На основе эксплойта EternalBlue, который использовался в нашумевшем вирусе WannaCry, создан новый зловред — WannaMine. Этот вирус проникает на компьютер и полностью загружает процессор, скрытно добывая хакерам криптовалюту Monero.

WannaMine может попасть на устройство разными способами: через установочный файл, уязвимости в браузере или операционной системе, прямой атакой на память. Он использует инструмент Mimikatz для получения логина и пароля от учётной записи администратора на компьютере, а если это не удалось, прибегает к эксплойту EternalBlue, который был создан по заказу Агентства национальной безопасности США, но просочился в сеть и стал доступен публично. В том случае, если компьютер подключен к локальной или корпоративной сети, вирус постарается заразить все компьютеры, с которыми удастся установить связь.

WannaMine снижает полезную производительность компьютеров, но хуже всего то, что постоянно находящиеся под стопроцентной нагрузкой компьютеры начинают работать нестабильно и могут сломаться. Антивирусные решения не справляются с поиском WannaMine и не могут лечить компьютеры от заражения этим вирусом. Таким образом, WannaMine может долгое время оставаться незамеченным и даже в случае обнаружения от него будет не так просто избавиться — потребуется создавать резервную копию ценных файлов, форматировать накопитель и заново устанавливать операционную систему и программы.

Вирус WannaCry был ориентирован на компьютеры, установленные в крупных компаниях, и зацепил устройства в 150 странах мира, нанеся ущерб размеров в несколько сотен миллионов долларов. Он вёл себя гораздо более агрессивно: шифровал файлы, блокировал доступ к системе и вымогал деньги за расшифровку данных. В ловушку вируса попались компьютеры, администраторы которых не обновляли операционную систему.

WannaMine на первый взгляд кажется более безопасным вирусом, чем WannaCry, но хакеры, вероятно, надеются, что благодаря скрытности он получит более широкое распространение и принесёт им гораздо более высокий доход. WannaMine, как и WannaCry основан на эксплойте Eternal Blue, который использует уязвимость Windows в реализации протокола SMB. Эта уязвимость была известна ещё в начале 2017 года и уже была закрыта патчами безопасности, хотя по-прежнему присутствует на компьютерах со старыми версиями Windows и актуальными, но недостаточно обновлёнными версиями этой ОС.

Самый верный способ защититься от майнинговых вирусов — своевременно обновлять операционную систему, не переходить по подозрительным ссылкам, не ходить по сомнительным сайтам и либо не отключать встроенный антивирус, либо установить стороннее антивирусное решение.

---

Канал iG в Telegram — t.me/iguides_ru