustek informé sur Twitter qu'au moins 36 000 ordinateurs en Russie, en Ukraine et à Taïwan sont infectés.

Le site Web de Varlamov note que des informations sont également apparues sur l'infection d'ordinateurs dans des hôpitaux publics de plusieurs régions du Royaume-Uni et sur une attaque contre une société de télécommunications espagnole. Téléfonica. Dans les deux cas, le virus demande également un paiement.

La société a noté qu'en mars, la mise à jour introduisait déjà une protection supplémentaire contre ces virus.

« Les utilisateurs de notre antivirus gratuit et de la version mise à jour de Windows sont protégés. Nous travaillons avec les utilisateurs pour fournir une assistance supplémentaire », a ajouté la société.

Plus tôt, Kaspersky Lab a déclaré à Mediazone que le virus WannaCrypt utilise une vulnérabilité de réseau dans Windows, fermée par des spécialistes de Microsoft en mars.

Le ministère de l'Intérieur a confirmé les attaques de pirates sur leurs ordinateurs

Le ministère de l'Intérieur a confirmé les attaques de pirates sur ses ordinateurs, rapporte RIA Novosti.

Selon la porte-parole du ministère de l'Intérieur, Irina Volk, le Département des technologies de l'information, des communications et de la protection de l'information du ministère a enregistré une attaque de virus sur les ordinateurs du ministère de l'Intérieur avec le système d'exploitation Windows.

"Grâce aux mesures prises en temps opportun, environ un millier d'ordinateurs infectés ont été bloqués, soit moins de 1%", a déclaré Volk, ajoutant que les ressources du serveur du ministère de l'Intérieur n'étaient pas infectées, car elles fonctionnent sur d'autres systèmes d'exploitation.

"Pour le moment, le virus est localisé, des travaux techniques sont en cours pour le détruire et mettre à jour les outils de protection antivirus", a déclaré la porte-parole du ministère.

Plus de six mille dollars ont été transférés dans les portefeuilles bitcoin de pirates qui ont propagé le virus WannaCry

Au moins 3,5 bitcoins ont été transférés à des pirates qui ont propagé le virus rançongiciel WannaCry, écrit Meduza. Selon le taux de 1740 dollars pour un bitcoin à 22h00 heure de Moscou, ce montant est de 6090 dollars.

Meduza est arrivé à cette conclusion sur la base de l'historique des transactions sur les portefeuilles Bitcoin, auxquels le virus a demandé de transférer de l'argent. Les adresses de portefeuille ont été publiées dans un rapport de Kaspersky Lab.

Sur trois portefeuilles, 20 transactions ont été effectuées le 12 mai. En gros, 0,16-0,17 bitcoins leur ont été transférés, ce qui équivaut à environ 300 $. Les pirates ont exigé de payer ce montant dans une fenêtre contextuelle sur les ordinateurs infectés.

Avast compté 75 000 attaques dans 99 pays

société informatique Avast signalé que le virus WanaCrypt0r 2.0 a infecté 75 000 ordinateurs dans 99 pays, selon le site Web de l'organisation.

Les ordinateurs en Russie, en Ukraine et à Taïwan sont principalement infectés.

Il y a 13 heures, Brian Krebs, un spécialiste de la sécurité informatique, a publié une entrée de blog sur le transfert de bitcoins à des pirates pour un montant total de 26 000 dollars américains.

Europol : 200 000 ordinateurs dans 150 pays ont été attaqués par un virus

Infection virale Vouloir pleurer plus de 200 000 ordinateurs dans 150 États ont déjà été exposés en trois jours, a-t-il déclaré dans une interview à une chaîne de télévision britannique TVI Rob Wainwright, directeur du Service européen de police Europol. Ses propos sont cités nouvelles du ciel.

« La propagation du virus dans le monde est sans précédent. Selon les dernières estimations, nous parlons de 200 000 victimes dans au moins 150 pays, et parmi ces victimes se trouvent des entreprises, y compris de grandes entreprises », a déclaré Wainwright.

Il a suggéré que le nombre d'ordinateurs infectés est susceptible d'augmenter de manière significative lorsque les gens retourneront travailler sur leurs ordinateurs lundi. Dans le même temps, Wainwright a noté que jusqu'à présent, les gens avaient transféré "étonnamment peu" d'argent aux distributeurs du virus.

