В пятницу, 12 мая, десятки тысяч компьютеров по всему миру подверглись заражению вирусом WannaCry (полн. — Wanna Decryptor, сокр. — wCry), название которого созвучно фразе «Wanna Cry» — «Хочу плакать». Это вредоносная программа, посредством которой злоумышленники шифруют необходимые пользователю файлы и требуют выкупа в обмен на разблокировку данных.

Преступники настаивают на оплате в биткойнах, эквивалентной сумме от 300 до 600 долларов, обещая удвоить требования 15 мая и грозясь сделать необратимые изменения в захваченных данных после 19 мая.

В то же время преступники предлагают «бесплатные мероприятия» для пользователей, «которые настолько бедны, что не могут заплатить».

Принт-скрин появляющегося на зараженных компьютерах программного окна, в котором злоумышленники на ломаном русском описывают свои требования:

К настоящему моменту виртуальные разбойники заработали около 12 тыс. долларов, однако их «заработок» может значительно возрасти, учитывая, что пользователи обычно откладывают выкуп на последний день, считают в «Би-би-си».

Отмечается, что речь идет о крупнейшей в истории атаке с использованием программы-вымогателя: от хакерской уловки уже пострадали около 45 тыс. машин в 74 странах по всему миру, сообщает российская «Лаборатория Касперского». В то же время, по данным DW, хакерскому нападению в настоящее время подверглись 75 тысяч компьютеров в примерно 100 странах по всему миру.

Как видно из представленной ниже инфографики, именно против России было сосредоточено более 70% атак. С большим отрывом от нее в этом антирейтинге следуют Украина и Тайвань. США и Великобритания, где накануне реакция на кибератаку против сети больничных учреждений была особенно острой, оказались за пределами топ-20.

На территории Российской Федерации жертвами атаки кибермошенников стали в том числе системы государственных предприятий, служб и министерств, включая структуры МВД, МЧС и Центробанк, а также частные компании, среди которых — оператор сотовой связи «Мегафон», «Сбербанк» и «Российские железные дороги».

Как уточняет «Би-би-си», вирус угрожает лишь пользователям операционной системы Windows, в которой он использует уязвимость. Прореха была закрыта компанией Microsoft еще в марте 2017 года, когда был выпущен соответствующий патч, поэтому всем обновившимся системам вирус не угрожает. Для тех же, кто отключил автообновление либо по иной причине упустил шанс модернизировать свою ОС, решения пока не найдено: антивируса против WannaCry еще не выпущено.

«Расшифровка файлов практически невозможна. Способ защититься от этого вируса — обновить ОС», — подтвердил руководитель отдела поддержки продаж ESET Russia Виталий Земских, которого цитирует «Газета.Ru».

Особенности вируса

Компания Group-IB, занимающаяся кибербезопасностью, описывает четыре особенности вируса:

1. программа «использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers»: именно этот пробел был закрыт для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.
2. вторая особенность вируса — его избирательность: он шифрует лишь наиболее «чувствительные» файлы — документы, базы данных, почту.
3. третья особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor, обеспечивающий анонимность в интернете, и осуществляет соединение через него.
4. четвертая особенность WannaCry — его способность не только шифровать файлы, но и сканировать сеть на предмет уязвимости: «Если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже — отсюда и лавинообразный характер заражений», — заявили в компании.

Однако, по последним данным, корпорация Microsoft выпустила обновления для операционных систем Windows XP, Windows 8 и Windows Server 2003 для защиты пользователей от атак программы-шифровальщика WannaCry. Об этом сообщила «Интерфаксу» представитель компании Кристина Давыдова.

Способ защиты

Как отметили в Group-IB, наиболее частым способом заражения становится открытие подозрительных вложений через электронную почту. Речь идет о так называемом спаме. Лучшая защита от такого метода — установить решения для проверки всех файлов, приходящих на почту или скачиваемых ими из интернета. В компании указали на недопустимость таких действий, как установка программ из непроверенных источников, пользование неизвестными флэшками и переход по сомнительным ссылкам, а также отказ вовремя обновлять ПО и использовать неподдерживаемое производителем программное обеспечение.

В свою очередь представитель «Лаборатории Касперского» заявил о том, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик, передает «Интерфакс». Специалист компании советует «использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях». Отмечается, что в настоящее время эксперты лаборатории анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

Со своей стороны Министерство внутренней безопасности США заявило о готовности оказать техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry, соообщает Газета.Ру со ссылкой на сайт этой госструктуры. Ведомство обещает экспертную помощь критически важным объектам инфраструктуры.

Более «простым» языком способы защиты описываются в пресс-ленте «Газеты.Ru»:

«Обновляйте установленные антивирусные программы в строго установленные сроки. Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер. Лучше всего, если вашим компьютером, что на работе, что дома, пользуетесь только вы. Обновляйте все приложения и программы…

Установите антивирусы на мобильные устройства. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры. Имейте запасную антивирусную программу, софт которой записан на отдельный — «чистый» и проверенный носитель. Делайте резервные копии важных документов на отдельном носителе».

Пациенты больниц под угрозой

Жертвами атаки вируса стали не только рядовые пользователи. Похоже, что WannaCry угрожает теперь жизням и здоровью пациентов, прием и обслуживание которых зависит в том числе от исправно работающего компьютерного оборудования. В этом смысле особенно пострадавшей страной выглядит Великобритания, где 40 медучреждений по всей стране, включая больницы, поликлиники и фонды здравоохранения заражены вредоносным ПО.

Еще накануне сообщалось, что от нападения киберпреступников пострадали больницы и медицинские учреждения в Лондоне, Ноттингеме и других городах Англии, некоторые из которых рекомендовали жителям временно не обращаться за помощью, если речь не идет об экстренных ситуациях. Среди медицинских центров, работу которых осложнили перебои, оказались две крупнейшие больницы в столице Туманного Альбиона — Royal London Hospital и St Bartholomew’s. В то же время медицинская служба Дерби заявила, что была вынуждена отключить всю свою IT-систему из-за «атаки на безопасность системы».

В пострадавших от атаки медучреждениях остановлен прием амбулаторных больных, нарушена работа «скорой помощи» и даже возник сбой в проведении запланированных хирургических операций, поясняет ТАСС.

Мировые СМИ сообщают о том, что главными целями киберпреступников стали телекоммуникационные системы и больницы. Накануне сообщалось, что, в частности, кибератаке подверглась испанская телекоммуникационная компания.

«В Багдаде все спокойно»

В российских госучреждениях, в том числе в МВД, Минздраве и МЧС, заверяют, что сумели «блокировать» и «локализовать» проблему, несмотря на то, что специалисты по всему миру утверждают, что как раз этого-то сделать пока и не удается.

«В настоящее время выявленная активность вируса локализована. Утечки служебной информации с информационных ресурсов МВД России не допущено» — уверяет официальный представитель МВД Ирина Волк, добавив, что было заражено менее 1 процента всех компьютеров ведомства.

«Заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — рапортует представитель МЧС.

«Сообщаю, что @MINZDRAV_RF (Минздрав РФ — Newsader) оперативно отразил начавшиеся атаки и закрыл уязвимости», — написал в своем Twitter помощник министра здравоохранения Никита Одинцов.

Не менее оптимистично звучат и заявления коммерческих структур.

«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — сообщили в пресс-службе Сбербанка.

«Никакой утечки личных данных не было, угрозы такой нет. Абонентам волноваться не о чем. На абонентов ни с точки зрения связи, ни с точки зрения данных никакого влияния», — подчеркнул в эфире телеканала «Россия 24» директор «Мегафона» по связям с общественностью Петр Лидов.

В то же время накануне представители «Мегафона» заявляли о том, что из-за хакерских атак пользователи не смогут получить доступ в свои личные аккаунты на сайте компании.

Банк России заявил о том, что зафиксировал массовые рассылки банкам вредоносного программного обеспечения, однако заверил, что «фактов компрометации ресурсов кредитных организаций не зафиксировано», — сообщили в банке.

В субботу вирусной атаке на свою IT-систему сообщили и «Российские железные дороги».

«Вирус в настоящее время локализован, проводятся технические работы по его уничтожению и обновлению антивирусной защиты», — уточнили в РЖД.

Однако, вопреки заверениям МВД, в нескольких российских регионах в ГИБДД прекращена выдача водительских прав и госномеров как раз из-за масштабных хакерских атак на министерство, пишет Газета.RU. По данным издания, получить желаемые документы не смогли водители в Санкт-Петербурге, Татарстане, Новосибирске и Карелии, перебои в работе серверов ГИБДД наблюдаются и в других городах. Есть опасения, что хакеры могли скачать базу данных по регистрационным действиям, которая может затем использоваться профессиональными угонщиками.

Предполагается, что злоумышленники могли получить доступ еще и к базе судебных приставов, которая подгружена в ФИСМ.

Сноуден клянет АНБ

Беглый экс-сотрудник Агентства национальной безопасности (АНБ) Эдвард Сноуден, скрывающийся от американского правосудия в России, заявил о косвенной причастности его бывшего работодателя к глобальной атаке, поскольку, как стало известно из материала Politico, организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло АНБ.

По данным издания, злоумышленники использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers, которые, в свою очередь, утверждали, что получили доступ к программам, разработанным АНБ.

«Решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах, — цитирует Сноудена ТАСС со ссылкой на его Twitter-аккаунт. — Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило».

Моральную характеристику лицам, выкравшим программу АНБ, которая предназначалась для обеспечения безопасности США, Сноуден давать не стал.

Следует отметить, что масштабная кибератака произошла на фоне другого хакерского скандала. Он связан с киберагрессией со стороны России, правительство которой организует атаки против стран НАТО. Наиболее серьезным проявлением такого нападения стало вмешательство Москвы в американские выборы на стороне Дональда Трампа. Кремль подозревают и в кибернападении на структуру победившего на президентских выборах Франции центристского кандидата Эммануэля Макрона.

Вирус остановлен?

По данным «Медузы», распространение вируса-вымогателя WannaCrypt удалось приостановить путем регистрации домена с бессмысленным названием — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Специалист по безопасности с twiiter-аккаунтом @MalwareTechBlog обнаружил, что вирус по неведомой причине обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Позже выяснилось, что в коде вируса говорилось о том, что в случае успешного обращения к домену следует продолжать заражение, если — нет, тогда заражение следует продолжать. В результате сразу после регистрации домена к нему пришли десятки тысяч запросов, поскольку обращение оценивается как неуспешное.

Впрочем, едва ли это остановит злоумышленников: они легко могут переписать код, в том числе путем добавления туда имени указанного выше домена таким образом, чтобы вредоносная программа обходила его.

По материалу Newsader.com