Это позволяет предположить, что контроль над процессом заражения почти установлен, говорится в пресс-релизе компании.
12 мая организации по всему миру пострадали от масштабной атаки программы-вымогателя, получившей название WannaCry. Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows — о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.
Общее число вариаций зловреда, циркулирующих в сети, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. "Лаборатория Касперского" полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя — скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.
Первый из двух упомянутых образцов зловреда начал распространяться рано утром 14 мая, приблизительно в 04.00 по московскому времени. Он подключался к другому домену. На данный момент "Лаборатория Касперского" обнаружила три жертвы этого варианта вымогателя — в России и Бразилии.
Второй вариант, появившийся на днях, умеет обходить так называемый киллсвитч (killswitch) — ту особенность в коде программы, которая помогла остановить первую волну атак. Однако не похоже, что этот вариант получил распространение, возможно, из-за ошибки в коде.
Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться 11 мая.
"Лаборатория Касперского" зафиксировала более 45 тысяч попыток атак на пользователей во всем мире. Однако это только часть всех попыток атак (данные отражают лишь долю пользователей продуктов "Лаборатории Касперского").
Более точно оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (тот самый киллсвитч). Так, в настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч нотификаций о заражении.
Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.
Самое важное - в нашем Telegram-канале