En Chine, le virus a attaqué les ordinateurs de 29 mille institutions

Virus Vouloir pleurer ont attaqué les ordinateurs de plus de 29 000 institutions, le nombre d'ordinateurs touchés s'élève à des centaines de milliers, l'agence de presse Xinhua cite des données du Computer Threat Assessment Center Qihoo 360.

Selon des chercheurs, des ordinateurs ont été attaqués dans plus de 4340 universités et autres établissements d'enseignement. Des infections ont également été constatées sur les ordinateurs des gares, des organisations postales, des hôpitaux, des centres commerciaux et des agences gouvernementales.

"Il n'y a pas eu de dommages significatifs pour nous, pour nos institutions - ni pour la banque, ni pour le système de santé, ni pour les autres", a-t-il déclaré.

"Quant à la source de ces menaces, à mon avis, la direction de Microsoft l'a directement déclaré, ils ont dit que les services de renseignement américains sont la principale source de ce virus, la Russie n'a absolument rien à voir avec cela. C'est étrange pour moi d'entendre quelque chose de différent dans ces conditions", a ajouté le président.

Poutine a également appelé à discuter de la question de la cybersécurité "à un niveau politique sérieux" avec d'autres pays. Il a souligné qu'il est nécessaire "de développer un système de protection contre de telles manifestations".

Le virus Vouloir pleurer des clones sont apparus

Le virus Vouloir pleurer deux modifications sont apparues, écrit Vedomosti en référence à Kaspersky Lab. La société pense que les deux clones ont été créés non pas par les auteurs du virus ransomware original, mais par d'autres pirates qui tentent de profiter de la situation.

La première modification du virus a commencé à se propager le matin du 14 mai. Kaspersky Lab a découvert trois ordinateurs infectés en Russie et au Brésil. Le deuxième clone a appris à contourner un morceau de code qui a arrêté la première vague d'infections, a noté la société.

Il écrit également sur les clones de virus Bloomberg. Fondateur de l'entreprise Comae Technologies, engagé dans la cybersécurité, Matt Syuish a déclaré qu'environ 10 000 ordinateurs étaient infectés par la deuxième modification du virus.

Kaspersky Lab estime que six fois moins d'ordinateurs ont été infectés aujourd'hui que le vendredi 12 mai.

Virus Vouloir pleurer aurait pu être créé par un groupe de hackers nord-coréen Lazare

virus ransomware Vouloir pleurer aurait pu être créé par des hackers du groupe nord-coréen Lazarus, selon un site spécialisé de Kaspersky Lab.

Les spécialistes de l'entreprise ont attiré l'attention sur le tweet de l'analyste Google Neela Mehta. Comme l'a conclu Kaspersky Lab, le message indique une similitude entre les deux échantillons - ils ont un code commun. Le tweet présente un échantillon cryptographique Vouloir pleurer daté de février 2017 et échantillon Lazare daté de février 2015.

"Le détective se tord de plus en plus et maintenant le même code se retrouve dans # Vouloir pleurer et dans les chevaux de Troie de Lazare», —

L'économiseur d'écran rouge et blanc dérangeant est apparu sur des milliers d'ordinateurs partout sur la planète en quelques heures. Un virus Internet appelé WannaCry ("Je veux pleurer") a crypté des millions de documents, photos et archives. Pour retrouver l'accès à leurs propres fichiers, les utilisateurs sont invités à payer une rançon dans les trois jours : d'abord - 300 $, puis le montant augmente. De plus, ils exigent de payer en monnaie virtuelle, en bitcoins, afin de ne pas suivre le paiement.

Une centaine de pays ont été attaqués. Le virus ransomware a commencé en Europe. En Espagne, Telefonica, Iberica Bank, compagnie de gaz naturel Gas, service de livraison FedEx. WannaCry a ensuite été détecté à Singapour, à Taïwan et en Chine, après quoi il s'est rendu en Australie et en Amérique latine, ainsi qu'à la police de l'État d'Andhra Pradesh en Inde.

En Russie, le virus a tenté de faire chanter MegaFon, VimpelCom, Sberbank et les chemins de fer russes, ainsi que des agences gouvernementales - le ministère de la Santé, le ministère des Situations d'urgence et le ministère de l'Intérieur. Cependant, ils disent partout que les attaques ont été rapidement suivies et repoussées, et qu'il n'y a eu aucune fuite de données.

"Le virus a été localisé, des travaux techniques sont en cours pour le détruire et mettre à jour les outils de protection antivirus. Il convient de noter que la fuite d'informations officielles provenant des ressources d'information du ministère russe de l'Intérieur est totalement exclue", a déclaré Irina. Volk, un représentant officiel du ministère russe de l'Intérieur.

"Les objectifs sont très difficiles à comprendre. Je pense que ce ne sont pas des objectifs politiques, ce sont des escrocs évidents qui ont juste essayé de gagner de l'argent avec cette entreprise. Ils disent cela, ils demandent de l'argent, c'est un virus ransomware. Nous pouvons supposer que le l'objectif est financier", a-t-elle déclaré. Natalya Kasperskaya, présidente de la holding InfoWatch, a déclaré.

Mais qui sont ces arnaqueurs ? Des versions sur la nature du virus sont avancées en fonction du degré de fraîcheur de l'esprit ou d'inflammation du cerveau. Qui douterait que quelqu'un se mettrait immédiatement à la recherche de pirates informatiques russes. Par exemple, la Russie a été attaquée comme personne activement. C'est donc russe. Eh bien, le dicton "pour contrarier ma mère, je vais avoir des engelures aux oreilles" est bien sûr issu de notre folklore.

Le virus a été détecté pour la première fois en février. Et même l'Air Force dit que ses racines proviennent de l'Agence américaine de sécurité nationale, où ils ont développé des moyens de vérifier la stabilité du système Windows, mais les codes ont vraiment atteint les escrocs. Les experts russes parlent également d'origine américaine. Seulement, ils disent que les racines ne sont pas dans la NSA, mais dans la CIA américaine.

"Certains détails montrent que le virus n'est probablement pas russe. Premièrement, nous savons que son original provient de la CIA, il provient des outils de combat de la CIA, et deuxièmement, que même ceux qui l'ont mis à jour et l'ont lancé au travail, très probablement, pas les Russes, car parmi les formats dans lesquels cela fonctionne, il n'y a pas l'un des formats les plus populaires dans notre pays - fichier 1C. S'il s'agissait de vrais pirates informatiques russes qui aimeraient en infecter autant que possible, ils 1C le feraient être utilisé, bien sûr », déclare Igor Ashmanov, PDG d'Ashmanov & Partners, développeur de systèmes d'intelligence artificielle et de sécurité de l'information.

Alors, peut-être que les racines du virus sont américaines, mais que les escrocs russes ont été piratés après tout ?

"Vous devez comprendre que ce virus a été diffusé, son code a été divulgué par WikiLeaks il y a deux mois. Il y a été stérilisé, mais les pirates qui l'ont pris l'ont ressuscité, l'ont aspergé d'eau vive et l'ont affiché quelque part, par exemple, sur un site de téléchargement ou envoyé par courrier. Peut-être s'agissait-il simplement d'une tentative de vérifier si ces virus de combat mortels fonctionnent », a déclaré Igor Ashmanov.

Pendant ce temps, le notoire Edward Snowden que les services de renseignement américains, plus précisément la NSA, a été impliqué dans cette cyberattaque elle-même. Selon une autre version de la même Air Force, l'attaque aurait pu être organisée par des opposants idéologiques au président Trump. Si c'est le cas, alors ce sont de "belles personnes". Dans la lutte pour le triomphe de la philanthropie, les objets sociaux ont également été touchés. Au Brésil - selon le système de sécurité sociale.

Et en Grande-Bretagne, l'impact est généralement tombé sur le NHS - le système national de santé. Dans de nombreux hôpitaux, les opérations ont été arrêtées, seule une ambulance fonctionne. Même la première ministre Theresa May a lancé un appel spécial.

Il semble que le virus visait effectivement les utilisateurs en entreprise. Quoi qu'il en soit, un e-mail suspect ne doit pas être ouvert, il est préférable de sauvegarder les documents, photos et vidéos importants sur un support externe. Et des conseils d'experts : vous devez vous mettre à jour.

"Le fait que le virus se soit propagé comme une traînée de poudre montre que les utilisateurs, apparemment, ne mettent pas beaucoup à jour. Dans le même temps, de très nombreuses organisations ont été infectées. Et dans les organisations, comme vous le savez, les mises à jour sont très souvent centralisées. Cela signifie que le les administrateurs de ces organisations n'ont pas suivi "la mise à jour et la fermeture des vulnérabilités. Ou le processus a été en quelque sorte construit de cette façon. Nous pouvons seulement affirmer que ce trou n'a pas été fermé, même si un correctif était déjà prêt", a déclaré Natalia Kasperskaya.