Университетский колледж Лондона, один из самых престижных государственных университетов Великобритании, закрыл доступ к некоторым персональным и общим дискам после того как поздно вечером в среду у них была зарегистирована атака вредоноса-шифровальщика.

Официальные представители университета заявили, что заражение произошло через взломанный веб-сайт, опровергнув более раннюю версию, предполагавшую, что вымогатель распространялся через фишинговое приложение в письме.

«На сегодняшний день гипотеза заключается в том, что инфицирование произошло через зараженный веб-сайт, а не распространялась по электронной почте», сказали представители университета. «Однако, на данный момент, это неподтвержденные данные».

Университет утверждает, что некоторое количество локальных и общих дисков было заражено до сих пор неизвестным вымогателем, так что официальные лица называют этот инцидент «атакой нулевого дня».

«Наши антивирусы обновлены, и в данный момент мы сотрудничаем с поставщиками защитных решений, передавая им подробную информацию о заражении чтобы они были осведомлены о деталях инцидента», говорят представители университета. «Мы пока не можем сказать, что именно за вымогатель это был».

Доступ на запись к жестким дискам, затронутым этим инцидентом, в данный момент закрыт. Так что пользователям было рекомендовано хранить файлы на локальных носителях, в Office365 OneDrive или на SharePoint-портале. Пользователи могут считывать файлы, но лишены возможности вносить в них изменения или сохранять новые данные на жестких дисках.

«Мы практически уверены, что благодаря изоляции зараженных устройств и использованию вышеупомянутых сервисов, дальнейшего распространения заразы удастся избежать», говорят представители университета.

Они добавляют, что данные будут восстановлены из резервных копий, так что выполнять требования вымогателей не придется.

«Мы сохраняем образы всех наших жестких дисков с общим доступом, и это должно защитить большую часть данных даже если они будут зашифрованы вредоносом», говорит университет. «Как только мы убедимся, что заражение остановлено, мы восстановим файлы из самых свежих резервных копий. Копии у нас сохраняются каждый час».

Представители университета говорят, что сайт, послуживший исходным вектором заражения, до сих пор не установлен, но предполагают, что это может быть один из ресурсов, регулярно использующихся студентами, преподавательским составом или персоналом.

«Клик на всплывающее окно, или даже посещение зараженного сайта могли привести к попаданию вредоноса на устройства», говорят они. «Веб сайт мог быть одним из тех, что используется регулярно. Мы до сих пор пытаемся подтвердить эту гипотезу и определить, что за сайт послужил причиной инфекции».

Тем временем, на сайте The Guardian появилась информация о том, что несколько медицинских учреждений, связанных с университетом, временно отключили свои серверы электронной почты. Учреждения системы медицинского обслуживания населения в Великобритании находятся в списке организаций, наиболее пострадавших от недавней эпидемии вымогателя WannaCry. В результате некоторые из них даже были вынуждены перевести пациентов в некритическом состоянии в другие заведения.

The Guardian говорят что Barts, одно из крупнейших в Великобритании отделений Национальной службы здравоохранения, отключил свои почтовые серверы из-за своего партнерства с Университетским колледжем Лондона. Также как и еще несколько аналогичных организаций. Официальные представители Barts заявляют, что временное отключение почты — это мера предосторожности против распространения вредоноса-вымогателя по локальной сети.

Впрочем, официальные лица не говорят о связи этой атаки с шифровальщиком WannaCry.

Инцидент произошел немногим более чем через месяц после того, как WannaCry атаковал более 200 000 компьютеров в 150 странах. Кроме того, он случился через 24 часа после необычного решения компании Microsoft снабдить пользователей устаревших систем Windows XP, Vista и Server 2003 обновлениями, которые должны защитить от потенциальных угроз, названных компанией «разрушительными кибератаками«.

Патчи служат для закрытия трех оставшихся уязвимостей в старых версиях Windows, которые остались незакрытыми после апрельского слива хакерских инструментов от ShadowBrockers. В том числе, среди этих инструментов был и EternalBlue, использовавшийся для распространения WannaCry.

Категории: вредоносные программы, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *