Глобальное компьютерное вымогательство

Что такое WannaCry? Жители всего мира узнали о нем внезапно: компьютеры пользователей оказались парализованы, некоторые данные уже никогда не удастся восстановить. Что представляет собой новый вирус? И можно ли от него защититься?

Компьютеры по всему миру накануне были атакованы программой-шифровальщиком WannaCry. Вирус блокирует файлы ПК, в том числе в госучреждениях и крупных компаниях. За расшифровку данных хакеры требуют от 300 до 600 долларов в криптовалюте. От WannaCry пострадали пользователи более чем 70 стран. По данным «Лаборатории Касперского», наиболее массовая атака пришлась на Россию.

Распространение WannaCry, по одним данным, началось в Ростовской области. Еще вечером 12 мая появилась информация об атаках на сети «ВымпелКома» и «МегаФона», а также силовых ведомств, в частности, МВД. Также вирус атаковал компьютеры Сбербанка и РЖД, но обошлось без серьезных последствий. По другой информации, первые случаи заражения были отмечены в Испании, где были заражены компьютеры одной из крупнейших в мире телекоммуникационных компаний TelefOnica. В Британии жертвами WannaCry стали государственные больницы. Пациент одной из клиник рассказал BBC, что из-за этого у него сорвалась операция на сердце:

WannaCry атакует только компьютеры под управлением настольных версий Windows, используя уязвимость, которую Microsoft закрыла еще в марте. Файлы пользователя на зараженном ПК шифруются. После этого выводится сообщение с предложением заплатить за расшифровку 300 долларов в биткоинах в течение трех дней. Если деньги не поступят, сумма автоматически будет увеличена вдвое. На седьмой день вирус уничтожает данные. С точки зрения технологий, WannaCry не представляет собой ничего нового.

Илья Сачков генеральный директор Group-IB «Мы каждый день делаем выезды на места различных преступлений в разных странах, и вирусы-шифровальщики — это вторая тема, связанная с течением денег, и это массово и каждый день. Эти типы вирусов очень быстро обновляются, они пропускаются антивирусными средствами защиты. То, что произошло, это просто некий хайп совпадений, который произошел в один день. Технологически не произошло ничего нового. В этом нет никакой целенаправленности. Вирус, можно сказать, распространяется случайным образом — кто попал под заражение, тот попал».

Британская The Telegraph намекнула на участие России в масштабной хакерской атаке. По информации издания, о связи злоумышленников с Москвой говорят опубликованные предупреждения группировки Shadow Brokers в отношении президента США после того, как он инициировал ракетные удары по Сирии. Но никаких убедительных доказательств этого газета не представила. Специалисты называют подобные обвинения чушью. По данным The Financial Times, WannaCry был создан хакерами, которые модифицировали код шпионской программы EternalBlue, изначально созданной Агентством национальной безопасности США. Похожую версию выдвинули экс-сотрудник АНБ Эдвард Сноуден и сайт Wikileaks. О схожести WannaCry и разработки АНБ США говорят и в «Лаборатории Касперского». Почему вирус-шифровальщик наиболее активен в России?

Роман Ромачев гендиректор агентства разведывательных технологий «Р-Техно» «Бюрократия, естественно, то есть она очень сильно и жестко регулирует программное обеспечение ведомственных компьютеров, то есть то нельзя, это нельзя, но в то же время пользователи, во-первых, слабо образованы в сфере информационной безопасности, а, во-вторых, программное обеспечение, которое они когда-либо купили, скажем, по контракту несколько лет назад, просто-напросто не обновляется. Я думаю, это действительно слепая атака, но это достаточно серьезный вызов для нашей правоохранительной системы, то есть, если они не найдут виновников, то, скорее всего, это будет повторяться впредь».

Распространение вируса-вымогателя удалось остановить, по сути, случайно, сообщила британская The Guardian. Героем стал Дариен Хусс из охранной фирмы Proofpoint. Он обнаружил зашитое в коде WannaCry незарегистрированное доменное имя с длинным и бессмысленным названием. Программист вместе с автором Twitter-аккаунта MalwareTechBlog купили этот домен, что обошлось им менее чем в 11 долларов. Сразу после активность вируса начала снижаться. Как выяснилось, вирус опрашивал этот адрес и в случае успеха прекращал свое распространение. Что делать тем, чьи файлы уже оказались зашифрованы?

Алексей Раевский гендиректор компании Zecurion «Самый лучший вариант — это восстановить зашифрованные файлы из резервной копии. Резервное копирование — это очень важный аспект в обеспечении информационной безопасности, и сейчас существует очень много сервисов — и платных, и очень дешевых, если бэкапа нет, то здесь высока вероятность того, что данные будут уничтожены, потому что может получиться такая ситуация, что деньги вы пошлете, а в ответ ничего не получите».

Если же резервных копий нет, остается только надеяться, что до 19 мая, когда WannaCry обещает уничтожить зашифрованные файлы, производители антивирусов найдут ключ для дешифрования данных. Раньше это им удавалось, хоть и не всегда. Так что какие-то шансы вернуть свои файлы, не платя вымогателям, все-таки есть.