13 декабря 2017, среда

Мир подвергся беспрецедентной кибератаке: Что такое вирус WannaCry, как с ним бороться и кто виноват

комментировать
Вирус зашифровывает файлы и требует выкуп за расшифровку

Вирус зашифровывает файлы и требует выкуп за расшифровку

12 мая стало известно, что масштабной кибератаке подверглись больницы Великобритании, а вечером в тот же день представитель Avast Якуб Кроустек сообщил, что вирус заблокировал 57 тысяч компьютеров.

Сообщалось также, что российская Лаборатория Касперского зафиксировала около 45 тысяч атак программой-шифровальщиком WannaCry в 74 странах по всему миру.

Среди подвергшихся кибератаке стран - Великобритания, Испания, Италия, Германия, Россия, Португалия, Турция, Казахстан, Индонезия, Тайвань, Вьетнам, Япония, Филиппины, а также Украина. 

Какие объекты атаковал вирус

Все объекты, которые атаковал вирус, на данный момент неизвестны. По данным Politico, хакерская атака, произошедшая 12 мая, началась в Великобритании, Испании и остальной Европе, прежде чем быстро распространиться на Японию, Вьетнам и Филиппины.

Атаке вируса WannaCry подверглись:

- больницы Великобритании в Лондоне, Блэкберне, Ноттингеме, в графствах Камбрии и Хартфор. При этом многие больницы остались полностью без средств коммуникации, а пациентов, не требующих срочной помощи, попросили не посещать медицинские учреждения.

- основной железнодорожный оператор Германии - концерн Deutsche Bahn. Под ударом оказался как минимум один из семи региональных диспетчерских центров компании. В Ганновере из строя были выведены все диспетчерские системы управления, часть компьютеров было решено отключить. Отмечалось, что кибератака могла отразиться на режиме движения поездов на северном направлении. Кроме того, на некоторых вокзалах на табло отправления поездов отображалось оповещение программы WannaDecrypt0r 2.0 (полное название вируса - ред.) о зашифровке файлов с требованиями о выплате выкупа.


Табло отправления поездов на одном из вокзалов концерна Deutsche Bahn в Германии после кибератаки на диспетчерскую систему управления / Фото: Nick Lange / Twitter
Табло отправления поездов на одном из вокзалов концерна Deutsche Bahn в Германии после кибератаки на диспетчерскую систему управления / Фото: Nick Lange / Twitter


- 12 мая сразу несколько российских СМИ со ссылкой на информированные источники сообщили, что были атакованы компьютерные сети Следственного комитета и Министерства внутренних дел РФ. Поначалу в СК и МВД РФ опровергали информацию о хакерских атаках на свои сети. Однако позже официальный представитель МВД РФ Ирина Волк подтвердила факт кибератаки.

- атаке также подверглись компьютеры телекоммуникационной компании Испании Telefonica и испанские энергетические компании Iberdrola и Gas Natural.

- 15 мая официальный представитель Министерства национальной безопасности США сообщил, что во время кибератаки на прошлой неделе вирусом были заражены компьютеры небольшого числа операторов объектов критической инфраструктуры. По его словам, существенных сбоев в работе объектов не было. В то же время, о каких именно объектах идет речь, в министерстве не рассказали. Чиновник также добавил, что на данный момент компьютеры в федеральном правительстве США не пострадали.

13 мая в Европоле заявили, что серия кибератак при помощи компьютерного вируса WannaCry по всему миру была проведена на "беспрецедентном уровне"Эксперты полицейской службы ЕС также заявили, что считают необходимым провести "комплексное международное расследование, чтобы установить виновников".

15 мая советник президента США по национальной безопасности Том Боссерт сообщил, что взлому подверглись 300 тысяч компьютеров в 150 странах.

Директор Европола Роб Уэйнрайт заявлял, что жертвами массовой кибератаки 12 мая стали около 200 тысяч физических и юридических лиц в 150 странах. По данным Европола, больше всего от атак пострадали Великобритания и Россия.

Что делает WannaCry

Вирус Wana Decrypt0r 2.0 поразил, в основном, крупные предприятия, но может попасть и на компьютер обычного пользователя.

Он может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки. Но основным вариантом являются отправленные на электронную почту письма.


Одними из первых пострадали от действий хакеров британские больницы
Одними из первых пострадали от действий хакеров британские больницы


Жертва вируса получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идет о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).

Проникнув в систему, вирус сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и к системным файлам. После этого вирус требует от пользователя выкуп в биткоинах (в сумме эквивалентной $300) за восстановление доступа к информации

WannaCry угрожает только пользователям компьютеров с операционной системой Windows, в частности речь идет о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016. 

