В пятницу, 12 мая, десятки тысяч компьютеров по всему миру подверглись заражению вирусом WannaCry (полн. — Wanna Decryptor, сокр. — wCry), название которого созвучно фразе "Wanna Cry" — "Хочу плакать". Это вредоносная программа, посредством которой злоумышленники шифруют необходимые пользователю файлы и требуют выкупа в обмен на разблокировку данных.
Преступники настаивают на оплате в биткойнах, эквивалентной сумме от 300 до 600 долларов, обещая удвоить требования 15 мая и грозясь сделать необратимые изменения в захваченных данных после 19 мая.
В то же время преступники предлагают “бесплатные мероприятия” для пользователей, “которые настолько бедны, что не могут заплатить”.
К настоящему моменту виртуальные разбойники заработали около 12 тыс. долларов, однако их “заработок” может значительно возрасти, учитывая, что пользователи обычно откладывают выкуп на последний день, считают в “Би-би-си”.
Отмечается, что речь идет о крупнейшей в истории атаке с использованием программы-вымогателя: от хакерской уловки уже пострадали около 45 тыс. машин в 74 странах по всему миру, сообщает российская “Лаборатория Касперского”. Однако, как видно из представленного ниже инфографика, именно против России было сосредоточено около 95 процентов атак. С большим отрывом от нее в этом антирейтинге следуют Украина и Тайвань. Великобритания, где накануне реакция на кибератаку против сети больничных учреждений была особенно острой, оказалась за пределами топ-20.
На территории Российской Федерации жертвами атаки кибермошенников стали в том числе системы государственных предприятий, служб и министерств, включая структуры МВД и МЧС, а также частные компании, среди которых — оператор сотовой связи “Мегафон” и “Сбербанк”.
В Сети появилась появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Итоговая картина выглядит так, как показано ниже на статичной картинке.
Из приведенного инфографика видно, что, хотя первые атаки были совершены против компьютеров в США, Америка оказалась за пределами списка 20 самых пострадавших стран.
Как уточняет “Би-би-си”, вирус угрожает лишь пользователям операционной системы Windows, в которой он использует уязвимость. Прореха была закрыта компанией Microsoft еще в марте 2017 года, когда был выпущен соответствующий патч, поэтому всем обновившимся системам вирус не угрожает. Для тех же, кто отключил автообновление либо по иной причине упустил шанс модернизировать свою ОС, решения пока не найдено: антивируса против WannaCry еще не выпущено.
“Расшифровка файлов практически невозможна. Способ защититься от этого вируса — обновить ОС”, — подтвердил руководитель отдела поддержки продаж ESET Russia Виталий Земских, которого цитирует “Газета.Ru”.
Особенности вируса
Компания Group-IB, занимающаяся кибербезопасностью, описывает четыре особенности вируса, сообщает ТАСС:
– программа “использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers”: именно этот пробел был закрыт для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.
– вторая особенность WannaCry — его способность не только шифровать файлы, но и сканировать сеть на предмет уязвимости: “Если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже — отсюда и лавинообразный характер заражений”, — заявили в компании.
– третья особенность вируса — его избирательность: он шифрует лишь наиболее “чувствительные” файлы — документы, базы данных, почту.
– четвертая особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor, обеспечивающий анонимность в интернете, и осуществляет соединение через него.
Способ защиты
Как отметили в Group-IB, наиболее частым способом заражения становится открытие подозрительных вложений через электронную почту. Речь идет о так называемом спаме. Лучшая защита от такого метода — установить решения для проверки всех файлов, приходящих на почту или скачиваемых ими из интернета. В компании указали на недопустимость таких действий, как установка программ из непроверенных источников, пользование неизвестными флэшками и переход по сомнительным ссылкам, а также отказ вовремя обновлять ПО и использовать неподдерживаемое производителем программное обеспечение.
В свою очередь представитель “Лаборатории Касперского” заявил о том, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик, передает “Интерфакс”. Специалист компании советует “использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях”. Отмечается, что в настоящее время эксперты лаборатории анализируют образцы вредоносного ПО для установления возможности расшифровки данных.
Со своей стороны Министерство внутренней безопасности США заявило о готовности оказать техническую поддержку и помощь в борьбе с “программой-вымогателем” WannaCry, соообщает Газета.Ру со ссылкой на сайт этой госструктуры. Ведомство обещает экспертную помощь критически важным объектам инфраструктуры.
Более “простым” языком способы защиты описываются в пресс-ленте “Газеты.Ru”.
“Обновляйте установленные антивирусные программы в строго установленные сроки, — рекомендует автор онлайн-репортажа. — Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер. Лучше всего, если вашим компьютером, что на работе, что дома, пользуетесь только вы. Обновляйте все приложения и программы… Установите антивирусы на мобильные устройства. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры. Имейте запасную антивирусную программу, софт которой записан на отдельный — “чистый” и проверенный носитель. Делайте резервные копии важных документов на отдельном носителе”.
Пациенты больниц под угрозой
Жертвами атаки вируса стали не только рядовые пользователи. Похоже, что WannaCry угрожает теперь жизням и здоровью пациентов, прием и обслуживание которых зависит в том числе от исправно работающего компьютерного оборудования. В этом смысле особенно пострадавшей страной выглядит Великобритания, где 40 медучреждений по всей стране, включая больницы, поликлиники и фонды здравоохранения заражены вредоносным ПО.
Еще накануне сообщалось, что от нападения киберпреступников пострадали больницы и медицинские учреждения в Лондоне, Ноттингеме и других городах Англии, некоторые из которых рекомендовали жителям временно не обращаться за помощью, если речь не идет об экстренных ситуациях. Среди медицинских центров, работу которых осложнили перебои, оказались две крупнейшие больницы в столице Туманного Альбиона — Royal London Hospital и St Bartholomew’s. В то же время медицинская служба Дерби заявила, что была вынуждена отключить всю свою IT-систему из-за “атаки на безопасность системы”.
В пострадавших от атаки медучреждениях остановлен прием амбулаторных больных, нарушена работа “скорой помощи” и даже возник сбой в проведении запланированных хирургических операций, поясняет ТАСС.
Мировые СМИ сообщают о том, что главными целями киберпреступников стали телекоммуникационные системы и больницы. Накануне сообщалось, что, в частности, кибератаке подверглась испанская телекоммуникационная компания.
“В Багдаде все спокойно”
В российских госучреждениях, в том числе в МВД, Минздраве и МЧС, заверяют, что сумели “блокировать” и “локализовать” проблему, несмотря на то, что специалисты по всему миру утверждают, что как раз этого-то сделать пока и не удается.
“В настоящее время выявленная активность вируса локализована. Утечки служебной информации с информационных ресурсов МВД России не допущено” — уверяет официальный представитель МВД Ирина Волк, добавив, что было заражено менее 1 процента всех компьютеров ведомства.
“Заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме”, — рапортует представитель МЧС.
“Сообщаю, что @MINZDRAV_RF (Минздрав РФ — Newsader) оперативно отразил начавшиеся атаки и закрыл уязвимости”, — написал в своем Twitter помощник министра здравоохранения Никита Одинцов.
Не менее оптимистично звучат и заявления коммерческих структур.
“Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло”, — сообщили в пресс-службе Сбербанка.
“Никакой утечки личных данных не было, угрозы такой нет. Абонентам волноваться не о чем. На абонентов ни с точки зрения связи, ни с точки зрения данных никакого влияния”, — подчеркнул в эфире телеканала “Россия 24” директор “Мегафона” по связям с общественностью Петр Лидов.
В то же время накануне представители “Мегафона” заявляли о том, что из-за хакерских атак пользователи не смогут получить доступ в свои личные аккаунты на сайте компании.
Сноуден клянет АНБ
Беглый экс-сотрудник Агентства национальной безопасности (АНБ) Эдвард Сноуден, скрывающийся от американского правосудия в России, заявил о косвенной причастности его бывшего работодателя к глобальной атаке, поскольку, как стало известно из материала Politico, организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло АНБ.
По данным издания, злоумышленники использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers, которые, в свою очередь, утверждали, что получили доступ к программам, разработанным АНБ.
“Решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах, — цитирует Сноудена ТАСС со ссылкой на его Twitter-аккаунт. — Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило”.
Моральную характеристику лицам, выкравшим программу АНБ, которая предназначалась для обеспечения безопасности США, Сноуден давать не стал.
Следует отметить, что масштабная кибератака произошла на фоне другого хакерского скандала. Он связан с киберагрессией со стороны России, правительство которой организует атаки против стран НАТО. Наиболее серьезным проявлением такого нападения стало вмешательство Москвы в американские выборы на стороне Дональда Трампа. Кремль подозревают и в кибернападении на структуру победившего на президентских выборах Франции центристского кандидата Эммануэля Макрона.
