Компьютерный вирус-вымогатель WannaCry 12 мая заблокировал десятки тысяч компьютеров по всему миру, в том числе в государственных учреждениях и крупных компаниях. Больше всего пострадали Россия, Украина и Тайвань. Агентство ВВС рассказало, что это за вирус, как он работает, как от него защититься и какое отношение к этому имеет Агентство национальной безопасности США.
Что это за вирус?
Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя, в результате чего их больше нельзя использовать. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную $300, по другим данным — $600.
Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают «бесплатные мероприятия» для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.
Кто уже пострадал?
«Лаборатория Касперского» зафиксировала около 45 тыс. попыток атак в 74 странах по всему миру, большинство из которых в России, Украине и Тайване.
В России жертвами вируса уже стали Сбербанк, Мегафон и министерство внутренних дел. В Британии жертвами стали государственные больницы, в Испании — телекоммуникационная компания Telefonica.
«Новый вирус распространяется с адской скоростью», — сообщают исследователи MalwareHunterTeam.
При чем здесь Агентство национальной безопасности США?
Для атаки хакеры использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США. Она была украдена хакерами The Shadow Brokers у хакеров Equation Group в августе 2016 года и опубликована в апреле 2017.
О связи Equation Group c Агенством национальной безопасности (АНБ) США писали в WikiLeaks. В «Лаборатории Касперского» отмечали схожесть инструментов Equation Group со Stuxnet — компьютерным червем, который, по данным New York Times, американские и израильские власти использовали для атаки на иранскую ядерную программу.
Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что АНБ может быть косвенно причастна к атаке. АНБ пока никак не прокомментировало эти утверждения.
Сколько уже «заработали» вымогатели?
Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов (1, 2, 3, 4). Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно $12 тыс. Учитывая, что пользователи обычно откладывают выкуп на последний день, «прибыль» может вырасти многократно.
Это, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории.
Почему это работает?
Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Всем, у кого система обновилась, вирус не угрожает. Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.
Противоядие для компьютеров, зараженных WannaCry, пока не выпущено.
Как защититься?
Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик WannaCry, пока также не ясно.
Полностью исключает возможность заражения установка соответствующего обновления для Windows. В Microsoft сообщили, что 13 мая выпустили также защитные обновления для старых операционных систем Windows XP, Windows 8 и Windows Server 2003.
По материалам ВВС.
