12 мая 2017 года значительное число компьютеров в мире подверглось атаке вирусом-блокировщиком (или вирусом-вымогателем), который требует перечисления денег за снятие блокировки с операционной системы. В частности, были заражены компьютеры ряда объектов Национальной системы здравоохранения Великобритании и компьютерные сети испанской компании Telefonica. Одна из крупнейших за всю историю хакерских атак может продолжиться. ТАСС объясняет, что известно о вирусе WanaCrypt0r 2.0 (он же WannaCry) и почему его так трудно остановить. 

Скорее всего, это лишь первая волна

В пятницу, 12 марта, неизвестные хакеры атаковали компьютеры с операционной системой Windows с использованием вируса-шифровальщика WannaCry. В России кибернападению подверглись компьютеры крупнейших компаний и федеральных ведомств, в том числе Сбербанка, мобильного оператора "Мегафон", МВД и МЧС. Всего жертвами вредоносного ПО стали не менее 200 тыс. физических и юридических лиц в 150 странах. Уникальность кибернападения заключается в том, что в вирус-вымогатель добавлена функция самораспространения, поэтому заражение компьютеров по всему миру происходило автоматически.

Временно остановить вирус сумел британский специалист по кибербезопасности, известный в твиттере под ником @malwaretechblog. Он воспользовался лазейкой, которую оставили сами создатели вируса, зарегистрировав домен-"выключатель", который приостановил распространение червя. Однако, согласно данным издания Motherboard, создатели WannaCry уже переписали код вредоносной программы, то есть распространение вируса может продолжиться.

В начале этой недели вирус продолжил шествие по странам Азии — британское издание The Telegraph пишет, что в Китае было зафиксировано 30 тыс. заражений. От вируса пострадали компьютеры крупной нефтегазовой компании PetroChina, а также ряда государственных органов. Власти Республики Корея сообщили о нескольких случаях заражения (речь идет о компьютерах семи компаний), в Японии атаке подверглись компьютеры на 600 объектах, в том числе часть компьютеров крупного японского производителя электроники Hitachi. Около 5% от заражения пришлось на компьютеры из Индии, однако серьезного урона вирус в этой стране не нанес.

Новая глобальная волна кибератак должна последовать "в ближайшие дни и недели", считают эксперты. Злоумышленники обновляют свои программы, делают их более эффективными, в то время как другие хакеры вдохновляются их опытом, чтобы проводить собственные махинации.

При атаке использовалось шпионское ПО американских спецслужб. Это подтвердили в Microsoft

WannaCry шифрует или блокирует все файлы и данные на зараженном компьютере, предлагая заплатить за дешифровку выкуп, выраженный в криптовалюте — биткоинах. За эту "услугу" злоумышленники требуют $600 (33,9 тыс. руб.). В противном случае вирус обещает удалить файлы в течение трех дней. По данным СМИ, вымогатели получили $42 тыс., однако до сих пор не сняли средства со счетов, на которые жертвы направляли выкуп.

Организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло Агентство национальной безопасности (АНБ), писала американская газета Politico. По ее данным, злоумышленники, требующие выкуп за восстановление работы компьютерных сетей, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к якобы разработанным АНБ программам.

На минувших выходных это подтвердили в Microsoft — компании-разработчике операционной системы Windows, которая оказалась уязвима к вирусу. Глава корпорации Брэд Смит призвал к неотложным коллективным шагам в свете кибернападения, сравнив утечку с кражей у военных нескольких крылатых ракет Tomahawk. "Руководства стран мира должны воспринимать нынешнюю атаку в качестве тревожного звонка. Им нужно сформировать другой подход и применять в киберпространстве такие же строгие правила, как при охране оружия в физическом мире", — отметил президент корпорации.

Для защиты от вируса Microsoft выпустила обновления ПО, в том числе для операционных систем Windows XP, Windows 8 и Windows Server 2003, поддержка которых уже прекращена. Согласно информации в блоге компании, компьютеры на Windows 10 атакам с помощью этого вируса не подвергались.

Виновников обнаружить будет крайне трудно

Такое мнение высказал в интервью корреспонденту ТАСС Павел Кузьмич, ведущий эксперт Университета ИТМО по вопросам безопасности информационных технологий, директор лаборатории компьютерной криминалистики при Университете ИТМО. По словам эксперта, "написание вирусов требует достаточно профессиональных навыков", но "точка входа в программирование как сферу деятельности сегодня очень низка". "С задачей мог справиться как школьник, так и весьма продвинутый IT-специалист, поэтому трудно заранее очертить какой-то круг подозреваемых. Сегодня в мире людей, владеющих программированием, миллионы и миллионы", — отметил Кузьмич.

Не проясняет картину и тот факт, что всплывающие на экранах пораженных компьютеров требования заплатить $600 за дешифровку данных в разных странах мира были написаны на разных языках. "Это вовсе не говорит о многонациональности хакерской атаки, так как программа в состоянии определить по идентификационному номеру компьютера регион мира и язык, на котором там говорят, а также выполнить машинный перевод на нужный язык", — добавил эксперт.

Известно, что хакеры из Китая пытались завладеть доменом, приостановившим вирус WannaCry. По данным британской газеты The Independent, попытка похитить домен оказалась безуспешной. Издание приводит комментарий специалиста из "Лаборатории Касперского", который пояснил, зачем китайские хакеры могли сделать это: "Во-первых, посчитать, сколько всего жертв было атаковано вирусом. Во-вторых, они могли попытаться вывести из строя "выключатель" вируса — но эта попытка провалилась".

По мнению эксперта, маловероятным является и то, что доменом пытались завладеть сами авторы WannaCry: "Для них было бы проще запустить новый вариант вируса с минимальными изменениями. Это дало бы им такой же эффект (что и контроль над сайтом-"выключателем". — прим. ТАСС)".

Артур Громов

Group-IB: WannaCry атакует домашние ПК только при выходе в интернет через сеть провайдера

Вирус WannaCry может самостоятельно запуститься на домашнем компьютере только у тех пользователей, который выходят в сеть через локальную сеть провайдера. Об этом предупреждает Group-IB. "Настроенные по умолчанию домашние маршрутизаторы не позволяют 445-порту, который вредоносные программы используют для самораспространения, быть доступным снаружи", - говорится в материале, подготовленном экспертами компании.

То есть пользователи могут получить заражение только в том случае, если они либо запустят вирус вручную, либо будут входить в сеть через локального провайдера.

ТАСС