WannaCry - защита

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. Соответствующее обновление можно скачать на сайте Microsoft и установить, после чего следует перезагрузить компьютер.

В Microsoft заявили, что пользователи антивируса Windows Defender автоматически защищены от вируса. Если на вашем компьютере установлен другой антивирус, необходимо скачать его последнюю версию и включить компонент Мониторинг системы.

Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM: Trojan.Win64.EquationDrug.gen) - вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wana Decrypt0r 2.0.

Включите безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

После удаления вируса нужно восстановить зашифрованные файлы (если сделать это до удаления вируса, можно нанести ущерб системным файлам и реестрам).

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Эти способы не гарантируют полного восстановления файлов.

Удалось приостановить

Специалист по безопасности, который ведет Twitter с названием MalwareTechBlog случайно приостановил распространение вируса WannaCry, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Вечером 12 мая он сообщил на своей странице в Twitter, что, обнаружив, что вирус почему-то обращается к этому домену, он решил его зарегистрировать, чтобы следить за активностью вредоносной программы.

В итоге выяснилось, что в коде вируса говорится, что если обращение к этому домену было успешно, заражение следует приостановить, а если нет, то продолжить. Сразу же после регистрации домена, на него пришли десятки тысяч запросов.

Зарегистрировавший домен специалист отметил, что не знал во время регистрации, что это приостановит распространение вируса. Он также посоветовал пользователям интернета как можно быстрее устранить уязвимость, "потому что они попытаются снова".

15 мая зарегистрировавший домен, приостановивший распространение WannaCry, специалист, сообщил, что над этим доменом попытался захватить контроль "кто-то из Китая".

Комментируя данный инцидент, специалист компании Лаборатория Касперского Костин Райю предположил, что злоумышленник преследовал одну из двух целей. Первая — желание посчитать пользователей, подвергшихся атаке. Второй целью могло быть заблокировать домен и тем самым вновь активировать вирус.

По словам Райю, скорее всего злоумышленник не имеет отношение к хакерам, устроившим кибератаку, поскольку в данном случае создателям вируса WanaCrypt0r 2.0 проще всего было бы создать его новую версию без уязвимости (kill switch), которая позволяет владельцу домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com остановить распространение программы.

Райю предполагал, что 15 мая создатели вируса уже переписали его код, так чтобы он мог функционировать, не обращаясь к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. 

Позже он сообщил, что что код вируса действительно был обновлен за выходные. Однако, судя по всему, в новой версии вируса не содержится возможности обхода временной защиты, таким образом, новая версия вируса, вероятно, "не представляет такую же угрозу для общества".

Кто виноват?

Бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден, комментируя хакерские атаки на больницы Великобритании заявил, что для них могла использоваться программа АНБ.

На своей странице в Twitter он заявил, что решение АНБ о создании инструментов для атаки на программное обеспечение в США теперь “угрожает жизни пациентов”.

“Вопреки предупреждениям, АНБ создала опасные инструменты для атак, которым может подвергнуться западное программное обеспечение. Теперь мы видим цену этого решения”, — написал Сноуден.

О том, что нынешняя хакерская атака на больницы Великобритании непосредственно связана с вирусами, созданными АНБ, также указывает организация WikiLeaks на своей странице в Twitter.

Сноуден опубликовал ссылку на статью Politico, в которой идет речь о том, что за кибератакой с помощью вируса WannaCry стоит утечка информации о методах взлома, разработанных АНБ.

Как пишет издание, предположительно вирус является версией программного обеспечения АНБ, которое в апреле опубликовала в Сети группа, называющая себя Shadow Brokers.

Politico отмечает, что о группе Shadow Brokers стало известно во время выборов президента США в прошлом году. А то, что им удалось опубликовать средства, разработанные АНБ для слежения, может говорить о том, что компьютеры Агентства могли быть взломаны, что привело к утечке секретной информации.

Издание отмечает, что хотя некоторые предполагают, что Shadow Brokers связаны с Москвой, никаких доказательств этого не было обнародовано.

Кроме того Politico пишет, что директор New America’sOpen Technology Institute Кевин Бэнкстон выразил мнение, что Конгресс США должен провести слушания по вопросу использования разведывательными агентствами недостатков кода и того, в каких случаях они должны предупреждать производителей о  существующей опасности.

"Если бы АНБ раскрыло, а не накопило эти (уязвимые места - ред.), когда оно нашло их, большее количеству больниц было бы в большей безопасности от этой атаки", - считает Бэнкстон.

Аналогичное мнение выразил юрист Патрик Туми.

"Эти атаки подчеркивают тот факт, что уязвимости будут эксплуатироваться не только нашими службами безопасности, но и хакерами и преступниками по всему миру", - передает его слова Bloomberg.

Сноуден также считает, что теперь конгресс США должен запросить у АНБ сведения о других возможных уязвимостях в системах, которые используются в больницах.

В свою очередь, The Telegraph сообщает, что инструмент слежки Eternal Blue, украденный хакерами у АНБ был разработан, чтобы получить доступ к компьютерам, используемым террористами и вражескими государствами. Shadow Brokers опубликовали его 14 апреля - через неделю после приказа Трампа о ракетном ударе по авиабазе в Сирии.

"Некоторые эксперты считают, что эти сроки важны и указывают на то, что Shadow Brokers имеют связи с российским правительством", - отмечает издание и напоминает, что год назад о связи этой группировки с Кремлем заявлял Эдвард Сноуден.

The Telegraph также пишет, что, вероятно, обнародованный Shadow Brokers инструмент доступа к компьютерам с уязвимостью, использовала другая группа, решившая его монетизировать.

15 мая президент России Владимир Путин заявил, что источником вируса-вымогателя являются США, а РФ тут совершенно ни при чем.

"Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило, сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое", - сказал президент РФ.

Путин также отметил, что российские учреждения не понесли существенного ущерба от глобальной атаки.

16 мая специалисты по кибербезопасности заявили, что вирус WannaCry может быть связан с Северной Кореей.

В частности, в компаниях Symantec и Kaspersky Lab отметили, что часть этого вируса имеет такой же код, как и вредоносные программы, которые в 2014 году использовались во время атаки на корпорацию Sony.

В том нападении специалисты обвиняли злоумышленников из КНДР.

"Это самый лучший ключ, который мы видели до сих пор к источникам WannaCry. Но возможно, что код был просто скопирован без любой другой прямой связи", – отметили в компании Kaspersky Lab.

В Symantec также отметили, что продолжают изучать вирус, чтобы выявить более очевидные связи.

Сколько денег получили хакеры, запустившие WannaCry

15 мая СМИ, ссылаясь на данные платежей, писали, что создатели вируса WannaCry получили 42 тыс. долларов от своих жертв через систему Bitcoin.

Эту информацию сообщила организация Elliptic, отслеживающая биткоин-платежи. По ее данным, в результате 110 переводов на счету хакеров 23,5 биткоина.

Отмечалось, что злоумышленники не пытались снять деньги, оказавшиеся в их распоряжении.

Позже в тот же день советник президента США по национальной безопасности Том Боссерт сообщил, что жертвы кибератак с помощью вируса WannaCry выплатили хакерам менее 70 тысяч долларов. Он также отметил, что ни разу выплата денег не привела к разблокированию компьютера.

Пик атаки пройден

15 мая в Европоле заявили, что рост числа жертв глобальной хакерской атаки вирусом WannaCry в Европе приостановился.

"Очевидно, что количество пострадавших не увеличивается. Ситуация в Европе, как кажется, стабилизировалась. Это - успех", - заявил представитель этой организации.

Он связал эту тенденцию с тем, что владельцы компьютеров и системные администраторы установили программные обновления, позволяющие защититься от вредоносной программы WannaCry.

Представитель Европола отметил, что ведомство работает над тем, чтобы создать инструмент, который позволит вычислить преступников, использующих вредоносную программу.

Заявление президента Microsoft

14 мая президент Microsoft Брэд Смит в сообщении на сайте компании заявил, что масштабная хакерская атака, начатая при помощи вируса-шифровальщика WannaCry, служит подтверждением "необходимости неотложных коллективных действий" в целях обеспечения безопасности пользователей интернета.


Президент Microsoft Брэд Смит
Президент Microsoft Брэд Смит


По его мнению, значительная доля ответственности за кибератаки, подобные атаке вируса WannaCry, лежит на правительствах, которые собирают данные об уязвимостях в программном обеспечении ради своих интересов.

По мнению Смита, из этой кибератаки нужно извлечь уроки, чтобы избежать подобного в будущем.

Президент Microsoft считает, что все страны должны "сформировать другой подход и применять в киберпространстве такие же строгие правила, как и к оружию в физическом мире".

Он считает, что для предотвращения подобной угрозы нужно разработать цифровой аналог Женевской конвенции по контролю над вооружениями. Смит также отметил, что данные об уязвимостях не должны собираться правительствами для использования в собственных интересах. Такие данные должны передаваться разработчикам напрямую.

"Правительства всего мира должны воспринять эту угрозу как призыв к пробуждению", - заключил он.

НВ

Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Фото

ВИДЕО

Читайте на НВ style

Страны ТОП-10

Погода
Погода в Киеве

влажность:

давление:

ветер: