Тревогу из-за стремительного распространения нового вируса «Лаборатория Касперского» забила в минувшую пятницу. Тогда стало известно о том, что вредоносные программы успели поразить компьютеры в 74 государствах. В общей сложности за первый день распространения вируса пострадало 45 тыс. устройств, большая часть из которых находится в России. Все зараженные устройства используют программную продукцию Microsoft. Вредоносный скрипт получил название WannaCry – в соответствии с расширением, которое он присваивает пораженным файлам. Как уточнили представители компании, создатели скрипта вышли с ними на связь, пообещав деактивировать вирус в случае уплаты им $600 в биткоинах.
Эксперты «Лаборатории Касперского» пришли к выводу, что стремительное распространение вируса стало возможным через слабое место в Microsoft Security Bulletin MS17-010. Разработчики антивирусного обеспечения заверили, что их ПО способно обнаруживать программу при условии включения опции «Мониторинг системы». Однако для повышения уровня безопасности в компании советуют прибегнуть к установке специального пакета обновлений, выпущенного Microsoft, после чего просканировать области, где может находиться вирус.
Несмотря на выпуск патча Microsoft стремительное заражение ПК вирусом-вымогателем продолжилось в выходные. Атаки были зафиксированы в 150 государствах. По данным директора Европейского полицейского агентства (Europol) Роба Уэйнрайта, озвученным в эфире телеканала ITV (Великобритания), WannaCry поразил, как минимум, 200 тыс. ПК, принадлежащих как гражданам, так и компаниям, и не исключено, что вредоносный скрипт будет распространяться и далее. Уэйнрайт отметил, что новая волна заражений может последовать в понедельник, когда будут включены компьютеры, установленные в офисах, которыми не пользовались в выходные. Впрочем, отметил глава Европола, опасаться сбоев в работе банков не следует, поскольку кредитные организации оснащены программным обеспечением, нивелирующим атаки подобного уровня. Между тем, крупные организации для WannaCry достаточно уязвимы. Круг вероятных разработчиков и распространителей вируса Уэйнрайт озвучить не смог.
WannaCry относится к категории вирусов-шифровальщиков. Заражение проявляется в том, что файлы, хранящиеся на устройстве, становятся недоступными для использования, а на экран выводится сообщение, в котором хакеры предлагают восстановить файлы в обмен на $300 в биткоинах. Первые атаки были проведены на испанские и британские компании, после чего вирус начал распространяться по России. По подсчетам Avast, по состоянию на вечер воскресенья скрипт был выявлен в 126 тыс. ПК в 104 государствах, при этом 57% устройств находится в РФ.
Среди российских ведомств, пострадавших от атаки, оказалось Министерство внутренних дел. Его представитель Ирина Волк отметила, что распространение программы удалось ограничить, заблокировав 1 тыс. пораженных устройств. Зафиксирован был вирус также на ведомственных компьютерах Минздрава и «Российских железных дорог». Об атаке WannaCry также заявили в МегаФоне, где программа вывела из строя колл-центр. Успешным блокированием скрипта похвалились Вымпелком и МТС. Среди банков атаке подвергся Сбербанк, однако навредить кредитной организации WannaCry не смог. В Центробанке подтвердили, что финучреждениям вирус рассылался массово, но ущерба не причинил.
По данным The Guardian, атака WannaCry была сорвана благодаря двум специалистам, один из которых известен под ником @malwaretechblog, а также программисту компании Proofpoint Дариену Хассу, сумевшим перерегистрировать на себя сайт, с которого рассылался скрипт. По оценке эксперта в области кибербезопасности Брайана Кребса (США), авторам вируса удалось получить всего $26 тыс. - столько денег поступило на кошельки, упоминаемые вредоносной программой.
Таким образом, опасения, что случилась настоящая кибервойна, не подтвердились, а в беседе с «Коммерсантом» глава канадской SecDev Group Рафал Рогозински заявил, что массовое поражение ПК в РФ произошло в силу того, что россияне не уделяют должного внимания информационной безопасности и грешат использованием взломанных программ, включительно с операционными системами. Что касается антивирусов, то их часто не обновляют.
Между тем, представители Microsoft - компании, которая оказалась воротами для вируса, так не считают. В специальном заявлении, опубликованном на собственном сайте, они обвинили Агентство национальной безопасности в разработке кибероружия, которое в АНБ не умеют хранить, и провели аналогию с последствиями от кражи «Томагавков» у Пентагона. Вирусы, поразившие компьютерные сети, были созданы на основе вредоносных программ, которые были недавно похищены, а их алгоритм опубликован в Интернете.
Никто в реальности не знает, что происходит. Это может быть просто инициатива группы любителей, а может быть проверка на прочность сетей куда более серьезной группой, которая готовится к настоящей атаке. Не говоря уже о том, что эпизод с похищением кодов теперь представляет собой прекрасное прикрытие для настоящей боевой атаки со стороны структур, аффилированных с АНБ или спецслужбами других государств. Ведь теперь последствия остановки любой электростанции можно валить на «киберхулиганов».
Гендиректор компании по предотвращению киберпреступлений Group-IB Илья Сачков отмечает: чтобы уберечься от атаки WannaCry и подобных программ, нужно иметь резервные копии системы, регулярно обновлять программы и оболочки, а также отказаться от использования систем, выпуск обновлений для которых прекращен разработчиком. В первую очередь, это операционные утилиты, релиз которых состоялся 10 лет назад и больше. Если заражение уже началось, нужно физически отключить устройство от Интернета.